《SANGFOR NGAF新产品培训》由会员分享,可在线阅读,更多相关《SANGFOR NGAF新产品培训(138页珍藏版)》请在金锄头文库上搜索。
1、,什么是NGAF,NGAF能做什么,一、产品介绍,为什么要NGAF,NGAF VS.AC,1.1 什么是NGAF,Next-Generation Application Firewall 下一代应用防火墙,防火墙:拥有防火墙的基础功能,路由、NAT、包过滤等。 应用防火墙:对应用内容的更准确识别、更加关注应用层的内容安全。 下一代应用防火墙:Garnter定义。,为什么要NGAF防火墙历史,网络发展的趋势防火墙需要更新换代,仅80端口上的应用就有N种,防火墙如何限制?,Gartner定义下一代防火墙,网络安全,可视化应用管控,全面应用安全,单次解析构架,智能风险审计,应用识别,流量管控,应用安
2、全防护,WEB安全防护,灰度威胁识别,灰度威胁关联分析引擎,多核并行处理,统一签名,统一策略,报文一次匹配,漏洞防护,服务器防护,病毒防护,行为追踪,上传云端,应用防护日志,应用管控日志,网络安全日志,用户分析报表,智能关联分析报表,身份认证,NAT,抗攻击,VPN,1.2 NGAF如何满足网络对防火墙的要求,全面继承AC和VPN领域的技术积累,全面继承AC和VPN领域的技术积累,强强联合加入 微软MAPP,专业的WAF功能,可视化的双向应用访问控制,NAT、DDoS、路由更丰富,1.2 NGAF如何满足网络对防火墙的要求,1.3 NGAF和AC的对比,AF菜单,AC菜单,AF新增功能 服务器
3、保护 重新分布的功能: 1、用户与策略管理认证系统+内容安全 2、防火墙防火墙+VPN 3、安全防护IPS+内容安全+防火墙 几乎平移的菜单: 1、系统诊断系统维护 2、系统配置系统 3、防火墙防火墙+VPN 4、流量管理流量管理 5、实时状态运行状态 6、网络配置网络配置,1.3 NGAF和AC的对比,办公网络,数据中心,1、AC更关注于办公网络的行为管控、泄密监控、不和谐言论追查。 2、AF更关注数据中心、内网的安全防守。,1.3 NGAF和AC的对比-应用场景,AF,AF,AF,不允许使用skype等 不允许访问非法网站 流量管理 禁止运行不安全的脚本、插件 禁止/记录发表不和谐的言论
4、泄密防护(红色部分AF做不到) ,防止DDOS攻击 防止漏洞入侵 防止SQL注入、XSS攻击 防止向服务器传送恶意脚本。 禁止访问服务器某些目录 记录不安全的访问,1.3 NGAF型号,产品部署篇部署方式,1、设备登录方式,1、默认只有eth0接口有设置IP,初始IP为10.251.251.251 2、eth0为管理口,UI显示为eth0,描述信息为manage; eth0只能作为路由口,不能切换模式; eth0只能配成静态IP:在网口数4时,eth0不能做任何更改。 webui密码和pshell密码跟其他产品线一致。,2.1网络配置基础-接口/区域设置,物理接口:路由、透明、虚拟网线,这三种
5、接口都有一个wan或者非wan属性。 子接口:是路由接口的虚拟子接口,可支持vlan数据转发。 Vlan接口:同交换划分vlan,每个vlan有vlanid和vlanip,则产生一个vlan接口。 三层接口: 路由口、子接口、vlan接口,共同的特点是可以配置IP。 二层接口:透明口 虚拟网线接口:虚拟网线接口 区域:系统默认没有区域,但接口必须属于某个区域才能被调用做NAT、控制策略等。有三层区域、二层区域、虚拟网线区域,对应的,只能将相应层次的接口划分到对应区域。,物理口:没有部署模式配置向导,物理接口类型决定部署模式,2、透明口有access和trunk两种,access口一定属于某vl
6、an,trunk口不属于任何vlan,但可以承载指定vlan的数据,客户需求: 设备路由模式部署,并且作为vlan的网关,支持vlan间路由,子接口:用于物理口支持vlan trunk,AC可以这样设置,AF需要这样设置,物理接口多IP,非trunk?,跟AC一样,以IP地址列表的形式配置,配置的多IP用ifconfig是看不到的,用ip address看:,vlan接口,Q:透明口接口本身不能配置IP地址,那如何通讯? A:配置vlan接口,透明口的两种用法,vlan10,没有默认区域,自定义接口所属区域来标识控制方向,1、默认没有任何区域,而设备NAT、内容安全等策略都是根据区域来做,所以
7、需要将接口划分到区域。 2、区域有二层、三层、虚拟网线三种类型,二层区域只能选择二层接口,三层区域只能选择三层接口,虚拟网线只能选择虚拟网线接口。 二层接口:透明口(access、trunk) 三层接口:路由口、vlan接口、子接口 虚拟网线接口:虚拟网线口,区域设置的意义和原则,Q:有了lan和wan属性,为什么还要定义区域? A:wan属性只是用于控制部分功能是否生效,如:流控、策略路由、插件过滤、脚本过滤只对出接口是wan属性接口生效。但是对哪个方向上的数据进行控制,并不像AC一样是约定俗成的lanwan,而是取决于自定义的配置。,策略应用在哪个方向,由策略本身的区域设置决定。规划区域的
8、时候,就需要规划好,是一个接口属于一个区域,还是相同需求的多个接口属于一个区域。 区域设置原则: 1、二层接口只能属于二层区域,其他类推(界面已经限制) 2、定义策略时,只能二层二层,三层-三层(部分界面已限制) 3、区域定义按照控制的需求来规划(自主规划),1、接口设置的下一跳网关,只做链路故障检测用,不会产生路由,所以设备还需要手动设置默认路由。 2、接口设置的线路带宽跟流控通道带宽没有必然关系,用于策略路由按照带宽比例选路用。 3、线路故障检测结果可被策略路由、双机部署调用。 4、高级设置可以设置网卡工作模式、mtu、mac地址。 此处修改mac地址不会影响网关序列号。 PS:不同类型的
9、接口可以设置的参数不尽相同。 只有物理口可以设置工作模式、MAC地址、wan属性 只有三层接口可以设置IP地址、链路故障检测等,接口区域-其他属性配置,路由 模式,混合模式,透明模式,典型部署模式与配置,虚拟网线模式,2.2 路由模式-配置方法,1、设置wan口,类型”路由”,勾选wan属性,设置ip地址等其他属性。 2、设置lan口,类型“路由”,不勾选wan属性,设置ip地址等其他属性 3、分别定义lan和wan的区域,并将接口划入对应的区域。 4、为该设备配置DNS地址,如需要则启用DNS代理。 5 、给设备设置上外网的缺省路由。 6、如果内网有多网段,需要给设备加上系统路由指向三层交换
10、机。 7、配置地址转换,做代理上网的SNAT 8、默认应用服务控制是缺省拒绝的,需要手动放行,路由双线路应用场景,需求解读: 希望实现电信走电信、网通走网通 一条线路断掉之后,流量走到另外一条线路 解决方案: 路由模式 Wan属性接口两个,外网线路授权两条 配置线路故障检测,检测线路状况 配置多线路负载策略路由,做出站线路负载,TRUNK路由应用场景,需求解读: 局域网内有CISCO 4006、3500等多台,但是都没有三层功能的,现有AF防火墙一台作出口连接,打算把局域网内划分VLAN,听说AF支持路由和TRUNK,想用NGAF来做路由 解决方案: 设备以路由部署,lan口必定要是一个路由口
11、。将eth0做为lan口,并设置子接口。,TRUNK路由应用场景,eth0.10,eth0.20,Q:做策略时,引用区域应该如何引用?,A: 此时 eth0 eth0.10 eth0.20是三个独立的三层接口 可以属于不同的区域: eth0.10所属区域 wan区域,匹配vlan10的数据 eth0所属区域虽然也是三层区域,但是无法匹配到 eth0.10的数据,如果数据不属于任何子接口,才会匹配 父接口eth0,TRUNK路由-配置方法,1、设置wan口,类型”路由”,勾选wan属性,设置ip地址等其他属性。 2、设置lan口,类型“路由”,不勾选wan属性,设置ip地址等其他属性,注意lan
12、口的ip地址应随便配置,不属于任何vlan。 3、给lan口设置子接口,配置vlanid、vlanip等(类似AC的vlan列表) 3、分别定义lan和wan的区域,并将接口划入对应的区域。 4、为该设备配置DNS地址,如需要则启用DNS代理。 5 、给设备设置上外网的缺省路由。 6、配置地址转换,做代理上网的SNAT。(参考章节) 7、默认应用服务控制是缺省拒绝的,需要手动放行(参考章节),网桥模式应用场景,需求解读: 客户网络中原有一台路由器部署在出口代理内网上网,希望在不改变网络结构的情况下,AF部署在网络中保护内网和服务器。 配置要点: 1、AF两个接口设置成透明Access口,acc
13、essid=1。 2、给vlan1配置管理地址,或者用eth0做管理。,网桥模式应用场景,eth2 透明 access id=1,eth1透明 access id=1,Q:做策略时,引用区域应该如何引用?,Vlan1 ip=192.168.1.3,A: 此时eth2、eth1是二层接口 Vlan1是三层接口,但是转发的数据并不经过它 所以,区域设置: eth1所属区域 eth2所属区域 (都为二层区域),网桥模式-配置方法,1、设置wan口、lan口,类型“透明”,设置ip地址等其他属性(若为wan口则勾选上wan属性) 3、分别定义lan和wan的区域,并将接口划入对应的区域。 4、因需要对
14、设备进行管理,可以配置vlan的管理地址,或者用eth0做管理。 5、设置vlan接口所属的区域,设置该区域是否允许从webui、ssh管理等。 5、为该设备配置DNS地址、上外网的缺省路由等。 6、给设备设置上外网的缺省路由。 7、如果内网有多网段,需要给设备加上系统路由指向三层交换机。 8、默认应用服务控制是缺省拒绝的,需要手动放行(参考章节),Trunk网桥-应用场景,需求解读: 交换机上划分了vlan,交换机和路由器之间走vlan trunk,PC网关都指向路由器,现在不希望修改网络结构,部署AF。 配置要点: 设备透明网桥方式部署,两个接口类型均为透明+trunk口,允许中继vlan
15、10、vlan20等数据。,Trunk透明-配置方法,1、设置wan口、lan口,类型“透明”,设置类型为trunk,并设置允许转发的vlan,如果是wan口则勾选上wan属性。 3、分别定义lan和wan的区域,并将接口划入对应的区域。 4、因需要对设备进行管理,可以设置vlan的管理地址,或者从管理口eth0进行管理。 5、设置vlan接口所属的区域,设置该区域是否允许从webui、ssh管理等。 5、为该设备配置DNS地址、上外网的缺省路由等。 6、给设备设置上外网的缺省路由。 7、如果内网有多网段,需要给设备加上系统路由指向三层交换机。 8、默认应用服务控制是缺省拒绝的,需要手动放行(
16、参考章节),Vlan范围用于设置允许对哪些vlan做中继, 不在此范围中的vlan数据将不 会被中继,网桥模式网桥多网口-应用场景,需求解读: 外网多出口,内网用户分别走不同的路由器,从不同的公网出口上外网,需要对两条公网线路上的数据都做安全防护。配置要点: 三个网桥口,都配置成透明+access口,设置在同一vlan(vlanid相同),维护一张mac表。 配置截图:略 区域解读: 此时数据转发口eth2、eth3、eth1是三个独立的二层口。,eth2,eth3,eth1,网桥模式多网桥-应用场景,解决方案: 同AC设备,设置成多网桥模式,让每路网桥维护各自的mac转发表,互相之间不转发数据。,需求解读: 在这个拓扑环境下,S1 S2交换机跑VRRP协议,如果源MAC是交换机vrrp虚拟MAC,那么此MAC可能在A2和B2接口上都出现,设备根据mac表转发数据的时候,可能发错,导致网络异常。,配置要点: 四个口都设置成透明access口,并且A1 A2在一个vlan,B1B2属于另
