AF旁路部署完整部署流程!---科普贴(端午节系列一)
  

adds 201321人觉得有帮助

{{ttag.title}}
    AF版本:7.3

    [color=#某公司公司ff]一、需求
    客户怀疑内网受到攻击,想使用AF进行安全检测。

    [color=#8某公司公司80]二、AF部署
   
     1、恢复密码
     从某公司公司拿来一台设备,没有密码。
     恢复密码:U盘恢复。   ---常规恢复步骤。

    注:AF不支持使用交叉线恢复密码或初厂设置。

    2、升级设备特征库
     如果AF设备能连接互联网,则设备的规则库会自动升级,不需要配置。
     但客户是xx网环境,不能联网,只能手动升级规则库
     (1)下载规则库升级包。
      社区:自助服务--产品资源--下一代防火墙--内墙规则库。
       968145b20bd3bee02f.png

       某公司公司URL库、应用识别库和DLP库需要找4某公司要。
      (2)如何离线升级
      a.登录设备
      路径:系统维护--系统更新--库升级
       864015b20c24f697c5.png
      选中要升级的库,然后点击“离线升级”。
     b.上传本地的升级包,后缀名为.zip。
      500105b20c39294a1c.png
     然后点击“手动更新”。
     c.点击“是”
      222295b20c3b56f21f.png
    然后,系统就会更新规则库。在界面顶部会显示“更新请求已提交,请稍后刷新列表某公司”
    890005b20c3de915a7.png
    d.更新完成的规则库
    336055b20c4be08825.png

    3、配置网络对象
    路径:对象定义--网络对象
    13085b20c5aed215d.png

    新增“服务器”和“10.10.107.5”两个网络对象。

   4、配置接口
    a.新增二层区域。
    路径:网络配置--接口/区域--区域
    812425b20c605c8c27.png

   b.将镜像口加入到上一步建立的区域中
   路径:网络配置--接口/区域--物理接口
    258255b20c6758f2e9.png

    c.第一天配置完成后,客户要求不能只审计和监测10.10.107.5这一台服务器,还需要监测10.10.105.0/24和10.10.107.0/24这两个网段。
    路径:网络配置--接口/区域--物理接口,在“网络对象”中添加定义的“服务器”。
    890725b20c7f4e14a6.png

   5、配置安全策略
   (1)APT--僵尸网络
    路径:内容安全--僵尸网络。
    72875b20c8798ea0a.png

    配置完成:
    376335b20c8de33eab.png

   (2)IPS--防御入侵系统
    路径:IPS-IPS
    352755b20c90799bd0.png

   配置完成:
    966065b20c919518fe.png

   (3)AV--病毒防护
    路径:内容安全--内容安全策略
    17325b20c945ae470.png

    配置完成:
    967635b20c95652f36.png

   (4)WAF--WET应用防护
    路径:服务器保护--WEB应用防护
    182205b20c98327972.png

   配置完成:
    222195b20cfa10e38b.png

  (5)PVS--实时漏洞分析
   路径:风险发现与防护--实时漏洞分析
    538075b20ca6b57c26.png

   配置完成:
    776675b20ca7f33d4c.png

   6、配置管理IP
   (1)配置接口
    路径:网络配置--接口/区域--接口
    选中eth2口,编辑。
    6516860b77872bf01e.png

    配置完成:
    488165b20d38cd7073.png

    (2)配置静态路由
    路径:网络配置--路由--静态路由。
    25585b20d37874158.png

    配置完成:
    347785b20d3a653b7f.png

    三、交换机部署
    1、配置Cisco 镜像口
      272135b22039079d1b.png

      Switch#conf t
Switch(config)#monitor session 1 destinatin interface gi 0/3 (指定连接抓包主机的端口)
Switch(config)#monitor session 1 source interface gi 0/48 both(指定端口0/2,both是进出口包都抓)

      验证下:
       240645b22045daf0a2.png

     输入show monitor seesion 1,可以看到源是Gi0/3,目的是0/48。

     2、验证镜像口是否收到数据
      906445b2203cdb26c2.png

    通过查看接口下的48口,发现已经有数据产生,配置正确。

      3、检查配置镜像是否影响CPU
       878185b2204a86a880.png

     近5分钟内CPU使用正常。

      四、验证
      登录防火墙验证设备是否有接收流量
      1、系统状态--接口吞吐率
       81355b2206aae63f2.png

      可以看到设置已经接到了交换机镜像口的数据。




附:AC-12.0.8的界面很炫,一起来看下。
650665b20d46eb1be3.png

打赏鼓励作者,期待更多好文!

打赏
26人已打赏

河北汇友user 发表于 2018-6-19 10:21
  
感谢分享
sangfor_闪电回_小六 发表于 2018-6-20 09:15
  
很详细,AC-12.0.8看起来很不错哦~:爱你:
一骑绝尘 发表于 2018-6-20 09:47
  
不明觉厉,慢慢消化吧。
痴笑Memory 发表于 2018-6-21 11:07
  
感谢分享,辛苦啦
念友真爱 发表于 2018-6-23 01:20
  
不错,学习了,发帖辛苦,看帖鼓舞
leyshan 发表于 2018-6-23 19:06
  
发帖辛苦,支持一下
虫子飞飞 发表于 2018-6-23 21:49
  
感谢分享,辛苦啦
一骑绝尘 发表于 2018-6-25 08:40
  
感谢分享
single_man_wl 发表于 2018-6-27 15:57
  
很详细,get~
发表新帖
热门标签
全部标签>
每日一问
每周精选
技术盲盒
干货满满
技术笔记
安全攻防
秒懂零信任
新版本体验
产品连连看
自助服务平台操作指引
技术咨询
技术晨报
2023技术争霸赛专题
GIF动图学习
通用技术
功能体验
标准化排查
社区帮助指南
齐鲁TV
迁移
信服课堂视频
安装部署配置
问题分析处理
排障笔记本
深信服技术支持平台
天逸直播
畅聊IT
答题自测
功能咨询
地址转换
技术争霸赛
卧龙计划
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
终端接入
授权
设备维护
资源访问
虚拟机
存储
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
答题榜单公布
纪元平台
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
华北区交付直播

本版版主

396
134
63

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人