電子發燒友App
sangfor_waf
Sangfor_waf的主要功能有參數注入防護、越權訪問防護、上傳文件檢測、HTTP字段檢測、敏感信息泄露防護及配置安全設置
代理HTTP所有流量,SSH不阻攔
eth0只能為路由口不能更換接口模式,保留地址10.251.251.251/24不能刪除
VLAN子接口:用于對接路由口且配置了VLAN trunk,子接口不支持ipv6
VLAN接口不支持IPV6
聚合口不支持ipv6
GRE接口,源接口為實際公網IP,ip地址為隧道ip
接口聯動可以添加多接口,-HA口不支持聯動
任何接口IP不能配置為1.1.1.0/24
端口聚合
負載模式
負載均衡--hash:按數據包源目的IP/MAC的hash值均分
負載均衡--RR:直接按數據包輪轉均分到每個接口(輪流轉發)
主備模式--取eth端口號最大端口為主接口收發數據,其余為備接口
聚合協議
不支持動態聚合協議、只支持靜態聚合,聚合鏈路兩端設備的聚合協議要保持一致
虛擬網線
支持聚合口
成對出現,不發送ARP,不查詢MAC地址表,防止MAC表老化導致的CAM表混亂
ipv6
支持源IP策略路由
不支持依據應用選路
不支持多線路負載
807
需要啟用ipv4和ipv6雙棧--需要重啟設備
NAT64地址轉換
? 807支持ipv6到ipv6的NAT
? 807支持外網ipv6內網ipv4的端口映射
? NAT64為雙向地址轉換,即源目IP都會進行轉換
DNS64
? 將DNSv4查詢合成為DNSv6
IPS/WAF/僵尸網絡
? 攻擊日志的源目IP均為轉換后的IPV4,即先進行NAT6-4再進行防護
? 無法溯源
注意
? 不支持解決天窗
? 不支持SLAAC無狀態地址自配置協議
? 不支持哈希方式端口聚合
? 不支持子接口
? 不支持UDP大包46轉換
? 不支持ALG
? 只支持匹配規則,無法匹配行為類規則
? 不支持運行狀態展示
? 不支持ipv6雙機心跳
? 支持VLAN和聚合
WAN屬性
作用
1、AF所有版本沒有WAN屬性流控,流量審計將會失效
2、從AF6.8版本開始沒有WAN屬性,VPN服務起不來
3、從AF7.1版本開始策略路由不需要WAN屬性,之前版本策略路由需要接口有WAN屬性
4、做目的地址轉換數據需要源進源出(通過某個公網IP來訪問服務器還是通過那個公網IP回包),雙向地址轉換,需要WAN屬性
5、應用流量排行
支持接口模式
7.1之前,AF支持勾選 WAN口屬性的接口有路由口,透明口,聚合接口,虛擬網線接口
7.2開始,子接口可以勾選WAN屬性,作為WAN口使用
WAN口入站路由轉發
無法進行除虛擬服務、DNS、源地址轉換、端口映射、遠程登錄、匹配智能路由或靜態路由之外的數據傳輸
與IPSEC VPN出口線路匹配
如AF配置vpn,那么外網接口的一定要勾選“與IPSEC VPN出口線路匹配”,不然VPN服務啟動不成功
管理口
eth0為manage口只能做路由接口,默認的管理IP 10.251.251.251/24無法刪除
管理口不可作為監視端口
AF809
管理對端IP地址指的是當下面的[管理口訪問控制]是開啟的情況下,那么PC機必須配置這個地址才能管理設備
809開始允許修改默認管理口IP
vlan0
1.1.1.1用于重定向頁面,隱藏AF源IP
1.1.1.1也用于隱藏內部的1.1.1.2,兩個IP配套使用
ARP代理
AF內網接口與直連服務器不在同一網段,保證路由可達服務器,如AF內網口配私有IP,直連服務器直接配公網IP
ARP代理功能即是讓NGAF設備代理響應ARP請求,達到保護內網主機的目的使用ARP代理功能時,NGAF設備的連接被ARP代理服務器的接口必須是路由口,任意配置一個與其他網段不沖突的IP地址
路由
策略路由
VLAN接口、子接口不支持策略路由
多線路策略路由支持鏈路捆綁
ip rule //查看策略路由表頁
ip route show table //以VPN路由表為例
AF路由表分類
1、系統路由表(自帶三張表)
? 255--local
? 254--main
? 253--default
2、策略路由表 id == 1-237
? 策略路由頁面生成
3、VPN路由表 id == 240-249
? 240--ipsec vpn
? 242、241-- sangfor vpn(隧道間路由)
? 245-248 sangfor vpn 多線路
? 239 -- ssl vpn
臨時表 id -- 238
優先級
? local(0)-vpn(239、240、241)-臨時表(300)-策略路由表(10000)-main表(32766)
? vpn》靜態路由/直連路由》動態路由》策略路由》默認路由
ip route get x.x.x.x //查看到達某地址匹配的路由條目
非對稱數據轉發
AF近支持TRUNK、ACCESS透明部署,路由模式不支持
不支持開啟雙機熱備,需配置基本信息和配置同步、雙機熱備
需新增2對口,1個HA,1個同步口
將除數據同步口和HA口外所有業務口添加到接口聯動中
暫不支持父子鏈接、IP不一致場景
809僅支持單HA,存在單點故障
AF單節點不要超過單臺AF性能指標一半以上
數據同步口速率不低于業務口速率
二次穿透部署
場景:TCP單向數據多次穿越AF,對二次流量進行直通
限制:中間設備有NAT場景,AF不能配置二次穿透
建議:二次穿透的入接口應部署于2層環境,如部署與3層則會丟失NAT安全策略路由功能
鏡像口于業務口流量二次穿透場景,目的均為鏡像口,源目IP分別建立一條策略
配置案例
1
2
SNMP
SNMP開啟
開啟SNMP功能,方便遠程管理設備狀態、接口狀態
SNMP Trap
主動發送SNMP Trap信息
光口bypas
不支持光口 bypass 與雙機熱備同時啟用
Reset
AF自身發起的reset報文,806版本之前,ip.id是0x5826。806及以后版本,ip.id是0x7051。
安全防護
WAF
IPS
DOS
僵尸網絡
實施漏洞分析
實時漏洞分析的工作原理是:被動分析服務器回復的數據包判斷是否有漏洞
ARP欺騙防御
廣播網關MAC
拒絕ARP欺騙廣播包
郵件安全
支持pop3/smtp協議
收郵件不進行攔截,會給出提示
發郵件會攔截,會給出提示
蜜罐重定向
真實PC AF日志看不到訪問的域名
AF日志也看不到 DNS解析記錄請求的源IP
ACL
域名ACL控制--網絡參數--應用控制支持域名
ACL配置中域名查詢方式配置為主動
不支持BBC下發
SNAT,先匹配【內容安全】-【內容安全策略】,再匹配【防火墻】-【地址轉換】里面的源地址轉換
DNAT,先過【防火墻】-【地址轉換】里面的目的地址轉換,再匹配【內容安全】-【內容安全策略】
SAVE殺毒
支持文檔類: doc、docx、pdf、ppt、pptx、ps1、rtf、xls、xlsx等
支持腳本類: bat、cmd、com、exe、pe、elf、bin、perl、pl、plx等
8.0.13:云網端聯動
模塊
云:云腦--云鏡
網:AF
端:EDR
動作
處置:AF向EDR下發任務經云端情報威脅查殺后,實現病毒隔離、后續問題自動處置
取證:將AF發現的惡意域名訪問下發給EDR、EDR聯動云鏡
云端交付:MGR云端交付,本地免部署,接入云圖實現云網端功能
NTA網絡流量分析(Network Traffic Analysis)
AF巡檢
AF6.7及以上版本巡檢腳本使用方法.doc
直通
開啟直通策略還是會生效,只是數據包被直通功能打上不丟包的標簽讓數據包通過AF。所以才會有開啟直通之后,數據中心還能記錄日志,【運行狀態】--【封鎖攻擊者ip】中還是能看到有攔截日志
二層直通
類似AC的搬包測試
雙機互備不建議開啟
僅在透明和虛擬網線模式下生效、路由模式不生效
開啟二層直通相當于二層交換機,數據直接轉發、不進功能策略處理
直通
直通不生效或無效的模塊
地址轉換(nat)
DoS/DDoS防護(wdos)中基于數據包攻擊和異常包檢測
流量審計(IP流量排行、用戶流量排行、應用流量排行)
連接數控制
開啟直通后所有策略還會檢測只是不攔截
syslog日志
UDP 514
高可用
同步角色一致時
HA ip較大的為主控
最后一次修改同步角色的設備為主控
集中管控
SC:需要主控和主機同時加入SC,否則提示離線
特性
支持OSPF雙機場景下的路由同步,保證雙機切換后網絡快速收斂
添加監視端口后AF新增虛擬端口MAC
虛擬MAC構成:vrrp mac(00-00-5E)+接口序號+vrid,比如:vrid為101,eth1口的虛擬MAC就是:00-00-5E-00-01-65,eth2口的虛擬MAC就是:00-00-5E-00-02-65,65的十進制就是101。
注意
備機可以不勾選配置同步的自動同步
未加入網口監視的網口將不受雙機狀態控制,即使是備機也會響應數據,備機可以單獨配置-HA的端口用于備機管理
盡量避開bypass組接口
交換機鏈接設備的接口STP需開啟portfast
優先使用聚合[主備]進行HA,聚合口網卡類型需一致
默認情況下不能開啟搶占,開啟此功能聯系專家評估[網絡風險,也可以自己評估]
為避免頻繁雙機切換,當鏈路檢測失效雙機將每5分鐘進行一次雙機切換
強強檢測/強弱檢測
強強檢測:主備均開啟接口檢測鏈路檢測
強弱檢測:主機開啟接口鏈路檢測 備機:開啟接口檢測,鏈路不監測
807支持接入BBC
支持版本
BBC2.5.2
BBC2.5.3
默認端口5000
特性
(a)支持中心端通過模板下發配置給分支端,并對分支端配置進行管理;
(b)支持中心端通過離線導入或在線更新的方式升級分支AF設備;
(c)支持中心端對分支端12種庫進行升級;
(d)支持中心端統一下發管理安全規則庫及自定義規則庫:
(e)支持分支端總覽信息、業務安全信息、用戶安全信息等上報展示;
(f)支持中心端統一設置告警信息,并支持分支端告警信息上報預警;
(g)支持雙機、多機接入BBC集中管控場景;
(h)支持15個內置區域。
適用場景
上架場景
安全策略模板下發
VPN由BBC下發
運維場景
版本、定制、SP升級
? a)支持通過離線導入的方式對發布的版本/定制的SSU包,以及SP包,對指定的設備進行升級
? b)支持通過在線更新的方式對BBC平臺內鏡像AF版本的SP包,對指定的設備進行升級(SSU包不支持在線升級BBC平臺AF鏡像)
規則庫升級
? a)支持通過離線導入的方式對BBC內置版本鏡像進行規則庫升級
? b)支持通過BBC平臺對分支端進行規則庫升級
自定義規則庫
? 支持通過BBC端下發自定義IPS和WAF規則庫,下發到本地后置灰顯示且無法編輯
接入變化
自動下發15個區域:方便下發策略,只能引用接口不能刪除此區域
配置下發
導入全量包
BBC統一下發策略需依賴全量包
新增策略模板
配置模板配置
下發策略(下發策略不允許編輯刪除)
升級下發
上次升級包到BBC
新建升級任務,指定時間自動升級
如勾“優先從公網服務器下載升級包”,優先從GCS下載,如無對應包,再從BBC平臺下載
規則庫更新
BBC更新規則庫
AF能聯網則自己更新規則庫
AF不能聯網,從BBC下載
易部署
通過郵件下發配置到客戶端
WAN、LAN、管理員用戶名和密碼、管理員郵件地址
BBC需配置郵件服務器
易部署鏈接為一次性鏈接
雙機接入BBS
無VRRP無主機僅同步配置,雙機接入
主備,主機接入備機同步
主主,兩機器均可接入
SD-WAN
【剩余帶寬比例負載】會優先匹配“流量管理”-“虛擬線路配置”里設置的線路帶寬。如未開啟流控,則會匹配接口上配置的“線路帶寬”
【剩余帶寬比例負載】所選擇的線路只能是配置在物理接口上的線路,不支持虛擬接口的線路,如vlan接口。其它功能無此要求
SD-WAN選路只支持TCP、UDP、ICMP這三種協議,其他協議不支持
autu-VPN
序列號
網關序列號:功能同之前版本一致,不過沒有了移動用戶數。原因是AF8.0.7版本開始,不支持PDLAN用戶的接入;
SSLVPN:功能同之前版本一致,從之前的“功能模塊序列號”移入“基礎網絡序列號”中;
IPSEC VPN模塊:只是AF500型號的設備,默認未開啟此模塊,需要在此外單獨開通,其它型號的均默認開通。
基礎功能開通:默認開啟,可以支持IPS、APT等模塊的開通;
增強功能開啟:收費開啟,可以支持WAF、PVS、防篡改等模塊的開通;
最新威脅防御規則庫:收費開啟,可以支持除殺毒外所有規則庫的更新,前提是已開通相應的模塊;
網關功能功能開通:收費開啟,支持殺毒模塊的開通;
SAVE殺毒引擎更新:收費開啟,支持殺毒引擎的更新;
未知威脅實時檢測和網關殺毒訂閱服務:收費開啟,之前的云腦序列號,與老版本不同的是,老版本云腦有兩個序列號,這里是一個,如果是老版本開通云腦升級上來的話,會自動變成一個;
門戶網站保護訂閱服務:非默認免費開啟,開啟后,支持與云眼進行聯動,展示云眼端檢測到的相關數據;
云守-安全運營訂閱服務:收費開啟,開啟后,可以支持接入云守,通過云守來輔助AF的安全運維
軟件升級:收費&功能與之前一致,無變化;
維保服務:收費&功能與之前一致,無變化。連接服務器失敗問題,AF8.0.7正式版本解決掉;
編輯:黃飛
?
工商網監
評論