让我们一起“啃”防火墙通识，以深信服厂商为例

路由模式下，支持32条线路。

用户认证账号密码信息不保存在ac中。

AC不可以结合数据库做第三方认证。

在设备上，一个用户可以属于多个组。

防火墙

防火墙开始是很简单的，包过滤防火墙，针对数据包过滤。

• 代理防火墙，安全性高，处理速度慢。
• 状态防火墙，根据状态进行监控。

04年开始，发展迅速。

从最早的隔离功能，到逐渐增加入侵检测，防病毒。URL过滤，应用程序过滤。

目前的防火墙，可以双向分析网络流量的网络层，应用层和内容风险。已经不是传统的四层架构。完整的2-7层安全架构。

传统墙运行在网络层，主要防护来自系统的攻击。缺乏应用层防护。

深信服下一代防火墙主要从用户和业务两个角度进行防护。

防火墙的基本网络配置

主要做对内部和外部网络的一个防护。

防火墙的接口

防火墙的登陆口 manage口 ip 10.251.251.251 管理口地址不可以更改

用户名和密码 admin admin

防火墙巡检

登陆https://ip/health_check.php

配置了syslog服务器，会将日志发送到对应的服务器。

NAT日志 只支持syslog转发

防火墙有 路由模式 透明模式 虚拟网络模式 旁路模式 混合模式

防火墙没有单独的部署模式可以选择。 镜像口 旁路模式

设置lan口为路由口即可（lan口对端的接口可以是三层接口也可以是access口）

Wan口试外网口

Lan口对trunk口 类型选择 透明模式

虚拟网线是最广泛的一种部署模式，不惜要考虑前后设备的口。只需要把网口设置成虚拟线路，

虚拟网线模式，一定要配置管理口。

旁路模式的设置是最少的

只支持 APT PVS WAF IPS DLP DDOS

混合模式主要指NGAF的各个口，既有二层也有三层。

路由优先级

V** 静态 策略 默认

每一条外网线路必须有一条策略路由与之对应，源地址策略路由和多线路策略路由均可以

物理接口与ngaf设备面板上的接口一一对应。

源地址策略路由根据源ip

特别强调，源地址策略路由和多线路负载路由，都要设置链路故障检测，否则链路故障时无法实现链路切换，源地址策略路由是单独设置，而多线路负载路由是调用接口的链路检测。

地址转换分为

• 源地址转化
• 目的地址转换
• 双向地址转换

源地址转换

• 为内网转换为外网转换

目的地址

• 反向地址转换和地址映射 主要用于内网服务器以公网地址向外部地址提供服务。

双向地址转换

• 内网用户通过公网访问内网服务器

链接公网电信线路的两个接口正确配置下一跳，线路检检测，开启链路故障检测。。

访问控制

应用控制策略：可以做到应用/服务的访问做双向控制，防火墙存在一条默认拒绝所有服务

病毒防御策略

设备的病毒查杀，保护特定区域的数据。针对 http ftp pop3 smtp 进行查杀

WEB过滤

针对符合设定条件的访问wang也数据进行过滤

僵尸网络

感染病毒时，在于外网通信时，识别出该流量。

漏洞攻击防护保护对象

• 保护客户端
• 保护服务器
• 口令暴力破解

WEB应用防护

服务器保护

应用隐藏

可以把服务器版本隐藏起来，让黑客看不到服务器版本，来吵着相应的漏洞的资料。

数据防泄密

提供对http服务器响应信息做敏感数据扫描，。发现漏洞数据并阻断。并且对于下载文件类型进行过滤。

实施漏洞扫描

是一种被动的漏洞扫描器，需要数据经过设备或者通过旁路将数据镜像过来才能分析，实时发现用户网络中存在的安全问题。