更新时间:2022-06-17
多次穿越设置主要用于,当有数据包多次穿过同一台AF设备时,AF对流经的数据包进行设置,确保安全功能有效且不重复进行检测等。
点击<启用>后,正式启用多次穿越,再点击<新增>,新增一条记录。
数据包源IP:数据包的源IP地址。如一条数据流同时经过AF的eth1和eth2组成的“网桥1”以及eth3和eth4组成的“网桥2”,而当前的安全防护策略配置在“网桥2”的内/外网区域上,那么此处设置经过“网桥1”数据包的源地址。
数据包目的IP:数据包的目的IP。如一条数据流同时经过AF的eth1和eth2组成的“网桥1”以及eth3和eth4组成的“网桥2”,而当前的安全防护策略配置在“网桥2”的内/外网区域上,那么此处设置经过“网桥1”数据包的目的地址。
数据包入接口:数据包的入接口。如一条数据流同时经过AF的eth1和eth2组成的“网桥1”以及eth3和eth4组成的“网桥2”,而当前的安全防护策略配置在“网桥2”的内/外网区域上,那么此处设置经过“网桥1”数据包的入接口。
:
配置多次穿越需要来回路径都放行;
多次穿越配置后则该流量直接类似bypass。
案例配置
某公司的环境如下,AF部署在服务器前端,同时起到防护内外网的攻击。AF部署模式为虚拟网,12为一对虚拟线,34为一对虚拟线。当互联网终端PC(100.100.100.1)访问服务器(172.16.10.1)时, 发现无法正常打开页面。经排查为二次穿越防护墙,导致会话异常。因此,需要开启多次穿越来规避该问题。
勾选启用多次穿越按钮,并点击<新增>,从而创建多次穿越。如下图所示。
来回都需要配置多次穿越,配置结果如下图。
如不清楚具体多次穿越的网段或者网段过多,可以点击<高级设置>启用自动识别,能够自动识别多次穿越流量进行处理,配置如下图。
互联网终端PC(100.100.100.1)再次访问服务器(172.16.10.1),能够正常打开页面。