下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.95
{{sendMatomoQuery("下一代防火墙AF","基本配置")}}

基本配置

更新时间:2023-07-12

基本设置中包括访问地址&密钥设置、本地网段和高级配置。

访问地址&密钥配置

[访问地址&密钥配置]的页面,配置项说明如下。

主接入地址主要支持的格式有以下三种:

固定IP:端口(其中固定IP支持单IP和多IP,最多支持四个IP,各IP之间以#号分隔,如:202.96.137.75#60.28.239.21:4009),此IP为总部网络出口IP

动态域名:端口(适用于总部已存在动态域名指向他们出口的公网IP的环境。如:www.sangfor.com.cn:4009

Webagent服务器(适用于总部VPN设备没有固定公网IP的环境,如ADSL线路,格式如:www.sangfor.com/NG4.0/test.php202.96.137.75/test.php)。如果选择Webagent服务器方式,可以根据要连接的webagent服务器的密码,在此处设置相同的密码,点击<修改密码>可以设置Webagent密码,以防止非法用户盗用Webagent更新虚假IP地址,Webagent服务器密码为可选配置。

 

备接入地址格式和主一致,匹配规则如下:

主接入地址的优先级高于备接入地址,当主接入地址不可用时,备接入地址才生效;分支连接时需要至少与本端配置的主或备webagent匹配上一条。

密钥:可选配置,设置分支接入总部VPN的认证密码,如配置则分支必须输入相同密码才能正常建立VPN

连通性测试:测试主接入地址的格式是否正确以及TCP端口是否可达。

配置完成后,点击<保存设置>

1.如果设置Webagent服务器密码,一旦遗失该密码则无法恢复,只能联系深信服科技客户服务中心,重新生成一个不包含“Webagent密码的文件”并替换原有文件。

2.如果是多线路且都是固定IP的情况下,可以采用“IP1#IP2:port”的方式来填写Webagent

 

本地网段

当设备所处内网有三层交换机或者路由器之类设备,划分了多个网段,则需要在这里将除设备[VPN内网接口]所在网段之外的其他多个网段的信息添加进去。

点击<新增>,填入本端其他网段地址即可完成本地子网列表的添加,支持“网段/掩码”的填写格式,页面如下。

 

添加完成后,点击<确定>即可。

 

勾选[VPN内网接口]的接口网段,不需要添加到本地子网列表。只有本地内网有多网段情况,才需要添加其他网段到本地子网列表。

 

高级设置

高级设置中,包括VPN内网接口、VPN接口、VPN监听端口等配置,页面如下。

各配置项说明:

VPN内网接口:包括LAN口属性的网络接口,用于设置VPN网段,即属于LAN口口网段范围之内的IP地址就认为是VPN数据,其他网段IP地址都为非VPN数据。

 

[网络]-[接口]中的网口同时没有勾选WAN口属性,并且没有配置默认网关的接口,才会显示在VPN内网接口选项中,比如:WAN属性的接口不会显示在VPN内网接口中。

 

VPN接口:用于设置本端设备的VPN接口IP地址,可以自动分配或者手动定义VPN接口IP

VPN监听端口:用于设置VPN服务的监听端口,缺省为4009,可根据需要设置。

MTU:用于设置VPN数据的最大MTU值,默认为1500

MSS:用于设置UDP传输模式下VPN数据的最大分片。

 

MTUMSS一般情况下请保留默认值,如需设置,请在深信服技术支持工程师的指导下修改。

 

广播:是否开启广播设置,如果开启广播,则需要填写广播包端口范围。

组播:是否开启组播设置,如果开启组播,可以把从分支LAN侧接收到的组播包通过Sangfor VPN隧道透传到总部,分支和总部均需要启用。

配置完成之后,需点击<保存配置>,配置才可以生效。