飞塔防火墙OS4.0：独立shaper与流量控制详解

本文档主要介绍了飞塔防火墙在OS4.0版本中的配置和功能，特别是关于独立的traffic shaper、"Any"接口的使用、基于用户认证的子策略、基于接口的DoS策略以及虚拟IP的ARP广播等相关设置。 在飞塔防火墙中，traffic shaper可以独立于策略进行配置。例如，在DUT_Beta4_0设备上，策略1设置了从"port5"到"port6"的数据流，并应用了名为"limit_GB_25_MB_50_LQ"的traffic shaper。这个shaper设定了25%的保证带宽和50%的最大带宽，优先级为低，并且启用了per-policy模式。这意味着默认情况下，这个shaper会应用于所有引用它的策略。 "Any"接口是一个特殊接口，它代表所有接口的集合。使用"Any"作为源或目标接口的防火墙策略只能在全局视图下查看和管理。然而，需要注意的是，"Any"接口不适用于VIP（虚拟IP）或IP-pool。基于用户认证的子策略允许根据不同的用户组设置不同的时间表、服务、保护内容表、流量控制和流量日志，以实现精细化管理。 基于接口的DoS（拒绝服务）策略提供了一种按接口部署防御的方法，可指定特定服务并实施流量控制。流量控制可以通过TrafficShaper实现，可以设置正向和反向方向的流量限制。如果没有配置ReverseDirectionTrafficShapping，那么流量控制将同时作用于上行和下行。反之，如果配置了，上行速度由流量控制管理，下行速度由ReverseDirectionTrafficShapping控制。 在虚拟IP方面，通过发送ARP广播，路由器可以自动更新ARP表。可以通过配置命令行设置ARP广播的间隔时间，将其设为0则关闭ARP广播。此外，虚拟IP服务器负载均衡支持多种分配方式，如静态分配，可以根据源IP请求动态分配服务。 飞塔防火墙提供了灵活的策略设定和流量管理选项，以适应不同场景下的网络安全需求。通过独立的traffic shaper、"Any"接口、用户认证子策略和DoS防护，以及虚拟IP的ARP广播管理，用户可以有效地控制网络流量并增强安全性。