路由模式下,支持32条线路。
用户认证账号密码信息不保存在ac中。
AC不可以结合数据库做第三方认证。
在设备上,一个用户可以属于多个组。
防火墙
防火墙开始是很简单的,包过滤防火墙,针对数据包过滤。
- 代理防火墙,安全性高,处理速度慢。
- 状态防火墙,根据状态进行监控。
04年开始,发展迅速。
从最早的隔离功能,到逐渐增加入侵检测,防病毒。URL过滤,应用程序过滤。
目前的防火墙,可以双向分析网络流量的网络层,应用层和内容风险。已经不是传统的四层架构。完整的2-7层安全架构。
传统墙运行在网络层,主要防护来自系统的攻击。缺乏应用层防护。
深信服下一代防火墙主要从用户和业务两个角度进行防护。
防火墙的基本网络配置
主要做对内部和外部网络的一个防护。
防火墙的接口
防火墙的登陆口 manage口 ip 10.251.251.251 管理口地址不可以更改
用户名和密码 admin admin
防火墙巡检
登陆https://ip/health_check.php
配置了syslog服务器,会将日志发送到对应的服务器。
NAT日志 只支持syslog转发
防火墙有 路由模式 透明模式 虚拟网络模式 旁路模式 混合模式
防火墙没有单独的部署模式可以选择。 镜像口 旁路模式
设置lan口为路由口即可(lan口对端的接口可以是三层接口也可以是access口)
Wan口试外网口
Lan口对trunk口 类型选择 透明模式
虚拟网线是最广泛的一种部署模式,不惜要考虑前后设备的口。只需要把网口设置成虚拟线路,
虚拟网线模式,一定要配置管理口。
旁路模式的设置是最少的
只支持 APT PVS WAF IPS DLP DDOS
混合模式主要指NGAF的各个口,既有二层也有三层。
路由优先级
V** 静态 策略 默认
每一条外网线路必须有一条策略路由与之对应,源地址策略路由和多线路策略路由均可以
物理接口与ngaf设备面板上的接口一一对应。
源地址策略路由根据源ip
特别强调,源地址策略路由和多线路负载路由,都要设置链路故障检测,否则链路故障时无法实现链路切换,源地址策略路由是单独设置,而多线路负载路由是调用接口的链路检测。
地址转换分为
- 源地址转化
- 目的地址转换
- 双向地址转换
源地址转换
- 为内网转换为外网转换
目的地址
- 反向地址转换和地址映射 主要用于内网服务器以公网地址向外部地址提供服务。
双向地址转换
- 内网用户通过公网访问内网服务器
链接公网电信线路的两个接口正确配置下一跳,线路检检测,开启链路故障检测。。
访问控制
应用控制策略:可以做到应用/服务的访问做双向控制,防火墙存在一条默认拒绝所有服务
病毒防御策略
设备的病毒查杀,保护特定区域的数据。针对 http ftp pop3 smtp 进行查杀
WEB过滤
针对符合设定条件的访问wang也数据进行过滤
僵尸网络
感染病毒时,在于外网通信时,识别出该流量。
漏洞攻击防护保护对象
- 保护客户端
- 保护服务器
- 口令暴力破解
WEB应用防护
服务器保护
应用隐藏
可以把服务器版本隐藏起来,让黑客看不到服务器版本,来吵着相应的漏洞的资料。
数据防泄密
提供对http服务器响应信息做敏感数据扫描,。发现漏洞数据并阻断。并且对于下载文件类型进行过滤。
实施漏洞扫描
是一种被动的漏洞扫描器,需要数据经过设备或者通过旁路将数据镜像过来才能分析,实时发现用户网络中存在的安全问题。
