SANGFORNGAF10新产品培训

SANGFORNGAF新产品培训一、产品介绍二、产品部署深信服公司简介三、产品应用四、数据中心及其他AF1.0什么是NGAFNGAF能做什么一、产品介绍为什么要NGAFNGAFVS.AC1.1什么是NGAFNext-GenerationApplicationFirewall下一代应用防火墙防火墙：拥有防火墙的基础功能，路由、NAT、包过滤等。应用防火墙：对应用内容的更准确识别、更加关注应用层的内容安全。下一代应用防火墙：Garnter定义。为什么要NGAF—防火墙历史•第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packetfilter）技术。第一代防火墙•1989年，贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。第二、三代防火墙•1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamicpacketfilter）技术的第四代防火墙，后来演变为目前所说的状态监视（Statefulinspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第四代防火墙•1998年，NAI公司推出了一种自适应代理（Adaptiveproxy）技术，并在其产品GauntletFirewallforNT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。第五代防火墙网络发展的趋势——防火墙需要更新换代网络在改变•网络已经深入日常生活•1、大量的新应用建立在HTTP/HTTPS标准协议之上•2、许多威胁依附在应用之中传播肆虐•3、Gartner报告：75%的攻击来自应用层仅80端口上的应用就有N种，防火墙如何限制？防火墙需要更新换代•传统的防火墙基于包头信息•可是却无法分辨应用及其内容•也不能区分用户•更无法分析记录用户的行为Gartner定义下一代防火墙Gartner定义下一代防火墙基本防火墙功能集成式入侵防御可视化应用识别智能防火墙高性能网络安全可视化应用管控全面应用安全单次解析构架智能风险审计应用识别流量管控非法业务阻断核心业务带宽保障OA合法业务带宽限制应用安全防护WEB安全防护灰度威胁识别灰度威胁关联分析引擎多核并行处理统一签名统一策略报文一次匹配潜在威胁漏洞防护服务器防护病毒防护行为追踪上传云端应用防护日志应用管控日志网络安全日志用户分析报表智能关联分析报表身份认证NAT抗攻击VPN1.2NGAF如何满足网络对防火墙的要求全面继承AC和VPN领域的技术积累全面继承AC和VPN领域的技术积累内容安全NGAF强强联合加入微软MAPP专业的WAF功能可视化的双向应用访问控制NAT、DDoS、路由更丰富1.2NGAF如何满足网络对防火墙的要求1.3NGAF和AC的对比ACNGAF产品定位上网行为管理，主要监视和控制用户上internert的行为，关注带宽利用价值、非法访问、不和谐言论、泄密风险应用防火墙，关注业务区数据中心二—七层安全防护，确保内网网络不受外部恶意攻击。应用场景主要用于lan-wan方向的上网行为管控。主要保护数据中心/服务器/内网免受攻击,而无须关注具体部署方向。功能强势准入认证、内容审计、ssl内容识别、邮件过滤/延迟审计，外发文件告警等（AF缺失）1.部署上的优势：支持混合部署，支持动态路由协议，支持主备、负载均衡。2.应用安全：WAF、DDOS外网防护，IPS功能更强大共同功能Vpn、流量管理、IPS、应用控制、网关杀毒、脚本插件过滤，url过滤等，但是功能分布有改动。AF菜单AC菜单AF新增功能服务器保护重新分布的功能：1、用户与策略管理认证系统+内容安全2、防火墙防火墙+VPN3、安全防护IPS+内容安全+防火墙几乎平移的菜单：1、系统诊断系统维护2、系统配置系统3、防火墙防火墙+VPN4、流量管理流量管理5、实时状态运行状态6、网络配置网络配置1.3NGAF和AC的对比办公网络数据中心1、AC更关注于办公网络的行为管控、泄密监控、不和谐言论追查。2、AF更关注数据中心、内网的安全防守。1.3NGAF和AC的对比---应用场景AFAFAF不允许使用skype等不允许访问非法网站流量管理禁止运行不安全的脚本、插件禁止/记录发表不和谐的言论泄密防护……（红色部分AF做不到）……防止DDOS攻击防止漏洞入侵防止SQL注入、XSS攻击防止向服务器传送恶意脚本。。禁止访问服务器某些目录记录不安全的访问……1.3NGAF型号10G300M一、产品介绍二、产品部署深信服公司简介三、产品应用四、数据中心AF1.0知识分类知识概要网络配置基础了解部署中各必要元素的配置、用途。（接口类型、vlan接口、子接口。）路由路由部署、路由+trunk部署透明透明部署、透明+trunk部署虚拟网线虚拟网线部署，类似透明部署，但是数据转发时不查mac表，从虚拟网线的接口1接收数据，从接口2转发。混合部署路由+透明网桥双机双机主备、双机主主其他路由（静态路由、策略路由、OSPF、RIP等）高级网络配置（DHCP、DNS、ARP、SNMP）产品部署篇—部署方式1、设备登录方式1、默认只有eth0接口有设置IP，初始IP为10.251.251.2512、eth0为管理口，UI显示为eth0，描述信息为manage；eth0只能作为路由口，不能切换模式；eth0只能配成静态IP：在网口数=4时，eth0可以修改IP，但10.251.251.251/24不能删除；在网口数4时，eth0不能做任何更改。webui密码和pshell密码跟其他产品线一致。2.1网络配置基础--接口/区域设置物理接口：路由、透明、虚拟网线，这三种接口都有一个wan或者非wan属性。子接口：是路由接口的虚拟子接口，可支持vlan数据转发。Vlan接口：同交换划分vlan，每个vlan有vlanid和vlanip，则产生一个vlan接口。三层接口：路由口、子接口、vlan接口，共同的特点是可以配置IP。二层接口：透明口虚拟网线接口：虚拟网线接口区域：系统默认没有区域，但接口必须属于某个区域才能被调用做NAT、控制策略等。有三层区域、二层区域、虚拟网线区域，对应的，只能将相应层次的接口划分到对应区域。接口有物理接口、子接口、vlan接口三种物理口：没有部署模式配置向导，物理接口类型决定部署模式1、路由，即普通的三层口，两个路由口构成路由模式2、透明，即网桥口，两个网桥口构成网桥模式3、虚拟网线，另一种透明口，两个虚拟网线口组成一条虚拟网线2、透明口有access和trunk两种，access口一定属于某vlan，trunk口不属于任何vlan，但可以承载指定vlan的数据HA地址用于双机部署时做心跳口用客户需求：设备路由模式部署，并且作为vlan的网关，支持vlan间路由子接口：用于物理口支持vlantrunkAC可以这样设置AF需要这样设置物理接口配置不属于任何vlan的ip给物理接口建立vlan子接口物理接口配置不属于任何vlan的ip给物理接口建立vlan子接口物理接口多IP，非trunk？跟AC一样，以IP地址列表的形式配置配置的多IP用ifconfig是看不到的，用ipaddress看：vlan接口Eth1作为trunk口，允许中继的vlan范围Q：透明口接口本身不能配置IP地址，那如何通讯？A：配置vlan接口透明口的两种用法vlan1vlan10给vlan1配置IP没有默认区域，自定义接口所属区域来标识控制方向默认是没有的1、默认没有任何区域，而设备NAT、内容安全等策略都是根据区域来做，所以需要将接口划分到区域。2、区域有二层、三层、虚拟网线三种类型，二层区域只能选择二层接口，三层区域只能选择三层接口，虚拟网线只能选择虚拟网线接口。二层接口：透明口（access、trunk）三层接口：路由口、vlan接口、子接口虚拟网线接口：虚拟网线口是否允许从此区域管理设备？允许哪些客户端管理？三层区域才有此选项。区域设置的意义和原则Q：有了lan和wan属性，为什么还要定义区域？A：wan属性只是用于控制部分功能是否生效，如：流控、策略路由、插件过滤、脚本过滤只对出接口是wan属性接口生效。但是对哪个方向上的数据进行控制，并不像AC一样是约定俗成的lanwan,而是取决于自定义的配置。策略应用在哪个方向，由策略本身的区域设置决定。规划区域的时候，就需要规划好，是一个接口属于一个区域，还是相同需求的多个接口属于一个区域。区域设置原则：1、二层接口只能属于二层区域，其他类推（界面已经限制）2、定义策略时，只能二层—二层，三层---三层（部分界面已限制）3、区域定义按照控制的需求来规划（自主规划）1、接口设置的下一跳网关，只做链路故障检测用，不会产生路由，所以设备还需要手动设置默认路由。2、接口设置的线路带宽跟流控通道带宽没有必然关系，用于策略路由按照带宽比例选路用。3、线路故障检测结果可被策略路由、双机部署调用。4、高级设置可以设置网卡工作模式、mtu、mac地址。此处修改mac地址不会影响网关序列号。PS：不同类型的接口可以设置的参数不尽相同。只有物理口可以设置工作模式、MAC地址、wan属性只有三层接口可以设置IP地址、链路故障检测等二选一接口区域---其他属性配置路由模式混合模式透明模式典型部署模式与配置虚拟网线模式2.2路由模式--配置方法路由、网桥、虚拟网线三种类型选择选择是否为wan口（需要外网线路授权）不会生成8个0的默认路由，仅做线路检测用允许以什么方式管理该区域允许客户端以什么源地址登陆来管理该区域三层区域可以选择路由口、子接口和vlan子接口（不可选择透明口和虚拟网线口）如果内网PCDNS服务器地址指向AF设备，则需要开启此选项。设备自身上网dns解析1、设置wan口，类型”路由”，勾选wan属性，设置ip地址等其他属性。2、设置lan口，类型“路由”，不勾选wan属性，设置ip地址等其他属性3、分别定义lan和wan的区域，并将接口划入对应的区域。4、为该设备配置DNS地址，如需要则启用DNS代理。5、给设备设置上外网的缺省路由。6、如果内网有多网段，需要给设备加上系统路由指向三层交换机。7、配置地址转换，做代理上网的SNAT8、默认应用服务控制是缺省拒绝的，需要手动放行路由双线路—应用场景三层交换机IP:192.168.1.1/24IP:192.168.1.2/24192.168.2.0/24192.168.3.0/24172.16.1.0/24WAN1WAN2需求解读：希望实现电信走电信、网通走网通一条线路断掉之后，流量走到另外一条线路解决方案：路由模式Wan属性接口两个，外网线路授权两条配置线路故障检测，检测线路状况配置多线路负载策略路由，做出站线路负载TRUNK路由—应用场景需求解读：局域网内有CISCO4006、3500等多台，但是都没有三层功能的，现有AF防火墙一台作出口连接，打算把局域网内划分VLAN，听说AF支持路由和TRUNK，想用NGAF来做路由解决方案：设备以路由部署，lan口必定要是一个路由口。将eth0做为lan口，并设置子接口。TRUNK路由—应用场景eth0.10eth0.20Q：做策略时，引用区域应该如何引用？A：此时eth0eth0.10eth0.20是三个独立的三层接口可以属于不同的区域：eth0.10所属区域wan区域，匹配vlan10的数据eth0所属区域虽然也是三层区域，但是无法匹配到eth0.10的数据，如果数据不属于任何子接口，才会匹配父接口eth0TRUNK路由--配置方法路由、网桥、虚拟网线三种类型选择选择是否为wan口（需要外网线路授权）不会生成8个0的默认路由，仅做线路检测用1、设置wan口，类型”路由”，勾选wan属性，设置ip地址等其他属性。2、设置lan口，类型“路由”，不勾选wan属性，设置ip地址等其他属性，注意lan口的ip地址应