×

安全资源实施方案
  

邵公子35185 1137

{{ttag.title}}
1.1. 设备清单
本次实施工作包含深信安安全资源池设备3台,设备清单如下:
设备名称
设备型号
设备数量
设备用途
备注
安全资源池
SdSec-1000-G602
2
电子政务外网
/
安全资源池
SdSec-1000-G602
1
互联网
/
1.2. 机柜位置
区域
命名规范
设备型号
<机柜-编号-位置>
政务外网
安全资源池-1
SdSec-1000-G602
XX-XX-XXU待确认
安全资源池-2
SdSec-1000-G602
XX-XX-XXU待确认
互联网
安全资源池-3
SdSec-1000-G602
XX-XX-XXU待确认
1.3. 互联接口
区域
本端设备
接口
对端设备
接口
政务外网
安全资源池-1
XX
XX交换机
XX
安全资源池-2
XX
XX交换机
XX
互联网
安全资源池-4
XX
XX交换机
XX
1.4. IP地址规划
管理地址
区域
设备名称
管理地址
数量
备注
政务外网
安全资源池-1
X.X.X.X)
待确认
6个
安全资源池-2
互联网
安全资源池-3
X.X.X.X)
待确认
4个
业务地址
区域
设备名称
业务地址
组件发布地址
备注
政务外网
租户-1
2个互联vlan地址
单独申请一个C段地址
租户-2
2个互联vlan地址
租户-3
2个互联vlan地址
租户-4
2个互联vlan地址
租户-5
2个互联vlan地址
互联网
租户-1
2个互联vlan地址
单独申请一个C段地址
租户-2
2个互联vlan地址
租户-3
2个互联vlan地址
租户-4
2个互联vlan地址
业务地址说明:
一是原有租户迁移,由XX公司为每个租户提供一对不同网段的业务地址,保证现有租户安全平滑迁移。同时,XX公司原租户安全运维人员应提供已配置的各个租户安全策略。例如:防火墙的访问控制策略。
二是新增租户安全业务,由XX公司为每个租户提供一对不同网段的业务地址。
三是XX公司应为每个租户所申请的安全组件提供业务接入C段地址(现有核心路由表不存在的网段)用于安全组件对外发布业务例如堡垒机,日志审计,EDR等产品需要服务器向租户端提供访问服务。
       
1.5. 实施拓扑与流量走向
[size=15.0000pt]1.5.1. 总体架构设计
安全资源池单臂部署在核心交换机处在核心交换机上做引流将流量牵引至安全资源池通过安全资源池中的组件防护后再回到核心交换机进行转发,具体的拓扑图如下:
[size=15.0000pt]1.5.2. 安全资源池网络设计
为了保障安全资源池CSSP系统的正常运行,需要合理规划以下四个网络平面:
管理通信网络:集群间心跳、配置同步,平台管理,组件虚拟机克隆、迁移、备份等操作,都是通过管理通信网络来传输数据的。
存储通信网络:虚拟存储的主机间存储数据同步,如果存储通信网络不稳定,可能会导致存储IO性能下降,甚至数据不一致。
数据通信网络:运行在集群内不同主机上的组件虚拟机之间通过虚拟交换机进行通信时,产生的跨主机流量,这些流量需要经过VXLAN封装到数据通信网络中传输。
物理(业务)出口:安全资源池与物理网络的互联网络是物理网络将流量牵引到安全资源池中经过安全资源池中安全组件清洗的流量,需要经过虚拟网络的物理出口进行传输。
[size=18.0000pt]2. 实施前准备
2.1. 确认项目实施方案
深信安负责实施的现场工程师将与电信公司接口人、相关领导对本次上线实施方案进行确认。
2.2. 上线前准备
[size=15.0000pt]2.2.1. 电信公司准备
电信公司准备说明
准备工作
详细描述
上线设备安装位置
提前规划好设备上线安放的机柜位置、设备互连接入时交换机接口/配置规划、链路建立与连通测试
电源准备
确保机房能够为CSSP设备提供电源
设备IP规划/业务IP地址
深信安提供设备接入网络用到的IP地址,并确保该IP地址可以访问互联网
测试终端的网络接入
为现场交付工程师提供测试网络接入,以便设备上线后测试网络连通性
实施工程师进入机房许可
向现场交付工程师说明进入机房需要准备带哪些证件及注意事项
租户清单
根据模板,梳理此次云安全环境中的租户清单包含租户名称租户的业务系统等
交换机配置
根据要求调整交换机的引流策略将业务流量牵引到安全资源池中
[size=15.0000pt]2.2.2. 深信安准备
XX准备说明
准备工作
详细描述
上线部署方案
为本次项目提供上线部署方案
功能验证方案
为本次项目上线实施提供功能验证方案
上架前准备
根据A01-深信安安全资源池CSSP需求调研表格.xlsx,再次确认现场实施环境与业务环境
[size=18.0000pt]3. 设备现场交付
3.1. 实施上线流程
实施上线流程表
序号
实施动作
详细内容
协助人
1
设备上架
提供机柜位置
云服务商
2
申请布线

云服务商
3
设备标签
安全资源池设备标签、网线、光纤标签粘贴

4
线缆整理
安全资源池电源、光纤、网线整理捆扎

5
设备加电
检查布线合格之后,申请加电(电源欧标)
云服务商
6
地址分配
互联网区-信创云池业务区管理地址4
政务网区-信创云池业务区管理地址6
6
交换机接口
互联网区-信创云池业务核心210G1组聚合(trunk)手工mac轮询
政务网区-信创云池业务核心410G2组聚合(trunk)手工mac轮询
互联网区-非信创云池业务核心210G1组聚合(trunk)手工mac轮询
政务网区-非信创云池业务核心410G2组聚合(trunk)手工mac轮询
互联网区-信创云池业务核心21G电口1组聚合(access)手工mac轮询
政务网区-信创云池业务核心41G电口2组聚合(access)手工mac轮询
云服务商
7
地址申请

8
部署调试
安全资源池软件部署、授权导入、版本升级、设备巡检

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

牛风喜 发表于 2024-5-20 09:14
  
每日一积累慢慢变专家
原鹏程 发表于 2024-5-20 15:12
  
感谢楼主分享,努力学习中!!!
jan 发表于 2024-5-22 09:19
  
每天学习一点点,每天进步一点点!
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
【 社区to talk】
安全效果
干货满满
技术笔记
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版版主

10
17
3

发帖

粉丝

关注

124
74
30

发帖

粉丝

关注

26
8
0

发帖

粉丝

关注

70
36
1

发帖

粉丝

关注

6
14
0

发帖

粉丝

关注

18
10
5

发帖

粉丝

关注

本版达人