下一代防火墙AF 办公网上网管控场景 需求分析与配置案例
深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
办公网上网管控场景
办公网上网管控场景主要是将AF部署在网络边界处,对上网数据进行管控,同时对通信中存在的威胁进行防护。
需求背景
某企业使用AF做透明部署在办公网出口路由器的内网口处,外网带宽是200Mb/s,已经完成了基本网络配置,eth2口接出口路由器,eth3口接内网交换机,内网电脑已经能正常上网,内网网段是192.168.1.0/24。为了不影响网速,管理员希望内网所有的用户都不能使用P2P应用以及相关的下载工具,单个用户的最大流量不能超过3Mb/s,安全方面需要对所有的上网数据进行基本的上网管控和防护,最后管理员自己的电脑192.168.1.3/24不希望有任何的管控。
需求分析
针对这些需求,需要使用应用控制策略禁止内网电脑的P2P应用以及相关的下载工具,使用流控策略来限制最大用户流量,然后在安全策略里面开启用户防护策略,都使用默认模板即可,管理员电脑不受管控也可以直接添加到白名单。
配置步骤
步骤1.定义内网口和外网口区域,进入[网络/区域],新增两个区域,如[内网区]选择eth3,[外网区]选择eth2,如下图所示。
步骤2.配置应用控制策略禁止P2P应用等,进入[策略/访问控制/应用控制策略/策略配置],新增应用控制策略,策略位置在自定义的放通所有策略前,具体配置如下图所示。
步骤3.配置安全防护策略。进入[策略/安全策略/安全防护策略]新增用户防护策略,进行内网的上网管控和防护,都选择上网管控场景中的默认模板,如下图所示。
步骤4.配置流控策略里的虚拟线路。进入[策略/流控/虚拟线路配置/虚拟线路列表],选择连接路由器的eth2,并设置实际上网出口带宽,如下图所示。
步骤5.配置流控策略里的虚拟线路规则。进入[策略/流控/虚拟线路配置/虚拟线路规则]新增虚拟线路规则,如下图所示。
步骤6.配置流控策略里的通道配置。进入[策略/流控/通道配置],勾选[启用流量管理系统],并新增通道,限制单用户上限为3Mb/s。如下图所示。
步骤7.配置白名单。进入[安全运营/黑白名单/白名单],新增白名单,将管理员IP 192.168.1.3加入白名单。如下图所示。
更多深信服产品型号采购请联系网站客服或400电话咨询网度通信深信服金牌经销
