标签归档:AF

两台深信服防火墙主备部署在出口,前置两台运营商线路接入交换机场景的配置方法

现有两台深信服防火墙,部署在公网出口,做HA,有电信、联通两条运营商线路,拓扑大概如下:

用户为了防止单台接入交换机故障,所以增加一台接入交换机,并且这两台接入交换机做堆叠。

交换机1的1口接电信线路,2口和3口做聚合,配置trunk,仅允许vlan100、vlan200通过,2口连接主防火墙的1口,3口连接备防火墙的1口。交换机2的1口接联通线路,2口和3口做聚合,配置trunk,仅允许vlan100、vlan200通过,2口连接主防火墙的5口,3口连备防火墙的5口。

主防火墙的1口和5口配置聚合口,二层透明口,新建vlan100配置电信公网IP地址,vlan200配置联通公网IP地址。2口、3口做聚合分别接下面两台核心交换机,4口为HA口连接备防火墙,备防火墙也做相同的连线方法。

下面两台核心交换机做堆叠,聚合模式要与防火墙的接口聚合模式一致。

防火墙上配置策略路由,第一条电信走电信,第二条联通走联通,第三条轮询,也可再配置一条走电信的默认路由,以防止策略路由失效。再配置代理上网,做放通策略,再配置用户防护策略和业务防护策略,再开启相关日志。

两台深信服防火墙主备部署在出口,前置一台运营商线路接入交换机场景的配置方法

现有两台深信服防火墙,部署在公网出口,做HA,有电信、联通两条运营商线路,拓扑大概如下:

接入交换机上1口接电信线路,2口接联通线路,3口接主防火墙的1口,4口接主防火墙的2口,5口接备防火墙的1口,6口接备防火墙的2口。交换机的1口、3口、5口属于vlan100,2口、4口、6口属于vlan200。

主防火墙1口配置电信公网IP,2口配置联通公网IP,3口和4口做聚合,分别接下面两台交换机,5口为HA口连接备防火墙,备防火墙的网口也做相同的接线方法。

下面两台核心交换机做堆叠,聚合模式要与防火墙的接口聚合模式一致。

防火墙上配置策略路由,也可再配置一条走电信的默认路由,以防止策略路由失效。

深信服防火墙AF上arp表数量限制导致网络问题的处理说明

现有一台深信服防火墙AF,内网口上启用多个vlan接口,每个vlan接口为该各自网段的网关,测试时总用户数大概在2000左右,正式上线后总用户数在7000左右。

测试时,使用一切正常,CPU利用率低于10%,内存利用率低于30%,网络也都正常。

但是用户陆续开机上线后,发现部分用户网络不通,到网关(防火墙上vlan接口)都不通。

在深信服AF上查看arp,发现总数是4095,与研发确认,发现深信服AF上arp表总数就是4096个,也就是在这种场景下,总用户也只能达到4000多点。

与研发商量后,预计要做定制包实现,但是用户强烈要求当天解决,后来多名研发确认只需要修改AF后台的某个参数即可实现对限制的放开,且修改该参数不影响业务。

对主备两台参数分别修改为20000后,已正常使用。

截止目前最新的AF版本8.0.26,都存在这个问题。当然在大规模的网络中,一般也很少会将内网用户的网关都启用在防火墙上,更多是将网关放在核心交换机上。对于这种少见的特殊的部署场景才将这个问题暴露了出来。

另外深信服AF的arp老化时间是15秒,且无法修改。并且AF上的vlan数量也有限制,限制为256个vlan,dhcp地址池也有限制,限制为1万个。不过对于vlan数量以及dhcp地址池的限制可以通过定制来解决。

具体修改方法,参见:修改linux系统的arp缓存数量的方法

深信服防火墙AF管理员登录地址限制以及SNMP源地址限制的方法

深信服防火墙AF管理员登录地址限制的配置方法是在控制台页面,网络——接口/区域,区域,在WEBUI下勾选允许管理此设备的IP选择指定的IP即可。如图:

对SNMP源地址限制,其实在配置SNMPd的时候就要配置主机或者网段,只需要在这里配置即可。如图:

深信服防火墙AF的OID表

zabbix监控深信服防火墙AF时,会需要用到防火墙的OID,以下就是截止2020年9月,最新的OID表格:

NameDescriptionOID
sysDescr系统描述.1.3.6.1.2.1.1.1
sysContact联系.1.3.6.1.2.1.1.4
sysName系统名.1.3.6.1.2.1.1.5
sysLocation位置.1.3.6.1.2.1.1.6
sysServices系统服务.1.3.6.1.2.1.1.7
sysConnNum连接数.1.3.6.1.2.1.1.10
sysCpuUsagcpu占用率.1.3.6.1.2.1.1.11
sysMemUsage内存占用率.1.3.6.1.2.1.1.12
sysDiskUsage磁盘占用率.1.3.6.1.2.1.1.13
sysNewConnTable新建连接表.1.3.6.1.2.1.1.14
hrSystemDate系统日期.1.3.6.1.2.1.25.1.2
hrSystemUptime运行的时间.1.3.6.1.2.1.25.1.1

系统信息

NameDescriptionOID
hrSystemUptime运行的时间.1.3.6.1.2.1.25.1.1
hrSystemDate系统日期.1.3.6.1.2.1.25.1.2
hrSystemNumUsers用户数.1.3.6.1.2.1.25.1.5
hrSystemProcesses进程数.1.3.6.1.2.1.25.1.6
hrSystemMaxProcesses最大进程数.1.3.6.1.2.1.25.1.7
hrMemorySize系统内存.1.3.6.1.2.1.25.2.2
hrStorageTable存储设备信息表(内存,磁盘的使用情况).1.3.6.1.2.1.25.2.3
hrDeviceTable系统设备列表.1.3.6.1.2.1.25.3.2
hrSWRunTable系统进程列表.1.3.6.1.2.1.25.4.2

CPU

NameDescriptionOID
ssCpuUser用户使用CPU情况.1.3.6.1.4.1.2021.11.9
ssCpuSystem系统使用CPU情况.1.3.6.1.4.1.2021.11.10
ssCpuIdle空闲CPU.1.3.6.1.4.1.2021.11.11
sysCpuUsagcpu占用率.1.3.6.1.2.1.1.11.0

内存

NameDescriptionOID
memTotalSwap总swap分区.1.3.6.1.4.1.2021.4.3
memAvailSwap可用swap分区.1.3.6.1.4.1.2021.4.4
memTotalReal内存总量(真实内存).1.3.6.1.4.1.2021.4.5
memAvailReal可用内存(真实内存).1.3.6.1.4.1.2021.4.6
memTotalFree可用内存(真实内存+虚拟内存).1.3.6.1.4.1.2021.4.11
memShared共享内存数量.1.3.6.1.4.1.2021.4.13
memBufferbuffer内存数量.1.3.6.1.4.1.2021.4.14
memCachedCache内存数量.1.3.6.1.4.1.2021.4.15
hrMemorySize内存总量.1.3.6.1.2.1.25.2.2
hrStorageTable存储设备信息表(内存,磁盘).1.3.6.1.2.1.25.2.3

硬盘

NameDescriptionOID
sysDiskUsage磁盘占用率.1.3.6.1.2.1.1.13
hrStorageTable存储设备信息表(内存,磁盘).1.3.6.1.2.1.25.2.3

网口

NameDescriptionOID
ifNumber接口总数.1.3.6.1.2.1.2.1
ifTable接口表(接口名,开启状态,MAC,出口流量,入口流量等).1.3.6.1.2.1.2.2
ifIndex索引.1.3.6.1.2.1.2.2.1.1
ifName网口.1.3.6.1.2.1.2.2.1.2
ifType接口类型.1.3.6.1.2.1.2.2.1.3
ifMtu接口MTU.1.3.6.1.2.1.2.2.1.4
ifPhysAddress接口mac地址.1.3.6.1.2.1.2.2.1.6
ifAdminStatus所希望的接口工作状态.1.3.6.1.2.1.2.2.1.7
ifOperStatus当前接口工作状态.1.3.6.1.2.1.2.2.1.8
ifInOctets接口收到的字节总数.1.3.6.1.2.1.2.2.1.10
ifOutOctets接口发送的字节总数.1.3.6.1.2.1.2.2.1.16

地址转换表

NameDescriptionOID
atTable地址转换表.1.3.6.1.2.1.3.1

IP

NameDescriptionOID
ipForwarding是否作为一个IP网关.1.3.6.1.2.1.4.1
ipDefaultTTLIP头中的Time To Live字段的值.1.3.6.1.2.1.4.2
ipInReceivesIP层从下层接收的数据报总数.1.3.6.1.2.1.4.3
ipInHdrErrors由于IP头出错而丢弃的数据报.1.3.6.1.2.1.4.4
ipInAddrErrors地址出错(无效地址、不支持的地址和非本地主机地址)的数据报.1.3.6.1.2.1.4.5
ipForwDatagrams已转发的数据报.1.3.6.1.2.1.4.6
ipInUnknownProtos不支持数据报的协议,因而被丢弃.1.3.6.1.2.1.4.7
ipInDiscards因缺乏缓冲资源而丢弃的数据报.1.3.6.1.2.1.4.8
ipInDelivers由IP层提交给上层的数据报.1.3.6.1.2.1.4.9
ipOutRequests由IP层交给下层需要发送的数据报,不包括ipForwDatagrams.1.3.6.1.2.1.4.10
ipOutDiscards在输出端因缺乏缓冲资源而丢弃的数据报.1.3.6.1.2.1.4.11
ipOutNoRoutes没有到达目标的路由而丢弃的数据报.1.3.6.1.2.1.4.12
ipReasmTimeout数据段等待重装配的最长时间(秒).1.3.6.1.2.1.4.13
ipReasmReqds需要重装配的数据段.1.3.6.1.2.1.4.14
ipReasmOKs成功重装配的数据段.1.3.6.1.2.1.4.15
ipReasmFails不能重装配的数据段.1.3.6.1.2.1.4.16
ipFragOKs分段成功的数据段.1.3.6.1.2.1.4.17
ipFragFails不能分段的数据段.1.3.6.1.2.1.4.18
ipFragCreates产生的数据报分段数.1.3.6.1.2.1.4.19
ipAddrTableIP地址表.1.3.6.1.2.1.4.20
ipRouteTableIP路由表.1.3.6.1.2.1.4.21
ipNetToMediaTableIP与物理地址转换表.1.3.6.1.2.1.4.22
ipRoutingDiscards无效的路由项,包括为释放缓冲空间而丢弃路由项.1.3.6.1.2.1.4.23

TCP

NameDescriptionOID
tcpRtoAlgorithm重传时间算法.1.3.6.1.2.1.6.1
tcpRtoMin 重传时间最小值.1.3.6.1.2.1.6.2
tcpRtoMax重传时间最大值.1.3.6.1.2.1.6.3
tcpMaxConn可建立的最大连接数.1.3.6.1.2.1.6.4
tcpActiveOpens主动打开的连接数.1.3.6.1.2.1.6.5
tcpPassiveOpens被动打开的连接数.1.3.6.1.2.1.6.6
tcpAttemptFails连接建立失败数.1.3.6.1.2.1.6.7
tcpEstabResets连接复位数.1.3.6.1.2.1.6.8
tcpCurrEstab状态为established或closeWait的连接数.1.3.6.1.2.1.6.9
tcpInSegs接收的TCP段总数.1.3.6.1.2.1.6.10
tcpOutSegs发送的TCP段总数.1.3.6.1.2.1.6.11
tcpRetransSegs重传的TCP段总数.1.3.6.1.2.1.6.12
tcpConnTable连接表.1.3.6.1.2.1.6.13
tcpInErrors接收的出错TCP段数.1.3.6.1.2.1.6.14
tcpOutRests发出的含RST标志的段数.1.3.6.1.2.1.6.15

UDP

udpInDatagrams接收的数据报总数.1.3.6.1.2.1.7.1
udpNoPorts没有发现端口而无法提交的数据报.1.3.6.1.2.1.7.2
udpInErrors出错的数据报.1.3.6.1.2.1.7.3
udpOutDatagrams上层协议要求输出的数据报.1.3.6.1.2.1.7.4
udpTableUDP表.1.3.6.1.2.1.7.5

SNMP

snmpInPktsSNMP模块接收到的分组数.1.3.6.1.2.1.11.1
snmpInTotalReqVars被成功读取的Object数,包括get-request和get-next操作.1.3.6.1.2.1.11.13
snmpInGetRequestsSNMP模块接收到并处理的get-request的分组数.1.3.6.1.2.1.11.15
snmpInGetNextsSNMP模块接收到并处理的get-next的分组数.1.3.6.1.2.1.11.16
snmpOutGetResponsesSNMP模块发出的get-responses的分组数.1.3.6.1.2.1.11.28
snmpEnableAuthenTraps标记是否允许代理程序产生检验失败警告.1.3.6.1.2.1.11.30

关于深信服上网行为管理AC的OID可查看这篇文章:深信服上网行为管理AC的OID表https://www.eumz.com/2020-10/2064.html

深信服防火墙配置内网PC仅允许访问指定域名的方法

需求是内网PC仅允许访问指定的域名,配置步骤如下:

1、先定义内网PC网段及域名

2、新建一条应用控制策略,针对内网PC放通DNS、HTTP(HTTPS)服务

3、新建一条内容安全策略,URL过滤针对内网PC拒绝访问所有网页

4、新建一条内容安全策略,URL过滤针对内网PC允许访问指定域名,并将该条策略放置最上面

以上步骤即可实现该需求。

深信服AF界面危险操作一览表

汇总了一些会引起设备重启,服务重启,用户掉线、断网的界面操作。
在调试设备时,注意规避或提前做好准备。

 
产品线
主模块
一级子模块
二级子模块
对应操作
高危风险说明
AF
运行状态
封锁攻击者IP
添加到永久封堵
所有与封堵名单中的IP地址进行通讯的流量都将被永久拒绝
AF
网络配置
接口/区域
物理接口
修改接口配置
导致接口关联的策略路由不生效\接口重启。存在双机时,导致双机切换;关联VPN时,vpn会断开;
AF
网络配置
接口/区域
bypass设置
硬件/光口bypass
透明模式在双机场景下导致内网产生环路
AF
网络配置
高级网络配置
DHCP
关闭DHCP服务
若内网是DHCP场景,会导致内网获取不到ip地址引起断网;已经获取到ip了的电脑不会马上断网,地址续租异常会断网;
AF
网络配置
高级网络配置
ARP
启用ARP代理
启用ARP代理,NGAF会对指定地址的ARP请求使用指定接口的MAC地址进行应答;如果配置错误,会导致相应IP的ARP冲突,从而引起网络动荡。
AF
VPN
IPSEC/SSLVPN
修改基础配置
1.标准IPSEC会重连,修改哪个阶段就重连哪个阶段;
2.对SSLVPN部署模块进行修改,会导致vpn路由发生变化,影响原来已经接入的用户访问发布的资源;
AF
认证系统
LDAP自动同步
同步AD域用户
如果在工作时间从AD域同步应用过来,那么新同步过来的用户,会覆盖原来存在NGAF上的用户,导致用户需要重新认证,若设置的是强制单点登录或者密码认证/单点登录,用户上网会被设备拦截进行认证。
AF
认证系统
用户认证
认证策略
启用认证策略,并选择认证区域为内网
默认认证方式为密码认证,贸然启用且未设置账户密码或未通知用户,会让内网用户认证不通过导致断网;
AF
防火墙
地域访问控制
所有区域只允许中国大陆访问
若内网的地址本身就不属于任何地区,如果地域控制中限制只允许某个区域访问,就会导致内网断网;
AF
防火墙
DOS/DDOS防护
启用只允许下列ip通过
内网ip没写(留空)会导致内网断网;若内网ip写错、未包含在已填写的地址范围的电脑也会断网;
AF
防火墙
地址转换
目的/双向地址转换
做全端口映射
导致内网断网,设备登录不了
AF
内容安全
应用控制策略
创建拦截所有服务策略
导致内网断网,设备登录不了
AF
服务器保护
网页防篡改2.0
防篡改2.0-对网站主页防护
防篡改2.0的网站防护方式,一但添加防护的url之后,用户访问该url就需要进行身份验证,如果用户没有验证的权限就会导致主页面访问不了,这种情况下只允许有验证权限的人才能登陆备防护主页。建议只填写需要进行登录防护的URL,请谨慎操作;
AF
流量管理
通道管理
关闭流量管理
流控不生效
AF
系统
高可用性
双机热备
监控网口没有接线
导致双机状态处于故障,接口不收发数据包
AF
系统
高可用性
基本信息
心跳口没有接线
导致双机状态处于故障,接口不收发数据包
AF
系统
全局放行与封堵
全局放行
将业务ip加入全局放行
导致策略不生效
AF
系统维护
数据包拦截日志与直通
开启直通
策略全部失效、流控也全部失效
AF
系统
系统配置
序列号
修改功能序列号
防篡改序列号和多功能序列号需重启设备才生效,修改sslvpn不需要重启设备;功能序列号填写之后,需要重启设备对应的功能才会生效。会弹出重启设备提示框,请谨慎操作,选择合适的时间重启;
AF
服务器保护
web应用防护
自动识别其他HTTP端口
内网有加密网站而又没有开启解密功能,会导致网站访问不了;对于是加密的内网网站,而且NGAF没有配置对该网站解密功能,就不能开HTTP端口自动识别。如果在没有开解密的情况下,开了HTTP自动识别,NGAF识别不了这些数据,会导致NGAF对网站的流量产生误判,从而影响网站的正常访问;
AF
网络配置
路由
删除静态/策略路由
在没有备用的策略/静态路由的情况下,删除静态/策略路由导致NGAF上没有路由,导致内网不能上网;
AF
系统配置
重启网关/服务
重启网关/服务
导致内网断网
AF
网络
IPSECvpn
隧道间路由
写8个0的路由;
写目的网段是本端内网网段的路由;
会导致断网