#争霸赛X干货满满#记一次SIP部署
  

无赖叫兽 32661人觉得有帮助

{{ttag.title}}
本帖最后由 无赖叫兽 于 2022-9-13 15:27 编辑

  某公司需要部署SIP,并于深信服其它设备联动,主要设备有出口AF,内网AF,AC,EDR。
基本网络拓扑
338863189209cb588.png
探针STA部署
  需要在两个堆叠的核心交换机上分别开启一个观察口(目的端口),将其他需要镜像流量的口一并开启镜像,我们先把几个光口做镜像,比如47口为观察口,以H3C交换机举例:
#mirroring-group 1 local
#group-member  Ten-GigabitEthernet1/1/0/1 to Ten-GigabitEthernet1/1/0/12
#mirroring-group 1 mirroring-port both
#interface GigabitEthernet1/0/0/47
#mirroring-group 1 monitor-port  
  另外一个核心也照样配置。两个都配完之后,将两个观察口分别与STA的eth1、eth2口直连,这样探针就可以抓到相应的流量了。配置eth5口为管理口,再配置默认路由,便于内网能访问管理。
945146318624105aec.png
SIP部署
  单臂部署直连在核心交换(主)上面,不可以端口聚合,并设置好路由。在资产里对内外网资产进行定义,服务器和网络安全设备,能定义的都定义了,其他默认即可。
探针平台STA设置与SIP关联
  
228246318b4ef69d7f.png

注:另外需要注意的是在日志配置中需要勾选所有方向的流量,默认没有勾选全,不然会导致一些流量是不生成的。
744866320304ec8724.png
  与AF联动
  在出口防火墙安全防护策略中新增一条反向策略,只记录日志

   8462563189b7980d73.png

对接SIP,端口默认为TCP4430

1502863189c1b73ac7.png

  在SIP里点到AF开启双向认证

6985863189c882b7b3.png

  同样方法添加服务器AF与SIP联动

2、与上网行为管理AC联动

AC联动,主要是针对风险用户进行联动,对其断网或控制一些端口。
先在AC的接入选项-->portal认证-->单点登录-->深信服设备里,勾选两个选项,并设置如图转发策略,端口为UDP1775。
  另外,需要注意的是AC在线的用户的认证方式如果是不需要认证的认证方式上线的, 是不会同步SIP平台,的需要是密码认证、单点登录等认证方式的用户上线的才能同步到SIP平台里。
926586318a09f509f0.png
487826318a0ebd59c4.png

  在系统管理-->深信服设备对接里,启用深信服设备对接功能,设置认证账号与密码。

697056318a14dbc424.png

  最后,在SIP端填入相应参数即可联动成功。

987666318a1a487e96.png

  3、与EDR联动
接入配置可在SIP或EDR平台进行单向配置即可

32276318a207d5d25.png

  需要在EDR端开启允许联动
79018631ae504496c5.jpg
处置中心
主要在处置中心-->风险资产视角 中,处置威胁,可以联动AF,对其封锁某个端口,也可以联动EDR对其进行查杀隔离等。

581696318a2caedb91.png

配置自动响应策略

自动响应策略一般只需要开启僵尸进程取证、勒索即可,不需要开启太多自动响应功能,以免对业务造成影响。

668806318a31d6b8c0.png
223026318a37dd84cd.png

另外这里支持图形化编程,可以根据用户需求自定义响应策略,可以测试使用

配置展示大屏

  可以根据自己的喜好设置大屏样式,一般保持默认即可,这里需要更改归属地。

195706318a3cd7291c.png
总结:
  对于一些中大型企业,深信服设备比较多的场景,建议部署SIP感知设置,可以设置多个探针,在日常运维的时候可以实现极简运维,一个设备就可以联动多个设备,在其中生成的策略都会同步到相应的设备里。

打赏鼓励作者,期待更多好文!

打赏
14人已打赏

七嘴八舌bar 发表于 2022-9-14 20:27
  
专家点评:作者记录了一次详细的SIP部署配置,各步骤截图都很细致。如果能在前面体现部署规划的思考,以及在配置过程中穿插注意事项的说明(比如各产品联动涉及的端口)就更好了,期待作者带来更多有价值的案例!!!
无赖叫兽 发表于 2022-9-9 14:52
  
自己顶下!
欧阳少侠 发表于 2022-9-9 16:36
  
感谢大佬分享。
请教一下呢,配置“在出口防火墙安全防护策略中新增一条反向策略,只记录日志”的目的是什么呢
山东_杨圣全 发表于 2022-9-11 08:21
  
学到了学到了学到了学到了
新手899116 发表于 2022-9-11 09:30
  
每天学习一点,每天进步一点。
新手780102 发表于 2022-9-11 10:23
  

坚持每天打卡学习,放假也坚持!
白鹭先生 发表于 2022-9-11 13:24
  
每天学习一点,每天进步一点。
wshellym 发表于 2022-9-11 20:26
  
感谢分享知识,有助于学习
新手741261 发表于 2022-9-12 10:45
  
感谢楼主的分享,学习学习~~~
新手031815 发表于 2022-9-12 11:09
  
感谢分享知识,有助于学习
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

ggbang

本周建议达人

adds

本周提问达人