【交付】等保一体机Xsec实施记录

等保一体机Xsec实施记录

一、背景说明

         接到任务，对一台等保一体机进行实施，其中安全组件包括vAF、vOSM、vSIP-Logger、vDAS组件，要求是组件策略全放通，后续等待业务运行后再进行策略调优。

           等保一体机版本：5.0.4版本，深信服一体机，非三方设备。

二、实施步骤

         1、设备上架

                 设备到机房后，首先应该进行到货验收，包括硬件设备、电源线、设备参数查验、授权key、以及其余的合格证等纸质材料等，配合客户完成到货验收。

         2、设备初始化

                  直连设备eth0口，配置同网段IP，浏览器输入默认IP进入设备web控制台

                    默认IP是：10.251.251.251，掩码24

                     进去后，单机选择单机部署，集群按手册实施即可，配置Xsec的IP和底层HCI的IP即可

                    初始化完成后，会提示导入授权，这个时候使用授权盒子中的u盘中的.cert文件导入授权

                       即可。

                          调整时间和本地时间一致，并配置ntp服务器。

         3、组件部署

                 可以直接使用模板部署，也可以直接将需要的组件拖拽出来，这里可以选择适合部署场景的模板，常见的都是等保合规单臂部署即可，选择对应组件的授权，点击【立即生效】，就完成了模板组件的部署。

                注意1：如果非一体部署，需要自己下载模板导入，我这块是一体机部署，自带

                注意2：模板部署必须模板所有组件都授权后，才可下发)

         4、配置网络

                  在拓扑中的虚拟路由器上，选择物理出口的接口配置和物理交换机互联的IP地址，然后再给组件规划一个和互联地址不同段的网络，给组件的业务口进行配置。如图所示

                      下面给组件连接的网口配置业务IP地址和默认路由，以SIP-Logger和EDR为例

                    SIP-Logger

                    此处规划的业务地址是197.168.107。184/24，网关是197.168.107.185，写默认路由即可。

                        EDR

注意EDR的配置，需要在后台进行配置业务IP和默认路由，并修改路由优先级为99即可。

点击EDR组件，点击右下角【进入控制台】-输入账号密码(root/xxx，可以找400要，也可以support平台找到)

   进入后，修改IP地址为业务IP，添加永久默认路由到网关，优先级99即可

                5、对组件的合规配置及培训

                       组件部署完成后，需要做等保的合规配置，按要求完成，以及日常的运维培训及材料传递等工作。

三、总结

            1、安装实施方案完成实施部署即可，不过实施前和客户对好网络架构，防止特殊需求，导致后续需要更改网络。

             2、网络部署后，需要交换机侧做策略路由，将目的地址是组件业务地址网段，下一跳写到等保一体机的互联地址上，打通网络。

感谢楼主分享，努力学习中！！！！