让我们一起“啃”防火墙通识,以深信服厂商为例

路由模式下,支持32条线路。

用户认证账号密码信息不保存在ac中。

AC不可以结合数据库做第三方认证。

在设备上,一个用户可以属于多个组。

防火墙

防火墙开始是很简单的,包过滤防火墙,针对数据包过滤。

  • 代理防火墙,安全性高,处理速度慢。
  • 状态防火墙,根据状态进行监控。

04年开始,发展迅速。

从最早的隔离功能,到逐渐增加入侵检测,防病毒。URL过滤,应用程序过滤。

目前的防火墙,可以双向分析网络流量的网络层,应用层和内容风险。已经不是传统的四层架构。完整的2-7层安全架构。

传统墙运行在网络层,主要防护来自系统的攻击。缺乏应用层防护。

深信服下一代防火墙主要从用户和业务两个角度进行防护。

防火墙的基本网络配置

主要做对内部和外部网络的一个防护。

防火墙的接口

防火墙的登陆口 manage口 ip 10.251.251.251 管理口地址不可以更改

用户名和密码 admin admin

防火墙巡检

登陆https://ip/health_check.php

配置了syslog服务器,会将日志发送到对应的服务器。

NAT日志 只支持syslog转发

防火墙有 路由模式 透明模式 虚拟网络模式 旁路模式 混合模式

防火墙没有单独的部署模式可以选择。 镜像口 旁路模式

设置lan口为路由口即可(lan口对端的接口可以是三层接口也可以是access口)

Wan口试外网口

Lan口对trunk口 类型选择 透明模式

虚拟网线是最广泛的一种部署模式,不惜要考虑前后设备的口。只需要把网口设置成虚拟线路,

虚拟网线模式,一定要配置管理口。

旁路模式的设置是最少的

只支持 APT PVS WAF IPS DLP DDOS

混合模式主要指NGAF的各个口,既有二层也有三层。

路由优先级

Vpn 静态 策略 默认

每一条外网线路必须有一条策略路由与之对应,源地址策略路由和多线路策略路由均可以

物理接口与ngaf设备面板上的接口一一对应。

源地址策略路由根据源ip

特别强调,源地址策略路由和多线路负载路由,都要设置链路故障检测,否则链路故障时无法实现链路切换,源地址策略路由是单独设置,而多线路负载路由是调用接口的链路检测。

地址转换分为

  • 源地址转化
  • 目的地址转换
  • 双向地址转换

源地址转换

  • 为内网转换为外网转换

目的地址

  • 反向地址转换和地址映射 主要用于内网服务器以公网地址向外部地址提供服务。

双向地址转换

  • 内网用户通过公网访问内网服务器

链接公网电信线路的两个接口正确配置下一跳,线路检检测,开启链路故障检测。。

访问控制

应用控制策略:可以做到应用/服务的访问做双向控制,防火墙存在一条默认拒绝所有服务

病毒防御策略

设备的病毒查杀,保护特定区域的数据。针对 http ftp pop3 smtp 进行查杀

WEB过滤

针对符合设定条件的访问wang也数据进行过滤

僵尸网络

感染病毒时,在于外网通信时,识别出该流量。

漏洞攻击防护保护对象

  • 保护客户端
  • 保护服务器
  • 口令暴力破解

WEB应用防护

服务器保护

应用隐藏

可以把服务器版本隐藏起来,让黑客看不到服务器版本,来吵着相应的漏洞的资料。

数据防泄密

提供对http服务器响应信息做敏感数据扫描,。发现漏洞数据并阻断。并且对于下载文件类型进行过滤。

实施漏洞扫描

是一种被动的漏洞扫描器,需要数据经过设备或者通过旁路将数据镜像过来才能分析,实时发现用户网络中存在的安全问题。

原文发布于微信公众号 - 网络技术联盟站(it666lmz)

原文发表时间:2019-08-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券