NGAF上架配置

最新推荐文章于 2021-08-22 02:06:10 发布
最新推荐文章于 2021-08-22 02:06:10 发布
阅读量538 收藏 6
点赞数
分类专栏: # 下一代防火墙NGAF 文章标签: 深信服
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42095742/article/details/103468543
版权

一、如何登陆NGAF控制台
NGAF设备通过MANAGE口登陆进行管理,MANAGE口地址:10.251.251.251
登陆方法:使用一根网线连接设备的MANAGE口和电脑,电脑配置10.251.251.0/24网段的IP地址,在浏览器中输入https://10.251.251.251,登陆设备的网关控制台,控制台默认的账户/密码,admin/admin

二、如何恢复NGAF设备的出厂设置
登陆深信服官方网站-服务支持-软件下载-常用工具,下载升级客户端6.0
使用网关升级客户端连接要恢复出厂的设备,然后按F10在弹出的框中会显示当前版本,下载NGAF升级包(升级包版本必须与当前版本一致)
在F10打开的窗口中选择菜单栏的“升级”–“恢复出厂设置,加载下载的NGAF升级包
点击“系统“–”直接连接“ ,输入设备ip地址和密码连接设备
点击“升级“–”恢复默认配置“,如有提示,点击“是”即可恢复出厂配置。
注:在设备控制台提供“系统“ --”系统维护”–“备份与恢复”恢复配置方式三“一键恢复“中也支持恢复出厂配置。

三、U盘恢复密码
当客户忘记设备网关控制台的登陆密码。
方法:新建一个reset-password.txt文件拷贝到u盘根目录
插入U盘,重启设备
当设备能够正常登陆控制台后,拔出U盘
查看U盘的结果文件rest-password.log,若恢复成功在该文件中记录恢复后的控制台密码,否则记录的是恢复失败信息。
注:reset-password.txt文件,必须在U盘的根目录下;
U盘的分区格式必须是FAT32,多分区U盘必须把文件放在第一个分区,且第一个分区为FAT32

四、如何使用直通功能快速恢复业务
如果上架设备后发现应用不正常,而上架设备前正常,可以使用直通功能快速恢复客户业务,相当于软件BYpass功能,开启直通之后,认证系统、防火墙、内容安全、服务器保护、流量管理等主要功能模块均失效
方法:系统–“排障“–”数据包拦截日志与直通“,点击”开启“即可,使用完毕后,关闭数据包拦截日志与直通

五、NGAF网络配置
1、接口和区域
物理接口与NAGF设备面板上的接口一一对应(eth0为manage口),根据网口数据转发特性的不同,可选择路由、透明、
虚拟网线、和旁路镜像4中类型,前三种接口又可设置wan或者非wan属性。
路由接口:如果设置为路由接口,则需要给该接口配置IP地址,且改接口具有路由转发功能。
实时监测接口的链路状态,以及多条外网线路的情况下,某条线路故障,流量自动切换到其他线路,均需开启链路故障监测。wan属性的接口必须开启链路故障检测功能。
透明接口:透明接口相当于普通的交换网口,不需要配置IP地址,不支持路由转发,根据MAC地址转发数据
虚拟网线接口:虚拟网线接口也是普通的交换接口,不需要配置IP地址,不支持路由转发,转发数据时,无需查找MAC表,直接从虚拟网线配对接口转发。
虚拟网线接口的转发性能高于透明接口,单进单出网桥的环境下,推荐使用虚拟网线接口部署。
聚合接口:将多个以太网接口捆绑在一起所形成的逻辑接口,创建的聚合接口 为一个逻辑接口,而不是底层的物理接口。
子接口:子接口应用于路由接口需要启用VLAN或trunk的场景。
子接口时逻辑接口,只能在路由口下添加子接口,子接口的下一跳网关和链路故障检测根据实际环境进行配置。
Vlan接口:为VLAN定义IP地址,则会产生VLAN接口,VLAN接口也是逻辑接口。
区域:用于定义和归类接口,一共防火墙、内容感知、服务器保护等模块调用。
定义区域时,需根据控制的需求来规划,可以将一个接口划分到一个区域,或者将几个相投需求的接口划分到同一个区域。
一个接口只能属于一个区域。
2、路由
NGAF的静态路由用于手动添加路由条目,可以新增单个静态路由或者新增多个静态路由。
方法:网络–路由–静态路由–新增单个静态路由
在这里插入图片描述
网络–路由–静态路由–新增多个静态路由
在这里插入图片描述
策略路由:主要用于设备有多个接口和多条外网线路时,根据源/目的IP、源/目的的端口、协议以及应用等条件进行出接口和线路选择,以实现不同的数据走不同的外网线路的自动选路功能。
应用场景:
源地址策略路由:根据源IP地址和协议选择接口或下一跳,实现用户访问数据的分流。可实现不同网段的内网用户,分别通过不同的线路接口访问公网。
在这里插入图片描述
多线路负载路由:设备上有多条外网线路,通过策略路由的轮询,带宽比例,加权最小流量,优先使用前面的线路的接口策略,动态的选择线路,实现线路带宽的有效利用、备份、和负载均衡。
在这里插入图片描述
注:原地址策略路由和多线路负载路由都要设置故障链轮检测,否则链路故障时无法实现链路切换,源地址策略路由是单独设置,而多线路负载路由是调用接口的链路检测。

六、地址转换
地址转换NET:在计算机网络中,网络地址转换是一种在IP数据包通过路由器或防火墙时重写源IP地址/目的IP地址的技术
源地址转换SNAT:源地址转换即内网地址访问外网时,将发起访问的内网IP地址转换为指定的IP地址,内网的多台主机可以通过同一个有效的公网IP地址访问外网。
在这里插入图片描述
目的地址转换DNAT:目的地址转换也称为反向地址转换或地址映射。目的地址转换时一种单向的针对目标地址的地址转换,主要用于内部服务器已公网地址向外网用户提供服务的情况。
在这里插入图片描述
双向地址转换:双向地址转换是指在一条地址转换规则中,同时包含源地址和目标地址的转换,匹配规则的数据流将被同时转换源IP地址和目标IP地址。
在这里插入图片描述

海盗战天下第一
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深信服下一代防火墙NGAF高可用组网
weixin_48085330的博客
05-14 2680
防火墙高可用组网功能概述 两台AF主备部署也称为双机热备部署,一台设备处于工作状态,另外一台处于热备状态。两台设备通过心跳口检测对端是否存在并同步配置及会话,当主设备出现问题触发切换条件时,设备会自动把业务切换到备设备,并且通过会话同步等机制,保证业务不断,从而实现业务稳定的运行 。 应用场景 客户内网是VRRP环境,为了避免单点故障,购买了两台AF需要做网关主备部署在公网出口替换原有的防火墙,任一设备或链路故障,实现快速切换,保障业务稳定性。 具体配置 配置步骤-主AF 1、划分内网区域LA.
深信服防火墙 NGAF V7.4 用户手册
12-05
深信服防火墙 NGAF V7.4 最新版用户手册,每一个功能模块都讲解得很清楚。
深信服下一代防火墙(NGAF)学习笔记
Ether_Dzh的博客
08-22 1万+
目录 sangfor_waf 代理HTTP所有流量,SSH不阻拦 网络 接口 端口聚合 负载模式 聚合协议 虚拟网线 ipv6 807 WAN属性 作用 支持接口模式 WAN口入站路由转发 与IPSEC VPN出口线路匹配 管理口 AF809 vlan0 ARP代理 路由 策略路由 AF路由表分类 非对称数据转发 二次穿透部署 SNMP SNMP开启 SNMP Trap 光口bypas Reset 安全防护 WAF IPS DOS ...
NGAF安全防护功能
qq_42095742的博客
01-03 566
1、内网用户上网面临的威胁 (1)未授权的访问,非法用户流量 (2)内网存在DDOS攻击,ARP欺骗等 (3)不必要的访问 (4)不合法的访问 (5)不可靠的访问 (6)不安全的访问 (7)利用客户端电脑的漏洞,后门等发起攻击 (8)感染了僵尸程序的终端控制端利用 2、NGAF对内网用户上网的安全防护 用户认证 防火墙 应用识别,控制 URL过滤 网关杀毒 IPS 僵尸网络 3、安全防护策略 安...
深信服NGAF7.4用户手册
12-03
深信服下一代防火墙系统官方最新版本用户手册,详细实用
SANGFOR_NGAF_端口映射配置文档.pdf
09-25
SANGFOR_NGAF_端口映射配置文档.pdf
SANGFOR_NGAF_OSPF动态路由配置指导.pdf
09-25
【OSPF动态路由协议详解】 OSPF(Open Shortest Path First,开放最短路径优先)是一种广泛使用的内部网关协议(IGP),用于在单一...在深信服NGAF设备上配置OSPF,需按照上述步骤进行,以确保网络的稳定和高效运行。
SANGFOR_NGAF_如何配置外置数据中心.pdf
09-25
【标题】:SANGFOR NGAF 外置数据中心配置指南 【描述】:本文档将详细介绍如何在SANGFOR下一代防火墙(NGAF)上配置外置数据中心,以实现日志存储、分析与管理功能。 【重要知识点】: 1. **文档说明**:此文档...
SANGFOR_NGAF_v7.2_ARP代理配置指导.pdf
09-25
SANGFOR NGAF v7.2 ARP 代理配置指导 本文档旨在指导用户如何配置 SANGFOR NGAF v7.2 的 ARP 代理功能,以实现 DMZ 区域服务器的公网 IP 地址配置。该功能可以让 NGAF 设备代替其他服务器或网络设备响应 ARP 请求...
SANGFOR_NGAF_6.8_DNS-Mapping配置指导.pdf
09-25
SANGFOR NGAF 6.8 DNS-Mapping 配置指导 SANGFOR NGAF 6.8 DNS-Mapping 配置指导是深信服公司发布的一份关于 NGAF 6.8 version 的 DNS-Mapping 配置指南。下面是从该指导中总结的重要知识点: 1. 文档说明:文档...
深信服防火墙 NGAF V8.0.6 用户手册
12-11
深信服防火墙 NGAF V8.0.6 最新版用户手册,每一个功能模块都讲解得很清楚。
Sangfor_NGAF学习笔记2
weixin_33709609的博客
04-16 317
Sangfor_NGAF功能模块介绍认证系统:包括用户管理及用户认证方式用户管理:可以添加用户及用户组,支持用户导入,LDAP自动同步用户认证:通过区域的概念来划分数据通过AF的时候需要进行的认证策略,包括不需要认证,本地密码认证,外部认证,单点登录,IP/MAC地址绑定对象定义:包括ISP地址库,应用特征识别库,应用智能识别库,自定义应用,URL分类库等。内容安全:包括应用...
NGAF服务器保护
qq_42095742的博客
01-03 275
1、服务器面临的威胁 (1)不比必要的访问 (2)DDOS攻击,IP或端口扫描,协议报文攻击 (3)漏洞攻击(系统漏洞,软件漏洞) (4)根据软件版本的已知漏洞攻击;口令破解,SQL注入,XSS跨站脚本攻击 (5)扫描网站开放的端口以及弱密码 (6)网站被攻击者篡改 2、NGAF对服务器的保护 应用识别控制 防火墙 IPS 服务器保护 风险分析 网页防篡改 3、web应用防护 口...
深信服下一代防火墙组网介绍及配置
热门推荐
✍千里之行,始于足下 ^,^
05-27 1万+
下一代防火墙目录1.下一代防火墙组网简介1.1部署模式简介1.2 NGAF接口类型1.2.1根据接口属性分类(1)物理接口a 路由口b 透明口c虚拟网线口(2)子接口(3)VLAN接口(4)聚合接口1.2.3 接口设置注意事项1.3区域2.下一代防火墙组网方案2.1路由模式组网2.1.1 客户需求2.1.2 准备工作2.1.3 配置思路2.1.4 单臂路由模式单臂路由概述配置思路2.1.5 路由模...
了解防火墙-入门级
weixin_44842905的博客
06-30 918
防火墙分类 按物理特性划分:软件防火墙、硬件防火墙 按性能划分:百兆级防护墙、千兆级防火墙 按结构划分:单一主机防火墙、路由集成防火墙、分布式防火墙 按防火墙技术划分:包过滤防火墙、应用代理防火墙、状态监测防火墙 防火墙的功能 1、 访问控制(防火墙是一种高级的访问控制设备) 2、 地址转换(部署在内外网之间,会涉及到地址转换的问题) 3、 网络环境支持(2层或3层之间的内部之间,DHCP环境、动态路由环境、VLAN环境、 ADSL拨号环境、SNMP网络管理环境) 4、 带宽管理功能
防火墙双机热备各种场景备配置示例
曹世宏的博客
03-30 1万+
双机热备各场景应用 主备备份和负载分担应用场景: 主备备份和负载分担配置简介: 配置流程: 配置流程图: 三大配置原则: 在双机热备组网中,在配置其他业务之前必须在主备设备上先完成双机热备的所有配置,并保证双机状态正常。 在主备组网中,关键业务在主设备上完成配置即可,备用设备可以同步主设备的配置命令,建议割接前对比主备设备配置文件,保证双机配置一致。 在负载分担组网中,两个设备处于互为主备...
SANGFOR NGAF V1.0产品外观详解:JESD 204b协议与安装指南
"《深信服防火墙NGAF V1.0用户手册》详细介绍了SANGFOR NGAF系列防火墙的产品特性及配置指南。该手册首先关注的是设备的环境要求,包括适宜的工作温度、湿度范围以及对电源的要求,强调了良好的接地和防尘措施对于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值