裝置管理
1、ngaf裝置通過manage口登入進行管理,manage口ip:10.251.251.251
manage口ip位址10.251.251.251不可修改(可以在manage口添
加多個ip位址)。所以即使忘記了其他介面的ip,仍然可以通過manage
口出廠ip登入ngaf裝置。
2、公升級包回覆密碼,u盤恢復(只恢復密碼,不會恢復網路配置)u盤格式必須為fat32
3、開啟直通之後,認證系統、防火牆、內、
容安全、伺服器保護、流量管理等主要功能模組(dos/ddos防護中的基於資料報攻擊和異常資料報文檢測、nat、流量審計、連線數控制除外) 均失效。
4、物理介面三種型別:路由介面、透明介面和虛擬網線介面三種型別
5、介面wan屬性:部分功能要求出介面是wan屬性,比如流控、策略路由、vpn外網介面等。
6、新增下一跳閘道器並不會產生0.0.0.0預設路由,需要手動新增路由
7、介面頻寬設定於流控無關,主要用於策略路由根據頻寬占用比例選路,流控的需要重新設定。
8、實時檢測介面的鏈路狀態功能,以及多條外網線路情況下,某條線路故障,流量自動切換到其它線路功能,均需開啟鏈路故障檢測。
9、wan屬性的介面必須開啟鏈路故障檢測功能,非wan屬性無需開啟。
10、路由介面是adsl撥號方式,需要勾選「新增預設路由」選項
11、eth0為固定的管理口,介面型別為路由口,且無法修改。eth0可增加管理ip位址,預設的管理ip 10.251.251.251/24無法刪除。
12、透明介面相當於普通的交換網口,不需要配置ip位址,不支援路由**,根據mac位址表**資料。部分功能要求介面是wan屬性,當介面設定成透明wan口時,注意裝置上架時接線方向,內外網口接反會導致部分功能失效。
13、虛擬網線介面也是普通的交換介面,不需要配置ip位址,不支援路由**,**資料時,無需檢查mac表,直接從虛擬網線配對的介面**。
14、虛擬網線介面的**效能高於透明介面,單進單出網橋的環境下,推薦使用虛擬網線介面部署。
15、聚合口:將多個乙太網介面**在一起所形成的邏輯介面,建立的聚合介面成為乙個邏輯介面,而不是底層的物理介面。af最多繫結4個口聚合,聚合口不支援映象旁路
16、子介面:子介面應用於路由介面需要啟用vlan trunk的場景。
17、子介面是邏輯介面,只能在路由口下新增子介面。
18、裝置支援配置多個wan屬性的路由介面連線多條外網線路,但是需要開通多條線路的授權。
19、管理口不支援設定成透明介面或虛擬網線介面,如果要設定2對或2對以上的虛擬網線介面,則必須要求裝置不少於5個物理介面,預留乙個專門的管理口eth0。
20、乙個路由介面下可新增多個子介面,路由介面的ip位址不能與子介面的ip位址在同網段。
21、乙個介面只能屬於乙個區域。二層區域只能選擇透明介面,虛擬網線區域只能選擇虛擬網線介面
22、af策略路由分源位址策略路由和多線路負載路由,源位址策略路由:根據源ip位址和協議選擇介面或下一跳,實現使用者訪問資料的分流。可實現不同網段的內網使用者,分別通過不同的線路介面訪問公網。
多線路負載路由:裝置上有多條外網線路,通過策略路由的輪詢,頻寬比例,加權最小流量,優先使用前面的線路的介面策略,動態的選擇線路,實現線路頻寬的有效利用、備份和負載均衡。
23、 策略路由配置完畢最後一步新增靜態路由是為了防止策略路由失效的情況下,內網使用者還可以通過靜態路由訪問公網。
24、路由優先順序:靜態路由優先於策略路由,策略路由優先於預設路由(0.0.0.0)。
25、源位址策略路由選擇介面時,只能選擇wan屬性的路由介面。通過直接填寫路由的下一跳,可以實現從裝置非wan屬性的介面**資料。
26、多條策略路由,按照從上往下的順序匹配,一旦匹配到某條策略路由後,不再往下匹配。
根據網口屬性分為:物理介面、子介面、vlan介面;
根據網口工作區域劃分為:2層區域口、3層區域口;
其中物理口可選擇為:路由口、透明口、虛擬網線口、映象口;
2、旁路模式部署af,af僅僅支援的功能有waf(web應用防護),ips(入侵防護系統),和dlp(資料庫洩密防護,屬於waf內,其餘功能均不能實現,例如vpn功能,閘道器(smtp/pop3/http)防毒,dos防禦,**防篡改,web過濾等都不能實現。
部署思路:
1、連線旁路口eth3到鄰接核心交換機裝置
2、連線管理口並配置管理ip
3、啟用管理口reset功能
1、當源區域配置為旁路映象區域時,目的區域自動填寫為所有區域
2、目的ip組不能填寫所有
3、旁路部署支援阻斷,通過查詢系統路由選擇介面傳送tcp reset包混合模式
源位址轉換即內網位址訪問外網時,將發起訪問的內網ip位址轉換為指定的ip位址,內網的多台主機可以通過同乙個有效的公網ip位址訪問外網。
典型應用場景:
裝置路由部署在公網出口**內網使用者上網
目的位址轉換也稱為反向位址轉換或位址對映。目的位址轉換是一種單向的針對目標位址的位址轉換,主要用於內部伺服器以公網位址向外網使用者提供服務的情況。
典型應用場景:
外網使用者訪問伺服器所在網路出口線路的公網位址時,直接訪問到內部伺服器。(如wan->lan埠對映)
1、外網防護:主要對目標位址做重點防禦,一般用於保護內部伺服器不受外網的dos攻擊。(該外網為使用者自己定義的攻擊源區域,不一定非指internet)
2、內網防護:主要用來防止裝置自身被dos攻擊。
配置外網防護時,除內容裡特別註明不能勾選的項外,其它均可以勾選,勾選後,請注意設定好閾值,建議使用預設的閾值。
3、對於「基於資料報的檢測」、「基於報文的檢測」的規則,在開啟直通的情況下仍然檢測並丟包。
4、部署環境選擇,如果是二層必須選二層環境,三層選三層環境,切記
1、連線數控制只匹配源區域
1.設定dns mapping後,內網訪問伺服器的資料將不會經過防火牆裝置,而是直接訪問的伺服器內網ip。雙向位址轉換則是所有資料都會經過防火牆去訪問。
所以通過dns mapping可以減輕防火牆壓力。
mapping的設定方法比雙向轉換規則簡單。不涉及區域、ip組、埠等設定,但要求客戶端訪問時必須使用網域名稱去解析。
mapping不支援乙個公網ip對映到多台內網伺服器的情況。而雙向位址轉換功能沒有此限制。
4、當同時做了dns mapping和雙向位址轉換時,若使用者端以網域名稱訪問伺服器,則dns mapping生效;若使用者端以ip訪問伺服器,則雙向位址轉換生效。(同時有dnsmapping和雙向位址轉換,用網域名稱=dnsmapping,用ip=雙向位址轉換)
「閘道器mac廣播」只會廣播裝置非wan屬性介面的mac,如果需要定期廣播wan介面的mac位址,則需開啟「免費arp」功能。在【系統】-【系統配置】 -【網路引數】中,勾選「免費arp「
1) 至少有一端作為總部,且有足夠的授權(硬體與硬體之間互連不需要授權)。
2) 建立dlan互聯的兩個裝置路由可達,且至少有乙個裝置的vpn監聽埠能被對端裝置訪問到。
3) 建立dlan互聯兩端的內網位址不能衝突。
4) 建立dlan互聯兩端的版本需匹配。
2、ngaf僅支援作為閘道器(路由)模式或者單臂模式的sangfor vpn對接。標準的第三方ipsec互聯,僅在閘道器模式部署下支援。
3、網橋透明模式,虛擬線路模式,旁路模式都不支援vpn功能;
4、必須有乙個物理介面為路由口,才支援建立dlan連線
答:【內網介面設定】中只能新增非wan屬性的路由口,用於將這個介面上主ip(第乙個ip)的網段通告對端的sangfor 裝置,對端訪問這個網段的資料就能被加密封裝,通過vpn傳輸。
2023年度繼續教育學習筆記
學習 課堂教學教師不當行為與糾正 的心得體會 新的教育教學理念 新的教材和新的教學評價方法,要求教師盡快轉變觀念,以學生的 發展為中心,關注每一位學生的成長,用自己的一言一行去影響學生形成良好的行為習慣。本人通過學習 課堂教學教師不當行為與糾正 結合自己的教學實踐,談談教師言行對學生 的影響。一 影...
2023年司法考試通關秘籍之學習筆記
客觀題只要作對即可 當然瞎矇除外,最好搞清楚為什麼,要不碰到類似的題無法蒙的時候就困難了。分析或論述題是不是在作答案時要一字不拉的抄上去呢?大可不必。誰也不可能背得一字不拉。因此,將題目的大致答題脈絡,即骨架答上即可。底下沒寫出的內容是靠自己考場上發揮的。如認為某句話或觀點特別重要,也可在骨幹下寫出...
2023年CPA《會計》學習筆記 第十三章職工薪酬
第三節離職後福利的確認與計量 二 設定受益計畫 教材例13 8 甲企業在2 14年1月1日建立一項福利計畫向其未來退休的管理員工提供退休補貼,退休補貼根據工齡有不同的層次,該計畫於當日開始實施。該福利計畫為一項設定受益計畫。假設管理人員退休時企業將每年向其支付退休補貼直至其去世,通常企業應當根據生命...