深信服AF学习笔记汇总.docVIP

. 设备管理 管理 1、NGAF设备通过MANAGE口登录进行管理，MANAGE口IP：51 MANAGE口IP地址51不可修改(可以在MANAGE口添 加多个IP地址)。所以即使忘记了其他接口的IP，仍然可以通过MANAGE 口出厂IP登录NGAF设备。 升级包回复密码，U盘恢复（只恢复密码，不会恢复网络配置）U盘格式必须为FAT32 3、开启直通之后，认证系统、防火墙、内、 容安全、服务器保护、流量管理等主要功能模块(DOS/DDOS防护中的基于数据包攻击和异常数据报文检测、NAT、流量审计、连接数控制除外) 均失效。 物理接口三种类型：路由接口、透明接口和虚拟网线接口三种类型 基本网络配置 路由接口 接口WAN属性：部分功能要求出接口是WAN属性，比如流控、策略路由、VPN外网接口等。 添加下一跳网关并不会产生默认路由，需要手动添加路由 接口带宽设置于流控无关，主要用于策略路由根据带宽占用比例选路，流控的需要重新设定。 实时检测接口的链路状态功能，以及多条外网线路情况下，某条线路故障，流量自动切换到其它线路功能，均需开启链路故障检测。 WAN属性的接口必须开启链路故障检测功能，非WAN属性无需开启。 路由接口是ADSL拨号方式，需要勾选“添加默认路由”选项 Eth0为固定的管理口，接口类型为路由口，且无法修改。Eth0可增加管理IP地址，默认的管理IP 51/24无法删除。 透明接口 透明接口相当于普通的交换网口，不需要配置IP地址，不支持路由转发，根据MAC地址表转发数据。部分功能要求接口是WAN属性，当接口设置成透明WAN口时，注意设备上架时接线方向，内外网口接反会导致部分功能失效。 虚拟网线接口 虚拟网线接口也是普通的交换接口，不需要配置IP地址，不支持路由转发，转发数据时，无需检查MAC表，直接从虚拟网线配对的接口转发。 虚拟网线接口的转发性能高于透明接口，单进单出网桥的环境下，推荐使用虚拟网线接口部署。 聚合口 聚合口：将多个以太网接口捆绑在一起所形成的逻辑接口，创建的聚合接口成为一个逻辑接口，而不是底层的物理接口。AF最多绑定4个口聚合，聚合口不支持镜像旁路 子接口 子接口：子接口应用于路由接口需要启用VLAN TRUNK的场景。 子接口是逻辑接口，只能在路由口下添加子接口。 18、设备支持配置多个WAN属性的路由接口连接多条外网线路，但是需要开通多条线路的授权。 19、管理口不支持设置成透明接口或虚拟网线接口，如果要设置2对或2对以上的虚拟网线接口，则必须要求设备不少于5个物理接口，预留一个专门的管理口Eth0。 一个路由接口下可添加多个子接口，路由接口的IP地址不能与子接口的IP地址在同网段。 区域 一个接口只能属于一个区域。二层区域只能选择透明接口，虚拟网线区域只能选择虚拟网线接口 策略路由 AF策略路由分源地址策略路由和多线路负载路由，源地址策略路由：根据源IP地址和协议选择接口或下一跳，实现用户访问数据的分流。可实现不同网段的内网用户，分别通过不同的线路接口访问公网。多线路负载路由：设备上有多条外网线路，通过策略路由的轮询，带宽比例，加权最小流量，优先使用前面的线路的接口策略，动态的选择线路，实现线路带宽的有效利用、备份和负载均衡。 策略路由配置完毕最后一步添加静态路由是为了防止策略路由失效的情况下，内网用户还可以通过静态路由访问公网。 路由优先级：静态路由优先于策略路由，策略路由优先于默认路由（）。 源地址策略路由选择接口时，只能选择WAN属性的路由接口。通过直接填写路由的下一跳，可以实现从设备非WAN属性的接口转发数据。 多条策略路由，按照从上往下的顺序匹配，一旦匹配到某条策略路由后，不再往下匹配。 常见的网络环境部署 接口 根据网口属性分为：物理接口、子接口、vlan接口； 根据网口工作区域划分为：2层区域口、3层区域口； 其中物理口可选择为：路由口、透明口、虚拟网线口、镜像口； 旁路模式 2、旁路模式部署AF，AF仅仅支持的功能有WAF（web应用防护），IPS（入侵防护系统），和DLP（数据库泄密防护，属于WAF内，其余功能均不能实现，例如Vpn功能，网关(smtp/pop3/http)杀毒，DOS防御，网站防篡改，Web过滤等都不能实现。 部署思路： 1、连接旁路口eth3到邻接核心交换机设备 2、连接管理口并配置管理ip 3、启用管理口reset功能 1、当源区域配置为旁路镜像区域时，目的区域自动填写为所有区域 目的IP组不能填写所有 3、旁路部署支持阻断，通过查找系统路由选择接口发送tcp reset包混合模式 混合模式 防火墙功能 源地址转换(SNAT) ： 源地址转换即内网地址访问外网时，将发起访问的内网IP地址转换为指定的IP地址，内网的多台主机可以通过同一个有效的公