多次穿越设置主要用于,当有数据包多次穿过同一台AF设备时,AF对流经的数据包进行设置,确保安全功能有效且不重复进行检测等。
点击<启用>后,正式启用多次穿越,再点击<新增>,新增一条记录。
数据包源IP:数据包的源IP地址。如一条数据流同时经过AF的eth1和eth2组成的“网桥1”以及eth3和eth4组成的“网桥2”,而当前的安全防护策略配置在“网桥2”的内/外网区域上,那么此处设置经过“网桥1”数据包的源地址。
数据包目的IP:数据包的目的IP。如一条数据流同时经过AF的eth1和eth2组成的“网桥1”以及eth3和eth4组成的“网桥2”,而当前的安全防护策略配置在“网桥2”的内/外网区域上,那么此处设置经过“网桥1”数据包的目的地址。
数据包入接口:数据包的入接口。如一条数据流同时经过AF的eth1和eth2组成的“网桥1”以及eth3和eth4组成的“网桥2”,而当前的安全防护策略配置在“网桥2”的内/外网区域上,那么此处设置经过“网桥1”数据包的入接口。
:
1、配置多次穿越需要来回路径都放行;
2、多次穿越配置后则该流量直接类似bypass。
案例配置
某公司的环境如下,AF部署在服务器前端,同时起到防护内外网的攻击。AF部署模式为虚拟网,12为一对虚拟线,34为一对虚拟线。当互联网终端PC(100.100.100.1)访问服务器(172.16.10.1)时, 发现无法正常打开页面。经排查为二次穿越防护墙,导致会话异常。因此,需要开启多次穿越来规避该问题。
步骤1.勾选启用多次穿越按钮,并点击<新增>,从而创建多次穿越,1、2接口的流量进行bypass,则针对1、2接口配置多次穿越,配置时需要出入接口都需要配置,如下图所示。
步骤2.针对1、2接口需要针对该访问关系(终端PC(100.100.100.1)访问服务器(172.16.10.1))来回流量都需要配置多次穿越(修改源目IP和入接口),配置结果如下图。
步骤3.因为1、2接口已经配置了二次穿越,所以流量到达1、2接口时会进行bypass掉,不进行策略匹配直接转发。当终端PC(100.100.100.1)访问服务器(172.16.10.1)流量到达3、4口时,需要匹配ACL、安全策略。因此,需要放通ACL和开启安全策略,选择的源区域为3接口,目的区域为4接口,源目IP为访问的实际源目IP及端口。
步骤4.互联网终端PC(100.100.100.1)再次访问服务器(172.16.10.1),能够正常打开页面。
说明:因为设置1、2接口为bypass(二次穿越),所以流量经过1、2口的流量都直接进行bypass转发,当流量再次经过3、4口(未配置二次穿透)时,需要创建会话、匹配ACL、安全策略等后,在进行流量转发,此时需要针对访问的数据流(经过3、4接口)进行放通策略。同理1、2接口和3、4接口可以进行互换位置,进行一边bypass。
建议使用Chrome浏览器访问!
