SANGFOR NGAF 防火墙功能介绍
培训内容地址转换功能介绍
培训目标了解源地址转换,目的地址转换,双向地址转换的 应用场景,掌握源地址转换,目的地址转换,双向 地址转换的设置方法。 了解DOS和DDOS功能的作用和应用场景,掌握 DOS和DDOS功能的推荐配置方法。 连接数控制:掌握连接数控制的配置方法 DNS mapping:了解DNS mapping功能的应用场景, 掌握设置方法 ARP欺骗防御:了解ARP欺骗防御功能的应用场景 和设置方法
DOS/DDOS防护功能介绍 其它功能介绍
地址转换功能介绍
地址转换功能介绍地址转换(NAT): 在计算机网络中,网络地址转换(Network Address Translation,简称 NAT)是一种在IP数据包通过路由器或防火墙时重写源IP地址/目的IP地 址的技术。 源地址转换(SNAT) : 源地址转换即内网地址访问外网时,将发起访问的内网IP地址转换为 指定的IP地址,内网的多台主机可以通过同一个有效的公网IP地址访问外 网。 典型应用场景: 设备路由部署在公网出口代理内网用户上网
地址转换功能介绍目的地址转换(DNAT) :目的地址转换也称为反向地址转换或地址映射。目的地址转换是一种单 向的针对目标地址的地址转换,主要用于内部服务器以公网地址向外部用 户提供服务的情况。
典型应用场景:外网用户访问服务器所在网络出口线路的公网地址时,直接访问到内部 服务器。(如WAN->LAN端口映射)
地址转换功能介绍双向地址转换:双向地址转换是指在一条地址转换规则中,同时包含源地址和目标地 址的转换,匹配规则的数据流将被同时转换源IP地址和目标IP地址
典型应用场景:内网用户通过公网地址访问内网服务器(如LAN-> LAN端口映射)
源地址转换功能应用举例需求:客户网络环境如图,AF防火墙 部署在网络出口,下接三层交换机, 内网有PC和服务器,客户要求: AF防火墙代理内网PC和服务器上网。
解决方案:在AF设备上做源地址转换
源地址转换功能应用举例步骤一:在【网络配置】的【接口/区域中】定义好接口地址和“区域” ,在【对象定义】的【IP组】中定义好 “内网IP组”,该步骤的具体配置请 参考“SANGFOR NGAF 初级认证培训_基本网络环境部署.ppt“。
源地址转换功能应用举例步骤二:在【防火墙】的【地址转换】中新增“源地址转换”规则定义该条规则 的名称 点击选择 选择需要进行源 选择需要进行源地址转换的 区域 地址转换的IP组 选择需要进行源地址转换的目 区域,本案例中配置内网区 点击选择IP组 以上步骤完成,即完成了本 标区域,本案例中,目标区域 域代理上网,所以选择“内 例中代理上网的所有配
置, 选择为外网区域 网区域“。 点击选择目 在【内容安全】的【应用控 标区域 制策略】中放通相应权限, 即可实现AF设备代理内网 PC和服务器上网。 点击选择目的IP组,本案 例中保持默认“全部”。 点击可设置需要进行源地 址转换的协议和端口,本 案例保持默认即可 配置完成, 配置转换后的IP,可配置为 点击保存 出接口地址,IP段或某个IP。
目的地址转换功能应用举例需求:客户网络环境如图,AF防火 墙部署在网络出口,内网有WEB服 务器。客户需要将WEB服务器发布 到公网,让公网所有用户都可以通 过http://1.1.1.2访问到该服务器。
解决方案:在AF设备上做端口映射 (即目的地址转换)
目的地址转换功能应用举例步骤一:在【网络配置】的【接口/区域中】定义好接口地址和“区域”,在【对 象定义】的【IP组】中定义好 “外网接口IP”,该步骤的具体配置请参考 “SANGFOR NGAF 初级认证培训_基本网络环境部署.ppt“。
目的地址转换功能应用举例步骤二:在【防火墙】的【地址转换】中新增“目的地址转换”规则目的地址填写内 网服务器的IP
自定义名 称与描述
这里配置的是内网 源区域选择 服务器提供服务的 为外网区域 端口,本案例不需 以上配置完成,即完成目的地址转 要转换目的端口, 换的所有配置,在【应用控制策略】 目的IP可手动填 选择不转换即可 中放通外网区到内网区的HTTP访问 写IP或者选择IP 点击“高级设置“可设置源 权限,外网用户即可通过外网接口 组中配置的外网 IP组和源端口,本案例没做 IP直接访问内网WEB服务器。 接口IP 特殊要求,默认为所有即可 配置完成,点击保存 选择协议类型 填写外网用户访问 服务器的目的端口
双向地址转换功能应用举例需求:客户网络环境如图,AF防火墙部 署在网络出口,内网有WEB服务器。已 经申请了域名指向1.1.1.2, 客户需要内网所有用户都可以通过 访问WEB服务器。
解决方案:在AF设备上做双向地址转换
双向地址转换功能应用举例步骤一:在【网络配置】的【接口/区域中】定义好接口地址和“区域”, 在【对象定义】的【IP组】中定义好 “内网IP组”和“外网接口IP”,该步骤 的具体配置请参考“SANGFOR NGAF 初级认证培训_基本网络环境部署.ppt“ 。
双向地址转换功能应用举例步骤二:在【防火墙】的【地址转换】中新增“双向地址转换”规则自定义规则名称及描述 内网用户访问服务器的 协议类型和目的端口
点击后可设置访问服 务器时的源端口,本 案例没做特殊要求, 选择访问服务器时 保持默认全部即可 的源区域和源IP组 即服务
器转换后的地 址,本案例转换为出 以上配置完成,即完成目的地址转换的所 接口地址 有配置,在【应用控制策略】中放通内网 需要访问的服务器所在 内网服务 区到内网区的HTTP访问权限,内网用户即 的区域/接口,本案例中 器IP地址 可通过域名直接访问内网WEB服务器。 服务器在内网区 启用端口转换时才需 要配置(如将外网的 8080端口映射给服务 内网用户需要访问服 器的80端口),否则 务器时目的地址,本 选不转换即可 案例使用外网接口IP 配置完成, 点击保存
注意事项1.若配置了对内网邮件服务器的双向地址转换,不能同时开启网关杀毒。 2.在配置地址转换时,所设置的“目的IP”必须先在设备接口处定义好,否则规则不会 生效。 3.在【防火墙】配置完地址转换规则后,都需要在【内容安全】的【应用控制策略中】 放通相应的权限,访问才能生效。在放通权限时,请注意选择相应的区域,如:配置 目的地址转换时,需要放通外部用户访问服务器的权限,此时,源区域为外网区域, 目的区域是服务器所在的区域。 4.配置目的地址转换时,需先确认服务器回应公网的数据包会经过AF,若不能确认,需 先加一条SNAT,当公网访问服务器的数据从AF出去时,将公网源IP转换成AF出接口 IP。
DOS/DDOS防护功能介绍
DOS/DDOS防护DOS攻击:DOS是Denial of Service的简称,即拒绝服务,造成DOS的攻击行 为被称为DOS攻击,其目的是使计算机或网络无法提供正常的服务。 DDOS攻击:DDOS是Distributed Denial of service ,即分布式拒绝服务攻击, 很多DOS攻击源一起攻击某台服务器或某个网络,就组成了DDOS攻击。 SANGFOR AF设备的DOS/DDOS防护功能分成“外网防护”和“内网防护” 两个部分。 外网防护:主要对目标地址做重点防御,一般用于保护内部服务器不受外网 的DOS攻击。(该外网为用户自己定义的攻击源区域,不一定非指Internet) 内网防护:主要用来防止设备自身被DOS攻击。
DOS/DDOS防护外网防护配置介绍:选择要保护的目标服务器或者服务器组 自定义名称和描述 选择DOS/DDOS攻击发起 方所在的区域 若设备在每秒单位内接口收到 源区域所有地址的ARP包超过 阈值时,则会被认为是攻击
配置完成,点击确定保存
选择需要进行 不同的数据包类型,攻击 DOS/DDOS攻击检 勾选需要进行异常报 勾择需要进 方法和设备的检测方法都 测 的数据包类型, 文侦测的TCP协议报 若设备在每秒单位内收到来 行异常报文 不一样,可根据需求选择 并配置检测阈值, 文类型。。 自源区域的单个IP地址/端口 侦测的IP协 数据包类型。 当设备在每秒单位 扫描包个数超过阈值,则会 议报文
类型 配置外网防护时,除内容里特别注明不能勾 注意:“IP数据块分片传 内收到来自源区域 被认为是攻击 选的项外,其它均可以勾选,勾选后,请注 输防护”建议不要勾选 访问同一个目标IP 意设置好阈值,建议使用默认的阈值。 点击可选择DOS/DDOS 的数据包超过所设 置的阈值时,则会 攻击防护类型 被认为是攻击。 点击可选择数据包 攻击防护类型
配置完成,点 击确定保存 点击确定,保存配置每目的IP激活阈值:当多个攻击者发送给同一目标地址的SYN TCP握手报文达到 激活阈值时,则 启用Syn-cookie代理。 每目的IP丢包阈值:当多个攻击者发送给同一目标地址的SYN TCP握手报文达到 丢包阈值时,后续请求被丢弃。 每源IP阈值:从一个源攻击者发送给对应区域的目标ip集合的SYN TCP握手报文 达到阈值时,后续请求被丢弃。
点击可选择IP协议报文防护类型 点击可选择TCP协议 报文防护类型 勾选后,当检测 到有攻击时,则 阻断攻击数据包
配置完成,点击确定保存
勾选后对于检测到的 攻击进行日志记录 配置完成,点击提交
DOS/DDOS防护内网防护配置介绍:勾选即开启内网DOS防护 发起DOS攻击的区域 设置哪些地址允许经过防火墙, 若选择“仅允许以下IP 地址数 据包通过“,那么没有填写的 地址将直接丢弃。 选择内网环境,若内网是三层 环境,一定不能勾选第二项 设置不需要进行DOS检测的地址 设置DOS检测参数,建 议使用推荐参数。 勾选后,当设备检测到DOS攻 配置完成, 击时,将产生日志记录 点击保存
注意事项1.设置DOS/DDOS“外网防护”时,数据包按照从上往下的顺序匹配, 当匹配到任何一个攻击行为后,便将数据包丢弃,不会再往下匹配。 如果数据包没有匹配到前面的攻击行为,则会继续往下匹配。
2.对于“基于数据包的检测”、“基于报文的检测”的规则,在开启直 通的情况下仍然检测并丢包。
3.在配置DOS/DDOS攻击防护时,目标IP建议只填写服务器所在的IP组( 不建议填写全部IP),且每个IP组中设置不超过400个IP地址。