sangfor_waf

Sangfor_waf的主要功能有參數(shù)注入防護、越權(quán)訪問防護、上傳文件檢測、HTTP字段檢測、敏感信息泄露防護及配置安全設(shè)置

代理HTTP所有流量，SSH不阻攔

網(wǎng)絡(luò)

接口

eth0只能為路由口不能更換接口模式，保留地址10.251.251.251/24不能刪除

VLAN子接口：用于對接路由口且配置了VLAN trunk，子接口不支持ipv6

VLAN接口不支持IPV6

聚合口不支持ipv6

GRE接口，源接口為實際公網(wǎng)IP，ip地址為隧道ip

接口聯(lián)動可以添加多接口，-HA口不支持聯(lián)動

任何接口IP不能配置為1.1.1.0/24

端口聚合

負載模式

負載均衡--hash:按數(shù)據(jù)包源目的IP/MAC的hash值均分

負載均衡--RR:直接按數(shù)據(jù)包輪轉(zhuǎn)均分到每個接口（輪流轉(zhuǎn)發(fā)）

主備模式--取eth端口號最大端口為主接口收發(fā)數(shù)據(jù)，其余為備接口

聚合協(xié)議

不支持動態(tài)聚合協(xié)議、只支持靜態(tài)聚合，聚合鏈路兩端設(shè)備的聚合協(xié)議要保持一致

虛擬網(wǎng)線

支持聚合口

成對出現(xiàn)，不發(fā)送ARP，不查詢MAC地址表，防止MAC表老化導(dǎo)致的CAM表混亂

ipv6

支持源IP策略路由

不支持依據(jù)應(yīng)用選路

不支持多線路負載

807

需要啟用ipv4和ipv6雙棧--需要重啟設(shè)備

NAT64地址轉(zhuǎn)換

? 807支持ipv6到ipv6的NAT

? 807支持外網(wǎng)ipv6內(nèi)網(wǎng)ipv4的端口映射

? NAT64為雙向地址轉(zhuǎn)換，即源目IP都會進行轉(zhuǎn)換

DNS64

? 將DNSv4查詢合成為DNSv6

IPS/WAF/僵尸網(wǎng)絡(luò)

? 攻擊日志的源目IP均為轉(zhuǎn)換后的IPV4，即先進行NAT6-4再進行防護

? 無法溯源

注意

? 不支持解決天窗

? 不支持SLAAC無狀態(tài)地址自配置協(xié)議

? 不支持哈希方式端口聚合

? 不支持子接口

? 不支持UDP大包46轉(zhuǎn)換

? 不支持ALG

? 只支持匹配規(guī)則，無法匹配行為類規(guī)則

? 不支持運行狀態(tài)展示

? 不支持ipv6雙機心跳

? 支持VLAN和聚合

WAN屬性

作用

1、AF所有版本沒有WAN屬性流控，流量審計將會失效

2、從AF6.8版本開始沒有WAN屬性，VPN服務(wù)起不來

3、從AF7.1版本開始策略路由不需要WAN屬性，之前版本策略路由需要接口有WAN屬性

4、做目的地址轉(zhuǎn)換數(shù)據(jù)需要源進源出（通過某個公網(wǎng)IP來訪問服務(wù)器還是通過那個公網(wǎng)IP回包），雙向地址轉(zhuǎn)換，需要WAN屬性

5、應(yīng)用流量排行

支持接口模式

7.1之前，AF支持勾選 WAN口屬性的接口有路由口，透明口，聚合接口，虛擬網(wǎng)線接口

7.2開始，子接口可以勾選WAN屬性，作為WAN口使用

WAN口入站路由轉(zhuǎn)發(fā)

無法進行除虛擬服務(wù)、DNS、源地址轉(zhuǎn)換、端口映射、遠程登錄、匹配智能路由或靜態(tài)路由之外的數(shù)據(jù)傳輸

與IPSEC VPN出口線路匹配

如AF配置vpn，那么外網(wǎng)接口的一定要勾選“與IPSEC VPN出口線路匹配”，不然VPN服務(wù)啟動不成功

管理口

eth0為manage口只能做路由接口，默認的管理IP 10.251.251.251/24無法刪除

管理口不可作為監(jiān)視端口

AF809

管理對端IP地址指的是當下面的[管理口訪問控制]是開啟的情況下，那么PC機必須配置這個地址才能管理設(shè)備

809開始允許修改默認管理口IP

vlan0

1.1.1.1用于重定向頁面，隱藏AF源IP

1.1.1.1也用于隱藏內(nèi)部的1.1.1.2，兩個IP配套使用

ARP代理

AF內(nèi)網(wǎng)接口與直連服務(wù)器不在同一網(wǎng)段，保證路由可達服務(wù)器，如AF內(nèi)網(wǎng)口配私有IP，直連服務(wù)器直接配公網(wǎng)IP

ARP代理功能即是讓NGAF設(shè)備代理響應(yīng)ARP請求，達到保護內(nèi)網(wǎng)主機的目的使用ARP代理功能時，NGAF設(shè)備的連接被ARP代理服務(wù)器的接口必須是路由口，任意配置一個與其他網(wǎng)段不沖突的IP地址

路由

策略路由

VLAN接口、子接口不支持策略路由

多線路策略路由支持鏈路捆綁

ip rule //查看策略路由表頁

ip route show table //以VPN路由表為例

AF路由表分類

1、系統(tǒng)路由表（自帶三張表）

? 255--local

? 254--main

? 253--default

2、策略路由表 id == 1-237

? 策略路由頁面生成

3、VPN路由表 id == 240-249

? 240--ipsec vpn

? 242、241-- sangfor vpn（隧道間路由）

? 245-248 sangfor vpn 多線路

? 239 -- ssl vpn

臨時表 id -- 238

優(yōu)先級

? local（0）-vpn（239、240、241）-臨時表（300）-策略路由表（10000）-main表（32766）

? vpn》靜態(tài)路由/直連路由》動態(tài)路由》策略路由》默認路由

ip route get x.x.x.x //查看到達某地址匹配的路由條目

非對稱數(shù)據(jù)轉(zhuǎn)發(fā)

AF近支持TRUNK、ACCESS透明部署，路由模式不支持

不支持開啟雙機熱備，需配置基本信息和配置同步、雙機熱備

需新增2對口，1個HA，1個同步口

將除數(shù)據(jù)同步口和HA口外所有業(yè)務(wù)口添加到接口聯(lián)動中

暫不支持父子鏈接、IP不一致場景

809僅支持單HA，存在單點故障

AF單節(jié)點不要超過單臺AF性能指標一半以上

數(shù)據(jù)同步口速率不低于業(yè)務(wù)口速率

二次穿透部署

場景：TCP單向數(shù)據(jù)多次穿越AF，對二次流量進行直通

限制：中間設(shè)備有NAT場景，AF不能配置二次穿透

建議：二次穿透的入接口應(yīng)部署于2層環(huán)境，如部署與3層則會丟失NAT安全策略路由功能

鏡像口于業(yè)務(wù)口流量二次穿透場景，目的均為鏡像口，源目IP分別建立一條策略

配置案例

1

2

SNMP

SNMP開啟

開啟SNMP功能，方便遠程管理設(shè)備狀態(tài)、接口狀態(tài)

SNMP Trap

主動發(fā)送SNMP Trap信息

光口bypas

不支持光口 bypass 與雙機熱備同時啟用

Reset

AF自身發(fā)起的reset報文，806版本之前，ip.id是0x5826。806及以后版本，ip.id是0x7051。

安全防護

WAF

IPS

DOS

僵尸網(wǎng)絡(luò)

實施漏洞分析

實時漏洞分析的工作原理是：被動分析服務(wù)器回復(fù)的數(shù)據(jù)包判斷是否有漏洞

ARP欺騙防御

廣播網(wǎng)關(guān)MAC

拒絕ARP欺騙廣播包

郵件安全

支持pop3/smtp協(xié)議

收郵件不進行攔截，會給出提示

發(fā)郵件會攔截，會給出提示

蜜罐重定向

真實PC AF日志看不到訪問的域名

AF日志也看不到 DNS解析記錄請求的源IP

ACL

域名ACL控制--網(wǎng)絡(luò)參數(shù)--應(yīng)用控制支持域名

ACL配置中域名查詢方式配置為主動

不支持BBC下發(fā)

SNAT，先匹配【內(nèi)容安全】-【內(nèi)容安全策略】，再匹配【防火墻】-【地址轉(zhuǎn)換】里面的源地址轉(zhuǎn)換

DNAT，先過【防火墻】-【地址轉(zhuǎn)換】里面的目的地址轉(zhuǎn)換，再匹配【內(nèi)容安全】-【內(nèi)容安全策略】

SAVE殺毒

支持文檔類： doc、docx、pdf、ppt、pptx、ps1、rtf、xls、xlsx等

支持腳本類： bat、cmd、com、exe、pe、elf、bin、perl、pl、plx等

8.0.13：云網(wǎng)端聯(lián)動

模塊

云：云腦--云鏡

網(wǎng)：AF

端：EDR

動作

處置：AF向EDR下發(fā)任務(wù)經(jīng)云端情報威脅查殺后，實現(xiàn)病毒隔離、后續(xù)問題自動處置

取證：將AF發(fā)現(xiàn)的惡意域名訪問下發(fā)給EDR、EDR聯(lián)動云鏡

云端交付：MGR云端交付，本地免部署，接入云圖實現(xiàn)云網(wǎng)端功能

NTA網(wǎng)絡(luò)流量分析(Network Traffic Analysis)

AF巡檢

AF6.7及以上版本巡檢腳本使用方法.doc

直通

開啟直通策略還是會生效，只是數(shù)據(jù)包被直通功能打上不丟包的標簽讓數(shù)據(jù)包通過AF。所以才會有開啟直通之后，數(shù)據(jù)中心還能記錄日志，【運行狀態(tài)】--【封鎖攻擊者ip】中還是能看到有攔截日志

二層直通

類似AC的搬包測試

雙機互備不建議開啟

僅在透明和虛擬網(wǎng)線模式下生效、路由模式不生效

開啟二層直通相當于二層交換機，數(shù)據(jù)直接轉(zhuǎn)發(fā)、不進功能策略處理

直通

直通不生效或無效的模塊

地址轉(zhuǎn)換（nat）

DoS/DDoS防護（wdos）中基于數(shù)據(jù)包攻擊和異常包檢測

流量審計（IP流量排行、用戶流量排行、應(yīng)用流量排行）

連接數(shù)控制

開啟直通后所有策略還會檢測只是不攔截

syslog日志

UDP 514

高可用

同步角色一致時

HA ip較大的為主控

最后一次修改同步角色的設(shè)備為主控

集中管控

SC:需要主控和主機同時加入SC,否則提示離線

特性

支持OSPF雙機場景下的路由同步，保證雙機切換后網(wǎng)絡(luò)快速收斂

添加監(jiān)視端口后AF新增虛擬端口MAC

虛擬MAC構(gòu)成：vrrp mac（00-00-5E）+接口序號+vrid，比如：vrid為101，eth1口的虛擬MAC就是：00-00-5E-00-01-65，eth2口的虛擬MAC就是：00-00-5E-00-02-65，65的十進制就是101。

注意

備機可以不勾選配置同步的自動同步

未加入網(wǎng)口監(jiān)視的網(wǎng)口將不受雙機狀態(tài)控制,即使是備機也會響應(yīng)數(shù)據(jù),備機可以單獨配置-HA的端口用于備機管理

盡量避開bypass組接口

交換機鏈接設(shè)備的接口STP需開啟portfast

優(yōu)先使用聚合[主備]進行HA,聚合口網(wǎng)卡類型需一致

默認情況下不能開啟搶占,開啟此功能聯(lián)系專家評估[網(wǎng)絡(luò)風險,也可以自己評估]

為避免頻繁雙機切換,當鏈路檢測失效雙機將每5分鐘進行一次雙機切換

強強檢測/強弱檢測

強強檢測:主備均開啟接口檢測鏈路檢測

強弱檢測:主機開啟接口鏈路檢測 備機:開啟接口檢測,鏈路不監(jiān)測

807支持接入BBC

支持版本

BBC2.5.2

BBC2.5.3

默認端口5000

特性

（a）支持中心端通過模板下發(fā)配置給分支端，并對分支端配置進行管理；

（b）支持中心端通過離線導(dǎo)入或在線更新的方式升級分支AF設(shè)備；

（c）支持中心端對分支端12種庫進行升級；

（d）支持中心端統(tǒng)一下發(fā)管理安全規(guī)則庫及自定義規(guī)則庫：

（e）支持分支端總覽信息、業(yè)務(wù)安全信息、用戶安全信息等上報展示；

（f）支持中心端統(tǒng)一設(shè)置告警信息，并支持分支端告警信息上報預(yù)警；

（g）支持雙機、多機接入BBC集中管控場景；

（h）支持15個內(nèi)置區(qū)域。

適用場景

上架場景

安全策略模板下發(fā)

VPN由BBC下發(fā)

運維場景

版本、定制、SP升級

? a）支持通過離線導(dǎo)入的方式對發(fā)布的版本/定制的SSU包，以及SP包，對指定的設(shè)備進行升級

? b）支持通過在線更新的方式對BBC平臺內(nèi)鏡像AF版本的SP包，對指定的設(shè)備進行升級（SSU包不支持在線升級BBC平臺AF鏡像）

規(guī)則庫升級

? a）支持通過離線導(dǎo)入的方式對BBC內(nèi)置版本鏡像進行規(guī)則庫升級

? b）支持通過BBC平臺對分支端進行規(guī)則庫升級

自定義規(guī)則庫

? 支持通過BBC端下發(fā)自定義IPS和WAF規(guī)則庫，下發(fā)到本地后置灰顯示且無法編輯

接入變化

自動下發(fā)15個區(qū)域：方便下發(fā)策略，只能引用接口不能刪除此區(qū)域

配置下發(fā)

導(dǎo)入全量包

BBC統(tǒng)一下發(fā)策略需依賴全量包

新增策略模板

配置模板配置

下發(fā)策略（下發(fā)策略不允許編輯刪除）

升級下發(fā)

上次升級包到BBC

新建升級任務(wù)，指定時間自動升級

如勾“優(yōu)先從公網(wǎng)服務(wù)器下載升級包”，優(yōu)先從GCS下載，如無對應(yīng)包，再從BBC平臺下載

規(guī)則庫更新

BBC更新規(guī)則庫

AF能聯(lián)網(wǎng)則自己更新規(guī)則庫

AF不能聯(lián)網(wǎng)，從BBC下載

易部署

通過郵件下發(fā)配置到客戶端

WAN、LAN、管理員用戶名和密碼、管理員郵件地址

BBC需配置郵件服務(wù)器

易部署鏈接為一次性鏈接

雙機接入BBS

無VRRP無主機僅同步配置，雙機接入

主備，主機接入備機同步

主主，兩機器均可接入

SD-WAN

【剩余帶寬比例負載】會優(yōu)先匹配“流量管理”-“虛擬線路配置”里設(shè)置的線路帶寬。如未開啟流控，則會匹配接口上配置的“線路帶寬”

【剩余帶寬比例負載】所選擇的線路只能是配置在物理接口上的線路，不支持虛擬接口的線路，如vlan接口。其它功能無此要求

SD-WAN選路只支持TCP、UDP、ICMP這三種協(xié)議，其他協(xié)議不支持

autu-VPN

序列號

網(wǎng)關(guān)序列號：功能同之前版本一致，不過沒有了移動用戶數(shù)。原因是AF8.0.7版本開始，不支持PDLAN用戶的接入；

SSLVPN：功能同之前版本一致，從之前的“功能模塊序列號”移入“基礎(chǔ)網(wǎng)絡(luò)序列號”中；

IPSEC VPN模塊：只是AF500型號的設(shè)備，默認未開啟此模塊，需要在此外單獨開通，其它型號的均默認開通。

基礎(chǔ)功能開通：默認開啟，可以支持IPS、APT等模塊的開通；

增強功能開啟：收費開啟，可以支持WAF、PVS、防篡改等模塊的開通；

最新威脅防御規(guī)則庫：收費開啟，可以支持除殺毒外所有規(guī)則庫的更新，前提是已開通相應(yīng)的模塊；

網(wǎng)關(guān)功能功能開通：收費開啟，支持殺毒模塊的開通；

SAVE殺毒引擎更新：收費開啟，支持殺毒引擎的更新；

未知威脅實時檢測和網(wǎng)關(guān)殺毒訂閱服務(wù)：收費開啟，之前的云腦序列號，與老版本不同的是，老版本云腦有兩個序列號，這里是一個，如果是老版本開通云腦升級上來的話，會自動變成一個；

門戶網(wǎng)站保護訂閱服務(wù)：非默認免費開啟，開啟后，支持與云眼進行聯(lián)動，展示云眼端檢測到的相關(guān)數(shù)據(jù)；

云守-安全運營訂閱服務(wù)：收費開啟，開啟后，可以支持接入云守，通過云守來輔助AF的安全運維

軟件升級：收費&功能與之前一致，無變化；

維保服務(wù)：收費&功能與之前一致，無變化。連接服務(wù)器失敗問題，AF8.0.7正式版本解決掉；

編輯：黃飛

?