本帖最后由 欧斯达小伍 于 2015-12-23 11:12 编辑
简单介绍 客户全采用思科交换机,我们设备采用聚合端口,端口模式为透明模式 PS:不足之处多多指教 1、实施拓扑 2、设备主界面
3、设备区域划分 根据实际部署情况划分防护区域为5个区域:管理口区域、4楼数据中心区域、3楼数据中心区域、4楼数据中心区域3748、上联核心区域。 备注:划分区域作用为根据区域换分确定防护对象 4、接口配置 根据实际情况此次实施建立接口为聚合接口,聚合接口模式为2层接口(透明模式),管理口为ETH0地址xxx接口模式为路由接口 聚合接口对区域应关系:aggr1——4楼数据中心区域、aggr2——3楼数据中心区域、aggr3——4楼数据中心区域3748、aggr4——上联核心区域、 由于原交换机连接防火墙接口使用trunk模式,防火墙接口也设置为trunk模式并放通VLAN。 接口配置结果:
5、管理口配置 管理口为ETH0,地址为XXX 由于管理口需要连通网络,配置一条默认路由以及DNS
6、DOS防护 开启防DOS攻击策略,防护外网DOS攻击,已勾选默认参数
7、应用控制策略 应用控制策略与传统防火墙ACL相当,与传统防火墙相比增加具体应用控制,此处为现在实施添加的控制策略放通相应区域的服务。
8、僵尸网络 添加僵尸网络防护,保护对象为内部内部服务器,勾选默认参数。
9、IPS防护 建立IPS防护策略,一般情况为源区域为非防护区域,目的区域为防护区域。 10、WEB应用防护 建立WEB防护策略,一般情况为源区域为非防护区域,目的区域为防护区域。 11、实时漏洞分析 添加实施漏洞分析,选择服务区区域,服务器区域为:4楼数据中心区域、3楼数据中心区域、4楼数据中心区域3748 12、实施问题 1、一切准备完毕接线,与思科工程师一起上架,设备接线完成,思科交换机DOWN掉,初步判断有回路,最终判断思科配置有问题,改配置后正常。 2、上架一段时间后客户反应上网慢,FTP下载慢,客户的PC连接在防火墙下面,FTP也在防火墙下面,定位找原因:服务器的网关在核心交换机上面,不同区域跨VLAN下载速度慢,同区域跨VLAN访问慢,不同区域同VLAN下载慢,同区域同VLAN下载正常,但有跨区域跨VLAN访问正常,那么问题出在我们设备与思科设备之间,查看拦截日志没有拦截,考虑链路问题,由于全部使用的是链路聚合,思科设备全部使用的是默认的hash聚合,更改我们设备上的聚合协议(贴图配置可以看出我们设备的聚合不是hash)改成HASH正常。 3、客户内部有服务器提供的下载文件功能,设备上架后客户无法下载,文件是MDB后缀,a、解决方式为直接放通规则b、在WAF规则里面排除URL | 
发表于 2022-2-7 11:14
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
