实验四 利用UTM进行P2P控制

1、实验四 利用UTM进行P2P控制一、实验目的理解网络进行P2P控制的原理和UTM实现的方法。二、应用环境流量控制是Digitalchina Unified Threat Management系统提供的管理网络流量带宽资源的功能。它允许管理员对网络访问行为的上/下行流量带宽进行控制，管理强行占用网络资源的P2P网络应用，从而保证网络系统中关键应用能够拥有足够的网络流量带宽资源。Digitalchina Unified Threat Management流量带宽管理功能的关键逻辑承载元素称作”流量整形器（Traffic Shaper）”，它是构建流量带宽管理策略的基本要素。流量整形器在系统中的概念

2、类似定义在相关接口上的一种固定流量带宽资源，但仅使用流量整形器，还不能实现流量带宽管理功能。流量整形器需要和安全策略配合使用，并在安全策略中引用定义好的流量整形器，才能对相应的流量进行流量带宽的控制。也就是说流量整形器是网络接口上的流量带宽资源，和具体的流量特征无关，需要定义安全策略，并在策略中引用流量整形器对象，才能将特定的流量导入整形器中，从而控制该种类型的会话流量。三、实验设备1DCFW-1800S-UTM 一台2交换机一台3直通网络线二条4PC机二至三台5连通Internet的网络环境四、实验拓扑Internet五、实验要求针对网络拓扑，通过配置UTM系统的流量整形功能控制内网用户的P

3、2P应用六、实验步骤(一) 配置基本网络环境本步骤请参考实验十九进行，此处略。(二) 启用客户机的P2P下载软件下载网络资源可以安装如Bitcomet等下载软件。安装过程本实验略，正常使用界面如下：(三) 配置UTM的流量对象流量对象主要是描述流量范围的参数，可以用在策略中，表明该策略生效的流量范围。引用了流量对象的策略，在指定的接口生效。8对象4流量对象4新增：本实验中上行带宽设置1M，下行带宽设定为10M，则对应配置完成的结果如下：列 项说 明#流量对象的序号名称流量对象的名称。有效字符是：大写英文字母（A-Z），小写英文字母（a-z）、数字（0-9）、符号（“-“和”_“）、不能含有空格

4、。流量入口网络流量进入Digitalchina Unified Threat Management 系统使用的网络接口名称。流量出口网络流量流出Digitalchina Unified Threat Management 系统使用的网络接口名称优先级网络流量处理的优先级。优先级可选的级别为“0-7”。“0”级别最高，“7”级别最低。例如：当前的流量对象相对于整个流控来说就是增加的一个分类，增加流量策略就是使用分类器把数据导入到相应的分类中。这样对于一个队列来说，优先级高的分类就优先得到进入到 流量入口的机会，进行优先处理上行带宽流量对象限制的上行带宽值。所谓上行，使指当流量对象被应用于安全策略

5、时，策略中定义的源地址对象到目标地址对象的方向下行带宽流量对象限制的下行带宽值。所谓下行，使指当流量对象被应用于安全策略时，策略中定义的目标地址对象到源地址对象的方向。修改对选定的的流量对象参数进行修改删除删除当前选定的流量对象。注意：Digitalchina Unified Threat Management 系统不允许直接删除已经被其他功能模块 （例如安全策略模块）引用的流量对象。如果需要删除，先要确认没有其他功能模块引用该对象。如果存在引用关系，则需要先删除导致这些引用关系的相关配置.新增添加一个流量对象(四) 加载流量整形策略流量整形策略用来控制特定网络会话的带宽。和其它安全策略不同，

6、流量整形策略的侧重点不在于访问控制功能，而在于控制所描述的网络流量的发送或者接收的速率 。Digitalchina Unified Threat Management 系统会按照策略中所引用的“流量对象”控制流量的速率，以便更合理更有效的利用网络带宽资源。注意：流量整形策略对特定网络流量采取的动作默认为“permit”即允许。对于系统拒绝通过的流量，定义流量策略没有任何意义。8策略4流量整形策略：列 项说 明#流量整形策略的顺序编号，Digitalchina Unified Threat Management 系统从1开始为流量整形策略计数。源域连接发起方网络所在的安全域。一般情况下，是Dig

7、italchina Unified Threat Management 系统中的包含某个接口的安全域，而该接口应该连接会话发起方（客户机）所在的网络。目的域连接目标方网络所在的安全域。一般情况下，是Digitalchina Unified Threat Management 系统中的包含某个接口的安全域，而该接口应该连接会话目标方（服务器）所在的网络。源地址对象相关流量信息的源地址对象。源地址对象需要在地址对象中定义后才可以选择。“any”表示任何源地址目的地址对象相关流量信息的目的地址对象。目的地址对象需要在地址对象中定义后才可以选择。“any”表示任何目的地址。服务对象会话过程中的传输层协议信息。除了“预定义服务对象”外，用户需要自己定义的服务对象需要在服务对象中定义后才可以选择。“any”表示任何服务。流量对象网络会话流量的带宽的控制尺度。流量对象需要在流量对象中定义后才可以选择。删除删除当前选定的流量整形策略。新增添加一条新的流量整形策略。点击新增按钮，进入新增流量整形策略界面：七、共同思考为什么对于P2P的控制不可以通过访问控制进行？