×

#原创分享#记一次防火墙部署
  

新手585731 92927人觉得有帮助

{{ttag.title}}
本帖最后由 新手585731 于 2020-2-8 08:44 编辑


#原创分享#记一次防火墙部署


       随着一些安全事事件的发生,领导非常重视。对原网络结构进行增加防护设备防火墙,部署了一台深信服防火墙,模式路由。目的防护内网不受攻击等。
拓扑如下:

配置思路:
一、接口/区域配置。
二、路由配置。
三、代理上网配置。
四、应用控制策略配置。
下面进行一些具体步骤分享
1、        接口/区域配置
本次总共划分为管理区、信任区、非信任区三个区域并把接口加入到相应区域,以信任区为例,配置如下图
配置完成后如下图
2、        接口配置
Eth0为管理区、Eth1为非信任区,eth3为信任区。具体如下:


3 路由配置-静态路由。目的地址为为X.X.X.X,子网掩码为Y.Y.Y.Y,下一跳IP地址为Z.Z.Z.Z,接口为A,度量值为0,提交后如下:

3、        代理上网配置。策略---地址转换下新增源地址转换,
【名称】:XXXXXX
原始数据包设置:
【区域】:信任区域
【IP组】:全部
目的区域/接口设置:
【区域/接口】:区域/非信任区
【IP组】:全部
【协议】:使用默认值即可
转换后数据包:指定 IP
指定IP:X.X.X.X
4、应用控制策略配置
基础信息中名称为信-非
访问者条件:区域为信任区
地址网络对象信任区所有地址
被 访问者条件区域为非信任区,网络对象全部
运行一段时间



12.png (577.03 KB, 下载次数: 248)

12.png

打赏鼓励作者,期待更多好文!

打赏
8人已打赏

汤汤啊 发表于 2020-1-6 14:17
  
1.SNAT中,源地址尽量不要写所有,写的太宽了,尽量细化
2.路由模式下,没必要再写个管理口了吧,核心上联口对接地址即可为内网管理地址
3.安全防护中,是不是缺少了像IPS/APT等基础七层防护,只写了应用控制,这不就是变成了传统墙了吗,现在基于应用层的攻击越来越多,传统墙已经捉襟见肘了,所以安全防护策略该起还是要起的
S_tone 发表于 2020-1-9 20:31
  
此部署方式为典型的AF路由出口网关部署,这是AF最多的一种部署方式,在这种部署模式中,AF既做路由转发,同时又对经过AF的数据做安全防护。但是其缺点也很显而易见,就是会调整客户的网络拓扑环境,要么把之前的网关出口设备替换,要么重新规划路由加入,如果AF出现故障,那么很容易造成影响客户的业务。针对这种情况,可以建议客户双机主备部署AF,增加冗余链路,保障业务不受影响。
北京大飞哥 发表于 2020-1-15 16:37
  
楼主详细介绍了一次AF的部署上架过程,写的很精彩。但是有几个问题
1、楼主在开头说到的客户需求,要防护内网不受攻击。本身这个需求是很大的,建议可以详细拆分,比如防止网站被篡改,防止服务器被勒索等等。
2、楼主整篇文章并没有涉及到安全防护功能,只有一个应用控制策略。但是应用控制策略紧紧是针对4层的防护,其防护效果有限,要想实现客户需求,还需要WAF,IPS,僵尸网络等配置。
3、部分地址和策略名称没有打码。
Sangfor_闪电回_朱丽 发表于 2020-1-6 09:12
  
您好,感谢您参与社区原创分享计划6,您的文章已被收录到计划中,交由专家评审小组评审,文章标签在专家评审后设置,分享奖励将在活动结束后统一安排发放!分享越多,奖励越多,期待您更多的精彩分享哦!:感恩:
关于技术文章的管理流程,请参考:http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279
zhao_HN 发表于 2020-1-6 10:34
  
好单位,再来个双机
心灵鸡汤 发表于 2020-1-6 12:59
  
感谢分享,谢谢了!
鬼谷子 发表于 2020-1-6 13:13
  
写的挺详细的,但是我觉得重点是 三个字“烟草局”牛逼单位呀,兄弟!!!
新手689835 发表于 2020-1-7 07:27
  
文章很实用,有借鉴价值!
新手428716 发表于 2020-1-7 08:48
  
感谢分享
cow977 发表于 2020-1-7 21:16
  
网关安全设备,重点在访问控制策略配置的细化。

粗放型的也就是一个摆设。
zjwshenxian 发表于 2020-1-8 07:48
  
烟草局就是有钱啊
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
【 社区to talk】
干货满满
每日一问
新版本体验
产品连连看
GIF动图学习
技术咨询
2023技术争霸赛专题
安装部署配置
功能体验
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
每周精选
深信服技术支持平台
POC测试案例
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人