本帖最后由 赵建航 于 2022-9-6 15:49 编辑
一、前言 本次分享医院网络安全建设实施交付过程以及个人的一些经验,涉及到的产品有AF,AC,EDR,HCI,YJ,OSM,Sip-Logger,DAS,VPN,SIP。 *个人对于医院场景的了解,模拟标准医院环境。 二、前期规划(拓扑规划,ip地址规划等,本次规划内外网均按照单核心规划) 1,直接上图:
2,IP地址规划: 外网侧 | vlanif | IP地址 | 作用 | 备注 | 10 | 192.168.1.0/24 | 外网终端 | | 20 | 192.168.2.0/24 | 前置机 | | 30 | 192.168.3.0/24 | 旁挂设备+管理 | SSL,GAP | 40 | 10.10.10.0/29 | 上行互联 | |
内网侧 | vlanif | IP地址 | 作用 | 备注 | 10 | 172.16.1.0/24 | 内网PC | | 20 | 172.16.2.0/24 | 内网服务器 | | 30 | 172.16.3.0/24 | 旁挂设备+管理 | 合规类产品 | 40 | 10.10.10.8/29 | 上行互联 | |
外网: 设备名称 | IP地址 | 备注 | 互联网出口AF | 10.10.10.2/29 | 下行互联to_外网核心 | 200.200.200.1/30 | 模拟公网IP | 全网行为管理AC(单网桥) | 10.10.10.3/29 | 网桥地址+管理 | SSL VPN | 192.168.3.2/24 | 业务+管理 | GAP(外网侧) | 192.168.3.3/24 | 业务+管理 | 外网核心 | 10.10.10.1/29 | 上行互联to_AF | 192.168.1.1/24 | 外网pc网关 | 192.168.2.1/24 | 外网前置机网关 | 192.168.3.1/24 | 旁挂设备网关 |
内网: 设备名称 | IP地址 | 备注 | 专网出口AF | 10.10.10.10/29 | 下行互联to_内网核心 | 200.200.201.1/30 | 模拟专线地址(有多条,拿一条举例) | 云镜YJ | 172.16.3.2/24 | 业务+管理 | 安全感知平台SIP | 172.16.3.3/24 | 业务+管理 | 潜伏威胁探针STA | 172.16.3.4/24 | 业务+管理 | 日志审计Sip-Logger | 172.16.3.5/24 | 业务+管理 | 堡垒机OSM | 172.16.3.6/24 | 业务+管理 | 网闸GAP(内网侧) | 172.16.3.7/24 | 业务+管理 | 内网核心 | 172.16.1.1/24 | 内网PC网关 | 172.16.2.1/24 | 内网服务器网关 | 172.16.3.1/24 | 旁挂设备网关 | 10.10.10.9/29 | 上行互联to_专线出口AF | 数据库审计DAS | 172.16.3.8/24 | 管理 | 终端检测响应平台EDR | 172.16.3.9/24 | 管理 | HCI集群IP | 172.16.3.10/24 | | 云管scp | 172.16.3.11/24 | | 一体机1 | 172.16.3.12/24 | | 一体机2 | 172.16.3.13/24 | | 一体机3 | 172.16.3.14/24 | |
三、设备配置及注意事项 *全网采用OSPF路由协议 1,外网核心交换机主要配置摘要: # interface Vlanif10 ipaddress 192.168.1.1 255.255.255.0
# interface Vlanif20 ipaddress 192.168.2.1 255.255.255.0
# interface Vlanif30 ipaddress 192.168.3.1 255.255.255.0
# interface Vlanif40 ipaddress 10.10.10.1 255.255.255.248
# ospf 1 router-id 1.1.1.1 area0.0.0.0
network 192.168.1.1 0.0.0.0
network 192.168.2.1 0.0.0.0
network 192.168.3.1 0.0.0.0
network 10.10.10.1 0.0.0.0
2,互联网出口AF主要配置: 配置思路: 2.1部署模式:路由模式部署 2.2配置接口IP,划分区域。(略) 2.3配置路由静态+OSPF,默认路由指向公网网关。 创建骨干区域0,宣告运行网段。 在互联网出口,因此要通告缺省路由。 2.4配置SNAT+DNAT,其中SNAT代理上网;DNAT发布业务。(略)*注意映射时公网端口使用80,443或8080等端口,会出现运营商封锁的情况。非必要更管其他端口,必要情况协调客户侧找运营商备案开放。 2.5配置应用控制策略。基于五元组,此场景为上互联网放通LAN-2-WAN即可。(略) 2.6配置安全防护策略。深信服AF定义了两种防护模块,分别为用户防护和业务防护。需要注意的是 用户防护是针对LAN-2-WAN方向,而业务防护针对的是WAN-2-LAN方向。针对业务做防护时,要注意web端口是否为标准端口,如果不是要去模板定义或开启自动识别。https网站应用要配置对应的ssl解密。
3,全网行为管理主要配置: 3.1部署模式:单网桥(略)*注意LAN和WAN的接口方向,避免接反。 3.2配置审计策略(略) 3.3配置认证策略,这里介绍IP+MAC地址绑定。 此场景为跨三层场景,也就是说AC识别不到终端的MAC地址,需要通过核心交换机读取。因此AC配置跨三层获取终端MAC地址。(核心交换机开启SNMP) [WW-Core]discu | include snmp snmp-agent snmp-agentlocal-engineid 800007DB034C1FCC387885 snmp-agentcommunity read sangfor snmp-agentsys-info version v3 [WW-Core] *针对华为或华三交换机将IPOID和MAC OID改成1.3.6.1.2.1.4.22.1.3和1.3.6.1.2.1.4.22.1.2,要记得排除核心交换机的MAC地址。
4.SSLVPN主要配置: 4.1网络配置。(略) 4.2部署模式:单臂。 4.3出口设备映射vpn的443端口。(略) 4.4创建资源,用户,角色。*由于比较简单这里就不一一截图了。 需要注意的是SSLVPN几种资源详解(摘自社区智能助手): web资源:通过ssl将内网服务器转换成HTTPS协议,支持的应用的类型 http https mail ftp fileshare:支持所有浏览器,客户端免控件,访问时候只能点击链接
tcp应用:通过客户端安装PROXY IE控件,用控件抓取访问服务器的tcp连接并进行数据封装,将tcp协议转换成ssl协议数据, 数据到达ssl设备后,由设备自身发起对服务器的访问。注意:源ip可以是虚拟池中的ip,也可以是设备自身的ip,默认ssl设备ip。
L3vpn应用:通过在客户端安装虚拟网卡,在客户端生成路由表,指向虚拟网卡,由虚拟网卡抓取访问服务器的数据,进行封装后将数据传到ssl设备,数据到达设备后解封装,由虚拟ip或设备自身ip发起对server的访问,默认设备自身ip。支持所有tcp,udp,icmp应用。注意:: 基于UDP,ICMP的应用或Server需主动访问Client端的应用的时候使用L3VPN资源。 医院场景SSL 一般用于运维人员远程维护使用。所以一般结合OSM使用。这里就涉及到过网闸,放通端口的问题。所以要特别注意资源访问模式为设备自身IP还是虚拟IP。
5.内网出口AF,参考外网AF(略)。
6.内网服务器前置AF。 6.1部署模式:透明或虚拟网线,推荐使用虚拟网线部署,设备不查MAC地址,转发性能高。 6.2其他配置参考外网AF。
7.内网核心配置,参考外网核心。(略)
8.网闸。推荐采用代理模式部署(安全性高,但是配置相对复杂。) 这里简述配置原理,以外网SSL访问OSM的443端口为例。无演示环境,无法截图。 SSL--->GAP--->OSM 192.168.3.2---->192.168.3.3|172.16.3.7--->172.16.3.6
9.OSM主要配置: 注意事项: 客户端到堡垒机需要放通以下端口: 1、443,https 2、9443,协议代理web 3、12024,协议代理字符客户端:xshell、putty、crt、winscp、filezilla 4、12025,协议代理RDP客户端 堡垒机到发布服务器: 1、3389,RDP 堡垒机到目标服务器: 1、22,linu服务器ssh 2、3389,windows服务器RDP
10.云镜YJ。(略)
11.SIP+STA. 核心交换机全流量镜像给STA,有STA推送到感知平台展示。 这里介绍各交换机厂家端口镜像命令配置 华为: 1.先配置观察端口 <HUAWEI> sys [HUAWEI] observe-port 1 interface GigabitEthernet1/0/1 2.进入被镜像端口 GE3/0/1 [HUAWEI] interface GigabitEthernet3/0/1 [HUAWEI-GigabitEthernet3/0/1] port-mirroring to observe-port 1 both 4. 查看 观察端口: [HUAWEI]display observe-port 镜像端口: [HUAWEI]display port-mirroring
华三: 1.创建本地镜像组 [SW]mirroring-group 1 local 2.配置本地镜像组1的源端口为GE1/0/2和GE1/0/3,并镜像两端口的双向流量。 [SW]mirroring-group 1 mirroring-port GigabitEthernet 1/0/2 to GigabitEthernet 1/0/3 both 3.配置本地镜像目的观察端口为GE1/0/4。 [SW]mirroring-group 1 monitor-port GigabitEthernet 1/0/4 4.使用display mirroring-group all查看镜像组的配置信息。
锐捷: 1.Switch#configure terminal 进入交换机全局配置模式。 Switch(config)#monitor session 1 source interface fastEthernet 0/15 both 同时监控端口发送和接收的流量 2.Switch(config)#monitor session 1 destination interface fastEthernet 0/5 指定交换机的0/5 接口为目的口(也叫监控口) 3.Switch#show monitor session 1 验证
---------------------------------------------剩下的产品下集分享----------------------------------------------------- |