【每日一记10】+第2天 CSSP安全资源池一体机单臂部署
  

徐英俊ya 169662人觉得有帮助

{{ttag.title}}



安全资源池平台CSSP是由深信服发布的,针对地市政务云,一站式的安全服务化平台,包括但不限于如下价值点:


1、采用软件定义安全架构,使安全服务化,满足租户按需购买安全组件的需求

2、安全组件自动编排,无需人工介入

3、上架简单方便,易于一线和渠道推广

4、提供安全应用市场,能够获取最新的安全资讯与应用规则库

5、降低运维成本,平台扩展成本低



一、IP规划

1.1 安全服务平台:

1、主机IP:每台服务器一个。必须

2、集群IP:每个集群一个。必须

3、平台管理IP:一个。必须

以上三种类型的IP,必须在同一个网段,可通信

1.2 内置IP池:

1、对外发布IP池:内置为空,用来配置SSL、堡垒机等发布IP

应用IP池:内置为***,用来配置租户数据通信ip,支持ipv4和ipv6格式

2、跨主机通信IP池:内置为***,掩码***,用来配置集群间通信网口IP,如不存在冲突情况无需更改

3、存储通信IP池:内置为***,掩码***,用来配置集群间存储网口IP,如不存在冲突情况无需更改


二、配置安全服务平台

将笔记本电脑配置一个***的IP,并与安装完成的主机eth0口直连。在浏览器中输入https://***,并使用默认账号密码:***登录安全服务平台,选择单主机模式或是集群模式:

2.1 本次配置为集群模式

主机IP不是管理IP,CSSP管理IP一个集群只需设置一个管理IP


备注:集群模式下的所有主机,都要设置一次。但是设置CSSP运行在当前主机,只需勾选1次

2.2 上架部署

添加主机。自动跳转到云安全服务平台欢迎页面,点击下一步,选择需要添加的主机,并配置好集群管理IP,点击下一步。

配置数据通信口。每台主机选择网口,作为数据通信口,可以使用网口聚合


配置存储通信口。每台主机选择网口,作为存储通信口

设置磁盘用途,之后初始化,大概半小时后,即可完成初始化步骤。并自动跳转到网络配置页面,方便进行业务网口配置



之后进行授权激活,授权激活只支持离线激活


完成激活之后,会自动跳转至平台时间与日期界面进行时间调整,在【系统】->【平台授权】页面,可以查看该平台当面的授权详情。


三、安全架构

3.1 租户管理

在【租户】页面可新增租户。新增租户的同时可配置业务ip范围;


在平台侧完成租户的所有配置,租户新建完成后,可在租户页面分配应用、配置引流

【租户】页面给租户分配应用

【租户】页面-【查看详情】可对租户的应用进行管理;可编辑修改租户信息;对租户应用进行配置、重新授权、开关机和删除等运维操作;可新增/编辑/删除业务ip范围。

3.2 引流配置


在【安全架构】页面,对租户进行引流配置

【安全架构】页面,用户可根据业务情况选择不同的引流模板,以单臂引流模板为例;用户了自行配置单个或多个引流口,配置单个或多个子接口;
引流配置时必须配置子接口,支持ipv4和ipv6格式地址

3.3 服务链配置

服务链是用配置策略的方式,灵活定义流量走向,实现对租户业务的防护。


给租户分配第一个下一代防火墙应用时会自动配置一条服务链,配置租户流量过防火墙,保障用户访问安全。


服务链配置说明:

(1)「租户全部业务系统」包含租户所有的业务IP,后续添加的业务IP会自动合入;

(2)服务链双向有效,源和目的互换也不影响配置结果;

(3)服务节点的应用有顺序区分,请尽量选择规格一致的应用。



至此,安全资源池基础配置完毕,之后就需要在交换机上配置引流,保障流量经过CSSP且来回路径一致



外网-----交换机------cssp-----交换机-----内网   内网---交换机------cssp-----交换机---外网



947955f4861cb1c333.png (69.13 KB, 下载次数: 435)

947955f4861cb1c333.png

打赏鼓励作者,期待更多好文!

打赏
9人已打赏

新手286475 发表于 2020-8-28 10:18
  
看了楼主的帖子,让我陷入了严肃的思考中,我认为,如果不把楼主的帖子顶上去,就是对真理的一种背叛,就是对谬论的极大妥协。因此,我决定义无返顾的顶了!
新手554983 发表于 2020-8-28 13:39
  
学习了,很详细
新手031815 发表于 2020-8-31 15:30
  
多谢分享
新手741261 发表于 2020-8-31 15:52
  
感谢分享
新手031815 发表于 2020-9-1 10:50
  
非常棒的文章
新手229660 发表于 2020-9-2 09:59
  
感谢分享
CenMuFeng 发表于 2020-9-13 17:24
  
大神的文章真如“大音希声扫阴翳”,犹如“拨开云雾见青天”,使我等求知者看到了希望,看到了未来。
新手456243 发表于 2020-9-21 20:41
  
想问下做引流的话,为什么要设置子接口,子接口对端地址是指连接CSSP业务口的交换机端口地址吗,交换机的策略路由是将下一跳指向子接口的地址吗,子接口又是如何设置将流量引到vAF上的
新手078326 发表于 2020-11-22 16:36
  
感谢分享,很详细
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人