下一代防火墙主要参数有哪些？

sangfor_waf

Sangfor_waf的主要功能有参数注入防护、越权访问防护、上传文件检测、HTTP字段检测、敏感信息泄露防护及配置安全设置

代理HTTP所有流量，SSH不阻拦

网络

接口

eth0只能为路由口不能更换接口模式，保留地址10.251.251.251/24不能删除

VLAN子接口：用于对接路由口且配置了VLAN trunk，子接口不支持ipv6

VLAN接口不支持IPV6

聚合口不支持ipv6

GRE接口，源接口为实际公网IP，ip地址为隧道ip

接口联动可以添加多接口，-HA口不支持联动

任何接口IP不能配置为1.1.1.0/24

端口聚合

负载模式

负载均衡--hash:按数据包源目的IP/MAC的hash值均分

负载均衡--RR:直接按数据包轮转均分到每个接口（轮流转发）

主备模式--取eth端口号最大端口为主接口收发数据，其余为备接口

聚合协议

不支持动态聚合协议、只支持静态聚合，聚合链路两端设备的聚合协议要保持一致

虚拟网线

支持聚合口

成对出现，不发送ARP，不查询MAC地址表，防止MAC表老化导致的CAM表混乱

ipv6

支持源IP策略路由

不支持依据应用选路

不支持多线路负载

807

需要启用ipv4和ipv6双栈--需要重启设备

NAT64地址转换

• 807支持ipv6到ipv6的NAT

• 807支持外网ipv6内网ipv4的端口映射

• NAT64为双向地址转换，即源目IP都会进行转换

DNS64

• 将DNSv4查询合成为DNSv6

IPS/WAF/僵尸网络

• 攻击日志的源目IP均为转换后的IPV4，即先进行NAT6-4再进行防护

• 无法溯源

注意

• 不支持解决天窗

• 不支持SLAAC无状态地址自配置协议

• 不支持哈希方式端口聚合

• 不支持子接口

• 不支持UDP大包46转换

• 不支持ALG

• 只支持匹配规则，无法匹配行为类规则

• 不支持运行状态展示

• 不支持ipv6双机心跳

• 支持VLAN和聚合

WAN属性

作用

1、AF所有版本没有WAN属性流控，流量审计将会失效

2、从AF6.8版本开始没有WAN属性，VPN服务起不来

3、从AF7.1版本开始策略路由不需要WAN属性，之前版本策略路由需要接口有WAN属性

4、做目的地址转换数据需要源进源出（通过某个公网IP来访问服务器还是通过那个公网IP回包），双向地址转换，需要WAN属性

5、应用流量排行

支持接口模式

7.1之前，AF支持勾选 WAN口属性的接口有路由口，透明口，聚合接口，虚拟网线接口

7.2开始，子接口可以勾选WAN属性，作为WAN口使用

WAN口入站路由转发

无法进行除虚拟服务、DNS、源地址转换、端口映射、远程登录、匹配智能路由或静态路由之外的数据传输

与IPSEC VPN出口线路匹配

如AF配置vpn，那么外网接口的一定要勾选“与IPSEC VPN出口线路匹配”，不然VPN服务启动不成功

管理口

eth0为manage口只能做路由接口，默认的管理IP 10.251.251.251/24无法删除

管理口不可作为监视端口

AF809

管理对端IP地址指的是当下面的[管理口访问控制]是开启的情况下，那么PC机必须配置这个地址才能管理设备

809开始允许修改默认管理口IP

vlan0

1.1.1.1用于重定向页面，隐藏AF源IP

1.1.1.1也用于隐藏内部的1.1.1.2，两个IP配套使用

ARP代理

AF内网接口与直连服务器不在同一网段，保证路由可达服务器，如AF内网口配私有IP，直连服务器直接配公网IP

ARP代理功能即是让NGAF设备代理响应ARP请求，达到保护内网主机的目的使用ARP代理功能时，NGAF设备的连接被ARP代理服务器的接口必须是路由口，任意配置一个与其他网段不冲突的IP地址

路由

策略路由

VLAN接口、子接口不支持策略路由

多线路策略路由支持链路捆绑

ip rule //查看策略路由表页

ip route show table //以VPN路由表为例

AF路由表分类

1、系统路由表（自带三张表）

• 255--local

• 254--main

• 253--default

2、策略路由表 id == 1-237

• 策略路由页面生成

3、VPN路由表 id == 240-249

• 240--ipsec vpn

• 242、241-- sangfor vpn（隧道间路由）

• 245-248 sangfor vpn 多线路

• 239 -- ssl vpn

临时表 id -- 238

优先级

• local（0）-vpn（239、240、241）-临时表（300）-策略路由表（10000）-main表（32766）

• vpn》静态路由/直连路由》动态路由》策略路由》默认路由

ip route get x.x.x.x //查看到达某地址匹配的路由条目

非对称数据转发

AF近支持TRUNK、ACCESS透明部署，路由模式不支持

不支持开启双机热备，需配置基本信息和配置同步、双机热备

需新增2对口，1个HA，1个同步口

将除数据同步口和HA口外所有业务口添加到接口联动中

暂不支持父子链接、IP不一致场景

809仅支持单HA，存在单点故障

AF单节点不要超过单台AF性能指标一半以上

数据同步口速率不低于业务口速率

二次穿透部署

场景：TCP单向数据多次穿越AF，对二次流量进行直通

限制：中间设备有NAT场景，AF不能配置二次穿透

建议：二次穿透的入接口应部署于2层环境，如部署与3层则会丢失NAT安全策略路由功能

镜像口于业务口流量二次穿透场景，目的均为镜像口，源目IP分别建立一条策略

配置案例

1

2

SNMP

SNMP开启

开启SNMP功能，方便远程管理设备状态、接口状态

SNMP Trap

主动发送SNMP Trap信息

光口bypas

不支持光口 bypass 与双机热备同时启用

Reset

AF自身发起的reset报文，806版本之前，ip.id是0x5826。806及以后版本，ip.id是0x7051。

安全防护

WAF

IPS

DOS

僵尸网络

实施漏洞分析

实时漏洞分析的工作原理是：被动分析服务器回复的数据包判断是否有漏洞

ARP欺骗防御

广播网关MAC

拒绝ARP欺骗广播包

邮件安全

支持pop3/smtp协议

收邮件不进行拦截，会给出提示

发邮件会拦截，会给出提示

蜜罐重定向

真实PC AF日志看不到访问的域名

AF日志也看不到 DNS解析记录请求的源IP

ACL

域名ACL控制--网络参数--应用控制支持域名

ACL配置中域名查询方式配置为主动

不支持BBC下发

SNAT，先匹配【内容安全】-【内容安全策略】，再匹配【防火墙】-【地址转换】里面的源地址转换

DNAT，先过【防火墙】-【地址转换】里面的目的地址转换，再匹配【内容安全】-【内容安全策略】

SAVE杀毒

支持文档类： doc、docx、pdf、ppt、pptx、ps1、rtf、xls、xlsx等

支持脚本类： bat、cmd、com、exe、pe、elf、bin、perl、pl、plx等

8.0.13：云网端联动

模块

云：云脑--云镜

网：AF

端：EDR

动作

处置：AF向EDR下发任务经云端情报威胁查杀后，实现病毒隔离、后续问题自动处置

取证：将AF发现的恶意域名访问下发给EDR、EDR联动云镜

云端交付：MGR云端交付，本地免部署，接入云图实现云网端功能

NTA网络流量分析(Network Traffic Analysis)

AF巡检

AF6.7及以上版本巡检脚本使用方法.doc

直通

开启直通策略还是会生效，只是数据包被直通功能打上不丢包的标签让数据包通过AF。所以才会有开启直通之后，数据中心还能记录日志，【运行状态】--【封锁攻击者ip】中还是能看到有拦截日志

二层直通

类似AC的搬包测试

双机互备不建议开启

仅在透明和虚拟网线模式下生效、路由模式不生效

开启二层直通相当于二层交换机，数据直接转发、不进功能策略处理

直通

直通不生效或无效的模块

地址转换（nat）

DoS/DDoS防护（wdos）中基于数据包攻击和异常包检测

流量审计（IP流量排行、用户流量排行、应用流量排行）

连接数控制

开启直通后所有策略还会检测只是不拦截

syslog日志

UDP 514

高可用

同步角色一致时

HA ip较大的为主控

最后一次修改同步角色的设备为主控

集中管控

SC:需要主控和主机同时加入SC,否则提示离线

特性

支持OSPF双机场景下的路由同步，保证双机切换后网络快速收敛

添加监视端口后AF新增虚拟端口MAC

虚拟MAC构成：vrrp mac（00-00-5E）+接口序号+vrid，比如：vrid为101，eth1口的虚拟MAC就是：00-00-5E-00-01-65，eth2口的虚拟MAC就是：00-00-5E-00-02-65，65的十进制就是101。

注意

备机可以不勾选配置同步的自动同步

未加入网口监视的网口将不受双机状态控制,即使是备机也会响应数据,备机可以单独配置-HA的端口用于备机管理

尽量避开bypass组接口

交换机链接设备的接口STP需开启portfast

优先使用聚合[主备]进行HA,聚合口网卡类型需一致

默认情况下不能开启抢占,开启此功能联系专家评估[网络风险,也可以自己评估]

为避免频繁双机切换,当链路检测失效双机将每5分钟进行一次双机切换

强强检测/强弱检测

强强检测:主备均开启接口检测链路检测

强弱检测:主机开启接口链路检测 备机:开启接口检测,链路不监测

807支持接入BBC

支持版本

BBC2.5.2

BBC2.5.3

默认端口5000

特性

（a）支持中心端通过模板下发配置给分支端，并对分支端配置进行管理；

（b）支持中心端通过离线导入或在线更新的方式升级分支AF设备；

（c）支持中心端对分支端12种库进行升级；

（d）支持中心端统一下发管理安全规则库及自定义规则库：

（e）支持分支端总览信息、业务安全信息、用户安全信息等上报展示；

（f）支持中心端统一设置告警信息，并支持分支端告警信息上报预警；

（g）支持双机、多机接入BBC集中管控场景；

（h）支持15个内置区域。

适用场景

上架场景

安全策略模板下发

VPN由BBC下发

运维场景

版本、定制、SP升级

• a）支持通过离线导入的方式对发布的版本/定制的SSU包，以及SP包，对指定的设备进行升级

• b）支持通过在线更新的方式对BBC平台内镜像AF版本的SP包，对指定的设备进行升级（SSU包不支持在线升级BBC平台AF镜像）

规则库升级

• a）支持通过离线导入的方式对BBC内置版本镜像进行规则库升级

• b）支持通过BBC平台对分支端进行规则库升级

自定义规则库

• 支持通过BBC端下发自定义IPS和WAF规则库，下发到本地后置灰显示且无法编辑

接入变化

自动下发15个区域：方便下发策略，只能引用接口不能删除此区域

配置下发

导入全量包

BBC统一下发策略需依赖全量包

新增策略模板

配置模板配置

下发策略（下发策略不允许编辑删除）

升级下发

上次升级包到BBC

新建升级任务，指定时间自动升级

如勾“优先从公网服务器下载升级包”，优先从GCS下载，如无对应包，再从BBC平台下载

规则库更新

BBC更新规则库

AF能联网则自己更新规则库

AF不能联网，从BBC下载

易部署

通过邮件下发配置到客户端

WAN、LAN、管理员用户名和密码、管理员邮件地址

BBC需配置邮件服务器

易部署链接为一次性链接

双机接入BBS

无VRRP无主机仅同步配置，双机接入

主备，主机接入备机同步

主主，两机器均可接入

SD-WAN

【剩余带宽比例负载】会优先匹配“流量管理”-“虚拟线路配置”里设置的线路带宽。如未开启流控，则会匹配接口上配置的“线路带宽”

【剩余带宽比例负载】所选择的线路只能是配置在物理接口上的线路，不支持虚拟接口的线路，如vlan接口。其它功能无此要求

SD-WAN选路只支持TCP、UDP、ICMP这三种协议，其他协议不支持

autu-VPN

序列号

网关序列号：功能同之前版本一致，不过没有了移动用户数。原因是AF8.0.7版本开始，不支持PDLAN用户的接入；

SSLVPN：功能同之前版本一致，从之前的“功能模块序列号”移入“基础网络序列号”中；

IPSEC VPN模块：只是AF500型号的设备，默认未开启此模块，需要在此外单独开通，其它型号的均默认开通。

基础功能开通：默认开启，可以支持IPS、APT等模块的开通；

增强功能开启：收费开启，可以支持WAF、PVS、防篡改等模块的开通；

最新威胁防御规则库：收费开启，可以支持除杀毒外所有规则库的更新，前提是已开通相应的模块；

网关功能功能开通：收费开启，支持杀毒模块的开通；

SAVE杀毒引擎更新：收费开启，支持杀毒引擎的更新；

未知威胁实时检测和网关杀毒订阅服务：收费开启，之前的云脑序列号，与老版本不同的是，老版本云脑有两个序列号，这里是一个，如果是老版本开通云脑升级上来的话，会自动变成一个；

门户网站保护订阅服务：非默认免费开启，开启后，支持与云眼进行联动，展示云眼端检测到的相关数据；

云守-安全运营订阅服务：收费开启，开启后，可以支持接入云守，通过云守来辅助AF的安全运维

软件升级：收费&功能与之前一致，无变化；

维保服务：收费&功能与之前一致，无变化。连接服务器失败问题，AF8.0.7正式版本解决掉；

编辑：黄飞