深信服NGAF典型部署案例及上架问题手册

NGAF典型案例与上架问题快速参考手册目录案例局部1一、路由模式部署1单线路简单部署by辉1单线路+专线互联by绘东11多线路+sangforvpn互联by宁22二、网桥模式部署by阳华31三、功能测试案例by黄翔42问题局部48一、断网问题48路由模式48网桥模式50二、目的地址转换/双向地址转换不通问题52目的地址转换52双向地址转换53三、经过AF访问公网速度变慢53案例局部路由模式部署单线路简单部署by辉【网络现状】Internet——NGAF——网〔PC和效劳器〕现有1条外网出口线路，20M出口带宽.网lan口接核心交换机，效劳器区也在lan区域.【客户需求】AF代理网上网对外发布效劳双向地址映射流量控制【设备配置】〔1〕配置lan口，设置为路由口，由于是网口，固不勾选wan口〔2〕配置WAN口，设置为路由口，选择wan口。〔3〕设置区域，一个接口属于一个区域，如图：〔4〕配置系统路由(添加回包路由和缺省路由，缺省路由必须要添加。)〔5〕配置源地址转换，即代理上网功能。源区域选择lan，目标区域选择wan。源地址转换选择出接口地址，如果有多个公网IP可以选择IP围。〔6〕设置目的地址转换〔即对外发布效劳〕。源区域选择wan，目的区域为灰色，不可选，IP组应当设置wan口映射IP，可以通过IP组来发布需要映射的公网IP，客户需要将公网的8080端口映射到部效劳器的80端口，固需要将8080端口转换成80端口，以实现客户需求。〔7〕客户需要在网访问公网地址来访问部效劳器，需要我们做双向映射来实现，源区域和目的区域都选择lan区，应用效劳器是通过*.*.*.*:7890来访问的,固目标端口设置7890，该端口不需要转换所以目标端口转换选择-不转换，如果是域名，则用dnsmapping即可。所有映射条目如下列图：〔8〕映射设置完毕后，需要放通相应的应用控制策略。注意：做双向映射后，应当放通lan-lan的规则。〔9〕配置流控模块1.先配置虚拟线路，如下图：2.配置正确的线路带宽，将WAN区域的接口设置为外出接口，本例中eth2为WAN口，如下列图：3.设置流控策略，设置流控策略根本和AC一致。至此配置完成单线路+专线互联by绘东【网络现状】现在出口设备为5年前的PI*防火墙，PI*防火墙老化，有时会出现断电后起不来的现象，且PI*不能满足客户对网平安情况和全网流量的了解和效劳器防护的需求。出口链路有2条，公网电信20M，外加一条2M的专线，电信公网线路上有多个公网IP，用来做网用户上网的PAT和效劳器端口映射用，网用户访问专线的流量，一局部走路由，一局部在专线上起端口映射。【客户需求】AF代理网上网，实现公网走电信、专网流量走专线等需求。网有效劳器需要在AF上通过端口映射发布出去，部署拓扑图如下：目前需要通过NGAF下一代应用防火墙保证网用户访问互联网的平安以及保护部效劳器的平安。【设备配置】〔1〕配置物理接口Lan口为三层路由口，填上相应的IP地址和掩码，测试的时候不是很赶时间的话，尽量完善描述，方便后面查看。配置WAN口，这里的WAN口有多个公网地址，但是在pi*的wan口只配置了一个公网地址，其他公网地址都是在端口映射里表达出来。这里我们把公网地址一个不漏的都配置上来。还是要提一下，下一跳网关是做链路检测和做策略路由用的，与默认路由没关系。接下来配置专线的属性。专线也有2个IP地址，一个用来跑路由，一个用来做IP地址映射用的，在翻译PI*的配置时，一定要细心不能漏掉。还有一点，专线也勾选了“Wan口〞属性，我去测试时差点无视了这一点，后来赶在设备上架前申请到了多线路序列号〔默认只有一条线路授权〕。如果没有勾wan口属性的话，可能会有如下后果(引用0:5/dedecms/plus/view.php"aid=1078)：流量控制不生效策略路由设置有障碍〔策略路由出接口无法选择非wan口，实际上直接填写下一跳网关为非wan接口的网关，配置也是生效的。〕脚本过滤、插件过滤不生效流量审计不生效〔网关运行状态-应用流量排行看不到容〕没有启用wan属性，则启用免费arp功能后，也不会主动播送该接口的mac出去，可能导致前置设备不能更新自己的mac。〔同时启用arp欺骗防御可以解决此问题〕。其他功能如静态路由、NAT、应用识别等不会影响。所以专线还是勾上“wan口〞属性，客户可能会用到那些功能。〔2〕区域设置〔3〕路由设置记得设置默认路由，这里涉及到的路由包括默认路由〔上网和效劳器回公网访问包用的〕，专线路由，网回程路由，检查路由的时候也可以按照这几类去排查。〔4〕DNS设置，设置设备的DNS，启用DNS代理〔5〕NAT配置防火墙配置，二层协议使用默认的全部放行，这里二层全是以太。关键是配置地址转换这一块。由于先前客户使用PI*防火墙，所以地址转换的配置首先需要把PI*上的地址转换配置原封不动的翻译过来，保证网效劳器发布，上网，专线通信正常。PI*的配置如下：翻译后的配置:几条典型的命令翻译：global(outside)1interface

//指定外部地址围，也就是说，网用户访问外网，地址被转换为这个接口的地址，相当于ciscoIOS下的ipnatoutside

global(intf2)1interface

//同上，专线上也有地址映射存在

nat(inside)0access-list310

//0表示不转换，即，匹配acl310的数据包不转换，不转换那就是走路由了，在我们AF做策略的时候，要搞清楚那些地址需要转换，那些不转换

nat(inside)100

//其他地址都转换专线和公网口都开启了地址转换，至于网数据包如何转换，或者说转换成那个出接口的地址，这个就要看路由了，路由到哪个口，就转换成那个口的IP。//这局部是PI*上相当于Lan-Lan映射的配置，我们AF上直接用双向地址转换搞定〔6〕DDOS/DOS攻击防护策略配置外网防护策略，按需开启，阀值可以自己调整，有时候为了表达效果，阀值可以相对调低一些〔可以先记录攻击，而别阻断〕。在配置“基于数据包攻击〞的时候，记得取消IP数据块分片传输防护，因为一般情况下，肯定有数据包的体积大于MTU值，从而导致分片和重组。后面的防护按需开启〔7〕容平安模块的配置因为客户暂时不清楚网发布的应用情况，所以默认先全部放通，等到客户确定好了应用后再做按需放行。由于做了双向地址转换，注意放行lan到lan的应用。病毒防护策略按需开启即可为了测试效果，可以适当的开一个危险脚本检测〔8〕IPS与效劳器保护模块的配置IPS配置WEB应用保护这里注意一点，如果网有FTP效劳器映射到公网提供效劳，则就先别勾选FTP弱口令防护，因为万一用户本来使用的就是“弱口令〞，那会直接导致用户不能访问。和客户说明我们有这个功能就可以了，如需测试，按需开启。总结测试前，检测设备版本是否最新，授权是否足够满足需求，序列号是否正确，规则库是否更新到指定日期；客户网络环境确认，原来使用的防火墙什么厂家的，配置是否熟悉，是否能看懂，是否能翻译到我们的AF上面来；做防护配置时，建议先记录，再阻拦；上架后，先开直通。路由，地址和端口映射做好了，开直通，应该没多大问题；确定没问题后，关闭直通，建议边值守边找人在公网测试，当然你也可以找人随便执行个类似于***？and1=1的SQL注入语句，让客户可以立马看到拦截效果(用工具效果更加明显，如明小子，阿D工具包等)。值守1到2个小时确认没问题后，离开。多线路+sangforvpn互联by宁【网络现状】现有三条外网出口线路，分别是一条电信10M,一条网通10M,一条网通2M,网有业务网和非业务网两套网络，其中电信10M与网通10M的互联网线路用做非业务网上互联网用，网通2M线路用做业务网与医保局建立VPN用。【客户需求】1、用AF替代现有路由器；2、三条外网线路均接入AF；3、网通2M外网线路与铁路医保做VPN对接，对端也是使用我司设备，已提供相应的VPN信息；4、有大概100个VPN移动客户端需要通过AF的VPN接入医院网络，访问部效劳器；5、电信10M与网通10M两条外网线路做负载；6、业务网只有特定的计算机可以上，且与非业务网不能互访；7、非业务网划分多个VLAN，且VLAN之间不允许互访；8、配置AF的平安策略。【网络拓扑】未实施前：预期实施后：【设备配置】〔1〕接口/区域配置所有网口都配置成路由口把非业务网的网口划分三个子接口，并做下面终端的网关：划分区域，一个网口对应一个区域，VPN与业务网口不划入区域：〔2〕路由配置配置好系统路由(前三条都是到网网段的路由,注意要加一条默认路由供设备自身上外网、做远程维护等)配置策略路由,网三个网网段轮循选择两条外网线路上网：〔3〕DHCP效劳器配置，客户非业务网三个网段由AF自动分配IP地址上网，如下列图：〔4〕DNS代理，下面终端的DNS效劳器指向AF，由AF代理解析，如下列图：代理上网，地址转换代理网终端上互联网，如下列图：注意：因为有两条外网线路，而网接口也划分了三个子接口，且各自对应一个区域，所以需要用六条SNAT策略，代理非业务网用户上网。〔5〕认证系统配置组/用户定义，按照部门及IP，划分用户组，如下列图：开启认证策略，把各IP段加到相应的用户组，如下列图：注意：与AC不同的是，需要手动开启用户认证并选择需要认证的区域。〔6〕容平安配置因为AF缺省是拒绝所有效劳/应用的，所以在做完应用封堵后，还需要加一条放开所有应用/效劳的策略，如下列图：〔7〕开启病毒防御策略，如下列图：〔8〕开启WEB过滤，把非法等过滤掉，如下列图：〔9〕防火墙模块配置连接数控制，针对连接数做防护，如下列图：〔10〕DOS/DDOS防护，针对外网DOS攻击做防护，如下列图：〔11〕开启ARP欺骗防护，如下列图：〔12〕流控配置虚拟线路配置，先把两条上外网的线路定义出来，如下列图：流控策略配置〔注意AF的流控不支持父子通道，且没有线路策略复制功能，所以需要针对每条线路做相应的流控策略〕，如下列图：〔13〕VPN配置设备既要做分支接入铁路医保VPN设备，又做做效劳端让100个移动用户接入到医院网，配置如下：VPN根本配置，配置VPN的WEBAGENT用户配置，客户有100个移动客户端，且有一局部是使用DKEY认证，先在AF把这些用户建立，如下列图：外网接口配置，配置VPN用到的外网接口，如下列图：连接收理，建立与铁路医保的VPN接连，如下列图：〔14〕上架测试完成上以配置后，把客户的网络按实施前确定的拓扑图把路线接好，测试均可到达客户预期效果。设备实时运行状态:网桥模式部署by阳华【网络现状】客户处有一台Web效劳器位于网，对公网提供效劳【客户需求】使用SANGFOR-NGAF防火墙对该效劳器进展来自公网的平安防护(DOS攻击、*SS攻击、SQL注入攻击、文件上传攻击等)。根据客户的实际需求，结合现有的网络架构；选择网桥模式进展部署。网桥部署的好处就是不需要改变客户原有的网络设备配置。【设备配置】〔1〕登录设备Web控制台登录方法：(MANAGE口地址)[用户名：admin密码：sangfor]注：AF设备默认只有MANAGE口有IP地址提供登录。〔2〕根本网络连通性配置相关解释：路由：三层接口，可以配置IP地址。透明：二层接口，不可以配置IP地址；属于交换口(switchport)，可以配置VLAN(access)属性，或Trunk属性，且必须要有其中一种属性。为什么？和二层可网管交换机原理一样。虚拟网线：必须成对网口配置形成一条“有进有出〞的通道，数据转发层面不需要执行MAC查找。子接口：在三层接口上创立，必须属于*个VLAN。(单臂路由就是使用的路由器子接口进展VLAN数据收发)VLAN接口：逻辑三层接口，必须属于*个VLAN；用于对该VLAN数据进展收发处理。可做网管用。1、配置接口：根据实际使用的设备接口进展配置。(WAN口和LAN口的配置方法一样)类型：透明连接类型：Access，然后下面选择该接口属于那个VLAN。根本属性：WAN主要用于流控和策略路由等对数据流方向进展识别匹配。(非必选项)2、VLAN接口配置：这个配置主要是用作对设备的管理。因为网桥的两个接口都属于VLAN1，则网口收发的数据都会经过逻辑接口VLAN1。如果设备收到的数据包目的IP为该VLAN1的IP，则VLAN1会将数据交给上层设备管理模块进展处理。注意这里配置的下一跳网关只是作为检测使用，不会生成路由条目到路由表。默认网关需要在：网络配置>路由>静态路由里配置。(没有截图)注：逻辑接口中可以看到添加的VLAN接口信息：3、配置区域：将在后续的配置中引用该区域。(DoS/DDoS防护、)区域就是传统防火墙中的定义的“信任区域〞、“非信任区域〞的概念。区域的定义提供应防火墙哪些区域是需要采取相应的保护策略，在NGAF中有相当多的配置点需要引用到区域。将一样物理区域的接口放到一样的区域，比方有两个WAN口，则可以将这两个网口放到一样的区域。区域类型的理解请结合前面对网口的解释理解；只有在网口类型和区域类型一样时才在列表中显示。此案例中只用到一个WAN(eth6)口和一个LAN(eth5)口。〔3〕需要引用的对象配置包括效劳、IP组、时间方案、URL组等。此案例中只需要配置效劳的IP组，用于后续的平安配置中引用。〔4〕配置DoS/DDoS防护策略在这个策略里面涉及到很多的参数阀值。正常部署按照默认值即可，测试时建议参数值调小，效果更明显。这里选择的“源区域〞，指的是数据是从哪个区域〞流进〞设备。在下拉列表中将显示之前配置的区域。这里提供一个SYN洪水攻击防护的测试时使用的建议值：[丢包阀值设置小一点，更容易看到效果]〔5〕配置放通相应的数据通讯1、放通网效劳器出去方向的所有效劳或应用：(可以根据实际需要选择放通那些效劳或者应用，案例例中是放通所有效劳器出去的数据)[非必须配置，如果网效劳器没有主动访问外网的需求，则不需要配置这个策略；NGAF会自动生成相应的连接状态表用于对数据的反向匹配控制]2、放通进来的效劳或应用：(本例中是只放通了应用)SANGFOR-NGAF中，放通外网到网的*些效劳或应用就是在此进展配置。如果是效劳(协议:端口)，需要在对象定义中先配置。〔6〕配置WEB应用防护针对网效劳器平安防护的配置。〔7〕测试效果略览在实际测试中，因为测试环境和使用的工具不同可能效果不一样。但是如果完全没有效果的话，请仔细检查配置、攻击的数据是否到达设备网口(通过tcpdum条件性抓包可以判断)等来检查。1、SQL注入攻击和*SS攻击防护效果：2、DOS攻击防护效果：〔7〕完毕本案例是实际的客户网络环境中进展测试时的配置；主要配置均已通过截图说明，但是并没有配置SANGFOR-NGAF所能提供的所有功能。其他功能的配置在本案例中不涉及，请参照其他指导资料。功能测试案例by黄翔【网络现状】国家核电目前在网络平安建立方面缺乏相应的平安设备，现在一个新管理员到岗后想采购一台IPS设备，增强企业网络平安性。此次测试AF的IPS与效劳器防护功能，设备直接部署在网DMZ效劳器区，除了我们还有绿盟，启明星辰两个厂家，但是他们两个厂家都是推单纯的IPS设备，所以我们要在WEB效劳器防护方面要突出优势。【根本配置】网络配置，eth1和eth2为网桥，配置vlan1接口为网桥管理ip。应用控制放通双向【测试过程】IPS的测试由于客户害怕误判对网络产生影响，所以要求设备只做审计谋略然户挂上去先跑几天：拒绝意思就是说匹配IPS规则库里面的允许与拒绝，这里我们要全部放通，所以勾选允许。如图：这样上架几天以后客户在日志里面发现了400多个漏洞，所以对我们产品还是比拟认可。然后客户要求我们进一步测试DDOS攻击拦截和SQL注入拦截。为了在设备上看到更明显的效果，我们提出在模拟环境中测试，于是搭建了一个模拟环境拓扑如下，我的电脑是14，效劳器是4，AF是网桥模式。首先测试的是DDOS攻击，我使用科来网络分析系统2010技术交流版，这个可以去.colasoft../products/capsa.php下载，技术交流版的序列号是免费申请的。翻开软件和wireshark一样可以选择网卡然后抓包。我先抓取我访问效劳器的正常数据包。我的电脑以源1299和效劳器的21端口建立tcp第一次握手。右键选择的数据包选择发送到数据包生成器。在此界面你可以修改数据包，我就把这个包复制成多份然后再发送出去。以我的源端口为1299，目的为421端口的tcp半连接。在设备上配置DDos攻击防护，为了更明显我调低了阙值，在默认值的根底上我去掉了一个0.然后开场发包，要选择连接AF的网卡发包。如果没有日志就多发几次，在置数据中心我们就能看到攻击的记录了。SQL注入演示：输入一个开启了80端口的ip，后面加上/detail.php"id=1and1=1就在设备上可以看到SQL攻击的日志了。需要输入的ip开启80端口是因为TCP三次握手建立后才发送SQL注入语句，抓包可以看见注入语句的发送被我们设备拒绝了(红色)，如果IP和端口本身不通，是看不到日志的。查看日志显示：总结：此案例测试较早，当时还未发布syncookies专题，后续大家假设需要测试dos实战攻击时，请参考以下文章，可以到达实战攻击的效果【专题】NGAFSynCookies原理和测试指导专题0:5/dedecms/plus/view.php"aid=1541问题局部断网问题路由模式路由模式上架出现网用户无法上网情况请遵循以下步骤进展检查1、AF设备当前版本高于1.0.173并且开启免费ARP功能；假设版本低于1.0.173则优先升级至AF1.0系列最新版本，并开启免费ARP功能。2、SSH登陆AF后台，确认AF设备自身能够ping通wan口网关，能够进展DNS解析域名并能够通过wget访问知名；假设AF设备自身无常访问公网，请检查以下4点：a、AF网口接线、连通性和兼容性b、填写的公网IP/网关配置是否正确c、是否产生了公网IP冲突d、建议客户和运营商进展线路相关信息确认。3、关闭二层协议过滤和DDOS/DOS防护模块中所有策略，开启实时拦截日志并直通；假设开启直通后网用户可以上网，按照实时拦截日志中的描述修改当前应用控制策略。4、开启直通无效则同时对设备的外网口进展抓包，确认如下几点：a、AF设备ping网PC是否正常，网PC上网的数据包是否经过AF设备；假设出现不正常请检查：网接口接线与连通性兼容性，设备网口IP是否出现冲突，网是否存在ARP欺骗b、网的数据包到达AF后是否从wan口发出，源IP是否被转换为设备可用的公网IP；假设出现不正常请检查：是否正确配置默认路由和策略路由，是否正确配置了SNAT地址转换，重启AF设备现有清空状态表后是否正常。网桥模式案例一、虚拟网线模式上架不通，开直通也不行，透明网桥模式就可以【故障现象】：虚拟网线模式上架不通，开直通也不行，透明网桥模式就可以【排错步骤】：1、开启直通，确认能否上网〔不行，排除策略问题〕2、确认网络配置->虚拟网线栏目中有没有新建虚拟网线，并引用网口〔单纯将网口设置为虚拟网线是不通的，开直通也无效，目前大局部虚拟网线不通都是这个原因〕3、确认外网防DOS模块和二层协议过滤模块是否启用〔参考62/dedecms/plus/view.php"aid=1423这两个模块中有直通无法放通的功能〕4、确认接口速率协商与接口错误帧等信息【总结】：在虚拟网线配置时，因为虚拟网线的配对在网口中不直接显示，经常会有同事忘记新建虚拟网线并配对，在这样的情况下，即使开启直通也是无效的案例二、Access模式网桥上架，过几分钟就会断网，换虚拟网线模式也是一样断网的【问题现象】：Access模式网桥上架，刚开场正常，过几分钟就会断网，换虚拟网线模式也是一样的【排错步骤】：1、开启拒绝列表并直通〔出现协议号89的OSPF协议被拒绝的信息，并且网络恢复正常，下面的步骤可以跳过〕2、确认外网防DOS模块和二层协议过滤模块是否启用〔参考62/dedecms/plus/view.php"aid=1423这两个模块中有直通无法放通的功能〕3、确认接口速率协商与接口错误帧等信息【总结】：虽然该设备在应用控制里放通了双向的所有效劳，但是因为目前设备部预定义的效劳仅有TCP/UDP/ICMP，故直接用89IP协议号的OSPF协议未被放通，需要手动新建一条自定义效劳，定义协议号为89并添加应用策略放通案例三、Access模式网桥上架并放通OSPF，过几分钟就会断网，换虚拟网线模式就不会断网【故障现象】：Access模式网桥上架并放通OSPF，过几分钟就会断网，开直通也没有；换虚拟网线模式就不会断网【排错步骤】：1、根据问题现象，跳过直通和相关模块，还有物理接口问题2、抓包看断网时的流量特征〔抓包发现，断网时一直有OSPF的组播请求从网桥一端进入，但是不从另一端发出，此OSPF携带Vlantag7，应使用trunk口做网桥〕【总结】：对于Access接口，假设进入的包携带vlan标签，并且vlan标签与本接口vlanid不同则会丢包，即使开启直通也是无效的；而对于虚拟网线接口，数据包是否带vlan标签都不影响转发。此场景应使用trunk接口做网桥，并放通vlan7转发且新建vlan7接口案例四、trunk模式网桥上架，放通vlan1-1000，网不通，开启直通无效；配置为虚拟网线就通了【问题现象】：trunk模式网桥上架，放通vlan1-1000，网不通，开启直通无效；配置为虚拟网线就通了【排错步骤】：1、根据问题现象，跳过直通和相关模块，还有物理接口问题2、对于NGAF，trunk模式上架并放通vlan转发围后，设备部并没有新建对应的vlan，因此，需要建立对应的vlan接口，即使不配置IP也可以，参考0:5/dedecms/plus/view.php"aid=1218【总结】NGAF置交换机即为普通的软交换机，对于此类配置问题即使开启直通也是无效的，类似于案例三，因此需要和客户详细沟通环境，并选择适宜的配置最终总结：1、设备的策略放通所有并不保障OSPF等动态路由协议能够放通，在经过一个检测周期后会导致网络不通，现阶段上架需要额外放通OSPF协议号892、在上下链路是trunk模式情况下使用access网桥会导致非nativevlan的网络不通，开启直通也无效，需要使用trunk模式网桥3、在上下链路是trunk模式情况下，使用trunk模式网桥，但是不新建所有vlan的对应vlan接口，会导致所有vlan不通，开启直通也无效，需要新建对应vlan号接口4、需要网桥模式上架的情况，在access/trunk上架不通时，请转为使用虚拟网线模式上架，并切记要新建虚拟网线并关联配对网口5、一般情况下，优先推荐虚拟网线上架！目的地址转换/双向地址转换不通问题目的地址转换排查目的地址转换问题应首先理解设备工作流程：客户端到效劳器流程：AF收到匹配DNAT转换条件包DNAT转换目的地址公网IP到网IP匹配应用控制策略放通数据包并路由到目的接口发出效劳器到客户端流程：AF收到效劳器回包匹配应用控制策略连接信息放通根据状态表转向接口根据状态表复原效劳器源IP到公网IP数据包回复给客户端问题排查步骤：1、开启拒绝列表并直通；假设此时目的地址转换可以访问，请根据拒绝列表提示修改应用控制策略配置，典型配置错误为目的IP组配置为公网IP。2、查看iptables-tnat-*nvL，在PREROUTING链找到配置的DNAT规则，看是pkts是否为0；假设无数据包匹配，请抓包确认AF接口配置有DNAT使用的IP，AF收到客户端请求包，DNAT规则在顺序上不被覆盖，DNAT规则条件〔源区域、目的IP、协议与端口等〕设置正确。3、在NGAF网口上抓包，确认效劳器回复相关数据包，假设效劳器不回复数据包，则在AF后台telnet测试效劳器是否正常：a、假设AFtelnet效劳器正常，则检查效劳器是否走AF线路上网，采取更改网络或采用双向地址转换；b、假设AFtelnet效劳器不正常，则检查效劳器是否正常效劳、网是否存在ARP欺骗等问题。双向地址转换排查目的地址转换问题应首先理解设备工作流程，双向地址转换被才拆分为DNAT和SNAT两个过程分别处理：