注意事项:
1)AF需可以联网且版本要求8.0.85R(已打智能引流包)或以上版本,若无AF其他特殊需求,优先建议用95版本测试交付。95版本相较85R版本支持模式更多、云情报接入状态页面展示的前端页面展示效果更好且新增支持云威胁情报日志,对客户网络带宽、流量走向影响更小,网络复杂或带宽负载较高时优先建议使用95版本进行交付。
2)使用云威胁情报网关,必须满足业务口IP、探测口IP都可以联网三个条件。云威胁情报网关是云端服务,因此必须af本身能够联网对接云端,而云威胁情报网关工作会产生两个部分的流量:
a. 使用专有协议封装业务流量去云端PoP服务器进行检测,走的是业务口。与业务口是绑定的,要求业务口必须能访问位于公网的PoP服务器。
b. 探测口链路探测流量,类似心跳通信,用专有协议封装ping流量去探测与PoP服务器的链路存活性,因此探测口必须能够访问到位于公网的PoP服务器且出网路径应与实际业务流量出网路径一致,以发挥链路探测的作用。若客户环境由于其他原因无法满足该条件,则暂不支持云威胁情报网关。
①. 对路由部署,链路探测接口会自动复用路由业务口,无需额外配置;
②. 对透明部署,则必须有一个能上网的vlan接口。可以复用管理vlan或新起一个;
③. 对虚拟网线部署,则必须有一个能上网的三层接口(不能为带外管理口),并将其连接到上游(推荐)或下游(需要额外配置二次穿透)设备。可以复用普通三层管理口或新起一个。
3)云威胁情报网关支持多线路场景,即多个可以访问互联网的接口且都需要云威胁情报网关进行防护;支持聚合接口,将聚合接口当作普通接口配置即可;不支持子接口;不支持IPV6。
4)若防火墙上游有安全设备,建议在上游将PoP IP地址进行加白,否则可能导致上游设备拦截云威胁情报网关通信数据包。(PoP IP 地址接入云威胁情报网关时可以获取到)
5)透明及虚拟网线部署模式时,不能部署在整个出口设备(配置公网地址的设备)的上游。二层部署时链路探测口往往接入到AF的下游。如下典型拓扑eth3为普通管理口,也为云情报网关链路探测口,eth3发出的链路探测流量其响应包必须在eth3解包处理,而非eth1,因此需要配置二次穿透。eth1送检云端的封装的业务流量其响应包必须在eth1解包处理,这部分流量不能被穿透。而在配置二次穿透策略时无法区分两种流量(因为经过出口设备发生地址转化,源ip都为出口ip,目的ip都为PoP服务器),因此二次穿透策略无法配置,该场景不支持。
6)遇到复杂拓扑或网络环境无法确认,收集以下信息联系区域客服专家协助确认:
a.客户名称
b.整体网络拓扑 及 内外网业务流量走向
c.客户流量带宽摸底(带宽上限、高峰期带宽)
d.上下游设备摸底(控制策略、流控、地址转换、 硬件参数)
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-8-26 09:38
技术员1级 
