SANGFORNGAF10新产品培训.pptVIP

* * * * Rip接口配置为什么不支持用啊 * * * * * * * * * 能否修改vlan0的ip 来完成这个重定向？ * * * * * * * * 文件上传过滤 不支持ftp * * VPN 需要手动指定外网接口和内网接口，外网接口为WAN口，用于建立VPN连接。 内网接口则接内网（lan区域或者dmz区域） 1、只有WAN口类型的路由物理接口才可以作为VPN的外网接口。 2、非wan属性、固定IP的物理路由接口才可以作为vpn内网接口。 3、VPN接口vpntun不能属于任何区域。 VPN 策略对VPN的控制： 1、支持流控（将VPN内所有流量当成同一种应用做整体流控。） 2、vpn本端访问对端时，入接口是AF本端接口、出接口是vpntun，vpntun接口不属于任何区域无法控制，所以只需要设置源区域不要求设置目的区域的策略（如认证策略），对vpn本端访问对端生效，同时要求匹配源区域和目标区域的策略对vpn隧道内数据不生效，如应用控制策略。 3、vpn对端访问AF本端内网，入接口是vpntun，出接口是AF本端接口，策略无法控制，默认放通。 可以匹配到源区域， 无法匹配目标区域 无法做策略控制 二层协议过滤 用于过滤二层数据，是否允许转发，全局配置，无法根据区域来做。 连接数限制 用于做连接数控制，同Ac上网策略的连接数控制，此策略只匹配源区域。 ARP欺骗防护 仅支持广播AF自身的Mac 其他系统配置—网络参数 如果内网存在这些应用，请正确填写其应用端口，否则可能导致连接无法建立、或者无法识别和控制。 AF支持SIP视频，AC不支持的。 可以自定义连接超时时间 TCP应用被策略拒绝后， 是直接丢包还是发reset包断开连接 其他系统配置—控制台配置 其他系统配置---序列号 每个升级序列号是独立控制的 均支持自动升级、手动更新、规则库回滚 其他系统配置 数据中心 不启用本地日志，则内置数据中心不会记录日志 但会将日志发送到syslog服务器。 将日志传送到外部syslog 服务器 传送的是数据中心日志，不传送系统日志 1、数据中心有系统设置、报表、日志查询、统计分析几个板块。 具体如何使用，请参考用户手册。 2、暂没有外置数据中心。 数据中心—日志统计 1、服务器安全，是针对服务器的一个全局统计视图，可以把某服务器收到的攻击做汇总统计。 2、上网安全，是针对内网主机的一个全局统计视图，可以把某客户端主机收到的攻击做汇总统计。 WEB威胁：对应脚本、插件过滤，统计用户受到恶意ActiveX插件和恶意脚本攻击 网站访问：对应url过滤，统计内网用户访问网站的行为 1、日志统计 数据中心—日志查询 主要是用于记录安全行为，记录的是行为而不是具体内容。 各项基本于控制台对应，具体请参见用户手册。 数据中心—syslog效果图 1、AF仅支持UDP方式连接到syslog服务器，不支持TCP方式。 2、syslog服务器应该设置为UTF-8的显示模式，否则可能出现乱码等异常情况。 精品资料网（）成立于2004年，专注于企业管理培训。 提供60万企业管理资料下载，详情查看：/map.htm 提供5万集管理视频课程下载，详情查看：/zz/ 提供2万GB高清管理视频课程硬盘拷贝，详情查看：/shop/ 2万GB高清管理视频课程目录下载：/12000GB.rar 高清课程可提供免费体验，如有需要请于我们联系。 咨询电话：020值班手机网站网址： 在线文档： * * * * * * Accessid随便设置，因为access接口转发的时候是不带vlan标记的，trunk接口才带vlan标记 * * * * * * * * * * * 需求分解2：保护服务器 Q：保护服务器的角度，AF可以做什么？ 黑客入侵四步曲 黑客入侵四步曲 服务器面临的安全威胁/AF需要解决的问题 1、未授权的访问，非法用户流量（如内网数据中心） 2、不必要的访问（如只提供http应用服务访问） 3、ddos攻击（ip、端口扫描、洪水攻击、协议报文攻击） 4、漏洞攻击（针对服务器操作系统、软件漏洞） 5、针对WEB服务器的其他一些攻击，SQL注入、XSS等 用户认证 应用识别、控制 DOS外网防护 IPS保护服务器 服务器保护 需求分解2：保护服务器 保护服务器漏洞 可以要求用户认证后，才可以访问服务器。 DOS/DDOS外网防护、连接数控制 Web应用防护：防止SQL注入、XSS攻击、OS命令攻击、弱口令保护、防爆破登录。 默认拒绝，要注意放通外网访问服务器权限 注意：一个连接中总会有服务器和客户端的角色，而AF是不清楚谁是服务器还是谁是客户端的，他只明确连接发起的方向，所以任何策略