返回
深信服防火墙地址转换

深信服防火墙地址转换

ID:37496474

大小:2.57 MB

页数:31页

时间:2019-05-12

深信服防火墙地址转换_第1页
深信服防火墙地址转换_第2页
深信服防火墙地址转换_第3页
深信服防火墙地址转换_第4页
深信服防火墙地址转换_第5页
资源描述:

《深信服防火墙地址转换》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、SANGFORNGAF防火墙功能介绍培训内容培训目标地址转换功能介绍了解源地址转换,目的地址转换,双向地址转换的应用场景,掌握源地址转换,目的地址转换,双向地址转换的设置方法。DOS/DDOS防护功能介绍了解DOS和DDOS功能的作用和应用场景,掌握DOS和DDOS功能的推荐配置方法。其它功能介绍连接数控制:掌握连接数控制的配置方法DNSmapping:了解DNSmapping功能的应用场景,掌握设置方法ARP欺骗防御:了解ARP欺骗防御功能的应用场景和设置方法地址转换功能介绍地址转换功能介绍地址转换(NAT):在计算机网络中,网络地址转换(NetworkAddressT

2、ranslation,简称NAT)是一种在IP数据包通过路由器或防火墙时重写源IP地址/目的IP地址的技术。源地址转换(SNAT):源地址转换即内网地址访问外网时,将发起访问的内网IP地址转换为指定的IP地址,内网的多台主机可以通过同一个有效的公网IP地址访问外网。典型应用场景:设备路由部署在公网出口代理内网用户上网目的地址转换(DNAT):目的地址转换也称为反向地址转换或地址映射。目的地址转换是一种单向的针对目标地址的地址转换,主要用于内部服务器以公网地址向外网用户提供服务的情况。典型应用场景:外网用户访问服务器所在网络出口线路的公网地址时,直接访问到内部服务器。(如W

3、AN->LAN端口映射)地址转换功能介绍双向地址转换:双向地址转换是指在一条地址转换规则中,同时包含源地址和目标地址的转换,匹配规则的数据流将被同时转换源IP地址和目标IP地址典型应用场景:内网用户通过公网地址访问内网服务器(如LAN->LAN端口映射)地址转换功能介绍源地址转换功能应用举例需求:客户网络环境如图,AF防火墙部署在网络出口,下接三层交换机,内网有PC和服务器,客户要求:AF防火墙代理内网PC和服务器上网。解决方案:在AF设备上做源地址转换步骤一:在【网络配置】的【接口/区域中】定义好接口地址和“区域”,在【对象定义】的【IP组】中定义好“内网IP组”源地址

4、转换功能应用举例源地址转换功能应用举例规则匹配次数,可用于检测规则是否配置正确目的地址转换功能应用举例需求:客户网络环境如图,AF防火墙部署在网络出口,内网有WEB服务器。客户需要将WEB服务器发布到公网,让公网所有用户都可以通过http://2.2.2.2访问到该服务器。解决方案:在AF设备上做端口映射(即目的地址转换)目的地址转换功能应用举例步骤一:在【网络配置】的【接口/区域】中定义好接口地址和“区域”,在【对象定义】的【IP组】中定义好“外网接口IP”目的地址转换功能应用举例公网的数据包过来,目的地址是设备公网地址则进行转换公网访问的端口服务器私网地址服务器提供服

5、务的真实端口双向地址转换功能应用举例需求:客户网络环境如图,AF防火墙部署在网络出口,内网有WEB服务器。已经申请了域名www.test.com指向2.2.2.2,客户需要内网所有用户都可以通过www.test.com访问WEB服务器。解决方案:在AF设备上做双向地址转换双向地址转换功能应用举例步骤一:在【网络配置】的【接口/区域】中定义好接口地址和“区域”,在【对象定义】的【IP组】中定义好“内网IP组”和“外网接口IP”双向地址转换功能应用举例经过目的地址转换后,最终也是访问内网区域将源IP转换成出接口IPDOS/DDOS防护功能介绍DOS/DDOS防护DOS攻击:D

6、OS是DenialofService的简称,即拒绝服务,造成DOS的攻击行为被称为DOS攻击,其目的是使计算机或网络无法提供正常的服务。DDOS攻击:DDOS是DistributedDenialofservice,即分布式拒绝服务攻击,很多DOS攻击源一起攻击某台服务器或某个网络,就组成了DDOS攻击。SANGFORAF设备的DOS/DDOS防护功能分成“外网防护”和“内网防护”两个部分。外网防护:主要对目标地址做重点防御,一般用于保护内部服务器不受外网的DOS攻击。(该外网为用户自己定义的攻击源区域,不一定非指Internet)内网防护:主要用来防止设备自身被DOS攻击

7、。DOS/DDOS防护外网防护配置介绍:自定义名称和描述选择DOS/DDOS攻击发起方所在的区域若设备在每秒单位内接口收到源区域所有地址的ARP包超过阈值时,则会被认为是攻击若设备在每秒单位内收到来自源区域的单个IP地址/端口扫描包个数超过阈值,则会被认为是攻击点击可选择DOS/DDOS攻击防护类型选择要保护的目标服务器或者服务器组选择需要进行DOS/DDOS攻击检测的数据包类型,并配置检测阈值,当设备在每秒单位内收到来自源区域访问同一个目标IP的数据包超过所设置的阈值时,则会被认为是攻击。配置完成,点击确定保存每目的IP激活

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。