防火墙流量管理

防火墙带宽管理

带宽管理简介

防火墙作为大中型企业的出口网关，部署在网络边界处，对于出入的流量起到限制的作用。如果不合理的流量占用了大量的带宽，会给企业带来一系列问题。比如：无法访问服务器、工作效率低和导致服务器性能降低等情况
针对企业用户流量，防火墙提供了带宽管理功能，基于出/入接口、源/目的安全区域、源/目的地址、时间段和报文DSCP优先级等信息，对通过自身的流量进行管理和控制。
带宽管理提供带宽限制、带宽保证和连接数限制功能，可以提高带宽利用率，避免带宽耗尽

带宽管理处理流程

防火墙通过带宽策略、带宽通道和接口带宽来实现带宽管理功能
- 带宽策略：带宽策略定义了被管理的对象和动作，并引用带宽通道。
- 带宽通道：带宽通道定义了被管理的对象所能够使用的带宽资源。
- 接口带宽：接口带宽定义了接口入方向和出方向的实际带宽，出方向上的流量发生拥塞时，启用队列调度机制。

带宽策略规则

带宽策略决定了对网络中的哪些流量进行带宽管理，以及如何进行带宽管理。
带宽策略是多个带宽策略规则的集合，带宽策略规则由条件和动作组成：
- 条件：防火墙匹配报文的依据。
- 动作：防火墙对报文采取的处理方式，主要包括：
  - 限流：对符合条件的流量进行管理。当动作为限流时，需在带宽策略中引用带宽通道，对流量的具体管措施由该带宽通道决定。
  - 不限流：对符合条件的流量不进行管理

带宽策略类型

防火墙可配置多条带宽策略，主要分为同级策略和多级策略两种类型。
- 同级策略：多条带宽策略之间相互独立。流量匹配多条同级策略是按照从上往下的顺序依次匹配，一旦匹配上一条策略的所有条件，会立即执行带宽通道的动作，不在继续匹配剩下的规则。
- 多级策略：又称为父子策略，即一条带宽策略下可以配置多条带宽子策略。流量匹配多级策略时，先匹配父策略，再匹配子策略，直到匹配到最后一级可以匹配到的子策略为止。华为防火墙最多支持四级父子策略

带宽通道

流量匹配带宽策略后进入带宽通道，带宽通道定义了具体的带宽资源，是进行带宽管理的基础。
通过带宽通道，可以将物理的带宽资源从逻辑上划分为多个虚拟的带宽资源。带宽通道通过以下方面来对带宽资源进行限制，包括整体的保证带宽和最大带宽、每IP/每用户的最大带宽、连接数限制和DSCP优先级重标记等。此外，带宽通道还可以实现带宽资源的闲时复用。
带宽设置可以包含以下重要参数：
- 整体的保证带宽和最大带宽；
- 连每IP/每用户的保证带宽和最大带宽；
- 上下行带宽独立控制和整体控制；
- 连接数限制（并发连接总数限制和新建连接速率限制）

bash

traffic-policy   
 profile profile_websvr                               #创建带宽通道
 bandwidth maximum-bandwidth whole downstream 40000   #下行带宽
 bandwidth maximum-bandwidth per-ip downstream 10000  #每ip下行宽带
rule name policy websvr
 source-zone untrust
 destination-zone dmz
 destination-address range 10.2.0.2 10.2.0.5
 action qos profile profile_websvr