深信服NGAF典型部署案例与上架问题参考手册
SANGFOR_WAC常见部署配置指导
无线wac常见部署配置指导深信服电子科技有限公司2014年4月28日第1章前言本地主要介绍WAC几种常见的部署场景和配置,包括单臂部署集中转发、单臂部署本地转发、网关部署集中转发,网络以三层环境进行讲解,二层环境部署WAC参考本文档案例即可。
第2章常见部署指导2.1.单臂部署本地转发用户网络是复杂跨三层的网络环境,购买WLAN-WAC设备以单臂部署在3层交换机上,实现对内网的所有无线AP进行集中管控和认证,通常部署WLAN时,部署的AP个数会非常多,下面部署案例中,都只以2-3个AP作为范例表示。
图中,WAC以单臂模式部署在客户网络3层交换机上,3层交换机是内网PC的网关,如下图所示:网络环境:三层交换机eth0口:192.168.1.1/24,eth1口:172.16.1.1/24,eth2:10.0.0.1/24 FW:lan口10.0.0.2/24WAC:172.16.1.254/24第一步:通过管理口(ETH0)的默认IP登录设备。
管理口的默认IP是10.252.252.252/24,在电脑上配置一个相同网段的IP地址,通过https://10.252.252.252登录设备。
第二步:配置WAC可以上网,通过『系统管理』→『接口管理』,点击需要设置成外网接口的接口,如eth1,出现以下页面:配置eth1接口IP地址为:172.16.1.254/255.255.255.0第三步:配置WAC,让WAC可以正常上网,到【系统配置】-【网络配置】处添加8个0的静态路由第四步:在WAC上配置HOSTS,并启用DNS代理,当AP获取解析到的默认域名为WAC的IP地址时,AP会自动发现WAC。
在【系统管理】-【系统配置】-【HOSTS】这里配置WAC的IP地址172.16.1.254的主机名为:。
并在【系统管理】-【网络配置】-【DNS】配置DNS地址,并且启用DNS代理。
注:需要在3层交换机启用DHCP,并且对配置分发的DNS服务器为WAC的LAN口IP地址:172.16.1.254。
NGAF典型应用场景及案例
NGAF常见应用场景及典型案例安徽卫生厅全省卫生综合管理平台建设安徽省卫生厅计划完成全省各县的卫生综合管理平台的建设,由于各县级单位资金有限、网络管理人员资源不足,选择一款安全最佳、功能最全、投资最优、运维最简便的安全产品是各县级单位考虑平台安全建设的重点。
深信服NGAF为各县管理平台提供针对服务器风险的2-7层一体化安全解决方案,有效保障管理平台安全的同时,简化了组网、方便了运维、节约了投资,为各县级市投资利益最大化提供了最优的解决方案。
目前全省已成功部署10多台,后续其他各县市也将陆续部署深信服NGAF下一代应用防火墙。
贵阳市地方税务局实现互联网出口统一安全防护贵阳市地方税务局的网络规划本着“简化组网,节约投资”的原则,内网办公区域互联网的出口与现网网站规划同一互联网出口。
由于内网办公区终端的不可控性,很容易导致位于同一互联网出口的WEB门户网站的安全及响应速度问题。
根据贵阳地税的特殊网络环境和需求,深信服为贵阳地税信息中心提供深信服NGAF互联网一体化安全解决方案。
通过在核心交换前端部署一台深信服NGAF,将WEB门户网站服务器与内网终端进行有效的隔离,进行有效的终端管控与WEB服务器安全防护,有效的解决了贵阳地税面临的门户网站安全问题,保障门户网站可用带宽的同时,解决了内网办公区终端面临的风险问题。
新疆联通大客户高流量互联网出口中国联合网络通信有限公司新疆维吾尔自治区分公司为给其大客户提供安全、稳定的互联网接入业务,同时确保大客户门户网站访问的安全性。
通过在大客户的互联网出口和服务器前端部署2台高性能的NGAF设备,提供应用管控、服务器防护、终端内容过滤等功能,可满足未来5年8G以上流量,10000人以上并发的高性能需求。
目前已部署上线、稳定运行。
陕煤集团门户网站安全建设陕煤集团门户网站是对外发布信息的窗口,是广大用户办理业务的便捷通道。
但门户网站却面临越来越严峻的WEB安全形势,诸如注入攻击、跨站攻击、DDOS攻击、脚本攻击、暴力破解等安全事件屡见不鲜。
SANGFOR_AF_白皮书V1.0-1108
深信服下一代防火墙NGAF技术白皮书深信服科技有限公司二零一一年八月目录1.概述 (3)2. 为什么需要下一代防火墙 (3)2.1网络发展的趋势使防火墙以及传统方案失效 (3)2.2替代性方案能否弥补 (4)2.2.1“打补丁式的方案” (4)2.2.2 UTM统一威胁管理 (4)3.下一代防火墙的诞生与价值 (4)3.1Gantner定义下一代防火墙 (4)3.2深信服下一代应用防火墙—NGAF (5)4.产品功能特点 (6)4.1更精细的应用层安全控制 (6)4.1.1可视化应用识别 (7)4.1.2多种用户识别方式 (7)4.1.3一体化应用访问控制策略 (8)4.1.4基于应用的流量管理 (9)4.2更全面的内容级安全防护 (10)4.2.1灰度威胁关联分析技术 (10)4.2.2基于攻击过程的服务器保护 (12)4.2.3强化的WEB安全防护 (13)4.2.4完整的终端安全保护 (14)4.3更高性能的应用层处理能力 (15)4.3.1单次解析架构 (15)4.3.2多核并行处理技术 (16)4.4更完整的安全防护方案 (16)5.关于深信服 (17)1.概述防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。
作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL 访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全。
防火墙就像故宫的城墙,对进出防火墙的一切数据包进行检查,保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。
防火墙技术在当时被堪称完美!随着时代的变迁,故宫的城墙已黯然失色,失去了它原有的防御能力。
同样防火墙在面对网络的高速发展,应用的不断增多的时代也失去了它不可替代的地位。
自2009年10月Gartner提出“Defining the Next-Generation Firewall”一文,重新定义下一代防火墙,下一代防火墙的概念在业内便得到了普遍的认可。
深信服上网行为管理系统用户手册
深信服上网行为管理系统用户手册深信服上网行为管理系统用户手册AC 12.0.18用户手册目录前言 (2)手册内容 (2)本书约定 (2)图形界面格式约定 (2)各类标志 (3)技术支持 (3)致谢 (3)第1 章安装指南 (4)1.1.环境要求 (4)1.2.电源 (4)1.3.产品外观 (4)1.4.配置与管理 (5)1.5.单设备接线方式 (5)1.6.双机备份接线方式 (7)第2 章控制台的使用 (8)2.1.登录WebUI配置界面 (8)2.1.1.AC的web 登录方式 (8)2.1.2.统一认证中心的登录方式 (11)2.2.配置和使用 (12)第3 章功能说明 (15)3.1.增值服务导航 (15)3.1.1.激活设备 (15)3.1.2.进入技术社区 (17) 3.1.3.“信服君”机器人 (18) 3.2.行为感知系统 (19)3.2.1.办公网上网态势 (22) 3.2.2.带宽分析 (31)3.2.3.泄密追溯分析 (33) 3.2.4.离职倾向分析 (36) 3.2.5.工作效率分析 (40) 3.2.6.未关机检测分析 (42) 3.3.实时状态 (43)3.3.1.实时状态 (43)3.4.对象定义 (89)3.4.1.应用特征识别库 (91) 3.4.2.应用智能识别库 (97) 3.4.3.自定义应用 (100)3.4.4.URL分类库 (104) 3.4.5.URL库列表 (104) 3.4.6.准入规则库 (109)3.4.7.网络服务 (129)3.4.8.IP 地址库 (131)3.4.9.时间计划组 (139)3.4.10.关键字组 (141)3.4.11.文件类型组 (143) 3.4.12.位置对象组 (144) 3.5.用户认证与管理 (147) 3.5.1.原理 (147)3.5.2.用户认证 (151)3.5.3.用户管理 (220)3.5.4.认证高级选项 (259) 3.6.策略管理 (277)3.6.1.上网策略 (278)3.6.2.策略高级选项 (368)3.7.流量管理 (375)3.7.1.概述 (375)3.7.3.通道配置 (377)3.7.4.线路带宽配置 (414)3.7.5.虚拟线路配置 (415)3.7.6.流量可视化 (425)3.8.终端接入管理 (425)3.8.1.共享接入管理 (426)3.8.2.移动终端管理 (430)3.8.3.代理工具管理 (433)3.9.上网安全 (438)3.9.1.安全状态 (438)3.9.2.安全配置 (441)3.10.VPN配置 (457)3.10.1.DLAN运行状态 (457) 3.10.2.多线路设置 (458)3.10.3.SDWAN智能选路 (460) 3.10.4.基本设置 (472)3.10.5.用户管理 (474)3.10.6.连接管理 (488)3.10.7.虚拟IP 池 (491)3.10.8.本地子网列表 (492) 3.10.9.隧道间路由设置 (494) 3.10.10.第三方对接 (497)3.10.11.通用设置 (509)3.10.12.证书管理 (511)3.10.13.高级设置 (515)3.11.系统管理 (527)3.11.1.防火墙 (527)3.11.2.网络配置 (544)3.11.3.系统配置 (633)3.12.网络安全法 (693)第4 章案例集 (696)4.1.单点登录配置案例 (696)4.1.1AD域单点登录功能配置案例 (696)4.1.2PROXY单点登录配置案例 (723)4.1.3POP3单点登录配置案例 (732)4.1.4Web单点登录配置案例 (737)4.1.5与第三方设备结合单点登录配置案例 (741)4.1.6深信服设备结合认证 (756)4.1.7数据库系统结合认证 (759)4.2.不需要认证用户配置案例 (762)4.3.密码认证用户配置案例 (769)4.3.1短信认证 (769)4.3.2微信及二维码认证 (787)4.3.3密码认证 (801)4.4.其他认证配置案例 (810)4.5.与cas第三方认证配置案例 (825)4.6.策略配置案例 (828)4.6.1针对某用户组设置封堵P2P 和P2P流媒体的策略 (828) 4.6.2针对某用户组设置IM 监控的策略 (832)4.6.3针对某用户组设置开启审计功能 (836)4.7.终端管理配置案例 (838)4.7.1防共享功能配置案例 (838)4.7.2移动终端管理配置案例 (840)4.7.3代理工具理配置案例 (841)4.8.SNMPTRAP配置案例 (842)4.9.综合案例 (846)4.9.1客户网络环境与需求 (846)4.9.2配置思路 (847)附录:SANGFOR设备升级系统的使用 (865)产品升级步骤 (868)前言手册内容第1 部分SANGFOR AC 产品概述。
深信服NGAF_Web安全解决方案
一站式Web 安全解决方案文档密级:公开深信服 Web 业务安全解决方案一、Web 安全的挑战随着互联网技术的高速发展,绝大部分客户都已经将自身业务迁移到互联网上开展,而这当中又主要是以Web 服务为载体进行相关业务的开展,Web 成为当前互联网应用最为广泛的业务。
而针对 Web 业务的安全问题也越来越多。
如 2016 年 4 月底的 Struts2 S2-032 让网站的安全问题又引发了业界普遍的关注,很多网站纷纷中招,被黑客入侵造成了严重损失。
从历史 Struts2 漏洞爆发数据看,此前每次漏洞公布都深度影响到了政府、金融等行业。
网站作为主要的对外门户,已经成为黑客发起攻击的首要目标,网站一旦遭遇攻击,将有可能导致严重的后果:网站被篡改,直接影响对公众树立的社会形象;网站业务被攻击导致瘫痪,影响效率和经济利益;网站敏感数据被窃取,影响单位信誉;网站被攻陷后成为跳板,渗透到内部网络,造成更大面积的破坏;被第三方监管机构,漏洞报告平台通报,带来负面影响;二、Web 安全的问题针对Web 的攻击往往隐藏在正常访问业务行为中,导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。
Web 业务系统面临的安全问题是不是单方面的,概括起来主要有以下四个方面:1)开发时期遗留问题由于Web 应用程序的编写人员,在编程的过程中没有考虑到安全的因素,使得黑客能够利用这些漏洞发起对网站的攻击,比如SQL 注入、跨站脚本攻击等。
2)系统底层漏洞问题Web系统包括底层的操作系统和Web业务常用的发布系统(如IIS、Apache),这些系统本身存在诸多的安全漏洞,利用好这些漏洞,可以给入侵者可乘之机。
3)运维管理中的问题业务系统中由于管理的问题也存在诸多安全隐患,如弱口令、管理员界面等等,导致黑客、病毒可以利用这些缺陷对网站进行攻击。
4)破坏手段多样问题Web 系统所处的环境的网络安全状况也影响着Web 系统的安全,比如网络中存在的DoS 攻击,或者存在感染病毒木马的终端,给黑客提供可利用的跳板等,这些内网自身的安全问题同样会影响到Web 系统的稳定运行。
深信服全系列产品手册
目前很多组织都面临 着这样的挑战。
25 29 33 37
IPSec VPN
由于某些行业的特殊性,需要一种非常安 全的方式达到异地网络的互联, IPSec VPN 正是基于这样的需要而出现,可实 现异地机构快速组网、大型专网中数据安 全 加 密 、 行 业 专 网 的V P N延 伸 、 专 网 单 一 链路的稳定备份等多重价值。
通过部署AD产品,最高人民法院的门户网站实现了内外网用户的流量分担及服务器的智能负载均衡, 这不仅提升了 海量用户的访问速度和稳定性,还最大程度上改善了服务器的利用效率,提高了IT投资回报。
深信服公司
市场咨询免费热线:800 830 9565 深圳市南山区科技园科发路8号金融基地2栋4楼
邮 编:518052
电 话:0755-26581949 传 真:0755-26581959
邮 箱:market@
技术支持免费热线:800 830 6430 科技中二路深圳软件园十二栋501室 邮 编:518052 传 真:0755-86336514 邮 箱:support@
上网优化 SG
海量的互联网资源与组织有限的网络带 宽之间的矛盾由来已久,尤其近年互联 网的高速发展使得内网用户渴望快速上 网的诉求与日俱增,上网优化网关这一 概念也应运而生。
流量管理 BM
信息化建设的深入以及信息系统的普 及,使得组织机构网络所承载的数据与 内容变得复杂与多元化,同时组织业务 发展对网络质量的要求与网络应用日益 丰富导致的带宽瓶颈问题之间的矛盾日 趋严峻。
商业智能分析
A D产 品 可 统 计 访 问 用 户 的 时 间 、 地 域 分 布 特 性 以 及 用 户 的 应 用 访 问 偏 好 , 为 企 业 业 务 运 营 挖 掘 更 多 的 用 户 特 征信息,以支撑商业决策。
深信服下一代防火墙AF 快速安装手册
SANGFOR NGAF 快速安装手册
0
技术支持说明
为了让您在安装,调试、配置、维护和学习 SANGFOR 设备时,能及时、快速、有效 的获得技术支持服务,我们建议您:
SANGFOR 技术论坛: 公司网址: 技术支持服务热线: 400-630-6430(手机、固话均可拨打) 邮箱:support@
1
目录
技术支持说明................................................................................................................................... 1 声明 .................................................................................................................................................. 3 前言 .................................................................................................................................................. 4 第 1 章 NGAF 系列硬件设备的安装 .......................................................
深信服NGAF典型部署案例与上架问题参考手册
深信服N G A F典型部署案例与上架问题参考手册公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]NGAF典型案例与上架问题快速参考手册目录案例部分一、路由模式部署单线路简单部署by谢辉【网络现状】Internet——NGAF——内网(PC和服务器)现有1条外网出口线路,20M出口带宽.内网lan口接核心交换机,服务器区也在lan区域.【客户需求】AF代理内网上网对外发布服务双向地址映射流量控制【设备配置】(1)配置lan口,设置为路由口,由于是内网口,固不勾选 wan口(2)配置WAN口,设置为路由口,选择wan口。
(3)设置区域,一个接口属于一个区域,如图:(4)配置系统路由(添加回包路由和缺省路由,缺省路由必须要添加。
)(5)配置源地址转换,即代理上网功能。
源区域选择lan,目标区域选择wan。
源地址转换选择出接口地址,如果有多个公网IP可以选择IP范围。
(6)设置目的地址转换(即对外发布服务)。
源区域选择wan,目的区域为灰色,不可选,IP组应当设置wan口映射IP,可以通过IP组来发布需要映射的公网IP,客户需要将公网的8080端口映射到内部服务器的80端口,固需要将8080端口转换成80端口,以实现客户需求。
(7)客户需要在内网访问公网地址来访问内部服务器,需要我们做双向映射来实现,源区域和目的区域都选择lan区,应用服务器是通过来访问的,固目标端口设置7890,该端口不需要转换所以目标端口转换选择-不转换,如果是域名,则用dnsmapping即可。
所有映射条目如下图:(8)映射设置完毕后,需要放通相应的应用控制策略。
注意:做双向映射后,应当放通lan-lan的规则。
(9)配置流控模块1. 先配置虚拟线路,如图所示:2. 配置正确的线路带宽,将WAN区域的接口设置为外出接口,本例中eth2为WAN口,如下图:3. 设置流控策略,设置流控策略基本和AC一致。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
NGAF典型案例与上架问题快速参考手册目录案例部分 (1)一、路由模式部署 (1)单线路简单部署by谢辉 (1)单线路+专线互联by李绘东 (11)多线路+sangfor vpn互联by李宁 (22)二、网桥模式部署by孙阳华 (31)三、功能测试案例by黄翔 (42)问题部分 (48)一、断网问题 (48)路由模式 (48)网桥模式 (50)二、目的地址转换/双向地址转换不通问题 (52)目的地址转换 (52)双向地址转换 (53)三、经过AF访问公网速度变慢 (53)案例部分一、路由模式部署单线路简单部署by谢辉【网络现状】Internet——NGAF——内网(PC和服务器)现有1条外网出口线路,20M出口带宽.内网lan口接核心交换机,服务器区也在lan区域.【客户需求】AF代理内网上网对外发布服务双向地址映射流量控制【设备配置】(1)配置lan口,设置为路由口,由于是内网口,固不勾选wan口(2)配置W AN口,设置为路由口,选择wan口。
(3)设置区域,一个接口属于一个区域,如图:(4)配置系统路由(添加回包路由和缺省路由,缺省路由必须要添加。
)(5)配置源地址转换,即代理上网功能。
源区域选择lan,目标区域选择wan。
源地址转换选择出接口地址,如果有多个公网IP可以选择IP范围。
(6)设置目的地址转换(即对外发布服务)。
源区域选择wan,目的区域为灰色,不可选,IP组应当设置wan口映射IP,可以通过IP组来发布需要映射的公网IP,客户需要将公网的8080端口映射到内部服务器的80端口,固需要将8080端口转换成80端口,以实现客户需求。
(7)客户需要在内网访问公网地址来访问内部服务器,需要我们做双向映射来实现,源区域和目的区域都选择lan区,应用服务器是通过http://X.X.X.X:7890来访问的,固目标端口设置7890,该端口不需要转换所以目标端口转换选择-不转换,如果是域名,则用dnsmapping即可。
所有映射条目如下图:(8)映射设置完毕后,需要放通相应的应用控制策略。
注意:做双向映射后,应当放通lan-lan的规则。
(9)配置流控模块1. 先配置虚拟线路,如图所示:2. 配置正确的线路带宽,将WAN区域的接口设置为外出接口,本例中eth2为WAN口,如下图:3. 设置流控策略,设置流控策略基本和AC一致。
至此配置完成单线路+专线互联by李绘东【网络现状】现在出口设备为5年前的PIX防火墙,PIX防火墙老化,有时会出现断电后起不来的现象,且PIX不能满足客户对内网安全情况和全网流量的了解和服务器防护的需求。
出口链路有2条,公网电信20M,外加一条2M的专线,电信公网线路上有多个公网IP,用来做内网用户上网的PAT和服务器端口映射用,内网用户访问专线的流量,一部分走路由,一部分在专线上起端口映射。
【客户需求】AF代理内网上网,实现公网走电信、专网流量走专线等需求。
内网有服务器需要在AF上通过端口映射发布出去,部署拓扑图如下:目前需要通过NGAF下一代应用防火墙保证内网用户访问互联网的安全以及保护内部服务器的安全。
【设备配置】(1)配置物理接口Lan口为三层路由口,填上相应的IP地址和掩码,测试的时候不是很赶时间的话,尽量完善描述,方便后面查看。
配置WAN口,这里的WAN口有多个公网地址,但是在pix的wan口只配置了一个公网地址,其他公网地址都是在端口映射里体现出来。
这里我们把公网地址一个不漏的都配置上来。
还是要提一下,下一跳网关是做链路检测和做策略路由用的,与默认路由没关系。
接下来配置专线的属性。
专线也有2个IP地址,一个用来跑路由,一个用来做IP地址映射用的,在翻译PIX的配置时,一定要细心不能漏掉。
还有一点,专线也勾选了“Wan口”属性,我去测试时差点忽视了这一点,后来赶在设备上架前申请到了多线路序列号(默认只有一条线路授权)。
如果没有勾wan口属性的话,可能会有如下后果(引用http://200.200.0.20:5/dedecms/plus/view.php?aid=1078):●流量控制不生效●策略路由设置有障碍(策略路由出接口无法选择非wan口,实际上直接填写下一跳网关为非wan接口的网关,配置也是生效的。
)●脚本过滤、插件过滤不生效●流量审计不生效(网关运行状态-应用流量排行看不到内容)●没有启用wan属性,则启用免费arp功能后,也不会主动广播该接口的mac出去,可能导致前置设备不能更新自己的mac。
(同时启用arp欺骗防御可以解决此问题)。
●其他功能如静态路由、NA T、应用识别等不会影响。
所以专线还是勾上“wan口”属性,客户可能会用到那些功能。
(2)区域设置(3)路由设置记得设置默认路由,这里涉及到的路由包括默认路由(上网和服务器回公网访问包用的),专线路由,内网回程路由,检查路由的时候也可以按照这几类去排查。
(4)DNS设置,设置设备的DNS,启用DNS代理(5)NAT配置防火墙配置,二层协议使用默认的全部放行,这里二层全是以太。
关键是配置地址转换这一块。
由于先前客户使用PIX防火墙,所以地址转换的配置首先需要把PIX上的地址转换配置原封不动的翻译过来,保证内网服务器发布,上网,专线通信正常。
PIX的配置如下:翻译后的配置:几条典型的命令翻译:global (outside) 1 interface//指定外部地址范围,也就是说,内网用户访问外网,地址被转换为这个接口的地址,相当于cisco IOS下的ip nat outsideglobal (intf2) 1 interface//同上,专线上也有地址映射存在nat (inside) 0 access-list 310//0表示不转换,即,匹配acl310的数据包不转换,不转换那就是走路由了,在我们AF 做策略的时候,要搞清楚那些地址需要转换,那些不转换nat (inside) 1 0.0.0.0 0.0.0.0 0 0//其他地址都转换专线和公网口都开启了地址转换,至于内网数据包如何转换,或者说转换成那个出接口的地址,这个就要看路由了,路由到哪个口,就转换成那个口的IP。
alias (inside) 10.200.91.250 219.140.177.43 255.255.255.255alias (inside) 10.200.91.231 219.140.177.44 255.255.255.255alias (inside) 10.200.91.251 219.140.177.45 255.255.255.255//这部分是PIX上相当于Lan-Lan映射的配置,我们AF上直接用双向地址转换搞定(6)DDOS/DOS攻击防护策略配置外网防护策略,按需开启,阀值可以自己调整,有时候为了体现效果,阀值可以相对调低一些(可以先记录攻击,而别阻断)。
在配置“基于数据包攻击”的时候,记得取消IP数据块分片传输防护,因为一般情况下,肯定有数据包的体积大于MTU值,从而导致分片和重组。
后面的防护按需开启(7)内容安全模块的配置因为客户暂时不清楚内网发布的应用情况,所以默认先全部放通,等到客户确定好了应用后再做按需放行。
由于做了双向地址转换,注意放行lan到lan 的应用。
病毒防护策略按需开启即可为了测试效果,可以适当的开一个危险脚本检测(8)IPS与服务器保护模块的配置IPS配置WEB应用保护这里注意一点,如果内网有FTP服务器映射到公网提供服务,那么就先别勾选FTP弱口令防护,因为万一用户本来使用的就是“弱口令”,那会直接导致用户不能访问。
和客户说明我们有这个功能就可以了,如需测试,按需开启。
总结●测试前,检测设备版本是否最新,授权是否足够满足需求,序列号是否正确,规则库是否更新到指定日期;●客户网络环境确认,原来使用的防火墙什么厂家的,配置是否熟悉,是否能看懂,是否能翻译到我们的AF上面来;●做防护配置时,建议先记录,再阻拦;●上架后,先开直通。
路由,地址和端口映射做好了,开直通,应该没多大问题;●确定没问题后,关闭直通,建议边值守边找人在公网测试,当然你也可以找人随便执行个类似于xxx?and 1=1的SQL注入语句,让客户可以立马看到拦截效果(用工具效果更加明显,如明小子,阿D工具包等)。
值守1到2个小时确认没问题后,离开。
多线路+sangfor vpn互联by李宁【网络现状】现有三条外网出口线路,分别是一条电信10M,一条网通10M,一条网通2M,内网有业务网和非业务网两套网络,其中电信10M与网通10M的互联网线路用做非业务网上互联网用,网通2M线路用做业务网与太原医保局建立VPN用。
【客户需求】1、用AF替代现有路由器;2、三条外网线路均接入AF;3、网通2M外网线路与太原铁路医保做VPN对接,对端也是使用我司设备,已提供相应的VPN信息;4、有大概100个VPN移动客户端需要通过AF的VPN接入医院网络,访问内部服务器;5、电信10M与网通10M两条外网线路做负载;6、业务网只有特定的计算机可以上,且与非业务网不能互访;7、非业务网划分多个VLAN,且VLAN之间不允许互访;8、配置AF的安全策略。
【网络拓扑】未实施前:预期实施后:【设备配置】(1)接口/区域配置所有网口都配置成路由口把非业务网的内网口划分三个子接口,并做下面终端的网关:划分区域,一个网口对应一个区域,VPN与业务内网口不划入区域内:(2)路由配置配置好系统路由(前三条都是到内网网段的路由,注意要加一条默认路由供设备自身上外网、做远程维护等)配置策略路由,内网三个网网段轮循选择两条外网线路上网:(3)DHCP服务器配置,客户非业务内网三个网段由AF自动分配IP地址上网,如下图:(4)DNS代理,下面终端的DNS服务器指向AF,由AF代理解析,如下图:代理上网,地址转换代理内网终端上互联网,如下图:注意:因为有两条外网线路,而内网接口也划分了三个子接口,且各自对应一个区域,所以需要用六条SNAT策略,代理非业务网用户上网。
(5)认证系统配置组/用户定义,按照部门及IP,划分用户组,如下图:开启认证策略,把各IP段加到相应的用户组内,如下图:注意:与AC不同的是,需要手动开启用户认证并选择需要认证的区域。
(6)内容安全配置因为AF缺省是拒绝所有服务/应用的,所以在做完应用封堵后,还需要加一条放开所有应用/服务的策略,如下图:(7)开启病毒防御策略,如下图:(8)开启WEB过滤,把非法等网站过滤掉,如下图:(9)防火墙模块配置连接数控制,针对连接数做防护,如下图:(10)DOS/DDOS防护,针对外网DOS攻击做防护,如下图:(11)开启ARP欺骗防护,如下图:(12)流控配置虚拟线路配置,先把两条上外网的线路定义出来,如下图:流控策略配置(注意AF的流控不支持父子通道,且没有线路策略复制功能,所以需要针对每条线路做相应的流控策略),如下图:(13)VPN配置设备既要做分支接入太原铁路医保VPN设备,又做做服务端让100个移动用户接入到医院内网,配置如下:VPN基本配置,配置VPN的WEBAGENT用户配置,客户有100个移动客户端,且有一部分是使用DKEY认证,先在AF把这些用户建立,如下图:外网接口配置,配置VPN用到的外网接口,如下图:连接管理,建立与太原铁路医保的VPN接连,如下图:(14)上架测试完成上以配置后,把客户的网络按实施前确定的拓扑图把路线接好,测试均可达到客户预期效果。