【8月14日-技术盲盒】高频知识汇总-AF篇（三）

一、AF性能相关的模块和部署模式之间性能耗损（目前没有较为详细的说明）

几种部署模式的应用场景：

路由模式的应用场景：现有环境没有路由器当网关的情况下，需要用AF做路由，并且需要实现代理上网/发布内网服务，路由选路，VPN连接等功能。---相应的涉及到流量转发物理模块负载相对较大

透明模式、虚拟网线的应用场景：支持所有的安全防护功能（如IPS、WEB应用防护、僵尸网络等），适用于不改变原有环境只需要用到AF的安全防护功能（不需要用到VPN、路由、NAT等功能）的场景 （单进单出网桥的网络，两个模式可以通用）---涉及流量转发物理模块负载较小

混合模式的应用场景：主要是指AF的各个网口，既有2层口，又有3层口的情况。特别是当DMZ区域服务器集群需要配置公网IP地址的时候，混合模式部署相应的安全功能都支持，如IPS、WEB应用防护、僵尸网络、应用控制、内容安全、实时漏洞分析等都支持

旁路模式的应用场景：设备以旁挂在内网交换机或者路由器上，实现防护功能，可以完全不需改变用户的网络环境，并且可以避免设备对用户网络造成中断的风险。

单臂模式的应用场景：设备以旁挂在内网交换机或者路由器上，单臂口是路由口，支持路由功能，需要直连的网络设备做策略路由，将数据引流经过AF。

除去性能相关模块的其他区别

路由模式：所有业务口都是三层路由口，必须配置IP地址照路由表以及arp表进行转发数据。

透明模式：所有业务口都二层透明口，分为access和trunk属性。

虚拟网线模式：所有业务口都是虚拟网线口，不需要检查路由转发规则，直接对数据进行转发或者拦截，可以理解成一根网线的二端。

混合模式：所有业务口中既有二层透明口也有三层路由口

旁路模式：旁路模式部署下接口都是镜像口，不支持路由转发功能，需要配合交换机做镜像配置使用

单臂模式：单臂接口是路由口，支持路由功能，策略配置跟路由模式配置相似

二、IPSEC对接隧道数量和配置公网数量的关系

与第三方厂商设备：AF的IPSecVPN是标准协议，只要对方厂家支持标准IPSecVPN协议，且我们与第三方设备通信正常就能对接，AF上需要有IPSecVPN模块授权和分支机构授权（主要看授权数量）

1.以标准版本AF8.0.35-8.0.59示例:【系统】-【通用配置】-【授权管理】-【授权情况】中看是否有网关模块和分支机构的序列号

2.以标准版本AF7.4-8.0.32示例:【系统】-【系统配置】-【通用配置】-【序列号】中看是否有开启IPSEC VPN模块、分支机构的序列号

3.以标准版本AF7.3版本示例：【系统】-【系统配置】-【序列号】-【多功能序列号】是否有IPSEC VPN模块授权、【网关序列号】需要有分支机构的授权

与深信服设备：AF可以和支持VPN的深信服设备通过SangforVPN建立VPN，如AC、SSL、阿里云AF，无需授权。也可以对接标准IPSecVPN（不需要分支机构授权）

针对ipsec对接隧道数量和配置公网数量的关系

1.一个外网线路可以对接多个隧道可以一对多

2.对接这个的隧道数量需要看授权的分支机构数量

3.和版本也有关系，因为8.0.2版本前是对wan口数量有限制，但8.0.2版本后wan口数量没有限制

三、解密可以实现的效果和实现原理

AF的SSL解密的作用：用于解密外网访问内网服务器发布的HTTPS业务和内网访问互联网HTTPS网站的数据

AF的SSL解密的原理：

1、解密内网服务器发布的业务需要NGAF导入服务器的证书（包含数字证书和私钥），当用户访 问服务器的业务时，NGAF可以用私钥解密出访问服务器的数据来分析针对服务器的IPS和WAF攻击，根据策略动作对数据进行处理

2、解密访问站点的数据是NAGF充当SSL中间人，一方面冒充服务器与客户端进行SSL握手，同时作为一个SSL客户端又与目标服务器进行另一次SSL握手，通过建立两条SSL连接，解密用户访问服务器的数据并进行保护，主要用于加密的邮件安全、https杀毒、https url过滤、https的上传下载过滤

AF解密模块的功能有保护服务器和保护客户端两种：

1、保护服务器场景，解密用于解密访问指定https服务器的流量，将解密出来的明文数据送到IPS、WAF等功能检测

2、保护客户端场景，主要用于内网用户通过设备上网，解密的是加密邮件和HTTPS数据的流量，将解密的数据送到网关杀毒、IPS策略匹配和url过滤等功能检测

下附详细配置步骤文档：