本文将指导您 SDW-R 硬件引流设备在网桥模式或网关模式下快速接入云安全访问服务。
1、确定 SDW-R 设备部署模式,配置接口信息。
2、在 SDW-R 控制台启用引流授权,按需配置引流策略。
3、按规划上架 SDW-R 设备。
4、在 PC 查看上网 IP 是否为云端 IP 或者在云安全访问服务平台查看用户状态是否在线验证引流是否成功。
在云安全访问服务平台,管理>接入管理>第三方设备获取引流接入码。
注:
1、SDW-R 网桥模式不支持vpn组网。
2、SDW-R 部署完成后,若需要实现企业 IM 审计,解密 https 加密流量和外设审计与管控,需要在终端 PC 单独安装准入插件(软件客户端安装时自动安装准入插件,无需再次安装)
准入插件下载路径:云安全访问服务平台>接入管理>客户端>下载中心
1、SDW-R 默认登录地址如下:
GE0/GE1:10.254.254.253/24
GE2:10.254.253.253/24
2、电脑直连接口,配置和默认地址同网段的IP地址
3、使用浏览器输入“https://ip”(用户名默认为admin/admin)
北京:82.156.165.248、上海:49.234.157.141、广州:1.14.240.240
1、选择网桥接口
2、配置网桥口 IP、网关和 DNS(非必要不开启 VLAN,根据客户实际网络情况而定)
3、对象设置>线路设置新增线路,出接口选 BRIGE-RT,检测方式选 ping,目标 IP 填写 SASE 靶机 IP
靶机地址(就近选择):北京:82.156.165.248;上海:49.234.157.141;广州:1.14.240.240
4、对象设置>ACL设置新增基础匹配策略
需配置两条 ACL 策略:(全引流策略放在最后,内网不引流策略放在上面,策略自上而下匹配)
1、全引流策略(源:引流的内网网段 目的:所有 IP 动作:允许)
2、内网不引流策略(源:所有 IP 目的:内网 IP 动作:拒绝)
注:
没有特殊需求,URL 匹配策略无需改动保持默认。
5、填入云安全访问服务平台获取的引流接入码,启用授权。启用云安全访问服务、线路配置调用第 3 步设置的线路,开启自动逃生、ACL 策略调用第 4 步设置的 ACL 匹配策略
6、设备上架(下图 IP 信息仅供参考)
7、验证是否引流成功
方式一:引流 PC 的上网 IP 变成深信服云节点 IP
方式二:在云安全访问服务平台,分析>接入状态>用户状态查看终端在线状态
1、选择部署模式为网关模式,并配置各网口地址等信息
2、配置 SNAT 代理上网功能。(当逃生功能开启并且探测到 SASE 云端连通性断开时,保证用户上网业务流量可以通过本地运营商线路直接访问互联网,不经过 SASE 审计管控)
3、对象设置>线路设置新增线路,出接口选择 GEx-RT,检测方式 ping,填写 SASE 靶机 IP(外网如有多线路,则配置多条)
4、对象设置>ACL设置新增基础匹配策略
需配置两条 ACL 策略:(全引流策略放在最后,内网不引流策略放在上面,策略自上而下匹配)
1、全引流策略(源:引流的内网网段 目的:所有 IP 动作:允许)
2、内网不引流策略(源:所有 IP 目的:内网 IP 动作:拒绝)
注:
没有特殊需求,URL 匹配策略无需改动保持默认。
5、填入云安全访问服务平台获取的引流接入码,启用授权。启用云安全访问服务、线路配置调用第 3 步设置的线路,开启自动逃生、ACL 策略调用第 4 步设置的 ACL 匹配策略。
6、设备上架(下图 IP 信息仅供参考)
7、验证是否引流成功
同 SDW-R 网桥模式
SDW-R引流不成功排查:
1、查看SDW-R设备接线和配置是否一致。
2、参考上文检查SDW-R配置是否正确。
3、检查SDW-R的下联设备是否有做NAT。
4、检查SDW-R的上联设备是否有UDP泛洪和DDOS策略。
5、检查SDW-R的安全管控>防DOS攻击是否开启。不能开启防DOS,会引流失败。
建议使用Chrome浏览器访问!
