Lorsque nous avons plusieurs FAI, nous pouvons souhaiter envoyer une partie spécifique du trafic via un FAI spécifique. Un exemple classique est un FAI rapide et coûteux + un FAI lent et bon marché. Laissez les utilisateurs privilégiés passer par le rapide et le lent - tout le reste. Jetez un œil à la capture d'écran du nombre d'options différentes dont nous disposons pour filtrer le trafic. Le trafic qui relève de nos conditions sera traité par cette politique. Nous pouvons définir plusieurs politiques à appliquer de haut en bas. Une fois que le trafic relève d'une politique, les autres politiques ne lui seront plus appliquées.
Que pouvons-nous utiliser pour déterminer le trafic approprié: zone source ou interface source du trafic, adresse source, adresse de destination (nous pouvons définir des adresses avec des masques de bits, définir des sous-réseaux), utilisateur (le pare-feu peut authentifier les utilisateurs et savoir qui envoie le trafic et le reçoit, les utilisateurs peuvent également provenir du domaine Active Directory / LDAP), du service (filtrage simple par protocole et numéro de port, par exemple, HTTP - TCP + port 80, DNS - UDP et TCP + port 53, etc. ) et l'application. Parlons des applications plus en détail.
Du point de vue du pare-feu Huawei, une application est un type de trafic spécifique, par exemple Youtube, Facebook ou torrents. Ils peuvent être déterminés non seulement par les adresses des sites, les protocoles et les ports avec lesquels les informations sont échangées, mais également par leur contenu. Ces mêmes listes d'applications sont utilisées pour les politiques de sécurité pour autoriser ou refuser le trafic.
Vous pouvez également filtrer par la valeur du champ DSCP, si quelque chose l'attribue dans votre réseau, et sélectionner une planification lorsque cette stratégie fonctionnera, par exemple, uniquement pendant les heures de bureau. Une fois tous les filtres configurés, nous pouvons définir des paramètres de routage personnels pour ce type de trafic - soit toujours à un FAI, soit avec nos propres paramètres d'équilibrage, ou ne pas appliquer de paramètres spéciaux pour ce trafic, mais le traiter comme régulier, ou l'envoyer à un système virtuel spécifique (pare-feu virtuel à l'intérieur d'un pare-feu matériel).
Faites attention à une chose telle que la surveillance de la disponibilité d'une connexion. Après tout, vous acheminez une partie du trafic vers le lien spécifique. Si ce lien échoue, le trafic ira «dans le vide». Ce n'est pas correct. Par conséquent, nous pouvons ajouter une condition supplémentaire pour la disponibilité du lien. En cas d'échec, la stratégie ne sera pas appliquée.