深信服防火墙组网部署分享
  

PC9527 Lv14发表于 2017-8-25 13:38

本帖最后由 PC9527 于 2017-8-25 13:37 编辑

一、环境与需求:

客户出口原友商防火墙过老,防护能力不足,不可视化。现需改造新增运营商线路,加设专线接入,并且后续会不断增加,同时需要与香港分支做对接。
希望能实现新改造需求的同时加强互联网出口安全防护,控制好可能发生的各种安全风险,定期提供相关安全评估报表实现可视化,采用深信服下一代防火墙进行全面安全加固。


网络拓扑:
拓扑.png

二、实施情况
网口设置情况:
图片1.png
设备对接线路走新增运营商线路
图片2.png
设置静态路由和策略路由,主要使用原有线路上公网
29201599fb52febe1e.png
设置源地址转换代理上网
图片4.png
做目的地址转换,实现内网服务器映射到公网并提供相应服务
图片5.png
应用控制策略放通相关服务
图片6.png
作为总部,香港分支接入
图片7.png
图片8.png
分支需要访问总部多个网段需要访问
图片9.png
分支(配置略)在连接管理接入即可
图片10.png
地域访问限制
图片11.png
僵尸网络基本防护
图片12.png
IPS保护服务器配置
图片13.png


三、实施总结
基本配置思路清晰,实施过程比较通畅。不足之处,配置上架后测试有一个专线数据不通,经检查发现静态路由漏写。细节之处不容马虎,尤其是在添加类似条目多的情况。

四、设备使用情况
目前已正常运行十四天的基本状态
图片14.png
IPS防护日志
图片15.png
综合安全报表(部分选取)
图片16.png

五、客户评价与建议
总体使用比较满意,防护能力相比以往提高了很多,尤其是设备的报表功能,直观地展示了当前网络安全状态,并快速有效的给出了相关处理建议措施,而且设备具备11个网口方便后续不断增加专线接入。希望在今后在网络安全方面加强合作。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

qinpeng Lv14发表于 2017-8-25 13:48
  
深信服防火墙果然名不虚传 越来越好  楼主牛牛
国服第一盲仔 Lv6发表于 2017-8-25 22:18
  
可以啊,小兄弟
fanjiang Lv2发表于 2017-8-31 11:26
  
厉害了。
adds Lv15发表于 2017-9-5 14:06
  
楼主昵称改成终南山了、
呆呆蛙 Lv4发表于 2017-9-15 09:28
  
不错不错
小华子 Lv3发表于 2017-11-9 11:52
  
IPS配置错了 兄弟
fjqx Lv4发表于 2017-11-9 20:34
  
学习…………