【2022争霸赛*干货满满】深信服综合网络部署配置方案分享【XSEC、AC、SSL VPN、STA、SIP、DAS、LAS、BVT】

大家好，我是大白，正所谓绳锯木断，水滴石穿。优质的帖子也在尽力中提供，也希望各位道友多多支持，让我引劫渡劫成功哈哈哈。

大白队口号就是：砸锅卖铁我最行，拼死拼活就要赢！！！！！！！！！！！！

今天技术分享的是深信服综合网络部署方案分享【XSEC、AC、SSL VPN、STA、SIP、DAS、LAS、BVT】，此次分享的是一个网络改造的案例，针对客户中的网络安全环境进行的网络改造以及等保的要求部署信息，此次改造主要针对两个区域进行网络改造，一个是互联网区域，一个是安全服务域。

深信服登堡一体机XSEC里面进行了深信服LAS日志审计、深信服OSM安全运维系统、深信服DAS数据库审计系统、深信服BVT基线核查系统，以及深信服AC上网行为管理的授权加入。

深信服LAS日志审计系统的作用是对网络中的网络安全设备以及资产进行网络行为日志审计存储，日志至少保留180天。

深信服OSM安全运维系统主要是对网络环境下的设备资产进行安全运维管理，并且对运维人员的行为进行记录留档。

深信服SIP-STA主要是对整个客户网络环境下的安全态势进行实时监控以及网络环境检测。

深信服基线核查BVT，主要是对内部的资产进行基线式核查以及设备漏洞的扫描使用。

安全服务区AC主要是针对服务器集群行为进行审计是应用。

互联网区域AC主要是针对整个用户上网行为进行日志监控审计记录并且要和华为无线认证服务器进行对接。

深信服SSL VPN用于发布内网资源，方便远程办公使用。

拓扑图：

部署配置信息：

互联网区AC:

网络配置

设备网桥模式部署，eth6和eth7作为网桥口，eth1作为管理口，eth2作为镜像口，用于和华为无线控制器做对接。

审计配置

开启上网审计功能，为了符合国家等保要求，需对网络行为进行审计，并日志保留180天。

认证配置

上网认证策略配置，无线网络认证方式是单点，认证范围将由客户提供 ，上线组是WiFi用户；网络设备认证方式是无需认证，以ip作为用户名，上线组是网络设备；D栋楼认证方式是无需认证，以ip作为用户名，上线组是D栋楼；指挥楼认证方式是无需认证，以ip作为用户名，上线组是指挥楼；最后配置默认认证策略方式是无需认证，以ip作为用户名，上线组是/

4）单点登录

配置和华为无线认证服务器做对接，填写radius服务器地址，并把认证服务器的流量镜像到eth2口

5）其他配置

   配置NTP和内网时间服务器同步时间

配置snmp进行对接客户的统一监控平台。

探针配置

1）网络配置

2）业务配置

3）路由配置

安全感知平台配置        

1）网络配置

Eth1配置管理接口，eth2配置业务接口

2）资产添加

添加视频类、网络设备、终端类资产

3）风险分析

4）其他配置

配置syslog,把日志同步到日志审计

配置三权分立

SSL VPN配置：

1）网络配置

    设备单臂模式部署，eth0配置为业务口，eth2默认设置为10.254.253.254/24

2）虚拟地址池配置10.0.0.1-10.0.1.254

3）用户配置（与客户提前协调进行提供用户信息）

4）资源配置（暂未具体配置）

5）角色关联

    把资源授权给用户后，用户可以通过vpn 访问该资源，未授权则无法访问

6）其他配置

配置syslog把日志传输到日志审计

配饰snmp和华为网管设备对接：

配置ntp同步时间：

等保一体机配置：

1）网络配置

Eth3配置为管理接口,eth4和eth5做为业务口

2）存储

3）安全架构

4）其他设置

配置ntp

日志审计配置        

1）网络配置

Eth2 配置为业务口

2）资产管理

把资产分类成网络设备和安全设备，并修改名称方便后期运维

3）其他配置

配置NTP

数据库保护配置

1）网络配置

单机模式部署

2）路由配置

3）业务配置（因为当时作为深信服设备部署较快，服务器还未完成搭建，如果搭建好了的服务器选哟根据服务器的类型以及地址进行加入）

4）其他配置

配置ntp

SNMP配置，和华为网管服务器做对接

基线检查配置

1）网络配置

Eth0作为业务口进行使用

2）网段管理

  添加需要进行漏洞扫描的地址段

3）漏扫任务

添加漏扫任务

4）其他配置

配置SNMP和华为网关设备做对接，设置syslog把日志传到日志审计，配置ntp

配置三权分立

堡垒机配置

1）网络配置

Eth2配置为业务接口

2）路由配置

3）资源配置

添加网络设备资源如图

4）用户配置

按要求创建用户和三权分立

4）角色配置

把资源授权给用户后，用户才能访问对应得设备

4）其他配置

配置ntp

配置SNMP和华为的网管设备做对接

上网行为管理配置

1）网络配置

Eth0作为管理口进行旁路镜像部署

2）审计配置

对全部用户的上网行为进行审计，并保留到日志中心

3）认证配置

配置所有用户认证方式为无需认证，已ip地址为用户名，上线后录入到/组

4）其他配置

配置ntp服务器

配置SNMP和华为的网关设备做对接

配置syslog,发送到日志审计设备

如上就是整个综合改进方案的基本部署配置，整个部署后期还会增加了一些改进，主要是针对等保方面的要求，例如用户民密码的密码复杂度、密码更改日期设置。日志的保留时间，以管理员的三权分立设置等等，以及后期新家的资料信息以及客户资产信息。

以上就是本次的深信服综合网络部署配置方案分享【XSEC、AC、SSL VPN、STA、SIP、DAS、LAS、BVT】，后续会根据本贴的反馈是否要出一下关于XSEC的部署配置分享以及等保知识的信息分享，感谢大佬们的参阅，此贴先到这里后续会带上更加实用的帖子，感谢大家！

励志分享超清壁纸语句~~：

没有人会感觉到，青春正在消逝；但任何人都会感觉到，青春已经消逝。——小塞涅卡

好的今天就到这里，老样子，感谢各位大神的参阅，孩子为了挣豆子不容易，孩子家里穷没豆子吃饭了！！！

感谢楼主分享，文章介绍了多产品的等保场景部署案例，期待楼主带来更多案例分享

冲冲冲！！！！！！！！！！！！！！！！！！！！1

感谢分享，有助于工资和学习！！！

感谢分享                                                        

感谢分享，有助于工资和学习！！！

感谢分享，有助于工资和学习！！！

感谢分享，有助于工资和学习！！！

坚持每日学习打卡