XXJC集团飞塔防火墙替换记录

       客户的核心业务（类似一个商城）情况比较特殊，晚上基本没什么流量，但是白天流量很大，核心业务白天无法中断。本次替换飞塔防火墙，主要是网络对象策略配置、接口和路由配置、SNAT代理上网，NAT和DNAT、双向NAT、ACL映射和IPSEC替换等。

       坑点1：IPSEC必须记得做ACL放通本地LAN口至VPNTUN之间的数据。

       坑点2：飞塔防火墙配置了DDOS（1000个包每秒）但是实际未启用；如果做设备替换，建议我们DDOS也不要开。飞塔防火墙DDOS配置如下：

深信服AF配置如下：AF的DDOS配置策略里面，扫描防护里面只支持最大上限为120个包/每分钟，且无法手动修改，建议暂时关闭这个功能。可以检查监控-日志-系统日志-本机安全日志进行查看。

上图的行为日志（ACL日志）显示的数据从WAN口转发至LAN口，但是实际数据还是被AF的DDOS策略拦截。AF的DDOS配置策略里面，扫描防护里面只支持最大上限为120个包/每分钟，且无法手动修改，建议暂时关闭这个功能。可以检查监控-日志-系统日志-本机安全日志进行查看。