本帖最后由 山东_朱文鑫 于 2022-9-15 22:58 编辑
大家好,我是大白,正所谓锲而舍之,朽木不折;锲而不舍,金石可镂。优质的帖子也在尽力中提供,也希望各位道友多多支持,让我引劫渡劫成功哈哈哈。
大白队口号就是:砸锅卖铁我最行,拼死拼活就要赢!!!!!!!!!!!!
好的今天分享的是深信服怀旧版负载均衡AD、防火墙AF、以及WAF的联合实施分享,此次项目是很久之前的学校项目,对于我来说也有着比较特别的意义,我在翻找自己的案例时偶然找到了这个,为了一起回顾一下一步一步走来的技术之路,以及回味一下那些年让我们记忆犹新的前端UI,让我再一起冲一次,冲一次那些不被定义过的努力吧!!!
那就由我们带着回忆开始慢慢走入这个实施方案吧!!
好的废话不多说,先说一下实施的背景:
原客户有一台网康的上网行为管理作为边界进行普通的上网管控以及日常的上网使用,现在客户进行机房改造,增加多条外网线路以及边界防护,并且新增有服务器映射需求,不再使用管控功能,但是要有流控功能,根据当时客户购买的设备,当时便议用负载均衡来替代出口的网康上网行为管理,同时把下一代防火墙下和WAF防火墙以透明模式部署在核心交换机和负载均衡中间,实现对内网和服务器的保护。
网络拓扑如下:
机柜摆放图:
业务信息的梳理配置:
业务系统具体信息和对应的服务器保护策略,业务系统的端口号要重点确认,填入到web应用防护策略的端口设置中,否则可能导致web应用防护不生效。
记录设备信息:
NGAF 7.5.1:
WAF 7.1:
负载均衡 7.0.4:
设备的详细版本信息:
(1)下一代防火墙版本信息 AF7.5.1.199 Build20180228 af751_kb002_sp Build20180404proute_sp
(2)WAF防火墙版本信息 AF7.1.292 Build20161020 proute_sp as_sp
(3)负载均衡版本信息 SANGFOR-M1600-AD-7.0.4 BUILD20180405 GCS_PRODUCT1.2.0
设备管理界面登录:
点击<继续浏览此网站(不推荐)>后出现以下的登录界面:
如需修改管理员账号密码,可在【系统】-【管理员账号】页面修改管理员密码,admin账号不可删除和改名,仅能修改密码和限制IP地址登录。可以新建不同权限的用户。
下一代防火墙配置:
接口:
路由配置:
地址转换:
无需地址转换,因为边界路由是在负载上承载。
应用控制:
应用控制策略配置:
安全防护策略配置:
地域访问控制策略:
其他安全配置:
流量通道配置:
日志配置:
WAF配置:
接口:
WAF路由配置:
地址转换:
无需地址转换。
应用控制:
WEB防护配置:
负载均衡配置:
接口配置:
路由配置:
地址转换:
端口映射:
DNS代理:
如上就是本次的联合实施分享,从现在再看这负载均衡的UI,让我不禁去怀念那些奋斗的日子,这些不仅仅承载着日日夜夜的工作,它也在记录着一滴滴努力的汗水,或者当时的系统对于现在来说并不会是最棒的,但是在那一刻它是最合适的,努力没有捷径,学习永无尽头!!!!!
以上有些配置的ANY到ANY,但是还是建议大家在跟客户协商确认好的前提下,尽可能细化策略进行最大化防护,缩小暴露面。
以上就是本次的深信服怀旧版负载均衡AD、防火墙AF、以及WAF的联合实施分享,感谢大佬们的参阅,此贴先到这里后续会带上更加实用的帖子,感谢大家!
励志分享超清壁纸语句~~:
至乐莫如读书,至要莫如教子。——《增广贤文》
好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!  | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-9-17 19:24
技术专家1级 
