2021SANGFOR vAF8032R1部署實(shí)施指導(dǎo)

SANGFOR_vAF8032R1_部署實(shí)施指導(dǎo)For華為云2021年10月PAGEPAGE1目錄第1章產(chǎn)品簡介 2第2章部署環(huán)境要求 2第3章部署實(shí)施 4購買云服務(wù)器 4配置網(wǎng)絡(luò)和安全組 5系統(tǒng)配置 7設(shè)備IP配置 7第4章設(shè)備授權(quán) 94.1vLS授權(quán) 9第5章 AF安全功能配置 10配置策略 10配置策略 11配置應(yīng)用控制策略 12添加默認(rèn)路由 12第6章 vAF升級(jí) 13第7章 常見問題 13附：聯(lián)系方式 14產(chǎn)品簡介深信服vAF8032R1以軟件鏡像文件的形式安裝部署在華為公有云平臺(tái)上，需要先購買華為云ECS云服務(wù)器來安裝搭建vAF，并同時(shí)購買vAF授權(quán)序列號(hào)來組合使用。AF8032R1R1版本優(yōu)化內(nèi)容：1、授權(quán)優(yōu)化：支持vLS在線授權(quán)方式，需要部署單獨(dú)的授權(quán)服務(wù)器vLS對vAF進(jìn)行授權(quán)，詳見<<vLS-v2.1-部署實(shí)施手冊>>支持靈活授權(quán)（vLSWEB）500M2、公有云需求優(yōu)化：IDdhcp/static支持磁盤動(dòng)態(tài)擴(kuò)容（只能在原有系統(tǒng)盤基礎(chǔ)上擴(kuò)容）支持解密、高級(jí)配置（雙因素）、EDR聯(lián)動(dòng)3、各公有云平臺(tái)驅(qū)動(dòng)適配4、修復(fù)已知問題，對設(shè)備本身進(jìn)行安全加固優(yōu)化。vAF8032R1AF8032bypass部署環(huán)境要求1.vAF8032R1VPC（即vAF8032R1VPC）。2.vAF8032R1VPCVPCvAF8032R1VPC內(nèi)需要被安全防護(hù)的應(yīng)用服務(wù)器不能綁定公網(wǎng)IP，且用來安裝vAF8032R1VPCNATslbVPCNATslbvAFVPCvAF8032R1vLSvLSvLSvAF8032R1客戶根據(jù)需求擴(kuò)容選擇適合搭建服務(wù)器的機(jī)型vAF防火墻授權(quán)序列號(hào)規(guī)格虛擬機(jī)推薦規(guī)格5M吞吐量序列號(hào)2核，4G，80G10M吞吐量序列號(hào)2核，4G，80G50M吞吐量序列號(hào)2核，4G，80G100M吞吐量序列號(hào)2核，4G，80G200M吞吐量序列號(hào)2核，4G，80G400M吞吐量序列號(hào)4核，8G，128G800M吞吐量序列號(hào)8核，16G，256G1.6G吞吐量序列號(hào)8核，16G，256G部署實(shí)施購買云服務(wù)器登錄華為云中國站https:///，點(diǎn)擊購買云服務(wù)器2CPU4G鏡像在“自定義鏡像”/共享鏡像中選擇已上傳或其他賬號(hào)共享到云平臺(tái)的vAF8032R1的鏡像即可IO/80G配置網(wǎng)絡(luò)和安全組虛擬私有云一定要選擇云業(yè)務(wù)服務(wù)器所在的VPC專有網(wǎng)絡(luò)名稱；公網(wǎng)帶寬根據(jù)實(shí)際情況選擇；TCP443（控制臺(tái)管理）新建安全組點(diǎn)擊 跳轉(zhuǎn)到新窗口設(shè)置安全組；新建安全組創(chuàng)建安全組在新彈出的網(wǎng)頁中點(diǎn)擊 按鈕；創(chuàng)建安全組確定模板選擇自定義，名稱按照實(shí)際情況填寫，最后點(diǎn)擊 按鈕保存。確定配置規(guī)則創(chuàng)建完成后，點(diǎn)擊 按鈕添加規(guī)則；配置規(guī)則TCP443、TCP51111注：規(guī)則方向選擇入方向；授權(quán)動(dòng)作選擇允許；授權(quán)對象填寫/0（代表任意IP，系統(tǒng)配置rootweb控制臺(tái)同步。后面的配置按照實(shí)際情況選擇即可最后確認(rèn)訂單支付即可完成vAF8032R1云主機(jī)的創(chuàng)建。IP配置DHCPvAF8032R1IP。https://IPvAF8032R1web443vAF7如果是在公網(wǎng)登陸vAF8032R1的管理登錄界面，則使用vAF8032R1虛擬機(jī)的公網(wǎng)IP地7PAGEPAGE8IPIP（EIP）。在未授權(quán)情況下，輸入用戶名和密碼無法登陸，顯示如下：設(shè)備授權(quán)對vAF8032R1授權(quán)，需要使用vLS授權(quán)服務(wù)器進(jìn)行授權(quán)，授權(quán)方法如下。4.1vLS!"vAF8032R1vLSvAF8032R1服務(wù)器授權(quán)序列號(hào)，vLSvLSvLS授權(quán)服務(wù)器，然后vAF8032R1服務(wù)器登陸vLS授權(quán)服務(wù)器給vAF8032R1授權(quán)序列號(hào)：vAF8032R1vAF8032R1web管理頁面查看序列號(hào)頁面就顯示序列號(hào)個(gè)數(shù)出來了，顯示如下：授權(quán)完成之后進(jìn)入授權(quán)管理頁面可看到如下顯示，當(dāng)前顯示未被授權(quán)屬于正?，F(xiàn)象，AF已可用，等待約半小時(shí)之后系統(tǒng)進(jìn)入正常授權(quán)狀態(tài)，顯示如下：5AF#$%&源地址轉(zhuǎn)換SNAT：私網(wǎng)客戶端可訪問公網(wǎng)服務(wù)源區(qū)域 ：manage源IP組 ：私網(wǎng)目的區(qū)域 目的IP組 ：全部協(xié)議 ：所有源地址轉(zhuǎn)換：指定IP (eth0接口IP)#$%&目的地址轉(zhuǎn)換DNAT：公網(wǎng)客戶端可通過EIP訪問私網(wǎng)服務(wù),如開放的80端口web服務(wù)源區(qū)域 ：manage目的IP ：指定IP # (eth0接口IP)協(xié)議類型 ：所有協(xié)議（或者可以指定TCP協(xié)議類型，端口：80）目的地址轉(zhuǎn)換：指定IP # (需要映射提供訪問服務(wù)的私網(wǎng)服務(wù)器IP)5.3#$'()*%&vAF默認(rèn)是阻攔所有數(shù)據(jù)包的，我們（公網(wǎng)（用戶可以根據(jù)自己的需要放通相應(yīng)的業(yè)務(wù)）。以上步驟完成后，基本網(wǎng)絡(luò)配置完成，其它功能策略，客戶按需配置5.4+,-./0VPCvAFECSVPC網(wǎng)絡(luò)vAF。注意：需要vNGAF防護(hù)的ECS實(shí)例，不可以綁定彈性IP