大家好,我是打败,一日一钱,千日千钱,绳锯木断,水滴石穿。优质的帖子也在尽力中提供,也希望各位道友多多支持,让我引劫渡劫成功哈哈哈。
大白队口号就是:砸锅卖铁我最行,拼死拼活就要赢!!!!!!!!!!!!
今天分享的是综合部署案例,今天分享的是深信服AC、SIP、STA、EDR综合案例配置思路分享,本次综合部署共涉及深信服全网行为管理AC、深信服安全感知平台SIP、深信服探针STA、以及深信服终端安全管理系统EDR,此次分享主要是分享一下根据客户的需求进行配置的思路。
项目需求:
具体需求即为在移动专网中旁路部署全网行为管理,配置审计策略,对办公人员行为进行审计;在内网专网中透明部署AC实现桌面云用户的访问控制,STA接入SIP,STA采集镜像流量上传到SIP中,进行威胁分析;AF双机主备路由部署,替换现有旧防火墙;EDR实现终端杀毒。
设备清单:
规划拓扑:
拓扑说明:
在移动专网中旁路部署全网行为管理,配置审计策略,对办公人员行为进行审计;在内网专网中透明部署AC实现桌面云用户的访问控制,STA接入SIP,STA采集镜像流量上传到SIP中,进行威胁分析,SIP和STA通信需要放通STA和SIP的4430、4488端口通信;AF双机主备路由部署,替换现有旧防火墙;EDR实现终端杀毒。
两台AC单独部署需要一个地址,两台AF主备部署需要一个管理地址;SIP和STA各自需要一个IP地址;EDR需要一个地址。
上线前准备:
| | | 提前规划好设备上线安放的机柜位置、设备互连接入时交换机接口/配置规划、链路建立与连通测试 | | | | 两台AC单独部署需要一个地址,两台AF主备部署需要一个管理地址;SIP和STA各自需要一个IP地址;EDR需要一个地址 | | 为深信服工程师提供测试网络接入,以便设备上线后测试网络连通性。 | | 各业务系统的业务IP和开放端口:SIP和STA通信需要放通STA和SIP的443、4430、4488端口通信 | | 向深信服说明实施工程师进入机房需要准备带哪些证件及注意事项 |
设备部署上线:
全网行为管理:
在线下完成设备基本配置,设备的基础网络配置,内容审计策略配置。
登录设备
先进全网行为管理,设备出厂时eth0口地址为10.251.251.251,电脑通过交叉线直连设备eth0口,电脑IP配置为10.251.251.0段的地址,浏览器访问https://10.251.251.251登录,设备出厂时控制台管理员帐号为admin,密码为admin,如下图:
旁路部署配置:
选择【系统管理】->【网络配置】->【部署模式】,点击【开始配置】如下图。
选择“旁路模式”,点击【下一步】,如下图。
管理口配置,选择管理口,并且配置管理口IP及网关和可用的DNS地址。
配置监控网段,以区分lan-wan方向的数据;同时配置监控服务器。
配置完成,点提交设备重启后部署模式生效,可用管理口IP管理设备。
静态路由配置,配置部署模式时配置了管理口的IP,以及网关地址,默认会生成缺省路由指向网关,所以无需配置静态路由。
新建认证策略,根据客户需求设置好相应的认证策略配置完毕。
新建审计策略,关联给用户,这个根据客户的具体需求来做审计策略。
透明部署配置:(如上同理)
选择【系统管理】->【网络配置】->【部署模式】,点击【开始配置】。选择透明模式,具体配置参考3.1.2旁路模式部署
设备上架
1.设备上架,并固定好耳片,确保设备平稳,稳固;
2.设备管理口接交换机,设备镜口接交换机镜像目的端口。
3.连接设备网口的网线分别打上相应标签。
深信服安全感知平台SIP:
登录安全感知平台直连设备eth0口访问https://10.251.251.252,本地PC配置10.251.251.0/24网段IP,登录安全感知平台,默认账号密码是admin/admin。
通过eth0口默认地址10.251.251.252登录SIP。位置【系统设置】->【接口设置】可以在eth0口新增用于客户网络的IP地址,或使用其它接口配置IP地址。使用非eth0口时需要先启用网口。步骤如下:
在对应网口上接入网线,并使网口灯亮起。
将网口的状态勾选为启用,并配置正确的IP地址。
路由设置:
用于与网络正常通信。位置【系统设置】->【路由设置】
路由配置说明:
只支持静态路由配置。
当使用一个口接入网络时,可以配置一条默认路由。
当SIP使用两个网口接入不同的两个网络时,需要配置表态的明细路由。
当需要限制登录IP地址,则配置需要登录SIP的地址的明细路由,默认路由配置为黑洞路由。
产感知配置:
SIP内置DNS服务器地址,不需要在界面进行配置。若客户需要使用内网DNS服务器地址,需要在后台进行配置
SIS3.0.13.0 ~ # cat /etc/resolv.conf
nameserver 114.114.114.114
nameserver 202.96.134.133
nameserver 8.8.8.8
通过vi工具对/etc/resolv.conf 文件进行修改并保存,保存后立即生效。
配置受监控内部IP范围,新增或编辑。
要手工定义好IP属性,分为“服务器”、“终端”、“未配置”。当IP范围存在“服务器”与“终端”混杂时选择“未配置”这时建议在探针开启“主动IP扫描”功能。如下图,该功能用于发现IP地址是否存在服务端口如80,443等,若存在会识别为“服务器”IP。(若客户网络中存在扫描检测设备,将会被发现探针有扫描行为)
注:配置的服务器不会被分组
业务配置:
“业务”与“服务器”的关系如下图
业务需要手动配置,因为设备不能定义业务的名称。
设备上线后,满足以下条件,则表明设备目前线路正常
1.STA和SIP能互相通信。
深信服探针STA:
STA为潜伏威胁探针,用于旁路部署在网络中,收集镜像的流量数据,并将流量数据进行分析生成安全日志后。上传到SIP,SIP再基于大数据、机器学习对数据进行汇总分析处理。通过安全总览,大屏等方式,使得全网安全可视。
配置向导:
配置第一部分收集的感知平台地址,传输模式测试环境,探针CPU低于70%均使用高级模式,并且勾选高级选项中的所有项。
配置第一部分收集的探针管理地址,网关;以及镜像口(一般除了管理口,其他口均配完镜像口)
配置第一部分收集的终端地址段和业务地址段(重要)
违规访问:
违规访问勾选记录日志:
检查配置的终端地址段和业务地址段是否已经生成
确保配置向导配置的镜像口,接口类型为“旁路镜像”
镜像流量可镜像用户到服务器、用户到公网、服务器到公网的双向流量。
深信服防火墙AF:
为尽可能减少断网时间,需要在线下完成设备基本配置,设备的基础网络配置,业务策略配置。
网络配置:
先进入防火墙,设备出厂时eth0口地址为10.251.251.251,电脑通过交叉线直连设备eth0口,电脑IP配置为10.251.251.0段的地址,浏览器访问https://10.251.251.251登录,设备出厂时控制台管理员帐号为admin,密码为admin,如下图:
区域划分是防火墙安全策略的基础。
IP组配置会直接影响到后期报表呈现,配置的时候必须要求把业务系统地址写精细。
区域概念在防火墙中用于控制不同区域之间的数据访问权限和配置安全策略,对于部署防火墙的网络中可以按照传统安全级别分为:untrust、trust、DMZ。
传统的区域概念定义中untrust不能访问trust区域,DMZ不能访问trust区域,untrust区域可以与DMZ区域互访,trust可以访问untrust和DMZ。
本次实施中基于现有防火墙的配置文件进行配置转移即可。
高可用性配置:
【高可用性】AF的高可用性配置原理类似于VRRP,当一台NGAF上的链路出现故障或者设备本身出问题时可以切换到另一台设备,保证网络通信正常。
高可用性双机配置如下:
1、【系统】->【高可用性】-点击基本信息
选择本地心跳地址和对端心跳地址,保存
注:尽量保持首先上架为主机的设备本地IP地址大于对端地址,这样可以保证主机和主控角色是同一台设备。
2、【系统】->【高可用性】-配置同步
注:主主虚拟网线部署不需要配置双机热备
效果展示:
设备上线后,满足以下条件,则表明设备目前线路正常
1.用户和服务器、外网均可正常通信。
2 . 所做策略有匹配数。
3. 主主模式运行正常。
深信服终端安全管理平台EDR:
软件部署
将edr的vma安装包导入桌面云中,为EDR配置对应的IP地址。
软件部署
将edr的agent安装到桌面云的模板中并进行派生。
效果展示
登录EDR的管理平台查看授权使用情况。
以上就是本次的深信服AC、SIP、STA、EDR综合案例配置思路分享,知识点也是比较多,感谢大佬们的参阅,此贴先到这里后续会带上更加实用的帖子,感谢大家!
励志分享超清壁纸语句~~:
我们的艺术应当比现实站更高,应当使人不脱离现实又高于现实。——高尔基
好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!  | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-10-22 04:00
技术研究员3级 
