下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.48
{{sendMatomoQuery("下一代防火墙AF","多次穿越设置")}}

多次穿越设置

更新时间:2022-06-17

多次穿越设置主要用于,当有数据包多次穿过同一台AF设备时,AF对流经的数据包进行设置,确保安全功能有效且不重复进行检测等。

点击<启用>后,正式启用多次穿越,再点击<新增>,新增一条记录。

数据包源IP:数据包的源IP地址。如一条数据流同时经过AF的eth1和eth2组成的“网桥1”以及eth3和eth4组成的“网桥2”,而当前的安全防护策略配置在“网桥2”的内/外网区域上,那么此处设置经过“网桥1”数据包的源地址。

数据包目的IP:数据包的目的IP。如一条数据流同时经过AF的eth1和eth2组成的“网桥1”以及eth3和eth4组成的“网桥2”,而当前的安全防护策略配置在“网桥2”的内/外网区域上,那么此处设置经过“网桥1”数据包的目的地址。

数据包入接口:数据包的入接口。如一条数据流同时经过AF的eth1和eth2组成的“网桥1”以及eth3和eth4组成的“网桥2”,而当前的安全防护策略配置在“网桥2”的内/外网区域上,那么此处设置经过“网桥1”数据包的入接口。

  1. 配置多次穿越需要来回路径都放行;

  2. 多次穿越配置后则该流量直接类似bypass。

案例配置

某公司的环境如下,AF部署在服务器前端,同时起到防护内外网的攻击。AF部署模式为虚拟网,12为一对虚拟线,34为一对虚拟线。当互联网终端PC(100.100.100.1)访问服务器(172.16.10.1)时, 发现无法正常打开页面。经排查为二次穿越防护墙,导致会话异常。因此,需要开启多次穿越来规避该问题。

  1. 勾选启用多次穿越按钮,并点击<新增>,从而创建多次穿越。如下图所示。

  1. 来回都需要配置多次穿越,配置结果如下图。

  2. 如不清楚具体多次穿越的网段或者网段过多,可以点击<高级设置>启用自动识别,能够自动识别多次穿越流量进行处理,配置如下图。

  3. 互联网终端PC(100.100.100.1)再次访问服务器(172.16.10.1),能够正常打开页面。