SANGFORNGAF新产品培训二

SANGFORNGAF新产品培训一、产品介绍二、产品部署深信服公司简介三、产品应用四、数据中心及其他AF1.0什么是NGAFNGAF能做什么一、产品介绍为什么要NGAFNGAFVS.AC1.1什么是NGAFNext-GenerationApplicationFirewall下一代应用防火墙防火墙：拥有防火墙的基础功能，路由、NAT、包过滤等。应用防火墙：对应用内容的更准确识别、更加关注应用层的内容安全。下一代应用防火墙：Garnter定义。为什么要NGAF—防火墙历史第一代防火墙第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packetfilter）技术。第二、三代防火墙1989年，贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。第四代防火墙1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamicpacketfilter）技术的第四代防火墙，后来演变为目前所说的状态监视（Statefulinspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙1998年，NAI公司推出了一种自适应代理（Adaptiveproxy）技术，并在其产品GauntletFirewallforNT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。网络发展的趋势——防火墙需要更新换代

网络在改变网络已经深入日常生活

1、大量的新应用建立在HTTP/HTTPS标准协议之上2、许多威胁依附在应用之中传播肆虐3、Gartner报告：75%的攻击来自应用层仅80端口上的应用就有N种，防火墙如何限制？防火墙需要更新换代传统的防火墙基于包头信息可是却无法分辨应用及其内容也不能区分用户更无法分析记录用户的行为Gartner定义下一代防火墙

Gartner定义下一代防火墙基本防火墙功能集成式入侵防御可视化应用识别智能防火墙高性能网络安全可视化应用管控全面应用安全单次解析构架智能风险审计应用识别流量管控非法业务阻断核心业务带宽保障OA合法业务带宽限制应用安全防护WEB安全防护灰度威胁识别灰度威胁关联分析引擎多核并行处理统一

签名统一

策略报文一次匹配潜在威胁漏洞防护服务器防护病毒防护行为追踪上传云端应用防护日志应用管控日志网络安全日志用户分析报表智能关联分析报表身份认证NAT抗攻击VPN1.2NGAF如何满足网络对防火墙的要求全面继承AC和VPN领域的技术积累全面继承AC和VPN领域的技术积累防火墙FW流量管理QoS应用访问控制策略服务器防护IPSecVPN攻击防护IPS病毒过滤AV内容过滤URL内容安全可视化完整的NGAF强强联合加入微软MAPP专业的WAF功能可视化的双向应用访问控制NAT、DDoS、路由更丰富1.2NGAF如何满足网络对防火墙的要求1.3NGAF和AC的对比ACNGAF产品定位上网行为管理，主要监视和控制用户上internert的行为，关注带宽利用价值、非法访问、不和谐言论、泄密风险应用防火墙，关注业务区数据中心二—>七层安全防护，确保内网网络不受外部恶意攻击。应用场景主要用于lan->wan方向的上网行为管控。主要保护数据中心/服务器/内网免受攻击,而无须关注具体部署方向。功能强势准入认证、内容审计、ssl内容识别、邮件过滤/延迟审计，外发文件告警等（AF缺失）部署上的优势：支持混合部署，支持动态路由协议，支持主备、负载均衡。应用安全：WAF、DDOS外网防护，IPS功能更强大共同功能

Vpn、流量管理、IPS、应用控制、网关杀毒、脚本插件过滤，url过滤等，但是功能分布有改动。AF菜单AC菜单AF新增功能服务器保护护重新分布的的功能：1、用户与策策略管理认证系统+内容安全2、防火墙防火墙+VPN3、安全防护护IPS+内容安全+防火墙几乎平移的的菜单：1、系统诊断断系统维护2、系统配置置系统3、防火墙防火墙+VPN4、流量管理理流量管理5、实时状态态运行状态6、网络配置置网络配置1.3NGAF和AC的对比办公网络数据中心1、AC更关注于办办公网络的的行为管控控、泄密监监控、不和和谐言论追追查。2、AF更关注数据据中心、内内网的安全全防守。1.3NGAF和AC的对比---应用场景AFAFAF不允许使用用skype等不允许访问问非法网站站流量管理禁止运行不不安全的脚脚本、插件件禁止/记录发表不不和谐的言言论泄密防护……（红色部分分AF做不到）……防止DDOS攻击防止漏洞入入侵防止SQL注入、XSS攻击防止向服务务器传送恶恶意脚本。。。禁止访问服服务器某些些目录记录不安全全的访问……1.3NGAF型号10G300M一、产品介绍二、产品部署深信服公司简介三、产品应用四、数据中心AF1.0知识分类知识概要网络配置基础了解部署中各必要元素的配置、用途。（接口类型、vlan接口、子接口。）路由路由部署、路由+trunk部署透明透明部署、透明+trunk部署虚拟网线虚拟网线部署，类似透明部署，但是数据转发时不查mac表，从虚拟网线的接口1接收数据，从接口2转发。混合部署路由+透明网桥双机双机主备、双机主主其他路由（静态路由、策略路由、OSPF、RIP等）高级网络配置（DHCP、DNS、ARP、SNMP）产品部署篇篇—部署方式1、设备登录录方式1、默认只有有eth0接口有设置置IP，初始IP为512、eth0为管理口，，UI显示为eth0，描述信息息为"manage"；eth0只能作为路路由口，不不能切换模模式；eth0只能配成静静态IP：在网口数数<=4时，eth0可以修改IP，但51/24不能删除；；在网口数数>4时，eth0不能做任何何更改。webui密码和pshell密码跟其他他产品线一一致。2.1网络配置基基础--接口/区域设置物理接口：：路由、透透明、虚拟拟网线，这这三种接口口都有一个个wan或者非wan属性。子接口：是是路由接口口的虚拟子子接口，可可支持vlan数据转发。。Vlan接口：同交交换划分vlan，每个vlan有vlanid和vlanip，则产生一一个vlan接口。三层接口：：路由口口、子接口口、vlan接口，共同同的特点是是可以配置置IP。二层接口：：透明口虚拟网线接接口：虚拟拟网线接口口区域：系统统默认没有有区域，但但接口必须须属于某个个区域才能能被调用做做NAT、控制策略略等。有三三层区域、、二层区域域、虚拟网网线区域，，对应的，，只能将相相应层次的的接口划分分到对应区区域。接口有物理接口、子接口、vlan接口三种物理口：没没有部署模模式配置向向导，物理理接口类型型决定部署署模式1、路由，即普通的三层口，两个路由口构成路由模式2、透明，即网桥口，两个网桥口构成网桥模式3、虚拟网线，另一种透明口，两个虚拟网线口组成一条虚拟网线2、透明口有有access和trunk两种，access口一定属于于某vlan，trunk口不属于任任何vlan，但可以承承载指定vlan的数据HA地址用于双机部署时做心跳口用客户需求：设备路由模式部署，并且作为vlan的网关，支持vlan间路由子接口：用用于物理口口支持vlantrunkAC可以这样设设置AF需要这样设设置物理接口配置不属于任何vlan的ip给物理接口建立vlan子接口物理接口配置不属于任何vlan的ip给物理接口建立vlan子接口物理接口多多IP，非trunk？跟AC一样，以IP地址列表的形式配置配置的多IP用ifconfig是看不到的，用ipaddress看：vlan接口Eth1作为trunk口，允许中继的vlan范围Q：透明口接接口本身不不能配置IP地址，那如如何通讯？？A：配置vlan接口透明口的两两种用法vlan1vlan10给vlan1配置IP没有默认区区域，自定定义接口所所属区域来来标识控制制方向默认是没有的1、默认没有有任何区域域，而设备备NAT、内容安全全等策略都都是根据区区域来做，，所以需要要将接口划划分到区域域。2、区域有二二层、三层层、虚拟网网线三种类类型，二层层区域只能能选择二层层接口，三三层区域只只能选择三三层接口，，虚拟网线线只能选择择虚拟网线线接口。二层接口：：透明口（（access、trunk）三层接口：：路由口、、vlan接口、子接接口虚拟网线接接口：虚拟拟网线口是否允许从此区域管理设备？允许哪些客户端管理？三层区域才有此选项。区域设置的的意义和原原则Q：有了lan和wan属性，为什什么还要定定义区域？？A：wan属性只是用用于控制部部分功能是是否生效，如：流控控、策略路路由、插件件过滤、脚脚本过滤只只对出接口口是wan属性接口生生效。但是是对哪个方方向上的数数据进行控控制，并不不像AC一样是约定定俗成的lanwan,而是取决于于自定义的的配置。策略应用在在哪个方向向，由策略略本身的区区域设置决决定。规划划区域的时时候，就需需要规划好好，是一个个接口属于于一个区域域，还是相相同需求的的多个接口口属于一个个区域。区域设置原原则：1、二层接口口只能属于于二层区域域，其他类类推（界面面已经限制制）2、定义策略略时，只能能二层—二层，三层层---三层（部分分界面已限限制）3、区域定义义按照控制制的需求来来规划（自自主规划））1、接口设置置的下一跳跳网关，只只做链路故故障检测用用，不会产产生路由，，所以设备备还需要手手动设置默默认路由。。2、接口设置置的线路带带宽跟流控控通道带宽宽没有必然然关系，用用于策略路路由按照带带宽比例选选路用。3、线路故障障检测结果果可被策略略路由、双双机部署调调用。4、高级设置置可以设置置网卡工作作模式、mtu、mac地址。此处修改mac地址不会影影响网关序序列号。PS：不同类型型的接口可可以设置的的参数不尽尽相同。只有物理口口可以设置置工作模式式、MAC地址、wan属性只有三层接接口可以设设置IP地址、链路路故障检测测等二选一接口区域---其他他属性配置置路由模式混合模式透明模式典型部署模模式与配置置虚拟网线模模式2.2路由模式--配置方法路由、网桥、虚拟网线三种类型选择选择是否为wan口（需要外网线路授权）不会生成8个0的默认路由，仅做线路检测用允许以什么方式管理该区域允许客户端以什么源地址登陆来管理该区域三层区域可以选择路由口、子接口和vlan子接口（不可选择透明口和虚拟网线口）如果内网PCDNS服务器地址指向AF设备，则需要开启此选项。设备自身上网dns解析1、设置wan口，类型”路由”，勾选wan属性，设置置ip地址等其他他属性。2、设置lan口，类型““路由”，，不勾选wan属性，设置置ip地址等其他他属性3、分别定义义lan和wan的区域，并并将接口划划入对应的的区域。4、为该设备备配置DNS地址，如需需要则启用用DNS代理。5、给设备设设置上外网网的缺省路路由。6、如果内网网有多网段段，需要给给设备加上上系统路由由指向三层层交换机。。7、配置地址址转换，做做代理上网网的SNAT8、默认应用用服务控制制是缺省拒拒绝的，需需要手动放放行路由双线路路—应用场景需求解读：：希望实现电电信走电信信、网通走走网通一条线路断断掉之后，，流量走到到另外一条条线路解决方案：：路由模式Wan属性接口两两个，外网网线路授权权两条配置线路故故障检测，，检测线路路状况配置多线路路负载策略略路由，做做出站线路路负载TRUNK路由—应用场景需求解读：：局域网内有有CISCO4006、3500等多多台，但是是都没有三三层功能的的，现有AF防火墙墙一台作出出口连接，打算把局局域网内划划分VLAN，，听说AF支持路路由和TRUNK，想用NGAF来来做路由解决方案：：设备以路由由部署，lan口必定要是是一个路由由口。将eth0做为lan口，并设置置子接口。。TRUNK路由由—应用用场场景景eth0.10eth0.20Q：做做策策略略时时，，引引用用区区域域应应该该如如何何引引用用？？A：此时时eth0eth0.10eth0.20是三三个个独独立立的的三三层层接接口口可以以属属于于不不同同的的区区域域：：eth0.10所属属区区域域wan区域域，，匹匹配配vlan10的数数据据eth0所属属区区域域虽虽然然也也是是三三层层区区域域，，但但是是无无法法匹匹配配到到eth0.10的数数据据，，如如果果数数据据不不属属于于任任何何子子接接口口，，才才会会匹匹配配父接接口口eth0TRUNK路由由--配置置方方法法路由、网桥、虚拟网线三种类型选择选择是否为wan口（需要外网线路授权）不会生成8个0的默认路由，仅做线路检测用1、设设置置wan口，，类类型型”路由由”，勾勾选选wan属性性，，设设置置ip地址址等等其其他他属属性性。。2、设设置置lan口，，类类型型““路路由由””，，不不勾勾选选wan属性性，，设设置置ip地址址等等其其他他属属性性，，注注意意lan口的的ip地址址应应随随便便配配置置，，不不属属于于任任何何vlan。3、给给lan口设设置置子子接接口口，，配配置置vlanid、vlanip等（（类类似似AC的vlan列表表））3、分分别别定定义义lan和wan的区区域域，，并并将将接接口口划划入入对对应应的的区区域域。。4、为为该该设设备备配配置置DNS地址址，，如如需需要要则则启启用用DNS代理理。。5、给给设设备备设设置置上上外外网网的的缺缺省省路路由由。。6、配配置置地地址址转转换换，，做做代代理理上上网网的的SNAT。（（参参考考章章节节））7、默默认认应应用用服服务务控控制制是是缺缺省省拒拒绝绝的的，，需需要要手手动动放放行行（（参参考考章章节节））指明该子接口是哪个物理口的子接口该子接口所属的vlanid给设备分一个属于vlan10的空闲地址，通常也是vlan的pc所指向的网关地址网桥桥模模式式—应用用场场景景需求求解解读读：：客户户网网络络中中原原有有一一台台路路由由器器部部署署在在出出口口代代理理内内网网上上网网，，希希望望在在不不改改变变网网络络结结构构的的情情况况下下，，AF部署署在在网网络络中中保保护护内内网网和和服服务务器器。。配置要点点：1、AF两个接口口设置成成透明Access口，accessid=1。2、给vlan1配置管理理地址，，或者用用eth0做管理。。网桥模式式—应用场景景eth2透明accessid=1eth1透明accessid=1Q：做策略略时，引引用区域域应该如如何引用用？Vlan1ip=A：此时eth2、eth1是二层接接口Vlan1是三层接接口，但但是转发发的数据据并不经经过它所以，区区域设置置：eth1所属区域域eth2所属区域域（都都为二层层区域））网桥模式式---配置方法法设置为透明口，根据链路信息选择access或者trunk口，此例为access口，设置将此eth3接口划分到哪个vlan中。物理接口本身如eth3没有ip地址信息，如果要通过此接口与外界通讯，应给所属vlan设置vlan的ip地址。1、设置wan口、lan口，类型型“透明明”，设设置ip地址等其其他属性性（若为为wan口则勾选选上wan属性）3、分别定定义lan和wan的区域，，并将接接口划入入对应的的区域。。4、因需要要对设备备进行管管理，可可以配置置vlan的管理地地址，或或者用eth0做管理。。5、设置vlan接口所属属的区域域，设置置该区域域是否允允许从webui、ssh管理等。。5、为该设设备配置置DNS地址、上上外网的的缺省路路由等。。6、给设备备设置上上外网的的缺省路路由。7、如果内内网有多多网段，，需要给给设备加加上系统统路由指指向三层层交换机机。8、默认应应用服务务控制是是缺省拒拒绝的，，需要手手动放行行（参考考章节））二层区域只可以选择“透明”网口通过此地址访问设备进行管理下一跳做链路检测用，不会生默认路由Trunk网桥---应用场景景需求解读读：交换机上上划分了了vlan，交换机机和路由由器之间间走vlantrunk，PC网关都指指向路由由器，现现在不希希望修改改网络结结构，部部署AF。配置要点点：设备透明明网桥方方式部署署，两个个接口类类型均为为透明+trunk口，允许许中继vlan10、vlan20等数据。。Trunk透明---配置方法法1、设置wan口、lan口，类型型“透明明”，设设置类型型为trunk，并设置置允许转转发的vlan，如果是是wan口则勾选选上wan属性。3、分别定定义lan和wan的区域，，并将接接口划入入对应的的区域。。4、因需要要对设备备进行管管理，可可以设置置vlan的管理地地址，或或者从管管理口eth0进行管理理。5、设置vlan接口所属属的区域域，设置置该区域域是否允允许从webui、ssh管理等。。5、为该设设备配置置DNS地址、上上外网的的缺省路路由等。。6、给设备备设置上上外网的的缺省路路由。7、如果内内网有多多网段，，需要给给设备加加上系统统路由指指向三层层交换机机。8、默认应应用服务务控制是是缺省拒拒绝的，，需要手手动放行行（参考考章节））lan和wan口都做同样的设置，不同的是wan口需要勾选wan属性Vlan范围用用于设设置允允许对对哪些些vlan做中继继，不在此此范围围中的的vlan数据将将不会会被被中继继网桥模模式—网桥多多网口口---应用场场景需求解解读：：外网多多出口口，内内网用用户分分别走不同同的路路由器器，从从不同同的公公网出出口上上外网网，需需要对对两条条公网网线路路上的的数据据都做做安全全防护护。配配置要要点：：三个网网桥口口，都都配置置成透透明+access口，设设置在在同一一vlan（vlanid相同）），维维护一一张mac表。配置截截图：：略区域解解读：：此时数据转发发口eth2、eth3、eth1是三个独立的的二层口。eth2eth3eth1网桥模式—多网桥---应用场景解决方案：同AC设备，设置成成多网桥模式式，让每路网网桥维护各自自的mac转发表，互相相之间不转发发数据。需求解读：在这个拓扑环环境下，S1S2交换机跑VRRP协议，如果源源MAC是交换机vrrp虚拟MAC，那么此MAC可能在A2和B2接口上都出现现，设备根据据mac表转发数据的的时候，可能能发错，导致致网络异常。。配置要点：四个口都设置置成透明access口，并且A1A2在一个vlan，B1B2属于另一个vlan。（vlanaccessID不同）虚拟网线---应用场景应用场景：虚拟网桥模式式，其实也是是透明网桥的的一种，应用用场景同多网网桥模式，这这种模式下，，数据从一个个口进，从虚虚拟网线的另另外一个口直直接转发，而不需查找mac表，提高转发发性能。配置要点：A1A2，B1B2都设置成虚拟拟网线接口，，并且A1A2组成一条虚拟拟网线，B1B2组成另外一条条虚拟网线。。虚拟网线模式式下支持的功功能与透明模模式一样，（（支持vlantrunk，支持所有策策略控制）PS：AC2.0r1的时候，开始始用这种网线线式网桥来规规避一些未知知的mac表混乱问题，，多网桥环境境建议使用虚虚拟网线部署署。虚拟网线—配置方法1、设置wan口、lan口，类型“虚虚拟网线”，，如果是wan口则勾选上wan属性。3、分别定义lan和wan的区域，并将将接口划入对对应的区域，，区域应选择择虚拟网线区区域，该区域域只可选择虚虚拟网线接口口，不可以选选择其他接口口。3、设置虚拟网网线，指明将将哪两个虚拟拟网线接口组组成一条虚拟拟网线。4、eth0做管理用。5、为该设备配配置DNS地址、上外网网的缺省路由由等。6、默认应用服服务控制是缺缺省拒绝的，，需要手动放放行（参考章章节）这个截图是早期的，现在eth0已经不支持修改为透明或者虚拟网线接口，仅支持做路由口。接口联动—应用场景类似AC网桥模式下开开启链路同步步，设置成接接口联动的两两个口或者多多个口，如果果一个网口宕宕掉了，会自自动宕掉另外外一个桥接口口。在vrrp热备环境下，，避免出现一一个桥的网口口不通了，但但是数据还是是通过这个桥桥转发，导致致上网中断的的情况。应用场景：vrrp等热备环境，，需要检测链链路link状态，来完成成主备切换等等。和AC的差异：1、实现方式，，检测物理接接口linkdown状态，支持光光口、电口。。2、一个接口联联动组内可以以添加多个接接口，任意接接口down，则其他接口口都down，所以不允许许添加带有HA属性的接口，，因为HA属性一般为双双机心跳口所所用。接口联动—配置方法启用接口联动动联动口只可以以选择物理接接口接口联动不能能和HA同时启动1、勾选“启用用接口link状态联动”2、新增一个接接口联动，选选择关联的联联动口。一个个接口联动组组可以任选多多个接口，选选择一定要慎慎重。联动口只可以以选择物理接接口，联动接接口不能和HA心跳口同用。。HA下也不需要手手动配置接口口联动，会自自动联动。混合部署—应用场景需求解读：某客户有大量量的公网ＩＰＰ提供给服务务器群，同时时lan区域的私网ＩＩＰ又要通过过路由器走NAT出去上网，不不希望将公网网ip都配置到路由由设备上再做做端口映射，，而是服务器器直接配置公公网ip，现在希望AF能代替路由器器。解决方案：混混合部署配置要点：1、DMZ和WAN之间，是透明明部署，DMZ和WAN口设置成透明明access口，且在同一一vlan，Accessid=12、配置vlan1，添加vlan1地址为通讯地地址如5，nat在vlan1实现。3、Lan口设置为路由由口eth2配置成透明口+access混合部署—配置方法1、wan、dmz配置成透明模模式，并且在在同一vlan，给该vlan配置地址，直直接为公网地地址（需要给给内网lan区域做NAT）2、lan口为路由模式式eth1也配置透明+access，并且vlanID跟eth2一致。Eth3设置为路由口Vlan1设置公网IP此时数据转发发口有四个，，分别为：DMZ区域和WAN区域，用eth1—eth2转发，二层区区域LAN区域和WAN区域，用eth3—vlan1转发，三层区区域LAN区域和DMZ区域，用eth3—vlan1转发，三层区区域--此时做区域控控制，无法对对lan访问dmz、lan访问wan区域分别，因因为对于lan来说，dmz和wan属于同一接口口、同一区域域，所以此时时需要根据区区域+目标IP控制。混合部署变身身网桥+vlan此时区域解读读为：DMZ区域域和和WAN区域域，，用用eth1——eth2转发发，，二二层层区区域域LAN区域域和和WAN区域域，，用用vlan2vlan1转发发，，三三层层区区域域LAN区域域和和DMZ区域域，，用用vlan2——vlan1转发发，，三三层层区区域域跟混混合合部部署署的的区区域域是是类类似似的的，，所所有有没没有有必必要要部部署署成成这这样样。。在混混合合部部署署和和当当前前部部署署模模式式下下，，如如果果要要对对lan访问问wan和lan访问问dmz做不不同同控控制制，，可可以以在在区区域域的的基基础础上上加加入入目目标标IP的条条件件限限制制，，此此时时就就可可以以分分别别控控制制了了。。ARP代理理—应用用场场景景需求求解解读读：：这个个需需求求跟跟混混合合部部署署需需求求相相同同，，但但是是某某些些特特殊殊情情况况不不能能做做混混合合或或者者网网桥桥部部署署。。难点点：：如果果设设备备不不做做混混合合部部署署，，而而做做路路由由部部署署，，DMZ区域域用用户户如如何何穿穿过过三三层层路路由由设设备备和和同同一一网网段段的的网网关关通通讯讯？？解决决方方案案：：ARP代理理ARP代理理—配置置方方法法1、公网某设备请求137.76的mac2、AF回应137.76的mac为eth21、137.76请求137.1的mac2、AF回应137.1的mac为eth13、137.76和137.1之间间的的数数据据通通过过AF转发发彼此此正正常常通通讯讯。。2、让eth1回应6的arp请求1、启用arp代理其他他网网络络配配置置1、路路由由：：静静态态、、策策略略、、ospf、rip2、高高级级网网络络配配置置：：DNSARPDHCPSNMP高级级网网络络配配置置--DNSDNS设置设备自身上网、或者做DNS代理使用启用，则支持PC将DNS服务器地址设置成设备地址，交由设备作DNS解析1、如果果wan口为adsl拨号，，或者者dhcp，下发发了dns地址，，则此此处dns服务器器设置置不生生效，，以接接口下下发到到的dns为准。。2、启用用dns代理，，只支支持pc将代理理服务务器设设置成成AF，才做做代理理，不不支持持类似似AD的透明明代理理。高级网网络配配置--ARPARP：arp即增加加静态态arp表项接口必必须为为三层层接口口，并并且增增加的的ip跟选定定的接接口ip在同一一网段段。ARP代理：：应用场场景和和设置置方法法见前前面章章节。。DHCP服务支持所有的三层接口（物理路由口、子接口、vlan接口）高级网网络配配置--DHCP启用DHCP服务，AF自身作作为DHCP服务器器，支支持给给自身身所有有三层层接口口分配配DHCP。包括括物理理路由由口、、子接接口、、vlan接口。。启用DHCP中继代代理，AF自身作作为DHCP中继代代理，，将DHCP广播请请求以以单播播方式式并转转发到到真正正的DHCP服务器器。启用DHCP中继代代理，，并不不一定定要启启用DHCP服务。。DHCP中继代代理应应用用场景景需求背背景：：设备路路由模模式部部署，，dhcp客户端端和dhcp服务器器被隔隔离在在不同同子网网，而而dhcp请求是是发广广播的的，AF阻隔了了广播播域。。为某接口启用dhcp代理，则对该接口收到的dhcp请求做中继代理（面向客户端的接口）将收到的dhcp请求转发给哪个dhcp服务器。解决方方案：：在AF的eth3接口上上启用用dhcp中继代代理1、Pc发广播播包请请求dhcp2、AF单播到到DHCPserver，为pc请求dhcp3、Server回单播播请求求给AF4、AF广播dhcp回应包包到pc高级网网络配配置-SNMP管理主主机是是指用用snmpV2版本管管理地址设设置允允许哪哪些主主机用用snmp管理本本机，，团体体名称称：任任意，，只要要snmp软件设设置的的跟此此处一一致在这里里设置置的团团体名名称只只有RO只读权权限。。SNMPv3是指用用snmpV3版本软软件管管理本本机其他设设置跟跟snmp管理软软件设设置一一致支持管管理的的信息息：IP地址、、MAC地址、、路由由、版版本信信息、、运行行时间间暂不支支持查查看CPU、内存存占用用率点击导导出MIB，可以以导出出MIB库路由静态路路由策略路路由OSPFRIP查看路路由静态路路由1、静态态路由由可以以单个个添加加，或者批批量添添加2、接口口，一一般情情况下下让其其自动动选择择即可可，系系统会会自动动选择择跟下下一跳跳ip在同一一网段段的接接口做做为出出接口口。Q1：度量量值的的意义义？如如果添添加两两个静静态路路由，，目标标网络络一致致，度度量值值一高高一低低，能能否实实现低低的不不通了了，走走高的的那条条？A1：不支支持，，静态态路由由不知知道路路由不不通了了Q2：arp条目和和路由由条目目，都都可以以设置置接口口，这这个设设置的的意义义？A2：设备备上是是支持持两个个路由由口设设置成成同一一网段段的。。。静态路路由5Gw6Gw可能存存在这这样一一种场场景：：设备两两个wan口是不不同运运营商商提供供的不不同线线路，，但是是却是是同一一网段段地址址。解决办办法：：Wan1和wan2设置同同一网网段的的ip，设备加加两条条路由由到不不同的的下一一跳，，指定定不同同的出出接口口。配置多多线路路负载载路由由。请尽量量避免免把两两个接接口的的IP设置成成同一一网段段的，，因为为大多多数情情况下下都没没有此此种需需求。。这种环环境可可以做做是因因为有有多线线路负负载的的策略略路由由，而而策略略路由由只对对wan属性接接口有有效、、且对对设备备自身身不生生效，，所以以设备备到内内网的的回包包路由由并不不能以以这种种方式式实现现负载载备份份。策略路路由客户需需求1：电信走走电信信，网网通走走网通通，一一条down了之后后走另另外一一条。。客户需需求3：到某些些目的的固定定走一一条线线路，，如443应用都都走eth1客户需需求2：两条外外网线线路都都利用用起来来，按按照带带宽繁繁忙程程度等等自动动选路路，其其中一一跳down掉之后后流量量都自自动切切换到到另外外一条条所有源到所有目的在双线路之间轮询策略路路由---配置置可以参与策略路由的接口，wan属性+物理路由口所有源到所有目的443走eth1策略路路由---配置置电信走电信源地址址策略略路由由和多多线路路负载载路由由本质质上是是一样样的，，只是是提高高易用用性（（因为为源地地址路路由一一般不不需要要选择择多个个接口口的））。有任何何需求求，只只要界界面上上能配配置出出来，，那么么在源源地址址策略略路由由配置置还是是在多多线路路负载载路由由配置置，结结果是是一样样的。。目前ISP地址段是空的，需要手动加入，参考AD的规则库即可。后续会争取内置规则，加上导入和自动更新功能。OSPF1、启用用OSPF2、设置置需要要通告告的网网络（（如需需要通通告本本机的的直连连网络络）3、配置置接口口参数数4、配置置整个个设备备的一一些参参数5、如果果需要要，则则配置置虚连连接1、支持持通告告本段段所有有直连连网络络。2、不支支持发发布vpn对端的的网络络。3、支持持路由由重发发布4、3—5步配置置，一一般按按照客客户提提供的的参数数配置置即可可。具体参参数参参考用用户手手册RIP了解咱咱们有有这样样一个个功能能具体参参数参参考用用户手手册。。查看路路由双机—主备--应用场场景应用场场景：：客户担担心FW单点故故障，，希望望多部部署一一台做做备份份来提提高可可靠性性。（（路由由或者者网桥桥）解决方方案：：双机，，主备备模式式。两台设设备配配置一一样，，并且且配置置同步步。同时只只有一一台主主机工工作，，主机机宕掉掉以后后由备备机接接替工工作，，对用用户透透明。。双机—主备—路由实实现方方式/00005e000164广播arp/00005e000164丢弃1、两台AF拥有同样的配置，包括接口IP都相同。2、两个设备虚拟出同一个MAC地址，至此，两个设备的ip+mac都一致。3、两个设备协商出一个主机，一个备机，备机自动放弃所有到达设备的数据，不进行转发。4、留下一台设备来处理数据，并且不断向外广播他的ip和mac，他就是主机。5、提供一种检测机制，如果主机发生故障，备机自动成为主机，承担主机工作。处理双机——主备备—网网桥实实现方方式网桥模模式下下，当当主备备切换换时，，备机机的网网桥数数据转转发口口都linkdown，让交交换机机相连连接口口也linkdown，或者者交换换机arp表超时时，将将流量量切换换。双机——主备备—实实现方方式VRRP（Virtualrouterredundancyprotocol,虚拟路路由器器冗余余协议议）你了解的VRRP一般是这样的1、两个个路由由器IP地址不一一样，需需要虚拟拟IP---AF不需要虚虚拟IP，因为接接口IP一样。2、根据虚虚拟组ID找同伴，，同一虚虚拟组的的设备之之间选主主备。----AF也是这样样3、可能影影响主备备的条件件：1、优先级级，优先先级高的的为主，，2、接口IP，IP地址大的的为主---AF也是一样样，但因因为接口口IP一致，最最终是看看心跳口口IP的大小。。4、可以设设置抢占占模式，，优先级级高的设设备故障障恢复后后，如果果配置成成抢占模模式，可可以成为为主。----AF也一样5、心跳协协商通过过组播8----AF也一样6、AF需要配置置心跳口口，心跳跳口是一一个普通通网口。。双机—主主备—实实现方式式AF1：心跳口eth1：对端地址址：虚拟路路路由组配配置：虚拟组100优先级100抢占是网口列表表：eth3eth2启用配置置同步AF2：心跳口eth1：对端地址址：虚拟路路路由组配配置：虚拟组100优先级90抢占否网口列表表：eth3eth2启用配置置同步双机—主主备—配配置主机机基本信信息基础配置置部分：：1、配置序序列号。。2、配置单单机模式式下应配配的所有有配置。。3、配置心心跳口（（HA属性）HA配置：1、基本信息：：选择本机心心跳口（所有有配置了HA属性的物理接接口都可供选选择），配置置对端心跳口口IP。2、双机热备：：配置虚拟路路由组3、配置同步：：配置需要同同步的信息配置HA属性的物理接口可做为心跳口心跳口条件：物理路由+HA属性对端地址条件：对端心跳口，路由可达、组播可达，建议两接口直连双机—主备——配置主机双双机热备1、配置虚拟组：同一虚拟组组的不同设备备参加主备竞竞选，所以主主备模式两台台设备的虚拟拟组ID应相同。2、优先级：同一虚拟组组里优先级高高的设备成为为主机，如果果优先级一样样则看谁先起起来谁成为主主机。3、抢占：配置为抢占占时，优先级级高的设备一一旦能正常运运行即抢为主主机，否则当当发现虚拟组组中已有主机机存在时，自自己虽然优先先级高也只做做备机。4、心跳时间：vrrp报文发送间隔隔，如果三个个心跳时间内内没收到报文文则将自己置置为主机。5、网口列表：选择数据转转发口（只可可选择物理接接口，且已经经选择为心跳跳口的不能选选），该网口口列表中的网网口linkdown将会引发主备备切换。6、链路监控：是否以链路故故障监控结果果作为依据来来主导主备切切换，取决于于接口本身的的链路监控配配置。双机—主备——配置主机配配置同步一、选择配置置同步将同步步配置，以下下配置除外：：1、序列号配置置2、高可用性配配置3、心跳口配置置（HA属性）二、选择同步步会话表则将将同步连接跟跟踪状态。三、选择同步步用户认证，，则同步用户户认证信息。。PS：用户认证，，是指在线用用户列表的同同步，如果只只选择配置同同步，不选择择用户认证，，则认证系统统、组织结构构相关配置还还是会同步的的。双机—主备——配置备机因为有配置同同步功能，所所以备机不需需要配置所有有的配置，但但以下配置必必须在备机单单独配置1：序列号2、用作心跳口口的接口配置置IP和HA属性3、高可用性（（HA）配置备机配置原则：虚拟路由组部分，除优先级和抢占模式按需要设置外，其余的各选项应与主机配置一致。双机—主备——主备竞选主备竞选：1、AF1先启动，网络络中无其他同同类设备，则则成主机，并并且发送VRRP报文说明虚拟拟组、优先级级等。2、AF2启动，收到了了VRRP报文，对比虚虚拟组等其他他选项一致等等，并比较优优先级，如果果自己优先级级高并且设置置了抢占模式式，则自己为为master，其余情况自自己为backup。3、如果AF1和AF2同时启动，并并且优先级一一致，心跳口口ip大的为主。双机切换条件件：1、master以心跳间隔时时间发送vrrp报文，如果backup三个心跳时间间内没有收到到心跳，则自自己置为master。2、网口列表中中的网口linkdown3、开启了链路路监控，链路路检测结果出出现故障双机—主备——配置同步1、AF1先启动，网络络中无其他同同类设备，则则成主机，并并且向对端发发送同步配置置请求，因此此时备机不存存在，AF1配置未变。2、AF2启动，向AF1发送同步配置置请求，AF1将自己的配置置打包传送给给AF2，AF2的配置和AF1的相同。此为批量同步步的过程，一一般运行在设设备启动、或或者VRRP进程启动之后后，此时是向向对端所要配配置。1、两台设备都都在正常运行行，不排除两两端的配置都都有可能发生生改变，AF进程每10秒检测一下本本端配置，如如果发生改变变则主动推送送给对端。这这种推送，只只发送配置修修改的部分，，所以可以理理解为增量同同步。（注意，备机发发生改变也会会同步到主机机，所以一般般在一台设备备上修改配置置。）库同步本端库升级将将把规则库同同步到另外一一台，同步之之后，设备检检测自身的序序列号是否有有效，有效才才覆盖相关配配置文件，完完成最终的库库升级。在线用户同步步和连接跟踪踪都是实时同同步。连接跟踪用UDP连接同步，配配置同步用TCP连接同步。批量同步增量同步双机高级用法法—主主需求解读：内网用户A走电信线路上上网，内网用用户B走网通线路上上网，这样用用了两台路由由器，但是路路由器没有起起到备份的作作用，如果一一台路由器挂挂掉之后，相相应的内网就就无法上网，，用户希望两两台防火墙同同时工作，一一台坏掉之后后，内网流量量都走另外一一个防火墙。。解决方案：双机部署，主主主方式做负负载均衡。双机高级用法法—主主解决方案：每台AF上配置两个虚虚拟组路由组组，把每台AF模拟出两台设设备，然后在在四台虚拟设设备中，选择择两主两备。。在路由组A中，AF1为主，AF2为备（蓝色圈圈选一条路））在路由组B中，AF1为备，AF2为主（红色圈圈选一条路））1、AF的网络配置(两台AF设置相同)：eth0=eth1=eth2=eth3=2、HA配置：需要建立两个个虚拟路由组组，每个虚拟拟路由组中产产生一个主备备。双机高级用法法—主主AF1配置：虚拟组50优先级20接口：eth0eth2虚拟组20优先级50接口eth1eth3AF2配置：虚拟组50优先级50接口：eth0eth2虚拟组20优先级20接口eth1eth3双机高级用法法—主主1、路由模式下下，相邻交换换机的IP必须在不同网网段，因为AF两个互为备份份的接口不能能配置在同一一网段，否则则回包路由不不明确。（面面临的问题：：两个口配置置同一网段IP，到交换机的的路由从哪个个接口出去？？）2、AF的一个接口只只能属于一个个虚拟路由组组，而有些厂厂商的做法是是一个接口可可以属于多个个虚拟路由组组。双机—主主--应用场景2网桥客户需求：在路由设备和和交换机上已已经运行vrrp协议，现在不不希望改变网网络拓扑，AF需要在任意链链路上做安全全保护。解决方案：AF以透明模式部部署，这时的的线路切换、、路由器流量量负载由路由由器本身执行行，AF可以只启用配配置同步。配置方法：1、将AF四个数据转发发口配置在同同一个vlan中。2、配置HA的基本信息（（心跳口、对对端地址）3、配置HA配置同步注意：若此时不配置置VRRP虚拟路由组，，只配置配置置同步，需要要手动配置接接口联动。（（想想AC的链路同步））透明下实现重重定向、代理理、resetQ：透明模式或或者虚拟网线线模式下，网网桥本身并没没有IP地址，如果要要做web认证重定向、、邮件杀毒等等通过代理实实现的功能应应该怎么做？？是不是一定定配置vlanip，或者用eth0管理口来实现现？A：网桥模式下下，要实现认认证重定向、、邮件杀毒等等代理功能，，设备本身有有没有IP可以跟内网通通讯、上网都都没有关系，，只需要确保保内网用户到到这个IP地址的路由经经过设备即可可，路由模式式下重定向过过程直接查找找路由，跟AC无异。1、网关杀毒pop3、smtp是代理杀毒，，实现方式跟跟AC一致，DNAT到本机。2、web认证、拒绝页页面重定向用用同样的方法法，将连接重重定向到AF本机。透明下实现重重定向、代理理、resetgetbaidu重定向到get1、用户getbaidu2、AF判断需要重定定向（web认证、拒绝访访问等）3、AF返回数据包给给PC，将步骤1中的数据包源源目的转换，，数据包内容容带重定向标标记，让用户户访问4、pc访问,数据重定向到到AFvlan0的地址,连接建立成功功。邮件代理等方方法类似，我我们不需要关关注详细过程程，了解两点点：1、到的路由要经过过到达AF2、AF转发数据包的的时候，源地地址和目的地地址都是数据据包原本的地地址，代理后后，AF将数据包发往往公网，源ip还是还原成Pc、目标是公网网服务器，所所以AF自身IP不需要上网。。AF对用户基本透透明。PS：如果数据进进入的接口类类型是路由口口，则直接查找路路由表，不走走此过程。产品部署FAQ1、AF是否支持组播播路由（是指指在路由开模模式下转发IGMP包）？是否支持非对对称路由？暂不支持在路路由模式下转转发IGMP，后面补丁版版本会支持非非对称路由。。2、是否支持特特殊协议的协协议剥离？在网桥模式下下，默认支持持对pppoe、vlan、pppoe+vlan的协议剥离（（支持识别和和控制）,暂不支持l2tp、mpls、qinq等的协议剥离离。3、AF是否支持sip、h323等有关联连接接的协议？（（AC不支持sip）支持，路由模模式下保证建建立建立成功功，需要指明明协议使用端端口。4、双机部署可可否使用不同同硬件型号？？不支持，要求求硬件型号、、软件版本一一致，不同版版本、不同型型号均不支持持双机。5、双机开启配配置同步后，，备机的配置置也可能同步步到主机，如如何避免这种种情况？主机A开启配置同步步，选择用户户认证、会话话表、配置同同步，备机B开启配置同步步，但只选择择同步用户认认证、会话表表，不选择配配置同步。（（切换后需要要改设置。））一、产品介绍二、产品部署深信服公司简介

三、产品应用四、数据中心及其他AF1.0功能模块功能介绍用户认证可以设置对哪个区域启用用户认证，则该区域访问其他任何区域都需要经过认证后，才能访问。内容安全包含应用控制策略、病毒防御策略、web过滤策略三种。主要用于保护/限制内网用户的上网安全防火墙地址转换\DNSmapping，二层协议过滤，Dos/ddos防护（内网防护、外网防护）,连接数控制IPS保护服务器漏洞，保护客户端漏洞服务器保护即WAF（web应用防火墙），特别保护webftp服务器，如sql注入防护、xss防护，应用隐藏等流量管理合入了AC的流量管理，同时支持对不同vlan做不同的流控策略。vpn合入了vpn4.32产品应用篇—功能模块分布布保护服务器内网上网安全全产品应用篇---功能用途分布布流量管理防火墙基础功能产品应用---典型应用场景景—1需求解读：1、保护/限制内网用户户上网。2、保护服务器器安全。3、流量控制。。4、……区域解读1：：1、PC到公网的访问：eth3—vlan1三层----三层2、PC到服务器的访问：eth3—vlan1三层---三层3、服务器和公网间的访问：Eth1—eth2二层----二层1、策略只能在在三层—三层之间，或或者二层-二层之间做，，不能在三层层—二层之间做。。2、vlan接口本身无wan属性，如流控控等要匹配wan属性的，最终终看出接口的的物理接口属属性。需求分解1：保护内网用用户上网安全全Q：保护内网用用户上网安全全的角度，AF可以做什么？？内网上网安全面临什么威胁/AF需要解决的问题1、未授权的访问，非法用户流量2、不必要的访问（p2p,视频语音）3、不合法的访问（法轮功，赌博）4、不可靠的访问（不明来历脚本，插件）4、不安全的访问（网页、邮件携带病毒）5、其他危险流量（dos攻击、漏洞攻击）用户认证应用识别、控制URL过滤脚本、插件过滤网关杀毒DOS防护、IPS需求分解1：保护内网用用户上网安全全限定用户通过认证后方可访问外部网络病毒防御策略：防止上网带来的病毒威胁应用控制策略：控制可以访问的服务/应用URL过滤：url过滤、文件上传下载限制、脚本/插件过滤，不允许访问不安全的内容。保护客户端漏洞Dos/ddos内网防护、二层协议过滤、连接数限制保护上网安全全--用户认证注意事项：1、不支持dkey认证，不支持持AC3.3新增的几种单单点登录方式式2、用户认证其其他功能同AC3.0配置方法：1、开启用户认认证（默认未未开启）2、选择择需要要认证证的区区域（（源区区域））3、认证证策略略等其其他设设置同同AC（建议议先做做好认认证相相关设设置后后开启启认证证）12Q1：如果果不开开启用用户认认证，，用户户能否否上网网，行行为能能否控控制识识别？？A1：不需需要认认证即即可上上网，，在线线用户户列表表无用用户，，以IP为对象象做控控制和和审计计。Q2：本例例中，，lan区域访访问dmz区域也也需要要认证证么？？A2：是的的，只只对源源区域域进行行匹配配，对对lan区域启启用认认证后后，lan区域穿穿过设设备的的流量量需要要认证证，而而不管管其目目的区区域。。保护上上网安安全--内容安安全—应用控控制配置方方法：：允许/拒绝什么人、在什什么时间、访问问什么么目标什么内容，，是否记录日日志。。服务/应用：：服务：：同AC网络服服务控控制应用：：同AC应用服服务控控制生效时时间：：循环时时间计计划：：同AC的时间间计划划。单次时时间计计划：：在指指定时时间执执行一一次如如10月1号—10月7号执行行。单次时间计划功能1、默认认拒绝绝所有有区域域的访访问，，除非非接口口不属属于任任何区区域。。2、可建建立多多条应应用控控制策策略，，从上上到下下匹配配，匹匹配到到则不不往下下匹配配。3、需要要选择择生效效时间间的都都支持持单次次和循循环，，此后后不赘赘述。保护上上网安安全--内容安安全—病毒防防御配置方方法：：1、对哪哪些源源区域域访问问哪些些目标标区域域启用用病毒毒防御御策略略（区区域可可多选选）2、检测测到病病毒后后可以以只记记录日日志或或只阻阻断，，或记记录日日志+阻断。。3、其他他配置置、实实现原原理同同AC。4、只可可建立立一条条病毒毒防御御策略略。1、脚本本过滤滤、插插件过过滤同同AC（需选选择源源区域域），，这两个个功能能只对对出接接口是是wan属性接接口生生效。2、文件件过滤滤同AC的文件件类型型过滤滤，但但不支支持ftp上传下下载过过滤。。（需需选择择源区区域））3、URL过滤同同AC的url过滤，，设置置稍有有不同同。保护上上网安安全2.3.1--内容安安全—web