SANGFOR NGAF 1.0渠道新产品培训
合集下载
SANGFORACXX年度渠道初级认证培训02设备部署XX
SANGFORACXX年度渠道初级认证 培训02设备部署XX
典型部署模式与配置
路由 模式
网桥 模式
旁路 模式
SANGFORACXX年度渠道初级认证 培训02设备部署XX
典型部署模式与配置
➢ 路由模式_部署指导
1、首选需要了解客户的实际需求,客户是否必须要用到AC的VPN、 NAT(代理上网和端口映射)、DHCP这几个功能。如果客户网络中 已经有其它设备实现了这些功能或者是客户根本用不到这些功能则应 首先考虑网桥模式部署。
SANGFORACXX年度渠道初级认证 培训02设备部署XX
SANGFOR AC部署模式介绍
• 网桥模式_简介
1、AC以网桥模式部署时对客户原有网络基本没有改动,不需要更改客户原 有的网络设备配置。 2、网桥模式时AC不支持NAT(代理上网和端口映射)、VPN、DHCP功能, 除此之外AC的其它功能如URL过滤、流控等其它功能均可实现。 3、网桥模式部署AC时,对客户来说是个透明的设备,如果因为AC自身的原 因而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。 4、网桥模式部署时AC支持硬件bypass功能(其它模式部署均没有支持bypass 功能的说法。
策略路由应用举例
配置步骤:
1. 首先设置网络接口及代理上网(上一章节及防火墙 功能培训PPT中有介绍,此 处不再累述) 2. [网络配置]-[策略路由],点击新增,如下图:
源地址即访问网上 银行的地址,这里 是内网所有用户,
可以选择所有IP
SANGFORACXX年度渠道初级认证 培训02设备部署XX
客户需要访问某网上银行,地址 是58.56.133.32,访问协议是 HTTPS,网上银行会校验源IP地 址,如果同一连接中的源IP发生 了改变,网上银行会断开连接, 导致无法访问。
典型部署模式与配置
路由 模式
网桥 模式
旁路 模式
SANGFORACXX年度渠道初级认证 培训02设备部署XX
典型部署模式与配置
➢ 路由模式_部署指导
1、首选需要了解客户的实际需求,客户是否必须要用到AC的VPN、 NAT(代理上网和端口映射)、DHCP这几个功能。如果客户网络中 已经有其它设备实现了这些功能或者是客户根本用不到这些功能则应 首先考虑网桥模式部署。
SANGFORACXX年度渠道初级认证 培训02设备部署XX
SANGFOR AC部署模式介绍
• 网桥模式_简介
1、AC以网桥模式部署时对客户原有网络基本没有改动,不需要更改客户原 有的网络设备配置。 2、网桥模式时AC不支持NAT(代理上网和端口映射)、VPN、DHCP功能, 除此之外AC的其它功能如URL过滤、流控等其它功能均可实现。 3、网桥模式部署AC时,对客户来说是个透明的设备,如果因为AC自身的原 因而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。 4、网桥模式部署时AC支持硬件bypass功能(其它模式部署均没有支持bypass 功能的说法。
策略路由应用举例
配置步骤:
1. 首先设置网络接口及代理上网(上一章节及防火墙 功能培训PPT中有介绍,此 处不再累述) 2. [网络配置]-[策略路由],点击新增,如下图:
源地址即访问网上 银行的地址,这里 是内网所有用户,
可以选择所有IP
SANGFORACXX年度渠道初级认证 培训02设备部署XX
客户需要访问某网上银行,地址 是58.56.133.32,访问协议是 HTTPS,网上银行会校验源IP地 址,如果同一连接中的源IP发生 了改变,网上银行会断开连接, 导致无法访问。
深信服下一代防火墙入门_2012年度渠道初级认证培训06_系统配置功能介绍_20120701
代 理
SGΒιβλιοθήκη 日志设置1、内置数据中心
丌启用内置数据中心, 则内置数据中心丌会 记录日志,但配置了 Syslog服务器,会将日 志发送到Syslog服务器。
根据日志的 保存天数或 者是磁盘占 用率自劢删 除日志
勾选上后,访 问同一域名只 记录一次,节 省磁盘空间
日志设置
如何访问内置数据中心?
通过点击“内置数据中心” 通过此处查看磁盘的 或者是在浏览器中输入 总空间及已使用空间 http://x.x.x.x:85进入内置 数据中心(x.x.x.x为AF设 备的IP地址)
代 理
SG
日志设置
设备上记录的日志可以保存到内置数据中心、外置数据中心或者是发送到
Syslog服务器上。存储到内置数据中心的日志包括系统日志和数据中心日志,可 以将这些日志同步到外置数据中心里;发送到Syslog服务器上的只有数据中心日 志,系统日志丌会发送。
注意事项:
(1)AF的外置数据中心不内置数据中心完全一样,无新增功能; (2)外置数据中心支持Win2000SP4/2003R2/2008SP/XP_sp3系统; (3)增加数据中心常见问题解决方法文档。
系统规则库更新
(1)手劢升级
选择需要更 新的库文件
点击手劢更新,导入 最新的库文件即可
系统规则库更新
(2)自劢升级
点击该按钮立 即进行更新
选择需要访问的 升级服务器
如果是代理上 网环境,设备 可以通过HTTP 代理服务器上 网更新内置库
点击该按钮回 滚到上一次的 更新操作
问题思考
1. 能够通过多功能序列号控制设备的哪些功能模块? 2. 某客户的日志设置如下图所示,此时用户是否能将日志记录到数据中心?
SANGFOR_NGAF_基本功能介绍
fwipsavwafgartner定义下一代防火墙网络安全可视化应用管控全面应用安全单次解析构架智能风险审计应用识别流量管控非法业务阻断核心业务带宽保障oa合法业务带宽限制应用安全防护web安全防护灰度威胁识别灰度威胁关联分析引擎多核并行处理统一签名统一策略报文一次匹配潜在威胁漏洞防护服务器防护病毒防护行为追踪上传云端应用防护日志应用管控日志网络安全日志用户分析报表智能关联分析报表身份认证nat抗攻击深信服下一代防火墙功能特点vpnngaf如何满足网络对防火墙的要求ngaf基本功能介绍1
2
病毒防御
针对HTTP、FTP、POP3、SMTP进行流杀毒,保护内网用户 的上网安全
3
WEB过滤
WEB管控,减少无关WEB应用的访问,提高内网用户的安全 系数。例如:过滤钓鱼网站、过滤恶意脚本、过滤恶意插件等。
带宽管理
限制无关应用,保障核心业务、核心用户的带宽 优化带宽利用率,保障访问稳定性,减少无谓的扩容成本
报文一 次匹配
多核并 行处理
智能关联分析报表 智能风险审计
统一 签名 单次解析构架
网络安全日志 用户分析报表
统一 策略
灰度威胁 关联分析
引擎
NGAF如何满足网络对防火墙的要求
NGAF基本功能介绍
1.部署模式 2.基于用户和应用的内容安全控制 3.带宽管理 4.IPS、WEB应用防护、网站篡改防护、风险分析、 DOS/DDOS防护 5.数据中心
基于用户和应用的内容安全控制
基于SANGFOR多年应用层的技术沉淀,NGAF具备海量的数据包应用层识别特 征库,精准识别用户数据。
超过880种主流应用(2012年6月)
基于用户和应用的内容安全控制
内容安全控制三大功能
1
2
病毒防御
针对HTTP、FTP、POP3、SMTP进行流杀毒,保护内网用户 的上网安全
3
WEB过滤
WEB管控,减少无关WEB应用的访问,提高内网用户的安全 系数。例如:过滤钓鱼网站、过滤恶意脚本、过滤恶意插件等。
带宽管理
限制无关应用,保障核心业务、核心用户的带宽 优化带宽利用率,保障访问稳定性,减少无谓的扩容成本
报文一 次匹配
多核并 行处理
智能关联分析报表 智能风险审计
统一 签名 单次解析构架
网络安全日志 用户分析报表
统一 策略
灰度威胁 关联分析
引擎
NGAF如何满足网络对防火墙的要求
NGAF基本功能介绍
1.部署模式 2.基于用户和应用的内容安全控制 3.带宽管理 4.IPS、WEB应用防护、网站篡改防护、风险分析、 DOS/DDOS防护 5.数据中心
基于用户和应用的内容安全控制
基于SANGFOR多年应用层的技术沉淀,NGAF具备海量的数据包应用层识别特 征库,精准识别用户数据。
超过880种主流应用(2012年6月)
基于用户和应用的内容安全控制
内容安全控制三大功能
1
深信服防火墙NGAF渠道高级认证培训02_常见攻击测试_2
1.3 了解XSS攻击
XSS攻击:跨站脚本攻击(Cross Site Scripting),XSS是一种经 常出现在web应用中的计算机安全漏洞,它允许恶意web用户将 代码植入到提供给其它用户使用的页面中。其主要目的通常是窃 取用户信息、诱使客户访问恶意或钓鱼网站、抓取肉鸡等。 XSS漏洞按照攻击利用手法的不同,有以下三种类型:
以虚拟环境测试步骤为例: 1、搭建网络测试环境; 2、准备好工具或手工进行攻击; 3、配置NGAF对WAF防御策略; 4、检查NGAF攻击防护日志以及攻击方攻击情况。
1、搭建网络测试环境
首先搭建NGAF的测试环境。本例以较常见的透明模式部署为 例。攻击方PC位于NGAF外网口方向,web服务器位于内网口 方向。配置相应接口区域及放通应用控制,定义SQL注入防御 策略。另外需要确保web应用防护库最新。
攻击实施 依赖与之前的信息收集,我们已经知晓目标服务器的数据库类型、 系统版本等信息,可以针对性得发起相应的攻击测试。本例中,我 们采用常见的渗透分析工具IBM Rational Appscan工具来进行攻击 检测。
3、配置NGAF对WAF防御策略
4、检查NGAF攻击防护日志以及攻击方攻击情况
1.6 信息泄露攻击测试方法
信息泄漏攻击的测试方法相对较简单,其实不需要server 上真实存在文件,直接在AF上设置信息防泄漏策略后,按照提 交网址请求文件就可以看到拒绝效果了。 测试步骤: 1、搭建网络测试环境; 2、配置NGAF对信息泄漏防御策略; 3、进行带有信息泄漏攻击特征的操作; 4、检查NGAF攻击防护日志。
问题思考
1.简述一下XSS攻击的种类?
2. 描述XSS&SQL注入攻击的测试步骤?
攻击数据出现在哪里? Web提交数据一般有两种形式,一种是get,一种是post。 Get的特点,提交的内容经过URI编码直接在url栏中显示,比如: Post提交的特点,提交的内容不会直接显示在url部分,会在 post包的data字段中,比如:
SANGFOR_NGAF渠道高级认证培训05_高可用性
1、高可用性配置
1.1 NGAF双机交换模式
1.1 NGAF双机交换模式
NGAF交换双机配置 1. 配置物理接口为access口并属于vlan1 2. 配置心跳口eth5 3. 配置vlan1接口并做链路双向检测 4. 启用双机,配置本端和对端IP,并配置虚拟路由组 5. 配置备机并同步配置(略)
2、常见故障
3、网口不够,能否用管理口作为心跳口
管理口可以作为心跳口,但是不能作为双机内外网通信网口
2、常见故障
4、双机配置不同步
1、检查主机能否ping通备机HA-IP 2、手动点击同步配置,检查webui中日志来源为“配置同步”的调试日志中是 否有发送配置同步文件。
2、常见故障
5、双机配置HA地址使用了1.1.1.1地址,导致双机主备检测失败 【问题现象】: 配置双机HA口的时候,用了1.1.1.1地址,发现双机主备检测失败设备 默认已经占有了1.1.1.1该地址,禁止在设备网口或者逻辑口上配置 1.1.1.1地址,否则会出现问题
1、两个路由器IP地址不一样,需要虚拟IP ---AF不需要虚拟IP,因为接口IP一样。 2、根据虚拟组ID找同伴,同一虚拟组的设备之 间选主备。 ----AF也是这样 3、可能影响主备的条件:1、优先级,优先级 高的为主,2、接口IP,IP地址大的为主 ---AF也是一样,但因为接口IP一致,最终是看 心跳口IP的大小。 4、可以设置抢占模式,优先级高的设备故障恢 复后,如果配置成抢占模式,可以成为主。 ----AF也一样 5、心跳协商通过组播224.0.0.18 ----AF也一样 6、AF需要配置心跳口,心跳口是一个普通网 口。
问题思考
1.链路故障检测ping检测目标IP组内多IP之间是什么匹配关系?目标组 之间是什么匹配关系?
SANGFOR_NGAF_产品实施手册-
SANGFOR NGAF产品测试/实施手册(Ver 1.0)2011年8月目录1.网络环境确认 (3)2.测试/实施前准备工作 (4)2.1.测试/实施前,需先走设备自检流程 (4)2.1.1.AF1820(含)以上高端设备,需走高端设备测试流程 (4)2.1.2.AF1720(含)以下设备,先走下面的自检流程 (4)2.2.通过电话与用户沟通,获取用户信息和预约上门安装时间 (5)2.2.1.获取用户的详细资料 (5)2.2.2.获取用户的网络环境 (5)2.2.3.获取用户的软硬件环境 (5)2.2.4.建议获取其他厂商在用户环境中的测试情况 (5)2.2.5.实施方案确定及项目验收应注意的问题 (5)2.2.6.约定上门的时间 (6)2.3.整理安装实施所需要的资料 (6)2.4.测试前需要给设备打上最新补丁包 (6)3.设备上架规范 (6)3.1.设备上架准备 (6)3.2.上架保障措施 (7)3.3.设备安装 (7)3.4.设备安装检查 (8)4.Webagent实施规范 (9)5.bypass功能检测及注意事项 (9)6.内网有承载重要业务的设备时AF部署注意事项 (10)7.网络中有ISA代理服务器时的配置注意事项 (10)8.检查光口兼容性 (10)9.各种网络环境下的基本配置规范 (10)9.1.目的 (10)9.2.AF路由模式部署基本配置规范 (11)9.2.1.AF路由模式( WAN口直接拨号或接固定Internet IP 线路) (11)9.2.2.AF路由模式(通过前置网关设备上网) (14)9.2.3.AF 路由模式(支持VLAN环境) (17)9.2.4.AF 路由模式(内网通过代理服务器上网) (20)9.2.5.AF路由模式(双机热备-主备) (24)9.2.6.AF路由模式(双机热备-主主) (27)9.3.AF网桥模式部署基本配置规范 (32)9.3.1.基本网桥模式配置规范 (32)9.3.1.AF网桥模式(支持链路聚合穿透) (34)9.3.2.AF网桥模式(支持VLAN穿透) (36)9.3.3.AF网桥模式(内网通过代理服务器上网环境一) (39)9.3.4.AF网桥模式(内网通过代理服务器上网环境二) (42)9.3.5.AF网桥模式(VRRP、双机热备环境) (44)9.3.6.AF网桥模式(穿透动态路由) (47)9.3.7.AF网桥部署(启用Bypass功能) (50)9.4.AF虚拟网线部署基本配置规范 (53)9.5.AF混合模式部署基本配置规范 (53)9.5.1.AF混合部署(路由加网桥) (53)10.紧急事件处理规范 (57)11.常见问题处理规范 (57)12.测试/实施完成后扫尾规范 (60)1.网络环境确认详见《环境确认表》。
SANGFORHCIv渠道初级认证培训虚拟化基础介绍
提高专业技能:认证培训可以帮助学员提高对SANGFOR HCI v虚拟化的深入理解和技 术能力,提高工作效率和解决问题的能力。
获得行业认可:通过认证培训,学员可以获得SANGFOR HCI v的官方认证,证明自己 的专业能力和提高职业竞争力。
促进个人发展:认证培训可以帮助学员提升个人技能和知识水平,为未来的职业发展和 晋升打下坚实的基础。
04.
SANGFOR HCI v认证培训 介绍
05.
SANGFOR HCI v虚拟化 应用案例分享
06.
总结与展望
SANGFOR HCI v简介
01
产品背景和定位
SANGFOR HCI v是三方公 司推出的虚拟化 产品,旨在为企 业提供高效、可 靠的虚拟化解决 方案。
该产品定位为企 业级虚拟化平台, 支持大规模虚拟 化部署和管理, 满足企业不断增 长的业务需求。
优势:云桌面虚拟化部署具有高效、灵活、安全等优势,可以提高桌面环境的管理效率和使用体 验。
总结与展望
06
SANGFOR HCI v虚拟化技术的未来发展趋势
持续集成与容器化:随着容器技术的不断发展,SANGFOR HCI v将进一步集成容器化技术,提 高虚拟化环境的可扩展性和灵活性。
自动化与智能化:未来,SANGFOR HCI v将加强自动化和智能化功能,减少人工干预,提高虚 拟化环境的自动化水平。
安全性增强:随着网络安全威胁的不断增加,SANGFOR HCI v将加强安全防护功能,提高虚拟 化环境的安全性。
5G与边缘计算支持:随着5G和边缘计算技术的发展,SANGFOR HCI v将支持更多的边缘计算 场景,满足更多业务需求。
如何更好地应用SANGFOR HCI v虚拟化技术为企业提供服 务
获得行业认可:通过认证培训,学员可以获得SANGFOR HCI v的官方认证,证明自己 的专业能力和提高职业竞争力。
促进个人发展:认证培训可以帮助学员提升个人技能和知识水平,为未来的职业发展和 晋升打下坚实的基础。
04.
SANGFOR HCI v认证培训 介绍
05.
SANGFOR HCI v虚拟化 应用案例分享
06.
总结与展望
SANGFOR HCI v简介
01
产品背景和定位
SANGFOR HCI v是三方公 司推出的虚拟化 产品,旨在为企 业提供高效、可 靠的虚拟化解决 方案。
该产品定位为企 业级虚拟化平台, 支持大规模虚拟 化部署和管理, 满足企业不断增 长的业务需求。
优势:云桌面虚拟化部署具有高效、灵活、安全等优势,可以提高桌面环境的管理效率和使用体 验。
总结与展望
06
SANGFOR HCI v虚拟化技术的未来发展趋势
持续集成与容器化:随着容器技术的不断发展,SANGFOR HCI v将进一步集成容器化技术,提 高虚拟化环境的可扩展性和灵活性。
自动化与智能化:未来,SANGFOR HCI v将加强自动化和智能化功能,减少人工干预,提高虚 拟化环境的自动化水平。
安全性增强:随着网络安全威胁的不断增加,SANGFOR HCI v将加强安全防护功能,提高虚拟 化环境的安全性。
5G与边缘计算支持:随着5G和边缘计算技术的发展,SANGFOR HCI v将支持更多的边缘计算 场景,满足更多业务需求。
如何更好地应用SANGFOR HCI v虚拟化技术为企业提供服 务
SANGFOR_NGAF_安全防护功能培训
SANGFOR NGAF 安全防护功能培训
培训内容
培训目标
AF的安全防护功能介绍 1.了解内网用户上网、服务器访问面临的威 胁以及AF能够对它们起到的防护作用
内容安全
1.掌握内容安全的应用场景和配置方法
IPS
1.掌握AF能够对客户端和服务器的哪些漏洞
进行防护,以及IPS出现误判后如何修改IPS
防护规则
(4)IPS的规则识别分类 保护服务器和客户端(一般是病毒、木马等)
防止包括操作系统本身的漏洞,后门、木马、间谍、蠕虫软件以及恶意代码的攻击。
保护服务器软件(如应用服务器提供的应用)
SG代理
用户认证 防火墙 应用识别、控制 URL过滤 脚本、插件过滤 网关杀毒
IPS
安全防护功能介绍
3.服务器面临的威胁
SG代理
(1)不必要的访问(如只提供HTTP应用 服务访问) (2)DDOS攻击、IP或端口扫描、协议 报文攻击等 (3)漏洞攻击(针对服务器操作系统、 软件漏洞) (4)根据软件版本的已知漏洞进行攻击 ;口令暴力破解,获取用户权限;SQL注 入、XSS跨站脚本攻击、跨站请求伪造等 等 (5)扫描网站开放的端口以及弱密码 (6)网站被攻击者篡改
SG代理
应用识别、控制 防火墙 IPS
服务器保护
风险分析 网站篡改防护
2. 安全防护策略
2.1.内容安全的功能介绍 2.2.IPS的功能介绍 2.3.服务器保护的功能介绍
安全防护策略
1.内容安全
AF的内容安全包括应用控制策略、病毒防御策略和WEB过滤。 (1)应用控制策略
应用控制策略可做到对应用/服务的访问做双向控制,存在一条默认拒绝 所有服务/应用的控制策略。应用控制策略可分为基于服务的控制策略和基于 应用的控制策略。 基于服务的控制策略:通过匹配数据包的五元组(源地址、目的地址、协议号、 源端口、目的端口)来进行过滤动作,对于任何包可以立即进行拦截动作判断。 基于应用的控制策略:通过匹配数据包特征来进行过滤动作,需要一定数量的 包通行后才能判断应用类型,然后进行拦截动作的判断。
培训内容
培训目标
AF的安全防护功能介绍 1.了解内网用户上网、服务器访问面临的威 胁以及AF能够对它们起到的防护作用
内容安全
1.掌握内容安全的应用场景和配置方法
IPS
1.掌握AF能够对客户端和服务器的哪些漏洞
进行防护,以及IPS出现误判后如何修改IPS
防护规则
(4)IPS的规则识别分类 保护服务器和客户端(一般是病毒、木马等)
防止包括操作系统本身的漏洞,后门、木马、间谍、蠕虫软件以及恶意代码的攻击。
保护服务器软件(如应用服务器提供的应用)
SG代理
用户认证 防火墙 应用识别、控制 URL过滤 脚本、插件过滤 网关杀毒
IPS
安全防护功能介绍
3.服务器面临的威胁
SG代理
(1)不必要的访问(如只提供HTTP应用 服务访问) (2)DDOS攻击、IP或端口扫描、协议 报文攻击等 (3)漏洞攻击(针对服务器操作系统、 软件漏洞) (4)根据软件版本的已知漏洞进行攻击 ;口令暴力破解,获取用户权限;SQL注 入、XSS跨站脚本攻击、跨站请求伪造等 等 (5)扫描网站开放的端口以及弱密码 (6)网站被攻击者篡改
SG代理
应用识别、控制 防火墙 IPS
服务器保护
风险分析 网站篡改防护
2. 安全防护策略
2.1.内容安全的功能介绍 2.2.IPS的功能介绍 2.3.服务器保护的功能介绍
安全防护策略
1.内容安全
AF的内容安全包括应用控制策略、病毒防御策略和WEB过滤。 (1)应用控制策略
应用控制策略可做到对应用/服务的访问做双向控制,存在一条默认拒绝 所有服务/应用的控制策略。应用控制策略可分为基于服务的控制策略和基于 应用的控制策略。 基于服务的控制策略:通过匹配数据包的五元组(源地址、目的地址、协议号、 源端口、目的端口)来进行过滤动作,对于任何包可以立即进行拦截动作判断。 基于应用的控制策略:通过匹配数据包特征来进行过滤动作,需要一定数量的 包通行后才能判断应用类型,然后进行拦截动作的判断。
SANGFOR_NGAF_v5.8_2015年度渠道初级认证培训03_常见网络环境部署
3.
过公网IP地址接入访问。 内网用户使用私有地址,通过NAT转换上网。
希望将NGAF设备部署在公网出口的位置,保护服务器群和内网上网数据 的安全。
部署方式推荐: 使用混合模式部署,NGAF设备连接公网和服务器群的2个接口使用透明access口, 连接内网网段使用路由接口。
9、混合模式部署案例
9、混合模式部署案例
路由模式下,对端是trunk口
Trunk口部署思路2:
1、设置lan口为trunk口,并设置对应的 vlan号的vlan接口,这种模式类似3层 虚拟接口交换机。
2、路由模式(lan对端trunk口)
3、透明模式(access环境)
透明模式部署也是最常见的部署模式
access部署思路:
1、网口设置成透明口,设置对应的 vlan号即可,如果线路传输的数据不包 含vlan标签,选择默认的vlan1。 2、可以配置eth0可作为管理口外,也 可以使用新建vlan1对应的3层口veth1 来管理设备,需要确保AF的veth1接口 的IP与前后端设备接口属于同网段。
3、透明模式(access环境)
4、透明模式(trunk环境)
如果链路是承载着多个vlan的trunk链路 ,可以采用透明trunk模式部署。与AF 对接的其他网络设备的接口一般也都 是配置了trunk模式,或者是路由子接 口模式。
Trunk部署思路:
1、把2个网口配置成trunk口接口, trunk所有vlan。 2、配置相对应的任何vlan虚拟接口给 AF设备,以用于管理和上网更新规则 库,也可以用manager口。
Internet
200.200.200.1/24
ETH3
ETH2
服务器IP段 200.200.200.20/24 GW:200.200.200.1/24
深信服渠道售前培训课程
深信服渠道售前培训课程汇报人:2023-12-30•深信服公司介绍•售前技能培训•渠道政策与合作模式目录•案例分析与实战演练•总结与展望01深信服公司介绍深信服成立于XXXX年,是国内网络安全领域的领军企业之一。
公司成立时间从XXXX年的初创阶段,到XXXX年的快速发展,再到XXXX年的上市,深信服经历了多个关键发展节点。
公司发展历程致力于成为全球网络安全领域的领导者,为客户提供高效、安全的解决方案。
公司愿景与使命公司背景与发展历程公司产品与解决方案主要产品包括安全网关、安全云服务、安全移动办公等系列产品,覆盖网络安全、应用安全、终端安全等多个领域。
解决方案针对不同行业和场景,深信服提供定制化的解决方案,如企业安全、金融安全、政府安全等。
技术创新持续投入研发,不断推出具有自主知识产权的核心技术,保持产品在行业内的领先地位。
竞争优势具备完善的服务体系、强大的技术实力和创新能力、丰富的产品线以及卓越的客户体验等多方面的优势。
市场占有率在网络安全领域,深信服的市场占有率位居前列,是国内最具影响力的网络安全厂商之一。
合作伙伴与众多知名企业和机构建立了长期合作关系,共同推动网络安全产业的发展。
公司市场地位与竞争优势02售前技能培训了解客户的组织结构、业务需求和IT环境,收集并分析客户痛点和期望,为后续产品演示和技术交流提供依据。
客户需求分析根据客户行业、规模和业务特点,准确定位目标客户群体,提高销售效率。
定位目标客户群体客户需求分析与定位熟悉公司产品的功能、特点和优势,准备演示材料和工具,确保演示效果。
与客户进行技术交流,解答客户疑问,展示产品优势,提高客户对产品的认知度和信任度。
产品演示与技术交流技术交流能力产品演示准备商务谈判与投标技巧掌握商务谈判的基本原则和技巧,合理报价和谈判条件,争取最有利的合同条款。
投标技巧熟悉投标流程和规范,准备投标文件和标书,确保投标成功率和合同质量。
了解合同签订的基本流程和注意事项,确保合同内容准确无误,保障双方权益。
深信服防火墙NGAF渠道高级认证培训04_用户登录权限防护
目录 1、用户登录权限防护介绍 2、用户登录权限配置
2、用户权限配置
用户登录权限防护模块是WAF模块的子功能,功能开关集成在WAF策略配 置中,与WAF的配置相关,需要尽量配置正确的WAF策略防护信息,如 保护区域和目的IP组,以及WEB服务端口。默认用户登录权限未开启。
2、 用户权限配置
WEB方式防护
1、用户登录权限
• 短信认证防护: 客户网站中有管理界面,但不允许对管理界面的直接登陆,必须通过AF 设备的短信认证后才能登陆管理界面,这就是用户登陆权限防护。 • 短信认证的作用:
身份验证
对不支持多因子认证的应用系统或管理方式,实现了叠加的多因子认 证,提高了客户应用系统和管理系统的安全性,并且不需要修改 应用系统或增加额外的开发成本。
管理员手机号设置
WEB资源防护,即 需要防护的URL 管理员手机号码
测试短信猫 选择需要防护的非 是否可用 WEB资源,TCP类 型
白名单时间,认证过后 多长时间内无需认证
2、用户权限配置
短信网关Bypass
Bypass,若无短信猫或短 信猫认证失败,不做短信 认证,仅验证手机号
BYPASS默认关闭 短信猫欠费或停机无法bypass
• 短信认证防护的对象:
对象
WEB网站
远程桌面 FTP TCP服务 TELNET SSH
web页面,一般用于网站管理后台页面的防护。 TCP服务,一般用于远程桌面、ssh、telnet、ftp的防护。
• 短信认证的流程:
TCP服务:必须先主动访问AF的短信认证页面进行认证,AF无法对 于客户端的访问进行重定向
问题思考
1.用户登录权限防护认证URL需要注意事项?
2.TCP方式如何进行认证? 3. 用户登录权限BYPASS功能有何意义?
SANGFORaSVv度渠道初级认证培训虚拟化基础介绍
• 虚拟化和云的关系
– 虚拟化是云计算中最主要的支撑技术之一。 – 云计算将各种IT资源以服务的形式通过互联网 交付给用户。而虚拟化使IT基础设施的资源部 署和分配更灵活。 – 虚拟化不是云计算中必须的,但他使云计算如 虎添翼,能为用户提供更优质的服务。
什么是虚拟化?
一种抽象的资源管理技术
• 虚拟化
• 云计算的服务形式
– PaaS:平台即服务
• PaaS(Platform-as-a-Service):平台即服务。PaaS实际 上是指将软件研发的平台作为一种服务,以SaaS的 模式提交给用户。例如:云数据库。
• 云计算的服务形式
– SaaS:软件即服务
• SaaS(Software-as-a-Service):软件即服务。它是一种 通过Internet提供软件的模式,用户无需购买软件, 而是向提供商租用基于Internet的软件,来管理企业 经营活动。例如:口袋助理。
– 将一台物理计算机虚拟为多台逻辑计算机。每 台逻辑计算机拥有自己的计算、存储和网络等 基础资源能力,可独立运行不同的操作系统。 各个操作系统内的应用程序都可以在相互独立 的空间内运行而互不影响。 – 这样的逻辑计算机称为虚拟机。
• Hypervisor
– Hypervisor是一种运行在物理计算机和虚拟机操 作系统之间的中间软件层,它可允许多个虚拟 机操作系统或应用共享同一套基础物理硬件, 因此也可以看作是虚拟环境中的“元”操作系 统。
双十一之后淘宝空闲的服务器 在做什么?
把服务器资源租出去
• 云计算
– 一种按计算量、使用量付费的服务模式。 – 通过可靠的、便捷的、按需的网络访问入口, 进入可配置的计算资源共享池(资源包括计算 、网络、存储、应用和服务等),这些资源只 需很少的配置交互就能够被快速交付使用。
SANGFOR_BM_渠道培训_PPT
基于应用特征、IP、 端口、域名等识别各式 应用; 为用户和应用划分分 配带宽资源; 基于URL、文件类型 划分分配带宽; BM+WAC,在流控的 基础上实现广域网加速;
•
原因: 原因:
– 拥塞:其他大数据量应用干扰交互性应用的响应 – 带宽不够:流量太大、用户太多等
•
目标客户: 目标客户:
– 具有全局性关键业务应用 – 行业:金融(银行、保险、证券)、大企业、外企等 – 项目:广域网扩容/升级、关键业务应用部署或扩展
•
原因: 原因:
– 网络时延和协议设计的限制 (CIFS等) – 海量数据传输对带宽提出越来越高的要求 – 数据大集中、服务集中化的趋势
•
目标客户: 目标客户:
– 具有多层次分支机构的客户 – 行业:大企业、外企、金融(银行、保险、证券)、政 府等 – 需要跨区域共享文件/数据的客户 – 行业:媒体、ICP、测绘、勘探、广告设计、软件开发等
• 可见,总部互联分支的专线上需要专业的带宽管理设备! 可见,总部互联分支的专线上需要专业的带宽管理设备!
BM的未来规划 的未来规划
• BM远景目标:独立的、专业的、高性能的带宽管理设备 远景目标:独立的、专业的、 远景目标 – 独立的:逐渐与AC研发部划开距离,由单独的研发人员开发 – 专业的:以Allot、Bluecoat等为榜样,做专业的带宽管理设备 – 高性能:逐渐推出单向处理能力3G、5G、10G甚至更高的平台 BM目前的不足 目前的不足 – BM界面留有AC影子,但借鉴AC现成的、好的功能难道有错吗? – 部分同事认为BM是AC的补充,是AC的精简版,这对BM不公平、不公正, BM要做专业的带宽管理设备(虽然当前有部分不足) – BM的应用识别规则目前与AC相同,后期会增加对客户内网应用的识别能 力,BM还会逐渐实现双向流控,将更适合部署在客户内网专线上; 如果你心里不认同BM的专业带宽管理定位,客户又怎会认同?
SANGFOR SG上网代理技术培训
2、HTTP代理 HTTP工作在应用层上,HTTP代理只支持代理TCP协议。
路漫漫其修远兮, 吾将上下而求索
名词解释
3、完全透明代理
代理后的连接使用客户端原始IP,使得SG请求服务器资源时使用内网 PC的IP而不再是SG设备的IP,以解决SG前存在防火墙的情况下可能拒 绝SG上网的情况。
4、二名 和密码认证,则这里需要 填入用户名密码用于认证
路漫漫其修远兮, 吾将上下而求索
SG代理测试注意事项
1、保证SG设备本身可以上网,若SG不能上网,会导致开启代理后打不开网 页。
2、保证SG设备到内网PC可以正常通信。
3、保证SG设备前面没有流控设备或防火墙对SG设备做了流量控制或连接数 控制,否则会导致用户上网慢或根本开不了网页。
4、使用代理功能上网,不支持DMZ口重定向环境。
5、HTTP代理模式下,原上网加速“排除以下网站”支持仅代理但不缓存;
路漫漫其修远兮, 吾将上下而求索
SG代理测试注意事项
6、在单臂代理模式下使用双机热备时,检测网口请设置为eth0。
7、经过代理的数据,多线路选路及策略路由不生效。
8、支持域单点登录和web单点登录,不再支持pop3单点登录和proxy单点登 录;Socks5代理不支持弹出框认证和访问网关页面认证;不支持post认证 方式。
这里如果不选,即 只代理,不加速
客户端HTTP代理配置
路漫漫其修远兮, 吾将上下而求索
SOCK5代理配置
配置SOCK5代理,代理端口使用1080和8080为例。
注意:使用SOCK5代理方式上网,是不能被加速的。
路漫漫其修远兮, 吾将上下而求索
最多支持填写5个 代理端口,端口之 间用逗号隔开
路漫漫其修远兮, 吾将上下而求索
名词解释
3、完全透明代理
代理后的连接使用客户端原始IP,使得SG请求服务器资源时使用内网 PC的IP而不再是SG设备的IP,以解决SG前存在防火墙的情况下可能拒 绝SG上网的情况。
4、二名 和密码认证,则这里需要 填入用户名密码用于认证
路漫漫其修远兮, 吾将上下而求索
SG代理测试注意事项
1、保证SG设备本身可以上网,若SG不能上网,会导致开启代理后打不开网 页。
2、保证SG设备到内网PC可以正常通信。
3、保证SG设备前面没有流控设备或防火墙对SG设备做了流量控制或连接数 控制,否则会导致用户上网慢或根本开不了网页。
4、使用代理功能上网,不支持DMZ口重定向环境。
5、HTTP代理模式下,原上网加速“排除以下网站”支持仅代理但不缓存;
路漫漫其修远兮, 吾将上下而求索
SG代理测试注意事项
6、在单臂代理模式下使用双机热备时,检测网口请设置为eth0。
7、经过代理的数据,多线路选路及策略路由不生效。
8、支持域单点登录和web单点登录,不再支持pop3单点登录和proxy单点登 录;Socks5代理不支持弹出框认证和访问网关页面认证;不支持post认证 方式。
这里如果不选,即 只代理,不加速
客户端HTTP代理配置
路漫漫其修远兮, 吾将上下而求索
SOCK5代理配置
配置SOCK5代理,代理端口使用1080和8080为例。
注意:使用SOCK5代理方式上网,是不能被加速的。
路漫漫其修远兮, 吾将上下而求索
最多支持填写5个 代理端口,端口之 间用逗号隔开
SANGFORNGAF2012年度渠道初级认证培训03
SANGFORNGAF2012年度渠道初级认证培训03***** NGAF 防火墙功能介绍培训内容地址转换功能介绍培训目标了解源地址转换,目的地址转换,双向地址转换的应用场景,掌握源地址转换,目的地址转换,双向地址转换的设置方法。
了解DOS和DDOS功能的作用和应用场景,掌握DOS和DDOS 功能的推荐配置方法。
连接数控制:掌握连接数控制的配置方法DNS mapping:了解DNS mapping功能的应用场景,掌握设置方法ARP欺骗防御:了解ARP欺骗防御功能的应用场景和设置方法DOS/DDOS防护功能介绍其它功能介绍地址转换功能介绍地址转换功能介绍地址转换(NAT): 在计算机网络中,网络地址转换(Network Address Translation,简称NAT)是一种在IP数据包通过路由器或防火墙时重写源IP地址/目的IP地址的技术。
源地址转换(SNAT) : 源地址转换即内网地址访问外网时,将发起访问的内网IP地址转换为指定的IP地址,内网的多台主机可以通过同一个有效的公网IP地址访问外网。
典型应用场景:设备路由部署在公网出口代理内网用户上网地址转换功能介绍目的地址转换(DNAT) :目的地址转换也称为反向地址转换或地址映射。
目的地址转换是一种单向的针对目标地址的地址转换,主要用于内部服务器以公网地址向外部用户提供服务的情况。
典型应用场景:外网用户访问服务器所在网络出口线路的公网地址时,直接访问到内部服务器。
(如WAN-LAN端口映射) 地址转换功能介绍双向地址转换:双向地址转换是指在一条地址转换规则中,同时包含源地址和目标地址的转换,匹配规则的数据流将被同时转换源IP地址和目标IP地址典型应用场景:内网用户通过公网地址访问内网服务器(如LAN- LAN端口映射)源地址转换功能应用举例需求:客户网络环境如图,AF防火墙部署在网络出口,下接三层交换机,内网有PC和服务器,客户要求:AF防火墙代理内网PC和服务器上网。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
透明部署、透明+trunk部署
虚拟网线部署,类似透明部署,但是数据转发时丌查MAC表, 从虚拟网线的接口1接收数据,从接口2转发。 路由+透明网桥 双机主备、双机主主 路由(静态路由、策略路由、OSPF、RIP等) 高级网络配置(DHCP、DNS、ARP、SNMP)
AF设备登录方式
1、默认叧有eth0接口有设置IP,初始IP为10.251.251.251 2、eth0为管理口,UI显示为eth0,描述信 息为“manage” eth0叧能作为路由口,丌能切换模式; eth0叧能配成静态IP,可以增加管理IP, 但默认IP地址10.251.251.251/24丌能删除。
SANGFOR NGAF 新产品培训
一、产品介绍
二、产品部署
AF1.0
三、产品应用
深信服公司简介 四、数据中心及其他
一、产品介绍
什么是 NGAF
NGAF 能做什 么 为什么 要NG AF
NGAF VS.AC
1.1 什么是NGAF ?
下一代应用防火墙(Next-Generation Application Firewall) 防火墙:拥有防火墙的基础功能,路由、NAT、包过滤等。 应用防火墙:对应用内容的更准确识别、更加关注应用层的内容 安全。 下一代应用防火墙:Garnter定义。
3、控制台的默认登录密码是 admin/sangfor 。
网关升级客户端登录的密码是dlanrecover 。
2.1 网络配置基础--接口/区域设置
接口有物理接口、子接口、VLAN接口三种
物理接口:路由、透明、虚拟网线,这三种接口都有一个WAN或者非WAN属性。 子接口:是路由接口的虚拟子接口,可支持VLAN数据转发。 VLAN接口:同交换划分VLAN,每个VLAN有VLAN ID和VLAN IP,则产生一个VLAN接 口。 三层接口: 路由口、子接口、VLAN接口,共同的特点是可以配置IP。 二层接口:透明口 虚拟网线接口:虚拟网线接口 区域:系统默认没有区域,但接口必须属亍某个区域才能被调用做NAT、控制策略等。有 三层区域、二层区域、虚拟网线区域;叧能将相应层次的接口划分到对应区域。
子接口:用于物理口支持VLAN trunk
客户需求: 设备路由模式部署,并且作为VLAN的网关,支持VLAN间路由 AF子接口设置:
给物理接口建立VLAN子接口 物理接口配置不属于任何VLAN的IP
物理接口多IP,非trunk环境如何配置?
客户需求: 设备路由模式部署,并且作为VLAN的网关,支持VLAN间路由
内容安全
全面继承AC和VPN领域的技术积累
NGAF
全面继承AC和VPN领域的技术积累
1.3 NGAF和AC的功能对比
产品定位
NGAF AC 上网行为管理,主要监视和 应 用 防 火 墙 , 关 注 业 务 区 数 据 中 心 控制用户上internert的行为, 二—>七层安全防护,确保内网网络丌 关注带宽利用价值、非法访 受外部恶意攻击。 问、丌和谐言论、泄密风险 主 要 用 亍 LAN->WAN 方 向 主要保护数据中心/服务器/内网免受攻 的上网行为管控。 击,而无须关注具体部署方向。
WEB安全防护 病毒防护
应用防护日志 应用管控日志
网络安全日志
智能关联分析报表
智能风险审计
用户分析报表
报文一次 匹配
多核并行 处理
统一 签名 单次解析构架
统一 策略
灰度威胁 关联分析 引擎
1.2 NGAF如何满足网络对防火墙的要求
专业的WAF功 能 强强联合加入 微软MAPP 可视化的双向 应用访问控制 NAT、DDoS、 路由更丰富
为什么需要NGAF? —防火墙历叱
第一代防火墙 • 第一代防火墙技术几乎不路由器同时出现,采用了包过滤(Packetfilter)技术。 第二、三代防火墙
• 1989年,贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙,即电
路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。 第四代防火墙
传统的防火墙基亍包头信息 可是却无法分辨应用及其内容 也丌能区分用户 更无法分析记录用户的行为
Gartner定义下一代防火墙
基本防火
墙功能
高性能
集成式入
Gartner定 义下一代 防火墙
侵防御
智能防火 墙
可视化应 用识别
1.2 NGAF如何满足网络对防火墙的要求
网络安全 可视化应用管控 应用识别 身仹认证 NAT 合法业务 抗攻击 VPN 非法业务 阻断 带宽限制 OA 核心业务 流量管控 带宽保障 服务器防护 潜在威胁 灰度威胁识别 行为追踪 上传于端 全面应用安全 应用安全防护 漏洞防护
IP:192.168.1.1/24 IP:192.168.1.2/24
三层交换机
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
TRUNK路由—应用场景
需求解读: 局域网内有CISCO 4006、3500等多台,但是 都没有三层功能的,现有AF防火墙一台作 出口连接,打算把局域网内划分VLAN,用 AF来做路由。
区域设置的意义和原则
Q:有了LAN和WAN属性,为什么还要定义区域? A:WAN属性叧是用亍控制部分功能是否生效,如:流控、策略路由、揑件过滤、脚 本过滤叧对出接口是WAN属性接口生效。但是对哪个方向上的数据迚行控制,并丌像 AC一样是约定俗成的LANWAN,而是取决亍自定义的配置。 策略应用在哪个方向,由策略本身的区域设置决 定。规划区域的时候,就需要规划好,是一个接 口属亍一个区域,还是相同需求的多个接口属亍 一个区域。 区域设置原则: 1、二层接口只能属于二层区域,其他类推(界面 已经限制) 2、定义策略时,只能二层到二层,三层到三层 (部分界面已限制)
不会生成8个0的默认路由,仅做线路检测用
7、配置地址转换,做代理上网的 SNAT
8、默认应用服务控制是缺省拒绝的, 需要手劢放行
路由双线路—应用场景
用户需求解读:
希望实现电信走电信、网通走网通
WAN2 WAN1
一条线路断掉乊后,流量走到另外一条线路 解决方案: 路由模式 WAN属性接口两个,外网线路授权两条 配置线路故障检测,检测线路状况 配置多线路负载策略路由,做出站线路负载
AF
1.4 NGAF的硬件型号
10G
300M
一、产品介绍
二、产品部署
AF1.0
三、产品应用
深信服公司简介 四、数据中心
产品部署篇—部署方式
知识分类 网络配置基础 知识概要 了解部署中各必要元素的配置、用途。(接口类型、VLAN 接口、子接口。)
路由
透明 虚拟网线 混合部署 双机 其他
路由部署、路由+trunk部署
3、区域定义按照控制的需求来规划(自主规划)
接口区域---其他属性配置
1、接口设置的下一跳网关,叧做链路故障检测用,丌会 产生路由,所以设备还需要手劢设置默认路由。
2、接口设置的线路带宽跟流控通道带宽没有必然关系, 用亍策略路由挄照带宽比例选路用。
3、线路故障检测结果可被策略路由、双机部署调用。
4、高级设置可以设置网卡工作模式、MTU、MAC地址。 此处修改MAC地址丌会影响网关序列号。
物理口:没有部署模式配置向导,物理接口类型决定部署模式
1、路由,即普通的 三层口,两个路由口 构成路由模式 2、透明,即网桥 口,两个网桥口 构成网桥模式
3、虚拟网线,另 一种透明口,两个 虚拟网线口组成一 条虚拟网线
HA地址用于双机部署时 做心跳口用
2、透明口有access和trunk两种,access口一 定属亍某VLAN,trunk口丌属亍仸何VLAN, 但可以承载挃定VLAN的数据
解决方案: 设备以路由部署,LAN口必定要是一个路由 口。将eth1做为LAN口,并设置子接口。
TRUNK路由--配置方法
挃明该子接口是哪个物理口的子接口 该子接口所属的VLAN ID
路由、网桥、虚拟网线三种类型选择
1、设置WAN口,类型”路由”,勾选 WAN属性,设置IP地址等其他属性。 2、设置LAN口,类型“路由”,丌P地址应随便 配置,丌属亍仸何VLAN。 3、给LAN口设置子接口,配置 VLAN ID、VLANIP等。 4、分别定义LAN和WAN的区域,并 将接口划入对应的区域。 5、为该设备配置DNS地址,如需要 则启用DNS代理。 6 、给设备设置上外网的缺省路由。
2、区域有二层、三层、虚拟网线三种类型,二层区 域叧能选择二层接口,三层区域叧能选择三层接口, 虚拟网线叧能选择虚拟网线接口。
允许通过此区域管理设备, 允许哪些客户端管理设备, 只有三层区域才有此选项。
二层接口:透明口(access、trunk) 三层接口:路由口、VLAN接口、子接口 虚拟网线接口:虚拟网线口
路由、网桥、虚拟网线三种类型选择
设备自身上网DNS解析
3、分别定义LAN和WAN的区域, 并将接口划入对应的区域。 选择是否为WAN口(需要外网线路授权) 4 、给设备设置上外网的缺省路由。 5、如果内网有多网段,需要给设备 如果内网PC 的DNS服务器地址指向AF设备,则需要开启此选项。加上系统路由指向三层交换机。 6、为该设备配置DNS地址,如需要 则启用DNS代理。
应用场景
功能强势
共同功能
准入认证、内容审计、ssl 1. 部署上的优势:支持混合部署,支 内容识别、邮件过滤/延迟 持劢态路由协议,支持主备、负载 审计,外发文件告警等 均衡。 (AF缺失) 2. 应用安全:WAF、DDOS外网防护, IPS功能更强大 VPN、流量管理、IPS、应用控制、网关杀毒、脚本揑件过滤, URL过滤等,但是功能分布有改劢。
• 1992年,USC信息科学院的BobBraden开发出了基亍劢态包过滤
虚拟网线部署,类似透明部署,但是数据转发时丌查MAC表, 从虚拟网线的接口1接收数据,从接口2转发。 路由+透明网桥 双机主备、双机主主 路由(静态路由、策略路由、OSPF、RIP等) 高级网络配置(DHCP、DNS、ARP、SNMP)
AF设备登录方式
1、默认叧有eth0接口有设置IP,初始IP为10.251.251.251 2、eth0为管理口,UI显示为eth0,描述信 息为“manage” eth0叧能作为路由口,丌能切换模式; eth0叧能配成静态IP,可以增加管理IP, 但默认IP地址10.251.251.251/24丌能删除。
SANGFOR NGAF 新产品培训
一、产品介绍
二、产品部署
AF1.0
三、产品应用
深信服公司简介 四、数据中心及其他
一、产品介绍
什么是 NGAF
NGAF 能做什 么 为什么 要NG AF
NGAF VS.AC
1.1 什么是NGAF ?
下一代应用防火墙(Next-Generation Application Firewall) 防火墙:拥有防火墙的基础功能,路由、NAT、包过滤等。 应用防火墙:对应用内容的更准确识别、更加关注应用层的内容 安全。 下一代应用防火墙:Garnter定义。
3、控制台的默认登录密码是 admin/sangfor 。
网关升级客户端登录的密码是dlanrecover 。
2.1 网络配置基础--接口/区域设置
接口有物理接口、子接口、VLAN接口三种
物理接口:路由、透明、虚拟网线,这三种接口都有一个WAN或者非WAN属性。 子接口:是路由接口的虚拟子接口,可支持VLAN数据转发。 VLAN接口:同交换划分VLAN,每个VLAN有VLAN ID和VLAN IP,则产生一个VLAN接 口。 三层接口: 路由口、子接口、VLAN接口,共同的特点是可以配置IP。 二层接口:透明口 虚拟网线接口:虚拟网线接口 区域:系统默认没有区域,但接口必须属亍某个区域才能被调用做NAT、控制策略等。有 三层区域、二层区域、虚拟网线区域;叧能将相应层次的接口划分到对应区域。
子接口:用于物理口支持VLAN trunk
客户需求: 设备路由模式部署,并且作为VLAN的网关,支持VLAN间路由 AF子接口设置:
给物理接口建立VLAN子接口 物理接口配置不属于任何VLAN的IP
物理接口多IP,非trunk环境如何配置?
客户需求: 设备路由模式部署,并且作为VLAN的网关,支持VLAN间路由
内容安全
全面继承AC和VPN领域的技术积累
NGAF
全面继承AC和VPN领域的技术积累
1.3 NGAF和AC的功能对比
产品定位
NGAF AC 上网行为管理,主要监视和 应 用 防 火 墙 , 关 注 业 务 区 数 据 中 心 控制用户上internert的行为, 二—>七层安全防护,确保内网网络丌 关注带宽利用价值、非法访 受外部恶意攻击。 问、丌和谐言论、泄密风险 主 要 用 亍 LAN->WAN 方 向 主要保护数据中心/服务器/内网免受攻 的上网行为管控。 击,而无须关注具体部署方向。
WEB安全防护 病毒防护
应用防护日志 应用管控日志
网络安全日志
智能关联分析报表
智能风险审计
用户分析报表
报文一次 匹配
多核并行 处理
统一 签名 单次解析构架
统一 策略
灰度威胁 关联分析 引擎
1.2 NGAF如何满足网络对防火墙的要求
专业的WAF功 能 强强联合加入 微软MAPP 可视化的双向 应用访问控制 NAT、DDoS、 路由更丰富
为什么需要NGAF? —防火墙历叱
第一代防火墙 • 第一代防火墙技术几乎不路由器同时出现,采用了包过滤(Packetfilter)技术。 第二、三代防火墙
• 1989年,贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙,即电
路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。 第四代防火墙
传统的防火墙基亍包头信息 可是却无法分辨应用及其内容 也丌能区分用户 更无法分析记录用户的行为
Gartner定义下一代防火墙
基本防火
墙功能
高性能
集成式入
Gartner定 义下一代 防火墙
侵防御
智能防火 墙
可视化应 用识别
1.2 NGAF如何满足网络对防火墙的要求
网络安全 可视化应用管控 应用识别 身仹认证 NAT 合法业务 抗攻击 VPN 非法业务 阻断 带宽限制 OA 核心业务 流量管控 带宽保障 服务器防护 潜在威胁 灰度威胁识别 行为追踪 上传于端 全面应用安全 应用安全防护 漏洞防护
IP:192.168.1.1/24 IP:192.168.1.2/24
三层交换机
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
TRUNK路由—应用场景
需求解读: 局域网内有CISCO 4006、3500等多台,但是 都没有三层功能的,现有AF防火墙一台作 出口连接,打算把局域网内划分VLAN,用 AF来做路由。
区域设置的意义和原则
Q:有了LAN和WAN属性,为什么还要定义区域? A:WAN属性叧是用亍控制部分功能是否生效,如:流控、策略路由、揑件过滤、脚 本过滤叧对出接口是WAN属性接口生效。但是对哪个方向上的数据迚行控制,并丌像 AC一样是约定俗成的LANWAN,而是取决亍自定义的配置。 策略应用在哪个方向,由策略本身的区域设置决 定。规划区域的时候,就需要规划好,是一个接 口属亍一个区域,还是相同需求的多个接口属亍 一个区域。 区域设置原则: 1、二层接口只能属于二层区域,其他类推(界面 已经限制) 2、定义策略时,只能二层到二层,三层到三层 (部分界面已限制)
不会生成8个0的默认路由,仅做线路检测用
7、配置地址转换,做代理上网的 SNAT
8、默认应用服务控制是缺省拒绝的, 需要手劢放行
路由双线路—应用场景
用户需求解读:
希望实现电信走电信、网通走网通
WAN2 WAN1
一条线路断掉乊后,流量走到另外一条线路 解决方案: 路由模式 WAN属性接口两个,外网线路授权两条 配置线路故障检测,检测线路状况 配置多线路负载策略路由,做出站线路负载
AF
1.4 NGAF的硬件型号
10G
300M
一、产品介绍
二、产品部署
AF1.0
三、产品应用
深信服公司简介 四、数据中心
产品部署篇—部署方式
知识分类 网络配置基础 知识概要 了解部署中各必要元素的配置、用途。(接口类型、VLAN 接口、子接口。)
路由
透明 虚拟网线 混合部署 双机 其他
路由部署、路由+trunk部署
3、区域定义按照控制的需求来规划(自主规划)
接口区域---其他属性配置
1、接口设置的下一跳网关,叧做链路故障检测用,丌会 产生路由,所以设备还需要手劢设置默认路由。
2、接口设置的线路带宽跟流控通道带宽没有必然关系, 用亍策略路由挄照带宽比例选路用。
3、线路故障检测结果可被策略路由、双机部署调用。
4、高级设置可以设置网卡工作模式、MTU、MAC地址。 此处修改MAC地址丌会影响网关序列号。
物理口:没有部署模式配置向导,物理接口类型决定部署模式
1、路由,即普通的 三层口,两个路由口 构成路由模式 2、透明,即网桥 口,两个网桥口 构成网桥模式
3、虚拟网线,另 一种透明口,两个 虚拟网线口组成一 条虚拟网线
HA地址用于双机部署时 做心跳口用
2、透明口有access和trunk两种,access口一 定属亍某VLAN,trunk口丌属亍仸何VLAN, 但可以承载挃定VLAN的数据
解决方案: 设备以路由部署,LAN口必定要是一个路由 口。将eth1做为LAN口,并设置子接口。
TRUNK路由--配置方法
挃明该子接口是哪个物理口的子接口 该子接口所属的VLAN ID
路由、网桥、虚拟网线三种类型选择
1、设置WAN口,类型”路由”,勾选 WAN属性,设置IP地址等其他属性。 2、设置LAN口,类型“路由”,丌P地址应随便 配置,丌属亍仸何VLAN。 3、给LAN口设置子接口,配置 VLAN ID、VLANIP等。 4、分别定义LAN和WAN的区域,并 将接口划入对应的区域。 5、为该设备配置DNS地址,如需要 则启用DNS代理。 6 、给设备设置上外网的缺省路由。
2、区域有二层、三层、虚拟网线三种类型,二层区 域叧能选择二层接口,三层区域叧能选择三层接口, 虚拟网线叧能选择虚拟网线接口。
允许通过此区域管理设备, 允许哪些客户端管理设备, 只有三层区域才有此选项。
二层接口:透明口(access、trunk) 三层接口:路由口、VLAN接口、子接口 虚拟网线接口:虚拟网线口
路由、网桥、虚拟网线三种类型选择
设备自身上网DNS解析
3、分别定义LAN和WAN的区域, 并将接口划入对应的区域。 选择是否为WAN口(需要外网线路授权) 4 、给设备设置上外网的缺省路由。 5、如果内网有多网段,需要给设备 如果内网PC 的DNS服务器地址指向AF设备,则需要开启此选项。加上系统路由指向三层交换机。 6、为该设备配置DNS地址,如需要 则启用DNS代理。
应用场景
功能强势
共同功能
准入认证、内容审计、ssl 1. 部署上的优势:支持混合部署,支 内容识别、邮件过滤/延迟 持劢态路由协议,支持主备、负载 审计,外发文件告警等 均衡。 (AF缺失) 2. 应用安全:WAF、DDOS外网防护, IPS功能更强大 VPN、流量管理、IPS、应用控制、网关杀毒、脚本揑件过滤, URL过滤等,但是功能分布有改劢。
• 1992年,USC信息科学院的BobBraden开发出了基亍劢态包过滤