SANGFORNGAFv71度渠道初级认证培训04防火墙功能介绍.ppt

《SANGFORNGAFv71度渠道初级认证培训04防火墙功能介绍.ppt》由会员分享，可在线阅读，更多相关《SANGFORNGAFv71度渠道初级认证培训04防火墙功能介绍.ppt（35页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、123地址转换功能介绍DOS/DDOS防护功能介绍其它功能介绍Contents地址转换功能介绍地址转换功能介绍地址转换(NAT)： 在计算机网络中，网络地址转换（Network Address Translation，简称NAT）是一种在IP数据包通过路由器或防火墙时重写源IP地址/目的IP地址的技术。源地址转换(SNAT) ：源地址转换即内网地址访问外网时，将发起访问的内网IP地址转换为指定的IP地址，内网的多台主机可以通过同一个有效的公网IP地址访问外网。典型应用场景：设备路由部署在公网出口代理内网用户上网目的地址转换(DNAT) ：目的地址转换也称为反向地址转换或地址映射。目的地址转换是

2、一种单向的针对目标地址的地址转换，主要用于内部服务器以公网地址向外网用户提供服务的情况。典型应用场景：外网用户访问服务器所在网络出口线路的公网地址时，直接访问到内部服务器。（如WAN-LAN端口映射）地址转换功能介绍双向地址转换：双向地址转换是指在一条地址转换规则中，同时包含源地址和目标地址的转换，匹配规则的数据流将被同时转换源IP地址和目标IP地址典型应用场景：内网用户通过公网地址访问内网服务器（如LAN- LAN端口映射）地址转换功能介绍源地址转换功能应用举例需求：客户网络环境如图，NGAF防火墙部署在网络出口，下接三层交换机，内网有PC和服务器，客户要求：NGAF防火墙代理内网PC和服务

3、器上网。解决方案：在NGAF设备上做源地址转换 步骤一：在【网络配置】的【接口/区域中】定义好接口地址和“区域”，在【对象定义】的【IP组】中定义好 “内网IP组”源地址转换功能应用举例源地址转换功能应用举例规则匹配次数，可用于检测规则是否配置正确目的地址转换功能应用举例需求：客户网络环境如图，NGAF防火墙部署在网络出口，内网有WEB服务器。客户需要将WEB服务器发布到公网，让公网所有用户都可以通过http:/2.2.2.2访问到该服务器。解决方案：在NGAF设备上做端口映射（即目的地址转换）目的地址转换功能应用举例 步骤一：在【网络配置】的【接口/区域】中定义好接口地址和“区域”，在【对象

4、定义】的【IP组】中定义好 “外网接口IP”目的地址转换功能应用举例公网的数据包过来，目的地址是设备公网地址则进行转换公网访问的端口服务器私网地址服务器提供服务的真实端口双向地址转换功能应用举例需求：客户网络环境如图，NGAF防火墙部署在网络出口，内网有WEB服务器。已经申请了域名指向2.2.2.2，客户需要内网所有用户都可以通过访问WEB服务器。解决方案：在NGAF设备上做双向地址转换双向地址转换功能应用举例 步骤一：在【网络配置】的【接口/区域】中定义好接口地址和“区域”，在【对象定义】的【IP组】中定义好 “内网IP组”和“外网接口IP”双向地址转换功能应用举例经过目的地址转换后，最终也

5、是访问内网区域将源IP转换成出接口IPDOS/DDOS防护功能介绍DOS/DDOS防护DOS攻击：DOS是Denial of Service的简称，即拒绝服务，造成DOS的攻击行为被称为DOS攻击，其目的是使计算机或网络无法提供正常的服务。DDOS攻击：DDOS是Distributed Denial of service ，即分布式拒绝服务攻击，很多DOS攻击源一起攻击某台服务器或某个网络，就组成了DDOS攻击。SANGFOR NGAF设备的DOS/DDOS防护功能分成“外网防护”和“内网防护”两个部分。外网防护：主要对目标地址做重点防御，一般用于保护内部服务器不受外网的DOS攻击。（该外网为

6、用户自己定义的攻击源区域，不一定非指Internet)内网防护：主要用来防止设备自身被DOS攻击。DOS/DDOS防护外网防护配置介绍：自定义名称和描述选择DOS/DDOS攻击发起方所在的区域若设备在每秒单位内接口收到源区域所有地址的ARP包超过阈值时，则会被认为是攻击若设备在每秒单位内收到来自源区域的单个IP地址/端口扫描包个数超过阈值，则会被认为是攻击点击可选择DOS/DDOS攻击防护类型选择需要进行DOS/DDOS攻击检测 的数据包类型，并配置检测阈值，当设备在每秒单位内收到来自源区域访问同一个目标IP的数据包超过所设置的阈值时，则会被认为是攻击。每目的IP激活阈值：当多个攻击者发送给同

7、一目标地址的SYN TCP握手报文达到激活阈值时，则 启用Syn-cookie代理。每目的IP丢包阈值：当多个攻击者发送给同一目标地址的SYN TCP握手报文达到丢包阈值时，后续请求被丢弃。每源IP阈值：从一个源攻击者发送给对应区域的目标ip集合的SYN TCP握手报文达到阈值时，后续请求被丢弃。点击可选择数据包攻击防护类型不同的数据包类型，攻击方法和设备的检测方法都不一样，可根据需求选择数据包类型。注意：“IP数据块分片传输防护”建议不要勾选点击可选择IP协议报文防护类型点击可选择TCP协议报文防护类型 勾选后对于检测到的攻击进行日志记录勾选后，当检测到有攻击时，则阻断攻击数据包DOS/DD

8、OS防护内网防护配置介绍：选择内网区域注意点选择与外到内防护是一致的选择与外到内防护是一致的注意事项1.设置DOS/DDOS“外网防护”时，数据包按照从上往下的顺序匹配，当匹配到任何一个攻击行为后，便将数据包丢弃，不会再往下匹配。如果数据包没有匹配到前面的攻击行为，则会继续往下匹配。2.对于“基于数据包的检测”、“基于报文的检测”的规则，在开启直通的情况下仍然检测并丢包。3.在配置DOS/DDOS攻击防护时，目标IP建议只填写服务器所在的IP组（不建议填写全部IP），且每个IP组中设置不超过400个IP地址。其它功能介绍连接数控制源IP连接数控制 ：设置单IP的最大并发连接数。当内网使用P2P

9、下载等应用时，在短时间内会发送很多连接，影响网络设备的性能，此时可以使用“连接数控制”来限制单IP的最大连接数，减少网络损耗。目的IP连接数控制：针对目标 IP 控制并发连接数连接数控制（源IP） 配置介绍：根据需求设定单个IP最大并发连接数的值选择需要进行连接数限制的源区域及源IP组连接数控制（目的IP） 配置介绍：选择需要进行连接数限制的目的区域及目的IP组根据需求设定单个IP最大并发连接数的值DNS mapping作用：DNS Mapping应用于内网用户通过公网域名访问内网的服务器，实现的效果与双向地址转换规则一样。与双向地址转换的区别：1.设置DNS Mapping后，内网访问服务器

10、的数据将不会经过防火墙设备，而是直接访问的服务器内网IP。双向地址转换则是所有数据都会经过防火墙去访问。所以通过DNS Mapping可以减轻防火墙压力。2.DNS Mapping的设置方法比双向转换规则简单。不涉及区域、IP组、端口等设置，但要求客户端访问时必须使用域名去解析。3.DNS Mapping不支持一个公网IP映射到多台内网服务器的情况。而双向地址转换功能没有此限制。DNS mapping1、PC向DNS服务器请求的ip2、dns服务器返回的ip是2.2.2.33、NGAF修改dns回复包将地址改成 192.168.1.24、pc直接访问192.168.1.2配置如图：1234AR

11、P欺骗防御ARP欺骗是一种常见的内网病毒，中病毒的电脑会不定时地向内网发送ARP广播包，使内网机器的正常通信受到干扰和破坏，严重时会导致整网断网。NGAF设备的ARP欺骗防御通过不接受有攻击特征的ARP请求或回复来保护设备本身的ARP缓存，实现设备对ARP欺骗的自身防御。同时，设备将定时广播自己的MAC地址给内网用户，以防止欺骗机伪装成网关MAC欺骗内网用户。ARP欺骗防御 配置介绍：勾选即开启“ARP欺骗防御”功能，设备将定时广播自己的MAC地址设定设备广播MAC地址的时间间隔，范围为1-1800之间注意事项当同时做了DNS mapping和双向地址转换时，若用户端以域名访问服务器，则DNS

12、 mapping生效；若用户端以IP访问服务器，则双向地址转换生效。2.【ARP欺骗防御】中， “网关MAC广播”只会广播设备非WAN属性接口的MAC，如果需要定期广播WAN接口的MAC地址，则需开启“免费ARP”功能。在【系统】-【系统配置】 -【网络参数】中，勾选“免费ARP“。动动手某用户网拓扑如右图，NGAF设备路由部署在公网出口，出口IP地址：2.2.2.2，绑定域名为，内网有邮件服务器，现内网PC需要通过访问登陆邮件服务器收发邮件，请问有哪些方法可以满足用户的需求？分别该如何配置？1.NGAF设备支持哪几种地址转换功能？各用于什么场景？2.用户内网有三层交换机，启用DOS内网防护时，就会出现断网，日志记录的DOS告警源MAC地址都是三层交换机的MAC地址，这时该怎么设置？3.请简述双向地址转换与DNS Mapping的区别？问题思考深信服社区资料库社区资料库旨在为用户提供最新、最全的产品资料访问方式：资料分类：深圳市南山区学苑大道1001号南山智园A1栋