×

原创分享-NGAF混合模式部署以及多链路选路
  

浪青 46745人觉得有帮助

{{ttag.title}}
本帖最后由 浪青 于 2020-5-29 22:21 编辑

AF混合模式部署
   


      免责申明:案例分享截图中出现的地址都是经过修改的,并非客户真实使用地址。带有客户真实地址的都进行了涂鸦遮挡处理。
  

实施背景:
       某医院进行网络升级改造,购入了两台NGAF进行安全防护;一台部署在出口,一台部署在服务器区域。客户有3个出口,分别为远程专线出口、VPN出口、外网出口。其中远程专线供医院远程会诊使用,vpn供外网加密接入,外网出口供无线AP上网。
实施拓扑及描述:
       边界防火墙作为出口路由器部署。由于客户有3条出口,所以边界防火墙选择混合模式部署,而且要进行策略路由选路。其中外网出口之所以通过交换机接过来是因为客户有两个网络,内外网隔离的,外网是一个独立的网络,本次通过从外网搭一根线过来放权给内网无线AP上网,拓扑中外网结构未画出。数据中心防火墙放在服务器区域,选择透明模式部署。本文档只展示边界防火墙配置,数据中心防火墙比较简单不做展示。


实施步骤:

      1.设备登陆
      1.1.用电脑直连设备eth0口,电脑网卡ip配置为10.251.251.0/24段的地址,然后浏览器输入https://10.251.251.251访问设备进行配置

      2.对象定义
      2.1.预定义好内网网络对象,方便后面使用
      3.网络配置
      3.1由于边界防火墙对端核心交换机是trunk口,所以我们防火墙内网口也要对应trunk口。综合带宽冗余考虑,下连内网核心采用双链路透明trunk聚合接口,聚合口选择eth3、eth4,区域选择新增区域,命名为内网区域,允许所有vlan通过

       3.2.配置一个vlan接口充当核心的网关,实现3层互通。勾上允许ping,方便网络排障。【备注:接口名称Veth.103中的103是vlan的意思,要注意和核心那边保持一致】


       知识拓展:
              这个vlan接口对于懂交换机的小伙伴来说无需多解释,但对于新加入社区不久网络基础不好的小伙伴来说可          能就不太能理解他的作用,这里我用一句通俗易懂的语言给大家解释一下:
              你可以把这个vlan接口等价于是套在聚合接口上的路由口,内网流量通过聚合口上来之后交给这个vlan接口          进行路由转发。

       3.3.配置eth5口为路由口上联远程专线,区域选择新增区域,命名为远程专线,勾上允许ping和WAN口。

       3.4.配置eth1口为路由口上联ssl vpn,区域选择新增区域,命名为vpn区域,勾上允许ping和WAN口。

       3.5.配置eth2为路由口上联外网核心交换机,区域选择新增区域,命名为外网区域,勾上允许ping和WAN口

      4.路由配置
      4.1.配置默认路由指向VPN
      
      4.2.配置内网回包路由指向核心
     
      4.3.配置访问远程医疗方向的路由,一条一条指出去,下一跳填写远程专线对应网关
      
      4.4. 规划无线AP网络对象
      
     4.5配置源地址策略路由指向外网核心,源地址选择无线AP网段,接口选择eth2
      
      5.应用控制策略
      5.1.内网到远程方向的由于无法理清客户使用的服务及端口情况,两边均有互访,为避免造成业务异常,应用控制策略选择双向放通所有
      
       5.2.内网到VPN方向也无法梳理清楚涉及业务端口服务情况,依旧选择放通所有
      
       5.3.VPN到内网方向客户有远程办公的需求,所以放通客户需要访问内网的网络对象
        
       5.4.内网到外网方向,放通无线AP网段到外网方向去上网
        
       5.5.对所有区域进行一个高危端口的封堵,注意放到所有策略前面,否则不生效,策略是从上到下匹配
      
      6.安全策略配置
      6.1. web策略模板开启http端口自动识别


      6.2.配置用户防护策略,防护终端安全威胁。源区域选择内网区域的终端对象,目的区域所有外网区域

       6.3.配置业务防护策略,防护服务器安全威胁,源区域选择所有外网区域,目的区域选择内网服务器网段
      
       6.4.关闭所有外网区域管理此设备的权限
实施问题与总结:
本次部署过程说一帆风顺那是不可能的,这其中原因有自己的粗心、知识欠缺等。
我对遇到的问题做一个简单介绍,设备配置完之后发现2个问题:第一个问题是远程专线从内网访问不上去,只能到防火墙,排查原因是客户上层路由器回包路由没写好。第二个问题是无线ap上不了网,排查原因是自己粗心把交换机上回包路由掩码写错了。

5.3.png (126.01 KB, 下载次数: 216)

5.3.png

打赏鼓励作者,期待更多好文!

打赏
7人已打赏

Sangfor2419 发表于 2020-5-29 22:00
  
感谢楼主分享,楼主分享的内容很详细,将一些策略配置等都进行完整的讲解。需要注意的一点是在做应用控制策略时源区域和目的区域需要包含二层对二层、三层对三层,源区域二层、目的区域三层这种是不可以的。期待楼主有更精彩的分享
sangfor52783 发表于 2020-6-1 09:30
  
感谢楼主分享,很全面的一个分享贴,从环境确认到网络上架均有相对详细的描述和说明。后续的分享建议可以加入一些安全功能需求层面的,使案例看起来更完整,更贴合价值交付的场景案例。
沧海 发表于 2020-5-16 21:59
  
学习一下  文章很详细
新手548437 发表于 2020-5-16 22:54
  
感谢分享。
gqce 发表于 2020-5-17 22:00
  
感谢分享
zhao_HN 发表于 2020-5-18 10:25
  
非常全面的分享,赞一个
Sangfor_闪电回_朱丽 发表于 2020-5-18 14:44
  
您好,感谢您参与社区原创分享计划8,您的文章已被收录到计划中,交由专家评审小组评审,文章标签在专家评审后设置,S奖励预计在一周后到账,其他奖励在活动结束后统一安排发放!发文越多,奖励越多,期待您更多的精彩文章哦!:感恩:
关于技术文章的管理流程,请参考:http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279
JM 发表于 2020-5-20 11:30
  
感谢分享
tj_zero 发表于 2020-5-21 07:48
  
NGAF是深信服核心产品只有,感谢分享部署经验;
新手741261 发表于 2020-5-21 10:20
  
感谢分享
大white 发表于 2020-5-22 14:24
  
这环境跟我的业务环境太像了
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
每日一问
干货满满
【 社区to talk】
新版本体验
技术笔记
功能体验
产品连连看
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
技术晨报
安装部署配置
排障笔记本
自助服务平台操作指引
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人