1、第 1 章 设备管理1.1.管理1、NGAF 设备通过 MANAGE 口登录进行管理,MANAGE 口IP:10.251.251.251MANAGE 口 IP 地址 10.251.251.251 不可修改(可以在 MANAGE 口添加多个 IP 地址)。所以即使忘记了其他接口的 IP,仍然可以通过 MANAGE 口出厂 IP 登录 NGAF 设备。2、升级包回复密码,U 盘恢复(只恢复密码,不会恢复网络配置) U 盘格式必须为 FAT323、开启直通之后,认证系统、防火墙、内、容安全、服务器保护、流量管理等主要功能模块(DOS/DDOS 防护中的基于数据包攻击和异常数据报文检测、NAT、流量审
2、计、连接数控制除外) 均失效。4、物理接口三种类型:路由接口、透明接口和虚拟网线接口三种类型第 2 章 基本网络配置2.1.路由接口5、接口 WAN 属性:部分功能 要求出接口是 WAN 属性,比如流控、策略路由、VPN 外网接口等。6、添加下一跳网关并不会产生 0.0.0.0 默认路由,需要手动添加路由7、接口带宽设置于流控无关,主要用于策略路由根据带宽占用比例选路,流控的需要重新设定。8、实时检测接口的链路状态功能,以及多条外网线路情况下,某条线路故障,流量自动切换到其它线路功能,均需开启链路故障检测。9、WAN 属性的接口 必须开启 链路故障检测功能,非 WAN 属性无需开启。10、路由
3、接口是 ADSL 拨号方式,需要勾选“添加默认路由”选项11、Eth0 为固定的管理口,接口类型为路由口,且无法修改。Eth0 可增加管理IP 地址,默认的管理 IP 10.251.251.251/24 无法删除。2.2.透明接口12、透明接口相当于普通的交换网口,不需要配置 IP 地址,不支持路由转发,根据 MAC 地址表转发数据。部分功能要求接口是 WAN 属性,当接口设置成透明 WAN 口时,注意设备上架时接线方向,内外网口接反会导致部分功能失效。2.3.虚拟网线接口13、虚拟网线接口也是普通的交换接口,不需要配置 IP 地址,不支持路由转发,转发数据时,无需检查 MAC 表,直接从虚拟
4、网线配对的接口转发。14、虚拟网线接口的转发性能高于透明接口,单进单出网桥的环境下,推荐使用虚拟网线接口部署。2.4.聚合口15、聚合口:将多个以太网接口捆绑在一起所形成的逻辑接口,创建的聚合接口成为一个逻辑接口,而不是底层的物理接口。AF 最多绑定 4 个口聚合,聚合口不支持镜像旁路2.5.子接口16、子接口:子接口应用于路由接口需要启用 VLAN TRUNK 的场景。17、子接口是逻辑接口,只能在路由口下添加子接口。18、设备支持配置多个 WAN 属性的路由接口连接多条外网线路, 但是需要开通多条线路的授权。19、管理口不支持设置成透明接口或虚拟网线接口,如果要设置 2 对或 2 对以上的
5、虚拟网线接口,则必须要求设备不少于 5 个物理接口,预留一个专门的管理口 Eth0。20、一个路由接口下可添加多个子接口,路由接口的 IP 地址不能与子接口的 IP地址在同网段。2.6.区域21、一个接口只能属于一个区域。二层区域只能选择透明接口,虚拟网线区域只能选择虚拟网线接口2.7.策略路由22、AF 策略路由分源地址策略路由和多线路负载路由,源地址策略路由:根据源 IP 地址和协议选择接口或下一跳,实现用户访问数据的分流。可实现不同网段的内网用户,分别通过不同的线路接口访问公网。多线路负载路由:设备上有多条外网线路,通过策略路由的轮询,带宽比例,加权最小流量,优先使用前面的线路的接口策略
6、,动态的选择线路,实现线路带宽的有效利用、备份和负载均衡。23、 策略路由配置完毕最后一步添加静态路由是为了防止策略路由失效的情况下,内网用户还可以通过静态路由访问公网。24、路由优先级:静态路由优先于策略路由,策略路由优先于默认路由(0.0.0.0) 。25、源地址策略路由选择接口时,只能选择 WAN 属性的路由接口。通过直接填写路由的下一跳,可以实现从设备非 WAN 属性的接口转发数据。26、多条策略路由,按照从上往下的顺序匹配,一旦匹配到某条策略路由后,不再往下匹配。第 3 章 常见的网络环境部署3.1.接口根据网口属性分为:物理接口、子接口、vlan 接口;根据网口工作区域划分为:2
7、层区域口、3 层区域口;其中物理口可选择为:路由口、透明口、虚拟网线口、镜像口;3.2.旁路模式2、旁路模式部署 AF,AF 仅仅支持的功能有 WAF(web 应用防护) ,IPS(入侵防护系统) ,和 DLP(数据库泄密防护,属于 WAF 内,其余功能均不能实现,例如 Vpn 功能,网关(smtp/pop3/http)杀毒,DOS 防御,网站防篡改,Web 过滤等都不能实现。部署思路:1、连接旁路口 eth3 到邻接核心交换机设备2、连接管理口并配置管理 ip3、启用管理口 reset 功能1、当源区域配置为旁路镜像区域时,目的区域自动填写为所有区域2、目的 IP 组不能填写所有3、旁路部署
8、支持阻断,通过查找系统路由选择接口发送 tcp reset 包混合模式3.3.混合模式第 4 章 防火墙功能4.1.源地址转换(SNAT) :源地址转换即内网地址访问外网时,将发起访问的内网 IP 地址转换为指定的 IP 地址,内网的多台主机可以通过同一个有效的公网 IP 地址访问外网。典型应用场景:设备路由部署在公网出口代理内网用户上网4.2.目的地址转换(DNAT) :目的地址转换也称为反向地址转换或地址映射。目的地址转换是一种单向的针对目标地址的地址转换,主要用于内部服务器以公网地址向外网用户提供服务的情况。典型应用场景:外网用户访问服务器所在网络出口线路的公网地址时,直接访问到内部服务
9、器。(如 WAN-LAN 端口映射)4.3.源地址转换4.4.目的地址转换 DNAT4.5.双向地址转换4.6.DDOS 功能1、外网防护:主要对目标地址做重点防御,一般用于保护内部服务器不受外网的 DOS 攻击。 (该外网为用户自己定义的攻击源区域,不一定非指 Internet)2、内网防护:主要用来防止设备自身被 DOS 攻击。配置外网防护时,除内容里特别注明不能勾选的项外,其它均可以勾选,勾选后,请注意设置好阈值,建议使用默认的阈值。3、对于“基于数据包的检测” 、 “基于报文的检测”的规则,在开启直通的情况下仍然检测并丢包。4、部署环境选择,如果是二层必须选二层环境,三层选三层环境,切
10、记4.7.连接数控制1、连接数控制只匹配源区域4.8.DNS mapping1.设置 DNS Mapping 后,内网访问服务器的数据将不会经过防火墙设备,而是直接访问的服务器内网 IP。双向地址转换则是所有数据都会经过防火墙去访问。所以通过 DNS Mapping 可以减轻防火墙压力。2.DNS Mapping 的设置方法比双向转换规则简单。不涉及区域、IP 组、端口等设置,但要求客户端访问时必须使用域名去解析。3.DNS Mapping 不支持一个公网 IP 映射到多台内网服务器的情况。而双向地址转换功能没有此限制。4、当同时做了 DNS mapping 和双向地址转换时,若用户端以域名访
11、问服务器,则 DNS mapping 生效;若用户端以 IP 访问服务器,则双向地址转换生效。 (同时有 DNSmapping 和双向地址转换,用域名=DNSmapping,用 IP=双向地址转换)4.9.ARP 欺骗“网关 MAC 广播”只会广播设备非 WAN 属性接口的 MAC,如果需要定期广播 WAN 接口的 MAC 地址,则需开启“免费 ARP”功能。在【系统】-【系统配置】 -【网络参数】中,勾选“免费 ARP“第 5 章 VPN 互联配置5.1.SANGFOR DLAN 互联的基本条件:1) 至少有一端作为总部,且有足够的授权(硬件与硬件之间互连不需要授权) 。2) 建立 DLAN
12、 互联的两个设备路由可达,且至少有一个设备的 VPN 监听端口能被对端设备访问到。3) 建立 DLAN 互联两端的内网地址不能冲突。4) 建立 DLAN 互联两端的版本需匹配。2、NGAF 仅支持作为网关(路由)模式或者单臂模式的 SANGFOR VPN 对接。标准的第三方 IPSEC 互联,仅在网关模式部署下支持。3、网桥透明模式,虚拟线路模式,旁路模式都不支持 VPN 功能;4、必须有一个物理接口为路由口,才支持建立 DLAN 连接5.2.NGAF 设备 VPN 模块下的【内网接口设置】有何作用?答:【内网接口设置】中只能添加非 WAN 属性的路由口,用于将这个接口上主 IP(第一个 IP)的网段通告对端的 SANGFOR 设备,对端访问这个网段的数据就能被加密封装,通过 VPN 传输。【内网接口设置】的作用与本地子网相同,但是, 【内网接口设置】中添加接口只通告设备直连网段;通过本地子网,可以通告本端所有的内网网段。5.3.NGAF 设备 VPN 模块下的【外网接口设置】有何作用?答:如果需要开启 VPN 多线路功能和标准 IPSEC 对接的情况下,则必须设置【外网接口设置】 。 通过【外网接口设置】添加外网接口,可探测外网接口的线路状态。
