《深信服防火墙地址转换.ppt》由会员分享,可在线阅读,更多相关《深信服防火墙地址转换.ppt(31页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、SANGFOR NGAF防火墙功能介绍培训内容培训目标地址转换功能介绍了解源地址转换,目的地址转换,双向地址转换的应用场景,掌握源地址转换,目的地址转换,双向地址转换的设置方法。DOS/DDOS防护功能介绍了解DOS和DDOS功能的作用和应用场景,掌握DOS和DDOS功能的推荐配置方法。其它功能介绍连接数控制:掌握连接数控制的配置方法DNS mapping:了解DNS mapping功能的应用场景,掌握设置方法ARP欺骗防御:了解ARP欺骗防御功能的应用场景和设置方法地址转换功能介绍地址转换功能介绍地址转换(NAT):在计算机网络中,网络地址转换(Network Address Transla
2、tion,简称NAT)是一种在IP数据包通过路由器或防火墙时重写源IP地址/目的IP地址的技术。源地址转换(SNAT):源地址转换即内网地址访问外网时,将发起访问的内网IP地址转换为指定的IP地址,内网的多台主机可以通过同一个有效的公网IP地址访问外网。典型应用场景:设备路由部署在公网出口代理内网用户上网目的地址转换(DNAT):目的地址转换也称为反向地址转换或地址映射。目的地址转换是一种单向的针对目标地址的地址转换,主要用于内部服务器以公网地址向外网用户提供服务的情况。典型应用场景:外网用户访问服务器所在网络出口线路的公网地址时,直接访问到内部服务器。(如WAN-LAN端口映射)地址转换功能
3、介绍双向地址转换:双向地址转换是指在一条地址转换规则中,同时包含源地址和目标地址的转换,匹配规则的数据流将被同时转换源IP地址和目标IP地址典型应用场景:内网用户通过公网地址访问内网服务器(如LAN-LAN端口映射)地址转换功能介绍源地址转换功能应用举例需求:客户网络环境如图,AF防火墙部署在网络出口,下接三层交换机,内网有PC和服务器,客户要求:AF防火墙代理内网PC和服务器上网。解决方案:在AF设备上做源地址转换 步骤一:在【网络配置】的【接口/区域中】定义好接口地址和“区域”,在【对象定义】的【IP组】中定义好“内网IP组”源地址转换功能应用举例源地址转换功能应用举例规则匹配次数,可用于
4、检测规则是否配置正确目的地址转换功能应用举例需求:客户网络环境如图,AF防火墙部署在网络出口,内网有WEB服务器。客户需要将WEB服务器发布到公网,让公网所有用户都可以通过http:/2.2.2.2访问到该服务器。解决方案:在AF设备上做端口映射(即目的地址转换)目的地址转换功能应用举例 步骤一:在【网络配置】的【接口/区域】中定义好接口地址和“区域”,在【对象定义】的【IP组】中定义好“外网接口IP”目的地址转换功能应用举例公网的数据包过来,目的地址是设备公网地址则进行转换公网访问的端口服务器私网地址服务器提供服务的真实端口双向地址转换功能应用举例需求:客户网络环境如图,AF防火墙部署在网络
5、出口,内网有WEB服务器。已经申请了域名指向2.2.2.2,客户需要内网所有用户都可以通过访问WEB服务器。解决方案:在AF设备上做双向地址转换双向地址转换功能应用举例 步骤一:在【网络配置】的【接口/区域】中定义好接口地址和“区域”,在【对象定义】的【IP组】中定义好“内网IP组”和“外网接口IP”双向地址转换功能应用举例经过目的地址转换后,最终也是访问内网区域将源IP转换成出接口IPDOS/DDOS防护功能介绍DOS/DDOS防护DOS攻击:DOS是Denial of Service的简称,即拒绝服务,造成DOS的攻击行为被称为DOS攻击,其目的是使计算机或网络无法提供正常的服务。DDOS
6、攻击:DDOS是Distributed Denial of service,即分布式拒绝服务攻击,很多DOS攻击源一起攻击某台服务器或某个网络,就组成了DDOS攻击。SANGFOR AF设备的DOS/DDOS防护功能分成“外网防护”和“内网防护”两个部分。外网防护:主要对目标地址做重点防御,一般用于保护内部服务器不受外网的DOS攻击。(该外网为用户自己定义的攻击源区域,不一定非指Internet)内网防护:主要用来防止设备自身被DOS攻击。DOS/DDOS防护外网防护配置介绍:自定义名称和描述选择DOS/DDOS攻击发起方所在的区域若设备在每秒单位内接口收到源区域所有地址的ARP包超过阈值时,
7、则会被认为是攻击若设备在每秒单位内收到来自源区域的单个IP地址/端口扫描包个数超过阈值,则会被认为是攻击点击可选择DOS/DDOS攻击防护类型选择要保护的目标服务器或者服务器组选择需要进行DOS/DDOS攻击检测 的数据包类型,并配置检测阈值,当设备在每秒单位内收到来自源区域访问同一个目标IP的数据包超过所设置的阈值时,则会被认为是攻击。配置完成,点击确定保存每目的IP激活阈值:当多个攻击者发送给同一目标地址的SYN TCP握手报文达到激活阈值时,则 启用Syn-cookie代理。每目的IP丢包阈值:当多个攻击者发送给同一目标地址的SYN TCP握手报文达到丢包阈值时,后续请求被丢弃。每源IP
8、阈值:从一个源攻击者发送给对应区域的目标ip集合的SYN TCP握手报文达到阈值时,后续请求被丢弃。点击可选择数据包攻击防护类型不同的数据包类型,攻击方法和设备的检测方法都不一样,可根据需求选择数据包类型。注意:“IP数据块分片传输防护”建议不要勾选点击确定,保存配置点击可选择IP协议报文防护类型勾选需要进行异常报文侦测的IP协议报文类型配置完成,点击确定保存点击可选择TCP协议报文防护类型勾选需要进行异常报文侦测的TCP协议报文类型。配置完成,点击确定保存 勾选后对于检测到的攻击进行日志记录勾选后,当检测到有攻击时,则阻断攻击数据包配置完成,点击提交配置外网防护时,除内容里特别注明不能勾选的
9、项外,其它均可以勾选,勾选后,请注意设置好阈值,建议使用默认的阈值。DOS/DDOS防护内网防护配置介绍:勾选即开启内网DOS防护发起DOS攻击的区域设置哪些地址允许经过防火墙,若选择“仅允许以下IP 地址数据包通过“,那么没有填写的地址将直接丢弃。选择内网环境,若内网是三层环境,一定不能勾选第二项设置不需要进行DOS检测的地址设置DOS检测参数,建议使用推荐参数。勾选后,当设备检测到DOS攻击时,将产生日志记录配置完成,点击保存注意事项1.设置DOS/DDOS“外网防护”时,数据包按照从上往下的顺序匹配,当匹配到任何一个攻击行为后,便将数据包丢弃,不会再往下匹配。如果数据包没有匹配到前面的攻
10、击行为,则会继续往下匹配。2.对于“基于数据包的检测”、“基于报文的检测”的规则,在开启直通的情况下仍然检测并丢包。3.在配置DOS/DDOS攻击防护时,目标IP建议只填写服务器所在的IP组(不建议填写全部IP),且每个IP组中设置不超过400个IP地址。其它功能介绍连接数控制 连接数控制:设置单IP的最大并发连接数。当内网使用P2P下载等应用时,在短时间内会发送很多连接,影响网络设备的性能,此时可以使用“连接数控制”来限制单IP的最大连接数,减少网络损耗。注:连接数控制只匹配源区域。连接数控制 配置介绍:选择需要进行连接数限制的源区域及源IP组根据需求设定单个IP最大并发连接数的值点击提交,
11、保存配置DNS mapping作用:DNS Mapping应用于内网用户通过公网域名访问内网的服务器,实现的效果与双向地址转换规则一样。与双向地址转换的区别:1.设置DNS Mapping后,内网访问服务器的数据将不会经过防火墙设备,而是直接访问的服务器内网IP。双向地址转换则是所有数据都会经过防火墙去访问。所以通过DNS Mapping可以减轻防火墙压力。2.DNS Mapping的设置方法比双向转换规则简单。不涉及区域、IP组、端口等设置,但要求客户端访问时必须使用域名去解析。3.DNS Mapping不支持一个公网IP映射到多台内网服务器的情况。而双向地址转换功能没有此限制。DNS ma
12、pping1、PC向DNS服务器请求的ip2、dns服务器返回的ip是2.2.2.33、AF修改dns回复包将地址改成 192.168.1.24、pc直接访问192.168.1.2配置如图:1234ARP欺骗防御ARP欺骗是一种常见的内网病毒,中病毒的电脑会不定时地向内网发送ARP广播包,使内网机器的正常通信受到干扰和破坏,严重时会导致整网断网。AF设备的ARP欺骗防御通过不接受有攻击特征的ARP请求或回复来保护设备本身的ARP缓存,实现设备对ARP欺骗的自身防御。同时,设备将定时广播自己的MAC地址给内网用户,以防止欺骗机伪装成网关MAC欺骗内网用户。ARP欺骗防御 配置介绍:勾选即开启“A
13、RP欺骗防御”功能,设备将定时广播自己的MAC地址设定设备广播MAC地址的时间间隔,范围为1-1800之间注意事项1.当同时做了DNS mapping和双向地址转换时,若用户端以域名访问服务器,则DNS mapping生效;若用户端以IP访问服务器,则双向地址转换生效。2.【ARP欺骗防御】中,“网关MAC广播”只会广播设备非WAN属性接口的MAC,如果需要定期广播WAN接口的MAC地址,则需开启“免费ARP”功能。在【系统】-【系统配置】-【网络参数】中,勾选“免费ARP“动动手某用户网拓扑如右图,AF设备路由部署在公网出口,出口IP地址:2.2.2.2,绑定域名为,内网有邮件服务器,现内网PC需要通过访问登陆邮件服务器收发邮件,请问有哪些方法可以满足用户的需求?分别该如何配置?1.AF设备支持哪几种地址转换功能?各用于什么场景?2.用户内网有三层交换机,启用DOS内网防护时,就会出现断网,日志记录的DOS告警源MAC地址都是三层交换机的MAC地址,这时该怎么设置?3.请简述双向地址转换与DNS Mapping的区别?问题思考