SANGFOR NGAF v7度渠道初级认证培训04 防火墙功能介绍.ppt

注意事项 当同时做了DNS mapping和双向地址转换时，若用户端以域名访问服务器，则DNS mapping生效；若用户端以IP访问服务器，则双向地址转换生效。 2.【ARP欺骗防御】中， “网关MAC广播”只会广播设备非WAN属性接口的MAC，如果需要定期广播WAN接口的MAC地址，则需开启“免费ARP”功能。在【系统】-【系统配置】 -【网络参数】中，勾选“免费ARP“。 动动手 某用户网拓扑如右图，NGAF设备路由部署在公网出口，出口IP地址：，绑定域名为，内网有邮件服务器，现内网PC需要通过访问登陆邮件服务器收发邮件，请问有哪些方法可以满足用户的需求？分别该如何配置？ 1.NGAF设备支持哪几种地址转换功能？各用于什么场景？ 2.用户内网有三层交换机，启用DOS内网防护时，就会出现断网，日志记录的DOS告警源MAC地址都是三层交换机的MAC地址，这时该怎么设置？ 3.请简述双向地址转换与DNS Mapping的区别？ 问题思考 深信服社区资料库 社区资料库旨在为用户提供最新、最全的产品资料 访问方式： 资料分类： 深圳市南山区学苑大道1001号南山智园A1栋 market@ SANGFOR NGAF 防火墙功能介绍 培训内容 培训目标 地址转换功能介绍 了解源地址转换，目的地址转换，双向地址转换的应用场景，掌握源地址转换，目的地址转换，双向地址转换的设置方法。 DOS/DDOS防护功能介绍 了解DOS和DDOS功能的作用和应用场景，掌握DOS和DDOS功能的推荐配置方法。 其它功能介绍 连接数控制：掌握连接数控制的配置方法 DNS mapping：了解DNS mapping功能的应用场景，掌握设置方法 ARP欺骗防御：了解ARP欺骗防御功能的应用场景和设置方法 1 2 3 地址转换功能介绍 DOS/DDOS防护功能介绍 其它功能介绍 Contents 地址转换功能介绍 地址转换功能介绍 地址转换(NAT)： 在计算机网络中，网络地址转换（Network Address Translation，简称NAT）是一种在IP数据包通过路由器或防火墙时重写源IP地址/目的IP地址的技术。 源地址转换(SNAT) ： 源地址转换即内网地址访问外网时，将发起访问的内网IP地址转换为指定的IP地址，内网的多台主机可以通过同一个有效的公网IP地址访问外网。 典型应用场景： 设备路由部署在公网出口代理内网用户上网 目的地址转换(DNAT) ： 目的地址转换也称为反向地址转换或地址映射。目的地址转换是一种单向的针对目标地址的地址转换，主要用于内部服务器以公网地址向外网用户提供服务的情况。 典型应用场景： 外网用户访问服务器所在网络出口线路的公网地址时，直接访问到内部服务器。（如WAN-LAN端口映射） 地址转换功能介绍 双向地址转换： 双向地址转换是指在一条地址转换规则中，同时包含源地址和目标地址的转换，匹配规则的数据流将被同时转换源IP地址和目标IP地址 典型应用场景： 内网用户通过公网地址访问内网服务器（如LAN- LAN端口映射） 地址转换功能介绍 源地址转换功能应用举例 需求：客户网络环境如图，NGAF防火墙部署在网络出口，下接三层交换机，内网有PC和服务器，客户要求： NGAF防火墙代理内网PC和服务器上网。 解决方案：在NGAF设备上做源地址转换 步骤一：在【网络配置】的【接口/区域中】定义好接口地址和“区域”，在【对象定义】的【IP组】中定义好 “内网IP组” 源地址转换功能应用举例 源地址转换功能应用举例 规则匹配次数，可用于检测规则是否配置正确 目的地址转换功能应用举例 需求：客户网络环境如图，NGAF防火墙部署在网络出口，内网有WEB服务器。客户需要将WEB服务器发布到公网，让公网所有用户都可以通过访问到该服务器。 解决方案：在NGAF设备上做端口映射（即目的地址转换） 目的地址转换功能应用举例 步骤一：在【网络配置】的【接口/区域】中定义好接口地址和“区域”，在【对象定义】的【IP组】中定义好 “外网接口IP” 目的地址转换功能应用举例 公网的数据包过来，目的地址是设备公网地址则进行转换 公网访问的端口 服务器私网地址 服务器提供服务的真实端口 双向地址转换功能应用举例 需求：客户网络环境如图，NGAF防火墙部署在网络出口，内网有WEB服务器。已经申请了域名指向，客户需要内网所有用户都可以通过访问WEB服务器。 解决方案：在NGAF设备上做双向地址转换 双向地址转换功能应用举例 步骤一：在【网络配置】的【接口/区域】中定义好接口地址和“区域”，在【对象定义】的【IP组】中定义好 “内网IP组”和“外网接口IP” 双向地址转换功能