配置会话控制策略

配置策略的基本要素

会话控制策略有两个基本要素分别是匹配条件部分和会话限制部分。匹配条件部分包括数据流的入接口、源地址、目的地址、服务、应用和策略生效的

时间范围。其中,数据流的入接口、源地址、目的地址、服务、应用和时间范围都可以直接引用已定义的对象。

会话控制策略的限制有源主机连接限制、源主机连接速率限制、目的主机连接限制、目的主机连接速率限制、总连接限制和总连接速率限制六种可配置的限制方式。

配置步骤:

  1. 进入策略>会话控制,点击新建。

参数说明:

地址类型:会话控制策略分为 IPv4 和 IPv6 两种类型,数据包匹配相应协议类型的会话控制策略。

入接口:数据流的流入方向,可以指定某个特定接口,any 表示所有接口。

源地址:数据流的源地址,可以引用已定义的某个地址对象或地址对象组,any 表示源地址为任意。

目的地址:数据流的目的地址,可以引用已定义的某个地址对象或地址对象组,any 表示目的地址为任意。

服务:数据流的服务属性,包括协议、源端口和目的端口,可以引用系统预定义服务、自定义的服务对象或服务对象组,any 表示服务为任意。

用户:数据流的用户属性,可以引用已定义的某个用户对象或 用户组,any表示用户为任意。

应用:数据流的应用属性,引用系统预定义应用,any 表示应用为任意。

时间表:策略生效的时间,可以引用已配置的时间对象,always 表示所有时间。

每主机连接限制(源 IP:对匹配该条策略的流,根据源地址连接数进行限制,配置为 0 表示不限制。

每主机连接速率限制(源 IP):对匹配该策略的流,根据源地址连接速率进行限制,配置为 0 表示不限制。

每主机连接限制(目的 IP:对匹配该条策略的流,根据目的地址连接数进行限制,配置为 0 表示不限制。

每主机连接速率限制(目的 IP):对匹配该策略的流,根据目的地址连接速率进行限制,配置为 0 表示不限制。

总连接控制:对匹配该条策略的流,根据总连接数进行限制,配置为 0 表示不限制。

总连接速率限制:对匹配该策略的流,根据总连接速率进行限制,配置为‘0’表示不限制。

日志:选中此复选框启用日志功能,匹配该会话控制策略的数据流被阻断的信息会被发往 syslog 服务器或者产生设备本地日志,日志的优先级为信息级别。

  1. 配置完毕后,点击提交

 

启用会话控制策略

配置好的会话控制策略必须启用才能使其生效。

配置步骤:

  1. 进入策略>会话控制,如下图:

  1. 勾选启用可以启用一条策略。

 

编辑会话控制策略

配置步骤:

  1. 进入策略>会话控制,对于某条存在的会话控制策略,点击策略 ID 号进入编辑界面。
  1. 可以对会话控制策略里面的内容进行编辑修改,修改完毕后点击更新

 

 删除会话控制策略

配置步骤:

  1. 进入策略>会话控制,如下图:

  1. 点击 删除策略。

 

调整会话控制策略的顺序

通过移动策略可以调整会话控制策略的顺序,从而使位置在前的策略优先匹配。

配置步骤:

  1. 进入策略>会话控制,如下图:

  1. 点击 移动策略。

策略 ID:需要被移动的策略的 ID 号。

移动到(策略 ID:参考策略的 ID 号。

之前:移动策略到参考策略之前。

之后:移动策略到参考策略之后。

  1. 点击提交

 

查询会话控制策略

查询步骤:

  1. 进入策略>会话控制,如下图:

 会话控制策略监控与维护

查看会话控制策略

进入策略>会话控制,可以根据协议类型查看已经配置的会话控制策略。

  1. 在下拉框中分别选择源地址目的地址服务,点击搜索查询配置中与关键字相符的所有会话控制策略。

 

 会话控制策略监控与维护

查看会话控制策略

进入策略>会话控制,可以根据协议类型查看已经配置的会话控制策略。

 

常见故障分析

 故障现象:匹配上某条策略的某些数据流没有受到相应的限制

 

 
以上信息是否解决您的问题?
 
在线客服
APP下载
APP下载