NGAF典型案例与上架问题快速参考手册目录案例部分 (1)一、路由模式部署 (1)单线路简单部署by谢辉 (1)单线路+专线互联by李绘东 (11)多线路+sangfor vpn互联by李宁 (22)二、网桥模式部署by孙阳华 (31)三、功能测试案例by黄翔 (42)问题部分 (48)一、断网问题 (48)路由模式 (48)网桥模式 (50)二、目的地址转换/双向地址转换不通问题 (52)目的地址转换 (52)双向地址转换 (53)三、经过AF访问公网速度变慢 (53)案例部分一、路由模式部署单线路简单部署by谢辉【网络现状】Internet——NGAF——内网（PC和服务器）现有1条外网出口线路，20M出口带宽.内网lan口接核心交换机，服务器区也在lan区域.【客户需求】AF代理内网上网对外发布服务双向地址映射流量控制【设备配置】（1）配置lan口，设置为路由口，由于是内网口，固不勾选wan口（2）配置W AN口，设置为路由口，选择wan口。

（3）设置区域，一个接口属于一个区域，如图：（4）配置系统路由(添加回包路由和缺省路由，缺省路由必须要添加。

)（5）配置源地址转换，即代理上网功能。

源区域选择lan，目标区域选择wan。

源地址转换选择出接口地址，如果有多个公网IP可以选择IP范围。

（6）设置目的地址转换（即对外发布服务）。

源区域选择wan，目的区域为灰色，不可选，IP组应当设置wan口映射IP，可以通过IP组来发布需要映射的公网IP，客户需要将公网的8080端口映射到内部服务器的80端口，固需要将8080端口转换成80端口，以实现客户需求。

（7）客户需要在内网访问公网地址来访问内部服务器，需要我们做双向映射来实现，源区域和目的区域都选择lan区，应用服务器是通过http://X.X.X.X:7890来访问的,固目标端口设置7890，该端口不需要转换所以目标端口转换选择-不转换，如果是域名，则用dnsmapping即可。

所有映射条目如下图：（8）映射设置完毕后，需要放通相应的应用控制策略。

注意：做双向映射后，应当放通lan-lan的规则。

（9）配置流控模块1. 先配置虚拟线路，如图所示：2. 配置正确的线路带宽，将WAN区域的接口设置为外出接口，本例中eth2为WAN口，如下图：3. 设置流控策略，设置流控策略基本和AC一致。

至此配置完成单线路+专线互联by李绘东【网络现状】现在出口设备为5年前的PIX防火墙，PIX防火墙老化，有时会出现断电后起不来的现象，且PIX不能满足客户对内网安全情况和全网流量的了解和服务器防护的需求。

出口链路有2条，公网电信20M，外加一条2M的专线，电信公网线路上有多个公网IP，用来做内网用户上网的PAT和服务器端口映射用，内网用户访问专线的流量，一部分走路由，一部分在专线上起端口映射。

【客户需求】AF代理内网上网，实现公网走电信、专网流量走专线等需求。

内网有服务器需要在AF上通过端口映射发布出去，部署拓扑图如下：目前需要通过NGAF下一代应用防火墙保证内网用户访问互联网的安全以及保护内部服务器的安全。

【设备配置】（1）配置物理接口Lan口为三层路由口，填上相应的IP地址和掩码，测试的时候不是很赶时间的话，尽量完善描述，方便后面查看。

配置WAN口，这里的WAN口有多个公网地址，但是在pix的wan口只配置了一个公网地址，其他公网地址都是在端口映射里体现出来。

这里我们把公网地址一个不漏的都配置上来。

还是要提一下，下一跳网关是做链路检测和做策略路由用的，与默认路由没关系。

接下来配置专线的属性。

专线也有2个IP地址，一个用来跑路由，一个用来做IP地址映射用的，在翻译PIX的配置时，一定要细心不能漏掉。

还有一点，专线也勾选了“Wan口”属性，我去测试时差点忽视了这一点，后来赶在设备上架前申请到了多线路序列号（默认只有一条线路授权）。

如果没有勾wan口属性的话，可能会有如下后果(引用http://200.200.0.20:5/dedecms/plus/view.php?aid=1078)：●流量控制不生效●策略路由设置有障碍（策略路由出接口无法选择非wan口，实际上直接填写下一跳网关为非wan接口的网关，配置也是生效的。

）●脚本过滤、插件过滤不生效●流量审计不生效（网关运行状态-应用流量排行看不到内容）●没有启用wan属性，则启用免费arp功能后，也不会主动广播该接口的mac出去，可能导致前置设备不能更新自己的mac。

（同时启用arp欺骗防御可以解决此问题）。

●其他功能如静态路由、NA T、应用识别等不会影响。

所以专线还是勾上“wan口”属性，客户可能会用到那些功能。

（2）区域设置（3）路由设置记得设置默认路由，这里涉及到的路由包括默认路由（上网和服务器回公网访问包用的），专线路由，内网回程路由，检查路由的时候也可以按照这几类去排查。

（4）DNS设置，设置设备的DNS，启用DNS代理（5）NAT配置防火墙配置，二层协议使用默认的全部放行，这里二层全是以太。

关键是配置地址转换这一块。

由于先前客户使用PIX防火墙，所以地址转换的配置首先需要把PIX上的地址转换配置原封不动的翻译过来，保证内网服务器发布，上网，专线通信正常。

PIX的配置如下：翻译后的配置:几条典型的命令翻译：global (outside) 1 interface//指定外部地址范围，也就是说，内网用户访问外网，地址被转换为这个接口的地址，相当于cisco IOS下的ip nat outsideglobal (intf2) 1 interface//同上，专线上也有地址映射存在nat (inside) 0 access-list 310//0表示不转换，即，匹配acl310的数据包不转换，不转换那就是走路由了，在我们AF 做策略的时候，要搞清楚那些地址需要转换，那些不转换nat (inside) 1 0.0.0.0 0.0.0.0 0 0//其他地址都转换专线和公网口都开启了地址转换，至于内网数据包如何转换，或者说转换成那个出接口的地址，这个就要看路由了，路由到哪个口，就转换成那个口的IP。

alias (inside) 10.200.91.250 219.140.177.43 255.255.255.255alias (inside) 10.200.91.231 219.140.177.44 255.255.255.255alias (inside) 10.200.91.251 219.140.177.45 255.255.255.255//这部分是PIX上相当于Lan-Lan映射的配置，我们AF上直接用双向地址转换搞定（6）DDOS/DOS攻击防护策略配置外网防护策略，按需开启，阀值可以自己调整，有时候为了体现效果，阀值可以相对调低一些（可以先记录攻击，而别阻断）。

在配置“基于数据包攻击”的时候，记得取消IP数据块分片传输防护，因为一般情况下，肯定有数据包的体积大于MTU值，从而导致分片和重组。

后面的防护按需开启（7）内容安全模块的配置因为客户暂时不清楚内网发布的应用情况，所以默认先全部放通，等到客户确定好了应用后再做按需放行。

由于做了双向地址转换，注意放行lan到lan 的应用。

病毒防护策略按需开启即可为了测试效果，可以适当的开一个危险脚本检测（8）IPS与服务器保护模块的配置IPS配置WEB应用保护这里注意一点，如果内网有FTP服务器映射到公网提供服务，那么就先别勾选FTP弱口令防护，因为万一用户本来使用的就是“弱口令”，那会直接导致用户不能访问。

和客户说明我们有这个功能就可以了，如需测试，按需开启。

总结●测试前，检测设备版本是否最新，授权是否足够满足需求，序列号是否正确，规则库是否更新到指定日期；●客户网络环境确认，原来使用的防火墙什么厂家的，配置是否熟悉，是否能看懂，是否能翻译到我们的AF上面来；●做防护配置时，建议先记录，再阻拦；●上架后，先开直通。

路由，地址和端口映射做好了，开直通，应该没多大问题；●确定没问题后，关闭直通，建议边值守边找人在公网测试，当然你也可以找人随便执行个类似于xxx？and 1=1的SQL注入语句，让客户可以立马看到拦截效果(用工具效果更加明显，如明小子，阿D工具包等)。

值守1到2个小时确认没问题后，离开。

多线路+sangfor vpn互联by李宁【网络现状】现有三条外网出口线路，分别是一条电信10M,一条网通10M,一条网通2M,内网有业务网和非业务网两套网络，其中电信10M与网通10M的互联网线路用做非业务网上互联网用，网通2M线路用做业务网与太原医保局建立VPN用。

【客户需求】1、用AF替代现有路由器；2、三条外网线路均接入AF；3、网通2M外网线路与太原铁路医保做VPN对接，对端也是使用我司设备，已提供相应的VPN信息；4、有大概100个VPN移动客户端需要通过AF的VPN接入医院网络，访问内部服务器；5、电信10M与网通10M两条外网线路做负载；6、业务网只有特定的计算机可以上，且与非业务网不能互访；7、非业务网划分多个VLAN，且VLAN之间不允许互访；8、配置AF的安全策略。

【网络拓扑】未实施前：预期实施后：【设备配置】（1）接口/区域配置所有网口都配置成路由口把非业务网的内网口划分三个子接口，并做下面终端的网关：划分区域，一个网口对应一个区域，VPN与业务内网口不划入区域内：（2）路由配置配置好系统路由(前三条都是到内网网段的路由,注意要加一条默认路由供设备自身上外网、做远程维护等)配置策略路由,内网三个网网段轮循选择两条外网线路上网：（3）DHCP服务器配置，客户非业务内网三个网段由AF自动分配IP地址上网，如下图：（4）DNS代理，下面终端的DNS服务器指向AF，由AF代理解析，如下图：代理上网，地址转换代理内网终端上互联网，如下图：注意：因为有两条外网线路，而内网接口也划分了三个子接口，且各自对应一个区域，所以需要用六条SNAT策略，代理非业务网用户上网。

（5）认证系统配置组/用户定义，按照部门及IP，划分用户组，如下图：开启认证策略，把各IP段加到相应的用户组内，如下图：注意：与AC不同的是，需要手动开启用户认证并选择需要认证的区域。

（6）内容安全配置因为AF缺省是拒绝所有服务/应用的，所以在做完应用封堵后，还需要加一条放开所有应用/服务的策略，如下图：（7）开启病毒防御策略，如下图：（8）开启WEB过滤，把非法等网站过滤掉，如下图：（9）防火墙模块配置连接数控制，针对连接数做防护，如下图：（10）DOS/DDOS防护，针对外网DOS攻击做防护，如下图：（11）开启ARP欺骗防护，如下图：（12）流控配置虚拟线路配置，先把两条上外网的线路定义出来，如下图：流控策略配置（注意AF的流控不支持父子通道，且没有线路策略复制功能，所以需要针对每条线路做相应的流控策略），如下图：（13）VPN配置设备既要做分支接入太原铁路医保VPN设备，又做做服务端让100个移动用户接入到医院内网，配置如下：VPN基本配置，配置VPN的WEBAGENT用户配置，客户有100个移动客户端，且有一部分是使用DKEY认证，先在AF把这些用户建立，如下图：外网接口配置，配置VPN用到的外网接口，如下图：连接管理，建立与太原铁路医保的VPN接连，如下图：（14）上架测试完成上以配置后，把客户的网络按实施前确定的拓扑图把路线接好，测试均可达到客户预期效果。