深信服防火墻地址轉(zhuǎn)換

SANGFORNGAF防火墻功能介紹深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第1頁!培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)地址轉(zhuǎn)換功能介紹了解源地址轉(zhuǎn)換，目的地址轉(zhuǎn)換，雙向地址轉(zhuǎn)換的應(yīng)用場景，掌握源地址轉(zhuǎn)換，目的地址轉(zhuǎn)換，雙向地址轉(zhuǎn)換的設(shè)置方法。DOS/DDOS防護(hù)功能介紹了解DOS和DDOS功能的作用和應(yīng)用場景，掌握DOS和DDOS功能的推薦配置方法。其它功能介紹連接數(shù)控制：掌握連接數(shù)控制的配置方法DNSmapping：了解DNSmapping功能的應(yīng)用場景，掌握設(shè)置方法ARP欺騙防御：了解ARP欺騙防御功能的應(yīng)用場景和設(shè)置方法深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第2頁!地址轉(zhuǎn)換功能介紹深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第3頁!地址轉(zhuǎn)換功能介紹地址轉(zhuǎn)換(NAT)：

在計算機(jī)網(wǎng)絡(luò)中，網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation，簡稱NAT）是一種在IP數(shù)據(jù)包通過路由器或防火墻時重寫源IP地址/目的IP地址的技術(shù)。源地址轉(zhuǎn)換(SNAT)：源地址轉(zhuǎn)換即內(nèi)網(wǎng)地址訪問外網(wǎng)時，將發(fā)起訪問的內(nèi)網(wǎng)IP地址轉(zhuǎn)換為指定的IP地址，內(nèi)網(wǎng)的多臺主機(jī)可以通過同一個有效的公網(wǎng)IP地址訪問外網(wǎng)。典型應(yīng)用場景：設(shè)備路由部署在公網(wǎng)出口代理內(nèi)網(wǎng)用戶上網(wǎng)深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第4頁!雙向地址轉(zhuǎn)換：雙向地址轉(zhuǎn)換是指在一條地址轉(zhuǎn)換規(guī)則中，同時包含源地址和目標(biāo)地址的轉(zhuǎn)換，匹配規(guī)則的數(shù)據(jù)流將被同時轉(zhuǎn)換源IP地址和目標(biāo)IP地址典型應(yīng)用場景：內(nèi)網(wǎng)用戶通過公網(wǎng)地址訪問內(nèi)網(wǎng)服務(wù)器（如LAN->LAN端口映射）地址轉(zhuǎn)換功能介紹深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第5頁!步驟一：在【網(wǎng)絡(luò)配置】的【接口/區(qū)域中】定義好接口地址和“區(qū)域”，在【對象定義】的【IP組】中定義好“內(nèi)網(wǎng)IP組”源地址轉(zhuǎn)換功能應(yīng)用舉例深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第6頁!目的地址轉(zhuǎn)換功能應(yīng)用舉例需求：客戶網(wǎng)絡(luò)環(huán)境如圖，AF防火墻部署在網(wǎng)絡(luò)出口，內(nèi)網(wǎng)有WEB服務(wù)器?？蛻粜枰獙EB服務(wù)器發(fā)布到公網(wǎng)，讓公網(wǎng)所有用戶都可以通過1.1.1.2/訪問到該服務(wù)器。解決方案：在AF設(shè)備上做端口映射（即目的地址轉(zhuǎn)換）深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第7頁!目的地址轉(zhuǎn)換功能應(yīng)用舉例公網(wǎng)的數(shù)據(jù)包過來，目的地址是設(shè)備公網(wǎng)地址則進(jìn)行轉(zhuǎn)換公網(wǎng)訪問的端口服務(wù)器私網(wǎng)地址服務(wù)器提供服務(wù)的真實端口深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第8頁!雙向地址轉(zhuǎn)換功能應(yīng)用舉例步驟一：在【網(wǎng)絡(luò)配置】的【接口/區(qū)域】中定義好接口地址和“區(qū)域”，在【對象定義】的【IP組】中定義好“內(nèi)網(wǎng)IP組”和“外網(wǎng)接口IP”深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第9頁!DOS/DDOS防護(hù)功能介紹深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第10頁!DOS/DDOS防護(hù)外網(wǎng)防護(hù)配置介紹：自定義名稱和描述選擇DOS/DDOS攻擊發(fā)起方所在的區(qū)域若設(shè)備在每秒單位內(nèi)接口收到源區(qū)域所有地址的ARP包超過閾值時，則會被認(rèn)為是攻擊若設(shè)備在每秒單位內(nèi)收到來自源區(qū)域的單個IP地址/端口掃描包個數(shù)超過閾值，則會被認(rèn)為是攻擊點(diǎn)擊可選擇DOS/DDOS攻擊防護(hù)類型選擇要保護(hù)的目標(biāo)服務(wù)器或者服務(wù)器組選擇需要進(jìn)行DOS/DDOS攻擊檢測的數(shù)據(jù)包類型，并配置檢測閾值，當(dāng)設(shè)備在每秒單位內(nèi)收到來自源區(qū)域訪問同一個目標(biāo)IP的數(shù)據(jù)包超過所設(shè)置的閾值時，則會被認(rèn)為是攻擊。配置完成，點(diǎn)擊確定保存每目的IP激活閾值：當(dāng)多個攻擊者發(fā)送給同一目標(biāo)地址的SYNTCP握手報文達(dá)到激活閾值時，則啟用Syn-cookie代理。每目的IP丟包閾值：當(dāng)多個攻擊者發(fā)送給同一目標(biāo)地址的SYNTCP握手報文達(dá)到丟包閾值時，后續(xù)請求被丟棄。每源IP閾值：從一個源攻擊者發(fā)送給對應(yīng)區(qū)域的目標(biāo)ip集合的SYNTCP握手報文達(dá)到閾值時，后續(xù)請求被丟棄。點(diǎn)擊可選擇數(shù)據(jù)包攻擊防護(hù)類型不同的數(shù)據(jù)包類型，攻擊方法和設(shè)備的檢測方法都不一樣，可根據(jù)需求選擇數(shù)據(jù)包類型。注意：“IP數(shù)據(jù)塊分片傳輸防護(hù)”建議不要勾選點(diǎn)擊確定，保存配置點(diǎn)擊可選擇IP協(xié)議報文防護(hù)類型勾選需要進(jìn)行異常報文偵測的IP協(xié)議報文類型配置完成，點(diǎn)擊確定保存點(diǎn)擊可選擇TCP協(xié)議報文防護(hù)類型勾選需要進(jìn)行異常報文偵測的TCP協(xié)議報文類型。。配置完成，點(diǎn)擊確定保存

勾選后對于檢測到的攻擊進(jìn)行日志記錄勾選后，當(dāng)檢測到有攻擊時，則阻斷攻擊數(shù)據(jù)包配置完成，點(diǎn)擊提交配置外網(wǎng)防護(hù)時，除內(nèi)容里特別注明不能勾選的項外，其它均可以勾選，勾選后，請注意設(shè)置好閾值，建議使用默認(rèn)的閾值。深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第11頁!注意事項1.設(shè)置DOS/DDOS“外網(wǎng)防護(hù)”時，數(shù)據(jù)包按照從上往下的順序匹配，當(dāng)匹配到任何一個攻擊行為后，便將數(shù)據(jù)包丟棄，不會再往下匹配。如果數(shù)據(jù)包沒有匹配到前面的攻擊行為，則會繼續(xù)往下匹配。2.對于“基于數(shù)據(jù)包的檢測”、“基于報文的檢測”的規(guī)則，在開啟直通的情況下仍然檢測并丟包。3.在配置DOS/DDOS攻擊防護(hù)時，目標(biāo)IP建議只填寫服務(wù)器所在的IP組（不建議填寫全部IP），且每個IP組中設(shè)置不超過400個IP地址。深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第12頁!連接數(shù)控制連接數(shù)控制：設(shè)置單IP的最大并發(fā)連接數(shù)。當(dāng)內(nèi)網(wǎng)使用P2P下載等應(yīng)用時，在短時間內(nèi)會發(fā)送很多連接，影響網(wǎng)絡(luò)設(shè)備的性能，此時可以使用“連接數(shù)控制”來限制單IP的最大連接數(shù)，減少網(wǎng)絡(luò)損耗。注：連接數(shù)控制只匹配源區(qū)域。深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第13頁!DNSmapping作用:DNSMapping應(yīng)用于內(nèi)網(wǎng)用戶通過公網(wǎng)域名訪問內(nèi)網(wǎng)的服務(wù)器，實現(xiàn)的效果與雙向地址轉(zhuǎn)換規(guī)則一樣。與雙向地址轉(zhuǎn)換的區(qū)別：1.設(shè)置DNSMapping后，內(nèi)網(wǎng)訪問服務(wù)器的數(shù)據(jù)將不會經(jīng)過防火墻設(shè)備，而是直接訪問的服務(wù)器內(nèi)網(wǎng)IP。雙向地址轉(zhuǎn)換則是所有數(shù)據(jù)都會經(jīng)過防火墻去訪問。所以通過DNSMapping可以減輕防火墻壓力。2.DNSMapping的設(shè)置方法比雙向轉(zhuǎn)換規(guī)則簡單。不涉及區(qū)域、IP組、端口等設(shè)置，但要求客戶端訪問時必須使用域名去解析。3.DNSMapping不支持一個公網(wǎng)IP映射到多臺內(nèi)網(wǎng)服務(wù)器的情況。而雙向地址轉(zhuǎn)換功能沒有此限制。深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第14頁!ARP欺騙防御ARP欺騙是一種常見的內(nèi)網(wǎng)病毒，中病毒的電腦會不定時地向內(nèi)網(wǎng)發(fā)送ARP廣播包，使內(nèi)網(wǎng)機(jī)器的正常通信受到干擾和破壞，嚴(yán)重時會導(dǎo)致整網(wǎng)斷網(wǎng)。AF設(shè)備的ARP欺騙防御通過不接受有攻擊特征的ARP請求或回復(fù)來保護(hù)設(shè)備本身的ARP緩存，實現(xiàn)設(shè)備對ARP欺騙的自身防御。同時，設(shè)備將定時廣播自己的MAC地址給內(nèi)網(wǎng)用戶，以防止欺騙機(jī)偽裝成網(wǎng)關(guān)MAC欺騙內(nèi)網(wǎng)用戶。深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第15頁!注意事項當(dāng)同時做了DNS

mapping和雙向地址轉(zhuǎn)換時，若用戶端以域名訪問服務(wù)器，則DNSmapping生效；若用戶端以IP訪問服務(wù)器，則雙向地址轉(zhuǎn)換生效。2.【ARP欺騙防御】中，“網(wǎng)關(guān)MAC廣播”只會廣播設(shè)備非WAN屬性接口的MAC，如果需要定期廣播WAN接口的MAC地址，則需開啟“免費(fèi)ARP”功能。在【系統(tǒng)】-【系統(tǒng)配置】

-【網(wǎng)絡(luò)參數(shù)】中，勾選“免費(fèi)ARP“深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第16頁!1.AF設(shè)備支持哪幾種地址轉(zhuǎn)換功能？各用于什么場景？2.用戶內(nèi)網(wǎng)有三層交換機(jī)，啟用DOS內(nèi)網(wǎng)防護(hù)時，就會出現(xiàn)斷網(wǎng)，日志記錄的DOS告警源MAC地址都是三層交換機(jī)的MAC地址，這時該怎么設(shè)置？3.請簡述雙向地址轉(zhuǎn)換與DNSMapping的區(qū)別？問題思考深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第17頁!目的地址轉(zhuǎn)換(DNAT)：目的地址轉(zhuǎn)換也稱為反向地址轉(zhuǎn)換或地址映射。目的地址轉(zhuǎn)換是一種單向的針對目標(biāo)地址的地址轉(zhuǎn)換，主要用于內(nèi)部服務(wù)器以公網(wǎng)地址向外網(wǎng)用戶提供服務(wù)的情況。典型應(yīng)用場景：外網(wǎng)用戶訪問服務(wù)器所在網(wǎng)絡(luò)出口線路的公網(wǎng)地址時，直接訪問到內(nèi)部服務(wù)器。（如WAN->LAN端口映射）地址轉(zhuǎn)換功能介紹深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第18頁!源地址轉(zhuǎn)換功能應(yīng)用舉例需求：客戶網(wǎng)絡(luò)環(huán)境如圖，AF防火墻部署在網(wǎng)絡(luò)出口，下接三層交換機(jī)，內(nèi)網(wǎng)有PC和服務(wù)器，客戶要求：AF防火墻代理內(nèi)網(wǎng)PC和服務(wù)器上網(wǎng)。解決方案：在AF設(shè)備上做源地址轉(zhuǎn)換深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第19頁!源地址轉(zhuǎn)換功能應(yīng)用舉例規(guī)則匹配次數(shù)，可用于檢測規(guī)則是否配置正確深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第20頁!目的地址轉(zhuǎn)換功能應(yīng)用舉例

步驟一：在【網(wǎng)絡(luò)配置】的【接口/區(qū)域】中定義好接口地址和“區(qū)域”，在【對象定義】的【IP組】中定義好“外網(wǎng)接口IP”深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第21頁!雙向地址轉(zhuǎn)換功能應(yīng)用舉例需求：客戶網(wǎng)絡(luò)環(huán)境如圖，AF防火墻部署在網(wǎng)絡(luò)出口，內(nèi)網(wǎng)有WEB服務(wù)器。已經(jīng)申請了域名.test.指向2.2.2.2，客戶需要內(nèi)網(wǎng)所有用戶都可以通過.test.訪問web訪問WEB服務(wù)器。解決方案：在AF設(shè)備上做雙向地址轉(zhuǎn)換深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第22頁!雙向地址轉(zhuǎn)換功能應(yīng)用舉例經(jīng)過目的地址轉(zhuǎn)換后，最終也是訪問內(nèi)網(wǎng)區(qū)域?qū)⒃碔P轉(zhuǎn)換成出接口IP深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第23頁!DOS/DDOS防護(hù)DOS攻擊：DOS是DenialofService的簡稱，即拒絕服務(wù)，造成DOS的攻擊行為被稱為DOS攻擊，其目的是使計算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。DDOS攻擊：DDOS是DistributedDenialofservice，即分布式拒絕服務(wù)攻擊，很多DOS攻擊源一起攻擊某臺服務(wù)器或某個網(wǎng)絡(luò)，就組成了DDOS攻擊。SANGFORAF設(shè)備的DOS/DDOS防護(hù)功能分成“外網(wǎng)防護(hù)”和“內(nèi)網(wǎng)防護(hù)”兩個部分。外網(wǎng)防護(hù)：主要對目標(biāo)地址做重點(diǎn)防御，一般用于保護(hù)內(nèi)部服務(wù)器不受外網(wǎng)的DOS攻擊。（該外網(wǎng)為用戶自己定義的攻擊源區(qū)域，不一定非指Internet)內(nèi)網(wǎng)防護(hù)：主要用來防止設(shè)備自身被DOS攻擊。深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第24頁!DOS/DDOS防護(hù)內(nèi)網(wǎng)防護(hù)配置介紹：勾選即開啟內(nèi)網(wǎng)DOS防護(hù)發(fā)起DOS攻擊的區(qū)域設(shè)置哪些地址允許經(jīng)過防火墻，若選擇“僅允許以下IP地址數(shù)據(jù)包通過“，那么沒有填寫的地址將直接丟棄。選擇內(nèi)網(wǎng)環(huán)境，若內(nèi)網(wǎng)是三層環(huán)境，一定不能勾選第二項設(shè)置不需要進(jìn)行DOS檢測的地址設(shè)置DOS檢測參數(shù)，建議使用推薦參數(shù)。勾選后，當(dāng)設(shè)備檢測到DOS攻擊時，將產(chǎn)生日志記錄配置完成，點(diǎn)擊保存深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第25頁!其它功能介紹深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第26頁!連接數(shù)控制配置介紹：選擇需要進(jìn)行連接數(shù)限制的源區(qū)域及源IP組根據(jù)需求設(shè)定單個IP最大并發(fā)連接數(shù)的值點(diǎn)擊提交，保存配置深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第27頁!DNSmapping1、PC向DNS服務(wù)器請求.test.的ip2、dns服務(wù)器返回的ip是2.2.2.33、AF修改dns回復(fù)包將地址改成192.168.1.24、pc直接訪問192.168.1.2配置如圖：1234深信服防火墻地址轉(zhuǎn)換共31頁，您現(xiàn)在瀏覽的是第28頁!ARP欺騙防御配置介紹：勾選即開啟“ARP欺騙防御”功能