#原创分享#Xsec集成安全平台初体验

前阵子有个项目，接触了某公司公司Xsec集成安全平台，这里简单某公司公司。

客户业务是一个游戏平台，需24小时对外提供服务，当前整体架构网络安全性比较低，基于等保2.0要求，需要增加相应的安全设备进行等保加固，最终客户选择了某公司公司Xsec集成安全平台，购买了 vAF，vLAS，vDAS三个组件。

----------客户需求--------------

客户原有拓扑

拓扑描述：

客户环境比较简单，分内外网，服务器配置双网卡，一张内网，一张外网，外网卡直接配置公网地址，网关在路由器上，内网卡二层环境，只做管理用途。

现要求，不改变原有网络架构，实现设备接入，同时为了服务器的稳定性，不允许在服务器上安装客户端等插件。

由于是游戏平台，只有凌晨4-5点钟才可以停机操作。

----------解决思路--------------

规划拓扑

方案分析：

1、由于客户要求不改变原有环境架构，且我们设备是单机部署，存在单点故障，于是我们采用在网关路由器上做策略路由的方式将数据引流至vAF防火墙，同时配置逃生策略，当我们设备故障的时候，启动逃生策略，不影响业务正常使用（测试逃生策略时发现只丢2个包就切换了）

2、我们某公司公司数据库审计通过agent方式其实非常方便，只要在服务器上装个插件就可以了，但是由于客户要求不能安装插件，所以我们采用的端口镜像的方式来实现数据库审计的部署，由于现场环境数据库和应用在同一个交换机上，且内网地址同网段，所以不能镜像上联口，本次方案由于只有一台数据库服务器，所以我们镜像了数据库接口（G3口）来实现数据库审计的需求。

------------实施流程------------

1、地址规划

平台	管理IP	管理方式	账号	密码
aCloud平台管理地址	192.***.0.27	https	**
xsec平台管理地址	192.***.0.26	https	**
vLAS管理地址	192.***.0.28	https	**
vDAS管理地址	192.***.0.29	https	**
vAF管理地址	192.***.0.30	https	**

2、Xsec网络拓扑

3、vAF配置

vAF设置大家应该都很熟悉了

配置接口

配置区域

配置路由

后面就是根据业务系统配置应用控制策略和安全防护策略即可。

4、vDAS配置

部署模式选择单机模式

网口配置

设置业务系统

配置策略

具体可以参考配置手册DAS镜像模式部署测试指导

5、vLAS配置

LAS很简单，配置地址即可，服务器采集日志参考LAS配置手册

本来想放几张效果图，但是涉及到客户的一些数据信息，所以这里就不放了，某公司公司理解对于Xsec平台来讲，我们只要确定好部署方案，后面几个功能模块的落实感觉都比较简单。

分析的很精彩

您好，感谢您参与社区原创分享计划5，您的文章已被收录到计划中，交由专家评审小组评审，分享奖励将在活动结束后统一安排发放！分享越多，奖励越多，期待您更多的精彩分享哦！:感恩:

第一次看到这种产品，学到了

板凳，新知识

新东西，记下笔记认真学

都是实战经验，这波分享很强势

不错不错，

干货满满，感谢楼主的分享！

厉害了，又学到了新技能！向楼主学习！