深信服防火墙地址转换

《深信服防火墙地址转换》由会员分享，可在线阅读，更多相关《深信服防火墙地址转换（31页珍藏版）》请在装配图网上搜索。

1、SANGFOR NGAF防火墙功能介绍培训内容培训目标地址转换功能介绍了解源地址转换，目的地址转换，双向地址转换的应用场景，掌握源地址转换，目的地址转换，双向地址转换的设置方法。DOS/DDOS防护功能介绍了解DOS和DDOS功能的作用和应用场景，掌握DOS和DDOS功能的推荐配置方法。其它功能介绍连接数控制：掌握连接数控制的配置方法DNS mapping：了解DNS mapping功能的应用场景，掌握设置方法ARP欺骗防御：了解ARP欺骗防御功能的应用场景和设置方法地址转换功能介绍地址转换功能介绍地址转换(NAT)：在计算机网络中，网络地址转换Network Address Translat

2、ion，简称NAT是一种在IP数据包通过路由器或防火墙时重写源IP地址/目的IP地址的技术。源地址转换(SNAT)：源地址转换即内网地址访问外网时，将发起访问的内网IP地址转换为指定的IP地址，内网的多台主机可以通过同一个有效的公网IP地址访问外网。典型应用场景：设备路由部署在公网出口代理内网用户上网目的地址转换(DNAT)：目的地址转换也称为反向地址转换或地址映射。目的地址转换是一种单向的针对目标地址的地址转换，主要用于内部效劳器以公网地址向外网用户提供效劳的情况。典型应用场景：外网用户访问效劳器所在网络出口线路的公网地址时，直接访问到内部效劳器。如WAN-LAN端口映射地址转换功能介绍双向

3、地址转换：双向地址转换是指在一条地址转换规那么中，同时包含源地址和目标地址的转换，匹配规那么的数据流将被同时转换源IP地址和目标IP地址典型应用场景：内网用户通过公网地址访问内网效劳器如LAN-LAN端口映射地址转换功能介绍源地址转换功能应用举例需求：客户网络环境如图，AF防火墙部署在网络出口，下接三层交换机，内网有PC和效劳器，客户要求：AF防火墙代理内网PC和效劳器上网。解决方案：在AF设备上做源地址转换 步骤一：在【网络配置】的【接口/区域中】定义好接口地址和“区域，在【对象定义】的【IP组】中定义好“内网IP组源地址转换功能应用举例源地址转换功能应用举例规那么匹配次数，可用于检测规那么

4、是否配置正确目的地址转换功能应用举例需求：客户网络环境如图，AF防火墙部署在网络出口，内网有WEB效劳器。客户需要将WEB效劳器发布到公网，让公网所有用户都可以通过访问到该效劳器。解决方案：在AF设备上做端口映射即目的地址转换目的地址转换功能应用举例 步骤一：在【网络配置】的【接口/区域】中定义好接口地址和“区域，在【对象定义】的【IP组】中定义好“外网接口IP目的地址转换功能应用举例公网的数据包过来，目的地址是设备公网地址那么进行转换公网访问的端口效劳器私网地址效劳器提供效劳的真实端口双向地址转换功能应用举例需求：客户网络环境如图，AF防火墙部署在网络出口，内网有WEB效劳器。已经申请了域名

5、指向，客户需要内网所有用户都可以通过访问WEB效劳器。解决方案：在AF设备上做双向地址转换双向地址转换功能应用举例 步骤一：在【网络配置】的【接口/区域】中定义好接口地址和“区域，在【对象定义】的【IP组】中定义好“内网IP组和“外网接口IP双向地址转换功能应用举例经过目的地址转换后，最终也是访问内网区域将源IP转换成出接口IPDOS/DDOS防护功能介绍DOS/DDOS防护DOS攻击：DOS是Denial of Service的简称，即拒绝效劳，造成DOS的攻击行为被称为DOS攻击，其目的是使计算机或网络无法提供正常的效劳。DDOS攻击：DDOS是Distributed Denial of

6、service，即分布式拒绝效劳攻击，很多DOS攻击源一起攻击某台效劳器或某个网络，就组成了DDOS攻击。SANGFOR AF设备的DOS/DDOS防护功能分成“外网防护和“内网防护两个局部。外网防护：主要对目标地址做重点防御，一般用于保护内部效劳器不受外网的DOS攻击。该外网为用户自己定义的攻击源区域，不一定非指Internet)内网防护：主要用来防止设备自身被DOS攻击。DOS/DDOS防护外网防护配置介绍：自定义名称和描述选择DOS/DDOS攻击发起方所在的区域假设设备在每秒单位内接口收到源区域所有地址的ARP包超过阈值时，那么会被认为是攻击假设设备在每秒单位内收到来自源区域的单个IP地

7、址/端口扫描包个数超过阈值，那么会被认为是攻击点击可选择DOS/DDOS攻击防护类型选择要保护的目标效劳器或者效劳器组选择需要进行DOS/DDOS攻击检测 的数据包类型，并配置检测阈值，当设备在每秒单位内收到来自源区域访问同一个目标IP的数据包超过所设置的阈值时，那么会被认为是攻击。配置完成，点击确定保存每目的IP激活阈值：当多个攻击者发送给同一目标地址的SYN TCP握手报文到达激活阈值时，那么 启用Syn-cookie代理。每目的IP丢包阈值：当多个攻击者发送给同一目标地址的SYN TCP握手报文到达丢包阈值时，后续请求被丢弃。每源IP阈值：从一个源攻击者发送给对应区域的目标ip集合的SY

8、N TCP握手报文到达阈值时，后续请求被丢弃。点击可选择数据包攻击防护类型不同的数据包类型，攻击方法和设备的检测方法都不一样，可根据需求选择数据包类型。注意：“IP数据块分片传输防护建议不要勾选点击确定，保存配置点击可选择IP协议报文防护类型勾选需要进行异常报文侦测的IP协议报文类型配置完成，点击确定保存点击可选择TCP协议报文防护类型勾选需要进行异常报文侦测的TCP协议报文类型。配置完成，点击确定保存 勾选后对于检测到的攻击进行日志记录勾选后，当检测到有攻击时，那么阻断攻击数据包配置完成，点击提交配置外网防护时，除内容里特别注明不能勾选的项外，其它均可以勾选，勾选后，请注意设置好阈值，建议使

9、用默认的阈值。DOS/DDOS防护内网防护配置介绍：勾选即开启内网DOS防护发起DOS攻击的区域设置哪些地址允许经过防火墙，假设选择“仅允许以下IP 地址数据包通过“，那么没有填写的地址将直接丢弃。选择内网环境，假设内网是三层环境，一定不能勾选第二项设置不需要进行DOS检测的地址设置DOS检测参数，建议使用推荐参数。勾选后，当设备检测到DOS攻击时，将产生日志记录配置完成，点击保存本卷须知1.设置DOS/DDOS“外网防护时，数据包按照从上往下的顺序匹配，当匹配到任何一个攻击行为后，便将数据包丢弃，不会再往下匹配。如果数据包没有匹配到前面的攻击行为，那么会继续往下匹配。2.对于“基于数据包的检

10、测、“基于报文的检测的规那么，在开启直通的情况下仍然检测并丢包。3.在配置DOS/DDOS攻击防护时，目标IP建议只填写效劳器所在的IP组不建议填写全部IP，且每个IP组中设置不超过400个IP地址。其它功能介绍连接数控制 连接数控制：设置单IP的最大并发连接数。当内网使用P2P下载等应用时，在短时间内会发送很多连接，影响网络设备的性能，此时可以使用“连接数控制来限制单IP的最大连接数，减少网络损耗。注：连接数控制只匹配源区域。连接数控制 配置介绍：选择需要进行连接数限制的源区域及源IP组根据需求设定单个IP最大并发连接数的值点击提交，保存配置DNS mapping作用:DNS Mapping

11、应用于内网用户通过公网域名访问内网的效劳器，实现的效果与双向地址转换规那么一样。与双向地址转换的区别：1.设置DNS Mapping后，内网访问效劳器的数据将不会经过防火墙设备，而是直接访问的效劳器内网IP。双向地址转换那么是所有数据都会经过防火墙去访问。所以通过DNS Mapping可以减轻防火墙压力。2.DNS Mapping的设置方法比双向转换规那么简单。不涉及区域、IP组、端口等设置，但要求客户端访问时必须使用域名去解析。3.DNS Mapping不支持一个公网IP映射到多台内网效劳器的情况。而双向地址转换功能没有此限制。DNS mapping1、PC向DNS效劳器请求的ip2、dns

12、效劳器返回的ip是3、AF修改dns回复包将地址改成4、pc直接访问配置如图：1234ARP欺骗防御ARP欺骗是一种常见的内网病毒，中病毒的电脑会不定时地向内网发送ARP播送包，使内网机器的正常通信受到干扰和破坏，严重时会导致整网断网。AF设备的ARP欺骗防御通过不接受有攻击特征的ARP请求或回复来保护设备本身的ARP缓存，实现设备对ARP欺骗的自身防御。同时，设备将定时播送自己的MAC地址给内网用户，以防止欺骗机伪装成网关MAC欺骗内网用户。ARP欺骗防御 配置介绍：勾选即开启“ARP欺骗防御功能，设备将定时播送自己的MAC地址设定设备播送MAC地址的时间间隔，范围为1-1800之间本卷须知

13、当同时做了DNS mapping和双向地址转换时，假设用户端以域名访问效劳器，那么DNS mapping生效；假设用户端以IP访问效劳器，那么双向地址转换生效。2.【ARP欺骗防御】中，“网关MAC播送只会播送设备非WAN属性接口的MAC，如果需要定期播送WAN接口的MAC地址，那么需开启“免费ARP功能。在【系统】-【系统配置】-【网络参数】中，勾选“免费ARP“动动手某用户网拓扑如右图，AF设备路由部署在公网出口，出口IP地址：，绑定域名为，内网有邮件效劳器，现内网PC需要通过访问登陆邮件效劳器收发邮件，请问有哪些方法可以满足用户的需求？分别该如何配置？1.AF设备支持哪几种地址转换功能？各用于什么场景？2.用户内网有三层交换机，启用DOS内网防护时，就会出现断网，日志记录的DOS告警源MAC地址都是三层交换机的MAC地址，这时该怎么设置？3.请简述双向地址转换与DNS Mapping的区别？问题思考