★深信服AF应用防火墙NGAF产品培训资料

产品概述：深信服NGAF系列产品是一款以应用安全需求出发而设计的下一代应用防火墙。

弥补了传统防火墙基于端口/IP无法防护应用层安全威胁的缺陷；改善了UTM类设备简单功能堆砌，性能瓶颈的弱点。

通过单次解析引擎真正做到将防火墙、VPN、入侵防御、服务器防护、病毒防护、内容过滤、流量控制等多种安全技术有机的融合到一起，提供多功能、高性能的电信级安全设备。

与传统安全设备相比它可以针对丰富的应用提供更完整的可视化内容安全防护。

NGAF继承了传统防火墙的优秀品质能够适应各种复杂的网络环境，同时通过单次解析引擎、应用可视化引擎、灰度威胁关联分析引擎三大创新引擎技术，提供强大的网络安全防护、可视化的应用管控、全面的应用安全防护，形成2-7层一体化安全防护解决方案。

内网数据中心可视化安全内部数据中心建设往往会因为安全性的考虑，而串行部署多种安全设备，从而造成了增加单点故障、出现性能瓶颈、流量不清晰、设备管理复杂、风险无法及时定位等问题。

深信服NGAF通过一体化的应用管控、应用防护，以及智能风险报表等功能，可以为用户提供高性能、可视化、易管控的数据中心安全解决方案。

对外发布系统一体化安全防护近年来，金融的网银系统、政府的政务公开、网上业务受理、社保数据交换、运营商的网上营业厅等各种对外业务发布应用系统正在加快部署。

这些暴露在公众面前的业务系统，面临着多样的安全威胁，一旦被入侵或者篡改了数据就会损坏企业形象，造成经济损失、负面的政治影响等问题。

深信服NGAF可以针对发布系统可能存在的网站挂马、病毒上传、数据篡改、权限入侵、漏洞攻击等各种安全风险提供一体化、高性价比、跟智能的安全方案。

高效的广域网安全互联广域网建设的特点在于带宽资源有限、并发业务众多，而传统安全设备的部署并没有保证各种业务在广域网上安全、稳定的交付，病毒爆发快速蔓延整个网络、非法越权访问、关键业务带宽被挤占等问题依然频发。

深信服NGAF先通过应用防护功能模块过滤掉各种垃圾流量，再通过可视化应用引擎针对关键业务进行多级带宽保障，为用户打造流量纯净、网络稳定、终端安全的广域网安全互联解决方案。

AF培训演练指导演练问题及参考答案，请主管随机挑选销售人员上台，抽取下面的问题对他进行提问，让他现场回答。

必问问题7道：1.你们防火墙做了几年了？产品稳定性怎样？答：我们的下一代防火墙已经推出市场2年时间，目前已经积累了2000多家客户，其中包括200多家高端用户，比如最高人民法院、海关总署以及招商银行等等；产品的稳定性方面您可以放心，深信服目前已经有12年的应用层产品开发经验，对于产品稳定性保障，已经形成了一套完善的体系，我们的防火墙经受住了运营商、高校以及电子政务网这三个网络环境最复杂行业的考验，目前产品稳定运行于多个复杂网络环境，比如湛江移动的UAP云平台和湖南农业大学校园网出口。

我们的产品还运行在金融行业的网银交易系统，比如招商的网银平台。

稳定性方面，您可以放心。

2.我们的天融信防火墙用了这么多年，也没有出现问题，你们的下一代防火墙和它比有什么不同？答：主任/某工，您看，您的防火墙部署上去之后，不知道您没有去看过它的日志，从它的日志上，你能清楚的知道内网是否存在网络攻击吗？能比较直观的展现哪些服务器和终端有安全风险吗？根据我们和其他用户的了解，答案是否定的。

也就是说其实上了防火墙之后并不是网络里面就没有攻击了，而是它根本就没法找到隐藏的攻击。

而下一代防火墙能够真正让您的业务安全可视化，上线之后，可以让你真正了解您的业务和终端是否存在安全问题。

3.你们讲的这些针对传统防火墙的优势，有什么方法能证明吗？答：主任/某工，按照我们的经验，建议您直接把下一代防火墙部署在传统防火墙后面，直接看两台设备的安全日志，看看下一代防火墙是否发现了传统防火墙没有发现的安全风险就能证明了。

4.我们的方案已经规划了FW、IPS和WAF，你们的下一代防火墙的专业性能比得过吗？答：我们的下一代防火墙在IPS和W AF领域的专业性，已经达到业界领先水准，在IPS方面，我们获得了CVE的认证，并参与了微软MAPP计划，在W AF方面，我们获得了国际上WEB安全最权威的组织OWASP的四星认证，达到国内厂商的最高水平。

深信服防火墙手册摘要：一、深信服防火墙简介二、深信服防火墙的主要功能三、深信服防火墙的配置与使用四、深信服防火墙的维护与管理五、深信服防火墙的安全策略六、深信服防火墙的性能优化七、深信服防火墙的常见问题与解决方法八、总结与展望正文：深信服防火墙作为现代网络安全的重要组成部分，旨在保护企业网络免受外部威胁，确保数据安全和业务稳定运行。

本文将从深信服防火墙的简介、主要功能、配置与使用、维护与管理、安全策略、性能优化、常见问题与解决方法等方面进行全面介绍，以帮助读者更好地了解和应用深信服防火墙。

一、深信服防火墙简介深信服防火墙是我国一款知名的网络安全产品，凭借其强大的安全防护能力和易用性，赢得了广泛的市场份额。

深信服防火墙适用于各种规模的企业和组织，可以有效防御针对企业网络的攻击，如DDoS攻击、Web应用攻击、端口扫描等。

二、深信服防火墙的主要功能1.防病毒和恶意软件：深信服防火墙可以对通过网络传输的数据进行实时监控，有效防止病毒、木马和其他恶意软件的入侵。

2.防火墙策略：深信服防火墙支持多种防火墙策略，如允许、拒绝、报警等，可根据企业网络需求进行灵活配置。

3.VPN功能：深信服防火墙支持VPN功能，可实现远程用户和分支机构的安全接入，保障数据传输的安全性。

4.流量控制和优化：深信服防火墙具备流量控制功能，可有效防止网络拥塞，提高网络性能。

5.入侵检测和防御：深信服防火墙能够实时检测网络中的异常流量和攻击行为，并进行防御和报警。

6.用户认证和权限管理：深信服防火墙支持用户认证和权限管理功能，确保网络资源的安全使用。

三、深信服防火墙的配置与使用1.硬件安装：根据设备说明书进行硬件安装，确保设备正常运行。

2.软件配置：通过Web界面或命令行方式进行防火墙的配置，包括接口配置、安全策略配置、VPN配置等。

3.策略设置：根据企业网络需求，设置允许、拒绝、报警等防火墙策略。

4.登录认证：配置用户名和密码，实现对防火墙的远程管理。

深信服防火墙手册（原创实用版）目录1.深信服防火墙简介2.深信服防火墙的功能特点3.深信服防火墙的应用场景4.深信服防火墙的使用方法与配置5.深信服防火墙的维护与升级正文一、深信服防火墙简介深信服防火墙（简称：深信服 FW）是一款由我国知名网络安全企业深信服科技股份有限公司自主研发的高性能、高可靠性的网络安全防护设备。

深信服防火墙凭借其强大的安全防护能力，广泛应用于政府、金融、教育、医疗等各个行业的网络环境中，有效保障了用户的网络安全。

二、深信服防火墙的功能特点1.防火墙功能：深信服防火墙可以实现对网络中的各种攻击行为进行有效拦截，如：DDoS 攻击、SYN 攻击、UDP 攻击等。

2.入侵检测：深信服防火墙具备入侵检测功能，可以实时监控网络流量，发现并报警异常行为。

3.应用控制：深信服防火墙支持对各种应用协议进行控制，实现对网络应用的访问控制。

4.防病毒功能：深信服防火墙内置了防病毒模块，可以实时检测并阻止病毒文件的传播。

5.VPN 功能：深信服防火墙支持 VPN 功能，可以实现远程访问和数据加密传输。

三、深信服防火墙的应用场景1.企业内部网络：深信服防火墙可部署在企业内部网络出口，有效防止外部攻击，确保企业网络安全。

2.互联网数据中心：深信服防火墙可应用于互联网数据中心，提供安全可靠的网络环境。

3.运营商网络：深信服防火墙可部署在运营商网络中，提高网络的安全性和稳定性。

4.政府、金融、教育、医疗等特定行业：深信服防火墙可针对特定行业的网络安全需求，提供专业定制化的解决方案。

四、深信服防火墙的使用方法与配置深信服防火墙的使用方法主要包括设备安装、网络连接、配置策略等步骤。

配置过程中，用户需根据实际网络环境和需求，对防火墙进行相关策略设置。

五、深信服防火墙的维护与升级为了确保深信服防火墙的正常运行和有效防护，用户需要定期进行设备维护和版本升级。

维护过程中，要注意检查设备的硬件和软件运行状态，及时处理故障和异常。

深信服防火墙手册摘要：一、深信服防火墙简介二、深信服防火墙的主要功能三、深信服防火墙的配置方法四、深信服防火墙的实用技巧五、深信服防火墙的维护与升级六、总结与展望正文：深信服防火墙作为现代网络安全防护的重要设备，广泛应用于企业、政府部门及个人用户。

本文将从深信服防火墙的简介、主要功能、配置方法、实用技巧、维护与升级等方面进行详细介绍，以帮助用户更好地了解和运用深信服防火墙，提升网络安全防护能力。

一、深信服防火墙简介深信服防火墙，国内知名网络安全厂商深信服科技推出的一款全功能防火墙。

它采用一体化设计，集成了防火墙、VPN、入侵检测、流量控制等多种安全功能，具备高性能、高可靠性、易管理等特点，适用于各种网络环境。

二、深信服防火墙的主要功能1.防火墙：深信服防火墙能够有效阻止恶意攻击和网络入侵，保护内部网络不受外部威胁。

2.VPN：支持站点到站点和远程访问VPN，实现网络安全、便捷的远程办公。

3.入侵检测：实时监测网络流量，发现并阻止恶意行为。

4.流量控制：合理分配网络带宽，优化网络性能。

5.安全审计：记录防火墙日志，方便管理员进行安全分析和调查。

三、深信服防火墙的配置方法1.硬件配置：根据网络规模和性能需求选择合适的硬件规格。

2.软件配置：通过Web界面或命令行方式进行软件配置，包括安全策略、VPN设置、流量控制等。

3.升级与维护：定期更新防火墙病毒库和特征库，确保防护能力始终处于最新状态。

四、深信服防火墙的实用技巧1.针对不同安全级别的网络，设置合适的安全策略。

2.利用深信服防火墙的QoS功能，实现网络流量的智能调度。

3.通过深信服防火墙实现对内网设备的远程管理，提高运维效率。

4.利用深信服防火墙的日志分析功能，发现潜在的安全隐患。

五、深信服防火墙的维护与升级1.定期检查防火墙硬件，确保其正常运行。

2.及时更新病毒库和特征库，确保防火墙的防护能力。

3.定期分析防火墙日志，发现并解决潜在的安全问题。

深信服下一代防火墙NGAF技术白皮书深信服科技有限公司二零一三年四月目录一、概述 (4)二、为什么需要下一代防火墙 (4)2.1 网络发展的趋势使防火墙以及传统方案失效 (4)2.2 现有方案缺陷分析 (5)2.2.1 单一的应用层设备是否能满足？ (5)2.2.2 “串糖葫芦式的组合方案” (5)2.2.3 UTM统一威胁管理 (6)三、下一代防火墙标准 (6)3.1 Gartner定义下一代防火墙 (6)3.2 适合国内用户的下一代防火墙标准 (7)四、深信服下一代应用防火墙—NGAF (8)4.1 产品设计理念 (8)4.2 产品功能特色 (9)4.2.1 更精细的应用层安全控制 (9)4.2.2 全面的应用安全防护能力 (12)4.2.3 独特的双向内容检测技术 (17)4.2.4 涵盖传统安全功能 (19)4.2.5 智能的网络安全防御体系 (19)4.2.6 更高效的应用层处理能力 (20)4.3 产品优势技术 (21)4.3.1 深度内容解析 (21)4.3.2 双向内容检测 (21)4.3.3 分离平面设计 (21)4.3.4 单次解析架构 (22)4.3.5 多核并行处理 (23)4.3.6 智能联动技术 (24)五、解决方案与部属 (24)5.1 互联网出口-内网终端上网 (24)5.2 互联网出口-服务器对外发布 (25)5.3 广域网边界安全隔离 (25)5.4 数据中心 (26)六、关于深信服 (26)一、概述防火墙自诞生以来，在网络安全防御系统中就建立了不可替代的地位。

作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命，通过ACL 访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过，保护了网络的安全。

防火墙就像机场的安检部门，对进出机场/防火墙的一切包裹/数据包进行检查，保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员通过非法手段进入机场/网络或干扰机场/网络的正常运行。

深信服AF学习笔记第1章设备管理1.1. 管理1、NGAF设备通过MANAGE口登录进行管理，MANAGE口IP：MANAGE口IP地址加多个IP地址)。

所以即使忘记了其他接口的IP，仍然可以通过MANAGE口出厂IP登录NGAF设备。

2、升级包回复密码，U盘恢复（只恢复密码，不会恢复网络配置）U盘格式必须为FAT323、开启直通之后，认证系统、防火墙、内、容安全、服务器保护、流量管理等主要功能模块(DOS/DDOS防护中的基于数据包攻击和异常数据报文检测、NAT、流量审计、连接数控制除外) 均失效。

4、物理接口三种类型：路由接口、透明接口和虚拟网线接口三种类型第2章基本网络配置2.1. 路由接口5、接口WAN属性：部分功能要求出接口是WAN属性，比如流控、策略路由、VPN外网接口等。

6、添加下一跳网关并不会产生，需要手动添加路由7、接口带宽设置于流控无关，主要用于策略路由根据带宽占用比例选路，流控的需要重新设定。

8、实时检测接口的链路状态功能，以及多条外网线路情况下，某条线路故障，流量自动切换到其它线路功能，均需开启链路故障检测。

9、WAN属性的接口必须开启链路故障检测功能，非WAN属性无需开启。

10、路由接口是ADSL拨号方式，需要勾选“添加默认路由”选项11、Eth0为固定的管理口，接口类型为路由口，且无法修改。

Eth0可增加管理IP地址，默认的管理IP2.2. 透明接口12、透明接口相当于普通的交换网口，不需要配置IP地址，不支持路由转发，根据MAC地址表转发数据。

部分功能要求接口是WAN 属性，当接口设置成透明WAN口时，注意设备上架时接线方向，内外网口接反会导致部分功能失效。

2.3. 虚拟网线接口13、虚拟网线接口也是普通的交换接口，不需要配置IP地址，不支持路由转发，转发数据时，无需检查MAC表，直接从虚拟网线配对的接口转发。

14、虚拟网线接口的转发性能高于透明接口，单进单出网桥的环境下，推荐使用虚拟网线接口部署。