深信服NGAF典型部署案例与上架问题手册

......文章...文章.NGAF名目\l“_TOC_250007“案例局部 1一、 路由模式部署 1单线路简洁部署by辉 1\l“_TOC_250006“单线路+专线互联by绘东 11\l“_TOC_250005“多线路+sangforvpn互联by宁 22\l“_TOC_250004“二、 网桥模式部署by阳华 31\l“_TOC_250003“三、 功能测试案例by黄翔 42\l“_TOC_250002“问题局部 48一、 断网问题 48路由模式 48\l“_TOC_250001“网桥模式 50二、 目的地址转换/双向地址转换不通问题 52目的地址转换 52\l“_TOC_250000“双向地址转换 53三、 经过AF访问公网速度变慢 53案例局部一、 路由模式部署单线路简洁部署by辉【网络现状】Internet——NGAF——网〔PC〕现有120Mlanlanlan【客户需求】AF代理网上网流量掌握流量掌握【设备配置】【设备配置】配置lan口，设置为路由口，由于是网口，固不勾选wan口......文章...文章.配置WAN口，设置为路由口，选择wan口。设置区域，一个接口属于一个区域，如图：配置系统路由(添加回包路由和缺省路由，缺省路由必需要添加。)配置源地址转换，即代理上网功能。lanwan。源地址转换选择出接口地址，假设IP可以选择IP围。设置目的地址转换〔即对外公布效劳。源区域选择wan，目的区域为灰IPwanIPIPIP，808080端口，固需要将808080，源区域和目的区域都选择lan区，应用效劳器是通过X.X.X.X:7890来访问的,7890，该端口不需要转换所以目标端口转换选择-不转换，假设dnsmapping即可。全部映射条目如以下图：留意：做双向映射后，应当放通lan-lan的规章。配置流控模块先配置虚拟线路，如下图：配置正确的线路带宽，将 WAN区域的接口设置为外出接口，本例中eth2为WAN口，如以下图：设置流控策略，设置流控策略根本和AC至此配置完成单线路+专线互联by【网络现状】【网络现状】现在出口设备为5年前的PIX防火墙，PIX防火墙老化，有时会消灭断电后PIX护的需求。220M2M多个公网IP，用来做网用户上网的PAT和效劳器端口映射用，网用户访问专线的流量，一局部走路由，一局部在专线上起端口映射。【客户需求】【客户需求】AF代理网上网，实现公网走电信、专网流量走专线等需求。网有效劳器需AF代理网上网，实现公网走电信、专网流量走专线等需求。网有效劳器需AF上通过端口映射公布出去，部署拓扑图如下：AF上通过端口映射公布出去，部署拓扑图如下：目前需要通过NGAF下一代应用防火墙保证网用户访问互联网的安全以及保护部效劳器的安全。【设备配置】〔1〕配置物理接口【设备配置】〔1〕配置物理接口Lan口为三层路由口，填上相应的IP地址和掩码，测试的时候不是很赶时间的话，尽量完善描述，便利后面查看。配置WAN口，这里的WAN口有多个公网地址，但是在pix的wan口只略路由用的，与默认路由没关系。接下来配置专线的属性。专线也有2个IP地址，一个用来跑路由，一个用IP地址映射用的，在翻译PIX的配置时，肯定要细心不能漏掉。有一点，专线也勾选了“Wan口”属性，我去测试时差点无视了这一点，后来赶在设备上架前申请到了多线路序列号〔默认只有一条线路授权。假设没有 勾 wan 口 属 性 的 话 ， 可 能 会 有 如 下 后 果 ( 引 用0:5/dedecms/plus/view.php?aid=1078)：流量掌握不生效〔wan填写下一跳网关为非wan〕脚本过滤、插件过滤不生效流量审计不生效〔网关运行状态-应用流量排行看不到容〕没有启用wan属性，则启用免费arp功能后，也不会主动播送该接口的mac出去，可能导致前置设备不能更自己的mac。〔同时启用arp哄骗防范可以解决此问题。其他功能如静态路由、NAT、应用识别等不会影响。所以专线还是勾上“wan口”属性，客户可能会用到那些功能。〔2〕区域设置〔2〕区域设置〔3〕路由设置〔3〕路由设置〔上网和效劳器回公网访问包用的，专线路由，网回程路由，检查路由的时候也可以依据这几类去排查。〔4〕DNS〔4〕DNSDNSDNS代理NA配置防火墙配置，二层协议使用默认的全部放行，这里二层全是以太。关键是配aliasalias(inside)50355alias(inside)31455PIXPIX线通信正常。PIX的配置如下：翻译后的配置:翻译后的配置:几条典型的命令翻译：globalglobal(outside)1interface//指定外部地址围，也就是说，网用户访问外网，地址被转换为这个接口的地址，相当ciscoIOS下的ipnatoutsideglobal(intf2)1interface//同上，专线上也有地址映射存在nat(inside)0access-list310//0表示不转换，即，匹配acl310的数据包不转换，不转换那就是走路由了，在我们AF做策略的时候，要搞清楚那些地址需要转换，那些不转换nat(inside)00//其他地址都转换个出接口的地址，这个就要看路由了，路由到哪个口，就转换成那个口的IP。aliasalias(inside)51555//PIXLan-LanAFDDOS/DOS阀值可以相对调低一些〔可以先记录攻击，而别阻断。IP一般状况下，确定有数据包的体积大于MTU值，从而导致分片和重组。后面的防护按需开启〔7〕容安全模块的配置〔7〕容安全模块的配置lanlan用。病毒防护策略按需开启即可为了测试效果，可以适当的开一个危急脚本检测〔8〕IPS〔8〕IPSIPS配置WEB应用保护这里留意一点，假设网有FTPFTP不能访问。和客户说明我们有这个功能就可以了，如需测试，按需开启。总结总结正确，规章库是否更到指定日期；客户网络环境确认，原来使用的防火墙什么厂家的，配置是否生疏，是......文章...文章.否能看懂，是否能翻译到我们的AF上面来；做防护配置时，建议先记录，再阻拦；大问题；确定没问题后，关闭直通，建议边值守边找人在公网测试，固然你也可以找人任凭执行个类似于xxx？and1=1的SQL注入语句，让客户可D值守12多线路+sangforvpn互联by【网络现状】10M,一条网通10M,一条网通2M,10M,一条网通10M,一条网通2M,10M与网通10M非业务网上互联网用，网通2MVPN【客户需求】1AF替代现有路由器；2、三条外网线路均接入AF；32、三条外网线路均接入AF；32MVPN供给相应的VPN4、有或许100个VPN移动客户端需要通过AF的VPN接入医院网络，访问部效劳器；510M10M两条外网线路做负载；......文章...文章.6、业务网只有特定的计算机可以上，且与非业务网不能互访；6、业务网只有特定的计算机可以上，且与非业务网不能互访；7、非业务网划分多个VLANVLAN7、非业务网划分多个VLANVLAN8AF的安全策略。【网络拓扑】未实施前：预期实施后：预期实施后：【设备配置】【设备配置】接口/区域配置全部网口都配置成路由口......文章...文章.把非业务网的网口划分三个子接口，并做下面终端的网关：划分区域，一个网口对应一个区域，VPN路由配置配置好系统路由(前三条都是到网网段的路由,留意要加一条默认路由供设备自身上外网、做远程维护等)配置策略路由,网三个网网段轮循选择两条外网线路上网：DHCPAFIP如以下图：DNSDNSAF，由AF代理解析，如以下图：......文章...文章.代理上网，地址转换代理网终端上互联网，如以下图：个区域，所以需要用六条SNAT策略，代理非业务网用户上网。认证系统配置组/用户定义，依据部门及IP，划分用户组，如以下图：开启认证策略，把各IP段加到相应的用户组，如以下图：AC容安全配置AF/条放开全部应用/效劳的策略，如以下图：开启病毒防范策略，如以下图：开启WEB过滤，把非法等过滤掉，如以下图：防火墙模块配置连接数掌握，针对连接数做防护，如以下图：DOS/DDOSDOS开启ARP哄骗防护，如以下图：流控配置虚拟线路配置，先把两条上外网的线路定义出来，如以下图：〔AF所以需要针对每条线路做相应的流控策略，如以下图：VP配置设备既要做分支接入铁路医保VPN设备，又做做效劳端让100个移动用户接入到医院网，配置如下：VPNVPNWEBAGENT用户配置，客户有100个移动客户端，且有一局部是使用DKEYAF把这些用户建立，如以下图：外网接口配置，配置VPN连接治理，建立与铁路医保的VPN上架测试可到达客户预期效果。二、 网桥模式部署by阳华【网络现状】Web效劳器位于网，对公网供给效劳【客户需求】使用SANGFOR-NGAF(DOSXSS攻击、SQL......文章...文章.的好处就是不需要转变客户原有的网络设备配置。SANGFOR-NGAFSANGFOR-NGAFWebServer【设备配置】登录设备Web掌握台登录方法：s://51(MANAGE密码：sangfor]

[用户名：admin注：AF设备默认只有MANAGE口有IP地址供给登录。相关解释：路由：三层接口，可以配置IP地址。透亮：二层接口，不行以配置IP(switchport)，可以配置层可网管交换机原理一样。MACVLANVLAN接口：规律三层接口，必需属于某个VLAN；用于对该VLAN数据进展收发处理。可做网管用。1(WANLAN置方法一样)类型透亮 连接类型Access然后下面选择该接口属于那个VLA根本属性：WAN 于流控和策略路由等对数据流方向进展识别匹配。(非必选项)......文章...文章.2、VLAN这个配置主要是用作对设备的治理。由于网桥的两个接口都属于VLAN1，那么网口收发的数据都会经过规律接口VLAN1。假设设备收到的数据包目的IP为该VLAN1的IP，则VLAN1会将数据交给上层设备治理模块进展处理。留意这里配置的下一跳网关只是作为检测使用，不会生成路由条目到路由表。默认网关需要在：网络配置--->路由--->静态路由里配置。(没有截图)注：规律接口中可以看到添加的VLAN3、配置区域：将在后续的配置中引用该区域。(DoS/DDoS的定义供给应防火墙哪些区域是需要实行相应的保护策略，在NGAF中有相当WAN口，则可以将这两个网口放到一样的区域。一样时才在列表中显示。WAN(eth6LAN(eth5)口。需要引用的对象配置包括效劳、IPURL组等。此案例中只需要配置效劳的IP用于后续的安全配置中引用。配置DoS/DDoS防护策略建议参数值调小，效果更明显。表中将显示之前配置的区域。这里供给一个SYN洪水攻击防护的测试时使用的建议值：[丢包阀值设置小一点，更简洁看到效果]配置放通相应的数据通讯1、放通网效劳器出去方向的全部效劳或应用：(可以依据实际需要选择放通NGAF会自动生成相应的连接状态表用于对数据的反向匹配掌握]2应用)SANGFOR-NGAF假设是效劳(协议:端口)，需要在对象定义中先配置。配置WEB应用防护针对网效劳器安全防护的配置。测试效果略览完全没有效果的话，请认真检查配置、攻击的数据是否到达设备网口(通过tcpdum条件性抓包可以推断)等来检查。1、SQLXSS攻击防护效果：2、DOS〔7〕完毕说明，但是并没有配置SANGFOR-NGAF所能供给的全部功能。其他功能的配置在本案例中不涉及，请参照其他指导资料。三、 功能测试案例by黄翔【网络现状】到岗后想选购一台IPS设备，增加企业网络安全性。此次测试AF的IPS与效劳器防护功能，设备直接部署在网DMZ两个厂家，但是他们两个厂家都是推单纯的IPS设备，所以我们要在WEB效劳器防护方面要突出优势。【根本配置】网络配置，eth1eth2vlan1ip。应用掌握放通双向【测试过程】IPS的测试由于客户可怕误判对网络产生影响，所以要求设备只做审计策略然户挂上去先跑几天：拒绝意思就是说匹配IPS规章库里面的允许与拒绝，这里我们要全部放通，所以勾选允许。如图：这样上架几天以后客户在日志里面觉察了400DDOSSQL是网桥模式。首先测试的是DDOS攻击，我使用科来网络分析系统2023技术沟通版，这个可以去./products/capsa.php费申请的。翻开软件和wireshark一样可以选择网卡然后抓包。我先抓取我访问效劳器的正常数据包。我的电脑以源1299和效劳器的21tcp第一次握手。右键选择的数据包选择发送到数据包生成器。1299，目的为421tcp半连接。DDos0.然后开头发包，要选择连接AF的网卡发包。假设没有日志就多发几次，在置数据中心我们就能看到攻击的记录了。SQL80ip，后面加上/detail.php?id=1and1=1就在SQL攻击的日志了。需要输入的ip开启80端口是由于TCP三次握手建立后才发送SQL注入语不通，是看不到日志的。查看日志显示：总结：此案例测试较早，当时还未公布syncookies专题，后续大家假设需要dos实战攻击时，请参考以下文章，可以到达实战攻击的效果【专题】NGAFSynCookies原理和测试指导专题0:5/dedecms/plus/view.php?aid=1541问题局部一、 路由模式路由模式上架消灭网用户无法上网状况请遵循以下步骤进展检查1、AF设备当前版本高于1.0.173并且开启免费ARP功能；假设版本低于1.0.173AF1.0系列最版本，并开启免费ARP功能。2、SSHAFAFpingwanDNS解析域名并能够通过wget访问知名；假设AF设备自身无常访问公网，4a、AF网口接线、连通性和兼容性bIP/网关配置是否正确c、是否产生了公网IP冲突d、建议客户和运营商进展线路相关信息确认。3、关闭二层协议过滤和DDOS/DOS防护模块中全部策略，开启实时拦截前应用掌握策略。4、开启直通无效则同时对设备的外网口进展抓包，确认如下几点：a、AFpingPC是否正常，网PCAF......文章...文章.IP冲突，网是否存在ARP哄骗b、网的数据包到达AFwan口发出，源IP是否被转换为设备可用的公网IP；假设消灭不正常请检查：是否正确配置默认路由和策略路由，SNATAF网桥模式案例一、虚拟网线模式上架不通，开直通也不行，透亮网桥模式就可以以1、开启直通，确认能否上网〔不行，排解策略问题〕2、确认网络配置->虚拟网线栏目中有没有建虚拟网线，并引用网口〔单目前大局部虚拟网线不通都是这个缘由〕3、确认外网防DOS模块和二层协议过滤模块是否启用〔参考62/dedecms/plus/view.php?aid=1423这两个模块中有直通无法放通的功能〕4、确认接口速率协商与接口错误帧等信息效的案例二、Access模式网桥上架，过几分钟就会断网，换虚拟网线模式也是一样断网的虚拟网线模式也是一样的1、开启拒绝列表并直通〔消灭协议号89OSPF网络恢复正常，下面的步骤可以跳过〕2、确认外网防DOS模块和二层协议过滤模块是否启用〔参考62/dedecms/plus/view.php?aid=1423这两个模块中有直通无法放通的功能〕3、确认接口速率协商与接口错误帧等信息TCP/UDP/ICMP89IPOSPF未被放通，需要手动建一条自定义效劳，定义协议号为89通案例三、Access模式网桥上架并放通OSPF，过几分钟就会断网，换虚拟网线模式就不会断网AccessOSPF，过几分钟就会断网，开直通也没有；换虚拟网线模式就不会断网1、依据问题现象，跳过直通和相关模块，还有物理接口问题2、抓包看断网时的流量特征〔抓包觉察，断网时始终有OSPF的组播恳求OSPFVlantagtrunk口做网桥〕Access接口，假设进入的包携带vlan标签，并且vlan标签vlanid口，数据包是否带vlan标签都不影响转发。此场景应使用trunk接口做网桥，并放通vlan7vlan7案例四、trunkvlan1-1000，网不通，开启直通无效；配置为虚拟网线就通了trunk模式网桥上架，放通vlan1-1000，网不通，开启直通无效；配置为虚拟网线就通了1、依据问题现象，跳过直通和相关模块，还有物理接口问题2、对于NGAF，trunk模式上架并放通vlan转发围后，设备部并没有建对应的vlan，因此，需要建立对应的vlan接口，即使不配置IP也可以，参考0:5/dedecms/plus/view.php?aid=1218配置最终总结：1、设备的策略放通全部并不保障OSPF等动态路由协议能够放通，在经过一个检测周期后会导致网络不通，现阶段上架需要额外放通OSPF892、在上下链路是trunk模式状况下使用access网桥会导致非nativevlan的网络不通，开启直通也无效，需要使用trunk模式网桥3trunktrunkvlan的对应vlanvlanvlan号接口4、需要网桥模式上架的状况，在access/trunk上架不通时，请转为使用虚拟网线模式上架，并切记要建虚拟网线并关联配对网口5、一般状况下，优先推举虚拟网线上架！二、 目的地址转换/双向地址转换不通问题目的地址转换客户端到效劳器流程：AFDNAT转换条件包DNATIP到网IP匹配放通数据包并路由到目的接口发出效劳器到客户端流程：AF收到效劳器回包匹配应用掌握策略连接信息放通依据状态表转向接口IP到公网IP数据包回复给客户端问题排查步骤：、开启拒绝列表并直通；假设此时目的地址转换可以访问，请依据拒绝列表提示修改应用掌握策略配置，典型配置错误为目的IP组配置为公网IP。2iptables-tnat-xnvLPREROUTINGDNATpkts0AFDNAT源IP、协议与端口等〕设置正确。3、在NGAFAF后台telneta、假设AFtelnet效劳器正常，则检查效劳器是否走AF更改网络或承受双向地址转换；b、假设AF