深信服应用防火墙参数
深信服虚拟化 Web 应用防火墙云 WAF 用户手册说明书
深信服虚拟化Web应用防火墙云WAF 用户手册产品版本8.0.28文档版本 01发布日期2021-03-12深信服科技股份有限公司版权所有©深信服科技股份有限公司 2020。
保留一切权利。
除非深信服科技股份有限公司(以下简称“深信服公司”)另行声明或授权,否则本文件及本文件的相关内容所包含或涉及的文字、图像、图片、照片、音频、视频、图表、色彩、版面设计等的所有知识产权(包括但不限于版权、商标权、专利权、商业秘密等)及相关权利,均归深信服公司或其关联公司所有。
未经深信服公司书面许可,任何人不得擅自对本文件及其内容进行使用(包括但不限于复制、转载、摘编、修改、或以其他方式展示、传播等)。
注意您购买的产品、服务或特性等应受深信服科技股份有限公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
除非合同另有约定,深信服科技股份有限公司对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
前言关于本文档本文档针对深信服虚拟化Web应用防火墙产品,介绍了云WAF的架构、特性、安装和运维管理。
产品版本本文档以下列产品版本为基准写作。
后续版本有配置内容变更时,本文档随之更新发布。
读者对象本手册建议适用于以下对象:⚫网络设计工程师⚫运维人员符号约定在本文中可能出现下列标志,它们所代表的含义如下。
在本文中会出现图形界面格式,它们所代表的含义如下。
修订记录修订记录累积了每次文档更新的说明。
最新版本的文档包含以前所有文档版本的更新内容。
资料获取您可以通过深信服官方网站获取产品的最新资讯:获取安装/配置资料、软件版本及升级包、常用工具地址如下:深信服科技深信服技术服务技术支持用户支持邮箱:*******************.cn技术支持热线电话:400-630-6430(手机、固话均可拨打)深信服科技服务商及服务有效期查询:https:///plugin.php?id=service:query意见反馈如果您在使用过程中发现任何产品资料的问题,可以通过以下方式联系我们。
深信服防火墙功能介绍
深信服防火墙功能培训
培训内容 防火墙基本功能介绍
NAT代理上网
端口映射
培训目标 1.掌握防火墙规则的作用 2.掌握代理上网功能的作用 3.掌握端口映射功能的作用 1.掌握代理上网功能的作用及配置,能根据客 户的需求完成代理上网规则设置
动动手
某客户网络拓扑如右图所示,客户 内网有台邮件服务器,申请的域名 是,该域名绑定 了WAN口的两个公网IP地址。 请配置实现公网和内网用户均可通 过这个域名收发邮件。
WAN1:202.96.137.75 WAN2:129.212.36.5 LAN:172.16.1.3/24
WAN1:202.96.137.75 LAN:172.16.1.3/24
172.16.1.1/24 192.200.1.1/24 192.200.2.1/24
IP: 192.200.2.250/24 GW:192.200.2.1
端口映射典型应用案例及配置
配置思路:
1. 设置端口映射规则,即把目标IP为202.96.137.75,且目标端口为TCP 8000的数据转换目标IP为192.200.2.250,目标端口为TCP 80。
SNAT IP1
IP4
WAN:IP4 LAN:IP3
IP1
IP2
代理上网典型应用案例及配置
客户案例:
某客户新建一个工厂,需要 规划网络和建设机房,购买 了一台SANGFOR AC设备部 署在公网出口,代理内网上 网,同时做上网控制。 工厂内部上网的电脑全都在 192.200.1.0/24网段,服务 器都在192.200.2.0/24网段。
深信服防火墙实施方案
深信服防火墙实施方案一、引言随着信息技术的不断发展,网络安全问题日益凸显。
作为企业网络安全的重要组成部分,防火墙在网络安全防护中起着至关重要的作用。
深信服防火墙作为国内领先的网络安全解决方案提供商,其实施方案备受企业青睐。
本文将针对深信服防火墙的实施方案进行详细介绍,旨在帮助企业更好地了解深信服防火墙,并有效实施。
二、深信服防火墙概述深信服防火墙是一种基于硬件和软件的网络安全设备,用于监控和控制网络流量。
其主要功能包括对网络数据包进行过滤、监控和记录网络流量,以及实施访问控制策略。
深信服防火墙采用了先进的技术和算法,能够有效防范各类网络攻击,保护企业网络安全。
三、深信服防火墙实施方案1. 网络安全需求分析在实施深信服防火墙之前,企业需要进行网络安全需求分析,全面了解企业的网络拓扑结构、业务特点、安全风险等情况。
通过对网络安全需求的分析,可以为后续的防火墙实施提供重要参考。
2. 防火墙规划设计在网络安全需求分析的基础上,企业需要进行防火墙的规划设计工作。
这包括确定防火墙的部署位置、网络分区、安全策略、访问控制规则等。
深信服防火墙支持多种部署方式,包括边界防火墙、内网防火墙、虚拟专用网(VPN)等,企业可以根据自身需求选择合适的部署方式。
3. 防火墙设备采购与部署根据防火墙规划设计方案,企业可以进行深信服防火墙设备的采购与部署工作。
深信服防火墙提供了多款型号的产品,企业可以根据自身网络规模和安全需求选择合适的防火墙设备。
在设备部署过程中,需要严格按照厂商提供的部署指南进行操作,确保防火墙设备能够正常工作。
4. 安全策略配置安全策略配置是深信服防火墙实施的关键环节。
企业需要根据实际安全需求,制定合理的安全策略,并在防火墙设备上进行配置。
安全策略包括访问控制规则、应用层代理、虚拟专用网配置等内容,需要根据企业的实际情况进行定制化配置。
5. 网络性能优化在防火墙实施完成后,企业需要对网络性能进行优化。
深信服防火墙支持多种性能优化功能,包括带宽管理、流量优化、负载均衡等,可以帮助企业提升网络性能,提高用户体验。
深信服应用防火墙参数
支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能
可配置支持地址转换的有效时间
支持多种NAT ALG,包括DNS、FTP、H.323、SIP等
IPSecVPN功能
支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法
病毒库数量
支持10万条以上的病毒库,并且可以自动或者手动升级
流控
应用特征识别库
*支持对1000种以上应用2000种以上的应用动作(需提供截图证明)
应用流控
*支持基于应用类型划分与带宽分配
网站流控
*支持基于网站类型的划分与带宽分配
文件流控
支持基于文件类型划分与分配带宽
WEB安全防护
URL过滤
*对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为;并进行阻断和记录日志
文件类型过滤
*支持针对上传、下载等操作进行文件过滤;支持自定义文件类型进行过滤;支持基于时间表的策略制定;支持的处理动作包括:阻断和记录日志
ActiveX过滤
*支持基于签名证书的ActiveX过滤;支持添加白名单和合法网站列表;支持基于应用类型的ActiveX过滤,如视频、在线杀毒、娱乐等;
脚本过滤
抗攻击特性
支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能
深信服下一代防火墙AF1520招标参数
产品成熟度要求
★要求所投产品Web应用防护能力经过国际知名实验室NSS Labs测试,并获得recommended推荐级别;(提供NSS Labs相关测试报告并加盖厂商公章)
要求所投品牌下一代防火墙产品正式发布时间超过3年以上;(提供互联网上第三方媒体对厂商正式发布产品的相关报道截图并加盖厂商公章)
★支持Web漏洞扫描功能,可扫描WEB网站SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞;(需提供截图证明并加盖厂商公章)
支持asp/aspx/php/jsp等主流webshell后门扫描功能;(需提供扫描工具)
支持Php常见sql注入、xss跨站脚本、命令执行、文件包含等脚本漏洞白盒审计功能,显示出具体漏洞类型、存在问题代码所在行数(需要提供截图并加盖厂商公章)
Web攻击特征库/IPS特征库应每月至少更新两次(要求提供官网最近1年内的截图证明)
APT攻击防护(高级威胁防护)
★支持对客户端/服务器是否被种植了远控木马或者其他病毒,恶意软件从而形成僵尸主机进行检测,僵尸主机识别特征总数在30万条以上;(需提供截图证明并加盖厂商公章)
★支持异常连接检测,对21,22,25,53,69,80/8080,110,143,443等常见端口的协议异常流量检测,并支持RDP和SSH端口反弹链接检测;(需提供截图证明并加盖厂商公章)
支持HTTP应用信息隐藏,可自定义需要隐藏信息的HTTP响应参数字段,支持替换服务器出错和请求出错响应页面,支持FTP应用服务器信息、软件版本信息隐藏;
★支持Web登录密码明文传输检测和弱口令防护,支持针对Web页面和ftp的口令暴力破解防护;(需提供截图证明并加盖厂商公章)
深信服应用防火墙参数
支持10万条以上的病毒库,并且可以自动或者手动升级
流控
应用以上的应用动作(需提供截图证明)
应用流控
*支持基于应用类型划分与带宽分配
网站流控
*支持基于网站类型的划分与带宽分配
文件流控
支持基于文件类型划分与分配带宽
WEB安全防护
URL过滤
*对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为;并进行阻断和记录日志
抗攻击特性
支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能
一、性能及配置要求
AF-1320-L对应NS-SecPath U200-A
项目
指标
具体功能要求
接口
电口
具备至少6个10/100/1000 Base-T 千兆电口
Bypass
*支持故障时Bypass功能(1路)
技术
规范
安装空间
标准1U机架尺寸
储存温度
-20℃~70℃
相对湿度
5~95%(无凝结状态)
性能
智能策略联动
*风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,自动生成策略(需提供截图证明)
AF防火墙参数:全系列型号
国内下一代防火墙第一品牌
深信服下一代防火墙(Next-Generation Application Firewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。
NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。
区别于传统的网络层防火墙,NGAF具备L2-L7层的协议的理解能力。
不仅能够实现网络层访问控制的功能,且能够对应用进行识别、控制、防护,解决了传统防火墙应用层控制和防护能力不足的问题。
区别于传统DPI技术的入侵防御系统,深信服NGAF具备深入应用内容的威胁分析能力,具备双向的内容检测能力为用户提供完整的应用层安全防护功能。
同样都能防护web攻击,与web应用防火墙关注web应用程序安全的设计理念不同,深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题,为对外发布系统打造坚实的防御体系。
深信服AF防火墙第二层透明模式下配置
深信服AF防火墙第二层透明模式下配置在配置深信服AF防火墙第二层透明模式之前,首先需要进行以下准备工作:1.网络拓扑规划:确定防火墙的放置位置和与其他网络设备的连接方式,以便合理规划网络流量的监控和策略的下发。
2.IP地址规划:为防火墙的透明模式接口和管理口分配合适的IP地址,并与网络中的其他设备进行地址配置的协调。
3.网络访问策略:根据实际需求和网络安全要求,定义合适的网络访问策略,包括访问控制列表(ACL)、安全策略、NAT等,以确保网络流量的安全性和合规性。
下面是深信服AF防火墙第二层透明模式的配置步骤及相关解释:1.登录防火墙:使用浏览器访问深信服AF防火墙的管理页面,并使用管理员账号进行登录。
2.配置接口:选择"网络"-"接口",点击“新增”,配置透明模式接口的相关参数,包括名称、物理接口、IP地址、子网掩码等。
3.绑定端口:选择"网络"-"端口",选择待绑定的物理接口,点击“绑定”,将透明模式接口与物理接口进行绑定。
4.配置VLAN:如果需要对网络流量进行VLAN隔离,选择"网络"-"VLAN",点击“新增”,配置VLAN的相关参数,包括名称、VLANID、IP 地址等。
5.配置物理链路:选择"网络"-"链路",点击“新增”,配置物理链路的相关参数,包括名称、绑定接口、链路类型等,以将不同的物理接口绑定为一组进行负载均衡和冗余备份。
6.配置网络ACL:选择"策略"-"网络ACL",点击“新增”,配置ACL规则,包括源IP、目的IP、协议、端口等,以定义允许或禁止的网络流量。
7.配置安全策略:选择"策略"-"安全策略",点击“新增”,配置安全策略规则,包括源地址、目的地址、应用、行为等,以定义网络流量的安全检查和处理方式。