简介: 设备以路由模式部署时,AC的工作方式与路由器相当,具备基本的路由转发及NAT功能。一般在客户还没有相应的网关设备或者用户的网络环境规模比较小,需要将AC做网关使用时,建议以路由模式部署。 路由模式下支持AC所有的功能。 如果需要使用NAT、VPN、DHCP等功能时,AC必须以路由模式部署,其它工作模式没有这些功能。 配置思路: 【1】、网口配置:配置各网口地址。如果是固定IP,则填写运营商给的IP地址及网关;如果是ADSL拨号上网,则填写运营商给的拨号帐号和密码;确定内网口的IP; 【2】、确定内网是否为多网段网络环境,如果是的话需要添加相应的回包路由,将到内网各网段的数据回指给设备下接的三层设备。 【3】、用户是否需要通过AC设备上网,如果是的话,需要设置NAT规则。 【4】、检查并放通防火墙规则 排错思路: (1)检查PC本身的网口IP,子网掩码 (2)检查PC本身的默认网关,首选的DNS服务器 (3)检查AC上给PC做的SNAT (4)检查AC上给PC做的回包路由 (5)被PC访问的设备本身能否上网 PING /TELNET /WGET (6)网口兼容性 换网线 换网口 中间加交换机 (7)arp防护和免费arp可能存在冲突 (8)通过ifconfig检查网口错误包或者丢包,ethtool -S 查看丢包类型
简介: 设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部署AC时,对客户来说AC就是个透明的设备,如果因为AC自身的原因而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。 网桥模式部署时AC不支持NAT(代理上网和端口映射)、VPN、DHCP等功能。 配置思路: 【1】、配置设备网桥地址,网关地址,DNS地址。 【2】、确定内网是否为多网段网络环境,本案例就是三层环境,所以需要添加相应的回包路由,将到内网各网段的数据回指给设备下接的三层设备。 【3】、检查并放通防火墙规则。 排错思路: 【1】、AC网线是否反接(在线用户列表出现大量公网IP) 【2】、网桥地址是否可用,是否和内网冲突 【3】、网关是否指向靠近出口方向的设备 【4】、设备上的DNS是否填写正确 【5】、确认前面设备是否有拦截(可能做ACL拦截了AC),或者是否对AC做源地址转换代理上网
简介: 旁路模式主要用于实现审计功能,完全不需要改变用户的网络环境,通过把设备的监听口接在交换机的镜像口,实现对上网数据的监控。这种模式对用户的网络环境完全没有影响,即使宕机也不会对用户的网络造成中断。 旁路模式部署主要用于做上网行为的审计,且只能对TCP应用做控制,对基于UDP的应用无法控制。不支持流量管理、NAT、 VPN、 DHCP等功能。 更多场景:全网行为管理推荐的旁路准入+审计场景 配置思路: 【1】、交换机设置镜像口,并接到AC监听口。 【2】、配置需要审计的内网网段和服务器网段。 【3】、配置管理口地址,用于管理AC设备 注意事项: 【1】、路由模式可以实现设备所有功能,网桥模式其次,旁路模式多用于审计,只能对TCP应用控制,控制功能最弱。 【2】、路由模式对客户原有网络改造影响最大,网桥模式其次,旁路模式对客户原有网络改造无影响,即使设备宕机也不会影响客户断网。 【3】、设备路由模式最多支持8条外网线路。网桥模式最多支持8对网桥,旁路模式除了管理口外,其它网口均可作为监听口,可以同时选择多个网口作为监听口。
用户注销
IP/MAC绑定
外部认证
应用特征识别技术
HTTP识别控制技术
HTTPS识别控制技术
自定义应用识别技术
主动检测方法
被动检测方法
防火墙的历程:
防火墙 | 工作范围 | 判断信息 |
---|---|---|
包过滤 | 网络层、传输层(3-4层) | 五元组 |
应用代理 | 7层应用层 | 所有应用层的信息包 |
状态检测 | 数据链路层、网络层、传输层(2-4层) | IP地址、端口号、TCp标记 |
入侵检测系统(IDS) | 2-7层 | |
入侵防御系统(IPS) | 2-7层 | |
web应用防火墙(WAF) | 应用层(7层) | |
防病毒网关(AV) | 2-7层 |
防火墙的功能:
访问控制
地址转换
网络环境支持
宽带管理功能
入侵检测和防御攻击
用户认证
高可用性
防火墙安全策略的作用:
根据定义的规则对经过防火墙的流量进行过滤筛选,再进行下一步操作。
安全策略分类:
域间安全策略
域内安全策略
接口包过滤
入侵检测系统(IDS):抵御2-7层已知威胁
入侵防御系统(IPS)
防病毒网关(AV):基于网络侧识别病毒文件
Web应用防火墙(WAF):用来保护web应用
同意威胁管理(UTM)(2-7层):多合一安全网关IDS,FW,IPS,AV
下一代防火墙(NGFW)(2-7层):IDS,FW,IPS,AV,WAF
性能指标:
吞吐量
时延
丢包率
背靠背
并发连接数:基于传输层
下一代防火墙具备灵活的网络适应能力:
路由模式、透明模式、虚拟网线模式、混合模式、旁路模式。
接口分类
按照接口属性分:物理接口、子接口、VLAN接口、聚合接口
其中物理口可选择为:路由口、透明口、虚拟网线口(前三种可以设置WAN和非WAN属性)、旁路镜像口。
AF的部署模式是由各个接口的属性决定的
如果设置为路由接口,则需要给该接口配置IP地址,且该接口具有路由转发功能。
ADSL拨号(PPPoE) 如果设置为路由接口,并且是ADSL拨号,需要选上添加默认路由选项,默认勾选。
管理口 Eth0为固定的管理口,接口类型为路由口,无法修改。eth0可增加管理IP地址,默认的管理IP 10.251.251.251/24如需修改,AF8.0.13版本后,可在【系统】–【通用配置-【网络参数】中进行修改。
虚拟网线接口也是普通的交换接口,不能配置IP地址,不支持路由转发,转发数据时,也无需检查MAC表,直接从虚拟网线配对的接口转发。
虚拟网线接口的转发性能高于透明接口,单进单出、双进双去等成对出现的网桥的环境下,推荐使用虚拟网线接口部署。
旁路镜像接口不能配置IP地址,也不支持数据转发,只是用来接收从外部镜像过来的镜像数据。
镜像接口可以配置多个,根据现场实际业务场景需要接收的数据情况进行选择。
子接口应用于路由接口需要启用VLAN或TRUNK的场景。
子接口是逻辑接口,只能在路由口下添加子接口,子接口默认继承物理接口上的属性
子接口的下一跳网关和链路故障检测根据实际环境进行配置
是从物理接口中虚拟出来的vlan接口、
可以配置IP地址
为VLAN定义IP地址,则会产生VLAN接口,VLAN接口也是逻辑接口
注意事项:
设备支持配置多个WAN属性的路由接口连接多条外网线路,但是需要开通多条线路的授权。
管理口不支持设置成透明接口或虚拟网线接口,如果要设置2对或2对以上的显拟网线接口,则必须要求设备不少于5个物理接口,预留一个专门的管理口Eth0。
一个路由接口下可添加多个子接口,路由接口的IP地址不能与子接口的IP地址同网段。
本地逻辑安全区域
单臂路由模式:
配置接口IP
配置路由条目
配置源地址转换NAT
配置应用控制策略
配置步骤
配置接口类型
配置管理接口
配置路由条目
配置应用控制策略
注意事项
透明模式部署不支持NAT、策略路由选择、动态路由协议(OSPF、BGP、RIP等)等
需要了解上联和下联的方向,以免策略方向出错
一般部署在出口路由设备下联方向,不会改动原有网络环境
配置步骤:
配置物理接口
配置VLAN接口
配置路由
配置NAT
配置应用控制策略
注意事项
在混合模式部署时,接公网和服务器的两个接口要在同一个VLAN下,同时三层VLAN接口也在这个VLAN下,并配置公网IP
混合模式部署相应的安全功能都支持,如IPS、WEB应用防护、僵尸网络、应用控制、内容安全、实时漏洞分析等都支持
需要修改原网络拓扑,对现有环境改动较大
配置步骤:
配置镜像接口
配置管理接口
配置路由
启用旁路reset功能
配置安全防护策略
配置步骤:
配置访问电信资源走电信线路出口
配置访问联通资源走联通线路出口
配置访问非电信和联通资源,按当前带宽繁忙程度自动选路
配置两条冗余线路,任意一条故障,线路可以自动切换
类型:
源地址策略路由:
多线路负载路由:
建立条件:
网口数量
CPU核心个数、内存大小、磁盘大小
设备序列号功能开启且保持一致
appversion版本信息一致
配置同步要一致,这是双机配置
vrrp组的配置要一致
主线路和辅线路
抢占
网口监控
链路监控:ARP、DNS、PING
虚拟IP与虚拟mac:
双机的ip地址和mac地址是一样的
同一个vrid组中的对应接口拥有相同的IP地址
虚拟mac=vrrp mac+接口序号+vrid
主主部署的AF做透明接口模式或者虚拟网线模式,主主部署在中间,由于会出现请求和回应的数据流经不同的AF,导致来回数据包在AF上的连接跟踪不一致被丢包
应用控制策略功能:
基于服务的控制策略
基于应用的控制策略
配置步骤:
创建应用控制策略,允许PC访问公司财务服务器
创建应用控制策略,禁止PC访问P2P应用
创建应用策略,允许PC在特定时间内访问互联网
配置步骤:
启用失效策略检测
标签管理
策略优化
策略生命周期管理
sangforssl 的WAN支持的线路策略:
支持配置规定的IP
支持ADSL拨号
支持配置DHCP自动获取
不支持VLAN ID
的定义:
是指依靠ISP或其他NSP在共用网络的基础之上构建的专用的安全数据通信网络(逻辑上的),称为虚拟专用网
分类:
按业务类型
1.client-lan (acceess ) 基于internet远程访问的 2.lan-lan 企业各分支机构之间,企业与其合作者之间。
按网络层次分类:
应用层 SSL VPN等 传输层 sangfor 网络层 IPSec、GRE等 网络接口层 L2F/L2TP、PPTP等
隧道技术(核心技术) GRE,L2TP,IPSec,SSL,sangforVPN
加解密技术 非对称加密:RSA,ECC,Elgamal,Rabin 对称加密:IDEA,DES,AES,RC系列算法
身份认证技术 标识和鉴别用户的身份 数字签名完成身份的完整性 数字证书 PKI(公开密钥体系)
数据认证技术
密钥管理技术
机密性
完整性
数据源鉴别
重传攻击保护
不可否认性
传输模式:应用于主机和主机之间端到端通信的数据保护
隧道模式:应用于私网和私网之间通过公网进行通信,建立安全VPN通道
AH协议:Authentication Header,认证报头
安全服务: 无连接数据完整性 数据源认证 抗重放攻击(报头中的序列号) AH不提供任何保密性服务:它不加密所保护的数据包
ESP封装安全有效载荷
安全服务: 无连接数据完整性 数据源认证 抗重放攻击(报头中的序列号) 数据保密 有限的数据流保护
原始IP包头、源、目的IP ESP头 IP数据TCP/UDP/ICMP ESP尾 ESP认证
新IP包头源、目的IP ESP头 原始IP包头,源、目的IP IP数据 TCP/UDP/ICMP 填充 ESP鉴定
安全特性 | AH | ESP |
---|---|---|
协议号 | 51 | 50 |
数据完整性校验 | 支持 | 支持(不支持验证IP头) |
数据源验证 | 支持 | 支持 |
数据加解密 | 不支持 | 支持 |
抗重放攻击 | 支持 | 支持 |
NAT-T(NAT穿越) | 不支持 | 支持 |
IPSEC建立阶段
安全联盟SA:
SA是通信对等体间对某些要素的约定,通信的双方符合
SA约定的内容,就可以建立SA
IKE为IPSec协商生成密钥,供AH/ESP加解密和验证使用
阶段一:建立ISAKMP安全联盟
主模式:自动生成双方身份ID
野蛮模式:可以手动配置身份ID
阶段二:建立IPSec安全联盟,产生真正可以用来加密数据流的密钥
quick mode
IKE为IPSec协商生成密钥。供AH/ESP加解密和验证使用。
安全策略数据库SPD
安全关联数据库SAD
VPN隧道黑洞:
对端的连接已经断开而我方还处在SA的有效生存期时间内,从而形成了VPN隧道黑洞
DPD:死亡对等体检测,检查对端的ISAKMP SA是否存在。当VPN隧道异常的时候,能检测并重新发起协商,来维持VPN隧道
采用空闲计时器机制
默认发出5次请求之后都没有收到任何DPD应答就会删除SA
表示层和会话层
ssl握手协议:采用公钥加密算法进行密文的传输
ssl修改密文协议:
ssl报警协议:
身份安全
终端安全
传输安全
应用权限安全
审计安全
作为网络出口设备:配置设备的内外网口地址信息,支持配置IPv6地址,外网口如果是拨号场景需要先配置拨号
上网代理:NAT代理上网
单臂模式配置:给设备LAN口分配一个IP地址,填写正确的网关IP,DNS,支持配置IPv6地址
前置网关做 TCP 443和80端口映射
集群:
一组设备的组合,作为一个整体向用户提供一组网络资源服务,这个单个系统就是集群的节点
CIP:
集群虚拟IP地址,及所有集群节点对外呈现的一个共同的IP地址
集群类型:
负载均衡集群
主备集群
主备集群不需要集群序列号也可以使用
LAN口地址必须和集群IP地址同网段
SSL VPN集群支持网关(单线路和多线路)、单臂(单线路和多线路)两种部署模式
SSL VPN并发接入用户数授权
IPSec移动用户数:SANGFOR VPN移动端PDLAN并发用户数授权
分布式集群
用户的身份安全性
身份认证技术:用户名密码、短信认证、口袋助理、Ukey认证、动态令牌、CA证书
主要认证:(必须选择一种)
1、本地认证
本地用户名/密码(微信扫码登录) 公有/私有用户
数字证书 /DKEY认证 私有用户
2、外部认证
LDAP服务器 公有/私有用户
Radius服务器CA认证 公有/私有用户
AD域单点登录
HTTP(S)第三方接口对接
辅助认证:(可选)短信认证(私有用户)、硬件特征码(公有/私有用户)、令牌认证(RADIUS认证)(私有用户)
组合方式:主认证至少需要一种,辅认证不能单独使用,主认证可以单独使用
私有用户只能同时一个人登录,公有用户允许多人同时登录
每个用户属于唯一的用户组
root根组和默认用户组无法删除
LDAP:轻量级目录访问协议,
HTTP/HTTPS 主/辅助认证技术原理
TOTP动态令牌认证:基于时间戳的一次性密码,必须开启时间同步。设置时间误差 (公有/私有)
资源是指远程接入SSL VPN后终端允许访问的网络服务
web应用:泛域名解析技术
TCP应用:通过在Client安装Proxy控件,
L3VPN:客户端需要安装虚拟网卡,从虚拟网卡进行封装、加密。
支持应用类型:支持TCP,UDP,ICMP,SMTP,POP协议的应用
虚拟IP池:
用户、角色、资源:
策略组
策略组用来设置用户的接入VPN的安全策略
给设备LAN口分配一个可以上网的IP地址,填写正确的网关IP地址,DNS服务地址
前置网关做TCP 443端口的映射,实现SSL VPN用户的接入
创建用户 私有用户
新建角色并关联给用户单臂单线路
创建资源,并授权给角色ssltest。角色的作用是为了将资源与用户进行关联,令用户可以访问到指定的资源
登录验证
默认端口为443,但是可以修改
【系统设置】-【SSLVPN选项】-【系统选项】-【接入选项】的用户访问入口修改https的端口就可以
1、确认授权,单臂模式下,如果需要使用多线路,设备必须也具备多线路的授权
2、设置单臂模式,LAN口IP地址,网关,以及DMZ口IP地址
3、前置设备做端口映射:前置设备需要做两条线路(电信、网通)的80端口、443端口映射到172.172.2.200。(如果用到IPSEC VPN 还需要映射TCP / UDP 4009端口)。需要注意:80端口也是必须映射的,因为多线路选路功能是依赖80端口来选路的,如果80端口不映射,将无法实现多线路选路功能。
4、设置SSL VPN多线路选路,新增公网出口线路真实的公网IP地址。此处是单臂多线路场景,配置:[系统配置]-[网络配置]-[多线路],只勾选[启用SSL VPN多线路],并且新增两条外网线路真实的公网IP地址
5、要使用SSL VPN自动选路功能,需开启HTTP端口
6、新建用户、角色等操作同上,不再赘述。新建一个L3VPN资源,并授权给角色
7、登录验证
思考:
1、单臂多线路场景下是否客户端选路的条件是否只会依据下载图片返回的时间来选路?
不会,还会依据时间差,在不超过一定的时间差内还是会优先用户选择访问的外网IP地址。
2、单臂多线路场景下,当其中一条线路断开,外网通过已断掉线路的地址访问能否跳转到另外一条线路?
不能。
服务进行网络访问控制:
Wtcprapper
配置文件:设置黑白名单
交给xinted管理
系统进行访问控制:
防火墙
分类:
硬件防火墙
软件防火墙
netfilter模块 内核空间,是内核的一部分 iptables -L iptables -t 表名 -L 四张表:filter(in、out、for) nat(pre、out、pos) mangle(全部链) raw(pre、out) 五条链:prerouting input output forward postrouting 规则: 功能: 1.数据包的过滤和网络控制 filter 2.地址转换 nat 源地址和目的地址 3.数据包打标记 mangle 4.追踪 raw
iptables -t[表名] 命令选项 [链名] [规则号码] [条件匹配] [-j目标动作] 小写 大写 大写 小写 大写
命令选项:用于指定管理iptables规则的方式
规则号码:用于指定规则的编号
条件匹配:用于指定对符合什么样条件的数据包进行处理
目标动作:用于指定数据包的处理方式
选 项 | 功 能 |
---|---|
-A | 添加防火墙规则 |
-D | 删除防火墙规则 |
-I | 插入防火墙规则 |
-F flash | 清空防火墙规则 |
-L list | 列出添加防火墙规则 |
-R replace | 替换防火墙规则 |
-Z | 清空防火墙数据表统计信息 |
-P | 设置链默认规则 |
触发动作 | 功 能 |
---|---|
ACCEPT | 允许数据包通过 |
DROP | 丢弃数据包 |
REJECT | 拒绝数据包通过 |
LOG | 将数据包信息记录 syslog 曰志 |
DNAT | 目标地址转换 |
SNAT | 源地址转换 |
MASQUERADE | 地址欺骗 |
REDIRECT | 重定向 |
参 数 功 能 [!]-p 匹配协议,! 表示取反 [!]-s 匹配源地址 [!]-d 匹配目标地址 [!]-i 匹配入站网卡接口 [!]-o 匹配出站网卡接口 [!]--sport 匹配源端口 [!]--dport 匹配目标端口 [!]--src-range 匹配源地址范围 [!]--dst-range 匹配目标地址范围 [!]--limit 四配数据表速率 [!]--mac-source 匹配源MAC地址 [!]--sports 匹配源端口 [!]--dports 匹配目标端口 [!]--stste 匹配状态(INVALID、ESTABLISHED、NEW、RELATED) [!]--string 匹配应用层字串
iptables -t filter -A INPUT -s 10.1.1.3 -j ACCEPT允许源地址为10.1.1.3进入 iptables -t filter -A INPUT ! -s 10.1.1.3 -j ACCEPT不允许源地址为10.1.1.3进入 iptables -t filter -A INPUT -s 10.1.1.3 -j DROP拒绝源地址为10.1.1.3进入 iptables -t filter -A OUTPUT -d 10.1.1.3-j DROP丢弃到达目标地址为10.1.1.3的包iptables -t filter -A OUTPUT ! -d 10.1.1.3 -j ACCEPT丢弃到达目标地址为10.1.1.3的包 iptables -t filter -A INPUT -d 10.1.1.2 -j DROP丢弃所有到目标地址10.1.1.2的包iptables -t filter -A OUTPUT -s 10.1.1.2 -j ACCEPT 源地址为10.1.1.2出去的包全部允许 iptables iptables -nL -n 表示不对 IP 地址进行反查,加上这个参数显示速度将会加快。 -v 表示输出详细信息,包含通过该规则的数据包数量、总字节数以及相应的网络接口。 iptables内置模块 多端口指定: multiport [root@localhost ~]# iptables -t filter -I INPUT -m multiport -p tcp --dports 20:22,80 -j ACCEPT 指定IP地址范围: iprange [root@localhost ~]# iptables -t filter -I INPUT -m iprange --src-range 10.1.1.2-10.1.1.10 -p tcp --dport 80 -j ACCEPT 被动模式:ftp [root@localhost ~]# iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT 开启端口的访问 [root@localhost ~]# iptables -t filter -A OUTPUT -p tcp --sport 20:21 -j ACCEPT 限制ftp的数据传输的端口 [root@localhost ~]# vim /etc/vsftpd/vsftpd.conf pasv_min_port=2000 pasv_max_port=3000 [root@localhost ~]# iptables -t filter -A INPUT -p tcp --dport 2000:3000 -j ACCEPT [root@localhost ~]# iptables -t filter -A OUTPUT -p tcp --sport 2000:3000 -j ACCEPT 状态连接: state [root@localhost ~]# iptables -t filter -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
[root@localhost ~]# firewall-cmd --state running [root@localhost ~]# echo $? 0 测试上条命令是否正确执行 iptables -t filter -A INPUT -j REJECT
地址转换 三条链: PREROUTING POSTROUTING OUTPUT 处理动作: nat表 -j SNAT -J DNAT -J MASQUERADE 地址伪装
proc/sys/net/ipv4/ip_forward 开启路由转发的功能 地址转换功能: [root@localhost ~]# iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -j SNAT --to 2.2.2.1 地址转换在路由之后
地址转换在路由之前 [root@localhost ~]# iptables -t nat -A PREROUTING -d 192.168.1 2.1 -j DNAT --to 10.1.1.2
iptables -P OUTPUT DROP iptables -L ping 10.1.1.2 iptables -t filter -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT iptables -t filter -A INPUT -p icmp --icmp-type 0 -j ACCEPT 可以ping其他主机,其他主机的回应也可以收到 iptables -t filter -A INPUT -s 10.1.1.2 -p icmp --icmp-type 8 -j ACCEPT iptables -t filter -A OUTPUT -d 10.1.1.2 -p icmp --icmp-type 0 -j ACCEPT 设置只有10.1.1.2可以ping通
nat-server 2.2.2.1 10.1.1.1 cat /proc/sys/net/net/ipv4/ip_forward iptables -t nat -A PREROUTING -d 2.2.2.1 -p tcp --dport 80 -j DNAT --to 10.1.1.3 web-server 10.1.1.3 systemctl restart httpd echo "hello world" > /var/www/html/index.html netstat -nltp | grep httpd 配置回包路由 route add default gw 10.1.1.1 client 2.2.2.2 wget http://2.2.2.1
firewall-cmd not found yum -y install firewalld
firewalld的基本使用 启动: systemctl start firewalld 关闭: systemctl stop firewalld 查看状态: systemctl status firewalld 开机禁用 : systemctl disable firewalld 开机启用 : systemctl enable firewalld 查看开放的端口:firewall-cmd --list-ports