A02交付AD+AF实施方案出入站+服务器保护v10全功能.docx
- 文档编号:2299055
- 上传时间:2022-10-28
- 格式:DOCX
- 页数:27
- 大小:1.25MB
A02交付AD+AF实施方案出入站+服务器保护v10全功能.docx
《A02交付AD+AF实施方案出入站+服务器保护v10全功能.docx》由会员分享,可在线阅读,更多相关《A02交付AD+AF实施方案出入站+服务器保护v10全功能.docx(27页珍藏版)》请在冰豆网上搜索。
A02交付AD+AF实施方案出入站+服务器保护v10全功能
深信服负载均衡&下一代防火墙-实施方案
深信服科技股份有限公司
修订历史
编号
修订内容简述
修订日期
修订前版本号
修订后版本号
修订人
1
完成通用场景标准化实施方案编写
20170213
1.0
1.0
Ln
■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深信服所有,受到有关产权及版权法保护。
任何个人、机构未经深信服的书面授权许可,不得以任何方式复制或引用本文的任何片断。
第1章前言
1.1文档目的
本文档的主要目的是为了xx客户深信服负载均衡AD-XXXX和下一代防火墙AF-XXXX组合项目配置实施提供指导,确保项目上线配置实施顺利完成。
1.2方案总体目标
深信服负载均衡产品作为专业的应用交付设备,能够为用户的应用发布提供包括多数据中心负载均衡、多链路负载均衡、服务器负载均衡的全方位解决方案。
配合性能优化、单边加速以及多重智能管理等技术,实现对各个数据中心、链路以及服务器状态的实时监控,同时根据预设规则将用户的访问请求分配给相应的数据中心、链路以及服务器,进而实现数据流的合理分配,使所有的数据中心、链路和服务器都得到充分的利用。
不仅扩展应用系统的整体处理能力,提高其稳定性,更可切实改善用户的访问体验,降低组织的IT投资成本。
而深信服下一代防火墙(简称NGAF或AF)实现L2-L7层安全可视的全面防护,有效识别来自网络层和应用层的内容风险,抵御来源更广泛、操作更简便、危害更明显的应用层攻击。
还提供基于业务的风险报表,内容丰富直观,用户可实时了解网络和业务系统的安全状况,有效提升管理效率、降低运维成本。
1.3需求说明
此方案是一套整体的解决方案,主要针对服务器保护和内部终端上网的场景,企业一般都会有web服务器、企业办公OA服务器、ERP系统服务器等不同类型的服务器,这些服务器经常需要对公网开放服务,而且企业内部人员也需要通过公网访问互联网资源。
一方面,为了解决跨运营商互访瓶颈问题和一条链路带来的单点故障问题,企业一般会选择多运营商多链路的解决方案,传统的多链路解决方案,可以解决部分单点故障问题,但还达不到真正的链路负载均衡。
另一方面,随着互联网的飞速发展,外部网络安全日趋严重,面对业务系统的信息安全攻击逐渐从网络层向应用层和系统层迁移,网络上黑客的攻击导致服务器被拖库,挂上“黄赌毒”等黑链和木马,甚至沦为黑客的僵尸主机等,造成企业巨大经济与名誉的损失。
总体上方案的设计会充分考虑后续数据中心的扩展性,采用深信服AD设备实现链路负载均衡,深信服AD设备包含了链路负载均衡、全局负载均衡和服务器负载均衡三大功能对后续网络和应用系统的扩建、稳定性保障以及优化建设都有很好的扩展性。
同时采用AF实现拦截攻击流量,放行正常业务流量,企业把AF部署在服务器前端,对于传统防火墙、IPS和WAF等多种基础和安全功能的需求都可以得到同时得到满足,可以记录黑客的攻击行为便于溯源,还能向网络管理者呈现风险报表提供可视化的攻击行为流量分析。
AD方面:
1、出站流量(内部用户访问互联网资源的流量)负载需求
深信服AD接收到内网用户访问的流量以后,可以根据预先设定负载策略将访问某运营商的资源的出站流量分配到对应运营商的链路之上,并通过源地址的NAT,(可以指定某一合法IP地址进行源地址的NAT,也可以用AD的接口地址自动映射),保证数据包返回时能够正确接收;同理,其它的访问的流量会通过相应策略会被分配到其它的运营商链路之上。
2、入站流量(外部用户访问内部资源的流量)负载需求
通过在域名注册提供商处修改域名为NS记录,深信服AD设备获得域名解析权,深信服实现一个域名绑定多个运营商的公网地址,负责解析来自多个运营商用户的域名解析请求。
根据实现设定负载策略可以实现,如电信的用户通过电信的线路访问内部资源,联通的用户通过联通的线路访问内部资源;深信服AD还可以通过两条链路做反向查询,根据RTT时间判断链路的好坏,并且综合以上两个参数返回相应的IP地址。
3、服务器负载需求
后端有多台服务器共同承载业务,但缺乏统一灵活的调度机制,且不具备对应用故障的深度检测方法,不能及时发现业务异常,无法保障业务连续运行。
通过深信服AD丰富的健康检查机制可以保证业务的稳定性,当后端真实服务器或者设备出现故障之后用户依然可以正常访问到业务系统;与此同时,通过负载均衡的HTTP连接池功能、HTTP压缩、HTTP缓存等技术,来优化移动终端的访问体验;除此之外负载均衡还提供额外前置调度策略和IPRO配置针对某些特殊的系统做合适的调整实现客户客户的个性化访问需求。
AF方面:
1、内网发布服务器和访问控制需求
基础防火墙包括地址转换,应用控制能功能。
如客户要求实现内网地址的web服务器通过端口映射等方式对外发布服务,通过应用控制策略选择以服务或者应用的方式过滤访问流量。
2、WEB服务器防护需求
客户要求防止Web服务器的业务受到应用层面的攻击,如要求防止服务器的sql注入漏洞导致数据被拖库,要求防止跨站脚本攻击(XSS),异常请求阻断,隐藏服务器版本等敏感信息,防止被上传webshell,防止数据泄密保护web服务器的业务安全,对黑客的攻击行为进行阻断,保证WEB服务器免收黑客攻击。
在使用https的情况下也要能够实现web服务器应用防护。
3、操作系统服务器保护需求
客户要求保护操作系统本身(如windowsserver2012或者Centos等)以及运行在系统上面的中间件(如apache,IIS,tomcat等web服务器容器)的安全。
举例:
拦截会导致服务器蓝屏微软操作系统MS12-020漏洞的攻击,拦截中间件漏洞struts2-032等直接导致getshell的攻击,防止邮件服务器遭到口令暴力破解攻击。
4、僵尸网络主机检测需求
客户要求能够及时发现网络中存在的异常流量,并能及时发现并定位到内网受感染僵尸主机。
要求能够发现内网中招服务器访问恶意地址并实现阻断,如飞科蠕虫等。
5、实时检测服务器漏洞需求
客户要求能够被动的分析web服务器的安全状况(不要求阻断),如要求实时地查看服务器是否存在漏洞(如apache的版本漏洞),网络是否存在对服务器的攻击流量如(sql注入,webshell攻击等),要求实时监测网站是否存在被挂黑链等情况。
6、终端上网安全需求
客户要求对内部终端上网的用户做到应用层面的控制,禁止用户访问成人内容、色情网站、非法药物、反动以及一些恶意网站。
同时要求保护客户端操作系统本身(如windowsserver2012或者Centos等)以及运行在系统上面的软件如IE浏览器以及一些Active控件等对客户端软件安全的影响。
最重要的是可以通过下一代防火墙,在僵尸网络主机失陷前后都能够起作用。
对于未感染的客户端,要求能预防内网用户感染僵尸木马程序,对于已经感染的客户端,要求能够及时发现网络中存在的异常流量,并能定位到内网受感染僵尸主机。
7、日志记录与报表呈现
客户要求对经过AF防护的业务系统呈现一份完整综合安全风险报表。
要体现AF的抵御了哪些攻击,目前业务系统的安全性如何,要求从整体安全,攻击趋势,漏洞安全,业务安全等多个维度呈现当前的安全状况,并且能够给出相关的意见措施。
第2章实施规划
实施规划包括设备清单与地址规划,实施拓扑情况规划,实施流程和策略规划。
2.1设备清单地址规划
1)设备清单
本次实施工作包含深信服AD设备X台、AF设备X台,设备清单如下:
设备名称
设备型号
数量
用途
下一代防火墙
AF-XXXX(按实际填)
负载均衡
AD-XXXX(按实际填)
2)ip地址规划(例):
设备名称
部署模式
接口类型
地址&网关
DNS
管理口
AD-XXXX
路由部署
联通出口(WAN属性)
eth1
IP:
1.1.1.2/30
GW:
1.1.1.1
202.99.160.68
Eth0:
10.252.252.252
AD-XXXX
路由部署
电信出口(WAN属性)
eth2
IP:
2.2.2.2/30
GW:
2.2.2.1
222.222.222.222
Eth0:
10.252.252.252
AD-XXXX
路由部署
内网接口(LAN属性)
eth3
IP:
172.16.1.254
AF-XXXX
透明部署
透明桥
eth1-eth2(桥1)
IP:
172.16.1.200
GW:
172.16.1.254
202.99.160.68
222.222.222.222
MANAGE:
10.251.251.251
2.2实施拓扑情况
实施的常见拓扑方案主要包括如下两种
1)AD+AF单机部署实施环境
此环境中一般AD路由部署在网络出口,代理内部用户访问互联网,同时发布企业内部的业务系统对外提供服务。
而AF透明部署,启用了服务器保护的功能,抵御来自非信任区域流量到服务器区域的攻击流量。
同时保障内网用户流量到非信任区域访问的安全。
注意:
此部署模式下,可以实现运营商线路之前的冗余备份,同时实现最优的出、入站选路策略及终端、应用的防护策略。
但接入域里的骨干设备均存在单点故障隐患。
2)AD主备+AF双主模式部署实施环境
双机组合部署除了继承单机组合部署的方案优化外,同时对接入域内骨干区域设备也实现了冗余备份,确保业务的稳定运行。
注意:
此方案为全功能AD+AF双机组合的最佳实践方案,在有双机环境下推荐使用。
3)AD单臂主备+AF网关主备模式部署实施环境
此部署模式在功能方面,AF所有功能均可实现,但AD无法实现多链路出站负载需求,但可以减少骨干区域双机切换的问题。
在只需要实现服务器负载的场景下推荐使用。
2.3AD/AF共性功能选择指导
2.3.1AD多链路负载场景(2.2节第1、2两种场景)
序列号
共性模块
负载均衡(AD)
下一代防火墙(AF)
备注说明
1
设备部署
网关部署
网桥部署
建议AD启用路由功能部署在网络出口,AF透明串接在AD和核心交换机中间。
这样可以保障两款产品的功能最大化。
2
基础网络
Y
包括策略路由、代理上网、端口映射等基础网络配置,均由网关部署的AD来完成。
3
DNS代理
Y
AD的DNS代理可以写多个DNS地址,且具有DNS地址的实时监控功能和选择策略,相较AF的DNS代理更强大。
4
DOS/DDOS防护
Y
AF的DOS攻击在功能性方面比AD更加强大和全面
5
实时漏洞分析
Y
建议由AF来完成,AF检测出来后,针对相应的问题可以开启相应的防护策略。
比AD更方便。
6
ARP代理
Y
AD做为网关,只能由AD来完成
7
ACL配置
Y
建议由AF来完成,AF的应用控制除了可以通过五元组来完成外,还可以通过应用识别后控制。
2.3.2AD纯服务器负载场景(2.2节第3种场景)
序列号
共性模块
负载均衡(AD)
下一代防火墙(AF)
备注说明
1
设备部署
单臂部署
网关部署
AD只做服务器负载场景下。
建议单臂部署在核心交换机上,由AF来充当网关,部署在网络出口
2
基础网络
Y
包括路由、代理上网、端口映射等基础网络配置,均由网关部署的AF来完成。
3
DNS代理
如果无多链路,无需要DNS代理功能
4
DO
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- A02交付AD+AF实施方案出入站+服务器保护v10 全功能 A02 交付 AD AF 实施方案 出入 服务器 保护 v10
![提示](https://static.bdocx.com/images/bang_tan.gif)