内网服务器想要外网访问相关的安全问题。 20

吐蕃学霸鸠摩智 929

{{ttag.title}}
本帖最后由 吐蕃学霸鸠摩智 于 2024-11-11 15:03 编辑

各位前辈大家好,最近公司作信息化改革,出口是8.0.75版本的AF,即将部署四节点的超融合与一台内网AF(这台AF针对本次的超融合部署在内网中超融合服务器之前),届时内网中至少会有一台(有可能是两台)服务器需要外网(包括移动端)访问,出口是一条专线(有固定IP),请问应该怎么作哇?因为也是第一次用深信服的设备,所以不是很懂,请前辈指点下网络及安全方面因该怎么作?
十分感谢!

该疑问已被 解决,获得了 40 S豆

回帖即可获得
2S豆
,被楼主采纳即奖励20S豆+悬赏奖励20S豆+10分钟内回帖奖励10S豆 [已过期] ,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

1  关于AF应用控制策略的配置,以下是详细的步骤和注意事项:
功能说明
AF的应用控制策略类似于交换机的ACL控制,可以实现禁止上外网、禁止访问指定应用等功能。通过[应用控制策略],可以基于源、目的IP,基于端口服务或应用等来做策略控制。数据包匹配到对应服务端口或应用特征识别库中的应用规则之后,根据策略动作进行拦截或放通处理[2]。
前提条件
  • 需保证数据流双向经过AF[2]。
  • 应用控制策略的源、目的区域类型要求一致,否则配置策略后不生效;一个三层区域和一个二层区域配置应用控制策略是不生效的,需二层区域对二层区域,三层区域对三层区域[2]。

注意事项
  • 目的地址转换和双向地址转换勾选了自动放通ACL不受应用控制策略限制,若需要通过应用控制策略限制目的地址为内网服务器地址[2]。
  • AF应用控制策略是全部拒绝且暂默认不支持进行禁用删除,默认策略会导致用户无法上网,同区域通接口数据包经过AF也是受应用控制,因此需要新增允许的应用控制策略才可以进行区域网段接口的互访。没有选择区域的接口不受应用控制策略限制[2]。
  • AF应用控制策略修改配置,除配置阻断策略外,不会导致之前的会话中断。截止标准版本AF8.0.95,暂不支持直接恢复删除的应用控制策略。可在[系统]-[系统维护]-[恢复与备份]里恢复到昨天的配置,此操作会导致此时间段内的配置丢失,同时会重启设备[2]。
  • AF应用控制策略从上往下匹配,匹配到了则不会继续往下[2]。

配置步骤
  • 标准版本AF7.4及以上版本操作示例

      可在[策略]-[访问控制]-[应用控制策略]中新增或是复制应用控制策略。
      [2]。
  • 标准版本AF7.3及以下操作路径示例

      可在[内容安全]-[应用控制策略]中新增或是复制应用控制策略[2]。

AF应用控制策略各配置项说明
  • 名称:定义规则名称[2]。
  • 状态:设置该策略为启用或者禁用状态[2]。
  • 描述:非必选项,添加规则的描述[2]。
  • 策略组:定义规则所属的策略组[2]。
  • 策略位置:设置策略的优先级,可以设置该策略在某条策略之前或者之后[2]。
  • 标签:非必选项,定义规则的标签,可用做显示区域及过滤筛选时使用[2]。

  • 源区域:选择需要控制的数据的源区域,默认为“any”区域,即代表所有区域[2]。
  • 源地址:选择需要控制的源IP地址或者用户[2]。
  • 用户/组:是从[用户认证/用户管理/组/用户]的组织结构中调用的用户信息[2]。

目的
  • 目的区域:选择需要控制的数据的目的区域。默认为“any”区域,即代表所有区域[2]。
  • 目的地址:选择需要控制的数据的目的IP组。如果要针对内网用户上外网数据进行控制,则此处目标IP一般可以选择“全部”[2]。
  • Mac地址:选择需要控制的源目MAC地址[2]。
  • 域名:选择需要控制的域名[2]。
  • 服务:选择需要做控制的服务。该处是调用[对象/服务]中定义的服务[2]。
  • 应用:选择需要做控制的应用。该处是调用[对象/内容识别库/应用识别库]里的应用特征[2]。

生效条件设置
  • 动作选项:设置满足上述定义的条件的数据包是放行还是丢弃[2]。
  • 生效时间:过滤条件,在指定的时间内过滤规则才生效。该处是调用[对象/时间计划]中定义好的时间对象[2]。
  • 高级选项:点击<设置>进入[高级选项]界面[2]。

      长连接:此功能仅用于支持访问有长连接请求的特殊服务器,使连接请求不受防火墙连接超时的影响,开启此功能会使连接释放变慢,时间可以选择最短1天、最长15天,请谨慎使用[2]。
      日志选项:默认未开启应用控制日志记录,需要提前在[系统/日志设置]中,开启“应用控制日志”,同时选择保存应用控制日志的存储位置。勾选“记录日志”,则把控制行为记录到所选择的存储位置中。应用控制日志过大将导致系统磁盘读写缓慢,建议使用外置数据中心或syslog存储该日志。(从标准版本AF8.0.19版本开始,AF不支持外置数据中心)[2



2   关于SNAT(源地址转换)的配置,以下是详细的步骤和注意事项:
功能说明
源地址转换(SNAT)是指通过策略匹配后会把对应数据包的源IP修改为另一个IP,一般用于内网电脑配置私有IP、防火墙外网口地址是公网IP时,通过源地址转换将内网私有IP转换为防火墙外网口公网IP地址,实现内网用户通过设备访问互联网的场景[2]。
前提条件
  • 需有三层口(路由口)才支持源地址转换。
  • 做源地址转换不要求转换后IP配置在AF设备接口上,只要对端回包时能交回设备即可[2]。

注意事项
从标准版本AF8.0.85开始:接口上存在多个IP时,源地址转换SNAT选择“出接口地址”时只取接口上第一个IP,这时容易出现NAT端口不足的问题,需要将接口的多个IP配置成网络对象,SNAT改成源地址转换成该网络对象[2]。
配置步骤标准版本AF8.0.35及以上版本示例
  • 在[策略]-[地址转换]-[IPv4地址转换]新增后选择源地址转换进行配置。
  • 下图实现效果为:所属内网区域的内网网段访问外网区域全部IP时都转换为了外网区域接口上的地址。
    [2]。

标准版本AF8.0.6-AF8.0.32版本示例
  • 可在[策略]-[地址转换]-[IPv4地址转换]新增[源地址转换]进行配置。
    [2]。

标准版本AF7.4-AF8.0.5版本示例
  • 可在[网络]-[地址转换]新增[源地址转换]进行配置[2]。

标准版本AF7.3及以下版本示例
  • 可在[防火墙]-[地址转换]新增[源地址转换]进行配置[2]。

AF源地址转换各项配置说明
  • 启用状态:禁用后,该规则失效。
  • 添加到:用于定义源地址转换的位置;源地址转换规则是从上往下匹配的。
  • 生效时间:用于定义该源地址转换规则的生效时间,默认为全天,若有自定义时间,只会在定义时间内该规则才生效。

原始数据包
  • 源区域 & 源地址/网络对象:用于设置需要进行源地址转换即匹配此条规则的源IP条件,只有来自指定的源区域和指定网络对象的数据才会匹配该规则、进行源地址转换。如路由接口代理内网上网,则一般配置源区域为内网、源网络对象为内网IP网段,或者全部。
  • 目的区域/接口 & 目的地址:目标区域指的是访问的目的对象所属的区域,网络对象指的是具体访问的IP地址或者网段,如路由接口代理内网上网,则一般配置目标区域为公网、网络对象为全部。
  • 服务:用于定义需要转换的源协议和端口,默认值为any。

转换后数据包
  • 源地址转换为:可选[出接口地址]、[某一段IP范围]、[单个指定IP]、[网络对象]或者[不转换]。

      出接口地址:设备上通过源和目的匹配查看路由,路由匹配的哪个接口就是转换成哪个接口的IP地址出去;PS:若该接口有多个IP地址,转换是通过哈希算法计算随机进行转换的。
      某一段IP范围:自定义需要转换成的IP范围,以“-”来分隔IP范围;可选动态转换和静态转换;[动态转换]即动态端口转换,多个源地址可被转换成指定IP地址条目中的一个地址,转换是通过哈希算法计算随机进行转换的;[静态转换]:即一对一的转换,要求被转换到的地址条目包含IP地址数与流量的源地址的地址条目包含的IP地址数相同,可用于溯源。
      单个指定IP:自定义需要转换成的固定IP地址。
      网络对象:选择自定义好的网络对象,转换是通过哈希算法计算随机进行转换的。
      不转换:用于定义内网某一段IP地址不进行源地址转换[2]

本答案是否对你有帮助?
富贵花开 发表于 2024-11-11 16:27
  
防火墙用来做  内外网隔离吗 ?
小鱼儿 发表于 2024-11-11 19:54
  
1  关于AF应用控制策略的配置,以下是详细的步骤和注意事项:
功能说明
AF的应用控制策略类似于交换机的ACL控制,可以实现禁止上外网、禁止访问指定应用等功能。通过[应用控制策略],可以基于源、目的IP,基于端口服务或应用等来做策略控制。数据包匹配到对应服务端口或应用特征识别库中的应用规则之后,根据策略动作进行拦截或放通处理[2]。
前提条件
  • 需保证数据流双向经过AF[2]。
  • 应用控制策略的源、目的区域类型要求一致,否则配置策略后不生效;一个三层区域和一个二层区域配置应用控制策略是不生效的,需二层区域对二层区域,三层区域对三层区域[2]。

注意事项
  • 目的地址转换和双向地址转换勾选了自动放通ACL不受应用控制策略限制,若需要通过应用控制策略限制目的地址为内网服务器地址[2]。
  • AF应用控制策略是全部拒绝且暂默认不支持进行禁用删除,默认策略会导致用户无法上网,同区域通接口数据包经过AF也是受应用控制,因此需要新增允许的应用控制策略才可以进行区域网段接口的互访。没有选择区域的接口不受应用控制策略限制[2]。
  • AF应用控制策略修改配置,除配置阻断策略外,不会导致之前的会话中断。截止标准版本AF8.0.95,暂不支持直接恢复删除的应用控制策略。可在[系统]-[系统维护]-[恢复与备份]里恢复到昨天的配置,此操作会导致此时间段内的配置丢失,同时会重启设备[2]。
  • AF应用控制策略从上往下匹配,匹配到了则不会继续往下[2]。

配置步骤
  • 标准版本AF7.4及以上版本操作示例

      可在[策略]-[访问控制]-[应用控制策略]中新增或是复制应用控制策略。
      [2]。
  • 标准版本AF7.3及以下操作路径示例

      可在[内容安全]-[应用控制策略]中新增或是复制应用控制策略[2]。

AF应用控制策略各配置项说明
  • 名称:定义规则名称[2]。
  • 状态:设置该策略为启用或者禁用状态[2]。
  • 描述:非必选项,添加规则的描述[2]。
  • 策略组:定义规则所属的策略组[2]。
  • 策略位置:设置策略的优先级,可以设置该策略在某条策略之前或者之后[2]。
  • 标签:非必选项,定义规则的标签,可用做显示区域及过滤筛选时使用[2]。

  • 源区域:选择需要控制的数据的源区域,默认为“any”区域,即代表所有区域[2]。
  • 源地址:选择需要控制的源IP地址或者用户[2]。
  • 用户/组:是从[用户认证/用户管理/组/用户]的组织结构中调用的用户信息[2]。

目的
  • 目的区域:选择需要控制的数据的目的区域。默认为“any”区域,即代表所有区域[2]。
  • 目的地址:选择需要控制的数据的目的IP组。如果要针对内网用户上外网数据进行控制,则此处目标IP一般可以选择“全部”[2]。
  • Mac地址:选择需要控制的源目MAC地址[2]。
  • 域名:选择需要控制的域名[2]。
  • 服务:选择需要做控制的服务。该处是调用[对象/服务]中定义的服务[2]。
  • 应用:选择需要做控制的应用。该处是调用[对象/内容识别库/应用识别库]里的应用特征[2]。

生效条件设置
  • 动作选项:设置满足上述定义的条件的数据包是放行还是丢弃[2]。
  • 生效时间:过滤条件,在指定的时间内过滤规则才生效。该处是调用[对象/时间计划]中定义好的时间对象[2]。
  • 高级选项:点击<设置>进入[高级选项]界面[2]。

      长连接:此功能仅用于支持访问有长连接请求的特殊服务器,使连接请求不受防火墙连接超时的影响,开启此功能会使连接释放变慢,时间可以选择最短1天、最长15天,请谨慎使用[2]。
      日志选项:默认未开启应用控制日志记录,需要提前在[系统/日志设置]中,开启“应用控制日志”,同时选择保存应用控制日志的存储位置。勾选“记录日志”,则把控制行为记录到所选择的存储位置中。应用控制日志过大将导致系统磁盘读写缓慢,建议使用外置数据中心或syslog存储该日志。(从标准版本AF8.0.19版本开始,AF不支持外置数据中心)[2



2   关于SNAT(源地址转换)的配置,以下是详细的步骤和注意事项:
功能说明
源地址转换(SNAT)是指通过策略匹配后会把对应数据包的源IP修改为另一个IP,一般用于内网电脑配置私有IP、防火墙外网口地址是公网IP时,通过源地址转换将内网私有IP转换为防火墙外网口公网IP地址,实现内网用户通过设备访问互联网的场景[2]。
前提条件
  • 需有三层口(路由口)才支持源地址转换。
  • 做源地址转换不要求转换后IP配置在AF设备接口上,只要对端回包时能交回设备即可[2]。

注意事项
从标准版本AF8.0.85开始:接口上存在多个IP时,源地址转换SNAT选择“出接口地址”时只取接口上第一个IP,这时容易出现NAT端口不足的问题,需要将接口的多个IP配置成网络对象,SNAT改成源地址转换成该网络对象[2]。
配置步骤标准版本AF8.0.35及以上版本示例
  • 在[策略]-[地址转换]-[IPv4地址转换]新增后选择源地址转换进行配置。
  • 下图实现效果为:所属内网区域的内网网段访问外网区域全部IP时都转换为了外网区域接口上的地址。
    [2]。

标准版本AF8.0.6-AF8.0.32版本示例
  • 可在[策略]-[地址转换]-[IPv4地址转换]新增[源地址转换]进行配置。
    [2]。

标准版本AF7.4-AF8.0.5版本示例
  • 可在[网络]-[地址转换]新增[源地址转换]进行配置[2]。

标准版本AF7.3及以下版本示例
  • 可在[防火墙]-[地址转换]新增[源地址转换]进行配置[2]。

AF源地址转换各项配置说明
  • 启用状态:禁用后,该规则失效。
  • 添加到:用于定义源地址转换的位置;源地址转换规则是从上往下匹配的。
  • 生效时间:用于定义该源地址转换规则的生效时间,默认为全天,若有自定义时间,只会在定义时间内该规则才生效。

原始数据包
  • 源区域 & 源地址/网络对象:用于设置需要进行源地址转换即匹配此条规则的源IP条件,只有来自指定的源区域和指定网络对象的数据才会匹配该规则、进行源地址转换。如路由接口代理内网上网,则一般配置源区域为内网、源网络对象为内网IP网段,或者全部。
  • 目的区域/接口 & 目的地址:目标区域指的是访问的目的对象所属的区域,网络对象指的是具体访问的IP地址或者网段,如路由接口代理内网上网,则一般配置目标区域为公网、网络对象为全部。
  • 服务:用于定义需要转换的源协议和端口,默认值为any。

转换后数据包
  • 源地址转换为:可选[出接口地址]、[某一段IP范围]、[单个指定IP]、[网络对象]或者[不转换]。

      出接口地址:设备上通过源和目的匹配查看路由,路由匹配的哪个接口就是转换成哪个接口的IP地址出去;PS:若该接口有多个IP地址,转换是通过哈希算法计算随机进行转换的。
      某一段IP范围:自定义需要转换成的IP范围,以“-”来分隔IP范围;可选动态转换和静态转换;[动态转换]即动态端口转换,多个源地址可被转换成指定IP地址条目中的一个地址,转换是通过哈希算法计算随机进行转换的;[静态转换]:即一对一的转换,要求被转换到的地址条目包含IP地址数与流量的源地址的地址条目包含的IP地址数相同,可用于溯源。
      单个指定IP:自定义需要转换成的固定IP地址。
      网络对象:选择自定义好的网络对象,转换是通过哈希算法计算随机进行转换的。
      不转换:用于定义内网某一段IP地址不进行源地址转换[2]

请叫我陶工 发表于 2024-11-11 20:22
  
王老师 发表于 2024-11-12 08:14
  
出口AF配置
基本设置:
配置出口AF的基本网络设置,包括管理IP地址、默认网关等。
确保出口AF的WAN口连接到外部网络,LAN口连接到内网AF。
防火墙规则:
配置防火墙规则,允许必要的外部访问(如HTTP、HTTPS、SSH等)。
添加安全策略,限制不必要的外部访问。
NAT配置:
配置静态NAT或端口映射,将外部固定IP地址映射到内网服务器的私有IP地址。
例如,将外部IP地址的80端口映射到内网服务器的80端口。
日志和告警:
启用日志记录功能,记录所有进出流量。
配置告警通知,及时发现和处理异常流量。
内网AF配置
基本设置:
配置内网AF的基本网络设置,包括管理IP地址、默认网关等。
确保内网AF的WAN口连接到出口AF的LAN口,LAN口连接到超融合集群。
防火墙规则:
配置防火墙规则,允许内网服务器的必要访问(如HTTP、HTTPS、SSH等)。
添加安全策略,限制不必要的内部访问。
NAT配置:
如果需要,配置内部NAT,确保内部网络的正常通信。
日志和告警:
启用日志记录功能,记录所有内部流量。
配置告警通知,及时发现和处理异常流量。
超融合集群配置
网络设置:
配置超融合集群的网络设置,确保所有节点的网络连接正常。
创建虚拟交换机,连接到内网AF的LAN口。
虚拟机设置:
在超融合集群中创建需要外网访问的服务器虚拟机。
配置虚拟机的网络设置,确保虚拟机能够通过内网AF访问外部网络。
安全设置:
在虚拟机中安装防病毒软件和安全补丁。
配置虚拟机的防火墙规则,限制不必要的访问。
3. 安全建议
多层防护:
使用出口AF和内网AF的多层防护机制,确保内外网络的安全。
配置入侵防御系统(IPS)和反病毒功能,防止恶意攻击和病毒传播。
访问控制:
使用访问控制列表(ACL)和安全策略,限制不必要的网络访问。
配置用户认证和授权机制,确保只有授权用户可以访问敏感资源。
定期审计:
定期审查网络日志和安全事件,及时发现和处理潜在的安全威胁。
定期进行安全审计,评估网络和系统的安全性。
备份和恢复:
定期备份重要数据和配置文件,确保数据的安全性和完整性。
制定灾难恢复计划,确保在发生故障时能够迅速恢复系统。
员工培训:
对员工进行网络安全培训,提高员工的安全意识和技能。
制定安全操作规程,规范员工的网络使用行为。
4. 测试和验证
功能测试:
测试所有配置的功能,确保网络连接和安全策略正常工作。
测试外部访问功能,确保可以从外部网络访问内网服务器。
性能测试:
测试网络的性能,确保网络延迟和吞吐量满足业务需求。
测试超融合集群的性能,确保虚拟机能够高效运行。
安全测试:
进行渗透测试,发现和修复潜在的安全漏洞。
进行安全审计,评估网络和系统的安全性。

等我来答:

换一批

发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
每日一问
【 社区to talk】
干货满满
技术笔记
产品连连看
新版本体验
技术咨询
GIF动图学习
功能体验
2023技术争霸赛专题
每周精选
标准化排查
通用技术
自助服务平台操作指引
信服课堂视频
秒懂零信任
安装部署配置
排障笔记本
玩转零信任
答题自测
原创分享
技术晨报
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
全能先锋系列
云化安全能力

本版版主

189
299
979

发帖

粉丝

关注

217
288
151

发帖

粉丝

关注

25
13
5

发帖

粉丝

关注

7
11
24

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

31
34
45

发帖

粉丝

关注

本版达人

皮皮虾·真

本周建议达人

郑州网络

本周分享达人

二进制网络

本周提问达人