AF基础知识

1.灯
    1. 告警灯在设备启动期间是红灯长亮的。通常一两分钟后红灯熄灭，说明正常启动。如红灯长时间不灭，请关闭设备等待5分钟后重新开机。
    2. 如果还是长亮，请联系深信服科技客服确认是否设备损坏。正常启动后，有时红灯会闪烁，属于正常现象，红灯闪烁表示设备正在写系统日志。
2.DMZ区放置对外提供服务的Web服务器、EMAIL服务器等。
3.部署模式
    路由模式、透明模式、虚拟网线模式、旁路模式和混合模式
        虚拟网桥
            是透明部署中另外一种特殊情况，无需检查MAC表，直接从虚拟网线配对的接口转发，且虚拟网线转发效率高于透明模式。
        混合模式---通常是服务器需要对外提供公网IP
        旁路部署--开启旁路-reset----允许设备发出TCP RESET报文，从而实现部分安全防护功能
            支持的功能仅有：APT（僵尸网络）、PVS（实时漏洞分析）、WAF（web应用防护）、漏洞攻击防护、DLP（数据泄密防护）和网站防篡改部分功能（客户端保护）
4.接口的下一跳网关仅用于接口的链路检测和策略路由功能，设置了下一跳网关，不会在设备上产生0.0.0.0/0的缺省路由，需要手动设置默认路由。
5.日志存储方式有防火墙（本地）、态势感知系统和syslog三种方式，防火墙默认存储日志在本地上，主要受设备磁盘大小制约。
6.应用流量标签：外发文件泄密风险、高带宽消耗、降低工作效率、发送电子邮件、论坛和微博发帖。
7.告警通知目前仅支持邮件告警和短信告警
    短信告警不支持运营商网关，只支持短信猫

8.应用控制策略--不同用户以什么样的权限去访问什么网络资源，同一用户在不同时间段去访问资源的权限也有所不同。
9.应用控制策略--高级选项--长连接--1-15day，日志选项--默认不开启
10.策略优化的策略分析设置--低误判分析模式和全局分析模式--严重问题、一般问题和建议优化
11.策略生命周期管理的导出日志格式是.cve格式的表格
12.连接控制仅针对TCP有效  
13.访问控制有四种类型：应用访问控制、地域访问控制、本机访问控制、连接数控制
14.根据转换方式的不同，NAT66可以分为NPTv6和静态NAT66。
15.安全防护策略是统一配置安全功能的入口，在这里可配置实时漏洞分析、漏洞攻击防护、内容安全、Web应用防护、防篡改2.0、僵尸网络等6大安全功能
16.CDN（内容分发网络）是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。
17.内容安全：杀毒文件大小限制：限制杀毒文件的大小，默认为10M，最大支持20M。
18.DoS/DDoS攻击类型：点击<已选防护:SYN洪水攻击防护…>，分别设置SYN Flood、UDP Flood、DNS Flood和ICMP Flood的阈值
19.证书
    导入一个文件证书--导入后缀为pfx、p12的证书文件，该文件包含公钥、私钥和密码，导入时需要输入密码对该文件进行解密。
    一对公私钥--导入公私钥证书，公钥支持后缀为PEM、DER的文件，私钥支持后缀为PEM、DER、PVK的文件，导入完成后点击确定即可。

20.上网认证方式：设备自动发现并创建；管理员手动创建；从csv表格文件中导入；从外部的LDAP服务器上导入；扫描网络上的计算机，并导入。
21.绑定IP/MAC地址：分两种绑定方式分别为单向绑定和双向绑定。
    单向绑定：用户只能使用指定的地址认证，但其它用户也允许使用该地址进行认证。
    双向绑定：用户只能使用指定的地址认证，并且指定的地址只能是该用户使用。

22.监听模式只能监听到用户登录的信息，用户注销时没有数据，故无法监听到注销的状态，所以可能会出现PC已经注销了，但设备的在线用户列表中还没有注销此用户。
23.web应用防护高级防护功能X-Forwarded-For：头部字段：识别插入的HTTP头部字段，目前能够识别X-Forwarded-For、Cdn-Src-Ip和Clientip三种，也可以自定义进行配置。
24.攻击者利用COOKIE的方式一般有两种：盗用COOKIE和篡改COOKIE，盗用COOKIE是为了伪造合法身份欺骗服务器，篡改COOKIE是为了利用服务器实现上的逻辑缺陷。
25.web应用防护的参数防御：只需要启用即可，为设备自主学习，但达到主动学习阀值是，学习完成，自动绑定，相关参数。
26.CC攻击：攻击者借助代理服务器生成指向受害主机的合法请求，实现DDOS和伪装就叫：CC(Challenge Collapsar)。
27.跨站伪造请求(Cross Site Request Forgery，CSRF)，也被称成为“one click attack”或者session riding，通常缩写为CSRF或者XSRF，是一种挟制终端用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
28.动作：描述如果设备检测到该攻击行为时，设备所采取的动作，包括[启用，检测拦截]、[启用，检测后放行]、[启用，与云分析引擎联动]、禁用四种。
29.聚合接口不支持旁路镜像模式
30.AF本身不转发组播流量，如果需要AF指出转发组播流量，则需要配置多播路由用于转发组播路由,如下图所示。
31.VPN日志最大支持10M
32.带外管理，带外管理可以很好的将客户的业务网络与管理网络进行路由隔离，并配置指定的流量匹配指定的路由进行转发。
33.SNMP Trap：SNMP Trap功能用于主动发送SNMP信息到管理端，以方便管理员实时监控AF的运行状态。
34.从自动备份中恢复，设备会在每日凌晨自动备份一次配置，默认保存一周的配置文件，选择要恢复的配置文件，点击<恢复>即可。

感谢楼主分享！文章对AF的一些基础知识和常见坑点问题的解决很有帮助，建议可以按模块进行分布整理，这样后续的不断总结归纳会更简单方便，期待楼主带来更多有价值的分享

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

web应用防护高级防护功能X-Forwarded-For：头部字段：识别插入的HTTP头部字段，目前能够识别X-Forwarded-For、Cdn-Src-Ip和Clientip三种，也可以自定义进行配置。

感谢分享，学习了！！！！！

还有自动备份配置的功能？真没注意

感谢楼主分享，学习一下！！！！！！！！

感谢楼主分享，学习一下！！！！！！！！

感谢楼主分享，学习一下！！！！！！！！