本帖最后由 新手611204 于 2021-5-31 23:42 编辑
第1章 项目背景1.1 项目目的 本次深信服防火墙实施的主要目的,旨在配合xxx客户的安全建设项目。使用新购的AF对现有的Paloato(PA)防火墙进行替换,对xx单位在安全建设方面提出的相关需求,结合深信服防火墙和上网行为管理的安全能力,进行有效部署。 1.2 需求说明 项目前期,与xx单位信息科进行沟通,就xx单位的业务环境和安全建设需求,进行深入的沟通了解。整理出针对此次项目,需要达成的主要目标,具体列举如下: 1、 AF替换现有的PA防火墙,部署模式为主备; 2、 原PA防火墙的接口、区域、IP组、对象、自定义端口、策略路由、NAT策略、acl策略、安全防护策略等全部迁移到新的AF上,方便管理; 3、 对原有PA防火墙一些失效的NAT以及安全防护策略进行梳理删除; 4、 NAT策略和安全防护策略名称根据新的规则来定义; 5、 替换之后实现内网用户上网均使用移动线路,移动线路故障时才会选择选择电信或者联通线路; 6、 替换之后所有外到内的业务(对外发布的业务)全部使用电信的线路; 第2章 实施规划实施规划包括设备清单与地址规划,实施拓扑情况规划,实施流程和策略规划。 1.1 设备清单 1)设备清单 本次实施工作包含深信服AF设备2台,设备清单如下: 1.2 实施拓扑 1.2.1实施前拓扑 目前xx单位网络的互联网区域均为双机冗余部署,出口有2台交换机做堆叠,下接路由模式部署的PA防火墙,再到内网的防火墙,再到内网核心交换机,具体拓扑如下: 1.2.2实施后拓扑 (1)一期拓扑规划设计:用下一代防火墙AF来替代出口的PA防火墙,AF网关部署在互联网区域的出口,实现内网的防护以及实现地址转换等功能,完成传统ACL隔离,具体的拓扑图如下: 注意:由于目前AF的透明口不支持具备WAN属性,所以本次拓扑设计互联网出口交换机跟AF连接的链路数为3,分别对应三条运营商线路,在互联网出口交换机分别使用vlan进行隔离;实际情况需要提前考虑设备网口的数量,以及出口是否需要交换机支撑; 由于AC网口数量限制,出口AF与下联的内网防护墙没有采用交叉性组网的方式,实际情况如果有AC在设备网口充足的情况下,建议使用交叉性组网保证网络的高冗余性; (2)二期规划设计:下架内网防火墙,调整防火墙策略及路由;新增数据中心防火墙,配置路由及策略,具体的拓扑图如下: 由于AF网口数量原因,本次与数据中心防火墙之间的链路也使用的是口字型组网方式,如果实际情况允许建议使用交叉性组网的方式 1.2.3设备互连地址规划
第3章 实施流程及步骤1.1 实施流程 1、 具体需求沟通及现场调研; 2、 确认实施时间、地点等环境信息; 3、 实施方案规划与设计; 4、 实施方案汇报和可行性分析; 5、 按照实施方案进行现场交付; 6、 申请业务窗口期进行AF替换,并且验证业务; 7、 实施总结及汇报、项目收尾。 1.2 详细实施步骤 1、 PA防火墙配置导出(xml格式); 2、 使用xml文件查看器或者使用notepad++结合excle的方式进行配置梳理; a) 使用notepad++结合excle的方式比较麻烦具体如下: i. 将xml格式文件使用notepad++打开会有部分中文字体存在格式编码问题显示不出来,要使用解码工具重新转换成UTF-8的格式; ii. 根据关键字将所需要的对象、IP组、自定义端口、ACL、NAT、策略路由等关键信息整理出来(对应关系见附件-1:PA防火墙关键字段与AF对应关系.xlsx) 3、 根据步骤2相关字段梳理出来的相关数据,整理成excle表格,对数据进行处理; a) 详细见附件-2:配置梳理表.xlsx 4、 AF导出对象、IP组、自定义端口、ACL、NAT、策略路由等信息的csv表格,将步骤3转换之后的表格数据处理好导入到AF导出的csv表格里边,详细见附件-3; 5、 配置设备的接口地址及区域等基础网络信息; 6、 导入步骤4转换好的csv表格,导入对象、IP组、自定义端口、ACL、NAT、策略路由等配置,确保所有配置无报错正确导入; 7、 配置双机高可用; 8、 检查所有设备配置确保设备配置没有任何问题,搭建测试环境进行测试,验证路由策略,NAT以及安全策略等全部生效; 9、 设计割接方案,最好业务切割之前的准备工作; 10、 割接实施,业务验证; 第4章 上线前准备1.1 客户准备
| 准备工作 | | | 提前规划好设备上线安放的机柜位置、设备互连接入时交换机接口/配置规划、链路建立与连通测试 | | | | 为深信服提供设备接入网络用到的IP地址,并确保该IP地址可以访问互联网 | | 为深信服工程师提供测试网络接入,以便设备上线后测试网络连通性。 | | 1. 服务器地址和对应使用的端口,业务类型名称,以及防护具体需求 2. 向我司工程师提供AF临时用户名密码 3. xx单位确认或协助我司工程师确认服务器本身没有木马后门 | | 向深信服说明实施工程师进入机房需要准备带哪些证件及注意事项 |
1.2 我司准备 第5章 设备现场交付1、 按照第3章1.2详细实施步骤进行实施,正式切割之前搭建测试环境检验设备配置是否正确,避免切割过程中出现问题; 2、 正式切割前对原有设备的接线方式做好记录; 3、 梳理出所有内网服务,做好表格记录,正式割接之前对现网所有业务进行测试,对测试结果进行记录,方便割接之后进行对比快速定位问题; 4、 业务窗口期进行设备上线,对业务以及设备的双机切换进行验证,并且根据前期梳理好的内网服务记录表进行逐项验证; 5、 根据步骤4的验证结果现场进行问题定位排查; 6、 割接完成,记录割接过程中遇到的问题,事后进行总结; 第6章 设备上线验证1.3 设备连通性测试 | 步骤 | | | | |
| | |
| | |
| | 终端通过https:// 管理地址,是否可以正常打开控制台 |
|
1.4 高可用性测试
第7章 常见问题及回退方法1.1 内网所有用户上网异常 排查方法: 1. AF排查打开直通,检查是否能够访问外网; 2. 检查内网PC到AF的LAN口连通性是否正常; 3. 如果PC到LAN口连通性异常,检查核心到防火墙以及防火墙到核心的回包路由是否生效; 4. 如果步骤1-3均无问题,检查AF的LAN口是否能够已外网通信; 5. 如果LAN口不能正常通信,检查SNAT策略是否正确配置并且生效; 6. 检查应用控制策略,是否有做内到外的限制; 7. 在AF上接口和PC上抓包排查 1.2 外网ip范围配置错误导致内网用户不能上网 排查方法: 1. 根据步骤1.1.排查,AF上带源地址部分通,部分不通,则按以下步骤排查; 2. 检查外网口配置的地址段跟运营商分配的ip地址段是否匹配; 3. 接口配置正确的地址段,测试内网访问是否正常; 1.3 路由问题导致的外网访问内网业务异常 排查方法: 1. 检查对应服务器网段的路由条目配置是否正确; 2. 检查服务器是否禁ping; 3. 检查到对应服务器的网关是否联通,若连通性正常则排查服务器于网关之间的连通性; 4. 检查到对应服务器的网关是否联通,若不通,检查核心交换机上是否有到AF的路由条目,是否有到服务器网段的路由条目(配合现场负责交换机的人员进行排查); 5. 检查交换机上是否配置了其他acl策略阻拦了icmp包(配合现场负责交换机的人员进行排查); 6. 在AF的eth7口和核心交换机或者服务器上抓包排查; 1.4 DNAT策略异常外网访问不到内网业务系统 排查方法: 1. 确认DNAT策略异常范围(确认单个业务系统访问不到,还是所有业务系统都访问不到); 2. 如果是单个业务系统访问不到,检查访问方式是否正确,检查DNAT策略配置是否正确; 3. 如果DNAT策略配置无问题,检查AF与内网服务器的连通性是否正常,如果连通性异常,根据步骤1.3进行排查; 4. 如果是全部业务系统都访问不到,检查DNAT是否生效; 5. 在AF的wan口和lan口同时抓包检查目的地址是否转换成功; 1.5 应用控制策略异常 排查方法: 1. 确认数据流的五元组数据(源目ip、源目mac、协议),确认数据是否经过AF; 2. 检查应用控制策略的配置是否与数据包的五元组匹配,检查配置的控制动作是否正确; 3. 检查源目ip是否添加了白名单,检查NAT策略是否配置了默认放行; 4. 如果以上排查还不能解决问题,需要抓包定位是否在其他设备上已经做了应用控制策略限制; 1.6 只有VPN业务访问异常,其他业务访问均正常 排查方法: 1、 检查AF访问VPN的相关端口是否正常; 2、 如果AF访问VPN的相关端口正常,使用ip route get命令检查设备回包是否正确; 3、 如果回包不正确,检查AF去往VPN设备的下一跳是否直接通过管理口回包;
如果按照以上问题排查思路仍定位不到故障或者解决不了问题,如果在业务割接窗口期内请联系深信服400协助排查; 第8章 回退方案本次设备上线部署如果出现不可控的异常问题,在短时间不能解决的,应尽快恢复业务,照以下回退方案对网络进行还原,保证内网用户上网正常,待故障问题查明并有明确解决方案后,再根据修改后的方案进行实施。 1.将本次实施涉及变动的相关网线连接恢复至变更前状态,并确保用户网络恢复正常。 2.检查AF设备的配置信息,确认是否有错误的配置项。 3.检查设备网络连接信息,确认是否有接错线的情况。 4.重新梳理客户现网环境,排查故障原因。 第9章 附录:
附件-3AF相关项csv表格根据设备对应版本导出即可
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-5-11 08:15
