Network security advanced training - July

默認情況下 domain name base ACL policy 不會開啟，需要手動在SYSTEM 中開啟

截止目前最新version AF 尚不支援 domain name base security policy(WAF IPS)

客戶需要放通user 訪問 www.sangfor.com，NGAF不需要知道該domain 的IP

使用Domain name base ACL 的時候，需要確保DNS request的traffic經過AF或AF可主動探測該DNS

發現Endpoint Secure上有文件被檢測出virus，直接將被檢測文件上傳到any.run 和virustotal 進行驗證

File upload 上VT 上發現該文件有Digital Signature ,而且冇engine report malicious,可以判斷該文件為正常文件，是誤報

通過Cyber Command 發現了一個異常通信流量，在VT上檢查發現只有2個情報源顯示異常，該網站絕對是安全的

通過AF檢測到有HTTP download一個virus 文件，將MD5上傳VT後檢出無report malicious ，該文件一定是誤報

如果存在NAT環境，需要在 Internet設備上做 TCP 500 和 4500 port 的port-mapping

NGAF 上的IPSecVPN 支援IKEv2 ，不支援IKEv1，需要雙方調整Phase I 參數

NGAF 上的IPSecVPN 支援Transmission mode

NGAF 設備必須使用一個 WAN attribute routing interface (non-management port ETH0) 和一個 non-WAN attribute routing port (non-management port ETH0) 來建立 IPSEC connection

Internal report log default儲存到硬盤容量的90%時會自動刪除

解密時IAM的證書可以安裝到電腦存放證書的任意目錄下

IAG13.0.15開始管理界面有bandwidth management 的授權，但是免費

online user 有public IP, 有可能是bridge mode 模式下WAN 和LAN 接反了

主備模式下，打patch 不需要拆HA

LDAP SSO 的情況下，User 流量沒有經過IAM， 也有可能是online user

IAG13.0.15 不能對全部類型的網站解密

IAM 12.0.44 不能升級到IAG13.0.15