配置会话控制策略
配置策略的基本要素
会话控制策略有两个基本要素分别是匹配条件部分和会话限制部分。匹配条件部分包括数据流的入接口、源地址、目的地址、服务、应用和策略生效的
时间范围。其中,数据流的入接口、源地址、目的地址、服务、应用和时间范围都可以直接引用已定义的对象。
会话控制策略的限制有源主机连接限制、源主机连接速率限制、目的主机连接限制、目的主机连接速率限制、总连接限制和总连接速率限制六种可配置的限制方式。
配置步骤:
- 进入策略>会话控制,点击新建。
参数说明:
地址类型:会话控制策略分为 IPv4 和 IPv6 两种类型,数据包匹配相应协议类型的会话控制策略。
入接口:数据流的流入方向,可以指定某个特定接口,any 表示所有接口。
源地址:数据流的源地址,可以引用已定义的某个地址对象或地址对象组,any 表示源地址为任意。
目的地址:数据流的目的地址,可以引用已定义的某个地址对象或地址对象组,any 表示目的地址为任意。
服务:数据流的服务属性,包括协议、源端口和目的端口,可以引用系统预定义服务、自定义的服务对象或服务对象组,any 表示服务为任意。
用户:数据流的用户属性,可以引用已定义的某个用户对象或 用户组,any表示用户为任意。
应用:数据流的应用属性,引用系统预定义应用,any 表示应用为任意。
时间表:策略生效的时间,可以引用已配置的时间对象,always 表示所有时间。
每主机连接限制(源 IP):对匹配该条策略的流,根据源地址连接数进行限制,配置为 0 表示不限制。
每主机连接速率限制(源 IP):对匹配该策略的流,根据源地址连接速率进行限制,配置为 0 表示不限制。
每主机连接限制(目的 IP):对匹配该条策略的流,根据目的地址连接数进行限制,配置为 0 表示不限制。
每主机连接速率限制(目的 IP):对匹配该策略的流,根据目的地址连接速率进行限制,配置为 0 表示不限制。
总连接控制:对匹配该条策略的流,根据总连接数进行限制,配置为 0 表示不限制。
总连接速率限制:对匹配该策略的流,根据总连接速率进行限制,配置为‘0’表示不限制。
日志:选中此复选框启用日志功能,匹配该会话控制策略的数据流被阻断的信息会被发往 syslog 服务器或者产生设备本地日志,日志的优先级为信息级别。
- 配置完毕后,点击提交。
启用会话控制策略
配置好的会话控制策略必须启用才能使其生效。
配置步骤:
- 进入策略>会话控制,如下图:
- 勾选启用可以启用一条策略。
编辑会话控制策略
配置步骤:
- 进入策略>会话控制,对于某条存在的会话控制策略,点击策略 ID 号进入编辑界面。
- 可以对会话控制策略里面的内容进行编辑修改,修改完毕后点击更新。
删除会话控制策略
配置步骤:
- 进入策略>会话控制,如下图:
- 点击
删除策略。
调整会话控制策略的顺序
通过移动策略可以调整会话控制策略的顺序,从而使位置在前的策略优先匹配。
配置步骤:
- 进入策略>会话控制,如下图:
- 点击
移动策略。
策略 ID:需要被移动的策略的 ID 号。
移动到(策略 ID):参考策略的 ID 号。
之前:移动策略到参考策略之前。
之后:移动策略到参考策略之后。
- 点击提交。
查询会话控制策略
查询步骤:
- 进入策略>会话控制,如下图:
会话控制策略监控与维护
查看会话控制策略
进入策略>会话控制,可以根据协议类型查看已经配置的会话控制策略。
- 在下拉框中分别选择源地址、目的地址和服务,点击搜索查询配置中与关键字相符的所有会话控制策略。
会话控制策略监控与维护
查看会话控制策略
进入策略>会话控制,可以根据协议类型查看已经配置的会话控制策略。
常见故障分析
故障现象:匹配上某条策略的某些数据流没有受到相应的限制
