NGAF典型应用场景及案例

DNS Mapping的设置方法比双向转换规则简单。不涉及区域、IP组、端口等
设置。 DNS Mapping不支持一个公网IP映射到多台内网服务器的情况。而双向地址 转换功能没有此限制。
专业务实 学以致用
DNS mapping
PC向DNS服务器请求的ip
dns服务器返回的ip是2.2.2.3
外网防护：主要对目标地址做重点防御，一般用于保护内部服务器不受外网
的DOS攻击。（该外网为用户自己定义的攻击源区域，不一定非指Internet) 内网防护：主要用来防止设备自身被DOS攻击。
专业务实
学以致用
DOS/DDOS防护
外网防护配置介绍：
自定义名称和描述
选择DOS/DDOS攻击发 起方所在的区域 若设备在每秒单位内接口收 到源区域所有地址的ARP包 选择需要进行 超过阈值时，则会被认为是 不同的数据包类型，攻击 DOS/DDOS攻击检 勾选需要进行异常报 勾择需要进 攻击 方法和设备的检测方法都 测 的数据包类型， 文侦测的 TCP 协议报 若设备在每秒单位内收到 行异常报文 不一样，可根据需求选择 并配置检测阈值， 文类型。。 来自源区域的单个IP地址/ 侦测的IP协 数据包类型。 当设备在每秒单位 端口扫描包个数超过阈值， 议报文类型 配置外网防护时，除内容里特别注明不能勾 注意：“ IP数据块分片传 内收到来自源区域 则会被认为是攻击 选的项外，其它均可以勾选，勾选后，请注 输防护”建议不要勾选 访问同一个目标IP 点击可选择 配置完成，点击确定保存 意设置好阈值，建议使用默认的阈值。 的数据包超过所设 DOS/DDOS攻击防护 置的阈值时，则会 类型 被认为是攻击。 点击可选择数据 配置完成，点 包攻击防护类型 击确定保存 点击确定，保存配置 点击可选择IP协议报文防护类 每目的IP激活阈值：当多个攻击者发送给同一目标地址的SYN TCP握手报文达到 型 点击可选择TCP协议 激活阈值时，则 启用Syn-cookie代理。 每目的IP丢包阈值：当多个攻击者发送给同一目标地址的SYN TCP握手报文达到 报文防护类型

SAP ERP系统安全加固
国美应用效果：
1）针对SAP ERP系统的安全漏洞进行针对
FW FW
性防护
2）针对底层的Linux操作系统漏洞进行安
全防护 3）启用了IPS和WAF防扫描防探测功能
NGAF NGAF
4）启用了安全模块的智能联劢功能
内网
SAP服务器区
产品部署方式
路由模式
WEB交互系统 WEB门户网站
1、安全防护更全面，融 合了IPS以及WAF功能； 2、强化的web攻击防护， 可防御各类SQL注入变种 攻击 3、独特的敏感信息防泄 漏，与门为高端用户打造 4、网关融合网页防篡改， 对服务器稳定性和性能无 影响
解决方案卖点——网站一体化安全防护
网站一体化安全防护
人事考试网应用效果：
NGAF NGAF
功能卖点
竞争优势
1、集成SANGFOR 优秀 的IPSEC VPN功能 2、基于应用的流控 3、融合应用攻击防护 4、高效流式病毒过滤 5、集中管理
1、融合业界市场占有率 第一的IPSEC VPN，实现 最优的安全组网 2、L2-L7层流量清洗，业 界最完整的一体化安全防 护方案 3、一体化网关实现安全 组网不流量清洗，建设成 本更低
1、虚拟补丁解决系统漏 洞问题 2、web安全保障应用层 面安全 3、信息泄露防护防止拖 库暴库，加固数据层面安 全防护能力 4、网页篡改防护保证 web页面完整性，加固数 据层面安全防护能力
解决方案卖点——业务系统安全加固
一站式应用安全加固部署方案
解决方案卖点——业务系统安全加固
节点纵深防御应用安全加固部署方案
解决方案卖点——业务系统敏感信息防泄漏
网银区服务器数据防泄露

SANGFOR NGAF 快速安装手册
0
技术支持说明
为了让您在安装，调试、配置、维护和学习 SANGFOR 设备时，能及时、快速、有效 的获得技帮助你快速的完成部署、安装 SANGFOR 设备。如果快 速安装手册不能满足您的需要， 您可以到 SANGFOR 技术论坛或官网获得电子版的完整版 用户手册或者其他技术资料，以便你获得更详尽的信息。
4.
致电 SANGFOR 客服中心，确认最适合您的服务方式和服务提供方，客服中心会在您的 技术问题得到解决后，帮助您获得有效的服务信息和服务途径，以便您在后续的产品使 用和维护中最有效的享受技术支持服务，及时、有效的解决产品使用中的问题。
SANGFOR 技术论坛：/forum
公司网址：
技术支持服务热线：800830643（固话）、 4008306430（手机、固话均可拨打）
邮箱：support@
1
目录
技术支持说明................................................................................................................................... 1 声明 .................................................................................................................................................. 3 前言 ..............................................................................................

消极控制：只阻止策略所设置的流量，允许其它所有流量
FW:粗糙的管理模式，使得IT主管经常考虑“如何禁止最有效”；
NGAF：不但可以阻断非法流量，还可以针对放行流量的优先级别进行带宽保障，确保关键业务流量有限转发，稳定运行
用户信息收集
可作为策略元素之一在日地址会给网络管理带来很大难度；
状态检测技术：基于端口和协议，应用协议经常误识别。
FW:应用与端口或协议无关；
NGAF：具有应用完全可视性及细粒度控制
应用流量处理模式
主动控制：只允许合法的流量，阻止所有非法流量
应用层QoS：提供针对应用细分的带宽保障，确保关键业务的优先处理，如自动识别出OA、视频、系统升级等流量，并给予8M以上带宽
强化的服务器防护
NGAF提供针对服务器提供全面应用防护，如缓冲区溢出、SQL注入、密码破解、应用探测、跨站脚本等
没有
针对网络上部署的关键业务系统服务器提供全面的防护，避免服务器被攻击而导致业务终端
性能
单通道并行扫描机制，实现应用层万兆级性能，微妙级延时
网络层万兆级性能
NGAF：高性能、低延时，确保实时性要求高的业务稳定运行
NGAF：基于用户和组的应用管理，使得分支机构运维更加智能和简便。
应用层安全防护功能
NGAF可以提供漏洞防护、病毒过滤、恶意Web内容等应用层威胁流量进行全面的检测和过滤，可以防护2000+种漏洞、20万种以上的恶意内容过滤
没有
FW：无法针对合法应用中的威胁流量进行深度检测和处理
NGAF：针对数据包的L2-L7进行全面的过滤和检测，防止终端病毒通过广域网进行传播，阻塞有限的广域网带宽。
深信服下一代防火墙NGAF与传统FW功能对比
NGAF

深信服科技NGAF 下一代防火墙方案白皮书1.概述 (4)2.深信服下一代防火墙核心价值 (5)2.1.全程保护 (5)2.2.全程可视 (7)3.主要功能介绍 (8)3.1.系统架构设计 (8)3.2.基础防火墙特性 (11)3.3.事前风险预知 (13)3.4.事中安全防护 (18)3.5.事后检测及响应 (31)4.部署模式 (33)4.1.网关模式 (33)4.2.网桥模式 (34)4.3.旁路模式 (36)4.4.双机模式 (37)5.市场表现 (39)5.1.高速增长，年复合增长超70% (39)5.2.众多权威机构一致认可 (40)5.3.为客户需求而持续创新 (40)6.关于深信服 (40)1.概述近几年来，随着互联网+、业务数字化转型的深入推进，各行各业都在加速往互联网化、数字化转型。

业务越来越多的向公众、合作伙伴，第三方机构等开放，在数字化业务带给我们高效和便捷的同时，信息暴露面的增加，网络边界的模糊化以及黑客攻击的产业化使得网络安全事件相较以往成指数级的增加，面对应对层出不穷的新型安全事件如网站被篡改，被挂黑链，0 day 漏洞利用，数据窃取，僵尸网络，勒索病毒等等，传统安全建设模式已经捉襟见肘，面临着巨大的挑战。

问题一：传统信息安全建设，以事中防御为主。

缺乏事前的风险预知，事后的持续检测及响应能力传统意义上的安全建设无论采用的是多安全产品叠加方案还是采用 UTM/NGFW+WAF 的整合类产品解决方案，关注的重点都在于如何防护资产在被攻击过程中不被黑客入侵成功，但是并不具备对于资产的事前风险预知和事后检测响应的能力，从业务风险的生命周期来看，仅仅具备事中的防护是不完整的，如果能在事前做好预防措施以及在时候提高检测和响应的能力，安全事件发生产生的不良影响会大幅度降低，所以未来，融合安全将是安全建设发展的趋势。

问题二：传统安全建设是拼凑的事中防御，缺乏有效的联动分析和防御机制传统安全建设方案，搜集到的都是不同产品碎片化的攻击日志信息，只能简单的统计报表展示，并不能结合业务形成有效的资产安全状态分析。

如果说这台服务器上安装了深信服的防篡改2.0客户端会有什么不一
样的效果呢？
防篡改2.0客户端效果展示
黑客操作： 1.暴力破解3389端口，拿到客户的远程桌面密码 2.远程到客户的web服务器上 3.开始修改web代码重新给网站做一个恶意主页……这个时候！
创建文件……不行！ 修改文件……还是不行！
删除文件……依然不行！
防篡改2.0客户端效果展示
黑客继续操作：
1.肯定有一个软件在做防护，找出这个软件…… 2.找到了原来是深信服的防篡改客户端，那我就卸载掉他
3.先尝试结束进程，然后在卸载程序
结束进程
需要密码才能卸载……放弃
进程又出来了！
没有卸载程序！ 找到程序路径
防篡改2.0客户端效果展示
客户端和NGAF设备都支持拒绝日志查看
•在服务端上安装驱动级的文件监控软件，监控服务器上的程序进程对网站
目录文件进行的操作，不允许的程序无法修改网站目录内的内容
防篡改2.0二次认证相关界面
新增网站后台防护，防止黑客登录网站管理后台与FTP
NGAF6.2_网站防篡改 2.0 测试指导专题
背景说明
网页防篡改功能最早在 AF2.1 版本推出，主打网关形式缓存网站数据，并通 过代理页面数据，对比本地缓存的方式鉴别篡改是否发生，并在 AF4.6 版本添加 了缓存页面还原功能。然而网关版防篡改功能由于误判漏判情况严重， 更新网站 要额外手动触发防火墙更新缓存等问题导致此项功能反馈不佳， 为了解决这些遗 留问题，基于客户端版本的网站防篡改 2.0 在 AF6.2 版本推出，有望成为 AF 的 强有力卖点。
SANGFOR NGAF 基本网络配置介绍
Jan, 2017
培训内容

深信服N G A F典型部署案例与上架问题参考手册公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]NGAF典型案例与上架问题快速参考手册目录案例部分一、路由模式部署单线路简单部署by谢辉【网络现状】Internet——NGAF——内网（PC和服务器）现有1条外网出口线路，20M出口带宽.内网lan口接核心交换机，服务器区也在lan区域.【客户需求】AF代理内网上网对外发布服务双向地址映射流量控制【设备配置】（1）配置lan口，设置为路由口，由于是内网口，固不勾选 wan口（2）配置WAN口，设置为路由口，选择wan口。

（3）设置区域，一个接口属于一个区域，如图：（4）配置系统路由(添加回包路由和缺省路由，缺省路由必须要添加。

)（5）配置源地址转换，即代理上网功能。

源区域选择lan，目标区域选择wan。

源地址转换选择出接口地址，如果有多个公网IP可以选择IP范围。

（6）设置目的地址转换（即对外发布服务）。

源区域选择wan，目的区域为灰色，不可选，IP组应当设置wan口映射IP，可以通过IP组来发布需要映射的公网IP，客户需要将公网的8080端口映射到内部服务器的80端口，固需要将8080端口转换成80端口，以实现客户需求。

（7）客户需要在内网访问公网地址来访问内部服务器，需要我们做双向映射来实现，源区域和目的区域都选择lan区，应用服务器是通过来访问的,固目标端口设置7890，该端口不需要转换所以目标端口转换选择-不转换，如果是域名，则用dnsmapping即可。

所有映射条目如下图：（8）映射设置完毕后，需要放通相应的应用控制策略。

注意：做双向映射后，应当放通lan-lan的规则。

（9）配置流控模块1. 先配置虚拟线路，如图所示：2. 配置正确的线路带宽，将WAN区域的接口设置为外出接口，本例中eth2为WAN口，如下图：3. 设置流控策略，设置流控策略基本和AC一致。

ETH3
ETH2
服务器IP段 200.200.200.20/24 GW:200.200.200.1/24
ETH1
6、路由模式（wan口路由口，内网服务器有 公网IP，启用ARP代理）
arp代理功能，该拓扑图，必须选择eth3
7、旁路模式
旁路模式部署AF，AF仅仅支持的 功能有WAF（web应用防护），IPS（ 入侵防护系统），和DLP（数据库泄 密防护，属于WAF内，其余功能均不 能实现，例如Vpn功能，网关 (smtp/pop3/http)杀毒，DOS防御，网站 防篡改，Web过滤等都不能实现。 部署思路： 1、连接旁路口eth3到邻接核心交换机 设备 2、连接管理口并配置管理ip 3、启用管理口reset功能
9、混合模式部署案例
配置截图：
1. 设置物理接口eth1、eth2和eth3：
9、混合模式部署案例
2. 设置VLAN接口：
问题思考
1. 设备路由模式部署，lan口对端的交换机端口属性是trunk，则设备lan有哪几 种配置方式？ 2. 简单描述一下混合模式各个接口的配置？ 虚拟线路部署配置接口时的注意事项？
混合模式部署，主要指AF的各个网口 ，既有2层口，又有3层口的情况。特 别是当DMZ区域服务器集群需要配置 公网IP地址的时候 部署思路： 1、服务器eth3和公网区域接口eth2配 置成2层口，放到2层区域 2、内网口eth1配置为路由口 3、新建一个和eth2以及eth3对应vlan的 3层区域接口并配置公网ip地址。 用于代理内网方向上网及内网区域与 服务器区域、外网区域策略控制
5、虚拟线路
6、路由模式（wan口路由口，内网服务器有 公网IP，启用ARP代理）
上文提及需求是公网IP必须配置在服 务器上面的另外一种配置方法，这就 是全路由模式部署。 部署思路： 1、接口都配置为路由口，然后采用arp 代理的方式实现服务器区域和公网网 关的互相通讯。

深信服防火墙路由接口配置案例路由接口的典型应用环境是将SANGFOR NGAF 设备以路由模式部署在公网出口，代理内网上网，像一个路由器一样部署在网络中，如下图所示：配置案例：某用户网络是跨三层的环境，购买NGAF 设备打算部署在公网出口，代理内网用户上网，公网线路是光纤接入固定分配IP 的。

第一步：通过管理口(ETH0) 的默认IP 登录设备。

管理口的默认IP 是10.251.251.251/24 ，在计算机上配置一个相同网段的IP 地址，通过https://10.251.251.251 登录设备。

第二步：配置外网接口，通过『网络』→『接口/区域』，点击需要设置成外网接口的接口，如eth2，出现以下页面：接口[类型]选择路由。

[基本属性]可以设置是否为WAN 口和允许PING。

如果是WAN 口，是否与IPSEC VPN 出口线路匹配。

连接上行链路的接口需要勾选WAN 口。

[区域]选择接口eth2 所属的区域。

区域需要提前设置，本例将ETH2 划入WAN 区域，对于区域的设置请参考章节3.3.1.5 区域设置。

选择配置IPv4 地址：[连接类型]包括静态IP、DHCP、ADSL 拨号三种，根据该线路的特征进行配置，如果选择静态IP，需要填写好IP 地址/掩码以及下一跳网关；如果该接口是DHCP 自动获得地址，则设置DHCP；如果线路是ADSL 拨号，则配置好拨号所需的用户名、密码和其他拨号参数。

静态IP 地址可以填写成“IP/掩码”和“IP/掩码-HA”两种形式，后一种形式表示同步网口配置时，不同步IP 地址，“IP/掩码-HA”的形式适用于NGAF 设备双机部署的环境。

本案例中外网接口连接的是静态IP 的光纤线路，所以选择静态IP，并且配置ISP 提供给该光纤线路的公网IP 地址和下一跳网关。

[线路带宽]设置公网链路的上下行带宽。

点击可以修改带宽单位，包括KB/s，MB/s，GB/s。

[链路故障检测]用于检测链路的好坏。

SANGFOR NGAF 安全防护功能培训
培训内容
培训目标
AF的安全防护功能介绍 1.了解内网用户上网、服务器访问面临的威 胁以及AF能够对它们起到的防护作用
内容安全
1.掌握内容安全的应用场景和配置方法
IPS
1.掌握AF能够对客户端和服务器的哪些漏洞
进行防护，以及IPS出现误判后如何修改IPS
防护规则
（4）IPS的规则识别分类 保护服务器和客户端（一般是病毒、木马等）
防止包括操作系统本身的漏洞，后门、木马、间谍、蠕虫软件以及恶意代码的攻击。
保护服务器软件（如应用服务器提供的应用）
SG代理
用户认证 防火墙 应用识别、控制 URL过滤 脚本、插件过滤 网关杀毒
IPS
安全防护功能介绍
3.服务器面临的威胁
SG代理
（1）不必要的访问（如只提供HTTP应用 服务访问） （2）DDOS攻击、IP或端口扫描、协议 报文攻击等 （3）漏洞攻击（针对服务器操作系统、 软件漏洞） （4）根据软件版本的已知漏洞进行攻击 ；口令暴力破解，获取用户权限；SQL注 入、XSS跨站脚本攻击、跨站请求伪造等 等 （5）扫描网站开放的端口以及弱密码 （6）网站被攻击者篡改
SG代理
应用识别、控制 防火墙 IPS
服务器保护
风险分析 网站篡改防护
2. 安全防护策略
2.1.内容安全的功能介绍 2.2.IPS的功能介绍 2.3.服务器保护的功能介绍
安全防护策略
1.内容安全
AF的内容安全包括应用控制策略、病毒防御策略和WEB过滤。 （1）应用控制策略
应用控制策略可做到对应用/服务的访问做双向控制，存在一条默认拒绝 所有服务/应用的控制策略。应用控制策略可分为基于服务的控制策略和基于 应用的控制策略。 基于服务的控制策略：通过匹配数据包的五元组（源地址、目的地址、协议号、 源端口、目的端口）来进行过滤动作，对于任何包可以立即进行拦截动作判断。 基于应用的控制策略：通过匹配数据包特征来进行过滤动作，需要一定数量的 包通行后才能判断应用类型，然后进行拦截动作的判断。

1sangforngaf基本功能介绍ngaf产品的产生背景ngaf基本功能介绍深信服公司简介新手上路sangforngafngaf产品的产生背景网络发展的趋势防火墙需要更新换代仅80端口上的应用就有n种防火墙如何限制2004年utm诞生替代性方案补丁式设备堆叠由于防火墙功能单一出现了串糖葫芦式的部署方式utm简单的叠加性能是最大的瓶颈fwipsavwafgartner定义下一代防火墙网络安全可视化应用管控全面应用安全单次解析构架智能风险审计应用识别流量管控应用安全防护web安全防护灰度威胁识别灰度威胁关联分析引擎多核并行处
SANGFOR NGAF基本 功能介绍
学习交流PPT
1
培训内容
培训目标
NGAF 产品的产生背景 1. 了解NGAF产品的产生背景
NGAF 基本功能介绍 新手上路
1. 掌握SANGFOR NGAF产品的基本功能：部署模式、 内容安全控制、流量管理、防攻击特性、数据中心
1. 掌握如何登录到NGAF的控制台 2. 掌握如何恢复NGAF设备的出厂配置 3. 掌握如何通过直通功能快速恢复业务
学习交流PPT
15
IPS、DOS/DDOS防护、服务器保护
IPS
入侵防御系统( intrusion prevention system):不管是操作系统本 身，还是运行之上的应用软件程序，都可能存在一些安全漏洞， 攻击者可以利用这些漏洞发起带攻击性的数据包威胁网络信息 安全。 AF检查穿过的数据包，和内置的漏洞规则列表进行比较，确 定这种数据包的真正用途，然后根据用户配置来决定是否允许 这种数据包进入目标区域网络。根据客户端和服务器的不同特 性，分为客户端漏洞和服务器漏洞。
1.如何登录NGAF设备控制台? 2.如何恢复NGAF设备出厂配置？ 3.如何使用直通功能快速恢复业务？ 4.NGAF型号介绍

NGAF交换双机切换过程 切换场景2，AF向下ping不通： 与向上ping不通场景相同
优点： 1. 任意1个设备宕机拔线不会影响业
务 2. 任意3个不同角色的设备宕机拔线
不会影响业务
1.2 NGAF双机路由模式
图例
1 2 交换机SVI接口，该接口Vlan SVI 内有两个物理交换口 3 4 AF设备的Access接口，Access Acs1 ID=1，并有eth3、4口 WAN AF设备的WAN口，接公网，并有
你了解的VRRP一般是这样的
1、两个路由器IP地址不一样，需要虚拟IP ---NGAF不需要虚拟IP，因为接口IP一样。 2、根据虚拟组ID找同伴，同一虚拟组的设备之 间选主备。 ----NGAF也是这样 3、可能影响主备的条件：1、优先级，优先级 高的为主，2、接口IP，IP地址大的为主 ---NGAF也是一样，但因为接口IP一致，最终 是看心跳口IP的大小。 4、可以设置抢占模式，优先级高的设备故障恢 复后，如果配置成抢占模式，可以成为主。 ----NGAF也一样 5、心跳协商通过组播224.0.0.18 ----NGAF也一样 6、AF需要配置心跳口，心跳口是一个普通网 口。
2、常见故障
3、网口不够，能否用管理口作为心跳口
【解决办法】 管理口可以作为心跳口，但是不能作为双机内外网通信网口
2、常见故障
4、双机配置不同步
1、检查主机能否ping通备机HA-IP 2、手动点击同步配置，检查webui中日志来源为“配置同步”的调试日志中是 否有发送配置同步文件。
2、常见故障
【解决办法】
网线有问题换网线，如果换网线还不行，可以尝试换接口测试一下 。如果是担心心跳接口只有一个情况下出现双机问题，新版本还支持 聚合接口做心跳口，聚合接口可以做冗余。

一、Web扫描简介深信服Web扫描使用Web扫描器进行自动化的Web应用安全漏洞评估工作，能够快速扫描和检测所有常见的Web应用安全漏洞，例如SQL注入、跨站点脚本攻击等。

二、使用说明1.web扫描使用说明1.1.界面说明Web扫描的位置在导航菜单-风险发现与防护-web扫描，界面如下图1.2.Web扫描配置1.2.1.起始URL[起始URL]：定义需要扫描的目标网站地址。

支持输入域名和IP地址等多种形式的URL，本版本只支持扫描http，不支持https。

点击[起始URL]右边的按钮可进行[站点设置]。

[站点设置]目的是为扫描器搜集目标网站信息，根据这些信息，扫描器自行配置扫描选项，这样可以更快速更有效地进行安全审计工作。

界面如下：1.2.1.1.登录方式[不用登录]：默认扫描过程中不需要登录网站。

[记录表单登录信息]：扫描器可以通过登入表单信息来记录用户的登录过程，这样扫描器在遇到登录时，会根据用户录入的信息自行登录，进行更深入扫描。

[记录表单登录信息→录入]：进入录入界面，如下图所示：[注销关键字]：用于识别页面是否登录成功。

例如，用户成功登录网易通行证后，页面的右上角出现：，那么在[注销关键字]字段填写＂安全退出＂。

[已配置完代理服务器]：根据配置完浏览器代理后，勾选此项，才能进行下一步操作。

注意：代理设置中需排除AF自身的IP地址，否则控制台界面会无法使用。

[录入→下一步]：出现如下界面，用户可按下图的提示进行录入：输入用户名，密码，并点击登录后，可看到如下图的[注销关键字]：Logout。

用户登录后，出现[注销关键字]即表明录入完成，勾选“已登录”并点击下一步，可看到刚才录入过程中的登录序列，如下图：点击下一步，如下图。

取消浏览器的代理设置后，勾选[已经取消了服务器代理]，点击完成即可。

1.2.1.2.运行环境点击[运行环境]时，扫描器首先根据起始URL自动探测目标环境，用户也可以手动进行配置。

链路检测一 定要配置
2.3 策略路由应用案例
静态路由配置：
静态路由和策略路由功能 注意事项
1. 2. 路由优先级：VPN路由>静态路由>策略路由>默认路由。 每一条外网线路必须有一条策略路由与之对应，源地址策略路由或多线路负 载路由均可。 3. 4. 源地址策略路由选择接口时，只能选择WAN属性的路由接口。 源地址策略路由，通过直接填写路由的下一跳，可以实现从设备非WAN属 性的接口转发数据。 5. 多线路负载路由选择的接口，必须是WAN属性的路由接口，必须开启链路 故障检测功能，才能实现线路故障自动切换。 6. 多条策略路由，按照从上往下的顺序匹配，一旦匹配到某条策略路由后，不 再往下匹配。
1.1 物理接口 1.2 子接口 1.3 VLAN接口 1.4 区域
1.1 物理接口
物理接口与NGAF设备面板上的接口一 一对应（eth0为manage口），根
据网口数据转发特性的不同，可选择路由、透明、虚拟网线和旁路镜像4
种类型，前三种接口又可设置WAN 或非WAN属性。
物理接口无法删除或新增，物理接口的数目由硬件型号决定。
1. 透明接口与虚拟网线接口有何共同点？这两种接口在哪些应用场景下可以通 用？ 2. 哪些应用场景下要求接口属性必须是WAN？ 策略路由是否可以从一个非WAN属性的接口转发出去？ 如果可以，请问如 何配置？ 4. 若要实现外网线路的故障自动切换，需如何配置策略路由？对连接外网线 路的接口有何要求？
3.
我们通过配置虚拟网线接口来满足部署 的需求。
1.1.3 虚拟网线接口
虚拟网线接口： 虚拟网线接口也是普通的交换接口， 不需要配置IP地址，不支持路由转发 ，转发数据时，无需检查MAC表，直 接从虚拟网线配对的接口转发。

深信服科技教育行业案例集深信服科技有限公司2014年08月目录深信服科技教育行业案例集 (1)秦皇岛教育局 (3)上海教育考试院 (5)北京市顺义教育信息中心 (7)河北经贸大学 (9)北京交通大学海滨学院 (11)南方科技大学 (13)广西农业职业技术学院整体安全防护 (15)柳州师范高等专科学校 (17)复旦大学 (19)湖南农业大学 (20)秦皇岛教育局应用背景秦皇岛教育局共有高中31所，其中普通高中28所、完全中学2所、十二年一贯制1所；高中在校生47806人，专任教师3912人。

初中共有134所，其中初级中学115所、九年一贯制学校19所；初中在校生81211人，专任教师8735人。

小学444所，在校生182632人，专任教师13002人。

幼儿园214所，在校生70576人，专任教师1996人。

中等职业学校31所，在校生数33970人（其中含成人非全日制学生3373人、成人全日制学生2725人），专任教师1991人。

来自各个县、乡、地区的业务访问等数据大集中对于安全的要求也越来越高，秦皇岛市教育局仅通过通用型防火墙安全域的隔离，已经不能满足目前的安全防护的要求。

需求分析替换原有传统防火墙,为来自区县乡地区的教育局业务访问提供L2-7层的安全防护。

各个学校资源访问都在教育局官网，需要防止黑客对web系统的应用层攻击，防止网页被篡改，保证web业务安全稳定运行。

解决方案在秦皇岛市教育局及下级学校互联网出口部署深信服NGAF下一代防火墙，替换原有传统防火墙，不仅能够实现原有区域安全隔离的效果，还能够实现IPS 入侵防御、AV病毒防护的功能。

通过开启NGAF的WAF防护模块，防止黑客利用web应用程序及各类B/S业务的应用程序漏洞攻击教育系统WEB服务器，同时网页防篡改功能也保障了对外web业务的正常提供。

通过部署深信服集中管理平台和统一日志中心，能够对全网的安全设备进行集中管理和运维，减少了安全运维管理的投入，并且能够实时监测全网的安全状况，发现网络弱点区域，并快速进行安全加固。

四、下一代防火墙用来做WEB攻击防护：
下一代防火墙用作web攻击防护效果优于WAF，技术上通过NSS LAB web安全测评 最高推荐 级，国内领先。同时在可视化、检测方面有明显的优势，开启云化服务模块可以简化运营。 优势1：一站式的网站安全防护NGAF提供一站式网站安全，事前提供web漏扫，事中完整防护， 事后发现安全事件，同时可以提供防篡改、防扫描等优势功能。 优势2：可视化的安全报表，多维度的风险展示NGAF提供综合风险的可视化安全报表，展示攻 击、漏洞、失陷主机以及黑链和篡改等安全事件，感知整体安全态势。 优势3：绕过防御的安全事件发现可以发现绕过防御对网站造成的危害，可以发现黑链、发现篡 改等事件。 优势4：融合云化服务NGAF可以开启云化服务的模块，可以获得安全运营、实时的网站监测、 专家团的快速响应等服务大大提升设备的运维效率。用户无需登录设备，通过微信即可感知经过分 析的有效事件。
客户名称 产品 客户认可的功能/价值 娃哈哈集团 NGAF 1、事前预知：风险发现 2、事中防御：威胁情报预警 3、可视报表 客户利用此成功解决问题的 哇哈哈集团以前只在集团网络边界部署传统防火墙，基于IP和端口进行ACL访问控制，安全建设缺乏应用层的防 故事 护措施。后期随着哇哈哈将自己的网站迁移至集团网络中，导致集团内部数据中心与互联网相互连通，安全风险急 剧增大，因此，哇哈哈集团信息部采用深信服下一代防火墙部署在网络边界，实现对集团网络全面安全加固。 在实际使用过程中，客户借助深信服下一代防火墙的双向检测功能，不仅帮助客户发现数据中心服务器存在的安 全漏洞，还发现了办公区好几台PC终端对外发送非法流量的行为。在今年5月份爆发永恒之蓝安全事件时，用户利 用下一代防火墙推送的勒索病毒相关查杀工具，及时发现了集团内网中未打系统补丁的终端主机，并根据深信服的 指导建议及时更新入侵规则库，最后客户的网络中并没有出现一例感染了勒索病毒的案例。 客户原话 产品配置界面真是友好，深信服的工程师教了我一遍就可以上手了，本来IT运维工作就多，设备配置简单，也减 少了工作量，这对于我们信息部来说，非常重要。另外，各种报表、主界面，我就能看到风险处置结果，比如有哪 些漏洞、有效攻击、风险主机，特别是今年刚升级的新版本，加入了安全运营中心，我可以非常容易的去了解我现 在有多少个安全事件，每个高危风险的处理过程和最终的结果，让我在应对起安全事件更加的轻松。