SANGFOR NGAF 快速安装手册

0

SANGFOR NGAF 快速安装手册

1

技术支持说明

为了让您在安装，调试、配置、维护和学习 SANGFOR 设备时，能及时、快速、有效

的获得技术支持服务，我们建议您：

1. 参考本快速安装手册图文指导，帮助你快速的完成部署、安装 SANGFOR设备。如果

快速安装手册不能满足您的需要，您可以到 SANGFOR技术论坛或官网获得电子版的完

整版用户手册或者其他技术资料，以便你获得更详尽的信息。

2. 致电您的产品销售商（合同签约商），寻求技术支持。为了更快速的响应您的服务要

求和保证服务质量，您所在地的 SANGFOR的产品销售商配备有经过厂家认证的技术工

程师，会向您提供快捷的电话咨询、远程调试及必要的上门技术服务。

3. 在不紧急的情况下，您可以访问 SANGFOR的技术论坛，寻求技术问题的解决方案和

办法。

4. 致电 SANGFOR客服中心，确认最适合您的服务方式和服务提供方，客服中心会在您

的技术问题得到解决后，帮助您获得有效的服务信息和服务途径，以便您在后续的产品

使用和维护中最有效的享受技术支持服务，及时、有效的解决产品使用中的问题。

SANGFOR技术论坛：http://sangfor.360help.com.cn

公司网址：www.sangfor.com.cn

技术支持服务热线： 400-630-6430（手机、固话均可拨打）

邮箱：support@sangfor.com.cn

2

目录

技术支持说明.................................................................................................................................... 1

目录.....................................................................................................................................................2

声明.....................................................................................................................................................4

前言.....................................................................................................................................................5

第 1章 NGAF系列硬件设备的安装.............................................................................................. 6

1.1.环境要求.............................................................................................................................. 61.2.电源...................................................................................................................................... 61.3.产品接口说明...................................................................................................................... 61.4.配置与管理.......................................................................................................................... 71.5.设备接线方式...................................................................................................................... 8

第 2章 NGAF系列硬件设备的部署............................................................................................ 10

2.1.NGAF路由部署................................................................................................................ 102.1.1.NGAF路由模式介绍............................................................................................. 102.1.2.NGAF路由部署案例............................................................................................. 10

2.2.NGAF透明部署................................................................................................................ 192.2.1.NGAF透明部署介绍............................................................................................. 192.2.2.NGAF ACCESS环境部署案例............................................................................. 192.2.3.NGAF TRUNK环境部署案例.............................................................................. 27

2.3.虚拟网线............................................................................................................................ 342.3.1.NGAF虚拟网线部署介绍..................................................................................... 342.3.2.NGAF虚拟网线部署案例..................................................................................... 34

2.4.旁路镜像接口配置案例.................................................................................................... 422.4.1NGAF旁路镜像部署介绍...................................................................................... 422.4.2 NGAF旁路镜像部署案例..................................................................................... 42

2.5.混合部署............................................................................................................................ 482.5.1.NGAF混合部署介绍............................................................................................. 482.5.2.NGAF混合部署案例............................................................................................. 49

第 3章 NGAF基本功能配置........................................................................................................ 59

3.1. DOS/DDOS防护.............................................................................................................. 593.1.1.DOS/DDOS防护介绍............................................................................................ 593.1.2.DOS/DDOS防护配置案例....................................................................................59

3.2. IPS......................................................................................................................................633.2.1. IPS功能介绍......................................................................................................... 633.2.2. IPS典型配置案例................................................................................................. 64

3.3. WEB应用防护................................................................................................................. 673.3.1.WEB应用防护介绍............................................................................................... 673.3.2.WEB应用防护配置案例一 WAF.........................................................................673.3.3WEB应用防护配置案例二 数据防泄密..............................................................72

3.4网站防篡改应用案例........................................................................................................ 77

3

3.5 SSL VPN配置案例........................................................................................................... 853.5.1新建用户配置案例................................................................................................. 853.5.2 TCP应用配置案例.................................................................................................86

第 4章 密码安全风险提示............................................................................................................ 89

4.1 修改控制台登录密码....................................................................................................... 89

4

声明

Copyright © 2015 深圳市深信服电子科技有限公司及其许可者版权所有，保留一切权

利。

未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，

并不得以任何形式传播。

SANGFOR及 图标为深圳市深信服电子科技有限公司的商标。对于本手册出现的其

他公司的商标、产品标识和商品名称，由各自权利人拥有。

除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任

何明示或暗示的担保。

本手册内容如发生更改，恕不另行通知。

如需要获取最新手册，请联系深信服电子科技有限公司客户服务部。

5

前言

本手册仅介绍 NGAF设备安装部署的配置指导和最基本使用方法，如需要更详细配置

介绍，请查看随附光盘里的电子版用户手册或者登录深信服技术支持论坛下载详细电子版

用户手册。深信服技术支持论坛地址: http://sangfor.360help.com.cn，详细电子版用户手册在

[资料&文档]→[NGAF下一代应用防火墙]→[用户手册]。

本手册以深信服 NGAF 1320 为例进行说明。各型号产品硬件规格存在一定差异，

但是设备配置以及基本使用方法一致，本手册适用于所有型号的 NGAF 设备。

6

第 1章 NGAF系列硬件设备的安装

本部分主要介绍了 SANGFOR NGAF系列产品的硬件安装。硬件安装正确之后，您可

以进行配置和调试。

1.1.环境要求

NGAF系列硬件设备可在如下的环境下使用：

输入电压：110V~230V

温度：0～45℃

湿度：5～90％

为保证系统能长期稳定地运行，应保证电源有良好的接地措施、防尘措施、保持使用

环境的空气通畅和室温稳定。本产品符合关于环境保护方面的设计要求，产品的安放、使

用和报废应遵照国家相关法律、法规要求进行。

1.2.电源

SANGFOR NGAF系列硬件设备使用交流 110V到 230V电源。在您接通电源之前，请

保证您的电源有良好的接地措施。

1.3.产品接口说明

7

图 1 SANGFOR NGAF前面板图（以 NGAF 1320为例）

1.CONSOLE(控制)口 2.ETH1 3.ETH2 4.ETH3

5.ETH4 6.ETH5 7.MANAGE(管理)口

1.图片仅供参考，不同型号的产品外观请以实物为准。

2. CONSOLE口仅供开发和测试调试使用。最终用户需通过网口接入设备。

1.4.配置与管理

设备出厂的默认 IP见下表：

接口 IP地址

ETH0 10.251.251.251/24

NGAF设备支持安全的 HTTPS登录，使用的是 HTTPS协议的标准端口登录。

如何登录 NGAF设备控制台页面？

将电脑网卡与 NGAF设备 ETH0口接在同一个二层交换机或者直接将 ETH0口和电脑

网卡用网线连接，通过WEB界面来配置 SANGFOR NGAF设备。方法如下：

首先为本机器配置一个 10.251.251.X网段的 IP（如配置 10.251.251.100），然后在 IE浏

览器中输入网关的默认登陆 IP及端口 https://10.251.251.251。在出现一个如下图的安全提示：

8

点击是后出现以下的登录界面：

在登录框输入『用户名』和『密码』，点击登录按钮即可登录 NGAF设备进行配置，默

认情况下的用户名和密码为 admin/admin。

1.5.设备接线方式

在背板上连接电源线，打开电源开关，此时前面板的 Power灯（绿色，电源指示灯）

和 Alarm灯（红色，告警灯）会点亮。大约 1-2分钟后 Alarm灯熄灭，说明网关正常工作。

9

请用标准的 RJ-45以太网线将 ETH0口与内部局域网连接，对 NGAF设备进行配置。

设备正常工作时 POWER灯常亮，接线的数据接口 LINK灯长亮，NGAFT灯在有数

据流量时会不停闪烁。ALARM红色指示灯只在设备启动时因系统加载会长亮（约一分钟），

正常工作时熄灭。如果在安装时此红灯长亮，请将设备断电重启，重启之后若红灯一直长

亮不能熄灭，请与我们联系。

网口直接连接MODEM和交换机应使用直连线、连接路由器和电脑网口应使用交叉

线。当指示灯显示正常，但不能正常连接的时候，请检查连接线是否使用错误。直连网线

与交叉网线的区别在于网线两端的线序不同，如下图：

图 1 直连线、交叉线 线序

10

第 2章 NGAF系列硬件设备的部署

本部分主要介绍了 SANGFOR NGAF 系列产品的部署方式和配置方法。SANGFOR

NGAF硬件可以适应各复杂环境，根据常见应用场景可以将部署方式分为路由部署，透明

部署，虚拟网线，旁路镜像，混合部署。

2.1.NGAF路由部署

2.1.1.NGAF路由模式介绍

路由部署的典型应用环境是将 SANGFOR NGAF 设备以路由模式部署在公网出

口，代理内网上网，像一个路由器一样部署在网络中。外网口接 ADSL 拨号或者公网

线路，内网口接内网交换机。

2.1.2.NGAF路由部署案例

客户环境与需求：某用户网络是跨三层的环境，购买 NGAF设备打算部署在公网出口，

代理内网用户上网，公网线路是光纤接入固定分配 IP的。

11

配置方法：

第一步：首先将设备开机，用网线接设备的 MANAGE口（EHT0），将电脑网卡的 IP

配置成 10.251.251.253，界面如下：

12

第二步：打开 IE浏览器，输入 https://10.251.251.251，即可到登录界面，输入设备出厂

默认的账号密码 admin/admin，界面如下：

第三步：配置外网接口，通过『网络配置』→『接口/区域』→『物理接口』，点击需要

设置成外网接口的接口，本案例中设置 eth2为WAN口，并且设置好 IP地址信息，界面如

下：

13

接口[类型]选择路由

[基本属性]可以设置是否为WAN口和允许 PING。连接公网链路的接口需要勾选WAN

口。

[连接类型]包括静态 IP、DHCP、ADSL拨号三种，根据该线路的特征进行配置，如果

选择静态 IP，需要填写好 IP地址/掩码以及下一跳网关；如果该接口是 DHCP自动获得地

址，则设置 DHCP，勾选是否需要自动获得网关；如果线路是 ADSL拨号，则配置好拨号

所需的用户名、密码和其他拨号参数。

静态 IP地址可以填写成“IP/掩码 ”和“IP/掩码-HA”两种形式，后一种形式表示同

14

步网口配置时，不同步 IP地址，“IP/掩码-HA”的形式适用于 NGAF设备双机部署的环境。

本案例中外网接口连接的是静态 IP的光纤线路，所以选择静态 IP，并且配置 ISP提供

给该光纤线路的公网 IP地址和下一跳网关。

[线路带宽]设置公网链路的上下行带宽。点击 可以修改带宽单位。

[链路故障检测]用于检测链路的好坏。如果需要进行链路故障检测，则可以点击设置按

钮，设置检测方法，如下：

勾选[启用]，开启链路故障检测。

链路检测方法包括 DNS解析和 PING，如果选择 DNS解析则需要配置 DNS服务器和

解析域名，若开启 PING检测，则填写 PING检测 IP。同一个接口的 DNS链路检测方法，

DNS 解析和 PING 检测，只能选其一。本例中开启 PING 检测，通过 PING 目标 IP 为

202.96.137.23的地址来检测链路的好坏。

15

1. 接口的下一跳网关仅用于接口的链路检测和策略路由功能，设置了下一跳网关，

不会在设备上产生 0.0.0.0/0的缺省路由，需要手动设置默认路由。

2. 接口的线路带宽设置与流量管理的带宽设置没有关联，接口处的线路带宽设置用于

策略路由的调度。当外网多条公网出口的时候可以利用带宽进行选路，本案例不需要使用。

第四步：配置内网接口。选择空闲网口、点击接口名称进入配置页面，配置内网接口

接口类型为路由接口，WAN口类型为否、配置 IP地址等，本案例中使用 ETH1作为内网口，

界面如下图所示：

16

区域需要在接口设置前设置，本例将 ETH2划入外网区域，ETH1划入内网区域。

第五步：配置路由，需要配置一条到 0.0.0.0/0.0.0.0的默认路由指向前置网关 1.2.1.2。

同时因为本例内网接口接的跨三层的多个网段，需要添加到各网段的静态路由到三层交换

机，进入『网络配置』→『路由』→『静态路由』，配置界面如下：

第六步：配置代理内网上网，进入『防火墙』→『地址转换』，新增源地址转换规则，

界面如下:

17

第七步：放通防火墙规则，由于防火墙默认禁止所有数据。需要在『内容安全』→『应

用控制策略』，新增一条规则，放通内网区到外网区的数据。界面配置如下：

18

第八步：基本配置完毕后，将设备接入网络中，eth2口连接光纤，eth1口接内网三层

交换机。

19

1．设备工作在路由模式时，局域网内电脑的网关都是指向设备内网接口 IP或指

向三层交换机，三层交换机的网关再指向设备。上网数据由设备做 NAT或路由转发出去。

2．当设备有多个路由接口时，多个路由接口可以设置同网段的 IP地址，通过静态路

由决定数据从哪个网口转发。

3. 设备支持配置多个WAN口属性的路由接口连接多条外网线路，但是需要开通多条

线路的授权。

2.2.NGAF透明部署

2.2.1.NGAF透明部署介绍

当数据进出 NGAF设备的网口处于透明接口模式时，设备相当于透明模式部署，视为

一根带过滤功能的网线。一般在不方便更改原有网络拓扑结构的情况下启用，把设备接在

原有网关及内网用户之间，不要更改原有网关及内网用户的配置，对 NGAF设备进行一些

基本配置即可使用，透明模式的主要特点是对用户做到完全透明。透明接口分为 ACCESS

接口和 TRUNK接口。

2.2.2.NGAFACCESS环境部署案例

客户环境与需求：客户的网络拓扑如下所示，NGAF设备做透明模式，内网接三层交

换机，内网网段有 192.168.2.0/255.255.255.0、192.168.3.0/255.255.255.0两个网段。

20

第一步：首先将设备开机，用网线接设备的 MANAGE口（EHT0），将电脑网卡的 IP

配置成 10.251.251.253，界面如下：

21

第二步：打开 IE浏览器，输入 https://10.251.251.251，即可到登录界面，输入设备出厂

默认的账号密码 admin/admin，界面如下：

第三步：配置外网接口，通过『网络配置』→『接口/区域』→『物理接口』，点击需要

设置成外网接口的接口，本案例中设置 ETH2和 ETH1口为透明口，并且设置为 ACCESS

口，配置界面如下：

22

接口[类型]选择透明。

[区域]选择接口 eth2所属的区域。

[基本属性]可以设置是否为WAN口。 连接上行链路的接口需要勾选WAN口。

[连接类型]可以选择为 access或者 trunk。本案例中网口类型选择 access口。一般情况

下 access接口属于 VLAN1，可以不修改，也可以把设置成其他 VLAN，但设备的两个接口

必须在相同 VLAN。

[高级配置]用来设置网口的工作模式，MTU，MAC地址，如果需要修改，点击设置，

界面如下：

23

区域需要在接口设置前设置，本例将 ETH2划入外网区域，ETH1划入内网区域。

第四步：设置 VLAN接口，为 VLAN接口设置 IP地址，则可以通过 VLAN接口的 IP

地址登陆设备控制台做管理，本案例中设置 VLAN接口 IP地址为 192.168.1.2/24，进入『网

络配置』→『接口/区域』→『VLAN接口』设置界面如下：

24

第五步：『网络配置』→『路由』→『静态路由』，添加 NGAF设备上网的默认路由，

同时添加到达内网的静态路由，界面如下：

25

第六步：放通防火墙规则，由于防火墙默认禁止所有数据。需要在『内容安全』→『应

用控制策略』，新增一条规则，放通内网区到外网区的数据。界面配置如下：

26

第七步：基本配置完毕后，将设备接入网络中，eth2口连接前置路由器，eth1口接内

网三层交换机。

27

2.2.3.NGAFTRUNK环境部署案例

客户环境与需求：

客户网络拓扑如下所示，设备透明模式部署，内网交换机划分了 VLAN但没有启用路

由功能，前置路由器做各个 VLAN 的网关。内网网段有 192.168.2.0/255.255.255.0、

192.168.3.0/255.255.255.0两个网段，分别属于 VLAN2和 VLAN3，交换机和路由器之间跑

trunk 协议。需要将 NGAF设备透明部署到路由器和交换机中间。

第一步：首先将设备开机，用网线接设备的 MANAGE口（EHT0），将电脑网卡的 IP

配置成 10.251.251.253，界面如下：

28

第二步：打开 IE浏览器，输入 https://10.251.251.251，即可到登录界面，输入设备出厂

默认的账号密码 admin/admin，界面如下：

第三步：配置外网接口，通过『网络配置』→『接口/区域』→『物理接口』，点击需要

设置成外网接口的接口，本案例中设置 eth2和 ETH1口为透明口，并且设置为 TRUNK口，

配置界面如下：

29

30

区域需要在接口设置前设置，本例将 ETH2划入外网区域，ETH1划入内网区域。

第四步：设置 VLAN 接口，为 VLAN 接口设置 IP 地址，则可以通过 VLAN 接口

的 IP地址登陆设备控制台做管理，本案例中设置需要设置两个接口 IP，一个是 VLAN2，

另外一个是 VLAN3，分别设置两个 IP 地址，内网网段的用户分别通过两个 IP 地址管

理设备。进入『网络配置』→『接口/区域』→『VLAN 接口』设置界面如下：

31

32

第五步：放通防火墙规则，由于防火墙默认禁止所有数据。需要在『内容安全』→『应

用控制策略』，新增一条规则，放通内网区到外网区的数据。界面配置如下：

33

第六步：基本配置完毕后，将设备接入网络中，eth2口连接前置路由器，eth1口接内

网三层交换机。

34

2.3.虚拟网线

2.3.1.NGAF虚拟网线部署介绍

虚拟网线部署与透明部署类似，但是应用场景有所不同。虚拟网线主要应用于多

网桥的情况下。当客户需要利用多网桥来部署 NGAF 设备，建议使用虚拟网线，而不

用透明部署。主要是由于多网桥下容易出现 MAC 表错乱问题，虚拟网线设置后，不需

要查找 MAC 表，数据从一个口进来，直接从虚拟网线设置的另外一个口转发。

2.3.2.NGAF虚拟网线部署案例

客户环境与需求：某客户网络环境如下图所示，出口为两台路由器，内网两个三层交

换机，两个三层交换机中间跑 VRRP协议。客户希望透明部署 NGAF设备，不更改原来的

上网方式。该环境下需要使用虚拟网线来部署，使用透明模式会出现问题。

35

配置方法：两台 NGAF 设备配置方法一样，以其中一台为例讲解配置步骤。

第一步：首先将设备开机，用网线接设备的 MANAGE口（EHT0），将电脑网卡的 IP

配置成 10.251.251.253，界面如下：

36

第二步：打开 IE浏览器，输入 https://10.251.251.251，即可到登录界面，输入设备出厂

默认的账号密码 admin/admin，界面如下：

第三步：配置外网接口，通过『网络配置』→『接口/区域』，点击需要设置成外网接口

的接口，本案例中将 ETH3和 ETH1设置成一对虚拟网线，ETH2和 ETH4设置的一对虚拟

网线，下面以 ETH4和 ETH2截图说明设置方法，设置界面如下：

37

38

区域需要在接口设置前设置，本案例中需要将 ETH2和 ETH3定义成一个区域

（外网区），ETH1和 ETH4定义成另外一个区域（内网区）。

第四步：设置虚拟网线，进入『网络配置』→『接口/区域』→『区域』，点击新增，选

择 ETH1和 ETH3作为一组虚拟网线，ETH2和 ETH4作为一组虚拟网线，以 ETH1和 ETH3

为例，设置界面如下：

39

第五步：设置接口联动，本案例中需要设置接口联动，也就是当 ETH1网口 DOWN掉

后，ETH3也 DOWN掉。本案例中需要新建两组接口联动，分别为 ETH1和 ETH3，ETH2

40

和 ETH4，进入『网络配置』→『接口/区域』→『接口联动』，点击新增，界面设置如下：

第六步：放通防火墙规则，由于防火墙默认禁止所有数据，需要在『内容安全』→『应

用控制策略』，新增一条规则，放通内网区到外网区的数据。界面配置如下：

41

第七步：配置管理接口。虚拟网线情况下可以用 ETH0管理口做管理，也可以从空闲

的网口中设置一个接口 IP地址，设置静态路由，将空闲接口接到内网交换机，从内网进行

管理。

42

第八步：将设备 ETH3和 ETH1作为一个网桥分别接到路由器和交换机，将 ETH2和

ETH4作为另外一个网桥分别接到路由器和交换机。

1.管理口不支持设置成虚拟网线接口，如果要设置 2对或者 2对以上虚拟网线，要求

设备不少于 5个接口，除了配置成虚拟网线接口，还必须预留一个专门的管理口（ETH0）。

2.管理口（ETH0）不允许修改 IP地址。

2.4.旁路镜像接口配置案例

2.4.1NGAF旁路镜像部署介绍

旁路模式：实现防护功能的同时，可以完全不需改变用户的网络环境，并且可以避免

设备对用户网络造成中断的风险。用于把设备接在交换机的镜像口或者接在 HUB上，保证

外网用户访问服务器的数据经过此交换机或者 HUB，并且设置镜像口的时候需要同时镜像

上下行的数据，从而实现对服务器的保护。

2.4.2 NGAF旁路镜像部署案例

客户环境与需求：某客户的网络拓扑如下所示，NGAF设备旁路部署，内网接三层交

换机，用户网段为 192.168.2.0/24，服务器网段为 172.16.1.0/24，客户希望 NGAF能够对服

务器进行 IPS防护、WEB应用防护以及防止敏感信息的泄露。

43

第一步：首先将设备开机，用网线接设备的 MANAGE口（EHT0），将电脑网卡的 IP

配置成 10.251.251.253，界面如下：

44

第二步：打开 IE浏览器，输入 https://10.251.251.251，即可到登录界面，输入设备出厂

默认的账号密码 admin/admin，界面如下：

第三步：配置管理口，旁路部署时，设备通过管理口来阻断连接。通过『网络配置』

→『接口/区域』→『物理接口』，点击 eth0，配置页面如图：

45

第四步：配置旁路镜像口，通过『网络配置』→『接口/区域』→『物理接口』，点击

eth1，配置页面如图：

46

接口[类型]选择旁路镜像。

[区域]选择接口 eth1所属的区域，区域需要提前设置。

[高级配置]用来设置网口的工作模式，MTU，MAC地址，如果需要修改，点击设置，

界面如下：

47

第五步：配置路由，需要配置一条到0.0.0.0/0.0.0.0的默认路由指向前置网关192.168.1.1。

进入『网络配置』→『路由』→『静态路由』，配置界面如下：

第六步：配置防护规则。以配置 IPS规则为例，讲解旁路模式下，如何设置 IPS规则。

通过『IPS』→『IPS』，新增 IPS规则，配置界面如图：

48

旁路模式下，源区域和目的区域都要选择旁路接口所在的区域，目的 IP组选择服务

器网段所在的 IP组即可。

第七步：基本配置完毕后，将设备接入网络中，eth1口连接三层交换机的镜像口，eth0

口接内网三层交换机的 VLAN99范围内的接口即可。

2.5.混合部署

2.5.1.NGAF混合部署介绍

混合部署是指 NGAF 设备同时存在路由接口，透明接口或者虚拟网线接口的情况。

根据不同的客户需求，可以采用不同的部署方式来实现。下面介绍混合部署的应用场

49

景。

2.5.2.NGAF混合部署案例

客户环境与需求：某客户内网有大量服务器群需要提供用户通过公网访问，并且每个

服务器均分配公网地址。在公网出口部署 NGAF设备，实现用户能够直接通过公网地址访

问服务器群，不希望通过端口映射的方式发布服务器，且能实现 NGAF设备代理内网的内

网上公网。客户网络拓扑如下所示：

配置说明：此案例中用户需要通过服务器的公网 IP访问到服务器，则可以把 NGAF设

备连接公网的 eht2口和连接局域网内服务器群的 eth1口设置成透明 access接口，且属于同

一个 VLAN。设置 VLAN接口，且给 VLAN接口配置公网地址。连接内网的 eth3口设置成

路由口，内网用户上公网时转换源 IP地址成 VLAN接口的公网地址，则可实现客户的需求。

配置方法：

第一步：首先将设备开机，用网线接设备的 MANAGE口（EHT0），将电脑网卡的 IP

配置成 10.251.251.253，界面如下：

50

第二步：打开 IE浏览器，输入 https://10.251.251.251，即可到登录界面，输入设备出厂

默认的账号密码 admin/admin，界面如下：

第三步：设置外网接口 eth2。通过『网络配置』→『接口/区域』→『物理接口』，点击

eth2，进行如下设置：

51

第四步：设置内网接口 eth1。通过『网络配置』→『接口/区域』→『物理接口』，点击

eth1，进行如下设置：

52

第五步：设置内网接口 eth3。通过『网络配置』→『接口/区域』→『物理接口』，点击

eth3，进行如下设置页面：

53

第六步：设置 VLAN接口。通过『网络配置』→『接口/区域』→『VLAN接口』，点

击新增，进行如下设置页面：

54

第七步：配置静态路由，本案例中需要在『网络配置』→『路由』→『静态路由』→

『IPv4』添加设备的默认路由及数据回包路由，界面设置如下：

55

第八步：配置区域，进入『网络配置』→『接口/区域』→『区域』，本案例中可以定义

四个区域。界面如下：

第九步：配置代理上网，本案例中需要添加 192.168.2.0/24网段的用户上网。进入『防

火墙』→『地址转换』→『IPv4地址转换』，点击新增，设置界面如下：

56

第十步：放通防火墙规则，由于防火墙默认禁止所有数据，需要在『内容安全』→『应

用控制策略』，新增一条规则，放通需要放行的数据。本案例中需要放行三层区域 LAN到

三层区域WAN的数据，二层区域WAN-二层区域 DMZ的数据。界面配置如下：

57

58

第十一步：以上步骤设置完毕，则可以将设备接 ETH2口接外网线路，ETH1接服务器

区，ETH3接内网。

59

第 3章 NGAF基本功能配置

3.1. DOS/DDOS防护

3.1.1.DOS/DDOS防护介绍

DOS攻击/DDOS攻击（拒绝服务攻击/分布式拒绝服务攻击），通常是以消耗服务器端

资源、迫使服务停止响应为目标，通过伪造超过服务器处理能力的请求数据造成服务器响

应阻塞，从而使正常的用户请求得不到应答，以实现其攻击目的。SANGFOR 设备的防 DOS

攻击功能分成外网防护和内网防护两个部分，既可以防止外网对内网的 DOS攻击，也可以

阻止内网的机器中毒或使用攻击工具发起的 DOS攻击。

3.1.2.DOS/DDOS防护配置案例

某客户拓扑如下，内网有服务器网段 172.16.1.0/24，内网用户为 192.168.1.0/24网段。

之前有出现过服务器受到洪水攻击，导致应用中断的情况。客户希望通过 DOS/DDOS防护

设置来保护内网服务器以及内网用户，内网用户中毒发送过高的会话和数据也需要将其中

断，以保证网络的稳定性。

60

第一步：在设置 DOS攻击防护之前，首先必须定义好区域，首先要在『网络配置』

→『接口/区域』定义好接口所属的【区域】。『对象定义』→『IP组』定义好内网服务器所

属的【IP组】。此案例中将需要将 ETH2定义为[内网区]。ETH1定义为[外网区]。172.16.1.10/24

定义为[服务器组]

第二步：『防火墙』→『DOS/DDOS防护』→『外网防护』，进入外网防护设置页面。

设置源区域为[外网区]，勾选 ARP洪水攻击防护，设置扫描防护。页面如下：

61

第三步：DOS/DDOS攻击防护类型，点击请选择防护类型进入攻击防护设置界面。选

择目的服务器为[服务器组]，勾选下面的攻击检测，点击确定即可。页面如下：

62

第四步：勾选检测攻击后操作[记录日志]和[阻断]，[基于数据包攻击]和[异常报文侦测]

不勾选。点击提交保存配置即可。页面如下：

63

第五步：『防火墙』→『DOS/DDOS防护』→『内网防护』，进入内网防护设置界面。

选择源区域为[内网区]，选择仅允许内网服务器段和内网用户从源区域穿透设备。由于此处

有三层交换机，所以选择[内部网络到本机通过三层交换机]。将服务器网段添加到排除列表。

点击保存即可。页面如下：

3.2. IPS

3.2.1. IPS功能介绍

入侵防御系统（Intrusion Prevention System）依靠对数据包的检测来发现对内网系统的

潜在威胁。IPS将检查入网的数据包，确定这种数据包的真正用途，然后根据用户配置决定

64

是否允许这种数据包进入目标区域网络。

3.2.2. IPS典型配置案例

某客户拓扑如下，防火墙路由模式部署。内网服务器区与用户区通过分别位于防火墙

两个不同的接口。客户希望利用 IPS功能即保护服务器，又保护客户端。

第一步：首先要在『网络配置』->『接口/区域』，将防火墙三个接口划分到不同区域。

本案例中，将 ETH1定义成外网区，ETH2定义成 DMZ区，ETH3口定义成内网区。『对象

定义』->『IP组』将 172.16.1.0/24定义成服务器组，192.16.1.0/24定义成内网用户，界面如

下：

65

第二步：设置服务器保护。进入 IPS设置，点击新增，设置好规则名称。源区域选择

外网区，目的区域选择 DMZ区，目的 IP选择服务器组，勾选[保护服务器]，并且选择相应

规则。保护客户端不勾选。点击提交，保存即可。界面如下：

第三步：设置客户端保护。进入 IPS设置，点击新增，设置好规则名称。源区域选择

66

内网区，目的区域选择外网区，目的 IP选择全部，勾选[保护客户端]，并且选择相应的客

户端漏洞。点击提交，保存规则即可。界面如下：

1.由于攻击服务器和客户端使用的攻击手段不同，所以设置保护客户端与保护服

务器的客户端漏洞和服务器漏洞规则也是不同的。

2.一般情况下保护服务器源区域需要选择外网接口所属区域，目的区域选择内网接口所

属区域。保护客户端源区域选择内网接口所属区域，目的选择外网接口所属区域。

67

3.3. WEB应用防护

3.3.1.WEB应用防护介绍

WEB 应用防护主要用于保护内网的 WEB 服务器免受各种攻击。是专门针对客户

内网的 WEB 服务器设计的防攻击策略，可以防止 OS 命令注入、SQL 注入、XSS 攻击

等各种针对 WEB 应用的攻击行为。

3.3.2.WEB应用防护配置案例一 WAF

某客户拓扑如下，SANGFOR 防火墙路由模式部署在网络出口，客户希望针对内网的

WEB服务器群进行保护。包括针对WEB服务器的 server字段和 VIA字段隐藏，OS命令

注入防护，SQL命令注入防护，XSS命令注入防护，CSRF命令注入防护，

http://www.***.com/view/* 此类含有 view的 URL全部允许，不需要进行防护，除此之外的

其余 URL都需要进行防护。客户内网服务器提供服务的端口包括WEB 80和 FTP 21 。

68

第一步：在设置策略之前，需要在『网络配置』→『接口/区域』定义好接口所属的【区

域】。『对象定义』→『IP组』定义好服务器所属的【IP组】。此案例中将需要将 ETH2定义

为[内网区]。ETH1定义为[外网区]。172.16.1.0/24定义为[服务器组] 。如图：

第二步：进入WEB应用防护界面，单击新增，填写规则名称。此案例中，服务器在内

网区，所以要防护攻击，源区域应该是外网。此处选择源区域为[外网区]。页面如下：

第三步：此案例中，需要选择目的区域为[内网区]，目的 IP为[服务器组]，端口设置为

WEB 80和 FTP 21。其余端口默认即可。页面如下：

第四步：设置服务器的防护类型，勾选所有的防护类型，页面如下：

69

第五步：设置应用隐藏，该用户要求针对 FTP服务器隐藏版本信息，针对 HTTP服务

器隐藏 server字段，则设置如下图，点击确定保存即可：

70

第六步：勾选 URL防护，点击设置，将 view设置为允许，不进行检测。页面如下：

第七步：设置 HTTP异常检测和缓冲区溢出检测，缓冲区溢出检测启用 URL溢出和 Post

实体溢出检测，点击确定保存即可：

71

72

第八步：勾选检测攻击后动作为“拒绝”并记录日志。然后点击提交保存规则，页面

如下：

3.3.3WEB应用防护配置案例二 数据防泄密

某企业客户路由模式部署 SANGFOR NGAF于网络出口处，内网部署了WEB服务器

73

群，服务器上存有企业客户的数据供用户查询个人信息，但客户希望针对WEB服务器群上

的数据进行保护，防止用户查询到非本人的信息。客户认为查询数据里不可能同时出现银

行卡号、手机号、身份证号信息，如果同时出现这些信息则属于异常；第二，客户不允许

放行从服务器上下载.doc .xls文件。

第一步：在设置策略之前，需要在『网络配置』→『接口/区域』定义好接口所属的【区

域】。『对象定义』→『IP组』定义好服务器所属的【IP组】。此案例中将需要将 ETH2定义

为[内网区]。ETH1定义为[外网区]。172.16.1.0/24定义为[服务器组] 。如图：

74

第二步：进入WEB应用防护界面，单击新增，填写规则名称。此案例中，服务器在内

网区，所以源区域应该是外网。此处选择源区域为[外网区]，目的区域为[内网区]，目的 IP

为[服务器组]，端口设置为WEB 80。其余端口默认即可。页面如下：

第三步：设置敏感信息防护策略，当查询数据里同时出现银行卡号、手机号、身份证

号信息时就算一次命中，只要命中一次就算数据泄密，页面如下：

75

76

第四步：设置文件下载过滤，不允许从服务器上下载.doc和.xls结尾的文档，页面如下：

77

第五步：勾选检测攻击后动作为“拒绝”并记录日志。然后点击提交保存规则，页面

如下：

3.4网站防篡改应用案例

某用户拓扑如下，NGAF路由模式部署。内网有两个网站服务器，用户需求如下：

78

1.NGAF设备对网站服务器进行防护，发生非法篡改，则禁止外网用户访问被篡改的网

页，返回用户端提示页面。

2.网站 1和网站 2分别给两个管理员维护（管理员 1与管理员 2），例如网站 1的管理

员更新了网站 1，则由管理员 1登录防篡改管理系统更新本地缓存。

3.网站 1发生篡改，则发送邮件告警(test1@doamin.com)和短信告警(13800138000)通知

管理员 1。邮件服务器使用 administrator@domain.com邮箱的 SMTP信息。

4.网站 2发生篡改，则发送邮件告警(test2@domain.com)和短信告警(13800138001)通知

管理员 2。邮件服务器使用 administrator@domain.com邮箱的 SMTP信息。

第一步：基础网络配置。配置好接口 IP地址，区域等信息将设备部署上架。

第二步：『服务器保护』→『网站篡改防护』，勾选“启用防篡改功能”，点击网站管理

员，新建两个网站管理员账号，页面如下：

79

第三步：『系统』→『邮件服务器』，设置好 SMTP服务器信息，页面如下：

80

第四步：『服务器保护』→『网站篡改防护』，点击新增，新建两个防护策略分别针对

网站 1和网站 2，页面如下：

81

82

83

第五步：管理员 1与管理员 2可以分别通过 https://设备 IP:8000登录设备进行管理。登

录后界面如下：

84

配置完成。发生篡改后，用户端看到的页面如下：

1.该案例中还不需要将一张GSM的SIM卡插入短信猫并且将短信猫接到设备的

USB口才可实现发送短信功能。

2.如果仅仅是图片发生篡改，勾选了 ，则 AF设备可以还原正

常的缓存图片给客户端。

3.点击 ，则可以排除 AF设备对该页面的防篡改检测。界面如下：

85

3.5 SSLVPN配置案例

3.5.1新建用户配置案例

案例目标 1：建立一个采用用户名密码认证的 SSL VPN用户，用户名为 ww，密码为

123，并启用硬件特征码认证。

配置步骤如下：

第一步：进入『 VPN』→『SSL VPN』→『用户管理』页面，点击新建按钮，新增用

户，界面如下图所示：

86

第二步：在用户信息编辑页面，设置用户的账号和密码。本例中用户名为 ww，密码为

123，并勾选[辅助认证]→[硬件特征码]，如下图所示：

设置好之后，点击保存按钮，就可以用这个账号登录 SSLVPN了。

3.5.2 TCP应用配置案例

案例背景：某客户有以下几个服务需加入资源中以便让公司成员通过 SSL访问。客户

希望登录 SSL后，可以直接登录 OA系统正常办公。打开财务结算软件后，可以连接服务

器并正常使用。

87

1、http://192.168.1.10 OA系统，公司办公的主要平台。

2、财务结算系统 192.168.1.15 端口 4003 一个财务软件，用于公司的报销、薪

资发放等应用。

解决方案：这两个应用均可以使用 TCP应用实现。

配置步骤如下：

第一步：进入『VPN』→『SSLVPN』→『资源管理』页面，新建一个 TCP应用，添

加 OA系统。点击新建按钮，选择『TCP应用』，进行如下图设置：

第二步：进入『VPN』→『SSLVPN』→『资源管理』页面页面，新建一个 TCP应用，

添加财务系统。点击新建按钮，选择『TCP应用』，进行如下图设置：

88

其中，类型选择 Other，同时端口范围填 4003。

第三步：进入『VPN』→『SSLVPN』→『角色授权』页面，新建角色，将用户 sangfor

与这两个资源关联起来。有关用户、角色的配置此处不再赘述。

第四步：配置完成后，使用 sangfor账号登录 SSL，效果如下图所示：

OA系统直接点击即可访问；财务系统在配置财务系统资源时添加了“应用程序路径”，可以

直接点击即可访问，若在配置财务系统资源时未添加“应用程序路径”，需手动启动应用程序。

89

第 4章 密码安全风险提示

为了防止其他无关人员或恶意攻击者通过默认账号密码登录和更改设备配置，请

修改 NGAF 设备登录的默认密码。SANGFOR NGAF 设备有三类密码：

1. NGAF 控制台登录密码

2. NGAF 内置数据中心登录密码

3. SANGFOR 设备升级系统的登录密码

其中 NGAF 内置数据中心的登录密码、SANGFOR 设备升级系统的登录密

码与控制台的登录密码一致，修改了控制台的登录密码，即同时修改了数据中心的登

录密码和 SANGFOR 设备升级系统的登录密码。

4.1 修改控制台登录密码

通过【系统】-【管理员账号】修改控制台登录密码，方法如下：

点击用户名“admin”，出现如下页面：

90

输入旧密码和新密码，点击提交，保存和生效配置。

1. 如果有多个网络管理员需要登录设备，请给每位管理员设置登录账号，超级

管理员 admin的密码请勿广泛流传。

2.修改了控制台 admin的密码后，SANGFOR设备升级系统的登录密码也会做相应的

修改。