深信服AF学习笔记文档格式.docx

深信服AF学习笔记文档格式.docx

《深信服AF学习笔记文档格式.docx》由会员分享，可在线阅读，更多相关《深信服AF学习笔记文档格式.docx（13页珍藏版）》请在冰豆网上搜索。

部分功能要求出接口是WAN属性，比如流控、策略路由、VPN外网接口等。

6、添加下一跳网关并不会产生0.0.0.0默认路由，需要手动添加路由

7、接口带宽设置于流控无关，主要用于策略路由根据带宽占用比例选路，流控的需要重新设定。

8、实时检测接口的链路状态功能，以及多条外网线路情况下，某条线路故障，流量自动切换到其它线路功能，均需开启链路故障检测。

9、WAN属性的接口必须开启链路故障检测功能，非WAN属性无需开启。

10、路由接口是ADSL拨号方式，需要勾选“添加默认路由”选项

11、Eth0为固定的管理口，接口类型为路由口，且无法修改。

Eth0可增加管理IP地址，默认的管理IP10.251.251.251/24无法删除。

2.2.透明接口

12、透明接口相当于普通的交换网口，不需要配置IP地址，不支持路由转发，根据MAC地址表转发数据。

部分功能要求接口是WAN属性，当接口设置成透明WAN口时，注意设备上架时接线方向，内外网口接反会导致部分功能失效。

2.3.虚拟网线接口

13、虚拟网线接口也是普通的交换接口，不需要配置IP地址，不支持路由转发，转发数据时，无需检查MAC表，直接从虚拟网线配对的接口转发。

14、虚拟网线接口的转发性能高于透明接口，单进单出网桥的环境下，推荐使用虚拟网线接口部署。

2.4.聚合口

15、聚合口：

将多个以太网接口捆绑在一起所形成的逻辑接口，创建的聚合接口成为一个逻辑接口，而不是底层的物理接口。

AF最多绑定4个口聚合，聚合口不支持镜像旁路

2.5.子接口

16、子接口：

子接口应用于路由接口需要启用VLANTRUNK的场景。

17、子接口是逻辑接口，只能在路由口下添加子接口。

18、设备支持配置多个WAN属性的路由接口连接多条外网线路，但是需要开通多条线路的授权。

19、管理口不支持设置成透明接口或虚拟网线接口，如果要设置2对或2对以上的虚拟网线接口，则必须要求设备不少于5个物理接口，预留一个专门的管理口Eth0。

20、一个路由接口下可添加多个子接口，路由接口的IP地址不能与子接口的IP地址在同网段。

2.6.区域

21、一个接口只能属于一个区域。

二层区域只能选择透明接口，虚拟网线区域只能选择虚拟网线接口

2.7.策略路由

22、AF策略路由分源地址策略路由和多线路负载路由，源地址策略路由：

根据源IP地址和协议选择接口或下一跳，实现用户访问数据的分流。

可实现不同网段的内网用户，分别通过不同的线路接口访问公网。

多线路负载路由：

设备上有多条外网线路，通过策略路由的轮询，带宽比例，加权最小流量，优先使用前面的线路的接口策略，动态的选择线路，实现线路带宽的有效利用、备份和负载均衡。

23、策略路由配置完毕最后一步添加静态路由是为了防止策略路由失效的情况下，内网用户还可以通过静态路由访问公网。

24、路由优先级：

静态路由优先于策略路由，策略路由优先于默认路由（0.0.0.0）。

25、源地址策略路由选择接口时，只能选择WAN属性的路由接口。

通过直接填写路由的下一跳，可以实现从设备非WAN属性的接口转发数据。

26、多条策略路由，按照从上往下的顺序匹配，一旦匹配到某条策略路由后，不再往下匹配。

第3章常见的网络环境部署

3.1.接口

根据网口属性分为：

物理接口、子接口、vlan接口；

根据网口工作区域划分为：

2层区域口、3层区域口；

其中物理口可选择为：

路由口、透明口、虚拟网线口、镜像口；

3.2.旁路模式

2、旁路模式部署AF，AF仅仅支持的功能有WAF（web应用防护），IPS（入侵防护系统），和DLP（数据库泄密防护，属于WAF内，其余功能均不能实现，例如Vpn功能，网关（smtp/pop3/http）杀毒，DOS防御，网站防篡改，Web过滤等都不能实现。

部署思路：

1、连接旁路口eth3到邻接核心交换机设备

2、连接管理口并配置管理ip

3、启用管理口reset功能

1、当源区域配置为旁路镜像区域时，目的区域自动填写为所有区域

2、目的IP组不能填写所有

3、旁路部署支持阻断，通过查找系统路由选择接口发送tcpreset包混合模式

3.3.混合模式

第4章防火墙功能

4.1.源地址转换（SNAT）：

源地址转换即内网地址访问外网时，将发起访问的内网IP地址转换为指定的IP地址，内网的多台主机可以通过同一个有效的公网IP地址访问外网。

典型应用场景：

设备路由部署在公网出口代理内网用户上网

4.2.目的地址转换（DNAT）：

目的地址转换也称为反向地址转换或地址映射。

目的地址转换是一种单向的针对目标地址的地址转换，主要用于内部服务器以公网地址向外网用户提供服务的情况。

外网用户访问服务器所在网络出口线路的公网地址时，直接访问到内部服务器。

（如WAN->

LAN端口映射）

4.3.源地址转换

4.4.目的地址转换DNAT

4.5.双向地址转换

4.6.DDOS功能

1、外网防护：

主要对目标地址做重点防御，一般用于保护内部服务器不受外网的DOS攻击。

（该外网为用户自己定义的攻击源区域，不一定非指Internet）

2、内网防护：

主要用来防止设备自身被DOS攻击。

配置外网防护时，除内容里特别注明不能勾选的项外，其它均可以勾选，勾选后，请注意设置好阈值，建议使用默认的阈值。

3、对于“基于数据包的检测”、“基于报文的检测”的规则，在开启直通的情况下仍然检测并丢包。

4、部署环境选择，如果是二层必须选二层环境，三层选三层环境，切记

4.7.连接数控制

1、连接数控制只匹配源区域

4.8.DNSmapping

1.设置DNSMapping后，内网访问服务器的数据将不会经过防火墙设备，而是直接访问的服务器内网IP。

双向地址转换则是所有数据都会经过防火墙去访问。

所以通过DNSMapping可以减轻防火墙压力。

2.DNSMapping的设置方法比双向转换规则简单。

不涉及区域、IP组、端口等设置，但要求客户端访问时必须使用域名去解析。

3.DNSMapping不支持一个公网IP映射到多台内网服务器的情况。

而双向地址转换功能没有此限制。

4、当同时做了DNSmapping和双向地址转换时，若用户端以域名访问服务器，则DNSmapping生效；

若用户端以IP访问服务器，则双向地址转换生效。

（同时有DNSmapping和双向地址转换，用域名=DNSmapping，用IP=双向地址转换）

4.9.ARP欺骗

“网关MAC广播”只会广播设备非WAN属性接口的MAC，如果需要定期广播WAN接口的MAC地址，则需开启“免费ARP”功能。

在【系统】-【系统配置】-【网络参数】中，勾选“免费ARP“

第5章VPN互联配置

5.1.SANGFORDLAN互联的基本条件：

1）至少有一端作为总部，且有足够的授权（硬件与硬件之间互连不需要授权）。

2）建立DLAN互联的两个设备路由可达，且至少有一个设备的VPN监听端口能被对端设备访问到。

3）建立DLAN互联两端的内网地址不能冲突。

4）建立DLAN互联两端的版本需匹配。

2、NGAF仅支持作为网关（路由）模式或者单臂模式的SANGFORVPN对接。

标准的第三方IPSEC互联，仅在网关模式部署下支持。

3、网桥透明模式，虚拟线路模式，旁路模式都不支持VPN功能；

4、必须有一个物理接口为路由口，才支持建立DLAN连接

5.2.NGAF设备VPN模块下的【内网接口设置】有何作用？

答：

【内网接口设置】中只能添加非WAN属性的路由口，用于将这个接口上主IP（第一个IP）的网段通告对端的SANGFOR设备，对端访问这个网段的数据就能被加密封装，通过VPN传输。

【内网接口设置】的作用与本地子网相同，但是，【内网接口设置】中添加接口只通告设备直连网段；

通过本地子网，可以通告本端所有的内网网段。

5.3.NGAF设备VPN模块下的【外网接口设置】有何作用？

如果需要开启VPN多线路功能和标准IPSEC对接的情况下，则必须设置【外网接口设置】。

通过【外网接口设置】添加外网接口，可探测外网接口的线路状态。

5.4.NGAF标准IPSECVPN互联条件

1.NGAF设备必须具有分支机构的授权

2.NGAF设备必须至少具有一个WAN属性的路由接口（非管理口Eth0），和一个非WAN属性的路由口（非管理口Eth0），用于建立标准IPSEC连接。

3.NGAF标准IPSECVPN互联注意事项

1）NGAF设备不能通过管理口eth0建立标准IPSEC互联（即把eth0口添加其它IP地址，当做内网口或者外网口建立标准IPSECVPN的场景）。

2）NGAF设备配置标准IPSEC互联时，必须配置【外网接口设置】和【内网接口设置】。

3）NGAF设备建立标准IPSEC互联时，VPN的数据必须从一个非WAN属性的路由口进入到设备，并从一个WAN属性的路由口转发。

第6章服务器保护培训

6.1.服务器保护

1、目前主要针对WEB应用和FTP应用提供保护

6.2.DLP数据防泄密

1、新增敏感信息组合策略，各个策略间为或的关系

2、配置敏感信息防护策略，各个敏感信息类型之间为与的关系，如不允许出现身份证号与手机号码，并且一次都不准出现

3、注意事项：

1）DLP对服务器传出数据过滤，不过滤客户端提交数据

2）DLP功能需要多功能序列号开启；

预定义敏感信息泄露库可自动更新，受序列号控制

3）配置DLP后WAF规则可启用短信告警

4）支持UTF-8、GBK、GB2312三种编码；

支持gzip、deflate、chunk三种压缩

5）模式组内是“与”关系，要求同时出现多选的数据；

模式组之间是“或”关系，顺序匹配直到拒绝或全部放行

6）文件过滤仅从url匹配文件名后缀，不识别内容，不支持无后缀名文件，如/etc/passwd

7）文件过滤为黑名单形式，仅需配置拒绝名单

8）新建文件过滤时默认勾选拒绝

.config/.inc/.ini./mdb/.MYD/.frm/.log等文件

9）JbossStruts2网站文件类型为.action/.do等，需要额外放通

第7章网站放篡改

7.1.精确匹配和模糊匹配

1、精确匹配：

一般用于全静态网页网站，网页中任何一个元素的变化都将判断为被篡改。

2、模糊匹配：

灵敏度分为，高、中、低

高、中：

可以用于静态/动态网页都有的网站

低：

一般用于全动态网页网站，误判率最低，但会有一定的漏判

3、启用黑链的检测，只有在模糊匹配模式下使用，精确匹配时不行

7.2.防护深度

4、防护深度：

最大防护深度指通过几次链接找到页面，与url地址中目录，级数无关，主页的连接，深度都