sangfor_waf

Sangfor_waf的主要功能有參數(shù)注入防護(hù)、越權(quán)訪問防護(hù)、上傳文件檢測(cè)、HTTP字段檢測(cè)、敏感信息泄露防護(hù)及配置安全設(shè)置

代理HTTP所有流量，SSH不阻攔

網(wǎng)絡(luò)

接口

eth0只能為路由口不能更換接口模式，保留地址10.251.251.251/24不能刪除

VLAN子接口：用于對(duì)接路由口且配置了VLAN trunk，子接口不支持ipv6

VLAN接口不支持IPV6

聚合口不支持ipv6

GRE接口，源接口為實(shí)際公網(wǎng)IP，ip地址為隧道ip

接口聯(lián)動(dòng)可以添加多接口，-HA口不支持聯(lián)動(dòng)

任何接口IP不能配置為1.1.1.0/24

端口聚合

負(fù)載模式

負(fù)載均衡--hash:按數(shù)據(jù)包源目的IP/MAC的hash值均分

負(fù)載均衡--RR:直接按數(shù)據(jù)包輪轉(zhuǎn)均分到每個(gè)接口（輪流轉(zhuǎn)發(fā)）

主備模式--取eth端口號(hào)最大端口為主接口收發(fā)數(shù)據(jù)，其余為備接口

聚合協(xié)議

不支持動(dòng)態(tài)聚合協(xié)議、只支持靜態(tài)聚合，聚合鏈路兩端設(shè)備的聚合協(xié)議要保持一致

虛擬網(wǎng)線

支持聚合口

成對(duì)出現(xiàn)，不發(fā)送ARP，不查詢MAC地址表，防止MAC表老化導(dǎo)致的CAM表混亂

ipv6

支持源IP策略路由

不支持依據(jù)應(yīng)用選路

不支持多線路負(fù)載

807

需要啟用ipv4和ipv6雙棧--需要重啟設(shè)備

NAT64地址轉(zhuǎn)換

? 807支持ipv6到ipv6的NAT

? 807支持外網(wǎng)ipv6內(nèi)網(wǎng)ipv4的端口映射

? NAT64為雙向地址轉(zhuǎn)換，即源目IP都會(huì)進(jìn)行轉(zhuǎn)換

DNS64

? 將DNSv4查詢合成為DNSv6

IPS/WAF/僵尸網(wǎng)絡(luò)

? 攻擊日志的源目IP均為轉(zhuǎn)換后的IPV4，即先進(jìn)行NAT6-4再進(jìn)行防護(hù)

? 無(wú)法溯源

注意

? 不支持解決天窗

? 不支持SLAAC無(wú)狀態(tài)地址自配置協(xié)議

? 不支持哈希方式端口聚合

? 不支持子接口

? 不支持UDP大包46轉(zhuǎn)換

? 不支持ALG

? 只支持匹配規(guī)則，無(wú)法匹配行為類規(guī)則

? 不支持運(yùn)行狀態(tài)展示

? 不支持ipv6雙機(jī)心跳

? 支持VLAN和聚合

WAN屬性

作用

1、AF所有版本沒有WAN屬性流控，流量審計(jì)將會(huì)失效

2、從AF6.8版本開始沒有WAN屬性，VPN服務(wù)起不來(lái)

3、從AF7.1版本開始策略路由不需要WAN屬性，之前版本策略路由需要接口有WAN屬性

4、做目的地址轉(zhuǎn)換數(shù)據(jù)需要源進(jìn)源出（通過某個(gè)公網(wǎng)IP來(lái)訪問服務(wù)器還是通過那個(gè)公網(wǎng)IP回包），雙向地址轉(zhuǎn)換，需要WAN屬性

5、應(yīng)用流量排行

支持接口模式

7.1之前，AF支持勾選 WAN口屬性的接口有路由口，透明口，聚合接口，虛擬網(wǎng)線接口

7.2開始，子接口可以勾選WAN屬性，作為WAN口使用

WAN口入站路由轉(zhuǎn)發(fā)

無(wú)法進(jìn)行除虛擬服務(wù)、DNS、源地址轉(zhuǎn)換、端口映射、遠(yuǎn)程登錄、匹配智能路由或靜態(tài)路由之外的數(shù)據(jù)傳輸

與IPSEC VPN出口線路匹配

如AF配置vpn，那么外網(wǎng)接口的一定要勾選“與IPSEC VPN出口線路匹配”，不然VPN服務(wù)啟動(dòng)不成功

管理口

eth0為manage口只能做路由接口，默認(rèn)的管理IP 10.251.251.251/24無(wú)法刪除

管理口不可作為監(jiān)視端口

AF809

管理對(duì)端IP地址指的是當(dāng)下面的[管理口訪問控制]是開啟的情況下，那么PC機(jī)必須配置這個(gè)地址才能管理設(shè)備

809開始允許修改默認(rèn)管理口IP

vlan0

1.1.1.1用于重定向頁(yè)面，隱藏AF源IP

1.1.1.1也用于隱藏內(nèi)部的1.1.1.2，兩個(gè)IP配套使用

ARP代理

AF內(nèi)網(wǎng)接口與直連服務(wù)器不在同一網(wǎng)段，保證路由可達(dá)服務(wù)器，如AF內(nèi)網(wǎng)口配私有IP，直連服務(wù)器直接配公網(wǎng)IP

ARP代理功能即是讓NGAF設(shè)備代理響應(yīng)ARP請(qǐng)求，達(dá)到保護(hù)內(nèi)網(wǎng)主機(jī)的目的使用ARP代理功能時(shí)，NGAF設(shè)備的連接被ARP代理服務(wù)器的接口必須是路由口，任意配置一個(gè)與其他網(wǎng)段不沖突的IP地址

路由

策略路由

VLAN接口、子接口不支持策略路由

多線路策略路由支持鏈路捆綁

ip rule //查看策略路由表頁(yè)

ip route show table //以VPN路由表為例

AF路由表分類

1、系統(tǒng)路由表（自帶三張表）

? 255--local

? 254--main

? 253--default

2、策略路由表 id == 1-237

? 策略路由頁(yè)面生成

3、VPN路由表 id == 240-249

? 240--ipsec vpn

? 242、241-- sangfor vpn（隧道間路由）

? 245-248 sangfor vpn 多線路

? 239 -- ssl vpn

臨時(shí)表 id -- 238

優(yōu)先級(jí)

? local（0）-vpn（239、240、241）-臨時(shí)表（300）-策略路由表（10000）-main表（32766）

? vpn》靜態(tài)路由/直連路由》動(dòng)態(tài)路由》策略路由》默認(rèn)路由

ip route get x.x.x.x //查看到達(dá)某地址匹配的路由條目

非對(duì)稱數(shù)據(jù)轉(zhuǎn)發(fā)

AF近支持TRUNK、ACCESS透明部署，路由模式不支持

不支持開啟雙機(jī)熱備，需配置基本信息和配置同步、雙機(jī)熱備

需新增2對(duì)口，1個(gè)HA，1個(gè)同步口

將除數(shù)據(jù)同步口和HA口外所有業(yè)務(wù)口添加到接口聯(lián)動(dòng)中

暫不支持父子鏈接、IP不一致場(chǎng)景

809僅支持單HA，存在單點(diǎn)故障

AF單節(jié)點(diǎn)不要超過單臺(tái)AF性能指標(biāo)一半以上

數(shù)據(jù)同步口速率不低于業(yè)務(wù)口速率

二次穿透部署

場(chǎng)景：TCP單向數(shù)據(jù)多次穿越AF，對(duì)二次流量進(jìn)行直通

限制：中間設(shè)備有NAT場(chǎng)景，AF不能配置二次穿透

建議：二次穿透的入接口應(yīng)部署于2層環(huán)境，如部署與3層則會(huì)丟失NAT安全策略路由功能

鏡像口于業(yè)務(wù)口流量二次穿透場(chǎng)景，目的均為鏡像口，源目IP分別建立一條策略

配置案例

1

2

SNMP

SNMP開啟

開啟SNMP功能，方便遠(yuǎn)程管理設(shè)備狀態(tài)、接口狀態(tài)

SNMP Trap

主動(dòng)發(fā)送SNMP Trap信息

光口bypas

不支持光口 bypass 與雙機(jī)熱備同時(shí)啟用

Reset

AF自身發(fā)起的reset報(bào)文，806版本之前，ip.id是0x5826。806及以后版本，ip.id是0x7051。

安全防護(hù)

WAF

IPS

DOS

僵尸網(wǎng)絡(luò)

實(shí)施漏洞分析

實(shí)時(shí)漏洞分析的工作原理是：被動(dòng)分析服務(wù)器回復(fù)的數(shù)據(jù)包判斷是否有漏洞

ARP欺騙防御

廣播網(wǎng)關(guān)MAC

拒絕ARP欺騙廣播包

郵件安全

支持pop3/smtp協(xié)議

收郵件不進(jìn)行攔截，會(huì)給出提示

發(fā)郵件會(huì)攔截，會(huì)給出提示

蜜罐重定向

真實(shí)PC AF日志看不到訪問的域名

AF日志也看不到 DNS解析記錄請(qǐng)求的源IP

ACL

域名ACL控制--網(wǎng)絡(luò)參數(shù)--應(yīng)用控制支持域名

ACL配置中域名查詢方式配置為主動(dòng)

不支持BBC下發(fā)

SNAT，先匹配【內(nèi)容安全】-【內(nèi)容安全策略】，再匹配【防火墻】-【地址轉(zhuǎn)換】里面的源地址轉(zhuǎn)換

DNAT，先過【防火墻】-【地址轉(zhuǎn)換】里面的目的地址轉(zhuǎn)換，再匹配【內(nèi)容安全】-【內(nèi)容安全策略】

SAVE殺毒

支持文檔類： doc、docx、pdf、ppt、pptx、ps1、rtf、xls、xlsx等

支持腳本類： bat、cmd、com、exe、pe、elf、bin、perl、pl、plx等

8.0.13：云網(wǎng)端聯(lián)動(dòng)

模塊

云：云腦--云鏡

網(wǎng)：AF

端：EDR

動(dòng)作

處置：AF向EDR下發(fā)任務(wù)經(jīng)云端情報(bào)威脅查殺后，實(shí)現(xiàn)病毒隔離、后續(xù)問題自動(dòng)處置

取證：將AF發(fā)現(xiàn)的惡意域名訪問下發(fā)給EDR、EDR聯(lián)動(dòng)云鏡

云端交付：MGR云端交付，本地免部署，接入云圖實(shí)現(xiàn)云網(wǎng)端功能

NTA網(wǎng)絡(luò)流量分析(Network Traffic Analysis)

AF巡檢

AF6.7及以上版本巡檢腳本使用方法.doc

直通

開啟直通策略還是會(huì)生效，只是數(shù)據(jù)包被直通功能打上不丟包的標(biāo)簽讓數(shù)據(jù)包通過AF。所以才會(huì)有開啟直通之后，數(shù)據(jù)中心還能記錄日志，【運(yùn)行狀態(tài)】--【封鎖攻擊者ip】中還是能看到有攔截日志

二層直通

類似AC的搬包測(cè)試

雙機(jī)互備不建議開啟

僅在透明和虛擬網(wǎng)線模式下生效、路由模式不生效

開啟二層直通相當(dāng)于二層交換機(jī)，數(shù)據(jù)直接轉(zhuǎn)發(fā)、不進(jìn)功能策略處理

直通

直通不生效或無(wú)效的模塊

地址轉(zhuǎn)換（nat）

DoS/DDoS防護(hù)（wdos）中基于數(shù)據(jù)包攻擊和異常包檢測(cè)

流量審計(jì)（IP流量排行、用戶流量排行、應(yīng)用流量排行）

連接數(shù)控制

開啟直通后所有策略還會(huì)檢測(cè)只是不攔截

syslog日志

UDP 514

高可用

同步角色一致時(shí)

HA ip較大的為主控

最后一次修改同步角色的設(shè)備為主控

集中管控

SC:需要主控和主機(jī)同時(shí)加入SC,否則提示離線

特性

支持OSPF雙機(jī)場(chǎng)景下的路由同步，保證雙機(jī)切換后網(wǎng)絡(luò)快速收斂

添加監(jiān)視端口后AF新增虛擬端口MAC

虛擬MAC構(gòu)成：vrrp mac（00-00-5E）+接口序號(hào)+vrid，比如：vrid為101，eth1口的虛擬MAC就是：00-00-5E-00-01-65，eth2口的虛擬MAC就是：00-00-5E-00-02-65，65的十進(jìn)制就是101。

注意

備機(jī)可以不勾選配置同步的自動(dòng)同步

未加入網(wǎng)口監(jiān)視的網(wǎng)口將不受雙機(jī)狀態(tài)控制,即使是備機(jī)也會(huì)響應(yīng)數(shù)據(jù),備機(jī)可以單獨(dú)配置-HA的端口用于備機(jī)管理

盡量避開bypass組接口

交換機(jī)鏈接設(shè)備的接口STP需開啟portfast

優(yōu)先使用聚合[主備]進(jìn)行HA,聚合口網(wǎng)卡類型需一致

默認(rèn)情況下不能開啟搶占,開啟此功能聯(lián)系專家評(píng)估[網(wǎng)絡(luò)風(fēng)險(xiǎn),也可以自己評(píng)估]

為避免頻繁雙機(jī)切換,當(dāng)鏈路檢測(cè)失效雙機(jī)將每5分鐘進(jìn)行一次雙機(jī)切換

強(qiáng)強(qiáng)檢測(cè)/強(qiáng)弱檢測(cè)

強(qiáng)強(qiáng)檢測(cè):主備均開啟接口檢測(cè)鏈路檢測(cè)

強(qiáng)弱檢測(cè):主機(jī)開啟接口鏈路檢測(cè) 備機(jī):開啟接口檢測(cè),鏈路不監(jiān)測(cè)

807支持接入BBC

支持版本

BBC2.5.2

BBC2.5.3

默認(rèn)端口5000

特性

（a）支持中心端通過模板下發(fā)配置給分支端，并對(duì)分支端配置進(jìn)行管理；

（b）支持中心端通過離線導(dǎo)入或在線更新的方式升級(jí)分支AF設(shè)備；

（c）支持中心端對(duì)分支端12種庫(kù)進(jìn)行升級(jí)；

（d）支持中心端統(tǒng)一下發(fā)管理安全規(guī)則庫(kù)及自定義規(guī)則庫(kù)：

（e）支持分支端總覽信息、業(yè)務(wù)安全信息、用戶安全信息等上報(bào)展示；

（f）支持中心端統(tǒng)一設(shè)置告警信息，并支持分支端告警信息上報(bào)預(yù)警；

（g）支持雙機(jī)、多機(jī)接入BBC集中管控場(chǎng)景；

（h）支持15個(gè)內(nèi)置區(qū)域。

適用場(chǎng)景

上架場(chǎng)景

安全策略模板下發(fā)

VPN由BBC下發(fā)

運(yùn)維場(chǎng)景

版本、定制、SP升級(jí)

? a）支持通過離線導(dǎo)入的方式對(duì)發(fā)布的版本/定制的SSU包，以及SP包，對(duì)指定的設(shè)備進(jìn)行升級(jí)

? b）支持通過在線更新的方式對(duì)BBC平臺(tái)內(nèi)鏡像AF版本的SP包，對(duì)指定的設(shè)備進(jìn)行升級(jí)（SSU包不支持在線升級(jí)BBC平臺(tái)AF鏡像）

規(guī)則庫(kù)升級(jí)

? a）支持通過離線導(dǎo)入的方式對(duì)BBC內(nèi)置版本鏡像進(jìn)行規(guī)則庫(kù)升級(jí)

? b）支持通過BBC平臺(tái)對(duì)分支端進(jìn)行規(guī)則庫(kù)升級(jí)

自定義規(guī)則庫(kù)

? 支持通過BBC端下發(fā)自定義IPS和WAF規(guī)則庫(kù)，下發(fā)到本地后置灰顯示且無(wú)法編輯

接入變化

自動(dòng)下發(fā)15個(gè)區(qū)域：方便下發(fā)策略，只能引用接口不能刪除此區(qū)域

配置下發(fā)

導(dǎo)入全量包

BBC統(tǒng)一下發(fā)策略需依賴全量包

新增策略模板

配置模板配置

下發(fā)策略（下發(fā)策略不允許編輯刪除）

升級(jí)下發(fā)

上次升級(jí)包到BBC

新建升級(jí)任務(wù)，指定時(shí)間自動(dòng)升級(jí)

如勾“優(yōu)先從公網(wǎng)服務(wù)器下載升級(jí)包”，優(yōu)先從GCS下載，如無(wú)對(duì)應(yīng)包，再?gòu)腂BC平臺(tái)下載

規(guī)則庫(kù)更新

BBC更新規(guī)則庫(kù)

AF能聯(lián)網(wǎng)則自己更新規(guī)則庫(kù)

AF不能聯(lián)網(wǎng)，從BBC下載

易部署

通過郵件下發(fā)配置到客戶端

WAN、LAN、管理員用戶名和密碼、管理員郵件地址

BBC需配置郵件服務(wù)器

易部署鏈接為一次性鏈接

雙機(jī)接入BBS

無(wú)VRRP無(wú)主機(jī)僅同步配置，雙機(jī)接入

主備，主機(jī)接入備機(jī)同步

主主，兩機(jī)器均可接入

SD-WAN

【剩余帶寬比例負(fù)載】會(huì)優(yōu)先匹配“流量管理”-“虛擬線路配置”里設(shè)置的線路帶寬。如未開啟流控，則會(huì)匹配接口上配置的“線路帶寬”

【剩余帶寬比例負(fù)載】所選擇的線路只能是配置在物理接口上的線路，不支持虛擬接口的線路，如vlan接口。其它功能無(wú)此要求

SD-WAN選路只支持TCP、UDP、ICMP這三種協(xié)議，其他協(xié)議不支持

autu-VPN

序列號(hào)

網(wǎng)關(guān)序列號(hào)：功能同之前版本一致，不過沒有了移動(dòng)用戶數(shù)。原因是AF8.0.7版本開始，不支持PDLAN用戶的接入；

SSLVPN：功能同之前版本一致，從之前的“功能模塊序列號(hào)”移入“基礎(chǔ)網(wǎng)絡(luò)序列號(hào)”中；

IPSEC VPN模塊：只是AF500型號(hào)的設(shè)備，默認(rèn)未開啟此模塊，需要在此外單獨(dú)開通，其它型號(hào)的均默認(rèn)開通。

基礎(chǔ)功能開通：默認(rèn)開啟，可以支持IPS、APT等模塊的開通；

增強(qiáng)功能開啟：收費(fèi)開啟，可以支持WAF、PVS、防篡改等模塊的開通；

最新威脅防御規(guī)則庫(kù)：收費(fèi)開啟，可以支持除殺毒外所有規(guī)則庫(kù)的更新，前提是已開通相應(yīng)的模塊；

網(wǎng)關(guān)功能功能開通：收費(fèi)開啟，支持殺毒模塊的開通；

SAVE殺毒引擎更新：收費(fèi)開啟，支持殺毒引擎的更新；

未知威脅實(shí)時(shí)檢測(cè)和網(wǎng)關(guān)殺毒訂閱服務(wù)：收費(fèi)開啟，之前的云腦序列號(hào)，與老版本不同的是，老版本云腦有兩個(gè)序列號(hào)，這里是一個(gè)，如果是老版本開通云腦升級(jí)上來(lái)的話，會(huì)自動(dòng)變成一個(gè)；

門戶網(wǎng)站保護(hù)訂閱服務(wù)：非默認(rèn)免費(fèi)開啟，開啟后，支持與云眼進(jìn)行聯(lián)動(dòng)，展示云眼端檢測(cè)到的相關(guān)數(shù)據(jù)；

云守-安全運(yùn)營(yíng)訂閱服務(wù)：收費(fèi)開啟，開啟后，可以支持接入云守，通過云守來(lái)輔助AF的安全運(yùn)維

軟件升級(jí)：收費(fèi)&功能與之前一致，無(wú)變化；

維保服務(wù)：收費(fèi)&功能與之前一致，無(wú)變化。連接服務(wù)器失敗問題，AF8.0.7正式版本解決掉；

編輯：黃飛

?