深信服防火墙地址转换

设置不需要进行DOS检测的地址 设置DOS检测参数，建 议使用推荐参数。
勾选后，当设备检测到DOS攻 配置完成， 击时，将产生日志记录 点击保存
注意事项
1.设置DOS/DDOS“外网防护”时，数据包按照从上往下的顺序匹配， 当匹配到任何一个攻击行为后，便将数据包丢弃，不会再往下匹配。 如果数据包没有匹配到前面的攻击行为，则会继续往下匹配。
SANGFOR NGAF 防火墙功能介绍
培训内容
地址转换功能介绍
培训目标
了解源地址转换，目的地址转换，双向地址转换的
应用场景，掌握源地址转换，目的地址转换，双向 地址转换的设置方法。
DOS/DDOS防护功能介绍
了解DOS和DDOS功能的作用和应用场景，掌握
DOS和DDOS功能的推荐配置方法。
其它功能介绍
配置完成，点 击确定保存 点击确定，保存配置 每目的IP激活阈值：当多个攻击者发送给同一目标地址的 SYN TCP握手报文达到激活阈值时，则 启用Syn-cookie 代理。 每目的IP丢包阈值：当多个攻击者发送给同一目标地址的 SYN TCP握手报文达到丢包阈值时，后续请求被丢弃。 配置完成，点击确定保存 每源IP阈值：从一个源攻击者发送给对应区域的目标 ip集 合的SYN TCP握手报文达到阈值时，后续请求被丢弃。
点击可选择IP协议报文防护类型
点击可选择TCP协议 报文防护类型 勾选后，当检测 到有攻击时，则 阻断攻击数据包
勾选后对于检测到的 攻击进行日志记录 配置完成，点击提交
DOS/DDOS防护
内网防护配置介绍：
勾选即开启内网DOS防护
发起DOS攻击的区域 设置哪些地址允许经过防火墙， 若选择“仅允许以下IP 地址数 据包通过“，那么没有填写的 地址将直接丢弃。 选择内网环境，若内网是三层 环境，一定不能勾选第二项
大连接数，减少网络损耗。
注：连接数控制只匹配源区域。
连接数控制
配置介绍：
选择需要进 行连接数限 制的源区域 及源IP组
根据需求设定单 个IP最大并发连 接数的值
点击提交， 保存配置
DNS mapping
作用:DNS Mapping应用于内网用户通过公网域名访问内网的服务器，实现的
效果与双向地址转换规则一样。
典型应用场景：
设备路由部署在公网出口代理内网用户上网
地址转换功能介绍
目的地址转换(DNAT) ：
目的地址转换也称为反向地址转换或地址映射。目的地址转换是一种单
向的针对目标地址的地址转换，主要用于内部服务器以公网地址向外网用 户提供服务的情况。
典型应用场景：
外网用户访问服务器所在网络出口线路的公网地址时，直接访问到内部 服务器。（如WAN->LAN端口映射）
地址转换功能介绍
双向地址转换：
双向地址转换是指在一条地址转换规则中，同时包含源地址和目标地
址的转换，匹配规则的数据流将被同时转换源IP地址和目标IP地址
典型应用场景：
内网用户通过公网地址访问内网服务器（如LAN-> LAN端口映射）
源地址转换功能应用举例
需求：客户网络环境如图，AF防火墙 部署在网络出口，下接三层交换机， 内网有PC和服务器，客户要求： AF防火墙代理内网PC和服务器上网。
2.对于“基于数据包的检测”、“基于报文的检测”的规则，在开启直
通的情况下仍然检测并丢包。
3.在配置DOS/DDOS攻击防护时，目标IP建议只填写服务器所在的IP组（ 不建议填写全部IP），且每个IP组中设置不超过400个IP地址。
其它功能介绍
连接数控制
连接数控制：设置单IP的最大并发连接数。当内网使用 P2P下载等应用时，在短时间内会发送很多连接，影响网络 设备的性能，此时可以使用“连接数控制”来限制单IP的最
问题思考
1.AF设备支持哪几种地址转换功能？各用于什么场景？ 2.用户内网有三层交换机，启用DOS内网防护时，就会出现断网，日志记录的DOS
告警源MAC地址都是三层交换机的MAC地址，这时该怎么设置？
3.请简述双向地址转换与DNS Mapping的区别？

欺骗内网用户。
ARP欺骗防御
配置介绍：
勾选即开启“ARP欺骗防御”功能，设备将定时广播自己的MAC地址 设定设备广播MAC地址的时 间间隔，范围为1-1800之间
注意事项
1. 当同时做了DNS mapping和双向地址转换时，若用户端以域名访问 服务器，则DNS mapping生效；若用户端以IP访问服务器，则双向 地址转换生效。
设置，但要求客户端访问时必须使用域名去解析。
3.DNS Mapping不支持一个公网IP映射到多台内网服务器的情况。而双向地址 转换功能没有此限制。
DNS mapping
1、PC向DNS服务器请求的ip
2、dns服务器返回的ip是2.2.2.3
3、AF修改dns回复包将地址改成 192.168.1.2
4、pc直接访问192.168.1.2
3 配置如图：
4
ARP欺骗防御
ARP欺骗是一种常见的内网病毒，中病毒的电脑会不定时地向内网发
送ARP广播包，使内网机器的正常通信受到干扰和破坏，严重时会导致 整网断网。
AF设备的ARP欺骗防御通过不接受有攻击特征的ARP请求或回复来保
护设备本身的ARP缓存，实现设备对ARP欺骗的自身防御。同时，设备 将定时广播自己的MAC地址给内网用户，以防止欺骗机伪装成网关MAC
解决方案：在AF设备上做端口映射 （即目的地址转换）
目的地址转换功能应用举例
步骤一：在【网络配置】的【接口/区域】中定义好接口地址和“区域”，在【对象定义】 的【IP组】中定义好 “外网接口IP”
目的地址转换功能应用举例
公网的数据包 过来，目的地 址是设备公网 地址则进行转 换
公网访问 的端口
服务器私 网地址 服务器提供 服务的真实 端口
连接数控制：掌握连接数控制的配置方法 DNS mapping：了解DNS mapping功能的应用场景， 掌握设置方法 ARP欺骗防御：了解ARP欺骗防御功能的应用场景 和设置方法
地址转换功能介算机网络中，网络地址转换（Network Address Translation，简称 NAT）是一种在IP数据包通过路由器或防火墙时重写源IP地址/目的IP地 址的技术。 源地址转换(SNAT) ： 源地址转换即内网地址访问外网时，将发起访问的内网IP地址转换为 指定的IP地址，内网的多台主机可以通过同一个有效的公网IP地址访问外 网。
DOS/DDOS防护
外网防护配置介绍：
选择要保护的目标服务器或者服务器组 自定义名称和描述 选择DOS/DDOS攻击发起 方所在的区域 若设备在每秒单位内接口收到 源区域所有地址的ARP包超过 阈值时，则会被认为是攻击
配置完成，点击确定保存
选择需要进行 不同的数据包类型，攻击 DOS/DDOS攻击检 勾选需要进行异常报 勾选需要进 方法和设备的检测方法都 测 的数据包类型， 若设备在每秒单位内收到来 文侦测的 TCP协议报 行异常报文 不一样，可根据需求选择 并配置检测阈值， 自源区域的单个IP地址/端口 文类型。。 侦测的IP协 数据包类型。 当设备在每秒单位 扫描包个数超过阈值，则会 议报文类型 配置外网防护时，除内容里特别注明不能勾 注意：“ IP数据块分片传 内收到来自源区域 被认为是攻击 选的项外，其它均可以勾选，勾选后，请注 输防护”建议不要勾选 访问同一个目标IP 意设置好阈值，建议使用默认的阈值。 的数据包超过所设 点击可选择DOS/DDOS 置的阈值时，则会 攻击防护类型 被认为是攻击。 点击可选择数据包 攻击防护类型
解决方案：在AF设备上做源地址转换
源地址转换功能应用举例
步骤一：在【网络配置】的【接口/区域中】定义好接口地址和“区域”，在【对象定义】 的【IP组】中定义好 “内网IP组”
源地址转换功能应用举例
规则匹配次数， 可用于检测规 则是否配置正 确
目的地址转换功能应用举例
需求：客户网络环境如图，AF防火 墙部署在网络出口，内网有WEB服 务器。客户需要将WEB服务器发布 到公网，让公网所有用户都可以通 过http://2.2.2.2访问到该服务器。
与双向地址转换的区别： 1.设置DNS Mapping后，内网访问服务器的数据将不会经过防火墙设备，而是
直接访问的服务器内网IP。双向地址转换则是所有数据都会经过防火墙去访
问。所以通过DNS Mapping可以减轻防火墙压力。 2.DNS Mapping的设置方法比双向转换规则简单。不涉及区域、IP组、端口等
双向地址转换功能应用举例
将源IP转换成 出接口IP
经过目的地址转换 后，最终也是访问 内网区域
DOS/DDOS防护功能介绍
DOS/DDOS防护
DOS攻击：DOS是Denial of Service的简称，即拒绝服务，造成DOS的攻击行
为被称为DOS攻击，其目的是使计算机或网络无法提供正常的服务。
双向地址转换功能应用举例
需求：客户网络环境如图，AF防火墙部 署在网络出口，内网有WEB服务器。已 经申请了域名指向2.2.2.2， 客户需要内网所有用户都可以通过 访问WEB服务器。
解决方案：在AF设备上做双向地址转换
双向地址转换功能应用举例
步骤一：在【网络配置】的【接口/区域】中定义好接口地址和“区域”，在【对 象定义】的【IP组】中定义好 “内网IP组”和“外网接口IP”
DDOS攻击：DDOS是Distributed Denial of service ，即分布式拒绝服务攻击， 很多DOS攻击源一起攻击某台服务器或某个网络，就组成了DDOS攻击。
SANGFOR AF设备的DOS/DDOS防护功能分成“外网防护”和“内网防护”
两个部分。 外网防护：主要对目标地址做重点防御，一般用于保护内部服务器不受外网 的DOS攻击。（该外网为用户自己定义的攻击源区域，不一定非指Internet) 内网防护：主要用来防止设备自身被DOS攻击。
2.【ARP欺骗防御】中， “网关MAC广播”只会广播设备非WAN属性 接口的MAC，如果需要定期广播WAN接口的MAC地址，则需开启
“免费ARP”功能。在【系统】-【系统配置】 -【网络参数】中，
勾选“免费ARP“
动动手
某用户网拓扑如右图，AF设备路由 部署在公网出口，出口IP地址： 2.2.2.2，绑定域名为， 内网有邮件服务器，现内网PC需要 通过访问登陆邮件服务 器收发邮件，请问有哪些方法可以满 足用户的需求？分别该如何配置？