SANGFORNGAF新产品培训课件

SANGFORNGAF新产品培训SANGFORNGAF1一、产品介绍二、产品部署深信服公司简介三、产品应用四、数据中心及其他AF1.0一、产品介绍二、产品部署深信服公司简介三、产品应用四、数据2什么是NGAFNGAF能做什么一、产品介绍为什么要NGAFNGAFVS.AC什么是NGAFNGAF能做什么一、产品介绍为什么要NGAFN31.1什么是NGAFNext-GenerationApplicationFirewall下一代应用防火墙防火墙：拥有防火墙的基础功能，路由、NAT、包过滤等。应用防火墙：对应用内容的更准确识别、更加关注应用层的内容安全。下一代应用防火墙：Garnter定义。1.1什么是NGAFNext-GenerationApp4为什么要NGAF—防火墙历史为什么要NGAF—防火墙历史5网络发展的趋势——防火墙需要更新换代

网络在改变网络已经深入日常生活

1、大量的新应用建立在HTTP/HTTPS标准协议之上2、许多威胁依附在应用之中传播肆虐3、Gartner报告：75%的攻击来自应用层仅80端口上的应用就有N种，防火墙如何限制？防火墙需要更新换代传统的防火墙基于包头信息可是却无法分辨应用及其内容也不能区分用户更无法分析记录用户的行为网络发展的趋势——防火墙需要更新换代

网络在改变仅80端口上6Gartner定义下一代防火墙

Gartner定义下一代防火墙

7网络安全可视化应用管控全面应用安全单次解析构架智能风险审计应用识别流量管控非法业务阻断核心业务带宽保障OA合法业务带宽限制应用安全防护WEB安全防护灰度威胁识别灰度威胁关联分析引擎多核并行处理统一

签名统一

策略报文一次匹配潜在威胁漏洞防护服务器防护病毒防护行为追踪上传云端应用防护日志应用管控日志网络安全日志用户分析报表智能关联分析报表身份认证NAT抗攻击VPN1.2NGAF如何满足网络对防火墙的要求网络安全可视化应用管控全面应用安全单次解析构架智能风险审计应8全面继承AC和VPN领域的技术积累全面继承AC和VPN领域的技术积累防火墙FW流量管理QoS应用访问控制策略服务器防护IPSecVPN攻击防护IPS病毒过滤AV内容过滤URL内容安全可视化完整的NGAF强强联合加入微软MAPP专业的WAF功能可视化的双向应用访问控制NAT、DDoS、路由更丰富1.2NGAF如何满足网络对防火墙的要求防火墙FW流量管理应用访问控制策略服务器防护IPSecVP91.3NGAF和AC的对比ACNGAF产品定位上网行为管理，主要监视和控制用户上internert的行为，关注带宽利用价值、非法访问、不和谐言论、泄密风险应用防火墙，关注业务区数据中心二—>七层安全防护，确保内网网络不受外部恶意攻击。应用场景主要用于lan->wan方向的上网行为管控。主要保护数据中心/服务器/内网免受攻击,而无须关注具体部署方向。功能强势准入认证、内容审计、ssl内容识别、邮件过滤/延迟审计，外发文件告警等（AF缺失）部署上的优势：支持混合部署，支持动态路由协议，支持主备、负载均衡。应用安全：WAF、DDOS外网防护，IPS功能更强大共同功能

Vpn、流量管理、IPS、应用控制、网关杀毒、脚本插件过滤，url过滤等，但是功能分布有改动。1.3NGAF和AC的对比ACNGAF产品定位上网行为管理10AF菜单AC菜单AF新增功能服务器保护重新分布的功能：1、用户与策略管理认证系统+内容安全2、防火墙防火墙+VPN3、安全防护IPS+内容安全+防火墙几乎平移的菜单：1、系统诊断系统维护2、系统配置系统3、防火墙防火墙+VPN4、流量管理流量管理5、实时状态运行状态6、网络配置网络配置1.3NGAF和AC的对比AF菜单AC菜单AF新增功能1.3NGAF和AC的对比11办公网络数据中心1、AC更关注于办公网络的行为管控、泄密监控、不和谐言论追查。2、AF更关注数据中心、内网的安全防守。1.3NGAF和AC的对比---应用场景AFAFAF不允许使用skype等不允许访问非法网站流量管理禁止运行不安全的脚本、插件禁止/记录发表不和谐的言论泄密防护……（红色部分AF做不到）……防止DDOS攻击防止漏洞入侵防止SQL注入、XSS攻击防止向服务器传送恶意脚本。。禁止访问服务器某些目录记录不安全的访问……办公网络数据中心1、AC更关注于办公网络的行为管控、泄密监控121.3NGAF型号10G300M1.3NGAF型号10G300M13一、产品介绍二、产品部署深信服公司简介三、产品应用四、数据中心AF1.0一、产品介绍二、产品部署深信服公司简介三、产品应用四、数据14知识分类知识概要网络配置基础了解部署中各必要元素的配置、用途。（接口类型、vlan接口、子接口。）路由路由部署、路由+trunk部署透明透明部署、透明+trunk部署虚拟网线虚拟网线部署，类似透明部署，但是数据转发时不查mac表，从虚拟网线的接口1接收数据，从接口2转发。混合部署路由+透明网桥双机双机主备、双机主主其他路由（静态路由、策略路由、OSPF、RIP等）高级网络配置（DHCP、DNS、ARP、SNMP）产品部署篇—部署方式知识分类知识概要网络配置基础了解部署中各必要元素的配置、用途151、设备登录方式1、默认只有eth0接口有设置IP，初始IP为512、eth0为管理口，UI显示为eth0，描述信息为"manage"；eth0只能作为路由口，不能切换模式；eth0只能配成静态IP：在网口数<=4时，eth0可以修改IP，但51/24不能删除；在网口数>4时，eth0不能做任何更改。webui密码和pshell密码跟其他产品线一致。1、设备登录方式1、默认只有eth0接口有设置IP，初始IP162.1网络配置基础--接口/区域设置物理接口：路由、透明、虚拟网线，这三种接口都有一个wan或者非wan属性。子接口：是路由接口的虚拟子接口，可支持vlan数据转发。Vlan接口：同交换划分vlan，每个vlan有vlanid和vlanip，则产生一个vlan接口。三层接口：路由口、子接口、vlan接口，共同的特点是可以配置IP。二层接口：透明口虚拟网线接口：虚拟网线接口区域：系统默认没有区域，但接口必须属于某个区域才能被调用做NAT、控制策略等。有三层区域、二层区域、虚拟网线区域，对应的，只能将相应层次的接口划分到对应区域。接口有物理接口、子接口、vlan接口三种2.1网络配置基础--接口/区域设置物理接口：路由、透明、虚17物理口：没有部署模式配置向导，物理接口类型决定部署模式1、路由，即普通的三层口，两个路由口构成路由模式2、透明，即网桥口，两个网桥口构成网桥模式3、虚拟网线，另一种透明口，两个虚拟网线口组成一条虚拟网线2、透明口有access和trunk两种，access口一定属于某vlan，trunk口不属于任何vlan，但可以承载指定vlan的数据HA地址用于双机部署时做心跳口用物理口：没有部署模式配置向导，物理接口类型决定部署模式1、路18客户需求：设备路由模式部署，并且作为vlan的网关，支持vlan间路由子接口：用于物理口支持vlantrunkAC可以这样设置AF需要这样设置物理接口配置不属于任何vlan的ip给物理接口建立vlan子接口物理接口配置不属于任何vlan的ip给物理接口建立vlan子接口客户需求：子接口：用于物理口支持vlantrunkAC可以19物理接口多IP，非trunk？跟AC一样，以IP地址列表的形式配置配置的多IP用ifconfig是看不到的，用ipaddress看：物理接口多IP，非trunk？跟AC一样，以IP地址列表的形20vlan接口Eth1作为trunk口，允许中继的vlan范围Q：透明口接口本身不能配置IP地址，那如何通讯？A：配置vlan接口透明口的两种用法vlan1vlan10给vlan1配置IPvlan接口Eth1作为trunk口，Q：透明口接口本身不能21没有默认区域，自定义接口所属区域来标识控制方向默认是没有的1、默认没有任何区域，而设备NAT、内容安全等策略都是根据区域来做，所以需要将接口划分到区域。2、区域有二层、三层、虚拟网线三种类型，二层区域只能选择二层接口，三层区域只能选择三层接口，虚拟网线只能选择虚拟网线接口。二层接口：透明口（access、trunk）三层接口：路由口、vlan接口、子接口虚拟网线接口：虚拟网线口是否允许从此区域管理设备？允许哪些客户端管理？三层区域才有此选项。没有默认区域，自定义接口所属区域来标识控制方向默认是没有的122区域设置的意义和原则Q：有了lan和wan属性，为什么还要定义区域？A：wan属性只是用于控制部分功能是否生效，如：流控、策略路由、插件过滤、脚本过滤只对出接口是wan属性接口生效。但是对哪个方向上的数据进行控制，并不像AC一样是约定俗成的lanwan,而是取决于自定义的配置。策略应用在哪个方向，由策略本身的区域设置决定。规划区域的时候，就需要规划好，是一个接口属于一个区域，还是相同需求的多个接口属于一个区域。区域设置原则：1、二层接口只能属于二层区域，其他类推（界面已经限制）2、定义策略时，只能二层—二层，三层---三层（部分界面已限制）3、区域定义按照控制的需求来规划（自主规划）区域设置的意义和原则Q：有了lan和wan属性，为什么还要定231、接口设置的下一跳网关，只做链路故障检测用，不会产生路由，所以设备还需要手动设置默认路由。2、接口设置的线路带宽跟流控通道带宽没有必然关系，用于策略路由按照带宽比例选路用。3、线路故障检测结果可被策略路由、双机部署调用。4、高级设置可以设置网卡工作模式、mtu、mac地址。此处修改mac地址不会影响网关序列号。PS：不同类型的接口可以设置的参数不尽相同。只有物理口可以设置工作模式、MAC地址、wan属性只有三层接口可以设置IP地址、链路故障检测等二选一接口区域---其他属性配置1、接口设置的下一跳网关，只做链路故障检测用，不会产生路由，24路由模式混合模式透明模式典型部署模式与配置虚拟网线模式路由混合模式透明模式典型部署模式与配置虚拟网线模式252.2路由模式--配置方法路由、网桥、虚拟网线三种类型选择选择是否为wan口（需要外网线路授权）不会生成8个0的默认路由，仅做线路检测用允许以什么方式管理该区域允许客户端以什么源地址登陆来管理该区域三层区域可以选择路由口、子接口和vlan子接口（不可选择透明口和虚拟网线口）如果内网PCDNS服务器地址指向AF设备，则需要开启此选项。设备自身上网dns解析1、设置wan口，类型”路由”，勾选wan属性，设置ip地址等其他属性。2、设置lan口，类型“路由”，不勾选wan属性，设置ip地址等其他属性3、分别定义lan和wan的区域，并将接口划入对应的区域。4、为该设备配置DNS地址，如需要则启用DNS代理。5、给设备设置上外网的缺省路由。6、如果内网有多网段，需要给设备加上系统路由指向三层交换机。7、配置地址转换，做代理上网的SNAT8、默认应用服务控制是缺省拒绝的，需要手动放行2.2路由模式--配置方法路由、网桥、虚拟网线三种类型选择路由双线路—应用场景需求解读：希望实现电信走电信、网通走网通一条线路断掉之后，流量走到另外一条线路解决方案：路由模式Wan属性接口两个，外网线路授权两条配置线路故障检测，检测线路状况配置多线路负载策略路由，做出站线路负载路由双线路—应用场景需求解读：TRUNK路由—应用场景需求解读：局域网内有CISCO4006、3500等多台，但是都没有三层功能的，现有AF防火墙一台作出口连接，打算把局域网内划分VLAN，听说AF支持路由和TRUNK，想用NGAF来做路由解决方案：设备以路由部署，lan口必定要是一个路由口。将eth0做为lan口，并设置子接口。TRUNK路由—应用场景需求解读：TRUNK路由—应用场景eth0.10eth0.20Q：做策略时，引用区域应该如何引用？A：此时eth0eth0.10eth0.20是三个独立的三层接口可以属于不同的区域：eth0.10所属区域wan区域，匹配vlan10的数据eth0所属区域虽然也是三层区域，但是无法匹配到eth0.10的数据，如果数据不属于任何子接口，才会匹配父接口eth0TRUNK路由—应用场景eth0.10eth0.20Q：做策TRUNK路由--配置方法路由、网桥、虚拟网线三种类型选择选择是否为wan口（需要外网线路授权）不会生成8个0的默认路由，仅做线路检测用1、设置wan口，类型”路由”，勾选wan属性，设置ip地址等其他属性。2、设置lan口，类型“路由”，不勾选wan属性，设置ip地址等其他属性，注意lan口的ip地址应随便配置，不属于任何vlan。3、给lan口设置子接口，配置vlanid、vlanip等（类似AC的vlan列表）3、分别定义lan和wan的区域，并将接口划入对应的区域。4、为该设备配置DNS地址，如需要则启用DNS代理。5、给设备设置上外网的缺省路由。6、配置地址转换，做代理上网的SNAT。（参考章节）7、默认应用服务控制是缺省拒绝的，需要手动放行（参考章节）指明该子接口是哪个物理口的子接口该子接口所属的vlanid给设备分一个属于vlan10的空闲地址，通常也是vlan的pc所指向的网关地址TRUNK路由--配置方法路由、网桥、虚拟网线三种类型选择选网桥模式—应用场景需求解读：客户网络中原有一台路由器部署在出口代理内网上网，希望在不改变网络结构的情况下，AF部署在网络中保护内网和服务器。配置要点：1、AF两个接口设置成透明Access口，accessid=1。2、给vlan1配置管理地址，或者用eth0做管理。网桥模式—应用场景需求解读：31网桥模式—应用场景eth2透明accessid=1eth1透明accessid=1Q：做策略时，引用区域应该如何引用？Vlan1ip=A：此时eth2、eth1是二层接口Vlan1是三层接口，但是转发的数据并不经过它所以，区域设置：eth1所属区域eth2所属区域（都为二层区域）网桥模式—应用场景eth2透明accessid=1et32网桥模式---配置方法设置为透明口，根据链路信息选择access或者trunk口，此例为access口，设置将此eth3接口划分到哪个vlan中。物理接口本身如eth3没有ip地址信息，如果要通过此接口与外界通讯，应给所属vlan设置vlan的ip地址。1、设置wan口、lan口，类型“透明”，设置ip地址等其他属性（若为wan口则勾选上wan属性）3、分别定义lan和wan的区域，并将接口划入对应的区域。4、因需要对设备进行管理，可以配置vlan的管理地址，或者用eth0做管理。5、设置vlan接口所属的区域，设置该区域是否允许从webui、ssh管理等。5、为该设备配置DNS地址、上外网的缺省路由等。6、给设备设置上外网的缺省路由。7、如果内网有多网段，需要给设备加上系统路由指向三层交换机。8、默认应用服务控制是缺省拒绝的，需要手动放行（参考章节）二层区域只可以选择“透明”网口通过此地址访问设备进行管理下一跳做链路检测用，不会生默认路由网桥模式---配置方法设置为透明口，根据链路信息选择acceTrunk网桥---应用场景需求解读：交换机上划分了vlan，交换机和路由器之间走vlantrunk，PC网关都指向路由器，现在不希望修改网络结构，部署AF。配置要点：设备透明网桥方式部署，两个接口类型均为透明+trunk口，允许中继vlan10、vlan20等数据。Trunk网桥---应用场景需求解读：Trunk透明---配置方法1、设置wan口、lan口，类型“透明”，设置类型为trunk，并设置允许转发的vlan，如果是wan口则勾选上wan属性。3、分别定义lan和wan的区域，并将接口划入对应的区域。4、因需要对设备进行管理，可以设置vlan的管理地址，或者从管理口eth0进行管理。5、设置vlan接口所属的区域，设置该区域是否允许从webui、ssh管理等。5、为该设备配置DNS地址、上外网的缺省路由等。6、给设备设置上外网的缺省路由。7、如果内网有多网段，需要给设备加上系统路由指向三层交换机。8、默认应用服务控制是缺省拒绝的，需要手动放行（参考章节）lan和wan口都做同样的设置，不同的是wan口需要勾选wan属性Vlan范围用于设置允许对哪些vlan做中继，不在此范围中的vlan数据将不会被中继Trunk透明---配置方法1、设置wan口、lan口，类型网桥模式—网桥多网口---应用场景需求解读：外网多出口，内网用户分别走不同的路由器，从不同的公网出口上外网，需要对两条公网线路上的数据都做安全防护。

配置要点：三个网桥口，都配置成透明+access口，设置在同一vlan（vlanid相同），维护一张mac表。配置截图：略区域解读：此时数据转发口eth2、eth3、eth1是三个独立的二层口。eth2eth3eth1网桥模式—网桥多网口---应用场景需求解读：eth2eth3网桥模式—多网桥---应用场景解决方案：同AC设备，设置成多网桥模式，让每路网桥维护各自的mac转发表，互相之间不转发数据。需求解读：在这个拓扑环境下，S1S2交换机跑VRRP协议，如果源MAC是交换机vrrp虚拟MAC，那么此MAC可能在A2和B2接口上都出现，设备根据mac表转发数据的时候，可能发错，导致网络异常。配置要点：四个口都设置成透明access口，并且A1A2在一个vlan，B1B2属于另一个vlan。（vlanaccessID不同）网桥模式—多网桥---应用场景解决方案：需求解读：配置要点：虚拟网线---应用场景应用场景：虚拟网桥模式，其实也是透明网桥的一种，应用场景同多网桥模式，这种模式下，数据从一个口进，从虚拟网线的另外一个口直接转发，而不需查找mac表，提高转发性能。配置要点：A1A2，B1B2都设置成虚拟网线接口，并且A1A2组成一条虚拟网线，B1B2组成另外一条虚拟网线。虚拟网线模式下支持的功能与透明模式一样，（支持vlantrunk，支持所有策略控制）PS：AC2.0r1的时候，开始用这种网线式网桥来规避一些未知的mac表混乱问题，多网桥环境建议使用虚拟网线部署。虚拟网线---应用场景应用场景：配置要点：38虚拟网线—配置方法1、设置wan口、lan口，类型“虚拟网线”，如果是wan口则勾选上wan属性。3、分别定义lan和wan的区域，并将接口划入对应的区域，区域应选择虚拟网线区域，该区域只可选择虚拟网线接口，不可以选择其他接口。3、设置虚拟网线，指明将哪两个虚拟网线接口组成一条虚拟网线。4、eth0做管理用。5、为该设备配置DNS地址、上外网的缺省路由等。6、默认应用服务控制是缺省拒绝的，需要手动放行（参考章节）这个截图是早期的，现在eth0已经不支持修改为透明或者虚拟网线接口，仅支持做路由口。虚拟网线—配置方法1、设置wan口、lan口，类型“虚拟网线39接口联动—应用场景类似AC网桥模式下开启链路同步，设置成接口联动的两个口或者多个口，如果一个网口宕掉了，会自动宕掉另外一个桥接口。在vrrp热备环境下，避免出现一个桥的网口不通了，但是数据还是通过这个桥转发，导致上网中断的情况。

应用场景：vrrp等热备环境，需要检测链路link状态，来完成主备切换等。和AC的差异：1、实现方式，检测物理接口linkdown状态，支持光口、电口。2、一个接口联动组内可以添加多个接口，任意接口down，则其他接口都down，所以不允许添加带有HA属性的接口，因为HA属性一般为双机心跳口所用。接口联动—应用场景类似AC网桥模式下开启链路同步，设置成接口40接口联动—配置方法启用接口联动联动口只可以选择物理接口接口联动不能和HA同时启动1、勾选“启用接口link状态联动”2、新增一个接口联动，选择关联的联动口。一个接口联动组可以任选多个接口，选择一定要慎重。联动口只可以选择物理接口，联动接口不能和HA心跳口同用。HA下也不需要手动配置接口联动，会自动联动。

接口联动—配置方法启用接口联动联动口只可以选择物理接口1、勾41混合部署—应用场景需求解读：某客户有大量的公网ＩＰ提供给服务器群，同时lan区域的私网ＩＰ又要通过路由器走NAT出去上网，不希望将公网ip都配置到路由设备上再做端口映射，而是服务器直接配置公网ip，现在希望AF能代替路由器。解决方案：混合部署配置要点：1、DMZ和WAN之间，是透明部署，DMZ和WAN口设置成透明access口，且在同一vlan，Accessid=12、配置vlan1，添加vlan1地址为通讯地址如5，nat在vlan1实现。3、Lan口设置为路由口混合部署—应用场景需求解读：42eth2配置成透明口+access混合部署—配置方法1、wan、dmz配置成透明模式，并且在同一vlan，给该vlan配置地址，直接为公网地址（需要给内网lan区域做NAT）2、lan口为路由模式eth1也配置透明+access，并且vlanID跟eth2一致。Eth3设置为路由口Vlan1设置公网IP此时数据转发口有四个，分别为：DMZ区域和WAN区域，用eth1—eth2转发，二层区域LAN区域和WAN区域，用eth3—vlan1转发，三层区域LAN区域和DMZ区域，用eth3—vlan1转发，三层区域--此时做区域控制，无法对lan访问dmz、lan访问wan区域分别，因为对于lan来说，dmz和wan属于同一接口、同一区域，所以此时需要根据区域+目标IP控制。eth2配置成透明口+access混合部署—配置方法1、wa43混合部署变身网桥+vlan此时区域解读为：DMZ区域和WAN区域，用eth1—eth2转发，二层区域LAN区域和WAN区域，用vlan2vlan1转发，三层区域LAN区域和DMZ区域，用vlan2—vlan1转发，三层区域跟混合部署的区域是类似的，所有没有必要部署成这样。在混合部署和当前部署模式下，如果要对lan访问wan和lan访问dmz做不同控制，可以在区域的基础上加入目标IP的条件限制，此时就可以分别控制了。混合部署变身网桥+vlan此时区域解读为：44ARP代理—应用场景需求解读：这个需求跟混合部署需求相同，但是某些特殊情况不能做混合或者网桥部署。难点：如果设备不做混合部署，而做路由部署，DMZ区域用户如何穿过三层路由设备和同一网段的网关通讯？解决方案：ARP代理ARP代理—应用场景需求解读：45ARP代理—配置方法1、公网某设备请求137.76的mac2、AF回应137.76的mac为eth21、137.76请求137.1的mac2、AF回应137.1的mac为eth13、137.76和137.1之间的数据通过AF转发彼此正常通讯。2、让eth1回应6的arp请求1、启用arp代理ARP代理—配置方法1、公网某设备请求137.76的mac146其他网络配置1、路由：静态、策略、ospf、rip2、高级网络配置：DNSARPDHCPSNMP其他网络配置1、路由：静态、策略、ospf、rip47高级网络配置--DNSDNS设置设备自身上网、或者做DNS代理使用启用，则支持PC将DNS服务器地址设置成设备地址，交由设备作DNS解析1、如果wan口为adsl拨号，或者dhcp，下发了dns地址，则此处dns服务器设置不生效，以接口下发到的dns为准。2、启用dns代理，只支持pc将代理服务器设置成AF，才做代理，不支持类似AD的透明代理。高级网络配置--DNSDNS设置设备自身上网、或者做DNS代48高级网络配置--ARPARP：arp即增加静态arp表项接口必须为三层接口，并且增加的ip跟选定的接口ip在同一网段。ARP代理：应用场景和设置方法见前面章节。高级网络配置--ARPARP：ARP代理：49DHCP服务支持所有的三层接口（物理路由口、子接口、vlan接口）高级网络配置--DHCP启用DHCP服务，AF自身作为DHCP服务器，支持给自身所有三层接口分配DHCP。包括物理路由口、子接口、vlan接口。启用DHCP中继代理，AF自身作为DHCP中继代理，将DHCP广播请求以单播方式并转发到真正的DHCP服务器。启用DHCP中继代理，并不一定要启用DHCP服务。DHCP服务支持所有的三层接口（物理路由口、子接口、vlan50DHCP中继代理应用场景需求背景：设备路由模式部署，dhcp客户端和dhcp服务器被隔离在不同子网，而dhcp请求是发广播的，AF阻隔了广播域。为某接口启用dhcp代理，则对该接口收到的dhcp请求做中继代理（面向客户端的接口）将收到的dhcp请求转发给哪个dhcp服务器。解决方案：在AF的eth3接口上启用dhcp中继代理1、Pc发广播包请求dhcp2、AF单播到DHCPserver，为pc请求dhcp3、Server回单播请求给AF4、AF广播dhcp回应包到pcDHCP中继代理应用场景需求背景：为某接口启用dhcp代理51高级网络配置-SNMP管理主机是指用snmpV2版本管理地址设置允许哪些主机用snmp管理本机，团体名称：任意，只要snmp软件设置的跟此处一致在这里设置的团体名称只有RO只读权限。SNMPv3是指用snmpV3版本软件管理本机其他设置跟snmp管理软件设置一致支持管理的信息：IP地址、MAC地址、路由、版本信息、运行时间暂不支持查看CPU、内存占用率点击导出MIB，可以导出MIB库高级网络配置-SNMP管理主机是指用snmpV2版本管理SN52路由静态路由策略路由OSPFRIP查看路由路由静态路由53静态路由1、静态路由可以单个添加，或者批量添加2、接口，一般情况下让其自动选择即可，系统会自动选择跟下一跳ip在同一网段的接口做为出接口。Q1：度量值的意义？如果添加两个静态路由，目标网络一致，度量值一高一低，能否实现低的不通了，走高的那条？A1：不支持，静态路由不知道路由不通了Q2：arp条目和路由条目，都可以设置接口，这个设置的意义？A2：设备上是支持两个路由口设置成同一网段的。。静态路由1、静态路由可以单个添加，Q1：度量值的意义？如果添54静态路由5Gw6Gw可能存在这样一种场景：设备两个wan口是不同运营商提供的不同线路，但是却是同一网段地址。解决办法：Wan1和wan2设置同一网段的ip，设备加两条路由到不同的下一跳，指定不同的出接口。配置多线路负载路由。请尽量避免把两个接口的IP设置成同一网段的，因为大多数情况下都没有此种需求。这种环境可以做是因为有多线路负载的策略路由，而策略路由只对wan属性接口有效、且对设备自身不生效，所以设备到内网的回包路由并不能以这种方式实现负载备份。静态路由5655策略路由客户需求1：电信走电信，网通走网通，一条down了之后走另外一条。客户需求3：到某些目的固定走一条线路，如443应用都走eth1客户需求2：两条外网线路都利用起来，按照带宽繁忙程度等自动选路，其中一跳down掉之后流量都自动切换到另外一条策略路由客户需求1：客户需求3：客户需求2：56所有源到所有目的在双线路之间轮询策略路由---配置可以参与策略路由的接口，wan属性+物理路由口所有源到所有目的443走eth1所有源到所有目的在双线路之间轮询策略路由---配置可以参与策57策略路由---配置电信走电信源地址策略路由和多线路负载路由本质上是一样的，只是提高易用性（因为源地址路由一般不需要选择多个接口的）。有任何需求，只要界面上能配置出来，那么在源地址策略路由配置还是在多线路负载路由配置，结果是一样的。目前ISP地址段是空的，需要手动加入，参考AD的规则库即可。后续会争取内置规则，加上导入和自动更新功能。策略路由---配置电信走电信源地址策略路由和多线路负载路由本58OSPF1、启用OSPF2、设置需要通告的网络（如需要通告本机的直连网络）3、配置接口参数4、配置整个设备的一些参数5、如果需要，则配置虚连接1、支持通告本段所有直连网络。2、不支持发布vpn对端的网络。3、支持路由重发布4、3—5步配置，一般按照客户提供的参数配置即可。具体参数参考用户手册OSPF1、启用OSPF59RIP了解咱们有这样一个功能具体参数参考用户手册。RIP了解咱们有这样一个功能60查看路由查看路由61双机—主备--应用场景应用场景：客户担心FW单点故障，希望多部署一台做备份来提高可靠性。（路由或者网桥）解决方案：双机，主备模式。两台设备配置一样，并且配置同步。同时只有一台主机工作，主机宕掉以后由备机接替工作，对用户透明。双机—主备--应用场景应用场景：解决方案：62双机—主备—路由实现方式/00005e000164广播arp/00005e000164丢弃1、两台AF拥有同样的配置，包括接口IP都相同。2、两个设备虚拟出同一个MAC地址，至此，两个设备的ip+mac都一致。3、两个设备协商出一个主机，一个备机，备机自动放弃所有到达设备的数据，不进行转发。4、留下一台设备来处理数据，并且不断向外广播他的ip和mac，他就是主机。5、提供一种检测机制，如果主机发生故障，备机自动成为主机，承担主机工作。处理双机—主备—路由实现方式/00005e63双机—主备—网桥实现方式网桥模式下，当主备切换时，备机的网桥数据转发口都linkdown，让交换机相连接口也linkdown，或者交换机arp表超时，将流量切换。双机—主备—网桥实现方式网桥模式下，当主备切换时，备机的网桥64双机—主备—实现方式VRRP（Virtualrouterredundancyprotocol,虚拟路由器冗余协议）你了解的VRRP一般是这样的1、两个路由器IP地址不一样，需要虚拟IP---AF不需要虚拟IP，因为接口IP一样。2、根据虚拟组ID找同伴，同一虚拟组的设备之间选主备。----AF也是这样3、可能影响主备的条件：1、优先级，优先级高的为主，2、接口IP，IP地址大的为主---AF也是一样，但因为接口IP一致，最终是看心跳口IP的大小。4、可以设置抢占模式，优先级高的设备故障恢复后，如果配置成抢占模式，可以成为主。----AF也一样5、心跳协商通过组播8----AF也一样6、AF需要配置心跳口，心跳口是一个普通网口。

双机—主备—实现方式VRRP（Virtualrouter65双机—主备—实现方式AF1：心跳口eth1：对端地址：虚拟路路由组配置：虚拟组100优先级100抢占是网口列表：eth3eth2启用配置同步AF2：心跳口eth1：对端地址：虚拟路路由组配置：虚拟组100优先级90抢占否网口列表：eth3eth2启用配置同步双机—主备—实现方式66双机—主备—配置主机基本信息基础配置部分：1、配置序列号。2、配置单机模式下应配的所有配置。3、配置心跳口（HA属性）HA配置：1、基本信息：选择本机心跳口（所有配置了HA属性的物理接口都可供选择），配置对端心跳口IP。2、双机热备：配置虚拟路由组3、配置同步：配置需要同步的信息配置HA属性的物理接口可做为心跳口心跳口条件：物理路由+HA属性对端地址条件：对端心跳口，路由可达、组播可达，建议两接口直连双机—主备—配置主机基本信息基础配置部分：配置HA属性的物理67双机—主备—配置主机双机热备1、配置虚拟组：同一虚拟组的不同设备参加主备竞选，所以主备模式两台设备的虚拟组ID应相同。2、优先级：同一虚拟组里优先级高的设备成为主机，如果优先级一样则看谁先起来谁成为主机。3、抢占：配置为抢占时，优先级高的设备一旦能正常运行即抢为主机，否则当发现虚拟组中已有主机存在时，自己虽然优先级高也只做备机。4、心跳时间：vrrp报文发送间隔，如果三个心跳时间内没收到报文则将自己置为主机。5、网口列表：选择数据转发口（只可选择物理接口，且已经选择为心跳口的不能选），该网口列表中的网口linkdown将会引发主备切换。6、链路监控：是否以链路故障监控结果作为依据来主导主备切换，取决于接口本身的链路监控配置。双机—主备—配置主机双机热备1、配置虚拟组：同一虚拟组的不同68双机—主备—配置主机配置同步一、选择配置同步将同步配置，以下配置除外：1、序列号配置2、高可用性配置3、心跳口配置（HA属性）二、选择同步会话表则将同步连接跟踪状态。三、选择同步用户认证，则同步用户认证信息。PS：用户认证，是指在线用户列表的同步，如果只选择配置同步，不选择用户认证，则认证系统、组织结构相关配置还是会同步的。双机—主备—配置主机配置同步一、选择配置同步将同步配置，以下69双机—主备—配置备机因为有配置同步功能，所以备机不需要配置所有的配置，但以下配置必须在备机单独配置1：序列号2、用作心跳口的接口配置IP和HA属性3、高可用性（HA）配置备机配置原则：虚拟路由组部分，除优先级和抢占模式按需要设置外，其余的各选项应与主机配置一致。双机—主备—配置备机因为有配置同步功能，所以备机不需要配置所70双机—主备—主备竞选主备竞选：1、AF1先启动，网络中无其他同类设备，则成主机，并且发送VRRP报文说明虚拟组、优先级等。2、AF2启动，收到了VRRP报文，对比虚拟组等其他选项一致等，并比较优先级，如果自己优先级高并且设置了抢占模式，则自己为master，其余情况自己为backup。3、如果AF1和AF2同时启动，并且优先级一致，心跳口ip大的为主。双机切换条件：1、master以心跳间隔时间发送vrrp报文，如果backup三个心跳时间内没有收到心跳，则自己置为master。2、网口列表中的网口linkdown3、开启了链路监控，链路检测结果出现故障双机—主备—主备竞选主备竞选：71双机—主备—配置同步1、AF1先启动，网络中无其他同类设备，则成主机，并且向对端发送同步配置请求，因此时备机不存在，AF1配置未变。2、AF2启动，向AF1发送同步配置请求，AF1将自己的配置打包传送给AF2，AF2的配置和AF1的相同。此为批量同步的过程，一般运行在设备启动、或者VRRP进程启动之后，此时是向对端所要配置。1、两台设备都在正常运行，不排除两端的配置都有可能发生改变，AF进程每10秒检测一下本端配置，如果发生改变则主动推送给对端。这种推送，只发送配置修改的部分，所以可以理解为增量同步。（注意，备机发生改变也会同步到主机，所以一般在一台设备上修改配置。）库同步本端库升级将把规则库同步到另外一台，同步之后，设备检测自身的序列号是否有效，有效才覆盖相关配置文件，完成最终的库升级。在线用户同步和连接跟踪都是实时同步。连接跟踪用UDP连接同步，配置同步用TCP连接同步。批量同步增量同步双机—主备—配置同步1、AF1先启动，网络中无其他同类设备，72双机高级用法—主主需求解读：内网用户A走电信线路上网，内网用户B走网通线路上网，这样用了两台路由器，但是路由器没有起到备份的作用，如果一台路由器挂掉之后，相应的内网就无法上网，用户希望两台防火墙同时工作，一台坏掉之后，内网流量都走另外一个防火墙。解决方案：双机部署，主主方式做负载均衡。双机高级用法—主主需求解读：73双机高级用法—主主解决方案：每台AF上配置两个虚拟组路由组，把每台AF模拟出两台设备，然后在四台虚拟设备中，选择两主两备。在路由组A中，AF1为主，AF2为备（蓝色圈选一条路）在路由组B中，AF1为备，AF2为主（红色圈选一条路）双机高级用法—主主解决方案：741、AF的网络配置(两台AF设置相同)：eth0=eth1=eth2=eth3=2、HA配置：需要建立两个虚拟路由组，每个虚拟路由组中产生一个主备。双机高级用法—主主AF1配置：虚拟组50优先级20接口：eth0eth2虚拟组20优先级50接口eth1eth3AF2配置：虚拟组50优先级50接口：eth0eth2虚拟组20优先级20接口eth1eth31、AF的网络配置(两台AF设置相同)：双机高级用法—主主A75双机高级用法—主主1、路由模式下，相邻交换机的IP必须在不同网段，因为AF两个互为备份的接口不能配置在同一网段，否则回包路由不明确。（面临的问题：两个口配置同一网段IP，到交换机的路由从哪个接口出去？）2、AF的一个接口只能属于一个虚拟路由组，而有些厂商的做法是一个接口可以属于多个虚拟路由组。双机高级用法—主主1、路由模式下，相邻交换机的IP必须在不同76双机—主主--应用场景2网桥客户需求：在路由设备和交换机上已经运行vrrp协议，现在不希望改变网络拓扑，AF需要在任意链路上做安全保护。解决方案：AF以透明模式部署，这时的线路切换、路由器流量负载由路由器本身执行，AF可以只启用配置同步。配置方法：1、将AF四个数据转发口配置在同一个vlan中。2、配置HA的基本信息（心跳口、对端地址）3、配置HA配置同步注意：若此时不配置VRRP虚拟路由组，只配置配置同步，需要手动配置接口联动。（想想AC的链路同步）双机—主主--应用场景2网桥客户需求：配置方法：77透明下实现重定向、代理、resetQ：透明模式或者虚拟网线模式下，网桥本身并没有IP地址，如果要做web认证重定向、邮件杀毒等通过代理实现的功能应该怎么做？是不是一定配置vlanip，或者用eth0管理口来实现？A：网桥模式下，要实现认证重定向、邮件杀毒等代理功能，设备本身有没有IP可以跟内网通讯、上网都没有关系，只需要确保内网用户到这个IP地址的路由经过设备即可，路由模式下重定向过程直接查找路由，跟AC无异。1、网关杀毒pop3、smtp是代理杀毒，实现方式跟AC一致，DNAT到本机。2、web认证、拒绝页面重定向用同样的方法，将连接重定向到AF本机。透明下实现重定向、代理、resetQ：透明模式或者虚拟网线模78透明下实现重定向、代理、resetgetbaidu重定向到get1、用户getbaidu2、AF判断需要重定向（web认证、拒绝访问等）3、AF返回数据包给PC，将步骤1中的数据包源目的转换，数据包内容带重定向标记，让用户访问4、pc访问,数据重定向到AFvlan0的地址,连接建立成功。

邮件代理等方法类似，我们不需要关注详细过程，了解两点：1、到的路由要经过到达AF2、AF转发数据包的时候，源地址和目的地址都是数据包原本的地址，代理后，AF将数据包发往公网，源ip还是还原成Pc、目标是公网服务器，所以AF自身IP不需要上网。AF对用户基本透明。PS：如果数据进入的接口类型是路由口，则直接查找路由表，不走此过程。透明下实现重定向、代理、resetgetbaidu重定向到79产品部署FAQ1、AF是否支持组播路由（是指在路由开模式下转发IGMP包）？是否支持非对称路由？暂不支持在路由模式下转发IGMP，后面补丁版本会支持非对称路由。2、是否支持特殊协议的协议剥离？在网桥模式下，默认支持对pppoe、vlan、pppoe+vlan的协议剥离（支持识别和控制）,暂不支持l2tp、mpls、qinq等的协议剥离。3、AF是否支持sip、h323等有关联连接的协议？（AC不支持sip）支持，路由模式下保证建立建立成功，需要指明协议使用端口。4、双机部署可否使用不同硬件型号？不支持，要求硬件型号、软件版本一致，不同版本、不同型号均不支持双机。5、双机开启配置同步后，备机的配置也可能同步到主机，如何避免这种情况？主机A开启配置同步，选择用户认证、会话表、配置同步，备机B开启配置同步，但只选择同步用户认证、会话表，不选择配置同步。（切换后需要改设置。）产品部署FAQ1、AF是否支持组播路由（是指在路由开模式下转80一、产品介绍二、产品部署深信服公司简介

三、产品应用四、数据中心及其他AF1.0一、产品介绍二、产品部署深信服公司简介三、产品应用四、数据81功能模块功能介绍用户认证可以设置对哪个区域启用用户认证，则该区域访问其他任何区域都需要经过认证后，才能访问。内容安全包含应用控制策略、病毒防御策略、web过滤策略三种。主要用于保护/限制内网用户的上网安全防火墙地址转换\DNSmapping，二层协议过滤，Dos/ddos防护（内网防护、外网防护）,连接数控制IPS保护服务器漏洞，保护客户端漏洞服务器保护即WAF（web应用防火墙），特别保护webftp服务器，如sql注入防护、xss防护，应用隐藏等流量管理合入了AC的流量管理，同时支持对不同vlan做不同的流控策略。vpn合入了vpn4.32产品应用篇—功能模块分布功能模块功能介绍用户认证可以设置对哪个区域启用用户认证，则该82保护服务器内网上网安全产品应用篇---功能用途分布流量管理防火墙基础功能保护内网上网安全产品应用篇---功能用途分布流量防火墙83产品应用---典型应用场景—1需求解读：1、保护/限制内网用户上网。2、保护服务器安全。3、流量控制。4、……产品应用---典型应用场景—1需求解读：84区域解读1：1、PC到公网的访问：eth3—vlan1三层----三层2、PC到服务器的访问：eth3—vlan1三层---三层3、服务器和公网间的访问：Eth1—eth2二层----二层1、策略只能在三层—三层之间，或者二层-二层之间做，不能在三层—二层之间做。2、vlan接口本身无wan属性，如流控等要匹配wan属性的，最终看出接口的物理接口属性。区域解读1：1、PC到公网的访问：2、PC到服务器的访问：385需求分解1：保护内网用户上网安全Q：保护内网用户上网安全的角度，AF可以做什么？需求分解1：保护内网用户上网安全Q：保护内网用户上网安全的角86内网上网安全面临什么威胁/AF需要解决的问题1、未授权的访问，非法用户流量2、不必要的访问（p2p,视频语音）3、不合法的访问（法轮功，赌博）4、不可靠的访问（不明来历脚本，插件）4、不安全的访问（网页、邮件携带病毒）5、其他危险流量（dos攻击、漏洞攻击）用户认证应用识别、控制URL过滤脚本、插件过滤网关杀毒DOS防护、IPS内网上网安全面临什么威胁/AF需要解决的问题1、未授权的访问87需求分解1：保护内网用户上网安全限定用户通过认证后方可访问外部网络病毒防御策略：防止上网带来的病毒威胁应用控制策略：控制可以访问的服务/应用URL过滤：url过滤、文件上传下载限制、脚本/插件过滤，不允许访问不安全的内容。保护客户端漏洞Dos/ddos内网防护、二层协议过滤、连接数限制需求分解1：保护内网用户上网安全限定用户通过认证后方可访问外88保护上网安全--用户认证注意事项：1、不支持dkey认证，不支持AC3.3新增的几种单点登录方式2、用户认证其他功能同AC3.0配置方法：1、开启用户认证（默认未开启）2、选择需要认证的区域（源区域）3、认证策略等其他设置同AC（建议先做好认证相关设置后开启认证）12Q1：如果不开启用户认证，用户能否上网，行为能否控制识别？A1：不需要认证即可上网，在线用户列表无用户，以IP为对象做控制和审计。Q2：本例中，lan区域访问dmz区域也需要认证么？A2：是的，只对源区域进行匹配，对lan区域启用认证后，lan区域穿过设备的流量需要认证，而不管其目的区域。保护上网安全--用户认证配置方法：12Q1：如果不开启用户认89保护上网安全--内容安全—应用控制配置方法：允许/拒绝什么人、在什么时间、访问什么目标什么内容，是否记录日志。服务/应用：服务：同AC网络服务控制应用：同AC应用服务控制生效时间：循环时间计划：同AC的时间计划。单次时间计划：在指定时间执行一次如10月1号—10月7号执行。单次时间计划功能1、默认拒绝所有区域的访问，除非接口不属于任何区域。2、可建立多条应用控制策略，从上到下匹配，匹配到则不往下匹配。3、需要选择生效时间的都支持单次和循环，此后不赘述。保护上网安全--内容安全—应用控制配置方法：单次时间计划功能90保护上网安全--内容安全—病毒防御配置方法：1、对哪些源区域访问哪些目标区域启用病毒防御策略（区域可多选）2、检测到病毒后可以只记录日志或只阻断，或记录日志+阻断。3、其他配置、实现原理同AC。4、只可建立一条病毒防御策略。保护上网安全--内容安全—病毒防御配置方法：911、脚本过滤、插件过滤同AC（需选择源区域），这两个功能只对出接口是wan属性接口生效。2、文件过滤同AC的文件类型过滤，但不支持ftp上传下载过滤。（需选择源区域）3、URL过滤同AC的url过滤，设置稍有不同。保护上网安全2.3.1--内容安全—web过滤勾选httpget只匹配httpget如需要匹配登录webmail、webbbs需要勾选httppost匹配后的动作Q：http（post）是什么意思，同AC的仅允许登录post，实现只可登录webmail、webbbs查看，不可发邮件或者发帖的需求么？A：非也，注意AC是仅允许登录post，其他类型post不管，这里拒绝则拒绝所有post，登录邮箱、webbbs也登录不了，一般慎用。Q：web过滤的默认策略是什么？A：默认不过滤，允许所有的url访问。1、脚本过滤、插件过滤同AC（需选择源区域），这两个功能只对92保护上网安全3—IPS—保护客户端漏洞1、需要保护哪些类型的漏洞，则勾选相应的漏洞名称即可。2、漏洞名称说明保护哪一类漏洞，会有多条规则，并不是每条规则都阻断的，这个规律参见保护服务器漏洞章节。Q：保护客户端漏洞，源区域选择内部区域还是外部区域？（内部区域指客户端所在区域）A：因为连接发起方是内网，所以源是内网。后面会讲到保护服务器，保护服务器时，源区域是公网，目标区域是服务器区域。保护上网安全3—IPS—保护客户端漏洞1、需要保护哪些类型93保护上网安全

—DOS/DDOS防护—内网防护内网防护，从AC的dos防护移植过来，一般用于内网防护。可以设置源区域，建议源区域设置成内网区域检测到攻击即阻断，但是可以选择是否记录日志Q：DOS外网防护干嘛用的？A：一般用于保护服务器（数据中心）不受攻击，在保护服务器的场景下讲保护上网安全—DOS/DDOS防护—内网防护内网防护，从A94需求分解2：保护服务器Q：保护服务器的角度，AF可以做什么？需求分解2：保护服务器Q：保护服务器的角度，AF可以做什么？95黑客入侵四步曲黑客入侵四步曲服务器面临的安全威胁/AF需要解决的问题1、未授权的访问，非法用户流量（如内网数据中心）2、不必要的访问（如只提供http应用服务访问）3、ddos攻击（ip、端口扫描、洪水攻击、协议报文攻击）4、漏洞攻击（针对服务器操作系统、软件漏洞）5、针对WEB服务器的其他一些攻击，SQL注入、XSS等用户认证应用识别、控制DOS外网防护IPS保护服务器服务器保护黑客入侵四步曲黑客入侵四步曲服务器面临的安全威胁/AF需要解96需求分解2：保护服务器保护服务器漏洞可以要求用户认证后，才可以访问服务器。DOS/DDOS外网防护、连接数控制Web应用防护：防止SQL注入、XSS攻击、OS命令攻击、弱口令保护、防爆破登录。默认拒绝，要注意放通外网访问服务器权限注意：一个连接中总会有服务器和客户端的角色，而AF是不清楚谁是服务器还是谁是客户端的，他只明确连接发起的方向，所以任何策略，不管是保护服务器还是保护客户端，都可以生效，关键在于源、目的的设置。略略需求分解2：保护服务器保护服务器漏洞可以要求用户认证后，才可97外网防护，主要用于保护内网数据中心服务器群不受外部区域ddos攻击。源区域设置为连接发起方区域，比如要防护来自公网区域的dos攻击则源区域设置成wan区域设置检测到以上攻击后，是记录或阻断外网防护，主要用于保护内网数据中心服务器群不受外部区域ddo98保护服务器—DDOS攻击防护连接发起方区域源区域所有接口所有源ip的总阀值源区域中单个源ip匹配的是从刚才设置的源区域到指定的目的IP组的数据Syn洪水攻击防护激活阀值：到指定阀值之后，syn包由AF代理，合法连接则转发到服务器，否则被AF丢弃。丢包阀值：到指定阀值之后，后续syn包直接丢弃。匹配原则：1、只设置源区域：源区域（所有接口、所有源ip）维护一个阀值，之后丢弃也是丢弃源区域的所有数据。2、设置了源区域+目的IP组：指定源区域，访问指定目的ip组才匹配，来自源区域访问其他IP组的，则不保护。3、同时标明了每目的或者每源ip：“每目的IP”，指定源区域到指定目的IP组中的，单个目的IP的进行计数。“每源IP”，指定源区域中单个源ip对所有目标IP组集合的连接进行计数。保护服务器—DDOS攻击防护连接发起方区域源区域所有接口所有99保护服务器—DDOS攻击防护这里的规则，只匹配源区域，只要是从指定区域进入的数据，都匹配此规则。这些攻击特点和如何防护，见文档：

0：5/dedecms/plus/view.php?aid=847基于数据包的检测、基于报文的检测，在开启直通的情况下仍然检测并丢包。规则按需开启，建议不要开启IP数据块分片传输防护。保护服务器—DDOS攻击防护这里的规则，只匹配源区域，只要是100DDOS攻击防护—演示1、这是一个tcp标志位全为0的包2、新增策略dos防护策略，启用tcp报头标志位全为0防护3、在软件上点击发送，则通过网卡发送此数据包4、若开启拒绝列表，则可以看到丢包日志，若启用日志则数据中心将看到防护日志DDOS攻击防护—演示1、这是一个tcp标志位全为0的包2、101保护服务器—IPS—保护服务器漏洞IPS：入侵防御系统intrusionpreventionsystem，不管是操作系统本身，还是运行之上的应用软件程序，都可能存在一些安全漏洞，攻击者可以利用这些漏洞发起带攻击性的数据包威胁网络信息安全。AF检查穿过的数据包，和内置的漏洞规则列表进行比较，确定这种数据包的真正用途，然后根据用户配置来决定是否允许这种数据包进入目标区域网络。IPS内置规则分为两类：保护服务器的规则和保护客户端的规则，因为这两种角色的主机运行的程序各不相同，存在的漏洞也各不相同，所以存在不同的规则。保护服务器—IPS—保护服务器漏洞IPS：入侵防御系统in1023、每一个漏洞类别下，有多个规则IPS—IPS规则1、IPS规则体现在对象定义—漏洞特征识别库中2、根据软件应用类型分为不同的类别，比如web列表是针对Web服务器漏洞而设计的4、每条规则都有其独立的属性，说明危险级别、规则是否启用、检测到攻击后是放行还是拦截5、输入漏洞id可以直接查找到某规则6、可以修改规则动作3、每一个漏洞类别下，有多个规则IPS—IPS规则1、IPS103保护服务器—IPS—保护服务器漏洞可以根据服务器提供的服务选择不同的漏洞类别对mail服务器，可以防御哪些漏洞呢？保护服务器—IPS—保护服务器漏洞可以根据服务器提供的服务选104Q1：遇到误判怎么解决？（把正常通讯当入侵给阻断了）A2：根据数据中心的日志，查询到误判规则的漏洞ID，在对象设置---漏洞特征识别库中将相应漏洞ID的规则修改动作，如改成放行或禁用。Q2:启用，与云分析引擎联动是什么概念？A2：相当于启用，检测后放行，同时会上报云端（想想未知应用上报。）保护服务器—IPS—保护服务器漏洞IPS规则，默认有高中低三个级别，默认动作如下：危险级别高：攻击包威胁程度高、规则误判小，缺省为启用，检测后阻断。危险级别中：缺省为启用，检测后放行危险级别低：攻击包危险程度低，规则可能存在误判，缺省为禁用。（不检测）更多关于IPS概念、规则分类、分类原则的问题参见客服知识平台。IPS的测试方法，目前可能是通过数据包回放来做，后面更新到客服知识平台。Q1：遇到误判怎么解决？（把正常通讯当入侵给阻断了）保护服务1052、扫描软件版本信息3、选取对应的漏洞、SQL注入、跨站脚本，获取权限4、上传脚本/恶意代码，下载机密文件黑客入侵四步曲1、扫描IP/Port黑客入侵四步曲服务器面临什么威胁/AF需要解决的问题---web服务器1、禁止扫描3、ips漏洞防御2、应用隐藏3、sql注入防护、xss跨站脚本防护4、禁止上传可执行程序4、禁止访问指定目录WAF2、扫描软件版本信息3、选取对应的漏洞、SQL注入、跨站脚本106保护服务器—IPS—WEB应用防护配置方法：1、设置源区域（公网）、目标区域（服务器区域）、目标IP（服务器IP组）2、设置服务对应的端口（根据端口匹配）3、勾选或者设置需要做的防护。1、对FTP服务器生效的配置：应用隐藏—FTP口令防护----FTP弱口令防护口令防护---口令暴力破解防护2、其余的对WEB服务器生效Q：这里只对ftp和web应用生效么？那么设置mysql、telnet端口干嘛？A：是的，只对ftp和web应用生效，mysql、telnet端口设置暂无意义。https也不支持。保护服务器—IPS—WEB应用防护配置方法：1、对FTP服务107Web应用防护--应用隐藏Q：应用隐藏，是干嘛的？A：有些协议软件会将软件名称及版本号打印出来，恶意用户可根据该信息查找软件的漏洞信息，以入侵主机。通过设置应用隐藏，AF将服务器返回的软件名称、版本号等敏感信息隐藏后再传递给客户端。FTP应用隐藏前……FTP应用隐藏后……AF目前仅支持ftp和http的应用隐藏。对于ftp应用隐藏，只支持隐藏软件名称及版本。对于http应用隐藏，可以自定义需要隐藏的字段Web应用防护--应用隐藏FTP应用隐藏前……FTP应用隐藏108可以自定义要隐藏的字段内置HTTP应用隐藏前……这边是客户端的请求包这是服务器的回包HTTP应用隐藏后……数据中心记录效果Web应用防护--应用隐藏可以自定义要隐藏的字段内置HTTP应用隐藏前……这边是客户端109Web应用防护—SQL注入防护Q：什么是SQL注入？A：SQL注入就是利用程序漏洞，提交恶意的SQL语句欺骗服务器，操作后台数据库的行为，他可能绕过授权验证、修改数据库信息等。Q：如何防护？A：AF内置防护规则库，对用户提交的SQL语句进行危险性判断，并采取阻断或者仅记录的动作。强特征库：可靠性高，SQL语句执行危害大，如果匹配到此特征，则可以确定是一个SQL注入攻击，被强特征规则匹配到的，若策略选择阻断即阻断。弱特征库：SQL语句危害程度小或无危害，规则可能存在误判，所以被弱特征规则匹配到的，即便策略选择阻断仍然只记录。自动化工具特征库：这个特征库主要防御自动化工具的扫描，规则全面和细致，能够防护NBSI

HDSI啊D

Domain冰舞CSC

WED，等常见自动化工具。SQL注入攻击概念、攻击手段、防护手段见文档：0:5/dedecms/plus/view.php?aid=853Web应用防护—SQL注入防护Q：什么是SQL注入？Q：如何110这里也可以提交admin’or1=‘1提交这个相当于在后台数据库执行Select*fromusernamewhereuserid=‘admin’or1=‘1’andpwd=1此sql语句执行后如果存在username表、admin用户，则不管密码是否正确，结果恒为真，如果服务器不限制的话，用户就绕过授权而登录到系统了。要求程序做输入合法性判断，如果判断不严谨，则可能给黑客可乘之机。。。。And1=1是一种常见的手动注入扫描注入点的方法。Web应用防护—SQL注入防护启用防护前这里也可以提交admin’or1=‘1要求程序做输入合111客户端输入同样的信息、服务器程序不做优化AF帮助阻断这种非法提交。有类似and1=1的，将被AF强规则匹配，而丢包。Web应用防护—SQL注入防护启用防护后拒绝列表丢包：客户端输入同样的信息、服务器程序不做优化Web应用防护—SQ112Web应用防护—XSS攻击防护及其他CSRF攻击手法类似于XSS攻击，不详述。OS命令攻击是指利用webshell执行操作系统命令的攻击，比如cd命令，不详述。XSS攻击：Webbbs等，可以在留言板输入脚本语言，则可能被其他浏览该贴的人执行该脚本，如果这个脚本是恶意的，则给客户端带来安全风险的同时，服务器提供商也会卷入不必要的麻烦。XSS攻击防护：禁止提交带有javascript关键字、vbscript关键字、<>字符，如提交的内容出现类似<script></script>源代码的，则会被丢弃。（注意有些论坛之类是支持UBB方式，此种方式是原本支持以这种方式出现的，此时不应开启XSS攻击防护。）Web应用防护—XSS攻击防护及其他CSRF攻击手法类似于X113动作为拒