深信服AF学习笔记.doc

第第 1 1 章章设备管理设备管理1.1.管理管理1、NGAF 设备通过 MANAGE 口登录进行管理，MANAGE 口IP：10.251.251.251MANAGE 口 IP 地址 10.251.251.251 不可修改(可以在 MANAGE 口添加多个 IP 地址)所以即使忘记了其他接口的 IP，仍然可以通过 MANAGE 口出厂 IP 登录 NGAF 设备2、升级包回复密码，U 盘恢复（只恢复密码，不会恢复网络配置）U 盘格式必须为 FAT323、开启直通之后，认证系统、防火墙、内、容安全、服务器保护、流量管理等主要功能模块(DOS/DDOS 防护中的基于数据包攻击和异常数据报文检测、NAT、流量审计、连接数控制除外) 均失效4、物理接口三种类型：路由接口、透明接口和虚拟网线接口三种类型第第 2 2 章章基本网络配置基本网络配置2.1.路由接口路由接口5、接口 WAN 属性：部分功能要求出接口是 WAN 属性，比如流控、策略路由、VPN 外网接口等6、添加下一跳网关并不会产生 0.0.0.0 默认路由，需要手动添加路由7、接口带宽设置于流控无关，主要用于策略路由根据带宽占用比例选路，流控的需要重新设定。

8、实时检测接口的链路状态功能，以及多条外网线路情况下，某条线路故障，流量自动切换到其它线路功能，均需开启链路故障检测9、WAN 属性的接口必须开启链路故障检测功能，非 WAN 属性无需开启10、路由接口是 ADSL 拨号方式，需要勾选“添加默认路由”选项11、Eth0 为固定的管理口，接口类型为路由口，且无法修改Eth0 可增加管理IP 地址，默认的管理 IP 10.251.251.251/24 无法删除2.2.透明接口透明接口12、透明接口相当于普通的交换网口，不需要配置 IP 地址，不支持路由转发，根据 MAC 地址表转发数据部分功能要求接口是 WAN 属性，当接口设置成透明 WAN 口时，注意设备上架时接线方向，内外网口接反会导致部分功能失效2.3.虚拟网线接口虚拟网线接口13、虚拟网线接口也是普通的交换接口，不需要配置 IP 地址，不支持路由转发，转发数据时，无需检查 MAC 表，直接从虚拟网线配对的接口转发14、虚拟网线接口的转发性能高于透明接口，单进单出网桥单进单出网桥的环境下，推荐使用虚拟网线接口部署2.4.聚合口聚合口15、聚合口：将多个以太网接口捆绑在一起所形成的逻辑接口，创建的聚合接口成为一个逻辑接口，而不是底层的物理接口。

AF 最多绑定 4 个口聚合，聚合口不支持镜像旁路2.5.子接口子接口16、子接口：子接口应用于路由接口需要启用 VLAN TRUNK 的场景17、子接口是逻辑接口，只能在路由口下添加子接口18、设备支持配置多个 WAN 属性的路由接口连接多条外网线路，但是需要开通多条线路的授权19、管理口不支持设置成透明接口或虚拟网线接口，如果要设置 2 对或 2 对以上的虚拟网线接口，则必须要求设备不少于 5 个物理接口，预留一个专门的管理口 Eth020、一个路由接口下可添加多个子接口，路由接口的 IP 地址不能与子接口的 IP地址在同网段2.6.区域区域21、一个接口只能属于一个区域二层区域只能选择透明接口，虚拟网线区域只能选择虚拟网线接口2.7.策略路由策略路由22、AF 策略路由分源地址策略路由和多线路负载路由，源地址策略路由源地址策略路由：根据源 IP 地址和协议选择接口或下一跳，实现用户访问数据的分流可实现不同网段的内网用户，分别通过不同的线路接口访问公网多线路负载路由多线路负载路由：设备上有多条外网线路，通过策略路由的轮询，带宽比例，加权最小流量，优先使用前面的线路的接口策略，动态的选择线路，实现线路带宽的有效利用、备份和负载均衡。

23、 策略路由配置完毕最后一步添加静态路由是为了防止策略路由失效的情况下，内网用户还可以通过静态路由访问公网24、路由优先级：静态路由优先于策略路由，策略路由优先于默认路由（0.0.0.0） 25、源地址策略路由选择接口时，只能选择 WAN 属性的路由接口通过直接填写路由的下一跳，可以实现从设备非 WAN 属性的接口转发数据26、多条策略路由，按照从上往下的顺序匹配，一旦匹配到某条策略路由后，不再往下匹配第第 3 3 章章常见的网络环境部署常见的网络环境部署3.1.接口接口根据网口属性分为：物理接口、子接口、vlan 接口；根据网口工作区域划分为：2 层区域口、3 层区域口；其中物理口可选择为：路由口、透明口、虚拟网线口、镜像口；3.2.旁路模式旁路模式2、旁路模式部署 AF，AF 仅仅支持的功能有 WAF（web 应用防护） ，IPS（入侵防护系统） ，和 DLP（数据库泄密防护，属于 WAF 内，其余功能均不能实现，例如 Vpn 功能，网关(smtp/pop3/http)杀毒，DOS 防御，网站防篡改，Web 过滤等都不能实现部署思路：1、连接旁路口 eth3 到邻接核心交换机设备2、连接管理口并配置管理 ip3、启用管理口 reset 功能1、当源区域配置为旁路镜像区域时，目的区域自动填写为所有区域2、目的 IP 组不能填写所有3、旁路部署支持阻断，通过查找系统路由选择接口发送 tcp reset 包混合模式3.3.混合模式混合模式第第 4 4 章章防火墙功能防火墙功能4.1.源地址转换源地址转换(SNAT) ：：源地址转换即内网地址访问外网时，将发起访问的内网 IP 地址转换为指定的 IP 地址，内网的多台主机可以通过同一个有效的公网 IP 地址访问外网。

典型应用场景：设备路由部署在公网出口代理内网用户上网4.2.目的地址转换目的地址转换(DNAT) ：：目的地址转换也称为反向地址转换或地址映射目的地址转换是一种单向的针对目标地址的地址转换，主要用于内部服务器以公网地址向外网用户提供服务的情况典型应用场景：外网用户访问服务器所在网络出口线路的公网地址时，直接访问到内部服务器如 WAN->LAN 端口映射）4.3.源地址转换源地址转换4.4.目的地址转换目的地址转换 DNAT4.5.双向地址转换双向地址转换4.6.DDOS 功能功能1、外网防护：主要对目标地址做重点防御，一般用于保护内部服务器不受外网的 DOS 攻击 （该外网为用户自己定义的攻击源区域，不一定非指 Internet)2、内网防护：主要用来防止设备自身被 DOS 攻击配置外网防护时，除内容里特别注明不能勾选的项外，其它均可以勾选，勾选后，请注意设置好阈值，建议使用默认的阈值3、对于“基于数据包的检测” 、 “基于报文的检测”的规则，在开启直通的情况下仍然检测并丢包4、部署环境选择，如果是二层必须选二层环境，三层选三层环境，切记4.7.连接数控制连接数控制1、连接数控制只匹配源区域4.8.DNS mapping1.设置 DNS Mapping 后，内网访问服务器的数据将不会经过防火墙设备，而是直接访问的服务器内网 IP。

双向地址转换则是所有数据都会经过防火墙去访问所以通过 DNS Mapping 可以减轻防火墙压力2.DNS Mapping 的设置方法比双向转换规则简单不涉及区域、IP 组、端口等设置，但要求客户端访问时必须使用域名去解析3.DNS Mapping 不支持一个公网 IP 映射到多台内网服务器的情况而双向地址转换功能没有此限制4、当同时做了 DNS mapping 和双向地址转换时，若用户端以域名访问服务器，则 DNS mapping 生效；若用户端以 IP 访问服务器，则双向地址转换生效 （同时有 DNSmapping 和双向地址转换，用域名=DNSmapping，用 IP=双向地址转换）4.9.ARP 欺骗欺骗“网关 MAC 广播”只会广播设备非 WAN 属性接口的 MAC，如果需要定期广播 WAN 接口的 MAC 地址，则需开启“免费 ARP”功能在【系统】-【系统配置】 -【网络参数】中，勾选“免费 ARP“第第 5 5 章章 VPN 互联配置互联配置5.1.SANGFOR DLAN 互联的基本条件：互联的基本条件：1)至少有一端作为总部，且有足够的授权（硬件与硬件之间互连不需要授权） 。

2)建立 DLAN 互联的两个设备路由可达，且至少有一个设备的 VPN 监听端口能被对端设备访问到3)建立 DLAN 互联两端的内网地址不能冲突4)建立 DLAN 互联两端的版本需匹配2、NGAF 仅支持作为网关（路由）模式或者单臂模式的 SANGFOR VPN 对接标准的第三方 IPSEC 互联，仅在网关模式部署下支持3、网桥透明模式，虚拟线路模式，旁路模式都不支持 VPN 功能；4、必须有一个物理接口为路由口，才支持建立 DLAN 连接5.2.NGAF 设备设备 VPN 模块下的模块下的【【内网接口设置内网接口设置】】有何作用？有何作用？答：【内网接口设置】中只能添加非 WAN 属性的路由口，用于将这个接口上主 IP（第一个 IP）的网段通告对端的 SANGFOR 设备，对端访问这个网段的数据就能被加密封装，通过 VPN 传输内网接口设置】的作用与本地子网相同，但是， 【内网接口设置】中添加接口只通告设备直连网段；通过本地子网，可以通告本端所有的内网网段5.3.NGAF 设备设备 VPN 模块下的模块下的【【外网接口设置外网接口设置】】有何作用？有何作用？答：如果需要开启 VPN 多线路功能多线路功能和标准标准 IPSEC 对接的情况下对接的情况下，则必须设置【外网接口设置】 。

通过【外网接口设置】添加外网接口，可探测外网接口的线路状态5.4.NGAF 标准标准 IPSEC VPN 互联条件互联条件1. NGAF 设备必须具有分支机构的授权2. NGAF 设备必须至少具有一个 WAN 属性的路由接口（非管理口 Eth0） ，和一个非 WAN 属性的路由口（非管理口 Eth0） ，用于建立标准 IPSEC 连接3. NGAF 标准 IPSEC VPN 互联注意事项1)NGAF 设备不能通过管理口 eth0 建立标准 IPSEC 互联（即把 eth0 口添加其它 IP 地址，当做内网口或者外网口建立标准 IPSEC VPN 的场景） 2)NGAF 设备配置标准 IPSEC 互联时，必须配置【外网接口设置】和【内网接口设置】 3)NGAF 设备建立标准 IPSEC 互联时，VPN 的数据必须从一个非 WAN 属性的路由口进入到设备，并从一个 WAN 属性的路由口转发第第 6 6 章章服务器保护培训服务器保护培训6.1.服务器保护服务器保护1、目前主要针对 WEB 应用和 FTP 应用提供保护6.2.DLP 数据防泄密数据防泄密1、新增敏感信息组合策略，各个策略间为或的关系2、配置敏感信息防护策略，各个敏感信息类型之间为与的关系，如不允许出现身份证号与号码，并且一次都不准出现3、注意事项：1)DLP 对服务器传出数据过滤，不过滤客户端提交数据2)DLP 功能需要多功能序列号开启；预定义敏感信息泄露库可自动更新，受序列号控制3)配置 DLP 后 WAF 规则可启用短信告警4)支持 UTF-8、GBK、GB2312 三种编码；支持 gzip、deflate、chunk 三种压缩5)模式组内是“与”关系，要求同时出现多选的数据；模式组之间是“或”关系，顺序匹配直到拒绝或全部放行6)文件过滤仅从文件过滤仅从 url 匹配文件名后缀，不识别内容，不支持无后缀名文件，如匹配文件名后缀，不识别内容，不支持无后缀名文件，如/etc/passwd7)文件过滤为黑名单形式，仅需配置拒绝名单8)新建文件过滤时默认勾选拒绝.config/.inc/.ini./mdb/.MYD/.frm /.log 等文件9)Jboss Struts2 网站文件类型为.action/.do 等，需要额外放通第第 7 7 章章网站放篡改网站放篡改7.1.精确匹配和模糊匹配精确匹配和模糊。