AF--服务器业务防护实验

背景：

某企业将内网服务器192.168.1.3提供80端口的web服务提供给公网访问。出口路由器

已经做好到该服务器80端口的目的地址转换，AF已经虚拟网线部署在服务器区域网

络前，eth2口接核心交换机，eth3口接服务器区域交换机，AF虚拟网线模式的基本网

络配置已经完成，现需要只允许访问服务器80端口的HTTP应用才能通过AF，并针对

服务器进行业务防护， 保护服务器不被攻击， 同时在访问服务器管理页面

http://192.168.1.3/DVWA/login.php 时需要进行二次认证，最后不允许美国地区IP来

访问到服务器

分析：

针对这些需求，需要用应用控制策略来限制访问的服务和应用，用安全防护策略进行

业务防护，使用默认模板即可，最后通过地域访问控制来拒绝美国地区IP访问服务器

配置步骤：

1、定义区域，进入【网络/区域】，新增两个区域，如【服务器区】选择eth3，【外网区】选择eth2

2、配置应用控制策略，进入【策略/访问控制/应用控制策略/策略配置】，新增应

用控制策略，服务选择http，应用选择访问网站

3、配置安全防护策略。进入【策略/安全策略/安全防护策略】新增业务防护策略，

都选择业务防护场景中的默认模板

4、配置地域访问控制。进入【策略/访问控制/地域访问控制】新增拒绝美国地区

的访问

效果预览：

1、公网用户通过网页访问http://出口路由器IP 可以直接访问内网服务器

2、从公网进行攻击测试，攻击不成功，查看[监控/日志/安全日志]有拒绝的信息

3、从公网访问服务器管理后台，弹出需要邮箱认证的页面

4、在[策略/访问控制/地域访问控制]中点击<已拒绝的IP列表>查看有访问行为但被

拒绝访问的美国IP