本帖最后由 林一 于 2024-12-23 10:20 编辑
#分享#NGAF与AC上架部署基础配置本次NGAF与AC上架部署拓扑如下: 基本串联模式,从下到上分别是:核心---行为管理---防火墙---外网 (PS:看贴里有小伙伴问拓扑图怎么话,我自己正常情况下是使用微软的visio画的,赶时间的时候会使用PPT画) 在以上拓扑中可以看到,NGAF作为边界防火墙,AF用于审计用户上网行为。 在开始上架部署之前,我们需要先规划设备的IP和网卡: 以及策略的规划: 上网行为管理 1. 根据现场沟通后确认设备部署模式,使用透明模式部署。 2. 对用户上网行为进行审计和记录 出口防火墙 1.路由模式部署 (1) 根据现场沟通后确认设备部署模式,使用路由模式部署。 2. 服务器防护 (1) 安全防护策略开启用户和业务防护功能,实现对用户和服务器的安全防护功能。 (2) DOS/DDOS攻击防护策略,开启内到外,外到内两个方向的dos防护功能。 客户方面,需要做好以下实施前的准备: 关于实施的准备,我们需要准备以下方案: 1、上线部署方案 2、功能验证方案 3、上线设备健康检查 4、回退方案 开始实施 NGAF 1、登录控制台 2、配置物理接口 eth1为lan口,下连AC,eth2为wan口。 3、应用控制策略 配置应用控制策略,在默认拒绝所有的策略前提下,对相关应用及服务器放通。配置高危端口应用策略,封锁高危端口,动作为拒绝 4、业务防护策略 设置业务安全防护策略保护服务器源为攻击发起的区域,目的为服务器所在的区域,开启所有防护,动作设为拒绝,在检测到攻击后拒绝访问,开启实时漏洞分析,分析服务器的相关漏洞,及时发现安全隐患,增强服务器的安全性,并记录日志。 5、用户防护策略 设置用户安全防护策略保护用户上网,源为内网区域,目的为外网所在的区域,开启所有防护,动作设为拒绝,并记录日志。 6、DoS/DDoS攻击防护 设置内网对外的DoS/DDoS攻击的防护策略,源区域为内网区域的所有网络对象,开启IP地址扫描和端口扫描,勾选TCp相关的协议报文选项,检测内网向外网发起的DoS/DDoS攻击流量将其记录。 (注:请只开启日志记录,不开阻断!!) AC 1、登录控制台 电脑连接AC的ETH0口,配置一个10.251.251.0/24网段的IP,打开浏览器登录链接为https:// 10.251.251.251,用户为admin, 密码 admin,登录界面如下 2、部署模式 网桥模式部署,ETH0、ETH2为一对网桥组,ETH0为内网口,ETH2为外网口,配置默认网关以及DNS。 3、审计策略配置 配置审计策略,将应用审计,流量与上网时长、网页内容审计全部勾选上,用户选择所有用户,即所有用户都会被审计。
4、上网权限策略配置 根据业务需求,禁止用户下载以及视频 这样,NGAF与AC上架部署的基本配置就结束啦~ |