再谈防火墙的流量控制

本文档的Copyleft归yfydz所有，使用GPL发布，可以自由拷贝，转载，转载时请保持文档的完整性，严禁用于任何商业用途。
msn: yfydz_no1@hotmail.com
来源：http://yfydz.cublog.cn

1. 前言

流量控制是几乎任何防火墙都具备的功能，但各种防火墙的流量控制的实现各种各样，能实现的控制能力也各有千秋，本文介绍如何分辨各种功能的好坏。

2. 流量限制

流量控制中最基本的是流量限制，分辨其功能时可考虑以下问题？

1) 限制是按包数还是按字节数进行限制？
两者没有本质区别，但对普通流量数据的限制应该按字节限制为好，而对于攻击类型的数据，如对syn flood, ping flood等的限制，以按包进行限制为好。

2) 是否支持粗策略中的单IP流量限制？
在我另一篇文章中有详细说明了。

3) 是否能按协议支持对子连接的限制? 如能否分别限制FTP和H.323的流量?
对子连接的限制是比较重要的，一般子连接才是真正数据的通道，主连接只是交换控制信息，和子连接数据相比基本可以忽略，因此能识别数据是属于那个子连接并区别限制是体现防火墙流量限制功能的重要标尺之一。

3. 流量保障

流量保障则是流量限制的反面，是要求数据始终有最起码的带宽保障数据的传输不被其他数据抢占，防火墙必须具备该能力，除了对IP地址进行保障，还要对应用协议进行保障，包括协议子连接的保障。

4. QoS

QoS要求设备能对不同优先级的数据进行分别处理，RFC2474中定义了IP的QoS处理方法，可以检查防火墙是否完全支持RFC2474。这种情况处理的数据是在进入防火墙前已经设置好了相应的TOS，防火墙能根据数据的TOS对其进行不同的优先发送。

另外一方面是防火墙能否有调整通过防火墙的数据的TOS值的能力，以便防火墙下级网络设备进行QoS处理，而且这种调整不仅仅局限于主连接，还要能对子连接的TOS具备调整的能力。这种情况处理的数据是在进入防火墙前TOS并没有被设置或被忽略，由防火墙重新设置TOS后发送出去。

5. 结论

流量控制功能虽然是常见功能，但用户可按以上标准来分辨功能实现的好坏强弱。