AF路由模式部署案例
  

◇◆□乱拳打死老司机□◆◇ 120063人觉得有帮助

{{ttag.title}}
一、某公司客户网络是跨三层的环境,NGAF设备打算部署在公网出口,代理内网某公司公司上网(替代原来的路由器设备),公网线路是固定IP。

二、网络拓扑现如下图,要求以路由模式部署,配置IPS、僵尸网络等防护手段来保护内网某公司公司安全:
公       网:3.3.3.3/30    GW:3.3.3.2
内网网段:192.168.1.0/24 192.168.2.0/24 192.168.3.0/24
6484159c9c50a52431.png

三、配置步骤:
①、AF的MANAGE口(eth0)默认管理地址是:10.251.251.251/24,密码默认;电脑配跟AF的mange口同网段,拿根网线将电脑跟AF设备相连登录设备界面,如图:
2776359c9cae9a1c6f.png

②新增2个三层区域,一个LAN一个WAN,WAN这边选择eth2,LAN这边选eth1,【网络配置】-【接口/区域】- 【新增区域】- 如图:
[attach]1某公司787[/attach]
[attach]1某公司788[/attach]
配置完成如图:
[attach]1某公司789[/attach]

③配置网络接口,配置一个LAN(内网)口——配置一个跟交换机同网段的ip,一个WAN(外网)口——配置公网的地址和网关, 【网络配置】-【接口/区域】-【物理接口】 如图:
[attach]1某公司791[/attach]
这边外网接口需勾选WAN口属性,如图配置:
[attach]1某公司792[/attach]
注意:这边的【链路故障检测】用于检测链路的好坏,如果需要进行链路故障检测,这边ping选择外网线路的网关即可,NGAF的接口链路故障检测支持PING检测、DNS解析检测,当PING不通其中一组目的IP地址的全部IP地址,或其中一组DNS服务器解析域名全部失败时,判定为链路故障,如图:
[attach]1某公司807[/attach]

④配置默认路由和到达内网的回包路由,【网络配置】-【路由】—如图:
[attach]1某公司793[/attach]
[attach]1某公司794[/attach]

⑤配置DNS,填写运营商给的DNS,【网络配置】-【高级网络配置】-【DNS】如图:
[attach]1某公司795[/attach]

⑥配置一条源地址转换代理上网,代理内网某公司公司上网,【防火墙】-【地址转换】-【源地址转换】,如图:
[attach]1某公司797[/attach]

⑦AF策略默认是全部拒绝的,上架前需要手动建一条全部允许的策略,不然内网会上不了网,【内容安全】-【应用控制策略】-新增,如图:
[attach]1某公司798[/attach]

⑧配置僵尸网络,这边选择需要防护的内网PC,ip组定义可去对象定义里面提前定义,【对象定义】-【网络对象】-【新增IP组】-如图:
什么是僵尸网络?
主要用于发现和隔离内网感染了病毒、 木某公司等恶意软件的 PC, 当病毒、木某公司试图与外部网络通信时, AF 识别出该流量, 并根据某公司公司策略进行阻断和记录日志。
[attach]1某公司8某公司[/attach]
定义完某公司公司段之后,这边区域调用即可,【内容安全】-【僵尸网络】-如图:
[attach]1某公司799[/attach]

⑨配置IPS,【IPS】-【新增IPS】,如图:
什么是IPS?
IPS即入侵防御系统,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为,主机操作系统和应用程序可能存在一些漏洞,这些漏洞可以被用于发起攻击,IPS(Intrusion Prevention System,入侵防御系统)内置防护规则,通过对数据包与内置的漏洞规则进行匹配,确定数据包的真正用途,然后根据配置放行或拦截,保护主机不受漏洞攻击.
[attach]1某公司801[/attach]

⑩将AF设备的LAN口接交换机,AF的WAN口接电信外网,完成。
2583059c9cca896dbd.png
136359c9cd1b912bf.png
3707559c9cd7f34e6b.png
6855659c9e0bc2272f.png
2331959c9e133e4cee.png
1183859c9e1f0655d5.png
5786859c9e21843b3e.png
3025459c9e297e0ac4.png
4379859c9e37b57f7f.png
8546259c9e42ed4693.png
3783259c9e5860d73b.png
3794059c9e6141b9bf.png
1222259c9e69b185b4.png

打赏鼓励作者,期待更多好文!

打赏
11人已打赏

新手073094 发表于 2020-10-26 23:05
  
想请教大佬一下,我是移动50M专线,公网IP,光收直连电脑速率达标、稳定、ping也不丢包。我像你这样设置,当WAN口选自动协商时,内网上网下载非常慢,且不稳定,丢包严重。上传却很快可达10M左右,但不稳定、丢包严重,观察WAN口灯一会亮一会不亮。当WAN口设置选全双工100M时,内网上网网速非常稳定,灯常闪亮,但上传下载都很慢,下载2M左右,上传700K左右。。。之前用电信,也是这样设置,没有问题,但到期后因价格原因选择了移动专线。不知道哪里设置错误。。烦请大佬解惑
新手195750 发表于 2018-10-19 16:32
  
我擦?这么好的贴子居然没有评论,你能忍?
zouliming023 发表于 2018-10-20 09:28
  
可以参考
nihongliang 发表于 2018-10-21 17:11
  
妹纸,我有点小疑问,3.3.3.3/30  这个网络地址3.0 可用地址.1和.2 广播地址.3  

你这个3.3.3.3/30 这个地址能配上去???:惊呆:
ie5000 发表于 2018-10-22 00:59
  
学习学习
稳中带皮乛 发表于 2018-11-27 09:13
  
妹子就是妹子,写的很详细,适合没有实施过的新手学习
新手937655 发表于 2018-12-3 17:12
  
正好需要,大赞一个,很详细!
资深343525 发表于 2019-4-29 17:28
  
6666666666666666666
luckyboyzzz 发表于 2019-4-29 18:44
  
学习一下
随即用户 发表于 2019-5-19 14:05
  
妹纸,我有点小疑问,3.3.3.3/30  这个网络地址3.0 可用地址.1和.2 广播地址.3  
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

396
135
63

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人