- 1、本文档共140页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
* * * Rip接口配置为什么不支持用啊 * * * * * * * * * 能否修改vlan0的ip 来完成这个重定向? * * * * * * * * 文件上传过滤 不支持ftp * * VPN 需要手动指定外网接口和内网接口,外网接口为WAN口,用于建立VPN连接。 内网接口则接内网(lan区域或者dmz区域) 1、只有WAN口类型的路由物理接口才可以作为VPN的外网接口。 2、非wan属性、固定IP的物理路由接口才可以作为vpn内网接口。 3、VPN接口vpntun不能属于任何区域。 VPN 策略对VPN的控制: 1、支持流控(将VPN内所有流量当成同一种应用做整体流控。) 2、vpn本端访问对端时,入接口是AF本端接口、出接口是vpntun,vpntun接口不属于任何区域无法控制,所以只需要设置源区域不要求设置目的区域的策略(如认证策略),对vpn本端访问对端生效,同时要求匹配源区域和目标区域的策略对vpn隧道内数据不生效,如应用控制策略。 3、vpn对端访问AF本端内网,入接口是vpntun,出接口是AF本端接口,策略无法控制,默认放通。 可以匹配到源区域, 无法匹配目标区域 无法做策略控制 二层协议过滤 用于过滤二层数据,是否允许转发,全局配置,无法根据区域来做。 连接数限制 用于做连接数控制,同Ac上网策略的连接数控制,此策略只匹配源区域。 ARP欺骗防护 仅支持广播AF自身的Mac 其他系统配置—网络参数 如果内网存在这些应用,请正确填写其应用端口,否则可能导致连接无法建立、或者无法识别和控制。 AF支持SIP视频,AC不支持的。 可以自定义连接超时时间 TCP应用被策略拒绝后, 是直接丢包还是发reset包断开连接 其他系统配置—控制台配置 其他系统配置---序列号 每个升级序列号是独立控制的 均支持自动升级、手动更新、规则库回滚 其他系统配置 数据中心 不启用本地日志,则内置数据中心不会记录日志 但会将日志发送到syslog服务器。 将日志传送到外部syslog 服务器 传送的是数据中心日志,不传送系统日志 1、数据中心有系统设置、报表、日志查询、统计分析几个板块。 具体如何使用,请参考用户手册。 2、暂没有外置数据中心。 数据中心—日志统计 1、服务器安全,是针对服务器的一个全局统计视图,可以把某服务器收到的攻击做汇总统计。 2、上网安全,是针对内网主机的一个全局统计视图,可以把某客户端主机收到的攻击做汇总统计。 WEB威胁:对应脚本、插件过滤,统计用户受到恶意ActiveX插件和恶意脚本攻击 网站访问:对应url过滤,统计内网用户访问网站的行为 1、日志统计 数据中心—日志查询 主要是用于记录安全行为,记录的是行为而不是具体内容。 各项基本于控制台对应,具体请参见用户手册。 数据中心—syslog效果图 1、AF仅支持UDP方式连接到syslog服务器,不支持TCP方式。 2、syslog服务器应该设置为UTF-8的显示模式,否则可能出现乱码等异常情况。 * * * * * * Accessid随便设置,因为access接口转发的时候是不带vlan标记的,trunk接口才带vlan标记 * * * * * * * * * * * * 需求分解2:保护服务器 Q:保护服务器的角度,AF可以做什么? 黑客入侵四步曲 黑客入侵四步曲 服务器面临的安全威胁/AF需要解决的问题 1、未授权的访问,非法用户流量(如内网数据中心) 2、不必要的访问(如只提供http应用服务访问) 3、ddos攻击(ip、端口扫描、洪水攻击、协议报文攻击) 4、漏洞攻击(针对服务器操作系统、软件漏洞) 5、针对WEB服务器的其他一些攻击,SQL注入、XSS等 用户认证 应用识别、控制 DOS外网防护 IPS保护服务器 服务器保护 需求分解2:保护服务器 保护服务器漏洞 可以要求用户认证后,才可以访问服务器。 DOS/DDOS外网防护、连接数控制 Web应用防护:防止SQL注入、XSS攻击、OS命令攻击、弱口令保护、防爆破登录。 默认拒绝,要注意放通外网访问服务器权限 注意:一个连接中总会有服务器和客户端的角色,而AF是不清楚谁是服务器还是谁是客户端的,他只明确连接发起的方向,所以任何策略,不管是保护服务器还是保护客户端,都可以生效,关键在于源、目的的设置。 略 略 外网防护,主要用于保护内网数据中心服务器群不受外部区域ddos攻击。 源区域设置为连接发起方区域,比如要防护来自公网区域的dos攻击则源区域设置成wan区域 设置检测到以上攻击后,是记录或阻断 保护服务器—DDOS攻击防护 连接发起方区域 源区域所有接口所有源ip的总阀值 源区域中单个源ip 匹配的是从刚才设置的源区域 到指定的目的IP组的数据
文档评论(0)