下一代防火墙主要参数有哪些?
sangfor_waf
sangfor_waf的主要功能有参数注入防护、越权访问防护、上传文件检测、http字段检测、敏感信息泄露防护及配置安全设置
代理http所有流量,ssh不阻拦
网络
接口
eth0只能为路由口不能更换接口模式,保留地址10.251.251.251/24不能删除
vlan子接口:用于对接路由口且配置了vlan trunk,子接口不支持ipv6
vlan接口不支持ipv6
聚合口不支持ipv6
gre接口,源接口为实际公网ip,ip地址为隧道ip
接口联动可以添加多接口,-ha口不支持联动
任何接口ip不能配置为1.1.1.0/24
端口聚合
负载模式
负载均衡--hash:按数据包源目的ip/mac的hash值均分
负载均衡--rr:直接按数据包轮转均分到每个接口(轮流转发)
主备模式--取eth端口号最大端口为主接口收发数据,其余为备接口
聚合协议
不支持动态聚合协议、只支持静态聚合,聚合链路两端设备的聚合协议要保持一致
虚拟网线
支持聚合口
成对出现,不发送arp,不查询mac地址表,防止mac表老化导致的cam表混乱
ipv6
支持源ip策略路由
不支持依据应用选路
不支持多线路负载
807
需要启用ipv4和ipv6双栈--需要重启设备
nat64地址转换
• 807支持ipv6到ipv6的nat
• 807支持外网ipv6内网ipv4的端口映射
• nat64为双向地址转换,即源目ip都会进行转换
dns64
• 将dnsv4查询合成为dnsv6
ips/waf/僵尸网络
• 攻击日志的源目ip均为转换后的ipv4,即先进行nat6-4再进行防护
• 无法溯源
注意
• 不支持解决天窗
• 不支持slaac无状态地址自配置协议
• 不支持哈希方式端口聚合
• 不支持子接口
• 不支持udp大包46转换
• 不支持alg
• 只支持匹配规则,无法匹配行为类规则
• 不支持运行状态展示
• 不支持ipv6双机心跳
• 支持vlan和聚合
wan属性
作用
1、af所有版本没有wan属性流控,流量审计将会失效
2、从af6.8版本开始没有wan属性,vpn服务起不来
3、从af7.1版本开始策略路由不需要wan属性,之前版本策略路由需要接口有wan属性
4、做目的地址转换数据需要源进源出(通过某个公网ip来访问服务器还是通过那个公网ip回包),双向地址转换,需要wan属性
5、应用流量排行
支持接口模式
7.1之前,af支持勾选 wan口属性的接口有路由口,透明口,聚合接口,虚拟网线接口
7.2开始,子接口可以勾选wan属性,作为wan口使用
wan口入站路由转发
无法进行除虚拟服务、dns、源地址转换、端口映射、远程登录、匹配智能路由或静态路由之外的数据传输
与ipsec vpn出口线路匹配
如af配置vpn,那么外网接口的一定要勾选“与ipsec vpn出口线路匹配”,不然vpn服务启动不成功
管理口
eth0为manage口只能做路由接口,默认的管理ip 10.251.251.251/24无法删除
管理口不可作为监视端口
af809
管理对端ip地址指的是当下面的[管理口访问控制]是开启的情况下,那么pc机必须配置这个地址才能管理设备
809开始允许修改默认管理口ip
vlan0
1.1.1.1用于重定向页面,隐藏af源ip
1.1.1.1也用于隐藏内部的1.1.1.2,两个ip配套使用
arp代理
af内网接口与直连服务器不在同一网段,保证路由可达服务器,如af内网口配私有ip,直连服务器直接配公网ip
arp代理功能即是让ngaf设备代理响应arp请求,达到保护内网主机的目的使用arp代理功能时,ngaf设备的连接被arp代理服务器的接口必须是路由口,任意配置一个与其他网段不冲突的ip地址
路由
策略路由
vlan接口、子接口不支持策略路由
多线路策略路由支持链路捆绑
ip rule //查看策略路由表页
ip route show table //以vpn路由表为例
af路由表分类
1、系统路由表(自带三张表)
• 255--local
• 254--main
• 253--default
2、策略路由表 id == 1-237
• 策略路由页面生成
3、vpn路由表 id == 240-249
• 240--ipsec vpn
• 242、241-- sangfor vpn(隧道间路由)
• 245-248 sangfor vpn 多线路
• 239 -- ssl vpn
临时表 id -- 238
优先级
• local(0)-vpn(239、240、241)-临时表(300)-策略路由表(10000)-main表(32766)
• vpn》静态路由/直连路由》动态路由》策略路由》默认路由
ip route get x.x.x.x //查看到达某地址匹配的路由条目
非对称数据转发
af近支持trunk、access透明部署,路由模式不支持
不支持开启双机热备,需配置基本信息和配置同步、双机热备
需新增2对口,1个ha,1个同步口
将除数据同步口和ha口外所有业务口添加到接口联动中
暂不支持父子链接、ip不一致场景
809仅支持单ha,存在单点故障
af单节点不要超过单台af性能指标一半以上
数据同步口速率不低于业务口速率
二次穿透部署
场景:tcp单向数据多次穿越af,对二次流量进行直通
限制:中间设备有nat场景,af不能配置二次穿透
建议:二次穿透的入接口应部署于2层环境,如部署与3层则会丢失nat安全策略路由功能
镜像口于业务口流量二次穿透场景,目的均为镜像口,源目ip分别建立一条策略
配置案例
1
2
snmp
snmp开启
开启snmp功能,方便远程管理设备状态、接口状态
snmp trap
主动发送snmp trap信息
光口bypas
不支持光口 bypass 与双机热备同时启用
reset
af自身发起的reset报文,806版本之前,ip.id是0x5826。806及以后版本,ip.id是0x7051。
安全防护
waf
ips
dos
僵尸网络
实施漏洞分析
实时漏洞分析的工作原理是:被动分析服务器回复的数据包判断是否有漏洞
arp欺骗防御
广播网关mac
拒绝arp欺骗广播包
邮件安全
支持pop3/smtp协议
收邮件不进行拦截,会给出提示
发邮件会拦截,会给出提示
蜜罐重定向
真实pc af日志看不到访问的域名
af日志也看不到 dns解析记录请求的源ip
acl
域名acl控制--网络参数--应用控制支持域名
acl配置中域名查询方式配置为主动
不支持bbc下发
snat,先匹配【内容安全】-【内容安全策略】,再匹配【防火墙】-【地址转换】里面的源地址转换
dnat,先过【防火墙】-【地址转换】里面的目的地址转换,再匹配【内容安全】-【内容安全策略】
save杀毒
支持文档类: doc、docx、pdf、ppt、pptx、ps1、rtf、xls、xlsx等
支持脚本类: bat、cmd、com、exe、pe、elf、bin、perl、pl、plx等
8.0.13:云网端联动
模块
云:云脑--云镜
网:af
端:edr
动作
处置:af向edr下发任务经云端情报威胁查杀后,实现病毒隔离、后续问题自动处置
取证:将af发现的恶意域名访问下发给edr、edr联动云镜
云端交付:mgr云端交付,本地免部署,接入云图实现云网端功能
nta网络流量分析(network traffic analysis)
af巡检
af6.7及以上版本巡检脚本使用方法.doc
直通
开启直通策略还是会生效,只是数据包被直通功能打上不丢包的标签让数据包通过af。所以才会有开启直通之后,数据中心还能记录日志,【运行状态】--【封锁攻击者ip】中还是能看到有拦截日志
二层直通
类似ac的搬包测试
双机互备不建议开启
仅在透明和虚拟网线模式下生效、路由模式不生效
开启二层直通相当于二层交换机,数据直接转发、不进功能策略处理
直通
直通不生效或无效的模块
地址转换(nat)
dos/ddos防护(wdos)中基于数据包攻击和异常包检测
流量审计(ip流量排行、用户流量排行、应用流量排行)
连接数控制
开启直通后所有策略还会检测只是不拦截
syslog日志
udp 514
高可用
同步角色一致时
ha ip较大的为主控
最后一次修改同步角色的设备为主控
集中管控
sc:需要主控和主机同时加入sc,否则提示离线
特性
支持ospf双机场景下的路由同步,保证双机切换后网络快速收敛
添加监视端口后af新增虚拟端口mac
虚拟mac构成:vrrp mac(00-00-5e)+接口序号+vrid,比如:vrid为101,eth1口的虚拟mac就是:00-00-5e-00-01-65,eth2口的虚拟mac就是:00-00-5e-00-02-65,65的十进制就是101。
注意
备机可以不勾选配置同步的自动同步
未加入网口监视的网口将不受双机状态控制,即使是备机也会响应数据,备机可以单独配置-ha的端口用于备机管理
尽量避开bypass组接口
交换机链接设备的接口stp需开启portfast
优先使用聚合[主备]进行ha,聚合口网卡类型需一致
默认情况下不能开启抢占,开启此功能联系专家评估[网络风险,也可以自己评估]
为避免频繁双机切换,当链路检测失效双机将每5分钟进行一次双机切换
强强检测/强弱检测
强强检测:主备均开启接口检测链路检测
强弱检测:主机开启接口链路检测 备机:开启接口检测,链路不监测
807支持接入bbc
支持版本
bbc2.5.2
bbc2.5.3
默认端口5000
特性
(a)支持中心端通过模板下发配置给分支端,并对分支端配置进行管理;
(b)支持中心端通过离线导入或在线更新的方式升级分支af设备;
(c)支持中心端对分支端12种库进行升级;
(d)支持中心端统一下发管理安全规则库及自定义规则库:
(e)支持分支端总览信息、业务安全信息、用户安全信息等上报展示;
(f)支持中心端统一设置告警信息,并支持分支端告警信息上报预警;
(g)支持双机、多机接入bbc集中管控场景;
(h)支持15个内置区域。
适用场景
上架场景
安全策略模板下发
vpn由bbc下发
运维场景
版本、定制、sp升级
• a)支持通过离线导入的方式对发布的版本/定制的ssu包,以及sp包,对指定的设备进行升级
• b)支持通过在线更新的方式对bbc平台内镜像af版本的sp包,对指定的设备进行升级(ssu包不支持在线升级bbc平台af镜像)
规则库升级
• a)支持通过离线导入的方式对bbc内置版本镜像进行规则库升级
• b)支持通过bbc平台对分支端进行规则库升级
自定义规则库
• 支持通过bbc端下发自定义ips和waf规则库,下发到本地后置灰显示且无法编辑
接入变化
自动下发15个区域:方便下发策略,只能引用接口不能删除此区域
配置下发
导入全量包
bbc统一下发策略需依赖全量包
新增策略模板
配置模板配置
下发策略(下发策略不允许编辑删除)
升级下发
上次升级包到bbc
新建升级任务,指定时间自动升级
如勾“优先从公网服务器下载升级包”,优先从gcs下载,如无对应包,再从bbc平台下载
规则库更新
bbc更新规则库
af能联网则自己更新规则库
af不能联网,从bbc下载
易部署
通过邮件下发配置到客户端
wan、lan、管理员用户名和密码、管理员邮件地址
bbc需配置邮件服务器
易部署链接为一次性链接
双机接入bbs
无vrrp无主机仅同步配置,双机接入
主备,主机接入备机同步
主主,两机器均可接入
sd-wan
【剩余带宽比例负载】会优先匹配“流量管理”-“虚拟线路配置”里设置的线路带宽。如未开启流控,则会匹配接口上配置的“线路带宽”
【剩余带宽比例负载】所选择的线路只能是配置在物理接口上的线路,不支持虚拟接口的线路,如vlan接口。其它功能无此要求
sd-wan选路只支持tcp、udp、icmp这三种协议,其他协议不支持
autu-vpn
序列号
网关序列号:功能同之前版本一致,不过没有了移动用户数。原因是af8.0.7版本开始,不支持pdlan用户的接入;
sslvpn:功能同之前版本一致,从之前的“功能模块序列号”移入“基础网络序列号”中;
ipsec vpn模块:只是af500型号的设备,默认未开启此模块,需要在此外单独开通,其它型号的均默认开通。
基础功能开通:默认开启,可以支持ips、apt等模块的开通;
增强功能开启:收费开启,可以支持waf、pvs、防篡改等模块的开通;
最新威胁防御规则库:收费开启,可以支持除杀毒外所有规则库的更新,前提是已开通相应的模块;
网关功能功能开通:收费开启,支持杀毒模块的开通;
save杀毒引擎更新:收费开启,支持杀毒引擎的更新;
未知威胁实时检测和网关杀毒订阅服务:收费开启,之前的云脑序列号,与老版本不同的是,老版本云脑有两个序列号,这里是一个,如果是老版本开通云脑升级上来的话,会自动变成一个;
门户网站保护订阅服务:非默认免费开启,开启后,支持与云眼进行联动,展示云眼端检测到的相关数据;
云守-安全运营订阅服务:收费开启,开启后,可以支持接入云守,通过云守来辅助af的安全运维
软件升级:收费&功能与之前一致,无变化;
维保服务:收费&功能与之前一致,无变化。连接服务器失败问题,af8.0.7正式版本解决掉;
PCB板钻头的种类与结构
解密OLED拼接屏:技术原理与未来发展趋势
元宇宙在建筑行业的未来发展
富士通推出升降压DCDC转换器芯片-MB39C326
国产操作系统,这次终于有救了!
下一代防火墙主要参数有哪些?
SiC和Si的应用 各种SiC功率器件的特性
华硕朝阳系列 Intel Westmere-EP 产品发布会
ACEX 1K系列CPLD配置方法探讨
水质cod快速检测仪的产品介绍说明
青岛人工智能创新应用展示中心正式开放 云天励飞全力打造AI产业
速度飞起!PCIe4.0固态硬盘aigo国民好物P7000适合你么?
5G+超高清沉浸式体验正式亮相MWC19上海展
电动牙刷哪个牌子好,2020声波电动牙刷排行榜
苹果回应转嫁iPhone成本指控:韩国不应干涉市场行为
如何利用51单片机实现加减法计算
一文详解NE555方波信号发生器
电动汽车以什么样的充电方式才是最合适的
【演讲预告】双碳下物联网新生态之Wi-SUN专题
空中客车正在与巴黎大众运输公司合作研发一种垂直起降的飞行车辆
sangfor_waf的主要功能有参数注入防护、越权访问防护、上传文件检测、http字段检测、敏感信息泄露防护及配置安全设置
代理http所有流量,ssh不阻拦
网络
接口
eth0只能为路由口不能更换接口模式,保留地址10.251.251.251/24不能删除
vlan子接口:用于对接路由口且配置了vlan trunk,子接口不支持ipv6
vlan接口不支持ipv6
聚合口不支持ipv6
gre接口,源接口为实际公网ip,ip地址为隧道ip
接口联动可以添加多接口,-ha口不支持联动
任何接口ip不能配置为1.1.1.0/24
端口聚合
负载模式
负载均衡--hash:按数据包源目的ip/mac的hash值均分
负载均衡--rr:直接按数据包轮转均分到每个接口(轮流转发)
主备模式--取eth端口号最大端口为主接口收发数据,其余为备接口
聚合协议
不支持动态聚合协议、只支持静态聚合,聚合链路两端设备的聚合协议要保持一致
虚拟网线
支持聚合口
成对出现,不发送arp,不查询mac地址表,防止mac表老化导致的cam表混乱
ipv6
支持源ip策略路由
不支持依据应用选路
不支持多线路负载
807
需要启用ipv4和ipv6双栈--需要重启设备
nat64地址转换
• 807支持ipv6到ipv6的nat
• 807支持外网ipv6内网ipv4的端口映射
• nat64为双向地址转换,即源目ip都会进行转换
dns64
• 将dnsv4查询合成为dnsv6
ips/waf/僵尸网络
• 攻击日志的源目ip均为转换后的ipv4,即先进行nat6-4再进行防护
• 无法溯源
注意
• 不支持解决天窗
• 不支持slaac无状态地址自配置协议
• 不支持哈希方式端口聚合
• 不支持子接口
• 不支持udp大包46转换
• 不支持alg
• 只支持匹配规则,无法匹配行为类规则
• 不支持运行状态展示
• 不支持ipv6双机心跳
• 支持vlan和聚合
wan属性
作用
1、af所有版本没有wan属性流控,流量审计将会失效
2、从af6.8版本开始没有wan属性,vpn服务起不来
3、从af7.1版本开始策略路由不需要wan属性,之前版本策略路由需要接口有wan属性
4、做目的地址转换数据需要源进源出(通过某个公网ip来访问服务器还是通过那个公网ip回包),双向地址转换,需要wan属性
5、应用流量排行
支持接口模式
7.1之前,af支持勾选 wan口属性的接口有路由口,透明口,聚合接口,虚拟网线接口
7.2开始,子接口可以勾选wan属性,作为wan口使用
wan口入站路由转发
无法进行除虚拟服务、dns、源地址转换、端口映射、远程登录、匹配智能路由或静态路由之外的数据传输
与ipsec vpn出口线路匹配
如af配置vpn,那么外网接口的一定要勾选“与ipsec vpn出口线路匹配”,不然vpn服务启动不成功
管理口
eth0为manage口只能做路由接口,默认的管理ip 10.251.251.251/24无法删除
管理口不可作为监视端口
af809
管理对端ip地址指的是当下面的[管理口访问控制]是开启的情况下,那么pc机必须配置这个地址才能管理设备
809开始允许修改默认管理口ip
vlan0
1.1.1.1用于重定向页面,隐藏af源ip
1.1.1.1也用于隐藏内部的1.1.1.2,两个ip配套使用
arp代理
af内网接口与直连服务器不在同一网段,保证路由可达服务器,如af内网口配私有ip,直连服务器直接配公网ip
arp代理功能即是让ngaf设备代理响应arp请求,达到保护内网主机的目的使用arp代理功能时,ngaf设备的连接被arp代理服务器的接口必须是路由口,任意配置一个与其他网段不冲突的ip地址
路由
策略路由
vlan接口、子接口不支持策略路由
多线路策略路由支持链路捆绑
ip rule //查看策略路由表页
ip route show table //以vpn路由表为例
af路由表分类
1、系统路由表(自带三张表)
• 255--local
• 254--main
• 253--default
2、策略路由表 id == 1-237
• 策略路由页面生成
3、vpn路由表 id == 240-249
• 240--ipsec vpn
• 242、241-- sangfor vpn(隧道间路由)
• 245-248 sangfor vpn 多线路
• 239 -- ssl vpn
临时表 id -- 238
优先级
• local(0)-vpn(239、240、241)-临时表(300)-策略路由表(10000)-main表(32766)
• vpn》静态路由/直连路由》动态路由》策略路由》默认路由
ip route get x.x.x.x //查看到达某地址匹配的路由条目
非对称数据转发
af近支持trunk、access透明部署,路由模式不支持
不支持开启双机热备,需配置基本信息和配置同步、双机热备
需新增2对口,1个ha,1个同步口
将除数据同步口和ha口外所有业务口添加到接口联动中
暂不支持父子链接、ip不一致场景
809仅支持单ha,存在单点故障
af单节点不要超过单台af性能指标一半以上
数据同步口速率不低于业务口速率
二次穿透部署
场景:tcp单向数据多次穿越af,对二次流量进行直通
限制:中间设备有nat场景,af不能配置二次穿透
建议:二次穿透的入接口应部署于2层环境,如部署与3层则会丢失nat安全策略路由功能
镜像口于业务口流量二次穿透场景,目的均为镜像口,源目ip分别建立一条策略
配置案例
1
2
snmp
snmp开启
开启snmp功能,方便远程管理设备状态、接口状态
snmp trap
主动发送snmp trap信息
光口bypas
不支持光口 bypass 与双机热备同时启用
reset
af自身发起的reset报文,806版本之前,ip.id是0x5826。806及以后版本,ip.id是0x7051。
安全防护
waf
ips
dos
僵尸网络
实施漏洞分析
实时漏洞分析的工作原理是:被动分析服务器回复的数据包判断是否有漏洞
arp欺骗防御
广播网关mac
拒绝arp欺骗广播包
邮件安全
支持pop3/smtp协议
收邮件不进行拦截,会给出提示
发邮件会拦截,会给出提示
蜜罐重定向
真实pc af日志看不到访问的域名
af日志也看不到 dns解析记录请求的源ip
acl
域名acl控制--网络参数--应用控制支持域名
acl配置中域名查询方式配置为主动
不支持bbc下发
snat,先匹配【内容安全】-【内容安全策略】,再匹配【防火墙】-【地址转换】里面的源地址转换
dnat,先过【防火墙】-【地址转换】里面的目的地址转换,再匹配【内容安全】-【内容安全策略】
save杀毒
支持文档类: doc、docx、pdf、ppt、pptx、ps1、rtf、xls、xlsx等
支持脚本类: bat、cmd、com、exe、pe、elf、bin、perl、pl、plx等
8.0.13:云网端联动
模块
云:云脑--云镜
网:af
端:edr
动作
处置:af向edr下发任务经云端情报威胁查杀后,实现病毒隔离、后续问题自动处置
取证:将af发现的恶意域名访问下发给edr、edr联动云镜
云端交付:mgr云端交付,本地免部署,接入云图实现云网端功能
nta网络流量分析(network traffic analysis)
af巡检
af6.7及以上版本巡检脚本使用方法.doc
直通
开启直通策略还是会生效,只是数据包被直通功能打上不丢包的标签让数据包通过af。所以才会有开启直通之后,数据中心还能记录日志,【运行状态】--【封锁攻击者ip】中还是能看到有拦截日志
二层直通
类似ac的搬包测试
双机互备不建议开启
仅在透明和虚拟网线模式下生效、路由模式不生效
开启二层直通相当于二层交换机,数据直接转发、不进功能策略处理
直通
直通不生效或无效的模块
地址转换(nat)
dos/ddos防护(wdos)中基于数据包攻击和异常包检测
流量审计(ip流量排行、用户流量排行、应用流量排行)
连接数控制
开启直通后所有策略还会检测只是不拦截
syslog日志
udp 514
高可用
同步角色一致时
ha ip较大的为主控
最后一次修改同步角色的设备为主控
集中管控
sc:需要主控和主机同时加入sc,否则提示离线
特性
支持ospf双机场景下的路由同步,保证双机切换后网络快速收敛
添加监视端口后af新增虚拟端口mac
虚拟mac构成:vrrp mac(00-00-5e)+接口序号+vrid,比如:vrid为101,eth1口的虚拟mac就是:00-00-5e-00-01-65,eth2口的虚拟mac就是:00-00-5e-00-02-65,65的十进制就是101。
注意
备机可以不勾选配置同步的自动同步
未加入网口监视的网口将不受双机状态控制,即使是备机也会响应数据,备机可以单独配置-ha的端口用于备机管理
尽量避开bypass组接口
交换机链接设备的接口stp需开启portfast
优先使用聚合[主备]进行ha,聚合口网卡类型需一致
默认情况下不能开启抢占,开启此功能联系专家评估[网络风险,也可以自己评估]
为避免频繁双机切换,当链路检测失效双机将每5分钟进行一次双机切换
强强检测/强弱检测
强强检测:主备均开启接口检测链路检测
强弱检测:主机开启接口链路检测 备机:开启接口检测,链路不监测
807支持接入bbc
支持版本
bbc2.5.2
bbc2.5.3
默认端口5000
特性
(a)支持中心端通过模板下发配置给分支端,并对分支端配置进行管理;
(b)支持中心端通过离线导入或在线更新的方式升级分支af设备;
(c)支持中心端对分支端12种库进行升级;
(d)支持中心端统一下发管理安全规则库及自定义规则库:
(e)支持分支端总览信息、业务安全信息、用户安全信息等上报展示;
(f)支持中心端统一设置告警信息,并支持分支端告警信息上报预警;
(g)支持双机、多机接入bbc集中管控场景;
(h)支持15个内置区域。
适用场景
上架场景
安全策略模板下发
vpn由bbc下发
运维场景
版本、定制、sp升级
• a)支持通过离线导入的方式对发布的版本/定制的ssu包,以及sp包,对指定的设备进行升级
• b)支持通过在线更新的方式对bbc平台内镜像af版本的sp包,对指定的设备进行升级(ssu包不支持在线升级bbc平台af镜像)
规则库升级
• a)支持通过离线导入的方式对bbc内置版本镜像进行规则库升级
• b)支持通过bbc平台对分支端进行规则库升级
自定义规则库
• 支持通过bbc端下发自定义ips和waf规则库,下发到本地后置灰显示且无法编辑
接入变化
自动下发15个区域:方便下发策略,只能引用接口不能删除此区域
配置下发
导入全量包
bbc统一下发策略需依赖全量包
新增策略模板
配置模板配置
下发策略(下发策略不允许编辑删除)
升级下发
上次升级包到bbc
新建升级任务,指定时间自动升级
如勾“优先从公网服务器下载升级包”,优先从gcs下载,如无对应包,再从bbc平台下载
规则库更新
bbc更新规则库
af能联网则自己更新规则库
af不能联网,从bbc下载
易部署
通过邮件下发配置到客户端
wan、lan、管理员用户名和密码、管理员邮件地址
bbc需配置邮件服务器
易部署链接为一次性链接
双机接入bbs
无vrrp无主机仅同步配置,双机接入
主备,主机接入备机同步
主主,两机器均可接入
sd-wan
【剩余带宽比例负载】会优先匹配“流量管理”-“虚拟线路配置”里设置的线路带宽。如未开启流控,则会匹配接口上配置的“线路带宽”
【剩余带宽比例负载】所选择的线路只能是配置在物理接口上的线路,不支持虚拟接口的线路,如vlan接口。其它功能无此要求
sd-wan选路只支持tcp、udp、icmp这三种协议,其他协议不支持
autu-vpn
序列号
网关序列号:功能同之前版本一致,不过没有了移动用户数。原因是af8.0.7版本开始,不支持pdlan用户的接入;
sslvpn:功能同之前版本一致,从之前的“功能模块序列号”移入“基础网络序列号”中;
ipsec vpn模块:只是af500型号的设备,默认未开启此模块,需要在此外单独开通,其它型号的均默认开通。
基础功能开通:默认开启,可以支持ips、apt等模块的开通;
增强功能开启:收费开启,可以支持waf、pvs、防篡改等模块的开通;
最新威胁防御规则库:收费开启,可以支持除杀毒外所有规则库的更新,前提是已开通相应的模块;
网关功能功能开通:收费开启,支持杀毒模块的开通;
save杀毒引擎更新:收费开启,支持杀毒引擎的更新;
未知威胁实时检测和网关杀毒订阅服务:收费开启,之前的云脑序列号,与老版本不同的是,老版本云脑有两个序列号,这里是一个,如果是老版本开通云脑升级上来的话,会自动变成一个;
门户网站保护订阅服务:非默认免费开启,开启后,支持与云眼进行联动,展示云眼端检测到的相关数据;
云守-安全运营订阅服务:收费开启,开启后,可以支持接入云守,通过云守来辅助af的安全运维
软件升级:收费&功能与之前一致,无变化;
维保服务:收费&功能与之前一致,无变化。连接服务器失败问题,af8.0.7正式版本解决掉;
PCB板钻头的种类与结构
解密OLED拼接屏:技术原理与未来发展趋势
元宇宙在建筑行业的未来发展
富士通推出升降压DCDC转换器芯片-MB39C326
国产操作系统,这次终于有救了!
下一代防火墙主要参数有哪些?
SiC和Si的应用 各种SiC功率器件的特性
华硕朝阳系列 Intel Westmere-EP 产品发布会
ACEX 1K系列CPLD配置方法探讨
水质cod快速检测仪的产品介绍说明
青岛人工智能创新应用展示中心正式开放 云天励飞全力打造AI产业
速度飞起!PCIe4.0固态硬盘aigo国民好物P7000适合你么?
5G+超高清沉浸式体验正式亮相MWC19上海展
电动牙刷哪个牌子好,2020声波电动牙刷排行榜
苹果回应转嫁iPhone成本指控:韩国不应干涉市场行为
如何利用51单片机实现加减法计算
一文详解NE555方波信号发生器
电动汽车以什么样的充电方式才是最合适的
【演讲预告】双碳下物联网新生态之Wi-SUN专题
空中客车正在与巴黎大众运输公司合作研发一种垂直起降的飞行车辆