#原创分享#记深信服网闸GAP的一次路由部署实施以及功能分享

    2019年11月19日，接到工单某公司公司网闸GAP的实施,仔细某公司公司研究了一波后，开始干，发现社区相关实际案例的比较少，于是小弟将此次经理和大家分享，共同某公司公司进步。

    该客户是一家医院，此前实施测试防火墙与超融合已经跟进将近1年时间，客户网络拓扑稍微有点繁琐，明年过等保三级的时候还会再做进一步优化。废话不说，开始小弟的分享：

    一：客户需求：

    客户因为有两套完物理隔离的网络，

    1.按照上面的安全要求，在医保前置机所在的区内网区域内，不能和医院某公司公司业务主机有直接的物理连通，必须有相关的安全设备；

    2.如果要实现内外网互通，必须要使用网闸设备实现指定业务的访问和互通；

    3.IT维护人员每次维护两套网络要切换运维主机的网卡，十分麻烦。

    出于这些需求，客户使用了我们某公司公司的网闸GAP

   二：首先我们看一下客户现有网络拓扑：

     拓扑描述：简单来说客户整体上只有两套完全物理隔离的网络，、

    一套是医院普通上互联网的使用192.***.50网段，某公司公司NGAF承载两套外网电信某公司公司和192.***50.X的网关，实现外网区域的基本上网安全防护

     另外一套是专用的医院院院通专线环境，上面分配了192.168.18.X网段，有专用的DNS和网关，全部在上级单位，医院端使用一台24口傻瓜的cisco交换机做的接入，按照上级要求接入前使用我们一台某公司公司NGAF做的透明部署安全防护和相关端口限制，下边交换机上接入了医院的医保前置机和数据库。

    但是客户后期医院业务不断扩大，专线地址不够，再加上一些医院自己的系统，于是客户又用了一台某公司公司NGAF做网关部署，部署了内网业务系统192.168.88.X网段，并将192.168.88.X网段经过NGAF作为内网网关NAT转换为192.168.18.X网段，这样下边内网的电脑或者设备使用192.168.88.X网段既可以实现访问医院自己的业务，也可以访问专线的院院通环境。

    三：到达现场二次确认需求：

  1.客户需求暂时只要实现192.168.50.X的外网网段，访问内网192.***.88.222内的一些系统，内置了一些OA应用和医院自己的数据库。（数据库没有直接访问需求）

  2.考虑到客户的环境有NAT实现192.168.88.X转换为192.168.18.X，同时后期的网络整合可能还要实现192.168.50.X可以去访问192.168.18.X网段，于是和客户商量网闸采用路由模式部署。

  3.服务中心prm系统工单建立打印。

    四：拆箱上架

2U设备:

设备前面板：（网闸设备是内网和外网各有一块主板，两块主板之间采用专用的加密芯片和私有协议实现物理隔离）

   型号信息已经抹除，请大家理解

设备后面板为双电（双电不是每个主板各用一个电源，而是准备电源，单个电源就可以给两个主板供电），后面上号托架，然后安装好设备，上电检查：

    五：实施拓扑与地址规划

   网闸采用ETH2作为内网口（因为刚开始用了ETH1重点出了点波折，后台调整到ETH2）使用192.***88.18作为接口地址

   外网采用NETH1作为外网口，配置192.168.50.X作为外网口地址

   分别接到内外网核心上，内网核心交换机上全部用的是access VLAN88接口属性，外网交换机接口全部使用的access VLAN50接口属性

    六：直连内网板卡的MAN口开始调试：

6.1设备初始化登录：

   （1） 默认地址为：10.251.251.11，使用https://10.251.251.11登录，初始超级管理员某公司公司名密码：** ***，第一次登录强制改密

（2）再次登录：可以看到设备首页和菜单信息，默认为代理模式，可以看到内网板卡和外网板卡的工作信息

（3）我们调试的时候使用超级管理员登录，设备内置了三权分立账号，使用某公司公司名密码和证书双因素认证，满足合规要求：

（4）如需要三权分立登录，则需要提前下载好证书文件

6.2 设备具体需求配置

（1）更改模式为路由部署，并确认是否生效

（2）配置内网到外网的安全通道，这点十分重要，网闸是单向通信的，如果需要外网到内网的访问，通道方向要实现外到内，如果是内网到外网的则需要建立内到外的通过，与传统防火墙不一样，防火墙不需要建立双向通道，网闸通道的方向按照实际现场客户的需求来建立。本文中只需要建立外网50.X到内网88.X的安全通道

（3）创建对象，内网地址 外网地址 业务地址等

（4）创建应用 比如ICMP应用 443端口应用等，同时添加日志记录规则

（5）创建放通规则，要讲对象 安全通道 应用 允许策略建立关联，默认没有匹配到规则的数据一律禁止：

建立完成后注意要启用规则，默认规则是未启用状态：

（6）因为本案例是路由模式部署，因此需要在内网网关和外网网关上添加相关路由，将数据包丢给网闸：

七：测试效果分析原理：

     然后使用192.168.50网段的普通外网PC尝试ping 原本不能访问的192.168.***.20 并追踪路由：（抱歉88网段的访问没有截到图，88网段和18网段都是内网专线网段）

之前访问50网段和18和88网段是物理隔离的 某公司公司法互访，添加网闸后方通ICMP应用可以实现ping通

     可以看到50段访问18.20的时候是由网关设备诶NGAF的50.1丢给网闸外网口NET1 192.***.50.18，然后由设备的进行数据加密传输给内置地址1.0.0.254 丢给内网板卡，由内网板卡的默认路由丢到内网网关 NGAF的88.250设备上，再到18网段实现访问，回包邮88.250的NGAF上的明细路由将数据包会给网闸内网口88.18实现数据的完整访问。

八：实施总结

    本次是第一次实施网闸实施时间1.5天，主要是该客户内网外网环境稍微复杂，客户没有现场拓扑，现场理线，梳理拓扑，耽误了较长时间，配置网闸的时候有因为之前手册查看不够详细，通道配置反了，找某公司公司组协助排查一段时间才找到问题所在。希望给为道友在日后的实施中少踩坑，顺利完成实施，体现出某公司公司系列产品的优势与价值。

顺便某公司公司客户现场照片：某公司公司系列设备网络机柜和某公司公司超融合机柜：

拜拜！！！！！！

大佬大佬，以后多多发些实施实例

点赞 优秀

点赞，优秀呀

打卡学习

您好，感谢您参与社区原创分享计划4，您的文章已被收录到计划中，交由专家评审小组评审，分享奖励将在活动结束后统一安排发放！分享越多，奖励越多，期待您更多的精彩分享哦！:感恩:

为楼主点赞，希望楼主多多分享干货！

很详细的实施实例。对于刚刚接触这个行业的人很有帮助。

为啥这个gap的信服logo感觉好别扭，

某公司网闸还是第一次见，长见识了