深信服NGAF典型部署標(biāo)準(zhǔn)規(guī)定樣式分析與上架問答參備考資料說明材料

**NGAF典型案例與上架問題快速參考手冊(cè)目錄案例部分 2一、 路由模式部署 2單線路簡(jiǎn)單部署by謝輝 2單線路+專線互聯(lián)by李繪東 13多線路+sangforvpn互聯(lián)by李寧 26精品文檔放心下載二、 網(wǎng)橋模式部署by孫陽華 37三、 功能測(cè)試案例by黃翔 50問題部分 57一、 斷網(wǎng)問題 57路由模式 57網(wǎng)橋模式 59二、 目的地址轉(zhuǎn)換/雙向地址轉(zhuǎn)換不通問題 62目的地址轉(zhuǎn)換 62雙向地址轉(zhuǎn)換 63三、 經(jīng)過AF訪問公網(wǎng)速度變慢 65**案例部分一、路由模式部署單線路簡(jiǎn)單部署by謝輝【網(wǎng)絡(luò)現(xiàn)狀】Internet——NGAF——內(nèi)網(wǎng)（PC和服務(wù)器）感謝閱讀現(xiàn)有1條外網(wǎng)出口線路，20M出口帶寬.內(nèi)網(wǎng)lan口接核心交換機(jī)，服務(wù)器區(qū)也在lan區(qū)域.感謝閱讀【客戶需求】AF代理內(nèi)網(wǎng)上網(wǎng)對(duì)外發(fā)布服務(wù)雙向地址映射流量控制【設(shè)備配置】（1）配置lan口，設(shè)置為路由口，由于是內(nèi)網(wǎng)口，固不勾選wan口感謝閱讀**（2）配置WAN口，設(shè)置為路由口，選擇wan口。精品文檔放心下載（3）設(shè)置區(qū)域，一個(gè)接口屬于一個(gè)區(qū)域，如圖：**（4）配置系統(tǒng)路由(添加回包路由和缺省路由，缺省路由必須要添加。)謝謝閱讀**（5）配置源地址轉(zhuǎn)換，即代理上網(wǎng)功能。源區(qū)域選擇lan，目標(biāo)區(qū)域選擇wan。源地址轉(zhuǎn)換選擇出接口地址，如果精品文檔放心下載有多個(gè)公網(wǎng)IP可以選擇IP范圍。**（6）設(shè)置目的地址轉(zhuǎn)換（即對(duì)外發(fā)布服務(wù)）。源區(qū)域選擇wan，目的區(qū)域?yàn)榛疑?，不可選，IP組應(yīng)當(dāng)設(shè)置wan口映射IP，可以通過IP組來發(fā)布需要映射的公網(wǎng)IP，客戶需要將公網(wǎng)的8080端口映射到內(nèi)部服務(wù)器的80端口，固需要將8080端口轉(zhuǎn)換成80端口，以實(shí)現(xiàn)客戶需求。精品文檔放心下載****（7）客戶需要在內(nèi)網(wǎng)訪問公網(wǎng)地址來訪問內(nèi)部服務(wù)器，需要我們做雙向映射來感謝閱讀實(shí)現(xiàn)，源區(qū)域和目的區(qū)域都選擇lan區(qū)，應(yīng)用服務(wù)器是通過http://X.X.X.X:7890感謝閱讀來訪問的,固目標(biāo)端口設(shè)置7890，該端口不需要轉(zhuǎn)換所以目標(biāo)端口轉(zhuǎn)換選擇-不謝謝閱讀轉(zhuǎn)換，如果是域名，則用dnsmapping即可。精品文檔放心下載****所有映射條目如下圖：（8）映射設(shè)置完畢后，需要放通相應(yīng)的應(yīng)用控制策略。注意：做雙向映射后，應(yīng)當(dāng)放通lan-lan的規(guī)則。謝謝閱讀**（9）配置流控模塊1.先配置虛擬線路，如圖所示：**配置正確的線路帶寬，將WAN區(qū)域的接口設(shè)置為外出接口，本例中eth2為WAN口，如下圖：精品文檔放心下載3.設(shè)置流控策略，設(shè)置流控策略基本和AC一致。謝謝閱讀**至此配置完成單線路+專線互聯(lián)by李繪東【網(wǎng)絡(luò)現(xiàn)狀】現(xiàn)在出口設(shè)備為5年前的PIX防火墻，PIX防火墻老化，有時(shí)會(huì)出現(xiàn)斷電后感謝閱讀起不來的現(xiàn)象，且PIX不能滿足客戶對(duì)內(nèi)網(wǎng)安全情況和全網(wǎng)流量的了解和服務(wù)器精品文檔放心下載防護(hù)的需求。出口鏈路有2條，公網(wǎng)電信20M，外加一條2M的專線，電信公網(wǎng)線路上感謝閱讀有多個(gè)公網(wǎng)IP，用來做內(nèi)網(wǎng)用戶上網(wǎng)的PAT和服務(wù)器端口映射用，內(nèi)網(wǎng)用戶訪謝謝閱讀問專線的流量，一部分走路由，一部分在專線上起端口映射。感謝閱讀【客戶需求】AF代理內(nèi)網(wǎng)上網(wǎng)，實(shí)現(xiàn)公網(wǎng)走電信、專網(wǎng)流量走專線等需求。內(nèi)網(wǎng)有服務(wù)精品文檔放心下載器需要在AF上通過端口映射發(fā)布出去，部署拓?fù)鋱D如下：精品文檔放心下載目前需要通過NGAF下一代應(yīng)用防火墻保證內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)的安全以感謝閱讀**及保護(hù)內(nèi)部服務(wù)器的安全?！驹O(shè)備配置】（1）配置物理接口Lan口為三層路由口，填上相應(yīng)的IP地址和掩碼，測(cè)試的時(shí)候不是很趕時(shí)間的話，盡量完善描述，方便后面查看。精品文檔放心下載配置WAN口，這里的WAN口有多個(gè)公網(wǎng)地址，但是在pix的wan口只配置了一個(gè)公網(wǎng)地址，其他公網(wǎng)地址都是在端口映射里體現(xiàn)出來。這里我們把公網(wǎng)地址一個(gè)不漏的都配置上來。還是要提一下，下一跳網(wǎng)關(guān)是做鏈路檢測(cè)和做策精品文檔放心下載**略路由用的，與默認(rèn)路由沒關(guān)系。接下來配置專線的屬性。專線也有2個(gè)IP地址，一個(gè)用來跑路由，一個(gè)用來做IP地址映射用的，在翻譯PIX的配置時(shí)，一定要細(xì)心不能漏掉。謝謝閱讀還有一點(diǎn)，專線也勾選了“Wan口”屬性，我去測(cè)試時(shí)差點(diǎn)忽視了這一點(diǎn)，后來趕在設(shè)備上架前申請(qǐng)到了多線路序列號(hào)（默認(rèn)只有一條線路授權(quán)）。如果沒有勾wan口屬性的話，可能會(huì)有如下后果(引用0:5/dedecms/plus/view.php?aid=1078)：感謝閱讀流量控制不生效策略路由設(shè)置有障礙（策略路由出接口無法選擇非wan口，實(shí)際上直接填寫下一跳網(wǎng)關(guān)為非wan接口的網(wǎng)關(guān)，配置也是生效的。）精品文檔放心下載**腳本過濾、插件過濾不生效流量審計(jì)不生效（網(wǎng)關(guān)運(yùn)行狀態(tài)-應(yīng)用流量排行看不到內(nèi)容）精品文檔放心下載沒有啟用wan屬性，則啟用免費(fèi)arp功能后，也不會(huì)主動(dòng)廣播該接口的mac出去，感謝閱讀可能導(dǎo)致前置設(shè)備不能更新自己的mac。（同時(shí)啟用arp欺騙防御可以解決此問感謝閱讀題）。其他功能如靜態(tài)路由、NAT、應(yīng)用識(shí)別等不會(huì)影響。所以專線還是勾上“wan口”屬性，客戶可能會(huì)用到那些功能。謝謝閱讀（2）區(qū)域設(shè)置**（3）路由設(shè)置記得設(shè)置默認(rèn)路由，這里涉及到的路由包括默認(rèn)路由（上網(wǎng)和服務(wù)器回公網(wǎng)訪問包用的），專線路由，內(nèi)網(wǎng)回程路由，檢查路由的時(shí)候也可以按照這幾類去排查。感謝閱讀（4）DNS設(shè)置，設(shè)置設(shè)備的DNS，啟用DNS代理謝謝閱讀**（5）NAT配置防火墻配置，二層協(xié)議使用默認(rèn)的全部放行，這里二層全是以太。關(guān)鍵是配置地址轉(zhuǎn)換這一塊。由于先前客戶使用PIX防火墻，所以地址轉(zhuǎn)換的配置首先需要把PIX上的地址轉(zhuǎn)換配置原封不動(dòng)的翻譯過來，保證內(nèi)網(wǎng)服務(wù)器發(fā)布，上網(wǎng)，專線通信正常。PIX的配置如下：感謝閱讀翻譯后的配置:**幾條典型的命令翻譯：global(outside)1interface精品文檔放心下載//指定外部地址范圍，也就是說，內(nèi)網(wǎng)用戶訪問外網(wǎng)，地址被轉(zhuǎn)換為這個(gè)接口的地址，相感謝閱讀當(dāng)于ciscoIOS下的ipnatoutside感謝閱讀global(intf2)1interface謝謝閱讀//同上，專線上也有地址映射存在nat(inside)0access-list310精品文檔放心下載//0表示不轉(zhuǎn)換，即，匹配acl310的數(shù)據(jù)包不轉(zhuǎn)換，不轉(zhuǎn)換那就是走路由了，在我們AF精品文檔放心下載做策略的時(shí)候，要搞清楚那些地址需要轉(zhuǎn)換，那些不轉(zhuǎn)換nat(inside)100精品文檔放心下載//其他地址都轉(zhuǎn)換專線和公網(wǎng)口都開啟了地址轉(zhuǎn)換，至于內(nèi)網(wǎng)數(shù)據(jù)包如何轉(zhuǎn)換，或者說轉(zhuǎn)換成感謝閱讀那個(gè)出接口的地址，這個(gè)就要看路由了，路由到哪個(gè)口，就轉(zhuǎn)換成那個(gè)口的IP。精品文檔放心下載alias(inside)50355謝謝閱讀alias(inside)31455謝謝閱讀**alias(inside)51555謝謝閱讀//這部分是PIX上相當(dāng)于Lan-Lan映射的配置，我們AF上直接用雙向地址轉(zhuǎn)換搞定精品文檔放心下載（6）DDOS/DOS攻擊防護(hù)策略配置外網(wǎng)防護(hù)策略，按需開啟，閥值可以自己調(diào)整，有時(shí)候?yàn)榱梭w現(xiàn)效果，謝謝閱讀閥值可以相對(duì)調(diào)低一些（可以先記錄攻擊，而別阻斷）。**在配置“基于數(shù)據(jù)包攻擊”的時(shí)候，記得取消IP數(shù)據(jù)塊分片傳輸防護(hù)，因?yàn)橐话闱闆r下，肯定有數(shù)據(jù)包的體積大于MTU值，從而導(dǎo)致分片和重組。精品文檔放心下載后面的防護(hù)按需開啟**（7）內(nèi)容安全模塊的配置因?yàn)榭蛻魰簳r(shí)不清楚內(nèi)網(wǎng)發(fā)布的應(yīng)用情況，所以默認(rèn)先全部放通，等到客戶確定好了應(yīng)用后再做按需放行。由于做了雙向地址轉(zhuǎn)換，注意放行l(wèi)an到lan的應(yīng)用。精品文檔放心下載病毒防護(hù)策略按需開啟即可**為了測(cè)試效果，可以適當(dāng)?shù)拈_一個(gè)危險(xiǎn)腳本檢測(cè)**（8）IPS與服務(wù)器保護(hù)模塊的配置IPS配置WEB應(yīng)用保護(hù)**這里注意一點(diǎn)，如果內(nèi)網(wǎng)有FTP服務(wù)器映射到公網(wǎng)提供服務(wù)，那么就先別勾感謝閱讀FTP弱口令防護(hù)，因?yàn)槿f一用戶本來使用的就是“弱口令”，那會(huì)直接導(dǎo)致用戶不能訪問。和客戶說明我們有這個(gè)功能就可以了，如需測(cè)試，按需開啟。謝謝閱讀總結(jié)測(cè)試前，檢測(cè)設(shè)備版本是否最新，授權(quán)是否足夠滿足需求，序列號(hào)是否正確，規(guī)則庫是否更新到指定日期；謝謝閱讀客戶網(wǎng)絡(luò)環(huán)境確認(rèn)，原來使用的防火墻什么廠家的，配置是否熟悉，是謝謝閱讀**否能看懂，是否能翻譯到我們的AF上面來；做防護(hù)配置時(shí)，建議先記錄，再阻攔；上架后，先開直通。路由，地址和端口映射做好了，開直通，應(yīng)該沒多大問題；精品文檔放心下載確定沒問題后，關(guān)閉直通，建議邊值守邊找人在公網(wǎng)測(cè)試，當(dāng)然你也可以找人隨便執(zhí)行個(gè)類似于xxx？and1=1的SQL注入語句，讓客戶可以立馬看到攔截效果(用工具效果更加明顯，如明小子，阿D工具包等)。值守1到2個(gè)小時(shí)確認(rèn)沒問題后，離開。精品文檔放心下載多線路+sangforvpn互聯(lián)by李寧【網(wǎng)絡(luò)現(xiàn)狀】現(xiàn)有三條外網(wǎng)出口線路，分別是一條電信10M,一條網(wǎng)通10M,一條網(wǎng)通2M,內(nèi)網(wǎng)有業(yè)務(wù)網(wǎng)和非業(yè)務(wù)網(wǎng)兩套網(wǎng)絡(luò)，其中電信10M與網(wǎng)通10M的互聯(lián)網(wǎng)線路用做非業(yè)務(wù)網(wǎng)上互聯(lián)網(wǎng)用，網(wǎng)通2M線路用做業(yè)務(wù)網(wǎng)與太原醫(yī)保局建立VPN用。謝謝閱讀【客戶需求】1、用AF替代現(xiàn)有路由器；2、三條外網(wǎng)線路均接入AF；3、網(wǎng)通2M外網(wǎng)線路與太原鐵路醫(yī)保做VPN對(duì)接，對(duì)端也是使用我司設(shè)備，已提供相應(yīng)的VPN信息；感謝閱讀4、有大概100個(gè)VPN移動(dòng)客戶端需要通過AF的VPN接入醫(yī)院網(wǎng)絡(luò)，訪問內(nèi)部服務(wù)器；感謝閱讀5、電信10M與網(wǎng)通10M兩條外網(wǎng)線路做負(fù)載；感謝閱讀**6、業(yè)務(wù)網(wǎng)只有特定的計(jì)算機(jī)可以上，且與非業(yè)務(wù)網(wǎng)不能互訪；感謝閱讀7、非業(yè)務(wù)網(wǎng)劃分多個(gè)VLAN，且VLAN之間不允許互訪；謝謝閱讀8、配置AF的安全策略?！揪W(wǎng)絡(luò)拓?fù)洹课磳?shí)施前：預(yù)期實(shí)施后：**【設(shè)備配置】（1）接口/區(qū)域配置所有網(wǎng)口都配置成路由口**把非業(yè)務(wù)網(wǎng)的內(nèi)網(wǎng)口劃分三個(gè)子接口，并做下面終端的網(wǎng)關(guān)：謝謝閱讀劃分區(qū)域，一個(gè)網(wǎng)口對(duì)應(yīng)一個(gè)區(qū)域，VPN與業(yè)務(wù)內(nèi)網(wǎng)口不劃入?yún)^(qū)域內(nèi)：謝謝閱讀**（2）路由配置配置好系統(tǒng)路由(前三條都是到內(nèi)網(wǎng)網(wǎng)段的路由,注意要加一條默認(rèn)路由供設(shè)備自身上外網(wǎng)、做遠(yuǎn)程維護(hù)等)精品文檔放心下載配置策略路由,內(nèi)網(wǎng)三個(gè)網(wǎng)網(wǎng)段輪循選擇兩條外網(wǎng)線路上網(wǎng)：感謝閱讀（3）DHCP服務(wù)器配置，客戶非業(yè)務(wù)內(nèi)網(wǎng)三個(gè)網(wǎng)段由AF自動(dòng)分配IP地址上網(wǎng)，如下圖：感謝閱讀**（4）DNS代理，下面終端的DNS服務(wù)器指向AF，由AF代理解析，如下圖：精品文檔放心下載代理上網(wǎng)，地址轉(zhuǎn)換代理內(nèi)網(wǎng)終端上互聯(lián)網(wǎng)，如下圖：注意：因?yàn)橛袃蓷l外網(wǎng)線路，而內(nèi)網(wǎng)接口也劃分了三個(gè)子接口，且各自對(duì)應(yīng)精品文檔放心下載一個(gè)區(qū)域，所以需要用六條SNAT策略，代理非業(yè)務(wù)網(wǎng)用戶上網(wǎng)。精品文檔放心下載（5）認(rèn)證系統(tǒng)配置組/用戶定義，按照部門及IP，劃分用戶組，如下圖：謝謝閱讀開啟認(rèn)證策略，把各IP段加到相應(yīng)的用戶組內(nèi)，如下圖：感謝閱讀**注意：與AC不同的是，需要手動(dòng)開啟用戶認(rèn)證并選擇需要認(rèn)證的區(qū)域。謝謝閱讀（6）內(nèi)容安全配置因?yàn)锳F缺省是拒絕所有服務(wù)/應(yīng)用的，所以在做完應(yīng)用封堵后，還需要加一條放開所有應(yīng)用/服務(wù)的策略，如下圖：精品文檔放心下載（7）開啟病毒防御策略，如下圖：**（8）開啟WEB過濾，把非法等網(wǎng)站過濾掉，如下圖：謝謝閱讀（9）防火墻模塊配置連接數(shù)控制，針對(duì)連接數(shù)做防護(hù)，如下圖：**（10）DOS/DDOS防護(hù)，針對(duì)外網(wǎng)DOS攻擊做防護(hù)，如下圖：謝謝閱讀（11）開啟ARP欺騙防護(hù)，如下圖：（12）流控配置虛擬線路配置，先把兩條上外網(wǎng)的線路定義出來，如下圖：感謝閱讀**流控策略配置（注意AF的流控不支持父子通道，且沒有線路策略復(fù)制功能，所以需要針對(duì)每條線路做相應(yīng)的流控策略），如下圖：謝謝閱讀（13）VPN配置設(shè)備既要做分支接入太原鐵路醫(yī)保VPN設(shè)備，又做做服務(wù)端讓100個(gè)移動(dòng)用戶接入到醫(yī)院內(nèi)網(wǎng)，配置如下：精品文檔放心下載VPN基本配置，配置VPN的WEBAGENT謝謝閱讀**用戶配置，客戶有100個(gè)移動(dòng)客戶端，且有一部分是使用DKEY認(rèn)證，先在感謝閱讀AF把這些用戶建立，如下圖：外網(wǎng)接口配置，配置VPN用到的外網(wǎng)接口，如下圖：感謝閱讀連接管理，建立與太原鐵路醫(yī)保的VPN接連，如下圖：謝謝閱讀**（14）上架測(cè)試完成上以配置后，把客戶的網(wǎng)絡(luò)按實(shí)施前確定的拓?fù)鋱D把路線接好，測(cè)試均精品文檔放心下載可達(dá)到客戶預(yù)期效果。設(shè)備實(shí)時(shí)運(yùn)行狀態(tài):二、網(wǎng)橋模式部署by孫陽華【網(wǎng)絡(luò)現(xiàn)狀】客戶處有一臺(tái)Web服務(wù)器位于內(nèi)網(wǎng)，對(duì)公網(wǎng)提供服務(wù)感謝閱讀【客戶需求】使用SANGFOR-NGAF防火墻對(duì)該服務(wù)器進(jìn)行來自公網(wǎng)的安全防護(hù)(DOS攻擊、XSS攻擊、SQL注入攻擊、文件上傳攻擊等)。謝謝閱讀**根據(jù)客戶的實(shí)際需求，結(jié)合現(xiàn)有的網(wǎng)絡(luò)架構(gòu)；選擇網(wǎng)橋模式進(jìn)行部署。網(wǎng)橋部署謝謝閱讀的好處就是不需要改變客戶原有的網(wǎng)絡(luò)設(shè)備配置。SANGFOR-NGAFWebServer【設(shè)備配置】（1）登錄設(shè)備Web控制臺(tái)登錄方法：51(MANAGE口地址) [用戶名：admin謝謝閱讀密碼：sangfor]**注：AF設(shè)備默認(rèn)只有MANAGE口有IP地址提供登錄。謝謝閱讀（2）基本網(wǎng)絡(luò)連通性配置相關(guān)解釋：路由：三層接口，可以配置IP地址。透明：二層接口，不可以配置IP地址；屬于交換口(switchport)，可以配置VLAN(access)屬性，或Trunk屬性，且必須要有其中一種屬性。為什么？和二層可網(wǎng)管交換機(jī)原理一樣。精品文檔放心下載虛擬網(wǎng)線：必須成對(duì)網(wǎng)口配置形成一條“有進(jìn)有出”的通道，數(shù)據(jù)轉(zhuǎn)發(fā)層面不需要執(zhí)行MAC查找。精品文檔放心下載子接口：在三層接口上創(chuàng)建，必須屬于某個(gè)VLAN。(單臂路由就是使用的路由器子接口進(jìn)行VLAN數(shù)據(jù)收發(fā))精品文檔放心下載VLAN接口：邏輯三層接口，必須屬于某個(gè)VLAN；用于對(duì)該VLAN數(shù)據(jù)進(jìn)行收發(fā)處理?？勺鼍W(wǎng)管用。謝謝閱讀1、配置接口：根據(jù)實(shí)際使用的設(shè)備接口進(jìn)行配置。(WAN口和LAN口的配置方法相同)精品文檔放心下載類型：透明基本屬性：WAN(非必選項(xiàng))

連接類型：Access，然后下面選擇該接口屬于那個(gè)VLAN。精品文檔放心下載主要用于流控和策略路由等對(duì)數(shù)據(jù)流方向進(jìn)行識(shí)別匹配。**2、VLAN接口配置：這個(gè)配置主要是用作對(duì)設(shè)備的管理。因?yàn)榫W(wǎng)橋的兩個(gè)接口都屬于VLAN1，謝謝閱讀那么網(wǎng)口收發(fā)的數(shù)據(jù)都會(huì)經(jīng)過邏輯接口VLAN1。如果設(shè)備收到的數(shù)據(jù)包目的IP精品文檔放心下載為該VLAN1的IP，則VLAN1會(huì)將數(shù)據(jù)交給上層設(shè)備管理模塊進(jìn)行處理。注意精品文檔放心下載這里配置的下一跳網(wǎng)關(guān)只是作為鏈接檢測(cè)使用，不會(huì)生成路由條目到路由表。精品文檔放心下載默認(rèn)網(wǎng)關(guān)需要在：網(wǎng)絡(luò)配置--->路由--->靜態(tài)路由里配置。(沒有截圖)感謝閱讀**注：邏輯接口中可以看到添加的VLAN接口信息：3、配置區(qū)域：**將在后續(xù)的配置中引用該區(qū)域。(DoS/DDoS防護(hù)、)感謝閱讀區(qū)域就是傳統(tǒng)防火墻中的定義的“信任區(qū)域”、“非信任區(qū)域”的概念。區(qū)域的定義提供給防火墻哪些區(qū)域是需要采取相應(yīng)的保護(hù)策略，在NGAF中有相當(dāng)多的配置點(diǎn)需要引用到區(qū)域。將相同物理區(qū)域的接口放到相同的區(qū)域，比如有兩精品文檔放心下載WAN口，則可以將這兩個(gè)網(wǎng)口放到相同的區(qū)域。區(qū)域類型的理解請(qǐng)結(jié)合前面對(duì)網(wǎng)口的解釋理解；只有在網(wǎng)口類型和區(qū)域類型感謝閱讀相同時(shí)才在列表中顯示。此案例中只用到一個(gè)WAN(eth6)口和一個(gè)LAN(eth5)口。精品文檔放心下載（3）需要引用的對(duì)象配置包括服務(wù)、IP組、時(shí)間計(jì)劃、URL組等。此案例中只需要配置服務(wù)的IP組，用于后續(xù)的安全配置中引用。謝謝閱讀**（4）配置DoS/DDoS防護(hù)策略在這個(gè)策略里面涉及到很多的參數(shù)閥值。正常部署按照默認(rèn)值即可，測(cè)試時(shí)感謝閱讀建議參數(shù)值調(diào)小，效果更明顯。這里選擇的“源區(qū)域”，指的是數(shù)據(jù)是從哪個(gè)區(qū)域”流進(jìn)”設(shè)備。在下拉列謝謝閱讀表中將顯示之前配置的區(qū)域。**這里提供一個(gè)SYN洪水攻擊防護(hù)的測(cè)試時(shí)使用的建議值：[丟包閥值設(shè)置小一點(diǎn)，更容易看到效果]感謝閱讀（5）配置放通相應(yīng)的數(shù)據(jù)通訊1、放通內(nèi)網(wǎng)服務(wù)器出去方向的所有服務(wù)或應(yīng)用：(可以根據(jù)實(shí)際需要選擇放感謝閱讀**通那些服務(wù)或者應(yīng)用，案例例中是放通所有服務(wù)器出去的數(shù)據(jù))[非必須配置，如感謝閱讀果內(nèi)網(wǎng)服務(wù)器沒有主動(dòng)訪問外網(wǎng)的需求，則不需要配置這個(gè)策略；NGAF會(huì)自謝謝閱讀動(dòng)生成相應(yīng)的連接狀態(tài)表用于對(duì)數(shù)據(jù)的反向匹配控制]**2、放通進(jìn)來的服務(wù)或應(yīng)用：(本例中是只放通了HTTP應(yīng)用)感謝閱讀SANGFOR-NGAF中，放通外網(wǎng)到內(nèi)網(wǎng)的某些服務(wù)或應(yīng)用就是在此進(jìn)行配謝謝閱讀置。如果是服務(wù)(協(xié)議:端口)，需要在對(duì)象定義中先配置。感謝閱讀****（6）配置WEB應(yīng)用防護(hù)針對(duì)內(nèi)網(wǎng)服務(wù)器安全防護(hù)的配置。**（7）測(cè)試效果略覽在實(shí)際測(cè)試中，因?yàn)闇y(cè)試環(huán)境和使用的工具不同可能效果不一樣。但是如果精品文檔放心下載完全沒有效果的話，請(qǐng)仔細(xì)檢查配置、攻擊的數(shù)據(jù)是否達(dá)到設(shè)備網(wǎng)口 (通過謝謝閱讀tcpdum條件性抓包可以判斷)等來檢查。1、SQL注入攻擊和XSS攻擊防護(hù)效果：**2、DOS攻擊防護(hù)效果：（7）結(jié)束本案例是實(shí)際的客戶網(wǎng)絡(luò)環(huán)境中進(jìn)行測(cè)試時(shí)的配置；主要配置均已通過截圖說明，但是并沒有配置SANGFOR-NGAF所能提供的所有功能。其他功能的配置在本案例中不涉及，請(qǐng)參照其他指導(dǎo)資料。感謝閱讀三、功能測(cè)試案例by黃翔【網(wǎng)絡(luò)現(xiàn)狀】**國(guó)家核電目前在網(wǎng)絡(luò)安全建設(shè)方面缺乏相應(yīng)的安全設(shè)備，現(xiàn)在一個(gè)新管理員到崗后想采購一臺(tái)IPS設(shè)備，增強(qiáng)企業(yè)網(wǎng)絡(luò)安全性。此次測(cè)試AF的IPS與服務(wù)器防護(hù)功能，設(shè)備直接部署在內(nèi)網(wǎng)DMZ服務(wù)器區(qū)，除了我們還有綠盟，啟明星辰兩個(gè)廠家，但是他們兩個(gè)廠家都是推單純的IPS設(shè)備，所以我們要在WEB服務(wù)器防護(hù)方面要突出優(yōu)勢(shì)。謝謝閱讀【基本配置】網(wǎng)絡(luò)配置，eth1和eth2為網(wǎng)橋，配置vlan1接口為網(wǎng)橋管理ip。謝謝閱讀應(yīng)用控制放通雙向【測(cè)試過程】**IPS的測(cè)試由于客戶害怕誤判對(duì)網(wǎng)絡(luò)產(chǎn)生影響，所以要求設(shè)備只做審計(jì)策略然戶掛上去先跑幾天：感謝閱讀拒絕意思就是說匹配IPS規(guī)則庫里面的允許與拒絕，這里我們要全部放通，所以勾選允許。精品文檔放心下載如圖：**這樣上架幾天以后客戶在日志里面發(fā)現(xiàn)了400多個(gè)漏洞，所以對(duì)我們產(chǎn)品還是比較認(rèn)可。然后客戶要求我們進(jìn)一步測(cè)試DDOS攻擊攔截和SQL注入攔截。為了在設(shè)備上看到更明顯的效果，我們提出在模擬環(huán)境中測(cè)試，于是搭建了一個(gè)模擬環(huán)境拓?fù)淙缦?，我的電腦是14，服務(wù)器是4，AF是網(wǎng)橋模式。感謝閱讀首先測(cè)試的是DDOS攻擊，我使用科來網(wǎng)絡(luò)分析系統(tǒng)2010技術(shù)交流版，感謝閱讀**這個(gè)可以去/products/capsa.php下載，技術(shù)交流版的序列號(hào)是免費(fèi)申請(qǐng)的。感謝閱讀打開軟件和wireshark一樣可以選擇網(wǎng)卡然后抓包。謝謝閱讀我先抓取我訪問服務(wù)器的正常數(shù)據(jù)包。我的電腦以源1299和服務(wù)器的21端口建立tcp第一次握手。感謝閱讀右鍵選擇的數(shù)據(jù)包選擇發(fā)送到數(shù)據(jù)包生成器。**在此界面你可以修改數(shù)據(jù)包，我就把這個(gè)包復(fù)制成多份然后再發(fā)送出去。以我的源端口為1299，目的為421端口的tcp半連接。謝謝閱讀在設(shè)備上配置DDos攻擊防護(hù)，為了更明顯我調(diào)低了闕值，在默認(rèn)值的基礎(chǔ)上我去掉了一個(gè)0.感謝閱讀然后開始發(fā)包，要選擇連接AF的網(wǎng)卡發(fā)包。**如果沒有日志就多發(fā)幾次，在內(nèi)置數(shù)據(jù)中心我們就能看到攻擊的記錄了。精品文檔放心下載SQL注入演示：輸入一個(gè)開啟了80端口的ip，后面加上/detail.php?id=1and1=1就在設(shè)備上可以看到SQL攻擊的日志了。謝謝閱讀需要輸入的ip開啟80端口是因?yàn)門CP三次握手建立后才發(fā)送SQL注入語精品文檔放心下載**句，抓包可以看見注入語句的發(fā)送被我們?cè)O(shè)備拒絕了(紅色)，如果IP和端口本身不通，是看不到日志的。精品文檔放心下載查看日志顯示：總結(jié)：此案例測(cè)試較早，當(dāng)時(shí)還未發(fā)布syncookies專題，后續(xù)大家若需要測(cè)試dos實(shí)戰(zhàn)攻擊時(shí)，請(qǐng)參考以下文章，可以達(dá)到實(shí)戰(zhàn)攻擊的效果感謝閱讀【專題】NGAFSynCookies原理和測(cè)試指導(dǎo)專題感謝閱讀0:5/dedecms/plus/view.php?aid=1541精品文檔放心下載問題部分一、斷網(wǎng)問題路由模式路由模式上架出現(xiàn)內(nèi)網(wǎng)用戶無法上網(wǎng)情況請(qǐng)遵循以下步驟進(jìn)行檢查精品文檔放心下載1、AF設(shè)備當(dāng)前版本高于1.0.173并且開啟免費(fèi)ARP功能；若版本低于感謝閱讀1.0.173則優(yōu)先升級(jí)至AF1.0系列最新版本，并開啟免費(fèi)ARP功能。精品文檔放心下載**2、SSH登陸AF后臺(tái)，確認(rèn)AF設(shè)備自身能夠ping通wan口網(wǎng)關(guān)，能夠進(jìn)行DNS解析域名并能夠通過wget訪問知名網(wǎng)站；若AF設(shè)備自身無法正常訪問公網(wǎng)，請(qǐng)檢查以下4點(diǎn)：謝謝閱讀a、AF網(wǎng)口接線、連通性和兼容性b、填寫的公網(wǎng)IP/網(wǎng)關(guān)配置是否正確c、是否產(chǎn)生了公網(wǎng)IP沖突d、建議客戶和運(yùn)營(yíng)商進(jìn)行線路相關(guān)信息確認(rèn)。3、關(guān)閉二層協(xié)議過濾和DDOS/DOS防護(hù)模塊中所有策略，開啟實(shí)時(shí)攔截日志并直通；若開啟直通后內(nèi)網(wǎng)用戶可以上網(wǎng)，按照實(shí)時(shí)攔截日志中的描述修改當(dāng)前應(yīng)用控制策略。精品文檔放心下載4、開啟直通無效則同時(shí)對(duì)設(shè)備的內(nèi)外網(wǎng)口進(jìn)行抓包，確認(rèn)如下幾點(diǎn)：感謝閱讀a、AF設(shè)備ping內(nèi)網(wǎng)PC是否正常，內(nèi)網(wǎng)PC上網(wǎng)的數(shù)據(jù)包是否經(jīng)過謝謝閱讀**AF設(shè)備；若出現(xiàn)不正常請(qǐng)檢查：內(nèi)網(wǎng)接口接線與連通性兼容性，設(shè)備內(nèi)網(wǎng)感謝閱讀口IP是否出現(xiàn)沖突，內(nèi)網(wǎng)是否存在ARP欺騙b、內(nèi)網(wǎng)的數(shù)據(jù)包到達(dá)AF后是否從wan口發(fā)出，源IP是否被轉(zhuǎn)換為設(shè)精品文檔放心下載備可用的公網(wǎng)IP；若出現(xiàn)不正常請(qǐng)檢查：是否正確配置默認(rèn)路由和策略路由，謝謝閱讀是否正確配置了SNAT地址轉(zhuǎn)換，重啟AF設(shè)備現(xiàn)有清空狀態(tài)表后是否正常。精品文檔放心下載網(wǎng)橋模式案例一、虛擬網(wǎng)線模式上架不通，開直通也不行，透明網(wǎng)橋模式就可以【故障現(xiàn)象】：虛擬網(wǎng)線模式上架不通，開直通也不行，透明網(wǎng)橋模式就可精品文檔放心下載以【排錯(cuò)步驟】：1、開啟直通，確認(rèn)能否上網(wǎng)（不行，排除策略問題）2、確認(rèn)網(wǎng)絡(luò)配置->虛擬網(wǎng)線欄目中有沒有新建虛擬網(wǎng)線，并引用網(wǎng)口（單謝謝閱讀純將網(wǎng)口設(shè)置為虛擬網(wǎng)線是不通的，開直通也無效，目前大部分虛擬網(wǎng)線不通都謝謝閱讀是這個(gè)原因）3、確認(rèn)外網(wǎng)防DOS模塊和二層協(xié)議過濾模塊是否啟用（參考謝謝閱讀62/dedecms/plus/view.php?aid=1423這兩個(gè)模塊中感謝閱讀有直通無法放通的功能）4、確認(rèn)接口速率協(xié)商與接口錯(cuò)誤幀等信息【總結(jié)】：在虛擬網(wǎng)線配置時(shí)，因?yàn)樘摂M網(wǎng)線的配對(duì)在網(wǎng)口中不直接顯示，謝謝閱讀經(jīng)常會(huì)有同事忘記新建虛擬網(wǎng)線并配對(duì)，在這樣的情況下，即使開啟直通也是無謝謝閱讀效的**案例二、Access模式網(wǎng)橋上架，過幾分鐘就會(huì)斷網(wǎng)，換虛擬網(wǎng)線模式也是一樣斷網(wǎng)的感謝閱讀【問題現(xiàn)象】：Access模式網(wǎng)橋上架，剛開始正常，過幾分鐘就會(huì)斷網(wǎng)，換虛擬網(wǎng)線模式也是一樣的精品文檔放心下載【排錯(cuò)步驟】：1、開啟拒絕列表并直通（出現(xiàn)協(xié)議號(hào)89的OSPF協(xié)議被拒絕的信息，并且網(wǎng)絡(luò)恢復(fù)正常，下面的步驟可以跳過）謝謝閱讀2、確認(rèn)外網(wǎng)防DOS模塊和二層協(xié)議過濾模塊是否啟用（參考62/dedecms/plus/view.php?aid=1423這兩個(gè)模塊中有直通無法放通的功能）謝謝閱讀3、確認(rèn)接口速率協(xié)商與接口錯(cuò)誤幀等信息【總結(jié)】：雖然該設(shè)備在應(yīng)用控制里放通了雙向的所有服務(wù)，但是因?yàn)槟壳霸O(shè)備內(nèi)部預(yù)定義的服務(wù)僅有TCP/UDP/ICMP，故直接用89IP協(xié)議號(hào)的OSPF協(xié)議未被放通，需要手動(dòng)新建一條自定義服務(wù)，定義協(xié)議號(hào)為89并添加應(yīng)用策略放通感謝閱讀案例三、Access模式網(wǎng)橋上架并放通OSPF，過幾分鐘就會(huì)斷網(wǎng)，換虛擬網(wǎng)線模式就不會(huì)斷網(wǎng)感謝閱讀【故障現(xiàn)象】：Access模式網(wǎng)橋上架并放通OSPF，過幾分鐘就會(huì)斷網(wǎng)，開直通也沒有；換虛擬網(wǎng)線模式就不會(huì)斷網(wǎng)精品文檔放心下載【排錯(cuò)步驟】：**1、根據(jù)問題現(xiàn)象，跳過直通和相關(guān)模塊，還有物理接口問題2、抓包看斷網(wǎng)時(shí)的流量特征（抓包發(fā)現(xiàn)，斷網(wǎng)時(shí)一直有OSPF的組播請(qǐng)求謝謝閱讀從網(wǎng)橋一端進(jìn)入，但是不從另一端發(fā)出，此OSPF攜帶Vlantag7，應(yīng)使用trunk口做網(wǎng)橋）精品文檔放心下載【總結(jié)】：對(duì)于Access接口，若進(jìn)入的包攜帶vlan標(biāo)簽，并且vlan標(biāo)簽與本接口vlanid不同則會(huì)丟包，即使開啟直通也是無效的；而對(duì)于虛擬網(wǎng)線接口，數(shù)據(jù)包是否帶vlan標(biāo)簽都不影響轉(zhuǎn)發(fā)。此場(chǎng)景應(yīng)使用trunk接口做網(wǎng)橋，并放通vlan7轉(zhuǎn)發(fā)且新建vlan7接口精品文檔放心下載案例四、trunk模式網(wǎng)橋上架，放通vlan1-1000，網(wǎng)不通，開啟直通無效；配置為虛擬網(wǎng)線就通了精品文檔放心下載【問題現(xiàn)象】：trunk模式網(wǎng)橋上架，放通vlan1-1000，網(wǎng)不通，開啟直通無效；配置為虛擬網(wǎng)線就通了謝謝閱讀【排錯(cuò)步驟】：1、根據(jù)問題現(xiàn)象，跳過直通和相關(guān)模塊，還有物理接口問題謝謝閱讀2、對(duì)于NGAF，trunk模式上架并放通vlan轉(zhuǎn)發(fā)范圍后，設(shè)備內(nèi)部并沒有新建對(duì)應(yīng)的vlan，因此，需要建立對(duì)應(yīng)的vlan接口，即使不配置IP也可以，參考0:5/dedecms/plus/view.php?aid=1218謝謝閱讀【總結(jié)】NGAF內(nèi)置交換機(jī)即為普通的軟交換機(jī)，對(duì)于此類配置問題即使開啟直通也是無效的，類似于案例三，因此需要和客戶詳細(xì)溝通環(huán)境，并選擇合適的配置謝謝閱讀**最終總結(jié)：1、設(shè)備內(nèi)的策略放通所有并不保障OSPF等動(dòng)態(tài)路由協(xié)議能夠放通，在經(jīng)過一謝謝閱讀個(gè)檢測(cè)周期后會(huì)導(dǎo)致網(wǎng)絡(luò)不通，現(xiàn)階段上架需要額外放通OSPF協(xié)議號(hào)89謝謝閱讀2、在上下鏈路是trunk模式情況下使用access網(wǎng)橋會(huì)導(dǎo)致非nativevlan的感謝閱讀網(wǎng)絡(luò)不通，開啟直通也無效，需要使用trunk模式網(wǎng)橋謝謝閱讀3、在上下鏈路是trunk模式情況下，使用trunk模式網(wǎng)橋，但是不新建所有精品文檔放心下載vlan的對(duì)應(yīng)vlan接口，會(huì)導(dǎo)致所有vlan不通，開啟直通也無效，需要新建對(duì)謝謝閱讀vlan號(hào)接口4、需要網(wǎng)橋模式上架的情況，在access/trunk上架不通時(shí)，請(qǐng)轉(zhuǎn)為使用虛擬精品文檔放心下載網(wǎng)線模式上架，并切記要新建虛擬網(wǎng)線并關(guān)聯(lián)配對(duì)網(wǎng)口5、一般情況下，優(yōu)先推薦虛擬網(wǎng)線上架！二、目的地址轉(zhuǎn)換/雙向地址轉(zhuǎn)換不通問題目的地址轉(zhuǎn)換排查目的地址轉(zhuǎn)換問題應(yīng)首先理解設(shè)備工作流程：客戶端到服務(wù)器流程：AF收到匹配DNAT轉(zhuǎn)換條件包DNAT轉(zhuǎn)換目的地址公網(wǎng)IP到內(nèi)網(wǎng)IP匹精品文檔放心下載**配應(yīng)用控制策略放通數(shù)據(jù)包并路由到目的接口發(fā)出服務(wù)器到客戶端流程：AF收到服務(wù)器回包匹配應(yīng)用控制策略連接信息放通根據(jù)狀態(tài)表轉(zhuǎn)向接感謝閱讀口根據(jù)狀態(tài)表還原服務(wù)器源IP到公網(wǎng)IP數(shù)據(jù)包回復(fù)給客戶端感謝閱讀問題排查步驟：1、開啟拒絕列表并直通；若此時(shí)目的地址轉(zhuǎn)換可以訪問，請(qǐng)根據(jù)拒絕列表提示修改應(yīng)用控制策略配置，典型配置錯(cuò)誤為目的IP組配置為公網(wǎng)IP。精品文檔放心下載2、查看iptables-tnat-xnvL，在PREROUTING鏈找到配置的DNAT規(guī)則，看是pkts是否為0；若無數(shù)據(jù)包匹配，請(qǐng)抓包確認(rèn)AF接口配置有DNAT使用的IP，AF收到客戶端請(qǐng)求包，DNAT規(guī)則在順序上不被覆蓋，DNAT規(guī)則條件（源區(qū)域、目的IP、協(xié)議與端口等）設(shè)置正確。謝謝閱讀3、在NGAF內(nèi)網(wǎng)口上抓包，確認(rèn)服務(wù)器回復(fù)相關(guān)數(shù)據(jù)包，若服務(wù)器不回復(fù)數(shù)據(jù)包，則在AF后臺(tái)telnet測(cè)試服務(wù)器是否正常：感謝閱讀a、若AFtelnet服務(wù)器正常，則檢查服務(wù)器是否走AF線路上網(wǎng)，采取更改網(wǎng)絡(luò)或采用雙向地址轉(zhuǎn)換；謝謝閱讀b、若AFtelnet服務(wù)器不正常，則檢查服務(wù)器是否正常服務(wù)、內(nèi)網(wǎng)是否存在ARP欺騙等問題。精品文檔放心下載雙向地址轉(zhuǎn)換排查目的地址轉(zhuǎn)換問題應(yīng)首先理解