#原创分享#记一次防火墙部署

传递智慧、沉淀知识！发原创文章，拿现金奖励，点击了解详情

#原创分享#记一次防火墙部署

       随着一些安全事事件的发生，领导非常重视。对原网络结构进行增加防护设备防火墙，部署了一台深信服防火墙，模式路由。目的防护内网不受攻击等。

拓扑如下：

配置思路：

一、接口/区域配置。

二、路由配置。

三、代理上网配置。

四、应用控制策略配置。

下面进行一些具体步骤分享

1、        接口/区域配置。

本次总共划分为管理区、信任区、非信任区三个区域并把接口加入到相应区域，以信任区为例，配置如下图

配置完成后如下图

2、        接口配置

Eth0为管理区、Eth1为非信任区，eth3为信任区。具体如下：

3 路由配置-静态路由。目的地址为为X.X.X.X,子网掩码为Y.Y.Y.Y，下一跳IP地址为Z.Z.Z.Z,接口为A,度量值为0，提交后如下：

3、        代理上网配置。策略---地址转换下新增源地址转换，

【名称】：XXXXXX

原始数据包设置：

【区域】：信任区域

【IP组】：全部

目的区域/接口设置：

【区域/接口】：区域/非信任区

【IP组】：全部

【协议】：使用默认值即可

转换后数据包：指定 IP

指定IP:X.X.X.X

4、应用控制策略配置

基础信息中名称为信-非

访问者条件：区域为信任区

地址网络对象信任区所有地址

被 访问者条件区域为非信任区，网络对象全部

运行一段时间

1.SNAT中，源地址尽量不要写所有，写的太宽了，尽量细化
2.路由模式下，没必要再写个管理口了吧，核心上联口对接地址即可为内网管理地址
3.安全防护中，是不是缺少了像IPS/APT等基础七层防护，只写了应用控制，这不就是变成了传统墙了吗，现在基于应用层的攻击越来越多，传统墙已经捉襟见肘了，所以安全防护策略该起还是要起的

此部署方式为典型的AF路由出口网关部署，这是AF最多的一种部署方式，在这种部署模式中，AF既做路由转发，同时又对经过AF的数据做安全防护。但是其缺点也很显而易见，就是会调整客户的网络拓扑环境，要么把之前的网关出口设备替换，要么重新规划路由加入，如果AF出现故障，那么很容易造成影响客户的业务。针对这种情况，可以建议客户双机主备部署AF，增加冗余链路，保障业务不受影响。

楼主详细介绍了一次AF的部署上架过程，写的很精彩。但是有几个问题
1、楼主在开头说到的客户需求，要防护内网不受攻击。本身这个需求是很大的，建议可以详细拆分，比如防止网站被篡改，防止服务器被勒索等等。
2、楼主整篇文章并没有涉及到安全防护功能，只有一个应用控制策略。但是应用控制策略紧紧是针对4层的防护，其防护效果有限，要想实现客户需求，还需要WAF，IPS，僵尸网络等配置。
3、部分地址和策略名称没有打码。

多谢楼主的分享，期待楼主分享更多的技术贴。

文章很实用，有借鉴价值!

学习一下！！！！

谢谢楼主分享，文章写的很不错，学习了

厉害了，又学到了新技能！向楼主学习！

厉害了，又学到了新技能！向楼主学习！

干货满满，感谢楼主的分享！