一、某公司客户网络是跨三层的环境,NGAF设备打算部署在公网出口,代理内网某公司公司上网(替代原来的路由器设备),公网线路是固定IP。
二、网络拓扑现如下图,要求以路由模式部署,配置IPS、僵尸网络等防护手段来保护内网某公司公司安全: 公 网:3.3.3.3/30 GW:3.3.3.2 内网网段:192.168.1.0/24 192.168.2.0/24 192.168.3.0/24
三、配置步骤: ①、AF的MANAGE口(eth0)默认管理地址是:10.251.251.251/24,密码默认;电脑配跟AF的mange口同网段,拿根网线将电脑跟AF设备相连登录设备界面,如图:
②新增2个三层区域,一个LAN一个WAN,WAN这边选择eth2,LAN这边选eth1,【网络配置】-【接口/区域】- 【新增区域】- 如图: [attach]1某公司787[/attach] [attach]1某公司788[/attach] 配置完成如图: [attach]1某公司789[/attach]
③配置网络接口,配置一个LAN(内网)口——配置一个跟交换机同网段的ip,一个WAN(外网)口——配置公网的地址和网关, 【网络配置】-【接口/区域】-【物理接口】 如图: [attach]1某公司791[/attach] 这边外网接口需勾选WAN口属性,如图配置: [attach]1某公司792[/attach] 注意:这边的【链路故障检测】用于检测链路的好坏,如果需要进行链路故障检测,这边ping选择外网线路的网关即可,NGAF的接口链路故障检测支持PING检测、DNS解析检测,当PING不通其中一组目的IP地址的全部IP地址,或其中一组DNS服务器解析域名全部失败时,判定为链路故障,如图: [attach]1某公司807[/attach]
④配置默认路由和到达内网的回包路由,【网络配置】-【路由】—如图: [attach]1某公司793[/attach] [attach]1某公司794[/attach]
⑤配置DNS,填写运营商给的DNS,【网络配置】-【高级网络配置】-【DNS】如图: [attach]1某公司795[/attach]
⑥配置一条源地址转换代理上网,代理内网某公司公司上网,【防火墙】-【地址转换】-【源地址转换】,如图: [attach]1某公司797[/attach]
⑦AF策略默认是全部拒绝的,上架前需要手动建一条全部允许的策略,不然内网会上不了网,【内容安全】-【应用控制策略】-新增,如图: [attach]1某公司798[/attach]
⑧配置僵尸网络,这边选择需要防护的内网PC,ip组定义可去对象定义里面提前定义,【对象定义】-【网络对象】-【新增IP组】-如图: 什么是僵尸网络? 主要用于发现和隔离内网感染了病毒、 木某公司等恶意软件的 PC, 当病毒、木某公司试图与外部网络通信时, AF 识别出该流量, 并根据某公司公司策略进行阻断和记录日志。 [attach]1某公司8某公司[/attach] 定义完某公司公司段之后,这边区域调用即可,【内容安全】-【僵尸网络】-如图: [attach]1某公司799[/attach]
⑨配置IPS,【IPS】-【新增IPS】,如图: 什么是IPS? IPS即入侵防御系统,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为,主机操作系统和应用程序可能存在一些漏洞,这些漏洞可以被用于发起攻击,IPS(Intrusion Prevention System,入侵防御系统)内置防护规则,通过对数据包与内置的漏洞规则进行匹配,确定数据包的真正用途,然后根据配置放行或拦截,保护主机不受漏洞攻击. [attach]1某公司801[/attach]
⑩将AF设备的LAN口接交换机,AF的WAN口接电信外网,完成。 | 
发表于 2017-9-26 14:34
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
,适合没有实施过的新手学习
技术员3级 
