|
1 关于AF应用控制策略的配置,以下是详细的步骤和注意事项: 功能说明AF的应用控制策略类似于交换机的ACL控制,可以实现禁止上外网、禁止访问指定应用等功能。通过[应用控制策略],可以基于源、目的IP,基于端口服务或应用等来做策略控制。数据包匹配到对应服务端口或应用特征识别库中的应用规则之后,根据策略动作进行拦截或放通处理[2]。 前提条件注意事项目的地址转换和双向地址转换勾选了自动放通ACL不受应用控制策略限制,若需要通过应用控制策略限制目的地址为内网服务器地址[2]。 AF应用控制策略是全部拒绝且暂默认不支持进行禁用删除,默认策略会导致用户无法上网,同区域通接口数据包经过AF也是受应用控制,因此需要新增允许的应用控制策略才可以进行区域网段接口的互访。没有选择区域的接口不受应用控制策略限制[2]。 AF应用控制策略修改配置,除配置阻断策略外,不会导致之前的会话中断。截止标准版本AF8.0.95,暂不支持直接恢复删除的应用控制策略。可在[系统]-[系统维护]-[恢复与备份]里恢复到昨天的配置,此操作会导致此时间段内的配置丢失,同时会重启设备[2]。 AF应用控制策略从上往下匹配,匹配到了则不会继续往下[2]。
配置步骤AF应用控制策略各配置项说明源目的目的区域:选择需要控制的数据的目的区域。默认为“any”区域,即代表所有区域[2]。 目的地址:选择需要控制的数据的目的IP组。如果要针对内网用户上外网数据进行控制,则此处目标IP一般可以选择“全部”[2]。 Mac地址:选择需要控制的源目MAC地址[2]。 域名:选择需要控制的域名[2]。 服务:选择需要做控制的服务。该处是调用[对象/服务]中定义的服务[2]。 应用:选择需要做控制的应用。该处是调用[对象/内容识别库/应用识别库]里的应用特征[2]。
生效条件设置
2 关于SNAT(源地址转换)的配置,以下是详细的步骤和注意事项: 功能说明源地址转换(SNAT)是指通过策略匹配后会把对应数据包的源IP修改为另一个IP,一般用于内网电脑配置私有IP、防火墙外网口地址是公网IP时,通过源地址转换将内网私有IP转换为防火墙外网口公网IP地址,实现内网用户通过设备访问互联网的场景[2]。 前提条件注意事项从标准版本AF8.0.85开始:接口上存在多个IP时,源地址转换SNAT选择“出接口地址”时只取接口上第一个IP,这时容易出现NAT端口不足的问题,需要将接口的多个IP配置成网络对象,SNAT改成源地址转换成该网络对象[2]。 配置步骤标准版本AF8.0.35及以上版本示例标准版本AF8.0.6-AF8.0.32版本示例可在[策略]-[地址转换]-[IPv4地址转换]新增[源地址转换]进行配置。
![]() [2]。
标准版本AF7.4-AF8.0.5版本示例标准版本AF7.3及以下版本示例AF源地址转换各项配置说明原始数据包源区域 & 源地址/网络对象:用于设置需要进行源地址转换即匹配此条规则的源IP条件,只有来自指定的源区域和指定网络对象的数据才会匹配该规则、进行源地址转换。如路由接口代理内网上网,则一般配置源区域为内网、源网络对象为内网IP网段,或者全部。 目的区域/接口 & 目的地址:目标区域指的是访问的目的对象所属的区域,网络对象指的是具体访问的IP地址或者网段,如路由接口代理内网上网,则一般配置目标区域为公网、网络对象为全部。 服务:用于定义需要转换的源协议和端口,默认值为any。
转换后数据包源地址转换为:可选[出接口地址]、[某一段IP范围]、[单个指定IP]、[网络对象]或者[不转换]。
出接口地址:设备上通过源和目的匹配查看路由,路由匹配的哪个接口就是转换成哪个接口的IP地址出去;PS:若该接口有多个IP地址,转换是通过哈希算法计算随机进行转换的。 某一段IP范围:自定义需要转换成的IP范围,以“-”来分隔IP范围;可选动态转换和静态转换;[动态转换]即动态端口转换,多个源地址可被转换成指定IP地址条目中的一个地址,转换是通过哈希算法计算随机进行转换的;[静态转换]:即一对一的转换,要求被转换到的地址条目包含IP地址数与流量的源地址的地址条目包含的IP地址数相同,可用于溯源。 单个指定IP:自定义需要转换成的固定IP地址。 网络对象:选择自定义好的网络对象,转换是通过哈希算法计算随机进行转换的。 不转换:用于定义内网某一段IP地址不进行源地址转换[2]
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-11-11 16:27
