【2022争霸赛*干货满满】深信服产品AF、STA、SIP、SG跨区联合部署方案总结分享

大家好，我是大白，正所谓少年易老学难成，一寸光阴不可轻。优质的帖子也在尽力中提供，也希望各位道友多多支持，让我引劫渡劫成功哈哈哈。

大白队口号就是：砸锅卖铁我最行，拼死拼活就要赢！！！！！！！！！！！！

今天分享的是一个跨区项目，本篇不做配置分享，对于涉及的设备SIP、STA、以及AF的整体配置并不是过于特殊复杂，SG为客户原有设备，主要针对部署解决方案的解析总结分享，帮助大家去看如何进行一个项目的分享需求下的解决方案思路，对于设备的配置我们就简单的看一下就可以了。

需求说明：

      具体需求即为在华三防火墙下面主主虚拟网线部署我们两台AF，保障上网安全可控的基础上，对内部服务器起到WAF保护机制；AF和SIP做联动，能在SIP发现问题时及时在AF上下发相关策略做拦截；后期将SG和SIP做联动，实现同步用户认证信息，弹窗提醒和冻结账号的功能。

      本次实施工作包含深信服设备9台，A地部署7台，B地部署2台探针，由于脱敏原因，客户位置，以及拓扑中出现的地域位置都将进行模糊以及字母替换，具体的设备清单不便展出，还望大家谅解。

A地规划拓扑：

B地拓扑规划：

拓扑说明：

      A地拓扑，AF主主虚拟网线部署，上下联起聚合口，我们设备虚拟网线部署进去，不影响网络拓扑及华三防火墙的切条件（深信服防火墙发生宕机时华三主墙无法检测到与核心的连通性，则发生主备切换），开启waf和相关防护策略；SIP和STA在实施中沟通部署在相对应的位置。AF和SIP联动，AF通过连接SIP的TCP4430端口做对接进行日志同步，SIP通过连接AF的TCP7443端口和AF做联动。  SIP和SG联动实现同步用户认证信息，弹窗提醒和冻结账号的功能，需要放通7443或9998端口。SIP和STA通信需要放通STA和SIP的4430、4488端口通信。B地两台STA分别部署在某地核心交换机和另外一个地区核心交换机上；左下角区域这边镜像上联口流量，中间上面镜像除左下角区域其余的流量。

     两台AF需要两个管理地址；SIP和STA各自需要一个IP地址。

     对部署的设备进行表格记录，原表要比这个还要详细，所以无论在实施过程中处理了什么产品，都要尽可能详细的进行记录，方便后续的使用。

设备名称	管理IP	互连IP	VLAN	部署模式	部署位置
AF	********	无	无	虚拟网线	A地核心和华三之间
AF	********	无	无	虚拟网线	A地核心和华三之间
SIP	********	无	无	旁路	A地区域核心
STA	********	无	无	旁路	A地区域核心
STA	********	无	无	旁路	A地区域核心
STA	********	无	无	旁路	A地区域核心
STA	********	无	无	旁路	A地区域核心
STA	********	无	无	旁路	B地区域核心
STA	********	无	无	旁路	B地区域核心

实施前准备：

确认项目需求：

      深信服负责实施的现场工程师将与客户项目接口人、相关领导，确认本项目的需求、实施时间、实施地点。

确认项目实施方案:

      确认项目实施方案深信服负责实施的现场工程师将与客户项目接口人、相关领导对本次上线实施方案进行确认。

上线前准备：

      客户端准备：

准备工作	详细描述
上线设备安装位置	提前规划好设备上线安放的机柜位置、设备互连接入时交换机接口/配置规划、链路建立与连通测试
电源准备	确保机房能够为设备提供电源。
设备IP规划	AF需要两个管理地址，SIP和STA各自需要一个IP地址
测试终端的网络接入	为深信服工程师提供测试网络接入，以便设备上线后测试网络连通性。
业务系统需要做的配置	各业务系统的业务IP和开放端口：AF通过连接SIP的TCP4430端口做对接进行日志同步，SIP通过连接AF的TCP7443端口和AF做联动。  SIP和SG联动实现同步用户认证信息，弹窗提醒和冻结账号的功能，需要放通7443或9998端口。SIP和STA通信需要放通STA和SIP的4430、4488端口通信
实施工程师进入机房许可	向深信服说明实施工程师进入机房需要准备带哪些证件及注意事项

     深信服准备：

准备工作	详细描述
上线部署方案	为本次项目提供上线部署方案
功能验证方案	为本次项目上线实施提供功能验证方案
上线前设备健康检查	设备上线前根据《设备健康检查表》进行设备检查

实施分工界面：

单位	分工界面
客户方	1．协助安排相关人员配合本次设备上线安装实施、测试。 2．实施、功能验证过程中的沟通协调。 3．确认设备上线后功能验证的结果。 [size=10.5000pt] [size=10.5000pt] [size=10.5000pt]         [size=10.5000pt] [size=10.5000pt]
深信服	1．配置上线所有安全设备 2．记录设备上线结果 3．在现场负责处理设备上线以及功能验证过程中遇到的问题 4．设备上线故障问题的回退等工作
备注	无

设备部署上线：

      此次实施包含负NGAF 2台、STA 2台、SIP1台，2台防火墙虚拟网线模式主主部署，策略有应用控制策略、web应用防护策略等，作用是互联网访问内网服务器和内网服务器访问互联网流量过滤；1台SIP和2 台STA旁路部署，STA作用是收集服务器等区域流量做汇总上传到SIP平台上分析，SIP联动AF和SG进行封堵下发策略处理。

防火墙：

      为尽可能减少断网时间，需要在线下完成设备基本配置，设备的基础网络配置，业务策略配置。

网络配置：

      先进入防火墙，设备出厂时eth0口地址为10.251.251.251，电脑通过交叉线直连设备eth0口，电脑IP配置为10.251.251.0段的地址，浏览器访问https://10.251.251.251登录，设备出厂时控制台管理员帐号为admin，密码为admin，如下图：

区域划分是防火墙安全策略的基础。

IP组配置会直接影响到后期报表呈现，配置的时候必须要求把业务系统地址写精细。

区域概念在防火墙中用于控制不同区域之间的数据访问权限和配置安全策略，对于部署防火墙的网络中可以按照传统安全级别分为：untrust、trust、DMZ。

      传统的区域概念定义中untrust不能访问trust区域，DMZ不能访问trust区域，untrust区域可以与DMZ区域互访，trust可以访问untrust和DMZ。

      在NGAF产品线中区域概念代表所属的网络分组性质，比如NGAF接入内网交换机的区域我们可以划定为内网区，连接运营商的区域定义为公网区，连接服务器群的区域定义为服务器区域，我们所有防护策略都依赖于区域，在定义区域之后，针对客户业务流中任何非防护区域发起到需要防护区域的访问数据都需要做安全防护策略。

区域与接口的配置如下：

【网络配置】->【接口区域】->【物理接口】，点击【eth2】配置接口

【网络配置】->【接口区域】->【区域】，新增非信任区域，同时新增信任区。

配置完成后的区域如下：

依次配置好非信任区域接口eth2和服务器区域eth1，配置好后如下：

此次实施我们只需要使用trust和untrust区域。

高可用性配置：

【高可用性】AF的高可用性配置原理类似于VRRP，当一台NGAF上的链路出现故障或者设备本身出问题时可以切换到另一台设备，保证网络通信正常。

高可用性双机配置如下：

1、【系统】->【高可用性】-点击基本信息，选择本地心跳地址和对端心跳地址，保存

注：尽量保持首先上架为主机的设备本地IP地址大于对端地址，这样可以保证主机和主控角色是同一台设备。

2、【系统】->【高可用性】-配置同步

注：主主虚拟网线部署不需要配置双机热备

以及根据防火墙的WAF授权开启WAF防护策略。

设备正常上线判定标准：

      1．用户和服务器、外网均可正常通信。

      2 . 所做策略有匹配数。

      3. 主主模式运行正常。

SIP配置：

     网络配置：

      登录安全感知平台直连设备eth0口访问https://10.251.251.252，本地PC配置10.251.251.0/24网段IP，登录安全感知平台，默认账号密码是admin/admin。

      通过eth0口默认地址10.251.251.252登录SIP。位置【系统设置】->【接口设置】可以在eth0口新增用于客户网络的IP地址，或使用其它接口配置IP地址。使用非eth0口时需要先启用网口。步骤如下：

在对应网口上接入网线，并使网口灯亮起。

将网口的状态勾选为启用，并配置正确的IP地址。

路由设置：用于与网络正常通信。位置【系统设置】->【路由设置】

路由配置说明：

只支持静态路由配置。

当使用一个口接入网络时，可以配置一条默认路由。

当SIP使用两个网口接入不同的两个网络时，需要配置表态的明细路由。

当需要限制登录IP地址，则配置需要登录SIP的地址的明细路由，默认路由配置为黑洞路由。

资产感知配置：

SIP内置DNS服务器地址，不需要在界面进行配置。若客户需要使用内网DNS服务器地址，需要在后台进行配置：

SIS3.0.13.0 ~ # cat /etc/resolv.conf

nameserver 114.114.114.114

nameserver 202.96.134.133

nameserver 8.8.8.8

通过vi工具对/etc/resolv.conf 文件进行修改并保存，保存后立即生效。

配置受监控内部IP范围，新增或编辑。

      需要手工定义好IP属性，分为“服务器”、“终端”、“未配置”。当IP范围存在“服务器”与“终端”混杂时选择“未配置”这时建议在探针开启“主动IP扫描”功能。如下图，该功能用于发现IP地址是否存在服务端口如80，443等，若存在会识别为“服务器”IP。（若客户网络中存在扫描检测设备，将会被发现探针有扫描行为）

注：配置的服务器不会被分组

业务配置：

“业务”与“服务器”的关系如下图：

业务需要手动配置，因为设备不能定义业务的名称。

      配置业务的名称、并定义业务的重要级别可以后续风险业务等登录更突出显示该业务的安全情况。最后“从已知服务器添加”，确定及可。

设备上线标准：

设备上线后，满足以下条件，则表明设备目前线路正常

1．STA和SIP能互相通信、AF、SG能和SIP互相通信联动。

STA配置：

      STA为潜伏威胁探针，用于旁路部署在网络中，收集镜像的流量数据，并将流量数据进行分析生成安全日志后。上传到SIP，SIP再基于大数据、机器学习对数据进行汇总分析处理。通过安全总览，大屏等方式，使得全网安全可视。

更新序列号：（正常下设备欸已经自带，看具体情况处理即可）

配置向导:

配置第一部分收集的探针管理地址，网关；以及镜像口（一般除了管理口，其他口均配完镜像口）

配置第一部分收集的终端地址段和业务地址段（重要）

配置第一部分收集的感知平台地址，传输模式测试环境，探针CPU低于70%均使用高级模式，并且勾选高级选项中的所有项。

总览：

违规访问勾选日志：

配置的终端地址段和业务地址段是否已经生成：

配置向导配置的镜像口，接口类型为“旁路镜像”：

交换机镜像配置附录：

1、华为

# 配置 GigabitEthernet0/0/1 为镜像接口，GigabitEthernet0/0/2 为观察接口，观察接口索引号为 1。镜像 GigabitEthernet0/0/1 上的双向业务流量到 GigabitEthernet0/0/2 上。

1 2 3 4

<Quidway> system-view [Quidway] observe-port 1 interface gigabitethernet 0/0/2 [Quidway] interface gigabitethernet 0/0/1 [Quidway-GigabitEthernet0/0/1] port-mirroring to observe-port 1 both

步骤 1 执行命令 system-view，进入系统视图。

步骤 2 执行命令 observe-port index interface interface-type interface-number ，配置观察接口。

步骤 3 执行命令 interface interface-type interface-number，进入镜像接口的接口视图。

步骤 4 执行命令 port-mirroring to observe-port index { both | inbound | outbound } ，配置接口镜像。

2、华三

# 配置 GigabitEthernet0/0/1 为镜像接口，GigabitEthernet0/0/2 为观察接口，观察接口索引号为 1。镜像 GigabitEthernet0/0/1 上的双向业务流量到 GigabitEthernet0/0/2 上。

1 2 3 4

<sysname>system-view [sysname] mirroring-group 1 local [sysname] mirroring-group 1 mirroring-port G0/0/1 both [sysname] mirroring-group 1 monitor-port G0/0/2

步骤 1 执行命令 system-view，进入系统视图。

步骤 2 执行命令 mirroring-group number local ，建立一个镜像组。

步骤 3 执行命令 mirroring-group 1 mirroring-port G0/0/1 { both | inbound | outbound }，将端口加入到镜像组中，镜像可以根据实际情况灵活选择入方向、出方向及全部流量；both，全部流量；inbound，入方向流量；outbound，出方向流量

步骤 4 执行命令 mirroring-group 1 monitor-port G0/0/2 ，设置镜像的目的端口

3、锐捷

# 配置 fa0/1 为镜像接口，fa0/2 为观察接口，观察接口索引号为 1。镜像 fa0/1 上的双向业务流量到 fa0/2 上。

1 2 3

Switch# configure terminal Switch(config)#monitor session 1 source interface fa0/1 both Switch(config)#monitor session 1 destination interface fa 0/2

步骤 1 执行命令 configure terminal，进入全局配置模式。

步骤 2 执行命令 monitor session 1 source interface fa0/1 { both | inbound | outbound } ，建立观察接口索引号为 1，并将 fa0/1 加入该索引，镜像可以根据实际情况灵活选择入方向、出方向及全部流量；both，全部流量；inbound，入方向流量；outbound，出方向流量

步骤 3 执行命令 monitor session 1 destination interface fa 0/2 设置 fa0/2 为监控口

4、思科

# 配置 fa0/1 为镜像接口，fa0/2 为观察接口，观察接口索引号为 1。镜像 fa0/1 上的双向业务流量到 fa0/2 上。

1 2 3

Switch# configure terminal Switch(config)# monitor session 1 source interface fastethernet 0/1 both Switch(config)# monitor session 1 destination interface fastethernet 0/2

步骤 1 执行命令 configure terminal，进入全局配置模式。

步骤 2 执行命令 monitor session 1 source interface fa0/1 { both | inbound | outbound } ，建立观察接口索引号为 1，并将 fa0/1 加入该索引，镜像可以根据实际情况灵活选择入方向、出方向及全部流量；both，全部流量；inbound，入方向流量；outbound，出方向流量

回退方案：

     本次设备上线部署如果出现不可控的异常问题，在短时间不能解决的，应尽快恢复业务，照以下回退方案对网络进行还原，保证内网用户上网正常，待故障问题查明并有明确解决方案后，再根据修改后的方案进行实施。

1．将本次实施涉及变动的相关网线连接恢复至变更前状态，并确保用户网络恢复正常。

2．检查各个设备的配置信息，确认是否有错误的配置项。

3．检查设备网络连接信息，确认是否有接错线的情况。

4．重新梳理客户现网环境，排查故障原因。

以上就是本次的深信服产品AF、STA、SIP、SG跨区联合部署方案总结分享，感谢大佬们的参阅，此贴先到这里后续会带上更加实用的帖子，感谢大家！

励志分享超清壁纸语句~~：

环境影响人的成长，但它实在不排挤意志的自由表现。——车尔尼雪夫斯基

好的今天就到这里，老样子，感谢各位大神的参阅，孩子为了挣豆子不容易，孩子家里穷没豆子吃饭了！！！

感谢楼主分享！文章介绍了SIP（STA）、AF、AC（SG）多产品联合部署的一个案例，配上图片展示，整体内容详实，很实用。如果文章最后能补充一下SIP\AF\AC产品之间的联动效果就更好了，期待楼主带来更多有价值的案例分享

果然是高手在民间，楼主帖子写的不错，很有参考价值，还想看更多精彩分享，期待楼主下一篇好帖！

果然是高手在民间，膜拜大佬

大佬风范 学习的榜样

每天学习一点，每天进步一点。

图文并茂，步骤清晰，学习一下

感谢大佬分享，对刚入坑的新人很有帮助。

内容丰富 图文并茂                 

楼主分享的案例很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！