等保一体机做出口
  

山东__金栋梁 20021人觉得有帮助

{{ttag.title}}
本帖最后由 山东__金栋梁 于 2021-8-30 23:39 编辑

等保一体机做出口--测试项目
       客户要过三级等保,测试一台XSec等保一体机。
       客户原来的外网拓扑如下:
24237612cf9c9aba88.png
出口是华为路由器,下接两台核心交换机。客户网络分内外网,现在把设备放在外网部分,一开始定的方案是购买单台设备做等保,但是客户预算有限,打算用一台设备过三级等保,客户出口设备已经过了服务期,打算替换掉。
       等保一体机做出口,组件包含AD AF AC SSL LAS DAS OSM EDR。在正常的网络环境里这些设备应该的拓扑如下:
55430612cf9d5b0d72.png
       在这个测试项目里,就要用一台设备实现这个拓扑,完成客户需求。设备上架的拓扑是这样的:
34062612cf9dfdda1c.png
设备上架完成,部署在出口,首先考虑的就要实现客户的上网需求,客户拥有两条外网线路,移动,联通。那么等保一体机就需要创建三个物理出口,一个接到移动线路,一个接联通出口,一个接到核心交换机上。
       考虑到原来的核心与出口路由器之间的IP掩码30位,所以需要在出口设备上单独配置管理口,且其他单臂部署的设备也需要旁接到客户网络里。这样就需要再添加一个物理出口,最终等保一体机的组件部署如下:
25306612cf9edee7f1.png
具体的网口配置如下:
ETH0:等保一体机的管理口,通过这个口的地址登录XSEC控制台
ETH1:保留
ETH2:组件管理口,接到客户网络里,可以接到核心交换机
ETH3:下联接口,下接到客户核心交换机(因为客户交换机上联口IP是172.17.0.2/30,所以AF AC 需要单接管理地址)上接到AD设备的LAN口(LAN口地址172.17.0.1/30)
ETH4:设备上联口,接移动出口线路
ETH5:设备上联口,接联通出口线路
组件配置
AD:出口设备,路由部署,NAT,DNAT,ACL配置
AF:虚拟网线部署,主要起到防护作用,应用控制策略配置
AC:透明部署,起到审计作用
SSL、LAS、DAS、OSM、EDR:单臂部署
38099612cfa0983171.png 6039612cfa5faed3d.png

测试过程中遇到的问题:
      AD上配置服务器端口映射的时候,需要为做双向地址转换做考虑,源区域包含LAN区域
       AF上配置应用控制策略,一开始测试的时候会有很多服务器不通,排查过程中发现,之前AF做出口并配置DNAT的时候没有遇到这个,是因为AF上配置的DNAT会默认排除应用控制策略的限制,现在AD AF 分开配置,需要在AF 上做WAN到LAN的端口放通策略
       SSL上配置堡垒机的资源,客户想用web资源实现,申请泛域名,配置完成测试可以使用,但是后续客户想拖拽文件,因为使用的是FTP协议,web无法满足需求

打赏鼓励作者,期待更多好文!

打赏
4人已打赏

一个无趣的人 发表于 2021-9-24 11:08
  
多谢分享,也欢迎多来论坛交流谈论,期待更多的技术贴。
水之蓝色 发表于 2021-9-28 20:10
  
感谢分享,学习一下!!!!!!!!!!!!
会飞的癞蛤蟆 发表于 2021-9-29 19:58
  
感谢大佬的无私分享。
航嘉电脑门诊 发表于 2021-9-29 19:58
  
好好学习,天天进步。
会飞的癞蛤蟆 发表于 2021-10-25 19:43
  
等保一体机  都包括哪些功能?
呆呆蛙 发表于 2021-11-15 08:58
  
回帖是美德,赞扬技术贴
呆呆蛙 发表于 2021-11-18 23:07
  
感谢分享,有助于工作,学习学习
一个无趣的人 发表于 2021-11-20 23:19
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
新手673836 发表于 2022-3-24 08:18
  

感谢楼主分享,打卡学习一下
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
新版本体验
信服课堂视频
标准化排查
产品连连看
安装部署配置
功能体验
自助服务平台操作指引
秒懂零信任
GIF动图学习
2023技术争霸赛专题
通用技术
社区帮助指南
技术晨报
安全攻防
每日一记
玩转零信任
天逸直播
华北区交付直播
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

汤汤啊

本周分享达人

kmyd

本周提问达人