深信服防火墙地址转换.pptVIP

* * 培训内容 培训目标 地址转换功能介绍 了解源地址转换，目的地址转换，双向地址转换的应用场景，掌握源地址转换，目的地址转换，双向地址转换的设置方法。 DOS/DDOS防护功能介绍 了解DOS和DDOS功能的作用和应用场景，掌握DOS和DDOS功能的推荐配置方法。 其它功能介绍 连接数控制：掌握连接数控制的配置方法 DNS mapping：了解DNS mapping功能的应用场景，掌握设置方法 ARP欺骗防御：了解ARP欺骗防御功能的应用场景和设置方法 地址转换功能介绍 地址转换功能介绍 地址转换(NAT)： 在计算机网络中，网络地址转换（Network Address Translation，简称NAT）是一种在IP数据包通过路由器或防火墙时重写源IP地址/目的IP地址的技术。 源地址转换(SNAT) ： 源地址转换即内网地址访问外网时，将发起访问的内网IP地址转换为指定的IP地址，内网的多台主机可以通过同一个有效的公网IP地址访问外网。 典型应用场景： 设备路由部署在公网出口代理内网用户上网 目的地址转换(DNAT) ： 目的地址转换也称为反向地址转换或地址映射。目的地址转换是一种单向的针对目标地址的地址转换，主要用于内部服务器以公网地址向外网用户提供服务的情况。 典型应用场景： 外网用户访问服务器所在网络出口线路的公网地址时，直接访问到内部服务器。（如WAN-LAN端口映射） 地址转换功能介绍 双向地址转换： 双向地址转换是指在一条地址转换规则中，同时包含源地址和目标地址的转换，匹配规则的数据流将被同时转换源IP地址和目标IP地址 典型应用场景： 内网用户通过公网地址访问内网服务器（如LAN- LAN端口映射） 地址转换功能介绍 源地址转换功能应用举例 需求：客户网络环境如图，AF防火墙部署在网络出口，下接三层交换机，内网有PC和服务器，客户要求： AF防火墙代理内网PC和服务器上网。 解决方案：在AF设备上做源地址转换 步骤一：在【网络配置】的【接口/区域中】定义好接口地址和“区域”，在【对象定义】的【IP组】中定义好 “内网IP组” 源地址转换功能应用举例 源地址转换功能应用举例 规则匹配次数，可用于检测规则是否配置正确 目的地址转换功能应用举例 需求：客户网络环境如图，AF防火墙部署在网络出口，内网有WEB服务器。客户需要将WEB服务器发布到公网，让公网所有用户都可以通过访问到该服务器。 解决方案：在AF设备上做端口映射（即目的地址转换） 目的地址转换功能应用举例 步骤一：在【网络配置】的【接口/区域】中定义好接口地址和“区域”，在【对象定义】的【IP组】中定义好 “外网接口IP” 目的地址转换功能应用举例 公网的数据包过来，目的地址是设备公网地址则进行转换 公网访问的端口 服务器私网地址 服务器提供服务的真实端口 双向地址转换功能应用举例 需求：客户网络环境如图，AF防火墙部署在网络出口，内网有WEB服务器。已经申请了域名指向，客户需要内网所有用户都可以通过访问WEB服务器。 解决方案：在AF设备上做双向地址转换 双向地址转换功能应用举例 步骤一：在【网络配置】的【接口/区域】中定义好接口地址和“区域”，在【对象定义】的【IP组】中定义好 “内网IP组”和“外网接口IP” 双向地址转换功能应用举例 经过目的地址转换后，最终也是访问内网区域 将源IP转换成 出接口IP DOS/DDOS防护功能介绍 DOS/DDOS防护 DOS攻击：DOS是Denial of Service的简称，即拒绝服务，造成DOS的攻击行为被称为DOS攻击，其目的是使计算机或网络无法提供正常的服务。 DDOS攻击：DDOS是Distributed Denial of service ，即分布式拒绝服务攻击，很多DOS攻击源一起攻击某台服务器或某个网络，就组成了DDOS攻击。 SANGFOR AF设备的DOS/DDOS防护功能分成“外网防护”和“内网防护”两个部分。 外网防护：主要对目标地址做重点防御，一般用于保护内部服务器不受外网的DOS攻击。（该外网为用户自己定义的攻击源区域，不一定非指Internet) 内网防护：主要用来防止设备自身被DOS攻击。 DOS/DDOS防护 外网防护配置介绍： 自定义名称和描述 选择DOS/DDOS攻击发起方所在的区域 若设备在每秒单位内接口收到源区域所有地址的ARP包超过阈值时，则会被认为是攻击 若设备在每秒单位内收到来自源区域的单个IP地址/端口扫描包个数超过阈值，则会被认为是攻击 点击可选择DOS/DDOS攻击防护类型 选择要保护的目标服务器或者服务器组 选择需要进行DOS/DDOS攻击检测 的数据包类型，并配置检测阈值，当