杂项--深信服设备

防火墙 NGAF 7.5.1

1，用作地址映射，映射后的内网IP地址是默认开启上网权限

2，用作流量控制，保障服务器多线路（电信，联通）上下行带宽

3，用作路由策略，可以让内网地址指定线路出去，还可以指定IP地址出去，如果有多个IP

4，地址库作用，识别内容安全，漏洞检测

5，防DDOS攻击

上网行为管理 AC12.0.22

可以桥接在核心交换机跟防火墙中间

1，用作用户上网认证，通过AD域做单点登录

2，用作流量控制，由于是网桥部署，所以不能分线路（有多条外网线路）做流量控制，所以分线路的流控在AF上面做

3，用作上网权限控制，通过AD域去认证用户，在AC上建立策略，策略对象选择域用户，这样无论用户在域中哪个组织架构里面都可以匹配到，

     并且域用户可以在多条策略里面做限制，，AC的上网策略默认是无限制都可以上网，所以要做的就是限制策略，并且从上往下匹配，当允许策略匹配到了就不往下走了，

     当拒绝策略匹配到了，还是往下走，直到有一条允许策略匹配到。

     以上如果策略对象设置的是组织架构，如按部门来划分的IT,HR等组织架构，那么当这个用户在域上被移至其他组织架构，这条策略对这个用户无效

 

VPN ssl-m7.0

1，用作SSL  VPN，给个外网IP加端口，可以访问的用户是通过AD域映射到本地，即在域里面做了安全组，把用户加入安全组，然后在VPN上面是通过隐射安全组

     到本地的角色上面，所以VPN认证用户时就看用户映射在VPN上面的角色有什么资源可以使用

2，用作IPSEC VPN，给个外网IP加端口，对端可以用外网IP或者不用IP，对端主动连接本地端的IP，通过密码认证，建立一条加密隧道，对端访问本地端内网资源

     包内的目的地址是本地端内网地址，封装后的目的地址是本地端的外网地址，源地址是实时的拨号地址，当拨号地址改变了，加密隧道断开，对端再请求隧道建立

•