一、AF界面介绍
1、首先登录设备 https:// 设备IP 账号:xxxxx 密码:xxxxxx
登录后记得修改默认密码
2、界面介绍
首页 安全运营 监控 策略 对象 网络 系统
·首页主要统计并展示设备的运行情况、业务和用户安全状态和风险提示等,从而对用户访问行为进行可视可控。
.安全运营用于展示设备整体安全状况,对整体安全状况进行监控和响应,提供日常维护,有效的管理运营安全服务,同时提供专项防护功能,对热点事件进行预警,并进行黑白名单的管理以及联动下一代安全体系。包括安全运营中心、业务安全、用户安全、专项防护、热点事件预警、黑白名单和下一代安全体系等功能模块。
.监控是AF的日志中心,可以查看设备产生的所有日志。并且可以根据所产生的日志,生成对应的报表,从而提高了人员的分析效率。监控功能包括:安全日志、行为日志、系统日志、会话、统计、报表、设置等功能。
.策略作为设备的主要功能模块,提供完整的安全防御体系,确保安全防护不存在短板,针对经过设备的数据包根据策略进行检测和控制,包括访问控制、地址转换、安全策略、解密、流控、认证和页面定制等功能模块。
.对象中的各种对象是设备做安全防护的基础设置,漏洞攻击防护、Web应用防护、僵尸网络和内网安全等都是基于对象来引用的。对象中包括应用内容识别库、安全防护规则库、IP地址库、时间计划、网络对象、服务和信任的证书颁发机构等。
.网络功能用于设置设备的网络及网络功能。
.系统主要用于设置系统功能以及参数方面的设置,包括安全能力更新、通用配置、排障、SNMP、管理员账号、系统维护和高可用性等功能模块。
2、AF备份与恢复
备份方法:登录AF控制台,点击系统-系统维护-备份与恢复,点击下载当前配置
恢复方法:登录AF控制台,点击系统-系统维护-备份与恢复,方式一:从自动备份中恢复;方式从本地文件中恢复;
注意:恢复配置会导致设备当前配置被覆盖、设备会重启和影响业务,操作前一定要与客户达成一致后操作。
二、AF日志告警管理
在安全设备运行中,会产生大量的系统、安全和运行等日志。日志功能主要记录设备产生的安全、行为和系统日志。方便用户对日志进行查看、分析。
.安全日志主要记录设备产生的安全攻击事件,包括安全防御日志和主动诱捕日志。
.行为日志主要记录用户/IP流量到达AF后的处理结果,应用控制日志记录能匹配的ACL信息情况。行为日志包括应用控制日志、用户登录/注销和SSL用户日志。
.系统日志主要记录设备管理员对设备的操作日志、设备遭受攻击时的本机安全日志和本机访问控制日志
日志存储方式有防火墙(本地)、态势感知系统和syslog三种方式,防火墙默认存储日志在本地上,主要受设备磁盘大小制约。为了满足合规要求推荐防火墙加态势感知系统的形式存储日志,一是满足合规备份存储的需求,二是态势感知系统能够存储海量日志和帮助溯源分析等。 注意:应用控制日志过大将导致系统磁盘读写缓慢。
日志设置:登录AF控制台,点击监控-设置-日志设置,可以对收集的日志及日志存储的位置进行调整,也可以设置存储防火墙的日志。
在完成日志设置后,可以在[监控/日志]中选择记录在防火墙本机的日志进行查看分析。点击日志的<查看详情>可以查看到事件的详细信息。
三、AF设备抓包
在日常工作中,可能会遇到网络环境出现异常(网络不通)、需要确认配置是否生效(路由/策略配置不生效)等场景时,我们可以通过抓包工具对异常情况进行分析排查。
在AF 设备中有以下两种方式使用抓包工具: 抓包工具 命令行工具
抓包工具:登录AF控制台,点击系统-排障-分析工具,选择抓包工具,页面抓包抓取的是经过设备网口的数据包,需要设置抓包数量和选择对应的网口;IP地址、端口和过滤表达式是可选项,用于抓取接口指定数据包。 抓包完成后点击下载将数据包下载到本地PC,然后使用本地PC的wireshark、Sniffer或Ethereal等抓包软件打开分析。
命令行工具:登录AF控制台,点击系统-排障-分析工具,选择<命令行工具>,命令行工具提供一个简单的控制台命令行界面,可以在命行界面使用”tcpdump”命令进行抓包。