【正文】 e、檢查公網(wǎng)帶寬，看是否是帶寬被耗盡了，如果是這種情況，建議做適當(dāng)?shù)牧骺?，保證正常業(yè)務(wù)的數(shù)據(jù)傳輸。將轉(zhuǎn)換后的數(shù)據(jù)包發(fā)送給服務(wù)器服務(wù)器到客戶端流程：略問題排查步驟：開啟拒絕列表并直通；若此時雙向地址轉(zhuǎn)換可以訪問，請根據(jù)拒絕列表提示修改應(yīng)用控制策略配置，典型配置錯誤為目的IP組配置為公網(wǎng)IP。數(shù)據(jù)包回復(fù)給客戶端問題排查步驟：開啟拒絕列表并直通；若此時目的地址轉(zhuǎn)換可以訪問，請根據(jù)拒絕列表提示修改應(yīng)用控制策略配置，典型配置錯誤為目的IP組配置為公網(wǎng)IP。需要網(wǎng)橋模式上架的情況，在access/trunk上架不通時，請轉(zhuǎn)為使用虛擬網(wǎng)線模式上架，并切記要新建虛擬網(wǎng)線并關(guān)聯(lián)配對網(wǎng)口開啟直通無效則同時對設(shè)備的內(nèi)外網(wǎng)口進(jìn)行抓包，確認(rèn)如下幾點(diǎn)：a、AF設(shè)備ping內(nèi)網(wǎng)PC是否正常，內(nèi)網(wǎng)PC上網(wǎng)的數(shù)據(jù)包是否經(jīng)過AF設(shè)備；若出現(xiàn)不正常請檢查：內(nèi)網(wǎng)接口接線與連通性兼容性，設(shè)備內(nèi)網(wǎng)口IP是否出現(xiàn)沖突，內(nèi)網(wǎng)是否存在ARP欺騙b、內(nèi)網(wǎng)的數(shù)據(jù)包到達(dá)AF后是否從wan口發(fā)出，源IP是否被轉(zhuǎn)換為設(shè)備可用的公網(wǎng)IP；若出現(xiàn)不正常請檢查：是否正確配置默認(rèn)路由和策略路由，是否正確配置了SNAT地址轉(zhuǎn)換，重啟AF設(shè)備現(xiàn)有清空狀態(tài)表后是否正常。以我的源端口為1299， 21端口的tcp半連接。然后客戶要求我們進(jìn)一步測試DDOS攻擊攔截和SQL注入攔截。但是如果完全沒有效果的話，請仔細(xì)檢查配置、攻擊的數(shù)據(jù)是否達(dá)到設(shè)備網(wǎng)口(通過tcpdum條件性抓包可以判斷)等來檢查。（4）配置DoS/DDoS防護(hù)策略在這個策略里面涉及到很多的參數(shù)閥值。(沒有截圖)注：邏輯接口中可以看到添加的VLAN接口信息：配置區(qū)域：將在后續(xù)的配置中引用該區(qū)域。配置接口：根據(jù)實(shí)際使用的設(shè)備接口進(jìn)行配置。【設(shè)備配置】（1）登錄設(shè)備Web控制臺登錄方法： (MANAGE口地址) [用戶名：admin 密碼：sangfor]注：AF設(shè)備默認(rèn)只有MANAGE口有IP地址提供登錄。多線路+sangfor vpn互聯(lián)by李寧【網(wǎng)絡(luò)現(xiàn)狀】現(xiàn)有三條外網(wǎng)出口線路，分別是一條電信10M,一條網(wǎng)通10M,一條網(wǎng)通2M,內(nèi)網(wǎng)有業(yè)務(wù)網(wǎng)和非業(yè)務(wù)網(wǎng)兩套網(wǎng)絡(luò)，其中電信10M與網(wǎng)通10M的互聯(lián)網(wǎng)線路用做非業(yè)務(wù)網(wǎng)上互聯(lián)網(wǎng)用，網(wǎng)通2M線路用做業(yè)務(wù)網(wǎng)與太原醫(yī)保局建立VPN用。在配置“基于數(shù)據(jù)包攻擊”的時候，記得取消IP數(shù)據(jù)塊分片傳輸防護(hù)，因?yàn)橐话闱闆r下，肯定有數(shù)據(jù)包的體積大于MTU值，從而導(dǎo)致分片和重組。l 其他功能如靜態(tài)路由、NAT、應(yīng)用識別等不會影響。這里我們把公網(wǎng)地址一個不漏的都配置上來。 注意：做雙向映射后，應(yīng)當(dāng)放通lanlan的規(guī)則。（3）設(shè)置區(qū)域，一個接口屬于一個區(qū)域，如圖：（4）配置系統(tǒng)路由(添加回包路由和缺省路由，缺省路由必須要添加。源區(qū)域選擇wan，目的區(qū)域?yàn)榛疑?，不可選，IP組應(yīng)當(dāng)設(shè)置wan口映射IP，可以通過IP組來發(fā)布需要映射的公網(wǎng)IP，客戶需要將公網(wǎng)的8080端口映射到內(nèi)部服務(wù)器的80端口，固需要將8080端口轉(zhuǎn)換成80端口，以實(shí)現(xiàn)客戶需求。內(nèi)網(wǎng)有服務(wù)器需要在AF上通過端口映射發(fā)布出去，部署拓?fù)鋱D如下：目前需要通過NGAF下一代應(yīng)用防火墻保證內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)的安全以及保護(hù)內(nèi)部服務(wù)器的安全。如果沒有勾wan口屬性的話，可能會有如下后果(引用:5/dedecms/plus/?aid=1078)：l 流量控制不生效l 策略路由設(shè)置有障礙（策略路由出接口無法選擇非wan口，實(shí)際上直接填寫下一跳網(wǎng)關(guān)為非wan接口的網(wǎng)關(guān)，配置也是生效的。由于先前客戶使用PIX防火墻，所以地址轉(zhuǎn)換的配置首先需要把PIX上的地址轉(zhuǎn)換配置原封不動的翻譯過來，保證內(nèi)網(wǎng)服務(wù)器發(fā)布，上網(wǎng)，專線通信正常?？偨Y(jié)l 測試前，檢測設(shè)備版本是否最新，授權(quán)是否足夠滿足需求，序列號是否正確，規(guī)則庫是否更新到指定日期；l 客戶網(wǎng)絡(luò)環(huán)境確認(rèn)，原來使用的防火墻什么廠家的，配置是否熟悉，是否能看懂，是否能翻譯到我們的AF上面來；l 做防護(hù)配置時，建議先記錄，再阻攔；l 上架后，先開直通。設(shè)備實(shí)時運(yùn)行狀態(tài):二、 網(wǎng)橋模式部署by孫陽華【網(wǎng)絡(luò)現(xiàn)狀】客戶處有一臺Web服務(wù)器位于內(nèi)網(wǎng)，對公網(wǎng)提供服務(wù)【客戶需求】使用SANGFORNGAF防火墻對該服務(wù)器進(jìn)行來自公網(wǎng)的安全防護(hù)(DOS攻擊、XSS攻擊、SQL注入攻擊、文件上傳攻擊等)。子接口：在三層接口上創(chuàng)建，必須屬于某個VLAN。如果設(shè)備收到的數(shù)據(jù)包目的IP為該VLAN1的IP，則VLAN1會將數(shù)據(jù)交給上層設(shè)備管理模塊進(jìn)行處理。此案例中只用到一個WAN(eth6)口和一個LAN(eth5)口。如果是服務(wù)(協(xié)議:端口)，需要在對象定義中先配置?！净九渲谩烤W(wǎng)絡(luò)配置，eth1和eth2為網(wǎng)橋，配置vlan1接口為網(wǎng)橋管理ip。我的電腦以源1299和服務(wù)器的21端口建立tcp第一次握手。查看日志顯示：總結(jié)：此案例測試較早，當(dāng)時還未發(fā)布syncookies專題，后續(xù)大家若需要測試dos實(shí)戰(zhàn)攻擊時，請參考以下文章，可以達(dá)到實(shí)戰(zhàn)攻擊的效果【專題】NGAF Syn Cookies原理和測試指導(dǎo)專題:5/dedecms/plus/?aid=1541問題部分一、 斷網(wǎng)問題路由模式路由模式上架出現(xiàn)內(nèi)網(wǎng)用戶無法上網(wǎng)情況請遵循以下步驟進(jìn)行檢查1；，并開啟免費(fèi)ARP功能。案例四、trunk模式網(wǎng)橋上架，放通vlan11000，網(wǎng)不通，開啟直通無效；配置為虛擬網(wǎng)線就通了【問題現(xiàn)象】：trunk模式網(wǎng)橋上架，放通vlan11000，網(wǎng)不通，開啟直通無效；配置為虛擬網(wǎng)線就