實(shí)驗(yàn)四 利用UTM進(jìn)行P2P控制

1、實(shí)驗(yàn)四 利用UTM進(jìn)行P2P控制一、實(shí)驗(yàn)?zāi)康睦斫饩W(wǎng)絡(luò)進(jìn)行P2P控制的原理和UTM實(shí)現(xiàn)的方法。二、應(yīng)用環(huán)境流量控制是Digitalchina Unified Threat Management系統(tǒng)提供的管理網(wǎng)絡(luò)流量帶寬資源的功能。它允許管理員對(duì)網(wǎng)絡(luò)訪問(wèn)行為的上/下行流量帶寬進(jìn)行控制，管理強(qiáng)行占用網(wǎng)絡(luò)資源的P2P網(wǎng)絡(luò)應(yīng)用，從而保證網(wǎng)絡(luò)系統(tǒng)中關(guān)鍵應(yīng)用能夠擁有足夠的網(wǎng)絡(luò)流量帶寬資源。Digitalchina Unified Threat Management流量帶寬管理功能的關(guān)鍵邏輯承載元素稱作”流量整形器（Traffic Shaper）”，它是構(gòu)建流量帶寬管理策略的基本要素。流量整形器在系統(tǒng)中的概念

2、類似定義在相關(guān)接口上的一種固定流量帶寬資源，但僅使用流量整形器，還不能實(shí)現(xiàn)流量帶寬管理功能。流量整形器需要和安全策略配合使用，并在安全策略中引用定義好的流量整形器，才能對(duì)相應(yīng)的流量進(jìn)行流量帶寬的控制。也就是說(shuō)流量整形器是網(wǎng)絡(luò)接口上的流量帶寬資源，和具體的流量特征無(wú)關(guān)，需要定義安全策略，并在策略中引用流量整形器對(duì)象，才能將特定的流量導(dǎo)入整形器中，從而控制該種類型的會(huì)話流量。三、實(shí)驗(yàn)設(shè)備1DCFW-1800S-UTM 一臺(tái)2交換機(jī)一臺(tái)3直通網(wǎng)絡(luò)線二條4PC機(jī)二至三臺(tái)5連通Internet的網(wǎng)絡(luò)環(huán)境四、實(shí)驗(yàn)拓?fù)銲nternet五、實(shí)驗(yàn)要求針對(duì)網(wǎng)絡(luò)拓?fù)洌ㄟ^(guò)配置UTM系統(tǒng)的流量整形功能控制內(nèi)網(wǎng)用戶的P

3、2P應(yīng)用六、實(shí)驗(yàn)步驟(一) 配置基本網(wǎng)絡(luò)環(huán)境本步驟請(qǐng)參考實(shí)驗(yàn)十九進(jìn)行，此處略。(二) 啟用客戶機(jī)的P2P下載軟件下載網(wǎng)絡(luò)資源可以安裝如Bitcomet等下載軟件。安裝過(guò)程本實(shí)驗(yàn)略，正常使用界面如下：(三) 配置UTM的流量對(duì)象流量對(duì)象主要是描述流量范圍的參數(shù)，可以用在策略中，表明該策略生效的流量范圍。引用了流量對(duì)象的策略，在指定的接口生效。8對(duì)象4流量對(duì)象4新增：本實(shí)驗(yàn)中上行帶寬設(shè)置1M，下行帶寬設(shè)定為10M，則對(duì)應(yīng)配置完成的結(jié)果如下：列 項(xiàng)說(shuō) 明#流量對(duì)象的序號(hào)名稱流量對(duì)象的名稱。有效字符是：大寫(xiě)英文字母（A-Z），小寫(xiě)英文字母（a-z）、數(shù)字（0-9）、符號(hào)（“-“和”_“）、不能含有空格

4、。流量入口網(wǎng)絡(luò)流量進(jìn)入Digitalchina Unified Threat Management 系統(tǒng)使用的網(wǎng)絡(luò)接口名稱。流量出口網(wǎng)絡(luò)流量流出Digitalchina Unified Threat Management 系統(tǒng)使用的網(wǎng)絡(luò)接口名稱優(yōu)先級(jí)網(wǎng)絡(luò)流量處理的優(yōu)先級(jí)。優(yōu)先級(jí)可選的級(jí)別為“0-7”。“0”級(jí)別最高，“7”級(jí)別最低。例如：當(dāng)前的流量對(duì)象相對(duì)于整個(gè)流控來(lái)說(shuō)就是增加的一個(gè)分類，增加流量策略就是使用分類器把數(shù)據(jù)導(dǎo)入到相應(yīng)的分類中。這樣對(duì)于一個(gè)隊(duì)列來(lái)說(shuō)，優(yōu)先級(jí)高的分類就優(yōu)先得到進(jìn)入到 流量入口的機(jī)會(huì)，進(jìn)行優(yōu)先處理上行帶寬流量對(duì)象限制的上行帶寬值。所謂上行，使指當(dāng)流量對(duì)象被應(yīng)用于安全策略

5、時(shí)，策略中定義的源地址對(duì)象到目標(biāo)地址對(duì)象的方向下行帶寬流量對(duì)象限制的下行帶寬值。所謂下行，使指當(dāng)流量對(duì)象被應(yīng)用于安全策略時(shí)，策略中定義的目標(biāo)地址對(duì)象到源地址對(duì)象的方向。修改對(duì)選定的的流量對(duì)象參數(shù)進(jìn)行修改刪除刪除當(dāng)前選定的流量對(duì)象。注意：Digitalchina Unified Threat Management 系統(tǒng)不允許直接刪除已經(jīng)被其他功能模塊 （例如安全策略模塊）引用的流量對(duì)象。如果需要?jiǎng)h除，先要確認(rèn)沒(méi)有其他功能模塊引用該對(duì)象。如果存在引用關(guān)系，則需要先刪除導(dǎo)致這些引用關(guān)系的相關(guān)配置.新增添加一個(gè)流量對(duì)象(四) 加載流量整形策略流量整形策略用來(lái)控制特定網(wǎng)絡(luò)會(huì)話的帶寬。和其它安全策略不同，

6、流量整形策略的側(cè)重點(diǎn)不在于訪問(wèn)控制功能，而在于控制所描述的網(wǎng)絡(luò)流量的發(fā)送或者接收的速率 。Digitalchina Unified Threat Management 系統(tǒng)會(huì)按照策略中所引用的“流量對(duì)象”控制流量的速率，以便更合理更有效的利用網(wǎng)絡(luò)帶寬資源。注意：流量整形策略對(duì)特定網(wǎng)絡(luò)流量采取的動(dòng)作默認(rèn)為“permit”即允許。對(duì)于系統(tǒng)拒絕通過(guò)的流量，定義流量策略沒(méi)有任何意義。8策略4流量整形策略：列 項(xiàng)說(shuō) 明#流量整形策略的順序編號(hào)，Digitalchina Unified Threat Management 系統(tǒng)從1開(kāi)始為流量整形策略計(jì)數(shù)。源域連接發(fā)起方網(wǎng)絡(luò)所在的安全域。一般情況下，是Dig

7、italchina Unified Threat Management 系統(tǒng)中的包含某個(gè)接口的安全域，而該接口應(yīng)該連接會(huì)話發(fā)起方（客戶機(jī)）所在的網(wǎng)絡(luò)。目的域連接目標(biāo)方網(wǎng)絡(luò)所在的安全域。一般情況下，是Digitalchina Unified Threat Management 系統(tǒng)中的包含某個(gè)接口的安全域，而該接口應(yīng)該連接會(huì)話目標(biāo)方（服務(wù)器）所在的網(wǎng)絡(luò)。源地址對(duì)象相關(guān)流量信息的源地址對(duì)象。源地址對(duì)象需要在地址對(duì)象中定義后才可以選擇?！癮ny”表示任何源地址目的地址對(duì)象相關(guān)流量信息的目的地址對(duì)象。目的地址對(duì)象需要在地址對(duì)象中定義后才可以選擇。“any”表示任何目的地址。服務(wù)對(duì)象會(huì)話過(guò)程中的傳輸層協(xié)議信息。除了“預(yù)定義服務(wù)對(duì)象”外，用戶需要自己定義的服務(wù)對(duì)象需要在服務(wù)對(duì)象中定義后才可以選擇?！癮ny”表示任何服務(wù)。流量對(duì)象網(wǎng)絡(luò)會(huì)話流量的帶寬的控制尺度。流量對(duì)象需要在流量對(duì)象中定義后才可以選擇。刪除刪除當(dāng)前選定的流量整形策略。新增添加一條新的流量整形策略。點(diǎn)擊新增按鈕，進(jìn)入新增流量整形策略界面：七、共同思考為什么對(duì)于P2P的控制不可以通過(guò)訪問(wèn)控制進(jìn)行？