管制条例的参数包含有来源网络地址、目的网络地址、服务名称、管制动作,外部网络端口、流量监控、流量统计、内容管制、自动排程、最高流量警示值、频宽管理及最多联机数等。系统管理员可以由这些参数,管理、设定不同出入端口间的资料传送以及服务项目,哪些网络对象、网络服务或应用程序的封包该予以拦截或放行。
如何运用管制条例
本负载平衡器依据不同来源地址的资料封包,将管制条例设定功能区分为下列六项,以便利系统主管理员,针对不同资料封包的来源ip、来源埠、目的ip、目的端口制订管制规则。
(一)【内部至外部】:来源网络地址是在内部网络区,目的网络地址是在外部网络区。系统管理员在此功能中,订定内部网络至外部网络间所有封包的管制、服务项目的管制规则。
(二)【外部至内部】:来源网络地址是在外部网络区,目的网络地址是在内部网络区(如ip 对映、虚拟服务器)。系统管理员在此功能中,订定外部网络至内部网络间所有封包的管制、服务项目的管制规则。
(三)【外部至非军事区】:来源网络区是外部网络区,目的网络区是在非军事区区(如ip 对映、虚拟服务器)。系统管理员在此功能中,订定外部网络至非军事区间所有封包的管制、服务项目的管制规则。
(四)【内部至非军事区】:来源网络区是内部网络区,目的网络区是在非军事区区。系统管理员在此功能中,订定内部网络至非军事区间所有封包的管制、服务项目的管制规则。
(五)【非军事区至内部】:来源网络区是非军事区区,目的网络区是在内部网络区。系统管理员在此功能中,订定非军事区至内部网络间所有封包的管制、服务项目的管制规则。
(六)【非军事区至外部】:来源网络区是非军事区区,目的网络区是在外部网络区。系统管理员在此功能中,订定非军事区至外部网络间所有封包的管制、服务项目的管制规则。
所有经过负载平衡器处理的封包,必须要有管制条例许可才能通过(vpn 除外)。因此,负载平衡器的内部网络、外部网络与非军事区网络如要联机,则必须设定相符之管制条例。
【管制条例】名词解释:
来源网络地址(来源网络)& 目的网络地址(目的网络) 说明如下:
来源网络地址(来源网络)与目的网络地址(目的网络)的是以负载平衡器为观察点。主动联机的一端为来源网络地址,被联机的一端为目的网络地址。
服务名称说明如下:
为该管制条例所管制的服务项目。可以选用系统预设,或是选用系统管理员在【服务表】中所自订的服务项目。
管制动作,外部网络端口说明如下:
指定资料封包在进出负载平衡器时,所经由的路径(wan1、wan2、wan3或wan4)或拒绝动作。(图标说明如下方表格。)
监控功能说明如下:
显示该管制条例之各项监控功能是否已激活。若该项功能已激活则会出现该功能的代表图标。(图标说明如下方表格。)
流量监控说明如下:
流量统计说明如下:
将通过该条管制条例的流量,绘制成图表。
内容管制说明如下:
管制通过该条管制条例的封包内容。
自动排程说明如下:
设定该条管制条例的运作时间。
最高流量警示值说明如下:
通过该管制条例的流量,若超过所设定的警示值时,负载平衡器会显示出警告讯息给系统管理员。
频宽管理说明如下:
设定该条管制条例的最大频宽与保证频宽(频宽由符合该管制条例之使用者共享)。
最多联机数说明如下:
指定管制条例允许的同时联机数。如联机数超过设定值,则超过的联机无法建立成功。
nat 说明如下:
当封包由外部网络进入内部网络(非军事区)时,封包的来源地址更改为负载平衡器的内部网络(非军事区)地址。
暂停说明如下:
移动说明如下:
由于每一个封包在通过频宽管器时,是由前至后逐条检查是否符合管制条例。所以经由点选下拉式选单来更动管制条例之排序可以更动该管制条例的优先级。
我们在此范例设定中,总共架设了6 种管制条例应用环境。
