×

陈广生 发表于 2023-2-1 09:50
  
拓扑图的图标在那找的
AF替换Paloalto(PA)防火墙案例
  

新手611204 1925811人觉得有帮助

{{ttag.title}}
本帖最后由 新手611204 于 2021-5-31 23:42 编辑

第1章     项目背景
1.1 项目目的
本次深信服防火墙实施的主要目的,旨在配合xxx客户的安全建设项目。使用新购的AF对现有的Paloato(PA)防火墙进行替换,对xx单位在安全建设方面提出的相关需求,结合深信服防火墙和上网行为管理的安全能力,进行有效部署。
1.2 需求说明
项目前期,与xx单位信息科进行沟通,就xx单位的业务环境和安全建设需求,进行深入的沟通了解。整理出针对此次项目,需要达成的主要目标,具体列举如下:
1、 AF替换现有的PA防火墙,部署模式为主备;
2、 原PA防火墙的接口、区域、IP组、对象、自定义端口、策略路由、NAT策略、acl策略、安全防护策略等全部迁移到新的AF上,方便管理;
3、 对原有PA防火墙一些失效的NAT以及安全防护策略进行梳理删除;
4、 NAT策略和安全防护策略名称根据新的规则来定义;
5、 替换之后实现内网用户上网均使用移动线路,移动线路故障时才会选择选择电信或者联通线路;
6、 替换之后所有外到内的业务(对外发布的业务)全部使用电信的线路;
第2章     实施规划
实施规划包括设备清单与地址规划,实施拓扑情况规划,实施流程和策略规划。
1.1 设备清单
1)设备清单
本次实施工作包含深信服AF设备2台,设备清单如下:
  
设备名称
  
设备型号
数量
用途
下一代防火墙
AF-xxxx
2
互联网出口,做主备双机
1.2 实施拓扑
1.2.1实施前拓扑
目前xx单位网络的互联网区域均为双机冗余部署,出口有2台交换机做堆叠,下接路由模式部署的PA防火墙,再到内网的防火墙,再到内网核心交换机,具体拓扑如下:
1.2.2实施后拓扑
(1)一期拓扑规划设计:用下一代防火墙AF来替代出口的PA防火墙,AF网关部署在互联网区域的出口,实现内网的防护以及实现地址转换等功能,完成传统ACL隔离,具体的拓扑图如下:
注意:由于目前AF的透明口不支持具备WAN属性,所以本次拓扑设计互联网出口交换机跟AF连接的链路数为3,分别对应三条运营商线路,在互联网出口交换机分别使用vlan进行隔离;实际情况需要提前考虑设备网口的数量,以及出口是否需要交换机支撑;
由于AC网口数量限制,出口AF与下联的内网防护墙没有采用交叉性组网的方式,实际情况如果有AC在设备网口充足的情况下,建议使用交叉性组网保证网络的高冗余性;
(2)二期规划设计:下架内网防火墙,调整防火墙策略及路由;新增数据中心防火墙,配置路由及策略,具体的拓扑图如下:
由于AF网口数量原因,本次与数据中心防火墙之间的链路也使用的是口字型组网方式,如果实际情况允许建议使用交叉性组网的方式
1.2.3设备互连地址规划
设备名称
AF-1(默认主机)
管理地址
https://10.251.251.251
子网掩码
255.255.255.0
网关
X.X.X.X
登陆用户名
**
登陆密码
**(默认)
各接口连接情况
eth0
管理口,连接管理交换机
eth1-eth3路由口,具备WAN属性
路由口,分别连接互联网出口交换机
eth4
内网口
eth5和eth6组成聚合口bond1
聚合模式:主备模式
心跳地址:2.2.2.1-ha
硬件物理位置
XXX中心机房XXX机柜

设备名称
AF-2(默认备机)
管理地址
https://10.251.251.251
子网掩码
255.255.255.0
网关
X.X.X.X
登陆用户名
**
登陆密码
**(默认)
各接口连接情况
eth0
管理口,连接管理交换机
eth1-eth3路由口,具备WAN属性
路由口,分别连接互联网出口交换机
eth4
内网口
eth5和eth6组成聚合口bond1
聚合模式:主备模式
心跳地址:2.2.2.1-ha
硬件物理位置
XXX中心机房XXX机柜

第3章     实施流程及步骤
1.1 实施流程
1、 具体需求沟通及现场调研;
2、 确认实施时间、地点等环境信息;
3、 实施方案规划与设计;
4、 实施方案汇报和可行性分析;
5、 按照实施方案进行现场交付;
6、 申请业务窗口期进行AF替换,并且验证业务;
7、 实施总结及汇报、项目收尾。
1.2 详细实施步骤
1、  PA防火墙配置导出(xml格式);
2、  使用xml文件查看器或者使用notepad++结合excle的方式进行配置梳理;
a)        使用notepad++结合excle的方式比较麻烦具体如下:
                                      i.             将xml格式文件使用notepad++打开会有部分中文字体存在格式编码问题显示不出来,要使用解码工具重新转换成UTF-8的格式;
                                    ii.             根据关键字将所需要的对象、IP组、自定义端口、ACL、NAT、策略路由等关键信息整理出来(对应关系见附件-1:PA防火墙关键字段与AF对应关系.xlsx)
3、  根据步骤2相关字段梳理出来的相关数据,整理成excle表格,对数据进行处理;
a)        详细见附件-2:配置梳理表.xlsx
4、  AF导出对象、IP组、自定义端口、ACL、NAT、策略路由等信息的csv表格,将步骤3转换之后的表格数据处理好导入到AF导出的csv表格里边,详细见附件-3;
5、  配置设备的接口地址及区域等基础网络信息;
6、  导入步骤4转换好的csv表格,导入对象、IP组、自定义端口、ACL、NAT、策略路由等配置,确保所有配置无报错正确导入;
7、  配置双机高可用;
8、  检查所有设备配置确保设备配置没有任何问题,搭建测试环境进行测试,验证路由策略,NAT以及安全策略等全部生效;
9、  设计割接方案,最好业务切割之前的准备工作;
10、             割接实施,业务验证;
第4章     上线前准备
1.1 客户准备

  
准备工作
  
详细描述
上线设备安装位置
提前规划好设备上线安放的机柜位置、设备互连接入时交换机接口/配置规划、链路建立与连通测试
电源准备
确保机房能够为AF提供电源。
设备IP规划
为深信服提供设备接入网络用到的IP地址,并确保该IP地址可以访问互联网
测试终端的网络接入
为深信服工程师提供测试网络接入,以便设备上线后测试网络连通性。
协助下一代防火墙上架所需工作
1.  服务器地址和对应使用的端口,业务类型名称,以及防护具体需求
  
2.  向我司工程师提供AF临时用户名密码
  
3.  xx单位确认或协助我司工程师确认服务器本身没有木马后门
实施工程师进入机房许可
向深信服说明实施工程师进入机房需要准备带哪些证件及注意事项
1.2 我司准备
  
准备工作
  
详细描述
上线部署方案
为本次项目提供上线部署方案
功能验证方案
为本次项目上线实施提供功能验证方案
上架前准备
确认现场实施环境与业务环境
第5章     设备现场交付
1、  按照第3章1.2详细实施步骤进行实施,正式切割之前搭建测试环境检验设备配置是否正确,避免切割过程中出现问题;
2、  正式切割前对原有设备的接线方式做好记录;
3、  梳理出所有内网服务,做好表格记录,正式割接之前对现网所有业务进行测试,对测试结果进行记录,方便割接之后进行对比快速定位问题;
4、  业务窗口期进行设备上线,对业务以及设备的双机切换进行验证,并且根据前期梳理好的内网服务记录表进行逐项验证;
5、  根据步骤4的验证结果现场进行问题定位排查;
6、  割接完成,记录割接过程中遇到的问题,事后进行总结;
第6章     设备上线验证
1.3 设备连通性测试
  
步骤
  
测试操作
备注
1
测试上网终端PING外网期望可达地址是否正常

2
测试关键主机PING外网期望可达地址是否正常

4
测试其他业务访问是否正常

5
终端通过https:// 管理地址,是否可以正常打开控制台

1.4 高可用性测试

  
步骤
  
测试操作
备注
1
测试优先加电上架的主机ping测试正常

2
主备机上线后测试各自状态是否正常

3
测试主备双机上架后各网段连通性是否正常

4
测试主备双机进行拔线切换是否正常

5
测试主备双机进行链路检测失败切换是否正常

6
测试主备双机配置同步是否正常

7
主备双机测试中业务系统是否正常

第7章     常见问题及回退方法
1.1 内网所有用户上网异常
排查方法:
1.      AF排查打开直通,检查是否能够访问外网;
2.      检查内网PC到AF的LAN口连通性是否正常;
3.      如果PC到LAN口连通性异常,检查核心到防火墙以及防火墙到核心的回包路由是否生效;
4.      如果步骤1-3均无问题,检查AF的LAN口是否能够已外网通信;
5.      如果LAN口不能正常通信,检查SNAT策略是否正确配置并且生效;
6.      检查应用控制策略,是否有做内到外的限制;
7.      在AF上接口和PC上抓包排查
1.2 外网ip范围配置错误导致内网用户不能上网
排查方法:
1.      根据步骤1.1.排查,AF上带源地址部分通,部分不通,则按以下步骤排查;
2.      检查外网口配置的地址段跟运营商分配的ip地址段是否匹配;
3.      接口配置正确的地址段,测试内网访问是否正常;
1.3 路由问题导致的外网访问内网业务异常
排查方法:
1.      检查对应服务器网段的路由条目配置是否正确;
2.      检查服务器是否禁ping;
3.      检查到对应服务器的网关是否联通,若连通性正常则排查服务器于网关之间的连通性;
4.      检查到对应服务器的网关是否联通,若不通,检查核心交换机上是否有到AF的路由条目,是否有到服务器网段的路由条目(配合现场负责交换机的人员进行排查);
5.      检查交换机上是否配置了其他acl策略阻拦了icmp包(配合现场负责交换机的人员进行排查);
6.      在AF的eth7口和核心交换机或者服务器上抓包排查;
1.4 DNAT策略异常外网访问不到内网业务系统
排查方法:
1.      确认DNAT策略异常范围(确认单个业务系统访问不到,还是所有业务系统都访问不到);
2.      如果是单个业务系统访问不到,检查访问方式是否正确,检查DNAT策略配置是否正确;
3.      如果DNAT策略配置无问题,检查AF与内网服务器的连通性是否正常,如果连通性异常,根据步骤1.3进行排查;
4.      如果是全部业务系统都访问不到,检查DNAT是否生效;
5.      在AF的wan口和lan口同时抓包检查目的地址是否转换成功;
1.5 应用控制策略异常
排查方法:
1.      确认数据流的五元组数据(源目ip、源目mac、协议),确认数据是否经过AF;
2.      检查应用控制策略的配置是否与数据包的五元组匹配,检查配置的控制动作是否正确;
3.      检查源目ip是否添加了白名单,检查NAT策略是否配置了默认放行;
4.      如果以上排查还不能解决问题,需要抓包定位是否在其他设备上已经做了应用控制策略限制;
1.6 只有VPN业务访问异常,其他业务访问均正常
排查方法:
1、  检查AF访问VPN的相关端口是否正常;
2、  如果AF访问VPN的相关端口正常,使用ip route get命令检查设备回包是否正确;
3、  如果回包不正确,检查AF去往VPN设备的下一跳是否直接通过管理口回包;

如果按照以上问题排查思路仍定位不到故障或者解决不了问题,如果在业务割接窗口期内请联系深信服400协助排查;
第8章     回退方案
本次设备上线部署如果出现不可控的异常问题,在短时间不能解决的,应尽快恢复业务,照以下回退方案对网络进行还原,保证内网用户上网正常,待故障问题查明并有明确解决方案后,再根据修改后的方案进行实施。
1.将本次实施涉及变动的相关网线连接恢复至变更前状态,并确保用户网络恢复正常。
2.检查AF设备的配置信息,确认是否有错误的配置项。
3.检查设备网络连接信息,确认是否有接错线的情况。
4.重新梳理客户现网环境,排查故障原因。
第9章     附录:

附件-3AF相关项csv表格根据设备对应版本导出即可

6423860b50386be80b.png (60.56 KB, 下载次数: 312)

6423860b50386be80b.png

打赏鼓励作者,期待更多好文!

打赏
29人已打赏

发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
每日一问
干货满满
【 社区to talk】
技术笔记
GIF动图学习
产品连连看
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
自助服务平台操作指引
每周精选
通用技术
安装部署配置
秒懂零信任
信服课堂视频
标准化排查
排障笔记本
玩转零信任
答题自测
原创分享
技术晨报
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人