威胁情报配置二次穿越的一些理解

一、背景

我们在配置云威胁情报网关时，经常会遇到AF串接在网络中间的情况，此时AF配置的管理地址或者vlan接口地址的网关往往会指向内网核心，而非防火墙WAN口上游IP，此时AF的IP地址至POP节点的数据将从防火墙的LAN口转交至核心，再由核心过AF的LAN/WAN网口向外转发，这样会导致数据多次经过AF，这样数据多次经过AF的安全模块之后，可能会存在被拦截风险，而导致AF的IP地址无法持续与POP节点建立连接，致使策略不生效。

二、原因分析

防火墙的安全检测机制，会对数据包的一些状态进行检测，当防火墙收到同一组五元组的数据经过设备，但是比如时间戳等信息不具备连贯性，就会认为中间有会话劫持等攻击性动作，而导致数据会被误拦截。

三、解决方案

通过防火墙配置二次穿越能力来解决，具体位置[网络]-[高级网络]-[多次穿越设置。

四、配置步骤

1、[网络]-[接口界面，核对具体LAN/WAN接口和配置模式。

2、威胁情报接入参考手册(https://support.sangfor.com.cn/p ... &category_id=300922)，基于上面接口信息，在“云威胁情报网关防护”模块，选择“情报对接接口”和“状态检测接口”。

3、[对象]-[网络对象中定义AF的管理IP和POP节点地址池。

4、在[网络]-[高级网络]-[多次穿越设置中，配置二次穿越，包含数据出去和数据回来，两条穿越策略。

5、配置之后，可以看到AF连接POP点延迟在50ms以内，送检次数在不断增加，威胁情报功能正常运行。

备注：除了威胁情报网关场景，其他一些同一五元组数据多次经过AF，亦是因为此原因，需要配置二次穿越，比如“PC-网桥1-核心-网桥2-服务器”等。