×

#原创分享#记第一次NGAF实施与常见问题总结
  

清风慕竹 110943人觉得有帮助

{{ttag.title}}
本帖最后由 清风慕竹 于 2019-11-12 13:02 编辑

      大家好,楼主于2017年7月份进入社会,在工作中大哥告诉我进入这一行首先要学会最基本的路由交换,因此最初3个月我都是在跟大哥学习路由交换的基础知识,10月份才刚刚开始碰深信服的产品,最早碰的产品是AC,第二个产品是下一代防火墙,现将第一次的下一代防火墙分享,希望能对大家有帮助,也希望各位大佬多多指出问题所在。
一、情景在线
       客户新购买了一台深信服的下一代防火墙,希望能够替代出口路由器,对内网的服务器能够有一定的防护,如SQL注入、XSS等,外网用户能够访问内网的服务器等,内网用户一些最基本的防护,如淘宝、视频等能够禁止。
二、配置思路
2.1、区域划分
2.2、接口地址配置
2.3、路由配置
2.4、应用控制策略配置
2.5、代理上网
2.6、服务器映射
三、后期维护
3.1、端口映射不生效
排查思路:
①开直通测试
注:测试成功,查看相关的直通日志-查看丢包标记,可能安全防护策略拦截、应用控制或内容安全测试拦截。
②测试服务器端口是否可通
注:如果不通,就是内网或服务器本身问题,建议尝试关闭服务器自身防火墙或安全软件,查看服务器与NGAF的通信是否异常。
③测试目的端口是否可通
注:如果不通,应该是运营商禁用知名端口,如80,8080等,建议修改目的端口。
④仔细检查地址转换配置
注:检查策略是否冲突,映射地址是否配置在对应的外网接口上。
⑤尝试双向地址转换
注:如果通,就是有可能是内网或服务器本身问题。
⑥视频会议/FTP/IP电话等映射
注:配置双向地址转换测试来测试;系统-系统配置-网络参数-SIP 端口和H.323留空测试;全端口映射测试等。
3.2、上架断网,网络不通
排查思路:
①物理层排错
通过更换邻接设备的网口甚至邻接设备本身来定位是否AF设备故障还是环境问题;
②链路层排错:
1、检查双工及速率,通过AF控制台页面【网络配置】-【物理接口】-【工作模式】确认;
2、根据状态是否异常进行调整;
3、若状态正常或调整后仍异常,则检查网口丢包错误包情况;
4、查看各个接口的errors/dropped后面的数字,运行多次命令,看其数值是否增加,且增加速度快;
③网络层排错
1、检查ip冲突情况,可通过检查邻接设备arp表项该ip对应的mac是否变动或者mac根本不是设备的mac;
2、查看路由表情况;
3、考虑运营商或前置设备限制情况,在设备上面ping外网定位是否受限。
4、检查DNS配置是否正确
注:网络层排错适用于设备路由模式部署或混合模式部署等要求设备路由转发的情况,虚拟网线或透明网桥等部署则可以略过此步,直接往应用层方面排错。
④应用层排错
检查各个策略设置情况来定位,通过控制台页面-【系统维护】-【数据包拦截日志与直通】功能进行定位;
开启直通后仍然无法解决,保持直通未关闭状态,对控制台页面-【系统】-【全局排除地址】填写故障网段或具体ip;
直通后正常则需定位具体拒绝模块从而调整策略配置,首先查看拦截日志,看能否定位具体策略和模块的,另外还可以通过【数据中心】日志来查看;
3.3、对接VPN不成功
排查思路:
①IPSEC VPN第三方对接不成功,一般都会有对接不成功的日志,然后根据日志进行针对性排查,例如日志里显示第一阶段不成功,先确认两端部署模式,然后按步骤检查第一阶段配置可能存在的问题,建议直接查看系统日志,日志筛选“DLAN总部”,点击调试日志,具体看调试日志有什么报错,根据对应的提示,检查两端相应的配置,根据提示着重查下两端共享密钥是否正确,两端验证的身份类型ID是否配置有问题。
②开直通测试,直通配置路径,如下:
(1)以标准版本AF7.3版本操作路径示例:可在【系统维护】-【数据包拦截日志与直通】配置;
(2)以标准版本AF7.4版本操作路径示例:可在【系统】-【排障】-【数据包拦截日志与直通】配置。
③抓包分析数据包走向
④确定对端的路由设置、安全策略设置
⑤若出口是ASDL拨号的,确定是否是保留地址
3.4、控制台登录不上
排查思路:
请查看我的另外一篇分享:

打赏鼓励作者,期待更多好文!

打赏
9人已打赏

新手537797 发表于 2024-8-13 18:31
  
非常好的实践教程,谢谢分享
新手537797 发表于 2024-8-4 21:58
  
非常好的实践教程,谢谢分享
新手537797 发表于 2024-7-22 10:56
  
非常好的实践教程,谢谢分享
小明偷学 发表于 2024-7-12 10:28
  
非常好的实践教程,谢谢分享
新手370587 发表于 2024-6-12 10:42
  
打卡学习,感谢大佬分享!
guhui 发表于 2024-4-26 07:12
  
感谢分享,学习一下~
新手741261 发表于 2021-8-3 20:14
  
都是实战经验,这波分享很强势
এ塔铃独语别黄昏এ 发表于 2021-8-1 13:55
  
又学到了新技能!向楼主学习!
新手439201 发表于 2021-1-30 18:31
  
感谢作者分享,步骤写的很详细
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人