赞
踩
目录
NTA网络流量分析(Network Traffic Analysis)
开启二层直通相当于二层交换机,数据直接转发、不进功能策略处理
支持OSPF双机场景下的路由同步,保证双机切换后网络快速收敛
自动下发15个区域:方便下发策略,只能引用接口不能删除此区域
Sangfor_waf的主要功能有参数注入防护、越权访问防护、上传文件检测、HTTP字段检测、敏感信息泄露防护及配置安全设置
网络
eth0只能为路由口不能更换接口模式,保留地址10.251.251.251/24不能删除
VLAN子接口:用于对接路由口且配置了VLAN trunk,子接口不支持ipv6
VLAN接口不支持IPV6
聚合口不支持ipv6
GRE接口,源接口为实际公网IP,ip地址为隧道ip
接口联动可以添加多接口,-HA口不支持联动
任何接口IP不能配置为1.1.1.0/24
支持聚合口
成对出现,不发送ARP,不查询MAC地址表,防止MAC表老化导致的CAM表混乱
支持源IP策略路由
不支持依据应用选路
不支持多线路负载
• 807支持ipv6到ipv6的NAT
• 807支持外网ipv6内网ipv4的端口映射
• NAT64为双向地址转换,即源目IP都会进行转换
• 将DNSv4查询合成为DNSv6
• 攻击日志的源目IP均为转换后的IPV4,即先进行NAT6-4再进行防护
• 无法溯源
• 不支持解决天窗
• 不支持SLAAC无状态地址自配置协议
• 不支持哈希方式端口聚合
• 不支持子接口
• 不支持UDP大包46转换
• 不支持ALG
• 只支持匹配规则,无法匹配行为类规则
• 不支持运行状态展示
• 不支持ipv6双机心跳
• 支持VLAN和聚合
eth0为manage口只能做路由接口,默认的管理IP 10.251.251.251/24无法删除
管理口不可作为监视端口
ARP代理功能即是让NGAF设备代理响应ARP请求,达到保护内网主机的目的使用ARP代理功能时,NGAF设备的连接被ARP代理服务器的接口必须是路由口,任意配置一个与其他网段不冲突的IP地址
• 255--local
• 254--main
• 253--default
• 策略路由页面生成
• 240--ipsec vpn
• 242、241-- sangfor vpn(隧道间路由)
• 245-248 sangfor vpn 多线路
• 239 -- ssl vpn
• local(0)-vpn(239、240、241)-临时表(300)-策略路由表(10000)-main表(32766)
• vpn》静态路由/直连路由》动态路由》策略路由》默认路由
AF近支持TRUNK、ACCESS透明部署,路由模式不支持
不支持开启双机热备,需配置基本信息和配置同步、双机热备
需新增2对口,1个HA,1个同步口
将除数据同步口和HA口外所有业务口添加到接口联动中
暂不支持父子链接、IP不一致场景
809仅支持单HA,存在单点故障
AF单节点不要超过单台AF性能指标一半以上
数据同步口速率不低于业务口速率
场景:TCP单向数据多次穿越AF,对二次流量进行直通
限制:中间设备有NAT场景,AF不能配置二次穿透
建议:二次穿透的入接口应部署于2层环境,如部署与3层则会丢失NAT\安全策略\路由功能
镜像口于业务口流量二次穿透场景,目的均为镜像口,源目IP分别建立一条策略
配置案例
实时漏洞分析的工作原理是:被动分析服务器回复的数据包判断是否有漏洞
开启直通策略还是会生效,只是数据包被直通功能打上不丢包的标签让数据包通过AF。所以才会有开启直通之后,数据中心还能记录日志,【运行状态】--【封锁攻击者ip】中还是能看到有拦截日志
虚拟MAC构成:vrrp mac(00-00-5E)+接口序号+vrid,比如:vrid为101,eth1口的虚拟MAC就是:00-00-5E-00-01-65,eth2口的虚拟MAC就是:00-00-5E-00-02-65,65的十进制就是101。
• a)支持通过离线导入的方式对发布的版本/定制的SSU包,以及SP包,对指定的设备进行升级
• b)支持通过在线更新的方式对BBC平台内镜像AF版本的SP包,对指定的设备进行升级(SSU包不支持在线升级BBC平台AF镜像)
• a)支持通过离线导入的方式对BBC内置版本镜像进行规则库升级
• b)支持通过BBC平台对分支端进行规则库升级
• 支持通过BBC端下发自定义IPS和WAF规则库,下发到本地后置灰显示且无法编辑
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。