AF旁路部署完整部署流程!---科普贴(端午节系列一)
  

adds 15394

{{ttag.title}}
    AF版本:7.3

    [color=#某公司公司ff]一、需求
    客户怀疑内网受到攻击,想使用AF进行安全检测。

    [color=#8某公司公司80]二、AF部署
   
     1、恢复密码
     从某公司公司拿来一台设备,没有密码。
     恢复密码:U盘恢复。   ---常规恢复步骤。

    注:AF不支持使用交叉线恢复密码或初厂设置。

    2、升级设备特征库
     如果AF设备能连接互联网,则设备的规则库会自动升级,不需要配置。
     但客户是xx网环境,不能联网,只能手动升级规则库
     (1)下载规则库升级包。
      社区:自助服务--产品资源--下一代防火墙--内墙规则库。
       968145b20bd3bee02f.png

       某公司公司URL库、应用识别库和DLP库需要找4某公司要。
      (2)如何离线升级
      a.登录设备
      路径:系统维护--系统更新--库升级
       864015b20c24f697c5.png
      选中要升级的库,然后点击“离线升级”。
     b.上传本地的升级包,后缀名为.zip。
      500105b20c39294a1c.png
     然后点击“手动更新”。
     c.点击“是”
      222295b20c3b56f21f.png
    然后,系统就会更新规则库。在界面顶部会显示“更新请求已提交,请稍后刷新列表某公司”
    890005b20c3de915a7.png
    d.更新完成的规则库
    336055b20c4be08825.png

    3、配置网络对象
    路径:对象定义--网络对象
    13085b20c5aed215d.png

    新增“服务器”和“10.10.107.5”两个网络对象。

   4、配置接口
    a.新增二层区域。
    路径:网络配置--接口/区域--区域
    812425b20c605c8c27.png

   b.将镜像口加入到上一步建立的区域中
   路径:网络配置--接口/区域--物理接口
    258255b20c6758f2e9.png

    c.第一天配置完成后,客户要求不能只审计和监测10.10.107.5这一台服务器,还需要监测10.10.105.0/24和10.10.107.0/24这两个网段。
    路径:网络配置--接口/区域--物理接口,在“网络对象”中添加定义的“服务器”。
    890725b20c7f4e14a6.png

   5、配置安全策略
   (1)APT--僵尸网络
    路径:内容安全--僵尸网络。
    72875b20c8798ea0a.png

    配置完成:
    376335b20c8de33eab.png

   (2)IPS--防御入侵系统
    路径:IPS-IPS
    352755b20c90799bd0.png

   配置完成:
    966065b20c919518fe.png

   (3)AV--病毒防护
    路径:内容安全--内容安全策略
    17325b20c945ae470.png

    配置完成:
    967635b20c95652f36.png

   (4)WAF--WET应用防护
    路径:服务器保护--WEB应用防护
    182205b20c98327972.png

   配置完成:
    222195b20cfa10e38b.png

  (5)PVS--实时漏洞分析
   路径:风险发现与防护--实时漏洞分析
    538075b20ca6b57c26.png

   配置完成:
    776675b20ca7f33d4c.png

   6、配置管理IP
   (1)配置接口
    路径:网络配置--接口/区域--接口
    选中eth2口,编辑。
    6516860b77872bf01e.png

    配置完成:
    488165b20d38cd7073.png

    (2)配置静态路由
    路径:网络配置--路由--静态路由。
    25585b20d37874158.png

    配置完成:
    347785b20d3a653b7f.png

    三、交换机部署
    1、配置Cisco 镜像口
      272135b22039079d1b.png

      Switch#conf t
Switch(config)#monitor session 1 destinatin interface gi 0/3 (指定连接抓包主机的端口)
Switch(config)#monitor session 1 source interface gi 0/48 both(指定端口0/2,both是进出口包都抓)

      验证下:
       240645b22045daf0a2.png

     输入show monitor seesion 1,可以看到源是Gi0/3,目的是0/48。

     2、验证镜像口是否收到数据
      906445b2203cdb26c2.png

    通过查看接口下的48口,发现已经有数据产生,配置正确。

      3、检查配置镜像是否影响CPU
       878185b2204a86a880.png

     近5分钟内CPU使用正常。

      四、验证
      登录防火墙验证设备是否有接收流量
      1、系统状态--接口吞吐率
       81355b2206aae63f2.png

      可以看到设置已经接到了交换机镜像口的数据。




附:AC-12.0.8的界面很炫,一起来看下。
650665b20d46eb1be3.png

打赏鼓励作者,期待更多好文!

打赏
20人已打赏

河北汇友user 发表于 2018-6-19 10:21
  
感谢分享
sangfor_闪电回_小六 发表于 2018-6-20 09:15
  
很详细,AC-12.0.8看起来很不错哦~:爱你:
一骑绝尘 发表于 2018-6-20 09:47
  
不明觉厉,慢慢消化吧。
痴笑Memory 发表于 2018-6-21 11:07
  
感谢分享,辛苦啦
念友真爱 发表于 2018-6-23 01:20
  
不错,学习了,发帖辛苦,看帖鼓舞
leyshan 发表于 2018-6-23 19:06
  
发帖辛苦,支持一下
虫子飞飞 发表于 2018-6-23 21:49
  
感谢分享,辛苦啦
一骑绝尘 发表于 2018-6-25 08:40
  
感谢分享
single_man_wl 发表于 2018-6-27 15:57
  
很详细,get~
发表新帖
热门标签
全部标签>
每日一问
信服课堂视频
技术笔记
GIF动图学习
项目案例
产品连连看
专家分享
在线直播
新版本体验
技术咨询
技术圆桌
答题自测
功能体验
每日一记
安装部署配置
排障笔记本
原创分享
测试报告
畅聊IT
SDP百科
专家问答
上网策略
云计算知识
干货满满
网络基础知识
安全攻防
VPN 对接
SANGFOR资讯
MVP
升级
日志审计
问题分析处理
流量管理
运维工具
用户认证
解决方案
sangfor周刊
技术顾问
信服故事
标准化排查
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告

本版版主

397
101
61

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

新手58573...

本周分享达人

新手58573...

本周提问达人