admin管理员组文章数量:1540709
2024年4月27日发(作者:)
深信服负载均衡&下一代防火墙-实施方案
深信服科技股份有限公司
修订历史
编号 修订内容简述
完成通用场景标准化实施
1
方案编写
■ 版权声明
修订日期
20170213
修订前版本号
1.0
修订后版本号 修订人
1.0
Ln
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版
权均属深信服所有,受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可,
不得以任何方式复制或引用本文的任何片断。
目录
第1章 前言 ..................................................................................................................................................... 5
1.1文档目的 ........................................................................................................................................... 5
1.2方案总体目标 ................................................................................................................................... 5
1.3需求说明 ........................................................................................................................................... 5
第2章 实施规划 ............................................................................................................................................. 8
2.1设备清单地址规划 ........................................................................................................................... 8
2.2实施拓扑情况 ................................................................................................................................... 9
2.3实施流程及策略规划.....................................................................................................................12
2.3.1策略规划 ................................................................................................ 错误!未定义书签。
第3章 实施前准备 .......................................................................................................................................13
3.1确认项目需求 ................................................................................................................................13
3.2确认项目实施方案.........................................................................................................................13
3.3上线前准备 ....................................................................................................................................13
3.3.1客户准备 ..............................................................................................................................13
3.3.2我司准备 ..............................................................................................................................14
3.3.2 回退方案准备......................................................................................................................14
3.4分工界面 .........................................................................................................................................15
第4章 AD设备部署上线 ............................................................................................................................. 26
4.1 AD线下配置 .................................................................................................................................. 26
4.1.1接口配置 ................................................................................................ 错误!未定义书签。
4.1.2路由配置 ................................................................................................ 错误!未定义书签。
4.1.3代理上网配置 ........................................................................................ 错误!未定义书签。
4.2 AD出站负载配置 .......................................................................................................................... 26
4.2.1 DNS代理配置 ........................................................................................ 错误!未定义书签。
4.2.2 智能路由配置 ....................................................................................... 错误!未定义书签。
4.2.3 出站负载效果验证 ............................................................................... 错误!未定义书签。
4.3 AD入站负载配置 .......................................................................................................................... 26
4.3.1 域名NS记录修改 .................................................................................. 错误!未定义书签。
4.3.2 智能DNS配置 ........................................................................................ 错误!未定义书签。
4.3.3 入站负载效果验证 ............................................................................... 错误!未定义书签。
第5章 AF设备部署上线 ............................................................................................................................... 27
5.1 AF线下配置................................................................................................................................... 27
5.1.1区域划分 ................................................................................................ 错误!未定义书签。
5.1.2业务系统IP组配置 ................................................................................. 错误!未定义书签。
5.2 服务器风险清除(可选) ............................................................................... 错误!未定义书签。
5.2.1 服务器发布验证.................................................................................... 错误!未定义书签。
5.2.2服务器风险清除(可选)..................................................................... 错误!未定义书签。
5.3基本防火墙配置 ............................................................................................... 错误!未定义书签。
5.4设备上架 ......................................................................................................................................... 27
第6章 安全功能配置及效果验证 .................................................................................. 错误!未定义书签。
6.1 WEB应用防护 ................................................................................................... 错误!未定义书签。
6.1.1 配置方法 ............................................................................................... 错误!未定义书签。
6.1.2 效果验证 ............................................................................................... 错误!未定义书签。
6.2 IPS ..................................................................................................................... 错误!未定义书签。
6.2.1 配置方法 ............................................................................................... 错误!未定义书签。
6.2.2效果验证 ................................................................................................ 错误!未定义书签。
6.3 僵尸网络 .......................................................................................................... 错误!未定义书签。
6.3.1配置方法 ................................................................................................ 错误!未定义书签。
6.3.2 效果验证 ............................................................................................... 错误!未定义书签。
6.4 实时漏洞分析 .................................................................................................. 错误!未定义书签。
6.4.1 配置方法 ............................................................................................... 错误!未定义书签。
6.4.2 效果验证 ............................................................................................... 错误!未定义书签。
6.5 数据中心 .......................................................................................................... 错误!未定义书签。
第7章 AD+AF双机组合最佳实践方案(重要) .........................................................................................16
7.1 最佳实践拓扑 ................................................................................................................................16
7.2 AD-1双机配置 ................................................................................................................................ 17
7.2.1 接口配置 ............................................................................................................................. 17
7.2.2 双机配置 .............................................................................................................................18
7.3 AD-2双机配置 ................................................................................................................................18
7.4 AF-1主主 配置 ...............................................................................................................................19
7.4.1 接口、区域配置..................................................................................................................19
7.4.2 双主 配置 .............................................................................................................................21
7.5 AF-2双主配置 ................................................................................................................................22
7.6 切换测试用例: ............................................................................................................................24
第8章 安全功能实施后阶段 ........................................................................................................................28
第9章 回退方案 ...........................................................................................................................................28
第1章 前言
1.1文档目的
本文档的主要目的是为了 xx客户 深信服负载均衡AD-XXXX和下一代防火墙AF-XXXX组合项
目配置实施提供指导,确保项目上线配置实施顺利完成。
1.2方案总体目标
深信服负载均衡产品作为专业的应用交付设备,能够为用户的应用发布提供包括多数据中心
负载均衡、多链路负载均衡、服务器负载均衡的全方位解决方案。配合性能优化、单边加速以及
多重智能管理等技术,实现对各个数据中心、链路以及服务器状态的实时监控,同时根据预设规
则将用户的访问请求分配给相应的数据中心、链路以及服务器,进而实现数据流的合理分配,使
所有的数据中心、链路和服务器都得到充分的利用。不仅扩展应用系统的整体处理能力,提高其
稳定性,更可切实改善用户的访问体验,降低组织的IT投资成本。
而深信服下一代防火墙(简称NGAF或AF)实现L2-L7层安全可视的全面防护,有效识别来自
网络层和应用层的内容风险,抵御来源更广泛、操作更简便、危害更明显的应用层攻击。还提供
基于业务的风险报表,内容丰富直观,用户可实时了解网络和业务系统的安全状况,有效提升管
理效率、降低运维成本。
1.3需求说明
此方案是一套整体的解决方案,主要针对服务器保护和内部终端上网的场景,企业一般都会
有web服务器、企业办公OA服务器、ERP系统服务器等不同类型的服务器,这些服务器经常需要
对公网开放服务,而且企业内部人员也需要通过公网访问互联网资源。一方面,为了解决跨运营
商互访瓶颈问题和一条链路带来的单点故障问题,企业一般会选择多运营商多链路的解决方案,
传统的多链路解决方案,可以解决部分单点故障问题,但还达不到真正的链路负载均衡。另一方
面,随着互联网的飞速发展,外部网络安全日趋严重,面对业务系统的信息安全攻击逐渐从网络
层向应用层和系统层迁移,网络上黑客的攻击导致服务器被拖库,挂上“黄赌毒”等黑链和木
马,甚至沦为黑客的僵尸主机等,造成企业巨大经济与名誉的损失。
总体上方案的设计会充分考虑后续数据中心的扩展性,采用深信服AD设备实现链路负载均
衡,深信服AD设备包含了链路负载均衡、全局负载均衡和服务器负载均衡三大功能对后续网络和
应用系统的扩建、稳定性保障以及优化建设都有很好的扩展性。同时采用AF实现拦截攻击流量,
放行正常业务流量,企业把AF部署在服务器前端,对于传统防火墙、IPS和WAF等多种基础和安
全功能的需求都可以得到同时得到满足,可以记录黑客的攻击行为便于溯源,还能向网络管理者
呈现风险报表提供可视化的攻击行为流量分析。
AD方面:
1、 出站流量(内部用户访问互联网资源的流量)负载需求
深信服AD接收到内网用户访问的流量以后,可以根据预先设定负载策略将访问某运营商的资
源的出站流量分配到对应运营商的链路之上,并通过源地址的NAT,(可以指定某一合法IP地址进
行源地址的NAT,也可以用AD的接口地址自动映射),保证数据包返回时能够正确接收;同理,其
它的访问的流量会通过相应策略会被分配到其它的运营商链路之上。
2、 入站流量(外部用户访问内部资源的流量)负载需求
通过在域名注册提供商处修改域名为NS记录,深信服AD设备获得域名解析权,深信服实现
一个域名绑定多个运营商的公网地址,负责解析来自多个运营商用户的域名解析请求。
根据实现设定负载策略可以实现,如电信的用户通过电信的线路访问内部资源,联通的用户
通过联通的线路访问内部资源;深信服AD还可以通过两条链路做反向查询,根据RTT时间判断链
路的好坏,并且综合以上两个参数返回相应的IP地址。
3、 服务器负载需求
后端有多台服务器共同承载业务,但缺乏统一灵活的调度机制,且不具备对应用故障的深度
检测方法,不能及时发现业务异常,无法保障业务连续运行。通过深信服AD丰富的健康检查机制
可以保证业务的稳定性,当后端真实服务器或者设备出现故障之后用户依然可以正常访问到业务
系统;与此同时,通过负载均衡的HTTP连接池功能、HTTP压缩、HTTP缓存等技术,来优化移动
终端的访问体验;除此之外负载均衡还提供额外前置调度策略和IPRO配置针对某些特殊的系统做
合适的调整实现客户客户的个性化访问需求。
AF方面:
1、 内网发布服务器和访问控制需求
基础防火墙包括地址转换,应用控制能功能。如客户要求实现内网地址的web服务器通过端口
映射等方式对外发布服务,通过应用控制策略选择以服务或者应用的方式过滤访问流量。
2、 WEB服务器防护需求
客户要求防止Web服务器的业务受到应用层面的攻击,如要求防止服务器的sql注入漏洞导致
数据被拖库,要求防止跨站脚本攻击(XSS),异常请求阻断,隐藏服务器版本等敏感信息,防止
被上传webshell,防止数据泄密保护web服务器的业务安全,对黑客的攻击行为进行阻断,保证
WEB服务器免收黑客攻击。在使用https的情况下也要能够实现web服务器应用防护。
3、 操作系统服务器保护需求
客户要求保护操作系统本身(如windows server2012或者Centos等)以及运行在系统上面的
中间件(如apache,IIS,tomcat等web服务器容器)的安全。举例:拦截会导致服务器蓝屏微
软操作系统MS12-020漏洞的攻击,拦截中间件漏洞struts2-032等直接导致getshell的攻击,
防止邮件服务器遭到口令暴力破解攻击。
4、 僵尸网络主机检测需求
客户要求能够及时发现网络中存在的异常流量,并能及时发现并定位到内网受感染僵尸主机。
要求能够发现内网中招服务器访问恶意地址并实现阻断,如飞科蠕虫等。
5、 实时检测服务器漏洞需求
客户要求能够被动的分析web服务器的安全状况(不要求阻断),如要求实时地查看服务器是
否存在漏洞(如apache的版本漏洞),网络是否存在对服务器的攻击流量如(sql注入,webshell
攻击等),要求实时监测网站是否存在被挂黑链等情况。
6、 终端上网安全需求
客户要求对内部终端上网的用户做到应用层面的控制,禁止用户访问成人内容、色情网站、非
法药物、反动以及一些恶意网站。同时要求保护客户端操作系统本身(如windows server2012或
者Centos等)以及运行在系统上面的软件如IE浏览器以及一些Active控件等对客户端软件安全
的影响。最重要的是可以通过下一代防火墙,在僵尸网络主机失陷前后都能够起作用。对于未感
染的客户端,要求能预防内网用户感染僵尸木马程序,对于已经感染的客户端,要求能够及时发
现网络中存在的异常流量,并能定位到内网受感染僵尸主机。
7、 日志记录与报表呈现
客户要求对经过AF防护的业务系统呈现一份完整综合安全风险报表。要体现AF的抵御了哪
些攻击,目前业务系统的安全性如何,要求从整体安全,攻击趋势,漏洞安全,业务安全等多个
维度呈现当前的安全状况,并且能够给出相关的意见措施。
版权声明:本文标题:A02-交付-AD+AF-实施方案-出入站+服务器保护v1.0 - 全功能 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1714159790a390498.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论