本帖最后由 清风慕竹 于 2019-11-12 13:02 编辑
大家好,楼主于2017年7月份进入社会,在工作中大哥告诉我进入这一行首先要学会最基本的路由交换,因此最初3个月我都是在跟大哥学习路由交换的基础知识,10月份才刚刚开始碰深信服的产品,最早碰的产品是AC,第二个产品是下一代防火墙,现将第一次的下一代防火墙分享,希望能对大家有帮助,也希望各位大佬多多指出问题所在。 一、情景在线 客户新购买了一台深信服的下一代防火墙,希望能够替代出口路由器,对内网的服务器能够有一定的防护,如SQL注入、XSS等,外网用户能够访问内网的服务器等,内网用户一些最基本的防护,如淘宝、视频等能够禁止。 二、配置思路 2.1、区域划分 2.2、接口地址配置 2.3、路由配置 2.4、应用控制策略配置 2.5、代理上网 2.6、服务器映射 三、后期维护 3.1、端口映射不生效 排查思路: ①开直通测试 注:测试成功,查看相关的直通日志-查看丢包标记,可能安全防护策略拦截、应用控制或内容安全测试拦截。 ②测试服务器端口是否可通 注:如果不通,就是内网或服务器本身问题,建议尝试关闭服务器自身防火墙或安全软件,查看服务器与NGAF的通信是否异常。 ③测试目的端口是否可通 注:如果不通,应该是运营商禁用知名端口,如80,8080等,建议修改目的端口。 ④仔细检查地址转换配置 注:检查策略是否冲突,映射地址是否配置在对应的外网接口上。 ⑤尝试双向地址转换 注:如果通,就是有可能是内网或服务器本身问题。 ⑥视频会议/FTP/IP电话等映射 注:配置双向地址转换测试来测试;系统-系统配置-网络参数-SIP 端口和H.323留空测试;全端口映射测试等。 3.2、上架断网,网络不通 排查思路: ①物理层排错 通过更换邻接设备的网口甚至邻接设备本身来定位是否AF设备故障还是环境问题; ②链路层排错: 1、检查双工及速率,通过AF控制台页面【网络配置】-【物理接口】-【工作模式】确认; 2、根据状态是否异常进行调整; 3、若状态正常或调整后仍异常,则检查网口丢包错误包情况; 4、查看各个接口的errors/dropped后面的数字,运行多次命令,看其数值是否增加,且增加速度快; ③网络层排错 1、检查ip冲突情况,可通过检查邻接设备arp表项该ip对应的mac是否变动或者mac根本不是设备的mac; 2、查看路由表情况; 3、考虑运营商或前置设备限制情况,在设备上面ping外网定位是否受限。 4、检查DNS配置是否正确 注:网络层排错适用于设备路由模式部署或混合模式部署等要求设备路由转发的情况,虚拟网线或透明网桥等部署则可以略过此步,直接往应用层方面排错。 ④应用层排错 检查各个策略设置情况来定位,通过控制台页面-【系统维护】-【数据包拦截日志与直通】功能进行定位; 开启直通后仍然无法解决,保持直通未关闭状态,对控制台页面-【系统】-【全局排除地址】填写故障网段或具体ip; 直通后正常则需定位具体拒绝模块从而调整策略配置,首先查看拦截日志,看能否定位具体策略和模块的,另外还可以通过【数据中心】日志来查看; 3.3、对接VPN不成功 排查思路: ①IPSEC VPN第三方对接不成功,一般都会有对接不成功的日志,然后根据日志进行针对性排查,例如日志里显示第一阶段不成功,先确认两端部署模式,然后按步骤检查第一阶段配置可能存在的问题,建议直接查看系统日志,日志筛选“DLAN总部”,点击调试日志,具体看调试日志有什么报错,根据对应的提示,检查两端相应的配置,根据提示着重查下两端共享密钥是否正确,两端验证的身份类型ID是否配置有问题。 ②开直通测试,直通配置路径,如下: (1)以标准版本AF7.3版本操作路径示例:可在【系统维护】-【数据包拦截日志与直通】配置; (2)以标准版本AF7.4版本操作路径示例:可在【系统】-【排障】-【数据包拦截日志与直通】配置。 ③抓包分析数据包走向 ④确定对端的路由设置、安全策略设置 ⑤若出口是ASDL拨号的,确定是否是保留地址 3.4、控制台登录不上 排查思路: 请查看我的另外一篇分享: | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2019-11-12 14:23
发表于 2019-11-12 15:06
技术研究员1级 
