#每日一记#第2天+深信服AD--添加访问源IP白名单

一。需求：企业通过深信服AD发布应用后，有部分应用存在需要限制源地址白名单的需求。在当前面向复杂的互联网环境下，制定严格的访问控制策略将会有效保障业务的安全性和稳定性。

二。网络拓扑

需要将内网主机的3389端口发布出互联网，同时限制访问源地址。

三。应用发布

将内部应用通过深信服AD发布出互联网，可以选择使用应用负载或者端口映射功能。两者存在相应的优劣势。

3.1 应用负载

虚拟服务相当于一对多的端口映射,假设内网的服务器出现故障的话,可以调度到其他服务器,客户端不会出现访问中断故障的情况,同时支持较多的前置策略、优化策略等。大部分应用发布都建议使用应用负载去实现。但截止7.0.21版本，应用负载暂时不支持限制源IP地址。

3.2 端口映射

端口映射是一对一的，一旦内部应用出现故障，访问就会出现中断。 但端口映射支持限制源IP地址。

3.3 优先级比较

当深信服AD使用应用负载和端口映射部署了同一个业务，AD应用负载优先于端口映射

四。需求实现

在深信服AD上配置端口映射

在【网络部署】-【地址转换】-【目的地址转换】进行新建，并添加需要放行的源地址，即可满足需求。

感谢楼主的分享！本文章针对端口映射与应用负载做了对比，介绍了各自的优缺点，在选择应用负载还是端口映射时可起到一定的参考意义。
文章中有一点介绍的有点问题，做一下补充说明：
1）应用负载可以做源IP限制，一般是采用前置调度策略实现
2）如果不想用前置调度策略，也可以使用ACL试下（建议使用前置调度，这个就是用来做调度访问的）
再次感谢楼主的分享，期待楼主更多的分享哦~~

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

好文，实际工作中有帮助

坚持每日学习打卡

每天学习，每天进步！感谢！

坚持每日打卡学习，增长知识！！