SR-320安全防范指南

《SR-320安全防范指南》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、SR-320安全防范配置指南目录一安全策略的控制1二攻击防护2三QOS3四配置实例一、安全策略的控制点击；防火墙-〉策略点击“策略列表”上部的'*新逹…按钮：源安全域：数据的入口所属安全域源地址：数据的源地址目的安全域：数据的出口所属安全域目的地址：报文的目的地址服务簿：目的地址的服务时间表：策略生效的时间段角色/用户/用户组：针对用户来进行控制行为：对报文的动作QOS：对匹配以上条件的数据报文进行qos标记ProfiIe组：添加高级的profiIe控制日志：对匹配以上条件的数据的相关行为进行日志记录命令行:全局模式：Policyfromsro_zone

2、todst_zoneRulerolerole_name

3、useruser_nameuser-groupgroup_r)amefromip_addraddrbooktoipaddraIaddrbookaserviceserviceaction二、攻击防护点击：防火墙-〉攻击防护在“安全域”右边的下拉框中选择对应的安全域在对应的相应攻击方式上刁Pl即可•相关攻击方式的详细解释可参考相关书籍或者到网上查询相关资料命令行：全局模式输入：Zonesecu_areaAdad_typepara三、Qos［本处只提ip-qos,更多详细请参考设备操作手册］点击：qos

4、->ipqos规则名称：ipqos的名称接口绑定：绑定的接口名称Ip地址：需要进行Q0S的ip地址控制策略：上行：数据出接口的带宽下行：数据进入进口的带宽每个ip：ip地址范围内的每个ip共享：所有ip共享最大带宽：最大带宽预留带宽：为对应的IP预留带宽大小时间表：qos的生效时间高级：弹性qos：上行：数据出接口的带宽下行：数据进入进口的带宽*细腻度控制【嵌套应用qos】命令行：全局模式输入：CIass-mapcIass_map_nameMatchaddressaddr_bookappIicationapp_typecoscos_ua/uedsc

5、pdscp_旧/ueIinput-interfaceif_name\p-rangestart_ipend_ipprecedencepre_vaIuerolerole_nameuserusejnameuser-groupgroup_name全局模式输入：Qos-profileprofiIe_nameShaping-for-egress*默认模式为管制，切换成整形。只支持ipqos和角色qosException-1ist{ip-rangeA.B.C.D4B.C.Daddressaddress_e/7右厂y}CIassclass_nanieIp-q

6、osper-ipreserve-bandwidthband_valuemax-bandwidthband_旧IueScheduIeschedule_nameInterfaceethernetO/xQos-profile1st-level

7、2nd-1eveIinputprofile_nameQos-profile1st-level

8、2nd-leveIoutputprofiIename四、配置实例Intranet:10.1.1.0/24Intranet10.1.2.0/24环境：E0/0连接外网,使用固定的IP地址202.1.1.2255.255.255.

9、0网关：202.1.1.1E0/1连接内网，IP地址:10.1.1.0255.255.255.0网关：10.1.1.1E0/2连接服务器区域，IP地址：10.1.2.0255.255.255.0网关：10.1.2.1要求：1.内网PC能够上网2.服务器不能上网3.外网能够访问服务器的HTTP、FTP服务4.内网的10.1.1.100ip既不能访问服务器，又不能访问外网。其他的可以5.内网的每台PC上网速度最大为200Kbyte接口设置:▼屈络网络->接口接口点击eO/O后面的编辑小图标“ip/陶掩玛MIPZfflPHUtl202.1.1.2/255.25

10、5.255.0/二OHPtfc址2/矣82@静态IPe从DHCP服务器茯得IP©从PPPoE^tSlP管理CTelnet□SSHDPing(OHTTPEHTTPSIdSNMPMUm确认•口名字和类型名■安全域ethemetO/O9三屋安全域©二层安全域©无绑定安全域untrustHIPKHSSIPtttt/FWIfW安金績MAC・ttethemet0/0202.1.1.2/24untrust001C5408.b800<<

11、01c.5408.bS02<<