深信服AF学习笔记

第1章设备管理1.1. 管理1、NGAF 设备通过 MANAGE 口登录进行管理，MANAGE 口 IP: 10.251.251.251 MANAGE 口 IP 地址 10.251.251.251 不可修改（可以在 MANAGE 口添加多个IP地址）。所以即使忘记了其他接口的IP，仍然可以通过MANAGE 口出厂IP登录NGAF设备。2、 升级包回复密码，U盘恢复（只恢复密码，不会恢复网络配置）U盘格式必须为FAT323、开启直通之后，认证系统、防火墙、内、容安全、服务器保护、流量管理等主要功能模块 （DOS/DDOS防护中的基于数据 包攻击和异常数据报文检测、NAT、流量审计、连接数控制除外）均失效。4、物理接口三种类型：路由接口、透明接口和虚拟网线接口三种类型第2章基本网络配置2.1. 路由接口5、接口 WAN属性：部分功能 要求出接口是 WAN属性，比如流控、策略路由、VPN外网接口等。6添加下一跳网关并不会产生0.0.0.0默认路由，需要手动添加路由7、接口带宽设置于流控无关，主要用于策略路由根据带宽占用比例选路，流控 的需要重新设定。8、实时检测接口的链路状态功能，以及多条外网线路情况下，某条线路故障，流量自动切换到其它线路功能，均需开启链路故障检测。9、WAN属性的接口必须开启链路故障检测功能，非 WAN属性无需开启。10、路由接口是ADSL拨号方式，需要勾选“添加默认路由”选项11、 Eth0为固定的管理口，接口类型为路由口，且无法修改。Eth0可增加管理IP地址，默认的管理IP 10.251.251.251/24无法删除。2.2. 透明接口12、 透明接口相当于普通的交换网口，不需要配置IP地址，不支持路由转发， 根据MAC地址表转发数据。部分功能要求接口是 WAN属性，当接口设置成透 明WAN 口时，注意设备上架时接线方向，内外网口接反会导致部分功能失效。2.3. 虚拟网线接口13、虚拟网线接口也是普通的交换接口， 不需要配置IP地址，不支持路由转发， 转发数据时，无需检查MAC表，直接从虚拟网线配对的接口转发。14、 虚拟网线接口的转发性能高于透明接口，单进单出网桥的环境下，推荐使用 虚拟网线接口部署。2.4. 聚合口15、 聚合口：将多个以太网接口捆绑在一起所形成的逻辑接口， 创建的聚合接口 成为一个逻辑接口，而不是底层的物理接口。 AF最多绑定4个口聚合，聚合口 不支持镜像旁路2.5. 子接口16、子接口：子接口应用于 路由接口需要启用VLAN TRUNK的场景17、子接口是逻辑接口，只能在路由口下添加子接口 。18、设备支持配置多个 WAN属性的路由接口连接多条外网线路， 但是需要开 通多条线路的授权。19、 管理口不支持设置成透明接口或虚拟网线接口，如果要设置2对或2对以 上的虚拟网线接口，则必须要求设备不少于5个物理接口，预留一个专门的管理 口 EthO。20、 一个路由接口下可添加多个子接口， 路由接口的IP地址不能与子接口的IP 地址在同网段。2.6. 区域21、一个接口只能属于一个区域。二层区域只能选择透明接口，虚拟网线区域只 能选择虚拟网线接口2.7. 策略路由22、 AF策略路由分源地址策略路由和多线路负载路由，源地址策略路由：根据 源IP地址和协议选择接口或下一跳，实现用户访问数据的分流。可实现不同网段的内网用户，分别通过不同的线路接口访问公网。多线路负载路由：设备上有多条外网线路，通过策略路由的轮询，带宽比例，加权最小流量，优先使用前面 的线路的接口策略，动态的选择线路，实现线路带宽的有效利用、备份和负载均 衡。23、策略路由配置完毕最后一步添加静态路由是为了防止策略路由失效的情况下，内网用户还可以通过静态路由访问公网。24、路由优先级：静态路由优先于策略路由，策略路由优先于默认路由（0.0.0.0）。25、源地址策略路由选择接口时，只能选择 WAN属性的路由接口。通过直接填 写路由的下一跳，可以实现从设备非 WAN属性的接口转发数据。26、 多条策略路由，按照从上往下的顺序匹配，一旦匹配到某条策略路由后，不 再往下匹配。第3章 常见的网络环境部署3.1. 接口根据网口属性分为：物理接口、子接口、vlan接口；根据网口工作区域划分为：2层区域口、3层区域口；其中物理口可选择为：路由口、透明口、虚拟网线口、镜像口；3.2. 旁路模式2、旁路模式部署AF，AF仅仅支持的功能有 WAF（web应用防护），IPS （入侵 防护系统），和DLP （数据库泄密防护，属于 WAF内，其余功能均不能实现， 例如Vpn功能，网关（smtp/pop3/http）杀毒，DOS防御，网站防篡改， Web过滤 等都不能实现。部署思路：1、连接旁路口 eth3到邻接核心交换机设备2、连接管理口并配置管理ip3、启用管理口 reset功能1、当源区域配置为旁路镜像区域时，目的区域自动填写为所有区域2、目的IP组不能填写所有3、 旁路部署支持阻断，通过查找系统路由选择接口发送tcp reset包混合模式3.3. 混合模式&混合模式Wan交换口 f内网H廊詳广公网IP)混合模式部署，主要ffiAF的各个网口既有2层口 ,又有2层口的情况。特 别是当DMZ区域服务器集群需要配置 公网IP地址的时彳屢部署思路：1、服务器ethS和公网区域接口 eth2配 置成2层口 f放)2层区域2、内网口ethl配置为路由口3 *新建一和eth2以及eth 3对应缶口的 3层区域接口并配萱公网ip地址.用于代理内网方向上网及内网区域与 服勞器区域、外网区域策略控制第4章防火墙功能4.1. 源地址转换(SNAT):源地址转换即内网地址访问外网时，将发起访问的内网IP地址转换为指定的IP地址，内网的多台主机可以通过同一个有效的公网IP地址访问外网。典型应用场景： 设备路由部署在公网出口代理内网用户上网42目的地址转换（DNAT）目的地址转换也称为反向地址转换或地址映射。 目的地址转换是一种单向的针对 目标地址的地址转换，主要用于内部服务器以公网地址向外网用户提供服务的情 况。典型应用场景：外网用户访问服务器所在网络出口线路的公网地址时，直接访问到内部服务器（如 WAN-LAN 端口映射）4.3. 源地址转换4-ft区口 :& CIK44目的地址转换 DNAT目的地址转换功能应用举例园E用口 时iz：目馳址鹽 It丹的網揍地址戕WS-MMpng4掰X4.5.双向地址转换MiHSfi :旳忙I :公网的数据包过来泪的地址是设备公网地址则进转换EJP口 fr阳 i册搓列:31$2,3 4.1.3公网访问的端口服务器私网地址(酹謝翱共 月艮务的真实I 端口QMJkJUM9MI 匕an双向地址转换功能应用举例杆飙向懸址转換獗真如；TCP*旦旳口：90将源除换成L口；出接口ip J拠址秽叢FBM；气V關：t 璃:PJ日的出业话摂4k:&：却；目的EM 和:耳商地址応睾O接口经过目的地址转换后，最终也是访问内网区域46 DDOS功能1、外网防护：主要对目标地址做重点防御，一般用于保护内部服务器不受外网 的DOS攻击。（该外网为用户自己定义的攻击源区域，不一定非指In ternet）2、内网防护：主要用来防止设备自身被 DOS攻击基于數据包攻击xlI名称一未知协谊类颐护不同的数振包类型改击、Mi TtarDrop攻击励护方法和设簷前检测方法都Hl TF数据块分片传颐护不一样”可根据需求选择口 LAND攻击防护 WinNuktl 击防护 3*ur ET攵击勿5护数据包类型。注意：叫P数据块分片传 諭防护“建议不要匈选匕超ICHPtfi攻击防护黴据尺寸1024）#Fin of沌r馨啜就瞩上胡护SHhIPF B4州3S静厂&a5/DBGS4j!ilMPS2=占韦編帶眉在和吿rMiantaAaLJ-lLS点击可选择数据包 改击防护类型配置外网防护时，除内容里特别注明不能勾选的项外，其它均可以勾选，勾选后, 请注意设置好阈值，建议使用默认的阈值。3、对于“基于数据包的检测”、“基于报文的检测”的规则，在开启直通的情况 下仍然检测并丢包。4、部署环境选择，如果是二层必须选二层环境，三层选三层环境，切记二咖翻fEHiFWEM&*teWlEMxl电 4* 捕 it*!选择内网环境若内网是三层TCPflAiMft：jjmm HQ爼盗RMTKtt芋环境 一定不能勾选第二项4.7. 连接数控制1、连接数控制只匹配源区域4.8. DNS mapping1. 设置DNS Mapping后，内网访问服务器的数据将不会经过防火墙设备，而是 直接访问的服务器内网IP。双向地址转换则是所有数据都会经过防火墙去访问。 所以通过DNS Mapping可以减轻防火墙压力。2. DNS Mapping的设置方法比双向转换规则简单。 不涉及区域、IP组、端口等设 置，但要求客户端访问时必须使用域名去解析。3. DNS Mapping不支持一个公网IP映射到多台内网服务器的情况。而双向地址 转换功能没有此限制。4. 当同时做了 DNS mapping和双向地址转换时，若用户端以域名访问服务器，则DNS mapping生效；若用户端以IP访问服务器，则双向地址转换生效。（同 时有DNSmapping和双向地址转换，用域名=DNSmapping,用IP=双向地址转换）4.9. ARP 欺骗“网关MAC广播”只会广播设备非WAN属性接口的MAC，如果需要定期广 播WAN接口的MAC地址，则需开启“免费ARP”功能。在【系统】-【系统配 置】-【网络参数】中，勾选“免费 ARP “第5章VPN互联配置5.1. SANGFOR DLAN互联的基本条件:1）至少有一端作为总部，且有足够的授权（硬件与硬件之间互连不需要授权）2）建立DLAN互联的两个设备路由可达，且至少有一个设备的VPN监听端口能被对端设备访问到。3）建立DLAN互联两端的内网地址不能冲突。4）建立DLAN互联两端的版本需匹配。2、 NGAF仅支持作为网关（路由）模式或者单臂模式的 SANGFOR VPN对接。 标准的第三方IPSEC互联，仅在网关模式部署下支持。3、网桥透明模式，虚拟线路模式，旁路模式都不支持 VPN功能；4、必须有一个物理接口为路由口，才支持建立 DLAN连接5.2. NGAF设备VPN模块下的【内网接口设置】 有何作用？答：【内网接口设置】中只能添加非 WAN属性的路由口，用于将这个接口上 主IP （第一个IP）的网段通告对端的SANGFOR设备，对端访问这个网段的数 据就能被加密圭寸装，通过VPN传输。【内网接口设置】的作用与本地子网相同，但是，【内网接口设置】中添加接口只通告设备直连网段；通过本地子网，可以通告本端所有的内网网段。53 NGAF设备VPN模块下的【外网接口设置】有何作用？答:如果需要开启VPN多线路功能和标准IPSEC对接的情况下，则必须设置【外 网接口设置】。通过【外网接口设置】添加外网接口，可探测外网接口的线路状 态。5.4. NGAF标准IPSEC VPN互联条件1. NGAF设备必须具有分支机构的授权2. NGAF设备必须至少具有一个 WAN属性的路由接口（非管理口 EthO）,和一 个非WAN属性的路由口 （非管理口 Eth0），用于建立标准IPSEC连接。3. NGAF标准IPSEC VPN互联注意事项1) NGAF设备不能通过管理口 ethO建立标准IPSEC互联(即把ethO 口添加其 它IP地址，当做内网口或者外网口建立标准 IPSEC VPN的场景)。2) NGAF设备配置标准IPSEC互联时，必须配置【外网接口设置】和【内网接 口设置】。3) NGAF设备建立标准IPSEC互联时，VPN的数据必须从一个非 WAN属性的 路由口进入到设备，并从一个 WAN属性的路由口转发。第6章服务器保护培训6.1. 服务器保护1、目前主要针对 WEB应用和FTP应用提供保护讥EB触；册 FTP: 2 MYSQL: 23呛 TELNET: 23； S5H: 22氷口： 网姑攻击防应用懐诳：収嘲钟J：Kfi护塞聖：SQL症乂詰攻击、网贡木马、网站扫蝇、临.7 FTP17 HTTP IzEPE弱口输护IeJS肓口令K力破鋼护1SA文件上传刃憲曲土芝理矗口令防护和权限控制17 UR1肪护谡蛊62 DLP数据防泄密1、新增敏感信息组合策略，各个策略间为或的关系2、配置敏感信息防护策略，各个敏感信息类型之间为与的关系，如不允许出现 身份证号与手机号码，并且一次都不准出现3、注意事项：1）DLP对服务器传出数据过滤，不过滤客户端提交数据2）DLP功能需要多功能序列号开启；预定义敏感信息泄露库可自动更新，受序列号控制3）配置DLP后WAF规则可启用短信告警4）支持 UTF-8、GBK、GB2312 三种编码；支持 gzip、deflate、chunk三种压缩5）模式组内是“与”关系，要求同时出现多选的数据；模式组之间是“或”关 系，顺序匹配直到拒绝或全部放行6）文件过滤仅从url匹配文件名后缀，不识别内容，不支持无后缀名文件，如/etc/passwd7）文件过滤为黑名单形式，仅需配置拒绝名单8）新建文件过滤时默认勾选拒绝.config/.inc/.ini./mdb/.MYD/.frm /.log 等文件9）Jboss Struts2网站文件类型为.action/.do等，需要额外放通第7章网站放篡改7.1. 精确匹配和模糊匹配1、精确匹配：一般用于全静态网页网站，网页中任何一个元素的变化都将判断 为被篡改。2、模糊匹配：灵敏度分为，高、中、低高、中：可以用于静态/动态网页都有的网站低：一般用于全动态网页网站，误判率最低，但会有一定的漏判3、启用黑链的检测，只有在模糊匹配模式下使用，精确匹配时不行72防护深度4、防护深度：最大防护深度指通过几次链接找到页面，与 url地址中目录，级 数无关，主页的连接，深度都是1 （可选范围：1-20）；要保护主页及主页上的图 片至少设置深度为27.3. 防篡改识别度NGAF能识别的网页篡改：1、替换整个网页2、插入新链接3、替换网站图片文件4、小规模编辑网页（仅精确）5、因网站运行出错导致结构畸变NGAF不能识别的网页篡改：1、新增一个网页新增网页无本地缓存对比，故无法识别2、删除一个网页删除网页服务器返回404错误，AF不处理404错误页面7.4. 网站管理员为被保护网站指定网站管理员:1网站管理员可以对分管网站禁用/启用网页防篡改2、网站管理员可更新缓存/添加例外3、网站管理员有单独登陆页面 https:/AFIP:80004、网站管理员账号不可登陆防火墙控制台5、网站管理员不可新增防护网站7.5. 注意事项1、用户访问被篡改站点，数据需要经过 AF，如果不经过AF，起不到防护效果,AF也发现不了网页被篡改(旁路模式，即使数据镜像过来也不支持的)2、新增页面或者删除页面，AF无法发现网页被篡改，新增网页无本地缓存对比， 故无法识别，删除网页服务器返回 404错误，AF不处理404错误页面3、 图片文件篡改后第一次浏览篡改网页还原为原始图片(“还原站点”)4、网页小规模编辑和添加黑链，浏览篡改网页跳转到“维护页面”5、仅检测到黑链篡改不还原/不重定向到维护页面，仅支持告警，控制台告警， 邮件告警，短信告警76网站管理员确认篡改信息，并采取动作A、通过邮件或短信中链接B、通过AF控制台或网站管理员维护页面(1) 非篡改问题，直接更新缓存非篡改问题，无需做篡改保护，添加例外(3)篡改问题，修复网站后更新缓存第8章安全防护功能培训8.1. 应用控制策略基于服务的控制策略：通过匹配数据包的五元组（源地址、目的地址、协议 号、源端口、目的端口）来进行过滤动作，对于任何包可以立即进行拦截动作判 断。基于应用的控制策略：通过匹配数据包特征来进行过滤动作，需要一定数量 的包通行后才能判断应用类型，然后进行拦截动作的判断。82病毒防御策略1、针对HTTP，FTP, POP3和SMTP这四种常用协议进行病毒查杀。2、 对列表中指定的文件类型进行杀毒，可手动填写文件类型，仅对HTTP杀毒 和FTP杀毒有效8.3. IPS联动封锁IP地址源1. 联动封锁IP地址源，可以设定时间，时间过期解锁2. 仅IPS/WAF模块可以配置联动封锁3. IPS/WAF中仅“阻断”事件会触发联动封锁，”记录”不触发4. 联动封锁针对的是该源IP通过防火墙的任何通信5. 被联动封锁的主机可访问 AF控制台，无法访问数据中心6. 临时防火墙容量为1000条7. 被联动封锁的拒绝记录在应用中查询8.4. 注意事项1、NGAF的应用控制策略默认是全部拒绝的，需要手动新建规则进行放通。2、WEB过滤中的文件类型过滤不支持针对FTP上传、下载的文件类型进行过 滤。只支持WEB3、配置IPS保护客户端和服务器时，源区域为数据连接发起的区域。4、IPS保护客户端与保护服务器中的客户端漏洞和服务器漏洞规则是不同的， 因为攻击者针对服务器和客户端会使用不同的攻击手段。5、 源区域的判别：数据发起发是谁就选谁，客户端IPS配置中，源区域为客户端所在的内网区域，因为数据的发起方是内网，所以源区域就是内网，如果IPS保护服务器，连接发起方是外网，所以源区域就是“外网”第9章系统配置功能介绍9.1. 序列号网关序列号，跨运营商序列号，防篡改序列号、功能模块序列号和升级序列号。92全局排除地址后有效的模块全局排除地址（IP或域名）后仍然有效的模块有：地址转换（nat）、DoS/DDoS防护（wdos）中基于数据包攻击和异常包 检测、流量审计（IP流量排行、用户流量排行、应用流量排行）、连接数控制。 其中流量审计、连接数限制模块在 AF 2.0后会修改为不审计和不限制排除IP和 域名9.3.开启直通后仍然有效的模块有：NGAF中开启实时拦截日志并直通仍然有效的模块有 DOS/DDOS防护中的基 于数据包攻击和异常数据报文检测、网页防篡改、http与ftp隐藏功能。DOS/DDOS防护中的基于数据包攻击和异常数据报文检测、NAT、流量审计、 连接数控制94日志1、存储到内置数据中心的日志包括系统日志和数据中心日志，可以将这些日志 同步到外置数据中心里2、发送到Syslog服务器上的只有 数据中心日志，系统日志不会发送。3、注意事项：（1）AF的外置数据中心与内置数据中心完全一样，无新增功能；（2）外置数据中心支持 Win2000SP4/2003R2/2008SP/XP_sp3系统；（3）增加数据中心常见问题解决方法文档。9.5. SYSLOG1.Syslog仅支持UDP方式连接。2.Syslog不能同步系统日志，只能同步数据中心日志。