深信服AF学习笔记

第1章设备管理1.1. 管理

1、NGAF设备通过MANAGE⼝登录进⾏管理，MANAGE⼝IP：10.251.251.251 MANAGE⼝IP地址10.251.251.251不可修改(可以在MANAGE⼝添

加多个IP地址)。所以即使忘记了其他接⼝的IP，仍然可以通过MANAGE⼝出⼚IP登录NGAF设备。

2、升级包回复密码，U盘恢复（只恢复密码，不会恢复⽹络配置）U盘格式必须为FAT323、开启直通之后，认证系统、防⽕墙、内、

容安全、服务器保护、流量管理等主要功能模块(DOS/DDOS防护中的基于数据包攻击和异常数据报⽂检测、NAT、流量审计、连接数控制除外) 均失效。

4、物理接⼝三种类型：路由接⼝、透明接⼝和虚拟⽹线接⼝三种类型第2章基本⽹络配置2.1. 路由接⼝

5、接⼝WAN属性：部分功能要求出接⼝是WAN属性，⽐如流控、策略路由、VPN外⽹接⼝等。6、添加下⼀跳⽹关并不会产⽣0.0.0.0默认路由，需要⼿动添加路由

7、接⼝带宽设置于流控⽆关，主要⽤于策略路由根据带宽占⽤⽐例选路，流控的需要重新设定。

8、实时检测接⼝的链路状态功能，以及多条外⽹线路情况下，某条线路故障，流量⾃动切换到其它线路功能，均需开启链路故障检测。9、WAN属性的接⼝必须开启链路故障检测功能，⾮WAN属性⽆需开启。10、路由接⼝是ADSL拨号⽅式，需要勾选“添加默认路由”选项

11、Eth0为固定的管理⼝，接⼝类型为路由⼝，且⽆法修改。Eth0可增加管理IP地址，默认的管理IP 10.251.251.251/24⽆法删除。2.2. 透明接⼝

12、透明接⼝相当于普通的交换⽹⼝，不需要配置IP地址，不⽀持路由转发，根据MAC地址表转发数据。部分功能要求接⼝是WAN属性，当接⼝设置成透明WAN⼝时，注意设备上架时接线⽅向，内外⽹⼝接反会导致部分功能失效。2.3. 虚拟⽹线接⼝

13、虚拟⽹线接⼝也是普通的交换接⼝，不需要配置IP地址，不⽀持路由转发，转发数据时，⽆需检查MAC表，直接从虚拟⽹线配对的接⼝转发。

14、虚拟⽹线接⼝的转发性能⾼于透明接⼝，单进单出⽹桥的环境下，推荐使⽤虚拟⽹线接⼝部署。2.4. 聚合⼝

15、聚合⼝：将多个以太⽹接⼝捆绑在⼀起所形成的逻辑接⼝，创建的聚合接⼝成为⼀个逻辑接⼝，⽽不是底层的物理接⼝。AF最多绑定4个⼝聚合，聚合⼝不⽀持镜像旁路2.5. ⼦接⼝

16、⼦接⼝：⼦接⼝应⽤于路由接⼝需要启⽤VLAN TRUNK的场景。17、⼦接⼝是逻辑接⼝，只能在路由⼝下添加⼦接⼝。

18、设备⽀持配置多个WAN属性的路由接⼝连接多条外⽹线路，但是需要开通多条线路的授权。

19、管理⼝不⽀持设置成透明接⼝或虚拟⽹线接⼝，如果要设置2对或2对以上的虚拟⽹线接⼝，则必须要求设备不少于5个物理接⼝，预留⼀个专门的管理⼝Eth0。

20、⼀个路由接⼝下可添加多个⼦接⼝，路由接⼝的IP地址不能与⼦接⼝的IP 地址在同⽹段。2.6. 区域

21、⼀个接⼝只能属于⼀个区域。⼆层区域只能选择透明接⼝，虚拟⽹线区域只能选择虚拟⽹线接⼝2.7. 策略路由

22、AF策略路由分源地址策略路由和多线路负载路由，源地址策略路由：根据源IP地址和协议选择接⼝或下⼀跳，实现⽤户访问数据的分流。可实现不同⽹段的内⽹⽤户，分别通过不同的线路接⼝访问公⽹。多线路负载路由：设备上有多条外⽹线路，通过策略路由的轮询，带宽⽐例，加权最⼩流量，优先使⽤前⾯的线路的接⼝策略，动态的选择线路，实现线路带宽的有效利⽤、备份和负载均衡。23、策略路由配置完毕最后⼀步添加静态路由是为了防⽌策略路由失效的情况下，内⽹⽤户还可以通过静态路由访问公⽹。24、路由优先级：静态路由优先于策略路由，策略路由优先于默认路由（0.0.0.0）。

25、源地址策略路由选择接⼝时，只能选择WAN属性的路由接⼝。通过直接填写路由的下⼀跳，可以实现从设备⾮WAN属性的接⼝转发数据。

26、多条策略路由，按照从上往下的顺序匹配，⼀旦匹配到某条策略路由后，不再往下匹配。第3章常见的⽹络环境部署3.1. 接⼝

根据⽹⼝属性分为：物理接⼝、⼦接⼝、vlan接⼝；根据⽹⼝⼯作区域划分为：2层区域⼝、3层区域⼝；

其中物理⼝可选择为：路由⼝、透明⼝、虚拟⽹线⼝、镜像⼝；3.2. 旁路模式

2、旁路模式部署AF，AF仅仅⽀持的功能有WAF（web应⽤防护），IPS（⼊侵防护系统），和DLP（数据库泄密防护，属于WAF内，其余功能均不能实现，例如Vpn功能，⽹关(smtp/pop3/http)杀毒，DOS防御，⽹站防篡改，Web过滤等都不能实现。部署思路：

1、连接旁路⼝eth3到邻接核⼼交换机设备2、连接管理⼝并配置管理ip3、启⽤管理⼝reset功能

1、当源区域配置为旁路镜像区域时，⽬的区域⾃动填写为所有区域2、⽬的IP组不能填写所有

3、旁路部署⽀持阻断，通过查找系统路由选择接⼝发送tcp reset包混合模式3.3. 混合模式

第4章防⽕墙功能4.1. 源地址转换(SNAT) ：

源地址转换即内⽹地址访问外⽹时，将发起访问的内⽹IP地址转换为指定的IP地址，内⽹的多台主机可以通过同⼀个有效的公⽹IP地址访问外⽹。典型应⽤场景：

设备路由部署在公⽹出⼝代理内⽹⽤户上⽹

4.2. ⽬的地址转换(DNAT) ：

⽬的地址转换也称为反向地址转换或地址映射。⽬的地址转换是⼀种单向的针对⽬标地址的地址转换，主要⽤于内部服务器以公⽹地址向外⽹⽤户提供服务的情况。典型应⽤场景：

外⽹⽤户访问服务器所在⽹络出⼝线路的公⽹地址时，直接访问到内部服务器。（如WAN->LAN端⼝映射）4.3. 源地址转换

4.4. ⽬的地址转换DNAT

4.5. 双向地址转换

4.6. DDOS功能

1、外⽹防护：主要对⽬标地址做重点防御，⼀般⽤于保护内部服务器不受外⽹的DOS攻击。（该外⽹为⽤户⾃⼰定义的攻击源区域，不⼀定⾮指Internet)

2、内⽹防护：主要⽤来防⽌设备⾃⾝被DOS攻击。

配置外⽹防护时，除内容⾥特别注明不能勾选的项外，其它均可以勾选，勾选后，请注意设置好阈值，建议使⽤默认的阈值。3、对于“基于数据包的检测”、“基于报⽂的检测”的规则，在开启直通的情况下仍然检测并丢包。4、部署环境选择，如果是⼆层必须选⼆层环境，三层选三层环境，切记

4.7. 连接数控制

1、连接数控制只匹配源区域4.8. DNS mapping

1.设置DNS Mapping后，内⽹访问服务器的数据将不会经过防⽕墙设备，⽽是直接访问的服务器内⽹IP。双向地址转换则是所有数据都会经过防⽕墙去访问。所以通过DNS Mapping可以减轻防⽕墙压⼒。

2.DNS Mapping的设置⽅法⽐双向转换规则简单。不涉及区域、IP组、端⼝等设置，但要求客户端访问时必须使⽤域名去解析。3.DNS Mapping不⽀持⼀个公⽹IP映射到多台内⽹服务器的情况。⽽双向地址转换功能没有此限制。

4、当同时做了DNS mapping和双向地址转换时，若⽤户端以域名访问服务器，则DNS mapping⽣效；若⽤户端以IP访问服务器，则双向地址转换⽣效。（同时有DNSmapping和双向地址转换，⽤域名=DNSmapping，⽤IP=双向地址转换）4.9. ARP欺骗

“⽹关MAC⼴播”只会⼴播设备⾮WAN属性接⼝的MAC，如果需要定期⼴播WAN接⼝的MAC地址，则需开启“免费ARP”功能。在【系统】-【系统配置】-【⽹络参数】中，勾选“免费ARP“第5章VPN互联配置

5.1. SANGFOR DLAN互联的基本条件：

1)⾄少有⼀端作为总部，且有⾜够的授权（硬件与硬件之间互连不需要授权）。2)建⽴DLAN互联的两个设备路由可达，且⾄少有⼀个设备的VPN监听端⼝能被对端设备访问到。

3)建⽴DLAN互联两端的内⽹地址不能冲突。4)建⽴DLAN互联两端的版本需匹配。

2、NGAF仅⽀持作为⽹关（路由）模式或者单臂模式的SANGFOR VPN对接。标准的第三⽅IPSEC互联，仅在⽹关模式部署下⽀持。3、⽹桥透明模式，虚拟线路模式，旁路模式都不⽀持VPN功能；4、必须有⼀个物理接⼝为路由⼝，才⽀持建⽴DLAN连接5.2. NGAF设备VPN模块下的【内⽹接⼝设置】有何作⽤？

答：【内⽹接⼝设置】中只能添加⾮WAN属性的路由⼝，⽤于将这个接⼝上主IP（第⼀个IP）的⽹段通告对端的SANGFOR 设备，对端访问这个⽹段的数据就能被加密封装，通过VPN传输。

【内⽹接⼝设置】的作⽤与本地⼦⽹相同，但是，【内⽹接⼝设置】中添加接⼝只通告设备直连⽹段；通过本地⼦⽹，可以通告本端所有的内⽹⽹段。

5.3. NGAF设备VPN模块下的【外⽹接⼝设置】有何作⽤？

答：如果需要开启VPN多线路功能和标准IPSEC对接的情况下，则必须设置【外⽹接⼝设置】。通过【外⽹接⼝设置】添加外⽹接⼝，可探测外⽹接⼝的线路状态。

5.4. NGAF 标准IPSEC VPN互联条件1.NGAF设备必须具有分⽀机构的授权

2.NGAF设备必须⾄少具有⼀个WAN属性的路由接⼝（⾮管理⼝Eth0），和⼀个⾮WAN属性的路由⼝（⾮管理⼝Eth0），⽤于建⽴标准IPSEC连接。

3.NGAF 标准IPSEC VPN互联注意事项

1)NGAF设备不能通过管理⼝eth0建⽴标准IPSEC互联（即把eth0⼝添加其它IP地址，当做内⽹⼝或者外⽹⼝建⽴标准IPSEC VPN的场景）。

2)NGAF设备配置标准IPSEC互联时，必须配置【外⽹接⼝设置】和【内⽹接⼝设置】。

3)NGAF设备建⽴标准IPSEC互联时，VPN的数据必须从⼀个⾮WAN属性的路由⼝进⼊到设备，并从⼀个WAN属性的路由⼝转发。第6章服务器保护培训6.1. 服务器保护

1、⽬前主要针对WEB应⽤和FTP应⽤提供保护

6.2. DLP数据防泄密

1、新增敏感信息组合策略，各个策略间为或的关系

2、配置敏感信息防护策略，各个敏感信息类型之间为与的关系，如不允许出现⾝份证号与⼿机号码，并且⼀次都不准出现3、注意事项：

1)DLP对服务器传出数据过滤，不过滤客户端提交数据

2)DLP功能需要多功能序列号开启；预定义敏感信息泄露库可⾃动更新，受序列号控制

3)配置DLP后WAF规则可启⽤短信告警

4)⽀持UTF-8、GBK、GB2312三种编码；⽀持gzip、deflate、chunk三种压缩5)模式组内是“与”关系，要求同时出现多选的数据；模式组之间是“或”关系，顺序匹配直到拒绝或全部放⾏

6)⽂件过滤仅从url匹配⽂件名后缀，不识别内容，不⽀持⽆后缀名⽂件，如/etc/passwd

7)⽂件过滤为⿊名单形式，仅需配置拒绝名单8)新建⽂件过滤时默认勾选拒绝

.config/.inc/.ini./mdb/.MYD/.frm /.log等⽂件

9)Jboss Struts2⽹站⽂件类型为.action/.do等，需要额外放通第7章⽹站放篡改7.1. 精确匹配和模糊匹配

1、精确匹配：⼀般⽤于全静态⽹页⽹站，⽹页中任何⼀个元素的变化都将判断为被篡改。2、模糊匹配：灵敏度分为，⾼、中、低⾼、中：可以⽤于静态/动态⽹页都有的⽹站

低：⼀般⽤于全动态⽹页⽹站，误判率最低，但会有⼀定的漏判3、启⽤⿊链的检测，只有在模糊匹配模式下使⽤，精确匹配时不⾏7.2. 防护深度

4、防护深度：最⼤防护深度指通过⼏次链接找到页⾯，与url地址中⽬录，级数⽆关，主页的连接，深度都是1（可选范围：1-20）；要保护主页及主页上的图⽚⾄少设置深度为27.3. 防篡改识别度NGAF能识别的⽹页篡改：1、替换整个⽹页2、插⼊新链接3、替换⽹站图⽚⽂件

4、⼩规模编辑⽹页（仅精确）5、因⽹站运⾏出错导致结构畸变NGAF不能识别的⽹页篡改：1、新增⼀个⽹页

新增⽹页⽆本地缓存对⽐，故⽆法识别2、删除⼀个⽹页

删除⽹页服务器返回404错误，AF不处理404错误页⾯7.4. ⽹站管理员

为被保护⽹站指定⽹站管理员：

1、⽹站管理员可以对分管⽹站禁⽤/启⽤⽹页防篡改2、⽹站管理员可更新缓存/添加例外

3、⽹站管理员有单独登陆页⾯https://AFIP:80004、⽹站管理员账号不可登陆防⽕墙控制台5、⽹站管理员不可新增防护⽹站7.5. 注意事项

1、⽤户访问被篡改站点，数据需要经过AF，如果不经过AF，起不到防护效果，AF也发现不了⽹页被篡改（旁路模式，即使数据镜像过来也不⽀持的）

2、新增页⾯或者删除页⾯，AF⽆法发现⽹页被篡改，新增⽹页⽆本地缓存对⽐，故⽆法识别，删除⽹页服务器返回404错误，AF不处理404错误页⾯

3、图⽚⽂件篡改后第⼀次浏览篡改⽹页还原为原始图⽚（“还原站点”）4、⽹页⼩规模编辑和添加⿊链，浏览篡改⽹页跳转到“维护页⾯”

5、仅检测到⿊链篡改不还原/不重定向到维护页⾯，仅⽀持告警，控制台告警，邮件告警，短信告警7.6. ⽹站管理员确认篡改信息，并采取动作A、通过邮件或短信中链接

B、通过AF控制台或⽹站管理员维护页⾯(1)⾮篡改问题，直接更新缓存

(2)⾮篡改问题，⽆需做篡改保护，添加例外(3)篡改问题，修复⽹站后更新缓存第8章安全防护功能培训8.1. 应⽤控制策略

基于服务的控制策略：通过匹配数据包的五元组（源地址、⽬的地址、协议号、源端⼝、⽬的端⼝）来进⾏过滤动作，对于任何包可以⽴即进⾏拦截动作判断。

基于应⽤的控制策略：通过匹配数据包特征来进⾏过滤动作，需要⼀定数量的包通⾏后才能判断应⽤类型，然后进⾏拦截动作的判断。8.2. 病毒防御策略

1、针对HTTP，FTP，POP3和SMTP这四种常⽤协议进⾏病毒查杀。

2、对列表中指定的⽂件类型进⾏杀毒，可⼿动填写⽂件类型，仅对HTTP杀毒和FTP杀毒有效8.3. IPS 联动封锁IP地址源

1.联动封锁IP地址源，可以设定时间，时间过期解锁2.仅IPS/WAF模块可以配置联动封锁

3.IPS/WAF中仅“阻断”事件会触发联动封锁，”记录”不触发4.联动封锁针对的是该源IP通过防⽕墙的任何通信5.被联动封锁的主机可访问AF控制台，⽆法访问数据中⼼6.临时防⽕墙容量为1000条

7.被联动封锁的拒绝记录在应⽤中查询8.4. 注意事项

1、NGAF的应⽤控制策略默认是全部拒绝的，需要⼿动新建规则进⾏放通。

2、WEB过滤中的⽂件类型过滤不⽀持针对FTP上传、下载的⽂件类型进⾏过滤。只⽀持WEB3、配置IPS保护客户端和服务器时，源区域为数据连接发起的区域。

4、IPS保护客户端与保护服务器中的客户端漏洞和服务器漏洞规则是不同的，因为攻击者针对服务器和客户端会使⽤不同的攻击⼿段。5、源区域的判别：数据发起发是谁就选谁，客户端IPS配置中，源区域为客户端所在的内⽹区域，因为数据的发起⽅是内⽹，所以源区域就是内⽹，如果IPS 保护服务器，连接发起⽅是外⽹，所以源区域就是“外⽹”第9章系统配置功能介绍9.1. 序列号

⽹关序列号，跨运营商序列号，防篡改序列号、功能模块序列号和升级序列号。9.2. 全局排除地址后有效的模块

全局排除地址（IP或域名）后仍然有效的模块有：

地址转换（nat）、DoS/DDoS防护（wdos）中基于数据包攻击和异常包检测、流量审计（IP流量排⾏、⽤户流量排⾏、应⽤流量排⾏）、连接数控制。其中流量审计、连接数限制模块在AF 2.0后会修改为不审计和不限制排除IP和域名9.3. 开启直通后仍然有效的模块有：

NGAF中开启实时拦截⽇志并直通仍然有效的模块有DOS/DDOS防护中的基于数据包攻击和异常数据报⽂检测、⽹页防篡改、http与ftp隐藏功能。

DOS/DDOS防护中的基于数据包攻击和异常数据报⽂检测、NAT、流量审计、连接数控制9.4. ⽇志

1、存储到内置数据中⼼的⽇志包括系统⽇志和数据中⼼⽇志，可以将这些⽇志同步到外置数据中⼼⾥2、发送到Syslog服务器上的只有数据中⼼⽇志，系统⽇志不会发送。3、注意事项：

（1）AF的外置数据中⼼与内置数据中⼼完全⼀样，⽆新增功能；（2）外置数据中⼼⽀持Win2000SP4/2003R2/2008SP/XP_sp3系统；（3）增加数据中⼼常见问题解决⽅法⽂档。9.5. SYSLOG

1.Syslog仅⽀持UDP⽅式连接。

2.Syslog不能同步系统⽇志，只能同步数据中⼼⽇志。