售后培训---天融信入侵防御产品配置与维护(V5)---20121010
产品说明&技术白皮书-天融信入侵防御系统产品说明
天融信网络入侵防御TopIDP系列产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话:(86)10-82776666传真:(86)10-82776677服务热线:400-610-5119800-810-5119Http: //天融信网络入侵防御系统TopIDP系列产品说明1前言 (2)2网络入侵防御系概况 (2)2.1入侵防御系统与防火墙 (3)2.2入侵防御系统与IDS (3)3天融信网络入侵防御系统TOPIDP (3)3.1产品概述 (3)3.2T OP IDP体系架构 (4)3.3T OP IDP主要功能 (5)3.4天融信网络入侵防御系统T OP IDP特点 (6)3.4.1领先的多核SmartAMP并行处理架构 (6)3.4.2强大的攻击检测能力 (6)3.4.3精准的应用协议识别能力 (7)3.4.4实用的网络病毒检测功能 (8)3.4.5智能的上网行为监控和管理 (8)3.4.6立体的Web安全防护 (8)3.4.7先进的无线攻击防御能力 (9)3.4.8精确的QOS流量控制能力 (9)3.4.9灵活的自定义规则能力 (9)3.4.10丰富的网络部署方式 (9)3.4.11高可靠的业务保障能力 (10)3.4.12可视化的实时报表功能 (10)4天融信网络入侵防御系统TOPIDP部署方案 (11)4.1.1典型部署 (11)4.1.2内网部署 (12)4.1.3IDP.VS.IDS混合部署 (13)4.1.4WIPS旁路部署 (14)5结论 (15)1前言随着计算机网络与信息化技术的高速发展,越来越多的企业、政府构建了自己的互联网络信息化系统,互联网络已成为人们生活中必不可缺的工具,在网络带来高效和快捷的同时,网络安全形势也从早期的随意性攻击,逐步走向了以政治或经济利益为主的攻击;攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击;攻击的层面也从网络层,传输层转换到高级别的网络应用层面;而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上,其攻击行为有明显的政治或经济诉求目的,给政府、企业的网络信息业务系统安全造成极大隐患。
售后培训---天融信防火墙(代理商版)
TCP 层
TCP
开始攻击
TCP
开始攻击
TCP 层
IP 层
IP
TCP
1. 2. 3.
开始攻击
不检查IP、TCP报头 不建立连接状态表 网络层保护比较弱
IP
TCP
开始攻击
IP 层
只检查数据
网络接口层
ETH
IP
TCP
开始攻击
ETH
IP
TCP
开始攻击
网络接口层
IP
TCP
开始攻击
101001001001010010000011100111101111011
方便网络的扩展、节约
成本;
IPSec/SSL VPN 多合一网关
保证数据传输的机密性、 完整性以及抗抵懒性等; 根据不同的应用需求选
Internet
IPSec加密隧道 IPSec VPN网关 SSL用户
择不同的VPN接入;
满足及符合等级保护的
建设要求。
L2TP用户
办事处
防火墙系统功能介绍
开始攻击
网络接口层
IP
TCP
开始攻击
1. 2. 3. 4.
不检查数据区 建立连接状态表 前后报文相关 应用层控制很弱
101001001001010010000011100111101111011
001001001010010000011100111101111011
应用代理防火墙的工作原理
应用层 开始攻击 开始攻击 应用层
Hub or Switch
内部网
TSRP (TopSec Redundancy Protocol)
外网或者不信任域
发现出故障,立即接管对方其工作 Eth 0 Eth1 0# 防火墙根据设 置的权重进行 流量分担 Eth2 检测 对方Firewall的状态 Eth2 防火墙并行工作 心跳线 Eth 0 Eth1 1#
天融信配置手册
天融信配置手册This model paper was revised by the Standardization Office on December 10, 2020天融信配置手册1、设备用2个接口,ETH1接互联网、ETH2接内网交换机。
2、登录设备:设备出厂ETH0口默认地址为默认用户名:superman密码:talent在浏览器地址栏输入:回车登录设备点击是输入用户名:superman密码:talent点击登录3、配置接口IP:登录设备后选择网络管理---------接口---------物理接口点击ETH1的图标:在地址/掩码后输入各地互联网分配的公网地址,(各个地市不一样,请落实后填写)点击添加-----确定;分别按上面方式配置ETH2口(内网地址)4、添加默认路由:选择网络管理------路由-------静态路由,点击添加目的地址、目的掩码全是0.0.0.0;网关为互联网分配的公网地址,(各个地市不一样,请落实后填写),metric、接口不用填写,点击确定5、添加区域点击资源管理------区域点击添加名称可以随意定义,为了统一,我们定义为互联网_eth1;选择属性为eth1;然后点击按钮,点击确定,分别按上面设置内网区域(各地统一)6、开放远程管理服务:点击系统管理-----配置-----开放服务,然后点击添加服务名称选择WEBUI;控制区域选择互联网_eth1;控制地址选择any;点击确定按钮7、保存配置在页面的上方有保存配置按钮,请点击,在弹出的对话框中点击确定,保存配置。
(一定要保存配置,要不设备重起配置就丢失了)。
产品规格-天融信入侵防御系统
支持按连接数或流量进行的应用排名。
支持按IP地址进行的应用主机排名。
支持应用流量和连接数超出阀值报警显示。
无线攻击防御
扩展无线防御
支持扩展无线攻击防御
URL过滤
URL过滤规则库
大于600万条规则。
支持规则库手动、自动升级。
URL分类
分为天融信恶意网站过滤,违反国家法规与政策,潜在不安全的,浪费带宽,大众兴趣,文化、时评、聊天与论坛,行业分类,计算机技术相关等8个大类,下含80多个子类,超过380万个url地址。
支持模式匹配、协议分析、关联分析等多种检测方法。
支持应用优先和安全优先两种优先模式。
检测功能
支持基于源、目的、攻击检测规则、时间的入侵检测策略。
支持策略改变引擎自动重起。
支持自定义规则,可以根据用户需求自行设置攻击检测规则,能对其它有害攻击行为做检测和阻断。
支持丢弃报文、记录日志、禁止连接、TCP reset等多种响应动作。
支持流量协议比例(Tcp流量占总流量、Udp流量占总流量、其他流量占总流量)阀值,超出报警。
支持系统最大连接数阀值,超出报警。
接口流量口的报文字节大小分布饼图显示
支持指定物理接口的流量24小时、1周、1月趋势图显示
防火墙
访问控制
基于状态检测的动态包过滤。
基于源/目的IP地址、端口、协议、时间的访问控制。
木马类:具备丰富的木马特征库,能检测包括灰鸽子、冰河、NoSecure、Gh0st、灰熊猫、亚麻、上兴、红蜻蜓、蓝色火焰、广外女生等多种热点木马及其变种,以及识别多种网页挂马攻击。
拒绝服务类:能对当前主流的拒绝服务攻击进行检测和阻断,如:Land、Smurf、Winnuke、teardrop、targa3、UDP Flooding、SYN Flooding、Icmp Flooding等。
天融信防火墙培训文档
天融信防火墙培训文档一、 登录二、 登录后防火墙主界面:三、防火墙基本信息:四,实时监控:+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++说明: 实时监控的主要作用就是通过定义过滤条件来查看自己希望了解的主机或者网段对外的连接情况.++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++在这里可以设置希望查看的源的主机或者网段五,网络设置:六,工具:设置该区域的名该区域对应的接设置该区域的IP 地址和掩码++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++各项操作说明如下:选中下载的配置,点击导出+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++七.选项设置:在这里给防火墙取++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 相关参数说明:TCP建立连接超时,如果双方在建立连接的时间超过设置时限(如,用户访问某网站,发出请求后始终得不到回应),防火墙将自动切断该连接,TCP建立连接超时的最大值为86400。
1,TCP连接建立后通信超时,如果双方建立连接后通信时间超过设置时限(如,用户通过网络下载,速度非常慢),防火墙自动切断该连接,TCP连接建立后通信超时的最大值为86400。
2,TCP拆除连接的超时,如果双方在终止连接的时间超过设置时限(如,用户要断开与某网站的通信时,长时间无法断开),防火墙自动切断该连接,TCP拆除连接的超时的最大值为86400。
某入侵防御系统产品操作培训课件
2、检测策略组是否有效。详细日志:是在检测&阻断的响应方式中选择了如果想用电子邮件接收报警信息,就要在 ‘E-mail(E)’里输入电子邮件的地址按照类型阻断/检测个数设置防火墙WAN、LAN、DMZ口时需设置网口MAC地址,否则无法使用,MAC地址前6位为0,后6位自己定义TopIDP配置01 十一月 20225:38:23 下午17:38:2311月-22TopIDP的产品简介15、比不了得就不比,得不到的就不要。设置检测数据的源与目的网络,可以选择网络对象或网络组,无效的网络组无法应用3)inbound、outbound设置17、空山新雨后,天气晚来秋。TopIDP3000-3223USB口:USB key恢复口胜人者有力,自胜者强。
网络卫士入侵防御系统产品操作培训
产品管理部
TopIDP的产品简介 TopIDP的安装 TopIDP配置 TopIDP的常见问题(FAQ)
内容
TopIDP2000-22051U机型,配备硬件加速卡:标配5个10/100BASE-TX端口(4个作两路IDP转发,1个管理端口) 性能:200MbBypass、Inline切换开关:切换IDP转发端口Bypass、Inline状态USB口:USB key恢复口RST:重启设备
时间段报表分为以下几种:Top10攻击类型Top10受攻击主机Top10攻击者Top10病毒类型Top10接收病毒邮件地址Top10发送邮件病毒地址
时间段报表
查看综合报表
日报表分为以下几种:攻击事件/流量Top10攻击类型Top10受攻击主机Top10攻击者Top10病毒类型Top10接收病毒邮件地址Top10发送病毒邮件地址事件数量和上一天相比
路由设置
路由设置(仅适用于TopIDP2308)
天融信防火墙操作培训
NAT地址转换配置
NAT地址转换配置
其他配置案例实例:
1、流量控制策略配置 2、访问控制策略配置
3、阻断策略配置
4、配置维护管理
流量控制策略配置
Internet互联网
eth2 上载限制定义在外网接口 网关设备 eth1 下载限制定义在内网接口 交换机
内网终端电脑 10.80.64.33
要求:限制主机10.80.64.33下载带宽为50K,限制上传带宽为50K
将eth1接口定义为外网区域
定义区域对象
同样在“名称”中输入自定义名称“内网区域”,
接着在“选择属性”框中将eth2移到“被选属性”框 里,
将eth2接口定义为内网区域
NAT地址转换配置
展开右边“防火墙”菜单,选择“地址转换”,然后在右边的界面中点击“添加
NAT地址转换配置
NAT地址转换配置
点击浏览选择备份的配置文件 然后再点击替换
配置维护管理
点击修改页签
配置维护管理
防火墙网关维护注意事项:
一、防火墙网关系统使用时要注意防雷设施的预防工作,注意供电系统 电压的正常,设备加电前需要做好接地措施. 二、防火墙网关系统的配置由专人负责管理 三、防火墙网关系统的密码更改后一定要牢记,密码若是已经忘记, 设备只能返厂维护重做系统 四、防火墙网关系统不能随自进行升级, 版本是定制版本。 五、如果发现防火墙网关工作不正常时请与相关技术支持人员联系。
防火墙网关配置步骤
输入用户名:superman, 然后输入初始密码:talent
配置各个网口的IP地址
外接口IP地址配置 ( 可选择ETH1口做为外网端口使用 )
点击“网络管理”菜单,然后点击“接口”后在右边的界面中点击“设置”,在 “描述”选项中填入自定义的名称“外网”,最后填入IP地址与子网掩码后 再点击“添加”即可
产品说明-天融信WEB应用安全防护系统
天融信WEB应用安全防护系统TopWAF产品说明天融信TOPSEC®市海淀区上地东路1号华控大厦100085:+86传真:+87服务热线:+8610-400-610-5119+8610-800-810-5119http: //声明本手册的所有容,其属于天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。
本手册没有任何形式的担保、立场倾向或其他暗示。
若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,天融信及其员工恕不承担任何责任。
本手册所提到的产品规格及资讯仅供参考,有关容可能会随时更新,天融信恕不承担另行通知之义务。
所有不得翻印© 1995-2012天融信公司商标声明本手册中所谈及的产品名称仅做识别之用。
手册中涉及的其他公司的注册商标或是属各商标注册人所有,恕不逐一列明。
TOPSEC®天融信公司信息反馈目录1. 产品概述 (1)2. 产品主要特性 (1)2.1先进的设计理念 (2)2.1.1“三高”设计理念 (2)2.1.2“一站式”解决方案 (2)2.1.3 “无故障运行时间提升”的核心原则 (2)2.2独有的核心技术 (2)2.2.1稳定、高效、安全的系统核 (2)2.2.2领先的多维防护体系 (2)2.2.3“主动式”应用安全加固技术 (2)2.3丰富的数据展现 (3)2.3.1多角度的决策支撑数据 (3)2.3.2多角色视角的数据展示 (3)2.3.3清晰详尽的阶段性报表 (3)3. 产品功能 (3)3.1产品核心功能 (4)3.1.1 WEB应用威胁防御 (4)3.1.2网页防篡改 (5)3.1.3抗拒绝服务攻击 (5)3.1.4 WEB应用漏洞扫描 (6)3.1.5 WEB应用加速 (6)3.1.6 业务智能分析 (6)3.2产品功能列表 (8)4. 产品部署 (11)4.1透明串接部署 (11)4.2反向代理部署 (12)4.3单臂部署 (13)5. 产品规格 (14)6. 产品资质 (15)7. 特别声明 (15)1. 产品概述天融信WEB 应用安全防护系统(以下简称TopWAF )是天融信公司根据当前的互联网安全形势,并经过多年的技术积累,研制出品的专业级WEB 威胁防护类网络安全产品。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基本信息
基本信息
注意事项: • 由于刷新频率不同步会出现同一参数在不 同页面数据不一致的情况,系统资源和检 测统计数据差距不大,网络接口瞬时速率 会出现差别比较大的情况。
版本信息
攻击统计
点击主机IP可 单击事件 以查看该主机 号能够查 所受攻击的详 看规则的 细信息。 详细信息
攻击统计
注意事项: • 将内网监控的监控级别设置为详细,才能 显示主机排名。另外,如果主机监控数达 到最大值后,则不会显示主机排名。 • 因为受攻击主机排名列表中的数据取自实 时内存,详细信息的统计信息取自日志, 所以会出现两者数据不一致的情况。
双机热备---基本设置
双机热备---基本设置
进入系统管理—>双机热备,进入双机热备的设置页面 身份:选择主机时,默认的优先级为254,;选择从属机时, 默认的优先级为100,当然优先级可以手动更改 地址:分为本地与对端,需要注意的是,这两个地址必须 在同一个网段 心跳间隔:两台网络卫士设备互发通信报文的时间间隔。 抢占:是指主网关宕机后,重新恢复正常工作时,是否重 新夺回主网关的地位。优先级相同的两设备中不存在抢占, 并且只有优先级高设备抢占优先级低的设备的主身份 对端同步:从对端机同步配置到本机上 本地同步:从本地机同步配置到对端上
链路聚合
注:建立起来一个聚合链路,那么这个聚合链路就当作一个逻辑接口来看待, 加入聚合链路的物理口,其本身的属性都不生效了。目前聚合链路只支持 交换和路由两种模式,不支持直连,不能强制设定其双工和速率,不能对 其接口设定区域进行访问控制
带宽控制
流量管理分为两个部分: 带宽控制 流量异常分布
Console登录
ID:superman PWD:talent
Console端操作
虽然Console端可以对设备进行完整配置,但是我们建议操作在WebUI下完成。 在设备上线前,对设备管理配置可在console端完成: •管理接口配置 命令行语法如下: network interface <string> ip add <ipaddress> mask <netmask> 参数说明: string:网络卫士入侵防御系统物理接口名称,字符串,例如eth0。 •管理范围配置 命令行语法如下: 定义IP:define host add name <string> ipaddr <ipaddress> 定义子网:define subnet add name <string> ipaddr <ipaddress> mask <netmask> 定义地址范围:define range add name <string> ip1 <ipaddress> ip2 <ipaddress> 参数说明: string:资源名称,字符串。
入侵防御策略配置
在规则集引用部分,和v3保持一致,依然采用单 选的方式,而动作的执行在规则集里进行单独配 置。
入侵防御策略配置--检测引擎参数设置
入侵防御策略里引擎动作包括防火墙联动、阻断时禁止连接、阻断时 加入黑名单、输出应用识别所有日志、输出url所有日志。 防火墙联动功能:仅在ids监听模式下有效,当配置好防火墙联动的配 置以后,需要在引擎里打开这个开关后才能正常向防火墙下发策略 阻断时禁止连接:当判断出连接上存在攻击时向客户端/服务器双方 向发rst来关闭连接,不勾选时仅为丢包 阻断时加入黑名单:勾选时会将识别为攻击特征的连接其中的源地址 自动添加到黑名单,并启用一个定时器,在这个定时器时间范围内此 源地址无法穿过idp建立任何连接 注:黑名单也可以手动设置,入侵防御策略后新加的选项就是添加黑 名单,这种方式添加的黑名单是永久生效的,除非手动删除 输出应用识别和url日志:默认是只在判断为阻断的情况下进行记录, 如果勾选则只要匹配规则的都会进行记录,因为记录大量的日志会消 耗大量的系统资源。
天融信IPS产品 配置与维护
May 22, 2014
中国信息安全领导企业
北京天融信科技有限公司
目录
IPS系统安装配置 TP系统安装配置 典型实验案例
产品介绍
网络卫士入侵防御系统是集访问控制、应用识别、漏洞攻击防 御、蠕虫检测、报文完整性分析为一体的网络安全设备,为用户提 供整体的立体式网络安全防护。与现在市场上的入侵防御系统相比, TopIDP系列入侵防御系统具有更高的性能、更细的安全控制粒度、更 深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支 持,代表了最新的网络安全设备和解决方案发展方向。
QOS策略属性
注意: 1.当配置的QOS策略中有保证带宽时,默认的优先级为中,可以手动选择特权或 高;当只有限制带宽时,优先级只能为低,不可更改。同时受控类型的策略的 优先级也只能时低。 2.只要上、下行中选的不是共享策略,那么其他三种策略可以互相搭配
QOS策略创建好之后,必须在ACL中引用才能起作用 如果ACL引用的策略带有保证带宽,那么我们必须要选择区域,并且区域只 包含一个接口,同时这个接口设置了有效带宽 同一QOS策略被不同ACL引用时,保证带宽之和不能超过接口的有效带宽 其他的选项同ACL,这里不详细详述
扩展模块插槽 参考《TOPSEC扩展模块安装手册》
设备安装
上线流程
安装环境
• 部署位置 – 依据设备的使用目的选择相应的安装位置 – 根据安装位置环境对设备进行软硬件配置 • 接口类型 – 根据网络设备部署位置配置不同的接口模块
准备工具
• PC一台 – 拥有COM连接口 – 具有超级终端等远程操作程序 • Console线缆 – 随机附赠 • 相应的网络线缆/接口卡/模块 • 系统升级补丁 • 升级签名库
入侵防御策略配置--优先模式
优先模式分为应用优先和安全优先: 应用优先:启动软件bypass功能,如果流量增大 到检测引擎无法处理的情况,则软件bypass功能 发挥作用,超出的流量不再上送引擎处理,直接 转发,当引擎能够处理后,流量又上送引擎检测。 在性能优化方面起到作用。保证了客户的正常应 用,避免因处理能力导致的断网。 安全优先:不启动软件bypass功能,如果流量超 过检测引擎处理能力,那么会出现丢包现象。
URL统计
点击URL名称可以查 看哪些主机访问了 该类网站以及具体 点击主机 IP可以 的访问次数 。 查看该主机访问 了哪类网站以及 具体的访问次数
当前连接
接口流量统计
点击具体接口,显示该接口 的详细流量信息。
自定义统计
对设备接口流量状况、安全区域内的受攻击状况、病毒感染状况、 对应用流量的使用状况及内主机访问URL的状况进行自定义查询。
打开ACL的“选项”,点击“高级”就可以看到创建的QOS策略。我们可 以看到上面还有一个QOS选项,其实他和受控差不多,只不过他只能控制 下载的速率,而不能控制上传的速率
流量异常检测
对接口或协议相关的指标设制相应的阀值并制定相应的报警机制, 档统计值大于定值时报警
入侵防御策略配置
在入侵防御策略的配置方面,策略的源和目的的 配置与以前的v1版本相同,可以配置地址对象和 区域对象。
配置物理接口 注意: 目前我们的设备只支持AS模式。 创建VRID组后,我们可以将接口加入到该组,如 果加入到该组的某个接口down后,该组的优先级 就会变为0 最好用设备上专用的HA口做双机热备 设备处于standy时,接口不回复、转发报文,所 以不能用WEBUI登录 设备只有在配置正确完成后才能上架,不然在直 连、交换模式下容易造成环路
指示灯名称 工作灯(Run) 主从灯(M/S) 管理灯(MGMT) 日志灯(Log) 指示灯状态描述 当入侵防御系统进入工作状态时,工作灯闪烁。 主从灯亮的时候,代表这台设备是工作设备;反之,如果主从灯处于熄灭状态,则该入侵防御系统 工作在备份模式。 当网络管理员,如安全审计管理员,登录入侵防御系统时,管理灯点亮。 当有日志记录动作发生时,且前后两次日志记录发生的时间间隔超过1秒钟时,日志灯会点亮。
WebUI管理
默认管理:https://192.168.1.254
ID:superman PWD:talent
配置培训
系统监视 系统管理 网络管理 流量管理 资源管理 入侵防御 网站防护 日志与报表
系统监视
系统监视模块对整个系统的基本状态进行实时监控,支持对系统总体及
配置物理接口
配置HA接口时,一定要将“ha-static”勾选,不然配置同步时会将该接口的信 息覆盖
配置物理接口
其实VRID组就是用来选主备的,默认的情况下,所有的接口都是属于VRID 0 的,我们可以创建一个VRID组(组号在1 到 255 之间),组优先级高的会优 先成为主,同时设备上也只能创建一个VRID组,后创建的VRID组会将前面创 建的覆盖掉 fw36# ha as-vrid 1,在设备上创建vrid 1,然后将通信接口加入到该组
病毒统计
病毒统计页面
点击病毒名称查 点击受病毒攻击主机地 看病毒攻击源 址能够查看到攻击的病 毒名称
应用统计
点击某应用可以 查看是哪些主机 占用了该应用协 点击主机IP可以 议的上下行流量。 查看该主机所占 用应用协议流量 的详细信息
应用统计
注意事项 若监控范围设为any时,IP记录了客户端和服务 器两个IP,每个IP记录了上下行流量,这样记录 了两次,而应用协议只记录了一次上下行流量, 因此所有IP上下行流量总和约为应用协议上下行 流量总和的2倍。当内网监控指定IP时,应用排名 中流量统计与详细信息中主机流量基本相符。
QOS策略属性
QOS策略属性
出厂时,是没有任何QOS策略的,单击添加,出现如上的页面 添加策略的名称 QOS策略可以同时控制上、下行带宽,根据需要填写 在上、下行中可以选择QOS的类型: 1.策略独享:当多条ACL引用同一策略独享策略时,不同ACL之间的连接独享限制带宽 与保证带宽,同一ACL中的不同连接限制共享限制带宽与保证带宽 2.独享:当多条ACL引用同一独享策略时,不同ACL之间的连接独享限制带宽与保证带 宽,同一ACL中的不同连接独享限制带宽与保证带宽 3.共享:匹配ACL的所有连接共享限制带宽与保证带宽 4.受控:每个连接的带宽不超过每主机限制带宽,所有连接的带宽之和不超过总限制 带宽 优先级:优先级只在同种策略中才起效,接口的剩余带宽优先分配给优先级高的链 接。但前提是不高于限制带宽 优先级有四个等级:特权、高、中、低