AF防火墙参数全系列型

af 防火墙认证策略AF防火墙认证策略简介AF防火墙是一种网络安全设备，用于保护计算机网络免受潜在威胁和攻击。

AF防火墙认证策略是一组规则和设置，用于验证网络中的用户和设备，并根据其身份和权限控制网络访问。

本文将介绍AF防火墙认证策略的不同类型和应用场景。

1. 用户认证策略•强制用户认证：要求网络用户在访问互联网或内部资源之前进行身份验证。

通过用户名和密码、双因素认证等方式，确保只有授权用户可以访问网络资源。

•认证超时设置：设置用户认证的时间限制，超过一定时间未完成认证的用户将被自动断开连接，以确保网络安全。

2. 设备认证策略•MAC地址认证：要求设备在连接网络时提供其MAC地址，并验证其有效性。

只有经过认证的设备才能访问网络资源。

•IP地址认证：针对特定的IP地址或地址段进行认证，确保只有指定的设备可以访问网络。

•证书认证：使用数字证书验证设备的身份，并确保其合法性和可信度。

只有经过证书认证的设备才能与网络通信。

3. 访问控制策略•基于用户组的访问控制：将用户分组，为不同的用户组设置不同的访问权限。

根据用户组的不同，限制其对网络资源的访问。

•基于角色的访问控制：根据用户角色设置访问权限，例如管理员、操作员、普通用户等。

不同角色的用户拥有不同的权限，确保数据的安全性和机密性。

•基于应用程序的访问控制：针对特定的应用程序进行访问控制，限制用户对敏感数据或特定应用的访问权限。

4. 客户端认证策略•VPN客户端认证：要求使用VPN连接的客户端进行身份验证，确保只有经过认证的客户端可以建立安全连接。

•SSL/TLS客户端认证：通过SSL或TLS协议对客户端进行验证，确保通信双方的身份和数据的安全性。

•预共享密钥认证：使用预先共享的密钥对客户端进行身份验证，确保连接的可信度和安全性。

结论AF防火墙认证策略通过有效的用户、设备和访问控制，提供了一种可靠的方式来保护计算机网络的安全。

根据实际需求，可以灵活配置和调整不同类型的认证策略，以适应不同的网络环境和安全要求。

SANGFOR_AF_产品简介Gartner定义下⼀代防⽕墙源引⾃：Gartner《Defining the Next-Generation Firewall》⼀、防⽕墙必须演进防⽕墙必须演进，才能够更主动地阻⽌新威胁(例如僵⼫⽹络和定位攻击)。

随着攻击变得越来越复杂，企业必须更新⽹络防⽕墙和⼊侵防御能⼒来保护业务系统。

不断变化的业务流程、企业部署的技术，以及威胁，正推动对⽹络安全性的新需求。

不断增长的带宽需求和新应⽤架构(如Web2.0)，正在改变协议的使⽤⽅式和数据的传输⽅式。

安全威胁将焦点集中在诱使⽤户安装可逃避安全设备及软件检测的有针对性的恶意执⾏程序上。

在这种环境中，简单地强制要求在标准端⼝上使⽤合适的协议和阻⽌对未打补丁的服务器的探测，不再有⾜够的价值。

为了应对这些挑战，防⽕墙必须演进为被著名市场研究公司Gartner称之为“下⼀代防⽕墙(NextGenerationFirewall，简称NGFW)”的产品。

如果防⽕墙⼚商不进⾏这些改变的话，企业将要求通过降价来降低防⽕墙的成本并寻求其他安全解决⽅案来应对新的威胁环境。

⼆、什么是NGFW?Gartner将⽹络防⽕墙定义为在不同信任级别的⽹络之间实时执⾏⽹络安全政策的联机控制。

Gartner使⽤“下⼀代防⽕墙”这个术语来说明防⽕墙在应对业务流程使⽤IT的⽅式和威胁试图⼊侵业务系统的⽅式发⽣变化时应采取的必要的演进。

NGFW⾄少具有以下属性：1．⽀持联机“bump-in-the-wire”配置，不中断⽹络运⾏。

2．发挥⽹络传输流检查和⽹络安全政策执⾏平台的作⽤，⾄少具有以下特性：（1）标准的第⼀代防⽕墙能⼒：包过滤、⽹络地址转换(NAT)、状态性协议检测、VPN等等。

（2）集成的⽽⾮仅仅共处⼀个位置的⽹络⼊侵检测：⽀持⾯向安全漏洞的特征码和⾯向威胁的特征码。

IPS与防⽕墙的互动效果应当⼤于这两部分效果的总和。

例如提供防⽕墙规则来阻⽌某个地址不断向IPS加载恶意传输流。

国内下一代防火墙第一品牌
深信服下一代防火墙（Next-GenerationApplicationFirewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

区别于传统的网络层防火墙，NGAF具备L2-L7层的协议的理解能力。

不仅能够实现网络层访问控制的功能，且能够对应用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。

区别于传统DPI技术的入侵防御系统，深信服NGAF具备深入应用内容的威胁分析能力，具备双向的内容检测能力为用户提供完整的应用层安全防护功能。

同样都能防护web攻击，与web应用防火墙关注web应用程序安全的设计理念不同，深信服下一代防火墙NGAF关注web系统在对外发布的过程中各个层面的安全问题，为对外发布系统打造坚实的防御体系。

性能参数
功能列表。

国内下一代防火墙第一品牌
深信服下一代防火墙（Next-Generation Application Firewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

区别于传统的网络层防火墙，NGAF具备L2-L7层的协议的理解能力。

不仅能够实现网络层访问控制的功能，且能够对应用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。

区别于传统DPI技术的入侵防御系统，深信服NGAF具备深入应用内容的威胁分析能力，具备双向的内容检测能力为用户提供完整的应用层安全防护功能。

同样都能防护web攻击，与web应用防火墙关注web应用程序安全的设计理念不同，深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题，为对外发布系统打造坚实的防御体系。

H3C商业产品命名规则汇总一、交换机命名规则：第一位数字：9：最高端、机箱式7：高端、机箱式5：全千兆3：千兆上行＋百兆下行第二位数字：5：三层交换机6：三层交换机9：三层交换机1：二层交换机第三、四位数字：高端交换机：业务槽位数第五、六位数字：中低端交换机：可用端口数后缀的含义：T：1000BASE-TC：模块式P：SFP（Small Form Pluggable）TP：光电复用F：全光口R：冗余（SOHO级别产品中后缀R代表机架式交换机）M：支持MCE功能HI：旗舰型EI：增强型SI：标准型PWR：远程供电DC：直流供电AC：交流供电V：VLAN划分（SOHO产品）E：增强型（SOHO产品），E前缀表示教育网专供交换机H：增强型（SOHO）＋：升级版本二、H3C MSR 系列产品命名规则A.1.1 H3C MSR系列模块化路由器产品命名格式中低端多业务接入路由器为MSR，含义Multi-Service Router表示路由器大类，目前编码数字分配如下：中端多业务模块化接入路由器系列分为：MSR 20系列模块化多业务路由器；MSR 30系列模块化多业务路由器；MSR 32系列模块化多业务路由器；MSR 50系列模块化多业务路由器。

e、A3A4 ：表示路由器系列中的具体产品基本型号，在模块化路由器中，各系列的产品含义不同：在MSR系列产品中表示：A3：表示路由器插卡的数量（SIC、MIM或者FIC）20系列表示SIC卡的数量；30、32系列表示MIM卡的数量；50系列表示FIC卡的数量；A4：无特定含义，在不同的产品型号中定义不同，这里没有统一规定。

其中对于MSR 20系列而言，遵循下列规则：A4为下行LAN口的数量：0－0 FE/GE1－8 FE/GE2－16 FE/GE3－24 FE/GE4－32 FE/GEf、 [B1][B2][B3] 和[- A5A6] ：暂不定义三、ER系列产品命名规则：第一位为字母：E代表增强型Enterprise第二位为字母：R代表路由器Router第三位为数字：5代表千兆，3代表百兆第四位为数字：1代表当WAN口，2代表双WAN口第五第六位位数字：无特定意义四、无线产品命名规则：五、安全产品命名规则：SecPath防火墙：F100－C F代表Firewall防火墙，100代表百兆，C代表Common（普通）F100－S F代表Firewall防火墙，100代表百兆，S代表Standard（标准） F100－M F代表Firewall防火墙，100代表百兆，M代表Medium（中间）F100－A F代表Firewall防火墙，100代表百兆，A代表Advanced（高级） F100－A－SI F代表Firewall防火墙，100代表百兆，A代表Advanced（高级），SI代表标准型F100－E F代表Firewall防火墙，100代表百兆，E代表Enhanced（增强） F1000－C F代表Firewall防火墙，1000代表千兆，C代表Common（普通） F1000－S F代表Firewall防火墙，1000代表千兆，S代表Standard（标准） F1000－A F代表Firewall防火墙，1000代表千兆，A代表Advanced（高级） F1000－E F代表Firewall防火墙，1000代表千兆，E代表Enhanced（增强） V100－S V代表VPN，100代表百兆，S代表Standard（标准）V100－E V代表VPN，100代表百兆，E代表Enhanced（增强）V1000－A V代表VPN，1000代表千兆，A代表Advanced（高级）H3C IPS：H3C IPS 200 “200”代表200M吞吐量H3C IPS 200E “200”代表200M吞吐量，E代表Enhanced（增强型）依此类推SecCenter A1000： Security Center Analyzer（安全中心分析器），1000则代表产品的性能定位，以后细分市场再有同系列的新产品出现，向下可以有800、400、200、100，向上可以有2000、4000、8000、10000等。

国内下一代防火墙第一品牌
深信服下一代防火墙（Next-Generation Application Firewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

区别于传统的网络层防火墙，NGAF具备L2-L7层的协议的理解能力。

不仅能够实现网络层访问控制的功能，且能够对应用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。

区别于传统DPI技术的入侵防御系统，深信服NGAF具备深入应用内容的威胁分析能力，具备双向的内容检测能力为用户提供完整的应用层安全防护功能。

同样都能防护web攻击，与web应用防火墙关注web应用程序安全的设计理念不同，深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题，为对外发布系统打造坚实的防御体系。

国内下一代防火墙第一品牌深信服下一代防火墙（Next-Generation Application Firewall）NGAF面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

作为传统防火墙的升级替代产品，深信服NGAF不同于工作在L2-L4层的传统防火墙，可以对全网流量进行双向深入数据内容层面的全面透析。

在安全策略制定方面，区域别于传统防火墙五元组安全策略，深信服NGAF可对L2-L7层更多的元素（如，用户、应用类型、URL、数据内容等）制定双向的安全访问策略，使安全策略更精细、更有效，且满足业务的合规性；在安全防护能力方面，提升了传统的抗攻击的能力，不仅能防护网络层的攻击，针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护，实现L2-L7层的安全防护。

同时，深信服NGAF采用全新的软硬件架构，减小在多种复杂的安全策略和L2-L7层多功能防护功能全部开启时性能的消耗，实现应用层高性能。

产品系列型号产品型号AF-1000-L4170 AF-1000-L4175 AF-1000-L4178 AF-1000-L4270 AF-1000-L4370 三层吞吐 1.5Gbps 2Gbps 2.5Gbps 2.5Gbps 3Gbps七层吞吐200Mbps 250Mbps 250Mbps 350Mbps 450Mbps并发连接数800,000 800,000 800,000 800,000 1,200,000网络接口3GE 4GE 6GE 4GE 6GE安装空间桌面式1U 1U 1U 1U电源单电源单电源单电源单电源单电源产品型号AF-1000-L4470AF-1000-L4473 AF-1000-L4475 AF-1000-L4478AF-1000-L4478P AF-1000-L4570三层吞吐 3.5Gbps4Gbps 4Gbps 5.5Gbps 5.5Gbps7Gbps七层吞吐550Mbps600Mbps 650Mbps 800Mbps800Mbps1Gbps并发连接数1,800,0001,800,000 1,800,000 2,000,0002,000,0002,000,000网络接口4GE+2SFP10GE 4GE+4SFP 6GE6GE4GE+2SFP 安装空间1U1U 1U 1U1U1U 电源单电源单电源单电源单电源单电源单电源产品型号AF-1000-L4670AF-1000-F440AF-1000-FA40AF-1000-G640AF-1000-G680AF-2000-H642三层吞吐8Gbps8Gbps10Gbps10Gbps14Gbps16 Gbps七层吞吐 1.6Gbps2Gbps2Gbps3Gbps4Gbps 4 Gbps并发连接数2,000,0002,000,0002,200,0002,200,0002,500,0002,500,0006GE+4SFP 网络接口8GE4GE+4SFP 10GE+4SFP 6GE+4SFP 6GE+8SFP+2*10G SFP+ 安装空间1U2U2U2U2U2U 电源单电源单电源冗余电源冗余电源冗余电源冗余电源产品型号AF-2000-H644 AF-2000-I482 AF-2000-I484AF-2000-J444AF-2000-J448三层吞吐18Gbps 20 Gbps 25 Gbps40Gbps80Gbps七层吞吐8 Gbps 12 Gbps 15 Gbps20Gbps40Gbps并发连接数4,000,000 8,000,000 8,000,00012,000,00016,000,000网络接口6GE+4SFP+4*10G SFP+4GE+8SFP+2*10G SFP+4GE+8SFP+4*10G SFP+4GE+4SFP+4*10G SFP+4GE+4SFP+8*10G SFP+安装空间2U 2U 2U2U2U 电源冗余电源冗余电源冗余电源冗余电源冗余电源产品功能列表项目具体功能部署方式支持路由、透明、旁路、单臂、虚拟网线以及混合部署模式；实时监控提供基于业务安全、用户安全两个方面的风险威胁的全面展现描述，包括漏洞风险、安全攻击事件及特定威胁的详细信息；提供并发会话数、新建会话数、接口吞吐率、应用流量实时排行等统计信息；提供设备实时CPU使用率、内存使用率、磁盘使用率、网络接口状态、设备系统状态、设备版本信息、设备规则库状态等设备资源信息；网络适应性支持ARP代理、静态ARP绑定；支持配置DNS及DNS代理；支持DHCP中继、DHCP服务器；支持SNMP v1、v2、v3，支持SNMP Trap配置；支持TCP MSS配置；支持HOSTS配置；支持静态路由、RIP v1/2、OSPFv2/v3、BGP、策略路由、多播路由、ECMP等价路由等多种路由协议；支持链路探测，端口聚合，接口联动；NAT地址转换支持IPv4／v6 NAT地址转换，支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能；支持针对源IP、目的IP和双向IP连接数控制；支持多种NAT ALG，包括DNS、FTP、H.323、SIP等DoS/DDoS 防护支持Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing攻击防护，支持SYN Flood、IPv4/v6 ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护，支持IP 地址扫描，端口扫描防护，支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测；支持内网访问控制，配置内网区域只允许指定的IP地址或IP范围对外进行访问，防止内部伪造源IP对外DoS攻击的情况；支持对信任区域主机外发的异常流量进行检测，如ICMP，UPD，SYN，DNS Flood等DDoS攻击行为；VPN支持IPSec VPN，SSL VPN，GRE，GRE over OSPF，GRE over IPSec等VPN接入方式；应用识别与控制支持对1200种以上应用、3000种以上应用动作，可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等应用；支持自定义应用; 提供基于服务/应用识别类型、网络对象/用户、端口、安全域、IP地址、服务/应用、生效时间、告警动作等进行应用访问控制策略设置；僵尸网络检测具备独立的僵尸网络识别库，特征库总数在40万条以上，支持手动或自动更新；内置恶意URL链接库；支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；支持对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，并下发威胁行为分析报告；支持通过云端的大数据分析平台，发现和展示整个僵尸网络的构成和分布，定位僵尸网络控制服务器的地址；漏洞防护漏洞防护规则特征数量在7000条以上，支持手动或自动更新；支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP、POP3、RDP、Rlogin、SMB、Telne、Weblogic、VNC）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能；支持防护常见网络协议（SSH、FTP、RDP、VNC、Netbios）和数据库（MySQL、Oracle、MSSQL）的弱密码扫描功能；支持同防火墙访问控制规则进行联动，可以针对检测到的攻击源IP进行联动封锁；可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则；Web攻击防护具备独立的WEB应用防护识别库，特征总数在3000条以上，支持手动或自动更新；支持SQL注入、XSS攻击、网页木马、网站扫描、WEBSHELL、跨站请求伪造、系统命令注入、文件包含攻击、目录遍历攻击、信息泄漏攻击、WEB整站系统漏洞等Web应用攻击防护；支持CC攻击、CSRF 攻击、COOKIE攻击等攻击防护；支持HTTP 1.0/1.1，HTTPS协议的安全威胁检测；支持服务器资产自动识别；支持Web漏洞扫描功能，可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；支持对网站黑链进行检测；支持Windows和Linux系统下网页防篡改功能；支持叠加云端安全服务实现对设备的托管，由云端安全专家对设备进行日志分析和策略配置调整，并按月输出运营月报。

国内下一代防火墙第一品牌
深信服下一代防火墙（Next-GenerationApplicationFirewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

区别于传统的网络层防火墙，NGAF具备L2-L7层的协议的理解能力。

不仅能够实现网络层访问控制的功能，且能够对应用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。

区别于传统DPI技术的入侵防御系统，深信服NGAF具备深入应用内容的威胁分析能力，具备双向的内容检测能力为用户提供完整的应用层安全防护功能。

同样都能防护web攻击，与web应用防火墙关注web应用程序安全的设计理念不同，深信服下一代防火墙NGAF 关注web系统在对外发布的过程中各个层面的安全问题，为对外发布系统打造坚实的防御体系。

深信服AF设备配置
深信服防⽕墙AF配置
1.深信服防⽕墙AF设备出⼚manage⼝ip地址为10.251.251.251，⾸先给⾃⼰电
脑配置同⽹段ip地址10.251.251.200，把AF设备manage⼝和笔记本⽤⽹线连起来，打开浏览器输⼊https://10.251.251.251,输⼊⽤户名：admin、密码：admin，登录WEB控制台，
2.防⽕墙⽹关部署，新建2个三层区域，分别为WAN区域和LAN区域，选择
接⼝eth1和eth2。

3.配置⽹络接⼝，wan区域eth1⼝配置公⽹ip地址，lan区域配置内⽹规划ip 地址
4.配置默认路由和去往内⽹的回包路由
5.配置源地址转换，代理内⽹⽤户上⽹，转换为出接⼝ip地址
6.防⽕墙默认拒绝所有，应⽤控制策略放通。

7.配置僵⼫⽹络，内⽹pc上⽹防护。

8.配置IPS防护内⽹客户端
9.配置流量管控，对内⽹pc带宽限制。

1、配置虚拟线路，填写真实带宽
10.配置流控，⾸先启⽤流控，内⽹⽤户p2p下载和在线影视限制50M。

深信服防火墙AF配置
1.深信服防火墙AF设备出厂manage口ip地址为10.251.251.251，首先给自己电
脑配置同网段ip地址10.251.251.200，把AF设备manage口和笔记本用网线连起来，打开浏览器输入https://10.251.251.251,输入用户名：admin、密码：admin，登录WEB控制台，
2.防火墙网关部署，新建2个三层区域，分别为WAN区域和LAN区域，选择
接口eth1和eth2。

3.配置网络接口，wan区域eth1口配置公网ip地址，lan区域配置内网规划ip
地址
4.配置默认路由和去往内网的回包路由
5.配置源地址转换，代理内网用户上网，转换为出接口ip地址
6.防火墙默认拒绝所有，应用控制策略放通。

7.配置僵尸网络，内网pc上网防护。

8.配置IPS防护内网客户端
9.配置流量管控，对内网pc带宽限制。

1、配置虚拟线路，填写真实带宽
10.配置流控，首先启用流控，内网用户p2p下载和在线影视限制50M。