#原创分享#Xsec集成安全平台初体验
  

神奇轱辘 248363人觉得有帮助

{{ttag.title}}
前阵子有个项目,接触了某公司公司Xsec集成安全平台,这里简单某公司公司。
客户业务是一个游戏平台,需24小时对外提供服务,当前整体架构网络安全性比较低,基于等保2.0要求,需要增加相应的安全设备进行等保加固,最终客户选择了某公司公司Xsec集成安全平台,购买了 vAF,vLAS,vDAS三个组件。

----------客户需求--------------

客户原有拓扑

拓扑描述:

客户环境比较简单,分内外网,服务器配置双网卡,一张内网,一张外网,外网卡直接配置公网地址,网关在路由器上,内网卡二层环境,只做管理用途。

现要求,不改变原有网络架构,实现设备接入,同时为了服务器的稳定性,不允许在服务器上安装客户端等插件。

由于是游戏平台,只有凌晨4-5点钟才可以停机操作。


----------解决思路--------------


规划拓扑

方案分析:

1、由于客户要求不改变原有环境架构,且我们设备是单机部署,存在单点故障,于是我们采用在网关路由器上做策略路由的方式将数据引流至vAF防火墙,同时配置逃生策略,当我们设备故障的时候,启动逃生策略,不影响业务正常使用(测试逃生策略时发现只丢2个包就切换了)

2、我们某公司公司数据库审计通过agent方式其实非常方便,只要在服务器上装个插件就可以了,但是由于客户要求不能安装插件,所以我们采用的端口镜像的方式来实现数据库审计的部署,由于现场环境数据库和应用在同一个交换机上,且内网地址同网段,所以不能镜像上联口,本次方案由于只有一台数据库服务器,所以我们镜像了数据库接口(G3口)来实现数据库审计的需求。


------------实施流程------------

1、地址规划

平台
管理IP
管理方式
账号
密码
aCloud平台管理地址
192.***.0.27
https
**
xsec平台管理地址
192.***.0.26
https
**
vLAS管理地址
192.***.0.28
https
**
vDAS管理地址
192.***.0.29
https
**
vAF管理地址
192.***.0.30
https
**
2、Xsec网络拓扑


3、vAF配置

vAF设置大家应该都很熟悉了


配置接口



配置区域




配置路由




后面就是根据业务系统配置应用控制策略和安全防护策略即可。


4、vDAS配置


部署模式选择单机模式



网口配置




设置业务系统




配置策略




具体可以参考配置手册DAS镜像模式部署测试指导


5、vLAS配置

LAS很简单,配置地址即可,服务器采集日志参考LAS配置手册



本来想放几张效果图,但是涉及到客户的一些数据信息,所以这里就不放了,某公司公司理解对于Xsec平台来讲,我们只要确定好部署方案,后面几个功能模块的落实感觉都比较简单。

打赏鼓励作者,期待更多好文!

打赏
16人已打赏

好心情 发表于 2019-12-16 22:16
  
分析的很精彩
Sangfor_闪电回_朱丽 发表于 2019-12-17 10:12
  
您好,感谢您参与社区原创分享计划5,您的文章已被收录到计划中,交由专家评审小组评审,分享奖励将在活动结束后统一安排发放!分享越多,奖励越多,期待您更多的精彩分享哦!:感恩:
新手780102 发表于 2019-12-19 17:44
  
第一次看到这种产品,学到了
司马缸砸了光 发表于 2019-12-19 19:43
  
板凳,新知识
新手031815 发表于 2019-12-19 19:49
  
新东西,记下笔记认真学
zjwshenxian 发表于 2019-12-20 07:16
  

都是实战经验,这波分享很强势
新手428716 发表于 2019-12-20 08:46
  
不错不错,
78465 发表于 2019-12-20 11:04
  
干货满满,感谢楼主的分享!
这西瓜我吃定了233 发表于 2019-12-20 18:35
  
厉害了,又学到了新技能!向楼主学习!
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
标准化排查
技术晨报
自助服务平台操作指引
安装部署配置
原创分享
排障笔记本
玩转零信任
秒懂零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版达人