|
等保一体机做出口--测试项目 客户要过三级等保,测试一台XSec等保一体机。 客户原来的外网拓扑如下: 出口是华为路由器,下接两台核心交换机。客户网络分内外网,现在把设备放在外网部分,一开始定的方案是购买单台设备做等保,但是客户预算有限,打算用一台设备过三级等保,客户出口设备已经过了服务期,打算替换掉。 等保一体机做出口,组件包含AD AF AC SSL LAS DAS OSM EDR。在正常的网络环境里这些设备应该的拓扑如下: 在这个测试项目里,就要用一台设备实现这个拓扑,完成客户需求。设备上架的拓扑是这样的: 设备上架完成,部署在出口,首先考虑的就要实现客户的上网需求,客户拥有两条外网线路,移动,联通。那么等保一体机就需要创建三个物理出口,一个接到移动线路,一个接联通出口,一个接到核心交换机上。 考虑到原来的核心与出口路由器之间的IP掩码30位,所以需要在出口设备上单独配置管理口,且其他单臂部署的设备也需要旁接到客户网络里。这样就需要再添加一个物理出口,最终等保一体机的组件部署如下: 具体的网口配置如下: ETH0:等保一体机的管理口,通过这个口的地址登录XSEC控制台 ETH1:保留 ETH2:组件管理口,接到客户网络里,可以接到核心交换机 ETH3:下联接口,下接到客户核心交换机(因为客户交换机上联口IP是172.17.0.2/30,所以AF AC 需要单接管理地址)上接到AD设备的LAN口(LAN口地址172.17.0.1/30) ETH4:设备上联口,接移动出口线路 ETH5:设备上联口,接联通出口线路 组件配置 AD:出口设备,路由部署,NAT,DNAT,ACL配置 AF:虚拟网线部署,主要起到防护作用,应用控制策略配置 AC:透明部署,起到审计作用 SSL、LAS、DAS、OSM、EDR:单臂部署
测试过程中遇到的问题: AD上配置服务器端口映射的时候,需要为做双向地址转换做考虑,源区域包含LAN区域 AF上配置应用控制策略,一开始测试的时候会有很多服务器不通,排查过程中发现,之前AF做出口并配置DNAT的时候没有遇到这个,是因为AF上配置的DNAT会默认排除应用控制策略的限制,现在AD AF 分开配置,需要在AF 上做WAN到LAN的端口放通策略 SSL上配置堡垒机的资源,客户想用web资源实现,申请泛域名,配置完成测试可以使用,但是后续客户想拖拽文件,因为使用的是FTP协议,web无法满足需求 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-9-24 11:08