交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、全局配置
1.全局配置作用
ACE在全局默认有一条源地址为any 动作为trusted 的策略,也只是动作trusted策略的IP,ACE才会去分析做流控.
如果配置block表示不让匹配的源IP上网,也不会记录IP数和产生产品IP报表文件.
2.全局优化配置原理
一般在实施过程中,要求用户内网需要使用的网络段越准确越好.
当确定了内网用户网段后,在IP对象处定义这些对象,再在全局让这些合法的源IP匹配trusted动作,再做一条any的block动放在下面.
由于策略是从上向下匹配的,这样做的好处是:
1)内网的伪源IP攻击不会到达出口路由器;
2)伪源IP攻击的情况下,也不会影响ACE对IP数,会话数的统计;
3)可以防止有源IP攻击时,生成的ipsummary文件占满硬盘;
注意:只要是配置了trusted动作用源IP,不管外网有没有回应,都会产品ip-summary文件,就算主动外网进来的,目标IP是属于trusted动作的,就算是内网没有回应也会记录.如:-[ipsummary] 以每个24位的网段会成一个报表文件.如192.168.33.rrd是为192.168.33.0/24网段生的.
二、配置举例
1.定义内网对象
2.内网合法用户定义到一个组
3.配置全局策略
先做一条允许源地址为内网合法用户, 动作为trusted 的策略
再做一条源地址为any的,动作为block的策略
亦即先做充许的,再做一条任意到任意拒绝的。