安全资源池平台CSSP是由深信服发布的,针对地市政务云,一站式的安全服务化平台,包括但不限于如下价值点:
1、采用软件定义安全架构,使安全服务化,满足租户按需购买安全组件的需求 4、提供安全应用市场,能够获取最新的安全资讯与应用规则库 一、IP规划 1.1 安全服务平台: 1、主机IP:每台服务器一个。必须 2、集群IP:每个集群一个。必须 3、平台管理IP:一个。必须 以上三种类型的IP,必须在同一个网段,可通信 1.2 内置IP池: 1、对外发布IP池:内置为空,用来配置SSL、堡垒机等发布IP 应用IP池:内置为***,用来配置租户数据通信ip,支持ipv4和ipv6格式 2、跨主机通信IP池:内置为***,掩码***,用来配置集群间通信网口IP,如不存在冲突情况无需更改 3、存储通信IP池:内置为***,掩码***,用来配置集群间存储网口IP,如不存在冲突情况无需更改
二、配置安全服务平台 将笔记本电脑配置一个***的IP,并与安装完成的主机eth0口直连。在浏览器中输入https://***,并使用默认账号密码:***登录安全服务平台,选择单主机模式或是集群模式: 2.1 本次配置为集群模式
主机IP不是管理IP,CSSP管理IP一个集群只需设置一个管理IP
备注:集群模式下的所有主机,都要设置一次。但是设置CSSP运行在当前主机,只需勾选1次 2.2 上架部署 添加主机。自动跳转到云安全服务平台欢迎页面,点击下一步,选择需要添加的主机,并配置好集群管理IP,点击下一步。
配置数据通信口。每台主机选择网口,作为数据通信口,可以使用网口聚合
配置存储通信口。每台主机选择网口,作为存储通信口
设置磁盘用途,之后初始化,大概半小时后,即可完成初始化步骤。并自动跳转到网络配置页面,方便进行业务网口配置
之后进行授权激活,授权激活只支持离线激活
完成激活之后,会自动跳转至平台时间与日期界面进行时间调整,在【系统】->【平台授权】页面,可以查看该平台当面的授权详情。
三、安全架构 3.1 租户管理 在【租户】页面可新增租户。新增租户的同时可配置业务ip范围;
在平台侧完成租户的所有配置,租户新建完成后,可在租户页面分配应用、配置引流
【租户】页面-【查看详情】可对租户的应用进行管理;可编辑修改租户信息;对租户应用进行配置、重新授权、开关机和删除等运维操作;可新增/编辑/删除业务ip范围。
【安全架构】页面,用户可根据业务情况选择不同的引流模板,以单臂引流模板为例;用户了自行配置单个或多个引流口,配置单个或多个子接口; 引流配置时必须配置子接口,支持ipv4和ipv6格式地址 服务链是用配置策略的方式,灵活定义流量走向,实现对租户业务的防护。
给租户分配第一个下一代防火墙应用时会自动配置一条服务链,配置租户流量过防火墙,保障用户访问安全。
(1)「租户全部业务系统」包含租户所有的业务IP,后续添加的业务IP会自动合入; (2)服务链双向有效,源和目的互换也不影响配置结果; (3)服务节点的应用有顺序区分,请尽量选择规格一致的应用。
至此,安全资源池基础配置完毕,之后就需要在交换机上配置引流,保障流量经过CSSP且来回路径一致
外网-----交换机------cssp-----交换机-----内网 内网---交换机------cssp-----交换机---外网 | 
楼主
发表于 2020-8-28 10:18
技术员3级 
