1、第 1 章 设备管理1.1.管理1、NGAF 设备通过 MANAGE 口登录进行管理,MANAGE 口IP:10.251.251.251MANAGE 口 IP 地址 10.251.251.251 不可修改(可以在 MANAGE 口添加多个 IP 地址)。所以即使忘记了其他接口的 IP,仍然可以通过 MANAGE 口出厂 IP 登录 NGAF 设备。2、升级包回复密码,U 盘恢复(只恢复密码,不会恢复网络配置) U 盘格式必须为 FAT323、开启直通之后,认证系统、防火墙、内、容安全、服务器保护、流量管理等主要功能模块(DOS/DDOS 防护中的基于数据包攻击和异常数据报文检测、NAT、流量审
2、计、连接数控制除外) 均失效。4、物理接口三种类型:路由接口、透明接口和虚拟网线接口三种类型第 2 章 基本网络配置2.1.路由接口5、接口 WAN 属性:部分功能 要求出接口是 WAN 属性,比如流控、策略路由、VPN 外网接口等。6、添加下一跳网关并不会产生 0.0.0.0 默认路由,需要手动添加路由7、接口带宽设置于流控无关,主要用于策略路由根据带宽占用比例选路,流控的需要重新设定。8、实时检测接口的链路状态功能,以及多条外网线路情况下,某条线路故障,流量自动切换到其它线路功能,均需开启链路故障检测。9、WAN 属性的接口 必须开启 链路故障检测功能,非 WAN 属性无需开启。10、路由
3、接口是 ADSL 拨号方式,需要勾选“添加默认路由”选项11、Eth0 为固定的管理口,接口类型为路由口,且无法修改。Eth0 可增加管理IP 地址,默认的管理 IP 10.251.251.251/24 无法删除。2.2.透明接口12、透明接口相当于普通的交换网口,不需要配置 IP 地址,不支持路由转发,根据 MAC 地址表转发数据。部分功能要求接口是 WAN 属性,当接口设置成透明 WAN 口时,注意设备上架时接线方向,内外网口接反会导致部分功能失效。2.3.虚拟网线接口13、虚拟网线接口也是普通的交换接口,不需要配置 IP 地址,不支持路由转发,转发数据时,无需检查 MAC 表,直接从虚拟
4、网线配对的接口转发。14、虚拟网线接口的转发性能高于透明接口,单进单出网桥的环境下,推荐使用虚拟网线接口部署。2.4.聚合口15、聚合口:将多个以太网接口捆绑在一起所形成的逻辑接口,创建的聚合接口成为一个逻辑接口,而不是底层的物理接口。AF 最多绑定 4 个口聚合,聚合口不支持镜像旁路2.5.子接口16、子接口:子接口应用于路由接口需要启用 VLAN TRUNK 的场景。17、子接口是逻辑接口,只能在路由口下添加子接口。18、设备支持配置多个 WAN 属性的路由接口连接多条外网线路, 但是需要开通多条线路的授权。19、管理口不支持设置成透明接口或虚拟网线接口,如果要设置 2 对或 2 对以上的
5、虚拟网线接口,则必须要求设备不少于 5 个物理接口,预留一个专门的管理口 Eth0。20、一个路由接口下可添加多个子接口,路由接口的 IP 地址不能与子接口的 IP地址在同网段。2.6.区域21、一个接口只能属于一个区域。二层区域只能选择透明接口,虚拟网线区域只能选择虚拟网线接口2.7.策略路由22、AF 策略路由分源地址策略路由和多线路负载路由,源地址策略路由:根据源 IP 地址和协议选择接口或下一跳,实现用户访问数据的分流。可实现不同网段的内网用户,分别通过不同的线路接口访问公网。多线路负载路由:设备上有多条外网线路,通过策略路由的轮询,带宽比例,加权最小流量,优先使用前面的线路的接口策略
6、,动态的选择线路,实现线路带宽的有效利用、备份和负载均衡。23、 策略路由配置完毕最后一步添加静态路由是为了防止策略路由失效的情况下,内网用户还可以通过静态路由访问公网。24、路由优先级:静态路由优先于策略路由,策略路由优先于默认路由(0.0.0.0) 。25、源地址策略路由选择接口时,只能选择 WAN 属性的路由接口。通过直接填写路由的下一跳,可以实现从设备非 WAN 属性的接口转发数据。26、多条策略路由,按照从上往下的顺序匹配,一旦匹配到某条策略路由后,不再往下匹配。第 3 章 常见的网络环境部署3.1.接口根据网口属性分为:物理接口、子接口、vlan 接口;根据网口工作区域划分为:2
7、层区域口、3 层区域口;其中物理口可选择为:路由口、透明口、虚拟网线口、镜像口;3.2.旁路模式2、旁路模式部署 AF,AF 仅仅支持的功能有 WAF(web 应用防护) ,IPS(入侵防护系统) ,和 DLP(数据库泄密防护,属于 WAF 内,其余功能均不能实现,例如 Vpn 功能,网关(smtp/pop3/http)杀毒,DOS 防御,网站防篡改,Web 过滤等都不能实现。部署思路:1、连接旁路口 eth3 到邻接核心交换机设备2、连接管理口并配置管理 ip3、启用管理口 reset 功能1、当源区域配置为旁路镜像区域时,目的区域自动填写为所有区域2、目的 IP 组不能填写所有3、旁路部署
8、支持阻断,通过查找系统路由选择接口发送 tcp reset 包混合模式3.3.混合模式第 4 章 防火墙功能4.1.源地址转换(SNAT) :源地址转换即内网地址访问外网时,将发起访问的内网 IP 地址转换为指定的 IP 地址,内网的多台主机可以通过同一个有效的公网 IP 地址访问外网。典型应用场景:设备路由部署在公网出口代理内网用户上网4.2.目的地址转换(DNAT) :目的地址转换也称为反向地址转换或地址映射。目的地址转换是一种单向的针对目标地址的地址转换,主要用于内部服务器以公网地址向外网用户提供服务的情况。典型应用场景:外网用户访问服务器所在网络出口线路的公网地址时,直接访问到内部服务
9、器。(如 WAN-LAN 端口映射)4.3.源地址转换4.4.目的地址转换 DNAT4.5.双向地址转换4.6.DDOS 功能1、外网防护:主要对目标地址做重点防御,一般用于保护内部服务器不受外网的 DOS 攻击。 (该外网为用户自己定义的攻击源区域,不一定非指 Internet)2、内网防护:主要用来防止设备自身被 DOS 攻击。配置外网防护时,除内容里特别注明不能勾选的项外,其它均可以勾选,勾选后,请注意设置好阈值,建议使用默认的阈值。3、对于“基于数据包的检测” 、 “基于报文的检测”的规则,在开启直通的情况下仍然检测并丢包。4、部署环境选择,如果是二层必须选二层环境,三层选三层环境,切
10、记4.7.连接数控制1、连接数控制只匹配源区域4.8.DNS mapping1.设置 DNS Mapping 后,内网访问服务器的数据将不会经过防火墙设备,而是直接访问的服务器内网 IP。双向地址转换则是所有数据都会经过防火墙去访问。所以通过 DNS Mapping 可以减轻防火墙压力。2.DNS Mapping 的设置方法比双向转换规则简单。不涉及区域、IP 组、端口等设置,但要求客户端访问时必须使用域名去解析。3.DNS Mapping 不支持一个公网 IP 映射到多台内网服务器的情况。而双向地址转换功能没有此限制。4、当同时做了 DNS mapping 和双向地址转换时,若用户端以域名访
11、问服务器,则 DNS mapping 生效;若用户端以 IP 访问服务器,则双向地址转换生效。 (同时有 DNSmapping 和双向地址转换,用域名=DNSmapping,用 IP=双向地址转换)4.9.ARP 欺骗“网关 MAC 广播”只会广播设备非 WAN 属性接口的 MAC,如果需要定期广播 WAN 接口的 MAC 地址,则需开启“免费 ARP”功能。在【系统】-【系统配置】 -【网络参数】中,勾选“免费 ARP“第 5 章 VPN 互联配置5.1.SANGFOR DLAN 互联的基本条件:1) 至少有一端作为总部,且有足够的授权(硬件与硬件之间互连不需要授权) 。2) 建立 DLAN
12、 互联的两个设备路由可达,且至少有一个设备的 VPN 监听端口能被对端设备访问到。3) 建立 DLAN 互联两端的内网地址不能冲突。4) 建立 DLAN 互联两端的版本需匹配。2、NGAF 仅支持作为网关(路由)模式或者单臂模式的 SANGFOR VPN 对接。标准的第三方 IPSEC 互联,仅在网关模式部署下支持。3、网桥透明模式,虚拟线路模式,旁路模式都不支持 VPN 功能;4、必须有一个物理接口为路由口,才支持建立 DLAN 连接5.2.NGAF 设备 VPN 模块下的【内网接口设置】有何作用?答:【内网接口设置】中只能添加非 WAN 属性的路由口,用于将这个接口上主 IP(第一个 IP
13、)的网段通告对端的 SANGFOR 设备,对端访问这个网段的数据就能被加密封装,通过 VPN 传输。【内网接口设置】的作用与本地子网相同,但是, 【内网接口设置】中添加接口只通告设备直连网段;通过本地子网,可以通告本端所有的内网网段。5.3.NGAF 设备 VPN 模块下的【外网接口设置】有何作用?答:如果需要开启 VPN 多线路功能和标准 IPSEC 对接的情况下,则必须设置【外网接口设置】 。 通过【外网接口设置】添加外网接口,可探测外网接口的线路状态。5.4.NGAF 标准 IPSEC VPN 互联条件1. NGAF 设备必须具有分支机构的授权2. NGAF 设备必须至少具有一个 WAN
14、 属性的路由接口(非管理口 Eth0) ,和一个非 WAN 属性的路由口 (非管理口 Eth0) ,用于建立标准 IPSEC 连接。3. NGAF 标准 IPSEC VPN 互联注意事项1) NGAF 设备不能通过管理口 eth0 建立标准 IPSEC 互联(即把 eth0 口添加其它 IP 地址,当做内网口或者外网口建立标准 IPSEC VPN 的场景) 。2) NGAF 设备配置标准 IPSEC 互联时,必须配置【外网接口设置】和【内网接口设置】 。3) NGAF 设备建立标准 IPSEC 互联时,VPN 的数据必须从一个非 WAN 属性的路由口进入到设备,并从一个 WAN 属性的路由口转
15、发。第 6 章 服务器保护培训6.1.服务器保护1、目前主要针对 WEB 应用和 FTP 应用提供保护6.2.DLP 数据防泄密1、新增敏感信息组合策略,各个策略间为或的关系2、配置敏感信息防护策略,各个敏感信息类型之间为与的关系,如不允许出现身份证号与手机号码,并且一次都不准出现3、注意事项:1) DLP 对服务器传出数据过滤,不过滤客户端提交数据2) DLP 功能需要多功能序列号开启;预定义敏感信息泄露库可自动更新,受序列号控制3) 配置 DLP 后 WAF 规则可启用短信告警4) 支持 UTF-8、GBK、GB2312 三种编码;支持 gzip、deflate、chunk 三种压缩5)
16、模式组内是“与”关系,要求同时出现多选的数据;模式组之间是“或”关系,顺序匹配直到拒绝或全部放行6) 文件过滤仅从 url 匹配文件名后缀,不识别内容,不支持无后缀名文件,如/etc/passwd7) 文件过滤为黑名单形式,仅需配置拒绝名单8) 新建文件过滤时默认勾选拒绝.config/.inc/.ini./mdb/.MYD/.frm /.log 等文件9) Jboss Struts2 网站文件类型为.action/.do 等,需要额外放通第 7 章 网站放篡改7.1.精确匹配和模糊匹配1、精确匹配:一般用于全静态网页网站,网页中任何一个元素的变化都将判断为被篡改。2、模糊匹配:灵敏度分为,高
17、、中、低高、中:可以用于静态/动态网页都有的网站低:一般用于全动态网页网站,误判率最低,但会有一定的漏判3、启用黑链的检测,只有在模糊匹配模式下使用,精确匹配时不行7.2.防护深度4、防护深度:最大防护深度指通过几次链接找到页面,与 url 地址中目录,级数无关,主页的连接,深度都是 1(可选范围:1-20) ;要保护主页及主页上的图片至少设置深度为 27.3.防篡改识别度NGAF 能识别的网页篡改:1、替换整个网页2、插入新链接3、替换网站图片文件4、小规模编辑网页(仅精确)5、因网站运行出错导致结构畸变NGAF 不能识别的网页篡改:1、新增一个网页新增网页无本地缓存对比,故无法识别2、删除
18、一个网页删除网页服务器返回 404 错误,AF 不处理 404 错误页面7.4.网站管理员为被保护网站指定网站管理员:1、网站管理员可以对分管网站禁用/启用网页防篡改2、网站管理员可更新缓存/添加例外3、网站管理员有单独登陆页面 https:/AFIP:80004、网站管理员账号不可登陆防火墙控制台5、网站管理员不可新增防护网站7.5.注意事项1、用户访问被篡改站点,数据需要经过 AF,如果不经过 AF,起不到防护效果,AF 也发现不了网页被篡改(旁路模式,即使数据镜像过来也不支持的)2、新增页面或者删除页面,AF 无法发现网页被篡改,新增网页无本地缓存对比,故无法识别,删除网页服务器返回 4
19、04 错误,AF 不处理 404 错误页面3、图片文件篡改后第一次浏览篡改网页还原为原始图片(“还原站点” )4、网页小规模编辑和添加黑链,浏览篡改网页跳转到“维护页面”5、仅检测到黑链篡改不还原/不重定向到维护页面, 仅支持告警,控制台告警,邮件告警,短信告警7.6.网站管理员确认篡改信息,并采取动作A、通过邮件或短信中链接B、通过 AF 控制台或网站管理员维护页面(1)非篡改问题,直接更新缓存(2)非篡改问题,无需做篡改保护,添加例外(3)篡改问题,修复网站后更新缓存第 8 章 安全防护功能培训8.1.应用控制策略基于服务的控制策略:通过匹配数据包的五元组(源地址、目的地址、协议号、源端口
20、、目的端口)来进行过滤动作,对于任何包可以立即进行拦截动作判断。基于应用的控制策略:通过匹配数据包特征来进行过滤动作,需要一定数量的包通行后才能判断应用类型,然后进行拦截动作的判断。8.2.病毒防御策略1、针对 HTTP,FTP,POP3 和 SMTP 这四种常用协议进行病毒查杀。2、对列表中指定的文件类型进行杀毒,可手动填写文件类型,仅对 HTTP 杀毒和 FTP 杀毒有效8.3.IPS 联动封锁 IP 地址源1. 联动封锁 IP 地址源,可以设定时间,时间过期解锁2. 仅 IPS/WAF 模块可以配置联动封锁3. IPS/WAF 中仅“阻断”事件会触发联动封锁, ”记录”不触发4. 联动封
21、锁针对的是该源 IP 通过防火墙的任何通信5. 被联动封锁的主机可访问 AF 控制台,无法访问数据中心6. 临时防火墙容量为 1000 条7. 被联动封锁的拒绝记录在应用中查询8.4.注意事项1、NGAF 的应用控制策略默认是全部拒绝的,需要手动新建规则进行放通。2、WEB 过滤中的文件类型过滤不支持针对 FTP 上传、下载的文件类型进行过滤。只支持 WEB3、配置 IPS 保护客户端和服务器时,源区域为数据连接发起的区域。4、IPS 保护客户端与保护服务器中的客户端漏洞和服务器漏洞规则是不同的,因为攻击者针对服务器和客户端会使用不同的攻击手段。5、源区域的判别:数据发起发是谁就选谁,客户端
22、IPS 配置中,源区域为客户端所在的内网区域,因为数据的发起方是内网,所以源区域就是内网,如果IPS 保护服务器,连接发起方是外网,所以源区域就是“外网”第 9 章 系统配置功能介绍9.1.序列号网关序列号,跨运营商序列号,防篡改序列号、功能模块序列号和升级序列号。9.2.全局排除地址后有效的模块全局排除地址(IP 或域名)后仍然有效的模块有:地址转换(nat) 、DoS/DDoS 防护(wdos)中基于数据包攻击和异常包检测、流量审计(IP 流量排行、用户流量排行、应用流量排行) 、连接数控制。其中流量审计、连接数限制模块在 AF 2.0 后会修改为不审计和不限制排除 IP和域名9.3.开启
23、直通后仍然有效的模块有:NGAF 中开启实时拦截日志并直通仍然有效的模块有 DOS/DDOS 防护中的基于数据包攻击和异常数据报文检测、网页防篡改、http 与 ftp 隐藏功能。DOS/DDOS 防护中的基于数据包攻击和异常数据报文检测、NAT 、流量审计、连接数控制9.4.日志1、存储到内置数据中心的日志包括系统日志和数据中心日志,可以将这些日志同步到外置数据中心里2、发送到 Syslog 服务器上的只有 数据中心日志,系统日志不会发送 。3、注意事项:(1)AF 的外置数据中心与内置数据中心完全一样,无新增功能;(2)外置数据中心支持 Win2000SP4/2003R2/2008SP/XP_sp3 系统;(3)增加数据中心常见问题解决方法文档。9.5.SYSLOG1.Syslog 仅支持 UDP 方式连接 。2.Syslog 不能同步系统日志, 只能同步数据中心日志。
