AF旁路部署完整部署流程!---科普贴(端午节系列一)
  

adds Lv23发表于 2018-6-18 19:42

本帖最后由 adds 于 2018-6-18 19:42 编辑

    AF版本:7.3

    一、需求
    客户怀疑内网受到攻击,想使用AF进行安全检测。

    二、AF部署
   
     1、恢复密码
     从办事处拿来一台设备,没有密码。
     恢复密码:U盘恢复。   ---常规恢复步骤。

    注:AF不支持使用交叉线恢复密码或初厂设置。

    2、升级设备特征库
     如果AF设备能连接互联网,则设备的规则库会自动升级,不需要配置。
     但客户是公安网环境,不能联网,只能手动升级规则库
     (1)下载规则库升级包。
      社区:自助服务--产品资源--下一代防火墙--内墙规则库。
       968145b20bd3bee02f.png

       其他的URL库、应用识别库和DLP库需要找400要。
      (2)如何离线升级
      a.登录设备
      路径:系统维护--系统更新--库升级
       864015b20c24f697c5.png
      选中要升级的库,然后点击“离线升级”。
     b.上传本地的升级包,后缀名为.zip。
      500105b20c39294a1c.png
     然后点击“手动更新”。
     c.点击“是”
      222295b20c3b56f21f.png
    然后,系统就会更新规则库。在界面顶部会显示“更新请求已提交,请稍后刷新列表...”
    890005b20c3de915a7.png
    d.更新完成的规则库
    336055b20c4be08825.png

    3、配置网络对象
    路径:对象定义--网络对象
    13085b20c5aed215d.png

    新增“服务器”和“10.10.107.5”两个网络对象。

   4、配置接口
    a.新增二层区域。
    路径:网络配置--接口/区域--区域
    812425b20c605c8c27.png

   b.将镜像口加入到上一步建立的区域中
   路径:网络配置--接口/区域--物理接口
    258255b20c6758f2e9.png

    c.第一天配置完成后,客户要求不能只审计和监测10.10.107.5这一台服务器,还需要监测10.10.105.0/24和10.10.107.0/24这两个网段。
    路径:网络配置--接口/区域--物理接口,在“网络对象”中添加定义的“服务器”。
    890725b20c7f4e14a6.png

   5、配置安全策略
   (1)APT--僵尸网络
    路径:内容安全--僵尸网络。
    72875b20c8798ea0a.png

    配置完成:
    376335b20c8de33eab.png

   (2)IPS--防御入侵系统
    路径:IPS-IPS
    352755b20c90799bd0.png

   配置完成:
    966065b20c919518fe.png

   (3)AV--病毒防护
    路径:内容安全--内容安全策略
    17325b20c945ae470.png

    配置完成:
    967635b20c95652f36.png

   (4)WAF--WET应用防护
    路径:服务器保护--WEB应用防护
    182205b20c98327972.png

   配置完成:
    222195b20cfa10e38b.png

  (5)PVS--实时漏洞分析
   路径:风险发现与防护--实时漏洞分析
    538075b20ca6b57c26.png

   配置完成:
    776675b20ca7f33d4c.png

   6、配置管理IP
   (1)配置接口
    路径:网络配置--接口/区域--接口
    选中eth2口,编辑。
    160615b20d3375b697.png

    配置完成:
    488165b20d38cd7073.png

    (2)配置静态路由
    路径:网络配置--路由--静态路由。
    25585b20d37874158.png

    配置完成:
    347785b20d3a653b7f.png

    三、交换机部署
    1、配置Cisco 镜像口
      272135b22039079d1b.png

      Switch#conf t
Switch(config)#monitor session 1 destinatin interface gi 0/3 (指定连接抓包主机的端口)
Switch(config)#monitor session 1 source interface gi 0/48 both(指定端口0/2,both是进出口包都抓)

      验证下:
       240645b22045daf0a2.png

     输入show monitor seesion 1,可以看到源是Gi0/3,目的是0/48。

     2、验证镜像口是否收到数据
      906445b2203cdb26c2.png

    通过查看接口下的48口,发现已经有数据产生,配置正确。

      3、检查配置镜像是否影响CPU
       878185b2204a86a880.png

     近5分钟内CPU使用正常。

      四、验证
      登录防火墙验证设备是否有接收流量
      1、系统状态--接口吞吐率
       81355b2206aae63f2.png

      可以看到设置已经接到了交换机镜像口的数据。




附:AC-12.0.8的界面很炫,一起来看下。
650665b20d46eb1be3.png

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

河北汇友user Lv3发表于 2018-6-19 10:21
  
感谢分享
sangfor_闪电回_小六 发表于 2018-6-20 09:15
  
很详细,AC-12.0.8看起来很不错哦~
一骑绝尘 Lv9发表于 2018-6-20 09:47
  
不明觉厉,慢慢消化吧。
痴笑Memory Lv5发表于 2018-6-21 11:07
  
感谢分享,辛苦啦
念友真爱 Lv7发表于 2018-6-23 01:20
  
不错,学习了,发帖辛苦,看帖鼓舞
leyshan Lv10发表于 2018-6-23 19:06
  
发帖辛苦,支持一下
虫子飞飞 Lv8发表于 2018-6-23 21:49
  
感谢分享,辛苦啦
一骑绝尘 Lv9发表于 2018-6-25 08:40
  
感谢分享
single_man_wl Lv5发表于 2018-6-27 15:57
  
很详细,get~