|
1.项目背景 客户外网区仅有一台AF,当内网进行渗透测试时,从PC到服务器完全没有防护手段,客户希望通过调整AF既有内到外的防护,还有PC到服务器的防护。
2.客户环境说明 客户出口是负载均衡、AF虚拟网线部署,客户业务区存在业务汇聚交换机,但是PC区有多个接入,无单独的汇聚交换机。业务和PC区网关都在核心上。
、 3.客户需求 1.现在设备只能防护外网到内网的攻击,并无法防护PC到服务器直接的攻击。 2.需要节约设备性能,同时保障业务可用性。条件允许时,优先服务器不经过二次穿透。 4.方案规划 方案1 1. 核心下方新增一个汇聚交换机。终端接入统一连到汇聚再到核心;AF起两个虚拟网线对。 2. 方案优势:终端或者外网访问业务区都不经过二次穿透,不用担心二次穿透处理问题,影响业务区;只有终端和外网直接访问会经过二次穿透。 3. 方案劣势:需要新增交换机。 4. 逻辑拓扑 方案2 1. AF上下联透明部署,起vlan子接口,业务区网关指到AF vlan子接口上。 2. 方案优势:各个区域之间访问均不存在二次穿透问题; 3. 方案劣势:业务区网关需要重新变化,影响大。 4. 逻辑拓扑 方案3 1. AF改为路由部署,业务区网关指到AF上,下联和AD核心需要改路由。 2. 方案优势:各个区域之间访问均不存在二次穿透问题。 3. 方案劣势:业务区网关需要重新变化,AD和核心之间需要更改路由和互联地址,影响大。 4. 逻辑拓扑 方案4 1. 双虚拟网线分别串在AD和核心之间以及核心与服务器汇聚之间。 2. 方案优势:完全不改变客户原有网络结构 3. 方案劣势:外网访问服务器区需要二次穿透 4. 逻辑拓扑 此次客户处采用方案4,对网络改动小,且可以满足客户需求。 ETH9口和ETH10口为虚拟网线对1,ETH11和ETH12为虚拟网线对2,通过开启二次穿透来保证业务正常和减少设备消耗。 5.现场配置 配置思路 1.ETH9口和ETH10口为虚拟网线,ETH11和ETH12为虚拟网线对2 2防护策略分为三部分:外网------PC,外网-------服务器,PC------服务。 3.通过流量走势分析,将二次穿透配置在eth9口和eth10口之间,放通源ip为所有,目的ip是服务器段的数据,入接口选择eth9,以及放通源是服务器网段,目的网段是所有的数据,入接口选择eth10。 4.二次穿透配置:
6.项目经验 1. 在存在二次穿透环境中,需要配置二次穿透。此次客户环境,起初未启用二次穿透,内部业务被外网访问存在问题,开直通显示应用控制策略丢包,匹配默认全拒绝策略;启用二次穿透后解决。 2. 在二次穿透环境中,可能因为连接跟踪或者安全策略检测有重传包导致数据包转发异常。通过开启二次穿透功能,将匹配入接口和源目IP的流量做穿透处理(相当于bypass),从而保障数据业务正常转发。 | 
发表于 2020-8-2 23:23
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员2级 
