防火墙流量管理
带宽管理介绍
针对企业用户流量,防火墙提供了带宽管理功能,基于出/入接口、源/目的安全区域、源/目的地址、时间段、报文DSCP优先级等信息,对通过自身的流量进行管理和控制。
带宽管理提供带宽限制、带宽保证和连接数限制功能,可以提高带宽利用率,避免带宽耗尽。
带宽管理处理流程
防火墙通过带宽策略、带宽通道和接口带宽来实现带宽管理功能。
带宽策略:带宽策略定义了被管理的对象和动作,并引用带宽通道。
带宽通道:带宽通道定义了被管理的对象所能够使用的带宽资源。
接口带宽:接口带宽定义了接口入方向和出方向的实际带宽,出方向上的流量发生拥塞时,启用队列调度机制。
带宽管理的整体处理流程如下:
流量匹配带宽策略,经过带宽策略的分流后,进入相应的带宽通道进行处理。 带宽通道的处理包括:
丢弃超过了预先定义的最大带宽的流量。
限制业务的连接数。
标记流量的优先级,作为后续队列调度的依据。
受入接口带宽的限制,如果流量大于入接口带宽,将根据带宽通道中设置的转发优先级对流量进行队列调度,保证高优先级的报文被优先发送。
流量最终从出接口发送时,受出接口带宽的限制。如果流量大于出接口带宽,将根据转发优先级对流量进行队列调度,保证高优先级的报文被优先发送。
带宽策略
带宽策略规则
带宽策略决定了对网络中的哪些流量进行带宽管理,以及如何进行带宽管理。
带宽策略是多个带宽策略规则的集合,带宽策略规则由条件和动作组成:
条件:防火墙匹配报文的依据。
动作:防火墙对报文采取的处理方式,主要包括:
限流:对符合条件的流量进行管理。当动作为限流时,需在带宽策略中引用带宽通道,对流量的具体管理措施由该带宽通道决定。
不限流:对符合条件的流量不进行管理。
默认情况下,防火墙上存在一条缺省的带宽策略,所有匹配条件均为任意(any),动作为不限流。若所有规则都没有匹配到,则按照缺省的带宽策略进行处理。
带宽策略类型
防火墙可配置多条带宽策略,主要分为同级策略和多级策略两种类型。
同级策略:多条带宽策略之间相互独立。流量匹配多条同级策略是按照从上往下的顺序依次匹配,一旦匹配上一条策略的所有条件,会立即执行带宽通道的动作,不在继续匹配剩下的规则。
多级策略:又称为父子策略,即一条带宽策略下可以配置多条带宽子策略。流量匹配多级策略时,先匹配父策略,再匹配子策略,直到匹配到最后一级可以匹配到的子策略为止。华为防火墙最多支持四级父子策略。
防火墙进行带宽限制时,配置多级策略能达到更好的带宽复用效果。(目前V6R7C20版本防火墙支持四级)
上图是一个20M的应用流量匹配带宽策略时,过程如下:
首先匹配父策略,发现小于父策略的最大带宽60M,则继续匹配一级子策略;
匹配一级子策略时,发现小于子策略1的最大带宽40M,则继续匹配二级子策略;
匹配二级子策略时,发现小于子策略1-1最大带宽20M,则流量全部通过,若应 用流量大于20M时,则将限速20M。
带宽通道
介绍:
流量匹配带宽策略后进入带宽通道,带宽通道定义了具体的带宽资源,是进行带宽管理的基础。
通过带宽通道,可以将物理的带宽资源从逻辑上划分为多个虚拟的带宽资源。带宽通道通过以下方面来对带宽资源进行限制,包括整体的保证带宽和最大带宽、每IP/每用户的最大带宽、连接数限制和DSCP优先级重标记等。此外,带宽通道还可以实现带宽资源的闲时复用。
整体的保证带宽和最大带宽:进入带宽通道的流量可获得的最小带宽资源和最大带宽资源。每IP/每用户的保证带宽和最大带宽:在带宽通道中针对IP或用户设置的最小带宽和最大带宽,实现粒度更加细化的带宽限制。连接数限制:防火墙通过限制自身生成的会话数量,来实现连接数限制功能。上下行带宽独立控制和整体控制:在上面提到的最大带宽、保证带宽和连接数限制均支持上下行分别配置。在带宽通道中,上下行代表的含义跟带宽策略本身有关。流量传输方向与带宽策略同向时,定义为上行;与带宽策略反向时,定义为下行。DSCP优先级重标记:DSCP字段也称为DSCP优先级,是网络设备进行流量分类的依据。防火墙可以在带宽通道中对符合条件的报文修改其DSCP字段值,进而对不同DSCP优先级的流量采取差异化的处理。带宽复用:多条流量进入同一个带宽通道后,带宽通道内的带宽资源可以实现动态分配。流量转发优先级:防火墙支持为带宽通道配置流量转发优先级,不同的优先级对应着流量监管和流量整形两种不同的带宽限制方式。带宽通道参数设置 带宽设置可以包含以下重要参数:
整体的保证带宽和最大带宽;
连每IP/每用户的保证带宽和最大带宽;
上下行带宽独立控制和整体控制; 连接数限制(并发连接总数限制和新建连接速率限制)。
整体的保证带宽是指进入带宽通道的流量可获得的最小带宽资源,整体的最大带宽是指进入带宽通道的流量可获得的最大带宽资源。流量进入带宽通道后,防火墙将当前流量与带宽通道中设置的保证带宽/最大带宽进行比较,采取不同的处理方式:
如果流量小于保证带宽,这部分流量在出接口发送环节能够确保被转发。
如果流量大于最大带宽,则直接丢弃超出最大带宽的流量。
超出保证带宽的流量,在出接口发送环节将会与其它带宽通道中同类型的流量自由竞争带宽资源。带宽通道的优先级越高,就会更优先获得剩余带宽资源。获得带宽资源后发送流量,否则丢弃流量。
每IP/每用户的保证带宽和最大带宽:除了设置整体的保证带宽和最大带宽之外,还可以在带宽通道中定义针对IP或用户的保证带宽和最大带宽,实现粒度更加细化的带宽限制。
当带宽通道被带宽策略引用后,防火墙会基于IP地址或用户,对符合带宽策略匹配条件的流量进行统计,每IP/每用户的保证带宽和最大带宽的作用与整体带宽类似,只是作用范围细化至每IP/用户范围。
防火墙还提供了基于整体最大带宽和在线IP/用户数量,为每一个IP/用户实现带宽动态均分的控制方式,充分利用闲置带宽的同时,还保证了带宽使用的公平性。
连接数限制:通信双方建立的连接在防火墙上体现为会话,一条会话对应一个连接。
防火墙通过限制自身生成的会话数量,来实现连接数限制功能,主要作用包括:
P2P业务会产生大量的连接,限制其连接数有利于减少P2P业务的流量,降低带宽占用。
在部署了内网服务器的场景中,连接数限制功能可以辅助防火墙防范针对内网服务器的DDoS(Distributed Denial Of Service)攻击。
节省防火墙上的会话资源。带宽通道中可以配置整体的最大连接数,也可以配置针对源IP或用户的最大连接数,实现更加细化的连接数限制。
上下行带宽独立控制和整体控制:在上面提到的最大带宽、保证带宽和连接数限制均支持上下行分别配置。在带宽通道中,上下行代表的含义跟带宽策略本身有关:流量传输方向与带宽策略同向时,定义为上行;与带宽策略反向时,定义为下行。换言之,流量命中带宽策略,定义为上行流量;将带宽策略中的源和目的互换进行反向查询,命中的流量定义为下行流量。
例如,如果需要限制Trust到Untrust的流量,可以有以下两种方式:
带宽策略的源区域为Trust,目的区域为Untrust,带宽通道中配置对上行带宽
进行管控(与带宽策略同向)。
带宽策略的源区域为Untrust,目的区域为Trust,带宽通道中配置对下行带宽进行管控(与带宽策略反向)。
此外,除了上下行带宽独立控制这种细粒度的管控方式,防火墙还提供了基于上行和下行流量之和的带宽管控方式,大大增加了管理的灵活度。
工作模式
带宽通道被带宽策略引用后,整体最大带宽、整体保证带宽和整体最大连接数就会在带宽策略中起作用,其工作方式包括两种:
带宽复用
介绍
带宽复用是带宽通道的重要特征,指的是多条流量进入同一个带宽通道后,带宽通道内带宽资源的动态分配方式。当带宽通道中某一条流量没有使用带宽资源时,该空闲的带宽资源可以借给其它流量使用;如果有流量需要使用带宽资源时,可以压缩其它流量的带宽,从而将带宽资源抢占回来。
带宽复用包括下面几种情况:
多条流量匹配到了同一个带宽策略,多条流量之间可以实现带宽复用。
多个带宽策略以策略共享的方式引用带宽通道,则匹配了带宽策略的多条流量之间可以实现带宽复用。
匹配了父子策略中的多个子策略的多条流量之间可以实现带宽复用。
在进行带宽限制时使用多级策略,与使用独立的带宽策略相比,可以达到更好的带宽复用效果。
例如,部门A中包括两个项目组:项目组1和项目组2,使用父策略限制部门A的最大带宽,同时使用两条子策略限制两个项目组的最大带宽。假设项目组2(子策略2)只有2M流量,项目组1(子策略1)就可以复用部门A(父策略)中剩余的2M带宽资源。如果不使用多级策略,而使用两条引用了不同带宽通道的独立的带宽策略,这两条带宽策略之间无法共用带宽通道,两个项目组之间也就无法实现带宽资源的复用。
接口带宽
接口带宽原理
防火墙作为大中型企业的出口网关时,企业向运营商申请的带宽资源一般都小于防火墙出接口的物理带宽。如果防火墙无法感知出接口上所能够使用的最大带宽资源,导致发出去的流量到达对端设备后产生拥塞,严重的话将会造成丢包。
通过配置接口出方向上的带宽限制功能,可以使出接口的实际带宽与运营商所提供的带宽资源相匹配。当流量超过接口可以使用的实际带宽时,防火墙可以感知拥塞,触发队列调度机制,优先转发关键业务的流量。
此外,也可以配置接口入方向上的实际带宽,当防火墙接收其它设备发送的流量时,限制进入接口的流量,防止内部服务器压力过大导致性能降低。
---------------------------------------------------------------------------------------------------------------------------------
亲爱的读者朋友们,我在发布的个人笔记中可能存在一些不足之处,如果您发现了任何错误或有改进建议,恳请不吝赐教,您的反馈对我非常重要。谢谢!
相关文章:
防火墙流量管理
带宽管理介绍 针对企业用户流量,防火墙提供了带宽管理功能,基于出/入接口、源/目的安全区域、源/目的地址、时间段、报文DSCP优先级等信息,对通过自身的流量进行管理和控制。 带宽管理提供带宽限制、带宽保证和连接数限制功能,可…...
uniapp+ts 多环境编译
1. 创建项目 npx degit dcloudio/uni-preset-vue#vite-ts [项目名称] 2.创建env目录 多环境配置文件命名为.env.别名 添加index.d.ts interface ImportMetaEnv{readonly VITE_ENV:string,readonly UNI_PLATFORM:string,readonly VITE_APPID:string,readonly VITE_NAME:stri…...
Linux系统移植①:uboot概念
Linux系统移植①:uboot概念 uboot概念 1、uboot是一个比较复杂的裸机程序。 2、uboot就是一个bootloader,作用就是用原于启动Linux或其他系统。uboot最主要的工作就是初始化DDR。因为Linux是运行再DDR里面的。一般Linux镜像zImage(uImage)设…...
数据结构)
linux 学习之位图(bitmap)数据结构
bitmap 可以高效地表示大量的布尔值,并且在许多情况下可以提供快速的位操作。 1 定义 enum device_state{DOWN,DOEN_DONE,MAILBOX_READY,MAILBOX_PENDING,STATE_BUILD };DECLARE_BITMAP(state,STATE_BUILD);相当于》u32 state[BITS_TO_LONGS(4)] BIT…...
DAY 35
import torch import torch.nn as nn import torch.optim as optim from sklearn.datasets import load_iris from sklearn.model_selection import train_test_split from sklearn.preprocessing import MinMaxScaler import time import matplotlib.pyplot as plt# 设置GPU设…...
理论篇一:了解webpack是什么,能解决什么问题,如何使用
Webpack 是前端工程化的核心工具之一,它的核心目标是将前端项目中的各种资源(JS、CSS、图片等)高效打包成浏览器可运行的静态文件。以下是系统化的解答: 一、Webpack 是什么? 1. 定义 Webpack 是一个 静态模块打包工具(Static Module Bundler),它通过分析项目的依赖关…...
AWS EC2实例安全远程访问最佳实践
EC2 远程连接方案对比 远程访问 Amazon EC2 实例主要有以下四种方式: Secure Shell (SSH) 远程访问AWS Systems Manager 会话管理器适用于 Linux 实例的 EC2 Serial ConsoleAmazon EC2 Instance Connect SSH 远程访问 SSH(Secure Shell)广…...
集群、容器云与裸金属服务器的全面对比分析
文章目录 引言 集群 2.1 定义 2.2 特点 2.3 应用场景 容器云 3.1 定义 3.2 核心功能 3.3 应用场景 裸金属 4.1 定义 4.2 特点 4.3 应用场景 三者的区别 5.1 架构与性能 5.2 管理与运维 5.3 成本与灵活性 总结 1. 引言 在云计算和数据中心领域,50…...
【强化学习】#7 基于表格型方法的规划和学习
主要参考学习资料:《强化学习(第2版)》[加]Richard S.Suttion [美]Andrew G.Barto 著 文章源文件:https://github.com/INKEM/Knowledge_Base 本章更是厘清概念厘到头秃,如有表达不恰当之处还请多多指教—— 概述 环境…...
EasyRTC嵌入式音视频通信SDK一对一音视频通信,打造远程办公/医疗/教育等场景解决方案
一、方案概述 数字技术发展促使在线教育、远程医疗等行业对一对一实时音视频通信需求激增。传统方式存在低延迟、高画质及多场景适配不足等问题,而EasyRTC凭借音视频处理、高效信令交互与智能网络适配技术,打造稳定低延迟通信,满足基础通信…...
Linux/aarch64架构下安装Python的Orekit开发环境
1.背景 国产化趋势越来越强,从软件到硬件,从操作系统到CPU,甚至显卡,就产生了在国产ARM CPU和Kylin系统下部署Orekit的需求,且之前的开发是基于Python的,需要做适配。 2.X86架构下安装Python/Orekit开发环…...
网络安全-等级保护(等保) 3-2-1 GB/T 28449-2019 第6章 方案编制活动
################################################################################ GB/T 28449-2019《信息安全技术 网络安全等级保护测评过程指南》是规定了等级测评过程,是纵向的流程,包括:四个基本测评活动:测评准备活动、方案编制活…...
Oracle Enqueue Names
Oracle Enqueue Names Enqueue(排队锁)是Oracle数据库中用于协调多进程并发访问共享资源的锁机制。 This appendix lists Oracle enqueues. Enqueues are shared memory structures (locks) that serialize access to database resources. They can be…...
【免费使用】剪Y专业版 8.1/CapCut 视频编辑处理,素材和滤镜
—————【下 载 地 址】——————— 【本章下载一】:https://pan.xunlei.com/s/VOQxk38EUe3_8Et86ZCH84JsA1?pwdkp7h# 【本章下载二】:https://pan.quark.cn/s/388008091ab4 【本章下载三】:https://drive.uc.cn/s/d5ae5c725637…...
)
【DCGMI专题1】---DCGMI 在 Ubuntu 22.04 上的深度安装指南与原理分析(含架构图解)
目录 一、DCGMI 概述与应用场景 二、Ubuntu 22.04 系统准备 2.1 系统要求 2.2 环境清理(可选) 三、DCGMI 安装步骤(详细图解) 3.1 安装流程总览 3.2 分步操作指南 3.2.1 系统更新与依赖安装 3.2.2 添加 NVIDIA 官方仓库 3.2.3 安装数据中心驱动与 DCGM 3.2.4 服务…...
道德经总结
道德经 《道德经》是中国古代伟大哲学家老子所著,全书约五千字,共81章,分为“道经”(1–37章)和“德经”(38–81章)两部分。 《道德经》是一部融合哲学、政治、人生智慧于一体的经典著作。它提…...
实现rpc通信机制(待定)
一、概述 (1)rpc(remote procedure call, 远程接口调用),就像在本地调用函数一样,是应用组成服务内部分布式的基础功能。应用场景是在内网中的计算,比如:(a) 为上传的一张图片加水印、…...
MATLAB 2023b 配电柜温度报警系统仿真
MATLAB 2023b 配电柜温度报警系统仿真 下面是一个配电柜温度报警系统的MATLAB仿真代码,包含温度监测、断路器控制和声光报警功能。 classdef ElectricalPanelTemperatureAlertSystem < handleproperties% 系统参数TemperatureThreshold = 94; % 温度阈值(摄氏度)Simulati…...
代码随想录打卡|Day45 图论(孤岛的总面积 、沉没孤岛、水流问题、建造最大岛屿)
图论part03 孤岛的总面积 代码随想录链接 题目链接 视频讲解链接 思路:既然某个网格在边界上的岛屿不是孤岛,那么就把非 孤岛的所有岛屿变成海洋,最后再次统计还剩余的岛屿占据的网格总数即可。 dfs: import java.util.Scanner…...
SpringCloud实战:使用Sentinel构建可靠的微服务熔断机制
上篇文章简单介绍了SpringCloud系列Gateway的基本用法以及Demo搭建,今天继续讲解下SpringCloud Gateway实战指南!在分享之前继续回顾下本次SpringCloud的专题要讲的内容: 本教程demo源码已放入附件内 技术准备 读者须知: 本教程…...
张 Prompt Tuning--中文数据准确率提升:理性与冲动识别新突破
Prompt Tuning–中文数据准确率提升:理性与冲动识别新突破 中文数据,准确率 数据标签三类:冲动21,理性21,(中性设为理性40:说明prompt 修正的有效性) 测试数据:冲动4,理性4,中性设为理性10 为了可视化做了 词嵌入 空间的相似文本计算,但是实际当loss 比较小的时…...
MySQL 中 information_schema.processlist 使用原理
一、概念篇:深入理解 processlist 1.1 什么是 information_schema.processlist information_schema.processlist 是 MySQL 提供的一个非常重要的系统视图,它展示了当前 MySQL 服务器中所有正在运行的线程(连接)信息。这个视图对…...
微信小程序学习基础:从入门到精通
文章目录 第一章:微信小程序概述1.1 什么是微信小程序1.2 小程序与原生APP、H5的区别1.3 小程序的发展历程与现状 第二章:开发环境搭建2.1 注册小程序账号2.2 安装开发者工具2.3 开发者工具界面介绍2.4 第一个小程序项目 第三章:小程序框架与…...
)
如何使用redis做限流(golang实现小样)
在实际开发中,限流(Rate Limiting)是一种保护服务、避免接口被恶意刷流的常见技术。常用的限流算法有令牌桶、漏桶、固定窗口、滑动窗口等。由于Redis具备高性能和原子性操作,常常被用来实现分布式限流。 下面给出使用Golang结合Redis实现简单限流的几种常见方式(以“固定…...
lanqiaoOJ 4185:费马小定理求逆元
【题目来源】 https://www.lanqiao.cn/problems/4185/learning/ 【题目描述】 给出 n,p,求 。其中, 指存在某个整数 0≤a<p,使得 na mod p1,此时称 a 为 n 的逆元,即 。数据保证 p 是质数且 n mod p≠0…...
深度剖析ZooKeeper
1. ZooKeeper架构总览 ZooKeeper 是一个分布式协调服务,广泛用于分布式系统中的配置管理、命名服务、分布式锁和领导选举等场景。以下是对 ZooKeeper 架构、通信机制、容错处理、数据一致性与可靠性等方面的详细剖析。 一、ZooKeeper 主从集群 ZooKeeper 采用 主从…...
深入解析 MySQL 中的 SHOW_ROUTINE 权限
目录 前言 权限作用 授权方法 MySQL8.0.20以上 MySQL8.0.20以下 总结 前言 SHOW_ROUTINE 是 MySQL 中用于控制用户查看存储过程和函数定义的权限。拥有该权限的用户可以通过 SHOW CREATE PROCEDURE 和 SHOW CREATE FUNCTION 等语句查看存储过程和函数的详细定义ÿ…...
电脑网络如何改ip地址?ip地址改不了怎么回事
在日常使用电脑上网时,我们有时会遇到需要更改IP地址的情况,比如访问某些受限制的网站、解决网络冲突问题,或者出于隐私保护的需求。然而,许多用户在尝试修改IP地址时可能会遇到各种问题,例如IP地址无法更改、修改后无…...
打开小程序提示请求失败(小程序页面空白)
1、小程序代码是商城后台下载的还是自己编译的 (1)要是商城后台下载的,检查设置里面的域名是不是https的 (2)要是自己编译的,检查app.js里面的接口域名是不是https的,填了以后有没有保存 注&a…...
C语言速成12之指针:程序如何在内存迷宫里找宝藏?
程序员Feri一名12年的程序员,做过开发带过团队创过业,擅长Java、鸿蒙、嵌入式、人工智能等开发,专注于程序员成长的那点儿事,希望在成长的路上有你相伴!君志所向,一往无前! 0. 前言:程序如何在内存迷宫里找宝藏? 想象内存是一个巨…...