AF下一代防火墙实施文档.docx
《AF下一代防火墙实施文档.docx》由会员分享,可在线阅读,更多相关《AF下一代防火墙实施文档.docx(12页珍藏版)》请在冰豆网上搜索。
AF下一代防火墙实施文档
AF下一代防火墙-实施文档
某科技股份有限公司
修订历史
编号
修订内容简述
修订日期
修订前版本号
修订后版本号
修订人
1
完成通用场景竣工文档编写
1.0
1.0
Wsd
2
增加7.2及以后业务系统的配置位置
1.0
1.1
Wsd
3
竣工文档修订
1.1
1.2
Zero
■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深信服所有,受到有关产权及版权法保护。
任何个人、机构未经深信服的书面授权许可,不得以任何方式复制或引用本文的任何片断。
2.1前言
本手册用于讲解深信服下一代防火墙部署完成后开启的策略情况,为管理员提供日常维护提供指导。
2.2实施拓扑及描述
2.2.1实施拓扑相关信息
1、实施后网络拓扑图
目前网络已部署态2台vAF,以路由网关主备双机模式部署在DMZ去出口。
2.2.2设备信息
序号
设备名称
网关序号
部署位置
1
AF(主)
E33860E0
网关部署
2
AF(备)
3CE226E4
网关部署
2.2.3设备序列号-AF
主机:
HA2HA2EGF7FBF98R
备机:
X84QGXAEDEDWECB
2.2.5设备IP地址规划
设备名称
部署模式
LAN口(eth7,ETH8)
HA口(eth1)
vAF8.0.8(主机)
路由
192.168.16.90/28
2.2.2.1/24
vAF8.0.8(备机)
路由
2.2.2.2/24
2.3设备配置
2.3.1设备管理界面登录
在浏览器中输入网关的IP及端口https:
//192.168.16.90或输入管理IP登录设备控制台。
2.3.2设备管理员密码设置
设备名称
登录地址
缺省账号
缺省密码
AF平台
https:
//192.168.16.90
已交接给甲方,不在此处体现
如需修改管理员账号密码,可在【系统】-【管理员账号】页面修改管理员密码,admin账号不可删除和改名,仅能修改密码和限制IP地址登录。
可以新建不同权限的用户。
2.3.3基本配置-网络配置
1)网络接口
2)配置链路检测,以下举一个接口例子说明
3)配置路由。
4)配置应用控制策略,根据原网神防火墙应用控制策略进行配置。
服务组与IP组也根据原网神防火墙进行配置
5).配置源地址转换和目的地址转换,也根据原网神防火墙进行配置。
2.3.4基本配置-双机配置
1).先在主机上配置高可用,设置本机HA地址和对端HA地址。
2).启用双机热备,并配置优先级,和监听网1口。
3).设置配置同步,配置同步参数。
配置完成后点击保存。
4).主机按照以上步骤配置完成后,备机先配置HA接口IP:
2.2.2.2,再按照上述步骤配置。
(注意:
备机的优先级小于主机优先级。
优先级以大为优)
5).配置完成,检查双机组成情况。
2.3.5基本配置-安全策略配置
1).WAF-web应用防护
2).APT-僵尸网络防护
3).配置安全防护策略,调用以上安全模块。
2.4设备安装照片
升级会员 