深信服防火墙地址转换ppt课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
典型应用场景:
设备路由部署在公网出口代理内网用户上网
地址转换功能介绍
目的地址转换(DNAT) :
目的地址转换也称为反向地址转换或地址映射。目的地址转换是一种单向
的针对目标地址的地址转换,主要用于内部服务器以公网地址向外网用 户提供服务的情况。
典型应用场景:
外网用户访问服务器所在网络出口线路的公网地址时,直接访问到内部服 务器。(如WAN->LAN端口映射)
DOS/DDOS防护
外网防护配置介绍:
选择要保护的目标服务器或者服务器组 自定义名称和描述 选择DOS/DDOS攻击发起 方所在的区域 若设备在每秒单位内接口收到 源区域所有地址的ARP包超过 阈值时,则会被认为是攻击
配置完成,点击确定保存
选择需要进行 不同的数据包类型,攻击 DOS/DDOS攻击检 勾选需要进行异常报 勾选需要进 方法和设备的检测方法都 测 的数据包类型, 若设备在每秒单位内收到来 文侦测的 TCP协议报 行异常报文 不一样,可根据需求选择 并配置检测阈值, 自源区域的单个IP地址/端口 文类型。。 侦测的IP协 数据包类型。 当设备在每秒单位 扫描包个数超过阈值,则会 议报文类型 配置外网防护时,除内容里特别注明不能勾 注意:“ IP数据块分片传 内收到来自源区域 被认为是攻击 选的项外,其它均可以勾选,勾选后,请注 输防护”建议不要勾选 访问同一个目标IP 意设置好阈值,建议使用默认的阈值。 的数据包超过所设 点击可选择DOS/DDOS 置的阈值时,则会 攻击防护类型 被认为是攻击。 点击可选择数据包 攻击防护类型
双向地址转换功能应用举例
经过目的地 将源IP转换 址转换后, 成 最终也是访 出接口IP 问内网区域
DOS/DDOS防护功能介绍
DOS/DDOS防护
DOS攻击:DOS是Denial of Service的简称,即拒绝服务,造成DOS的攻击行
为被称为DOS攻击,其目的是使计算机或网络无法提供正常的服务。
解决方案:在AF设备上做端口映射 (即目的地址转换)
目的地址转换功能应用举例
步骤一:在【网络配置】的【接口/区域】中定义好接口地址和“区域”,在【对象定义】 的【IP组】中定义好 “外网接口IP”
目的地址转换功能应用举例
公网的数据 包过来,目 服务器提供 公网访问的 服务器私网 的地址是设 服务的真实 端口 地址 备公网地址 端口 则进行转换
配置完成,点 击确定保存 点击确定,保存配置 每目的IP激活阈值:当多个攻击者发送给同一目标地址的 SYN TCP握手报文达到激活阈值时,则 启用Syn-cookie 代理。 每目的IP丢包阈值:当多个攻击者发送给同一目标地址的 SYN TCP握手报文达到丢包阈值时,后续请求被丢弃。 配置完成,点击确定保存 每源IP阈值:从一个源攻击者发送给对应区域的目标 ip集 合的SYN TCP握手报文达到阈值时,后续请求被丢弃。
地址转换功能介绍
双向地址转换:
双向地址转换是指在一条地址转换规则中,同时包含源地址和目标地址的
转换,匹配规则的数据流将被同时转换源IP地址和目标IP地址
典型应用场景:
内网用户通过公网地址访问内网服务器(如LAN-> LAN端口映射)源地址转换功能应用举例
需求:客户网络环境如图,AF防火墙 部署在网络出口,下接三层交换机, 内网有PC和服务器,客户要求: AF防火墙代理内网PC和服务器上网。
DDOS攻击:DDOS是Distributed Denial of service ,即分布式拒绝服务攻击, 很多DOS攻击源一起攻击某台服务器或某个网络,就组成了DDOS攻击。
SANGFOR AF设备的DOS/DDOS防护功能分成“外网防护”和“内网防护”
两个部分。 外网防护:主要对目标地址做重点防御,一般用于保护内部服务器不受外网 的DOS攻击。(该外网为用户自己定义的攻击源区域,不一定非指Internet) 内网防护:主要用来防止设备自身被DOS攻击。
双向地址转换功能应用举例
需求:客户网络环境如图,AF防火墙部 署在网络出口,内网有WEB服务器。已 经申请了域名指向2.2.2.2, 客户需要内网所有用户都可以通过 访问WEB服务器。
解决方案:在AF设备上做双向地址转换
双向地址转换功能应用举例
步骤一:在【网络配置】的【接口/区域】中定义好接口地址和“区域”,在【对 象定义】的【IP组】中定义好 “内网IP组”和“外网接口IP”
深信服防火墙 地址转换
培训内容
地址转换功能介绍
培训目标
了解源地址转换,目的地址转换,双向地址转换的 应用场景,掌握源地址转换,目的地址转换,双向
地址转换的设置方法。
DOS/DDOS防护功能介绍 了解DOS和DDOS功能的作用和应用场景,掌握 DOS和DDOS功能的推荐配置方法。 其它功能介绍 连接数控制:掌握连接数控制的配置方法 DNS mapping:了解DNS mapping功能的应用场景, 掌握设置方法 ARP欺骗防御:了解ARP欺骗防御功能的应用场景 和设置方法
解决方案:在AF设备上做源地址转换
源地址转换功能应用举例
步骤一:在【网络配置】的【接口/区域中】定义好接口地址和“区域”,在【对象定义】 的【IP组】中定义好 “内网IP组”
源地址转换功能应用举例
规则匹配次 数,可用于 检测规则是 否配置正确
目的地址转换功能应用举例
需求:客户网络环境如图,AF防火 墙部署在网络出口,内网有WEB服 务器。客户需要将WEB服务器发布 到公网,让公网所有用户都可以通 过http://2.2.2.2访问到该服务器。
地址转换功能介绍
地址转换功能介绍
地址转换(NAT): 在计算机网络中,网络地址转换(Network Address Translation,简称 NAT)是一种在IP数据包通过路由器或防火墙时重写源IP地址/目的IP 地址的技术。 源地址转换(SNAT) : 源地址转换即内网地址访问外网时,将发起访问的内网IP地址转换为指 定的IP地址,内网的多台主机可以通过同一个有效的公网IP地址访问 外网。