深信服虚拟下一代防火墙
深信服虚拟下一代防火墙
1. 产品介绍
深信服虚拟下一代防火墙,以软件镜像文件的形式安装部署在云平台上,需要先购买本平台ESS实例来安装搭建vAF,并同时购买vAF授权序列号来组合使用。
平台云服务推荐配置请参考如下:
| 软件版本:vAF 8.0.60 | |
|---|---|
| 授权序列号规格 | 推荐规格 |
| 5M吞吐量序列号 | 2核,4G,80G |
| 10M吞吐量序列号 | 2核,4G,80G |
| 50M吞吐量序列号 | 2核,4G,80G |
| 100M吞吐量序列号 | 2核,4G,80G |
| 200M吞吐量序列号 | 2核,4G,80G |
| 400M吞吐量序列号 | 4核,8G,128G |
| 800M吞吐量序列号 | 8核,16G,256G |
| 1.6G吞吐量序列号 | 8核,16G,256G |
ESS实例配置,建议参照授权规格配置进行选择,系统盘默认100G,可根据软件配置要求进行扩容,不需要数据盘。
2. 基础安全功能配置
2.1. 网卡配置说明
使用安全访问功能需正确配置防火墙的两块网卡。
WAN口静态IP配置
eth0网卡IP获取方式默认为DHCP方式获取,如需修改为静态IP,请参考以下步骤:添加静态默认路由。
目标地址/编码 :0.0.0.0/0 #根据访问需要进行设置
接口eth0
下一跳地址 :10.101.0.1 #查看路由,填写原默认路由下一跳地址
查看原默认路由下一跳地址:
WAN口(eth0)修改为静态IP。
区域 :eth0的区域。
基本属性 :勾选WAN口。
静态IP地址:边界网络IP(可在云控制台ESS信息中查看)。
默认网关 :默认路由下一跳地址。重要说明:
请操作步骤1后再进行静态IP类型修改,否则将无法访问。
LAN口修改静态IP
正确修改eth1网卡配置即可。区域 :eth1的区域。
静态IP地址 :私有网络IP(可在云控制台ESS信息中查看)。
其他配置要求
防火墙LAN口默认MTU值为1500,欲配置内网业务访问,需要修改LAN口MTU为1450,否则可能引起内网业务访问异常。
2.2. 配置SNAT策略
源地址转换SNAT:私有网络客户端可访问公网服务
源区域 :L3_manage
源IP组 :私有网段
目的区域 :L3_manage
目的IP组 :全部
协议 :所有
源地址转换 :指定IP 10.101.1.98 (eth0接口IP)
2.3. 配置DNAT策略
目的地址转换DNAT:公网客户端可通过EIP访问私网服务,如开放的80端口web服务
源区域 :L3_manage
目的IP :指定IP 10.101.1.98 #(eth0接口IP)
协议类型 :所有协议(或者可以指定TCP协议类型,端口:80)
目的地址转换:指定IP 192.168.0.100 #(需要映射提供访问服务的私网服务器IP)
2.4. 配置应用控制策略
配完NAT策略后网络配置已经完成,但由于vAF默认是阻拦所有数据包的,我们需要配置策略将客户需要的业务数据放通,这里放通SNAT场景(私网→公网)数据访问(用户可以根据自己的需要放通相应的业务)。
以上步骤完成后,基本网络配置完成,其它功能策略,请使用者按需配置。
更多产品操作,可参考产品官方文档。