A02-交付-AF+AC-实施方案v1.0-全功能.doc

PAGE PAGE 深信服上网行为&下一代防火墙-实施方案 深信服科技股份有限公司 修订历史 编号 修订内容简述 修订日期 修订前版本号 修订后版本号 修订人 1 完成通用场景标准化实施方案编写1.0 1.0 Ln ■ 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。 目录 TOC \o "1-3" 第1章 前言 5 1.1文档目的 5 1.2方案总体目标 5 1.3需求说明 5 第2章 实施规划 8 2.1设备清单地址规划 8 2.2实施拓扑情况 8 2.3实施流程及策略规划 10 2.3.1策略规划 10 第3章 实施前准备 12 3.1确认项目需求 12 3.2确认项目实施方案 12 3.3上线前准备 12 3.3.1客户准备 12 3.3.2我司准备 13 3.3.3 回退方案准备 13 3.4分工界面 14 第4章 AF+AC设备线下配置 15 4.1 AF线下配置 16 4.1.1接口配置 17 4.1.2路由配置 19 4.1.3代理上网配置 20 4.1.4端口映射配置 20 4.1.5 应用控制配置 22 4.1.6 服务器风险清除（可选） 23 4.1.7 双机部署（此处省略……如有，见第5章） 24 4.1.8 设备上架 24 4.2 AC线下配置 24 4.2.1 网桥模式部署 25 4.2.2 路由配置 27 4.2.3 默认策略检测 28 4.2.4 主主部署（此处省略……如有，见第5章） 28 4.2.5 设备上架 29 4.3 设备入网 29 4.3.1 线路切换 29 4.3.2 连通性测试 29 第5章 AF+AC双机最佳实践方案（重要） 30 5.1 最佳实践拓扑 30 5.2 AF-1双机配置 30 5.2.1心跳口配置 30 5.2.2VRRP组配置 31 5.3 AF-2双机配置 32 5.3.1心跳口配置 32 5.3.2VRRP组配置 32 5.4 AC-1 主主配置 33 5.5 AC-2 主主配置 34 5.6 上架规范说明 34 5.7 切换测试用例 34 第6章 AF功能实施及效果验证 35 6.1 需求1：WEB应用防护 35 6.1.1 配置方法 36 6.1.2 效果验证 38 6.2 需求2：IPS防护 39 6.2.1 配置方法 39 6.2.2效果验证 40 6.3 需求3：僵尸网络防护 42 6.3.1配置方法 42 6.3.2 效果验证 42 6.4 需求4：实时漏洞分析 44 6.4.1 配置方法 44 6.4.2 效果验证 44 6.5 需求5：终端安全防护 45 6.5.1 配置方法 46 6.5.2 效果验证 48 6.6 需求6：数据中心 50 第7章 AC功能实施及效果验证 52 7.1 需求1：用户认证 52 7.1.1 目标 52 7.1.2 配置方法 52 7.1.3 效果展示 60 7.2 需求2：规范上网行为 61 7.2.1 目标 61 7.2.2 配置方法 61 7.2.3 效果展示 63 7.3 需求3：防泄密 65 7.3.1 目标 65 7.3.2 配置方法 65 7.3.3 效果展示 69 7.4 需求4：流量管控 71 7.4.1 目标 71 7.4.2 配置方法 71 7.4.3 效果展示 76 7.5 需求5：上网审计 77 7.5.1 目标 77 7.5.2 配置方法 77 7.5.3 效果展示 81 第8章 实施后健康状态检查 82 第9章 回退方案 82  第1章 前言 1.1文档目的 本文档的主要目的是为了 xx客户 深信服上网行为管理AC-XXXX和下一代防火墙AF-XXXX组合项目配置实施提供指导，确保项目上线配置实施顺利完成。 1.2方案总体目标 随着信息技术的快速发展，网络应用更新换代频繁，新兴应用不断涌现，无线网络日趋成熟。同时企