目录
接口
根据接口属性分为:物理接口、子接口、VLAN接口、聚合接口。
其中物理口可选择为:路由口、透明口、虚拟网线口、旁路镜像口。
根据接口不同工作层面,可以划分为:二层区域、三层区域、虚拟网线区域。
AF的部署模式是由各个接口的属性决定的。
部署模式
路由模式组网
在此组网方式时,防火墙位于内部网络和外部网络之间,负责在内部网络、外部网络中进行路由寻址,
相当于路由器。其与内部网络、外部网络相连的上下行业务接口均工作在三层,需要分别配置不同网
段的IP地址。
此组网方式支持更多的安全特性,如NAT、策略路由选择,动态路由协议(OSPF、BGP、RIP等)等。
需要修改原网络拓扑,对现有环境改动较大。
一般部署在需要进行路由转发的位置,如出口路由器或替换已有路由器、老防火墙等场景。
透明模式组网
1、接口定义
2、管理地址配置
3、配置路由,一般缺省路由用作防火墙上网,回程路由用作防火墙管理
4、不用配置地址转换
5、应用控制进行访问权限控制
6、安全防护策略实现用户安全防护需求
虚拟网线部署
虚拟网线部署是透明部署中另外一种特殊情况:
和透明部署一样,接口也是二层接口,但是被定义成虚拟网线接口。
虚拟网络接口必须成对存在,转发数据时,无需检查MAC表,直接从虚拟网线配对的接口转发。
虚拟网线接口的转发性能高于透明接口,单进单出网桥的环境下,推荐使用虚拟网线接口部署。
混合模式组网
用户需求:
某用户内网有服务器群,服务器均配置公网IP地址,提供所有用户直接通过公网IP地址接入访问。
内网用户使用私有地址,通过NAT转换代理上网。希望将AF设备部署在公网出口的位置,实现内外部数
据通信的同时,保护服务器群和内网上网数据的安全。
部署方式推荐:
推荐使用混合模式部署,AF设备连接公网和服务器群的2个接口使用透明access口,连接内网网段使用路由接口。
旁路模式组网
设备旁挂在现有的网络设备上,不影响现有的网络结构,通过端口镜像技术把流量镜像到下一代防火
墙,实现对数据的分析和处理。
需要另外单独设置管理接口才能对设备进行管理。
启用管理口reset功能。
旁路部署支持的功能仅有(只是针对TCP的攻击流量):
APT(僵尸网络)
PVS(实时漏洞分析)
WAF(web应用防护)
入侵防护系统
DLP(数据泄密防护)
网站防篡改部分功能(客户端保护)
标签:部署,防火墙,网线,ngfw,虚拟,接口,路由,组网 来源: https://blog.csdn.net/qq_45496593/article/details/122235634
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。