下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.48
{{sendMatomoQuery("下一代防火墙AF","连接管理")}}

连接管理

更新时间:2022-06-17

为了实现多个网络节点的互联(组成“网状”网络),VPN硬件网关提供了对网络节点互联的自主管理和设置功能。可在[连接管理]中进行相关的设置。页面如下。

连接管理只有自设备当分支使用需要连接其他深信服设备时才需要启用,否则本端是VPN总部设备,不需要启用连接管理。

点击<新增>,可以添加一个本设备到其他VPN总部的连接,页面如下图。

各配置项说明:

总部名称和描述:于标记连接名称,可以自定义填写。

共享密钥、接入账号名称、密码根据总部提供的接入账号信息来填写。

主/备 WebAagent:用于填写需要连接的总部的对应WebAgent,点击<WebAgent测试按钮>可以测试WebAgent是否工作正常。

说明:

测试请求均是从本机发起的而不是设备发起的。如果WebAgent是用域名形式,测试成功代表该网页存在,否则网页不存在。如果WebAgent采用固定IP方式,则测试成功代表填写的IP:PORT格式正确。该测试成功并不代表VPN就一定能连接成功。

传输类型:可选TCP或UDP,用于决定传输VPN数据包的封装类型,默认为[UDP]传输模式。

封堵穿透:使用UDP协议建立隧道有可能会被运营商封堵,这个时候可以启用封堵穿透,如下图。

其他说明:

针对TCP的封装穿透是在UDP的报文中加入TCP头部,让数据包从表面上看起来是TCP包,从而可以穿透封堵。但是TCP穿透并没有真正的TCP三次握手,还是有被运营商封堵的概率。

针对ESP的封装穿透是在UDP的报文中加入ESP头部,让数据包从表面上看起来是ESP包,从而可以穿透封堵。这种穿透也有可能被运营商识别从而穿透失败。

如果使用了证书认证,用户名不需要填写,会自动获取证书中的颁发给字段。

点击[展开高级设置],可以对VPN对端进行权限设置,即指定VPN对端只能访问本端的哪些服务,如下图所示。

设置完以上信息后,勾选[添加]选项即完成内网服务的设置。最后点击<提交>即激活该连接,并保存设置信息。