防火墙组网

Posted 坏坏-5

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了防火墙组网相关的知识,希望对你有一定的参考价值。

下一代防火墙组网简介

  • NGAF的部署模式是由各个接口的属性所决定的

部署模式

  • 路由模式:所有接口都是路由口
  • 透明模式:所有接口都是透明口
  • 虚拟网线模式:所有接口都是虚拟网线口
  • 混合模式:AF上同时存在多种接口类型
  • 旁路模式:所有接口都是镜像口

接口类型

根据接口属性分类

  • 物理接口
    • 与设备面板上的接口一一对应
    • 根据网口数据转发的特性不同,可以选择路由、透明、虚拟网线和旁路镜像4种类型
    • 路由口、透明口、虚拟网线口也可以设置WAN或非WAN属性
    • 物理接口不能删除或新增,物理接口由硬件型号决定
  • 子接口
    • 用于做单臂路由实现三层通信
    • 子接口是逻辑接口,只能在路由口下添加子接口
  • VLAN接口
    • 即通过配置VLAN,为VLAN配置IP地址
  • 聚合接口
    • 将多个以太网接口捆绑在一起,形成逻辑接口
      • 负载均衡-Hash:按数据包源目的IP/MAC的Hash值均分
      • 负载均衡-RR:直接按数据包轮转均分到每个接口
      • 主备模式:取Eth最大号的主接口手法数据包,其余为备接口
    • 最多支持4个物理口聚合

物理口配置类型

  • 路由口
    • 需要给接口配置IP地址、网关,连接一个独立的网段,具备路由转发功能
    • 实时检测接口的链路状态,以及多条外网线路的情况下,需要开启链路检测故障,以保证当其他线路故障时,流量可以自动切换到其他线路
    • Eth0是固定的管理接口,不能修改接口类型,只能增加管理IP(10.251.251.251/24无法删除)
    • 会改变现有的网路结构
  • 透明口
    • 二层接口,与交换机的工作模式一致,不支持路由转发,只能根据MAC地址表转发数据
    • 需要配置接口类型(Access/Trunk)、VLAN信息
    • 支持多进多出,不会改变现有的网络结构
  • 虚拟网线口
    • 二层接口,成对出现,不需要IP地址,不支持路由转发,转发数据时,从一个接口收到数帧,会从另一个接口发出,不检查MAC表,转发速度快
    • 需要选择与该接口配对的另外一个接口,转发性能高于透明接口,适用于单进单出的网桥环境
    • 仅支持单进单出,不会改变现有的网络结构
  • 镜像口
    • 用于做流量审计
    • 配置需要监听的IP地址

接口工作区域

  • 二层区域口:透明口、镜像口
  • 三层区域口:路由口
  • 虚拟网线区域口:虚拟网线口

区域

  • 用于定义或归类接口
  • 是本地逻辑安全区域的概念,是一个或多个接口所连接的网络


  • 当不同区域之间发生数据流动时,会触发安全检查,实施相关的安全策略
  • 同区域内部发生的数据流动是不存在风险的,不需要实施安全策略
  • 同一个接口所连网络的所有网络设备属于同一个区域,一个区域中可以包含多个接口,一个接口只能属于一个区域

下一代防火墙组网方案

AF初始配置

  • 创建区域,设置区域类型
  • 配置接口,选择接口类型,并加入到相应的区域,做相关的配置
  • 如果AF是互联网的出口设备,还需要配置SNAT,使内网用户可以访问互联网
  • 如果内网有服务器需要发布到公网,需要配置DNAT
  • 如果内网有三层的网络环境,则需要配置到达终端网段的路由
  • 创建相关的放通网络的策略,默认情况下AF是禁止任何数据通过的

路由模式组网

  • 适用NGAF替换现有防火墙,实现对内网用户和服务器的安全防护
  • 配置过程
    • 配置接口地址,并定义接口对应的区域
    • 配置路由
    • 配置代理上网
    • 配置应用控制策略,放通内网用户上网权限
    • 配置安全防护策略


透明模式组网

  • 部署NGAF设备对内网用户进行安全防护,但是不改动现有的网络结构
  • 配置过程
    • 配置接口地址,并定义接口对应的区域
    • 配置管理接口
    • 配置路由
    • 配置应用控制策略,放通内网用户上网权限
    • 配置安全防护策略


混合模式组网

  • 公司内网有服务器集群,服务器都配置了公网IP地址,发布到了公网,使所有用户直接通过公网IP地址进行访问。内网用户使用私有地址,通过NAT转换上网
  • 使用混合模式组网
    • 连接服务器和公网的接口IP地址是属于同一个网段,而防火墙的不同接口要属于不同的网段,所以使用透明接口
    • 连接内网的接口需要配置网关,所以使用路由接口


旁路模式组网

  • 使用NGAF来实现内网防护和对内网防护数据进行分析,要求不改动现有的网络环境
  • 配置过程
    • 配置镜像接口,定义接口对应的区域,并配置流量监听网络对象
    • 配置管理接口
    • 启用旁路reset功能,只有启用旁路Reset功能,NGAF才能对TCP的流量进行截断
    • 配置安全防护策略

  • 旁路模式支持的功能
    • APT:僵尸网络
    • PVS:实时漏洞分析
    • WAF:Web应用防护
    • IPS:入侵防护系统
    • DLP:数据泄露防护
    • 网站防篡改部分功能:客户端保护

策略路由

  • 是路由的一种。普通路由只匹配目的IP、子网掩码和下一跳网关
  • 策略路由可以弥补普通路由的不足,可以根据配置策略来匹配源、目的、协议、出口等、
    • 在有多条外网线路的情况下,可以配置策略路由来灵活负载
  • 策略路由分类
    • 源地址策略路由——可指定内网哪些IP走指定线路出公网
    • 多线路负载路由——可指定多条线路进行负载选路
  • 注意事项
    • AF路由的优先级
      • VPN路由 > 静态路由 > 策略路由 > 默认路由
    • 每一条外网线路都必须至少有一条策略与之对应
    • 源地址策略路由可以通过直接填写路由的下一跳,来实现从设备的非WAN属性的接口转发数据
    • 多线路负载路由选择的接口,必须要开启链路故障检测功能,才能实现线路故障自动切换
    • 如果有多条策略路由,按照从上往下的顺序匹配,一旦匹配到某条策略路由后,不再向下匹配
  • 策略路由是在转发平面,不修改路由的属性,通过转发策略影响数据的转发
  • 路由策略是在控制平面,通过修改路由属性,来影响数据的转发
  • 链路故障检测功能原理
    • DNS解析:会每间隔一定的时间,向填写的DNS服务器请求解析一个域名,未得到回应的次数超过阈值,则判断线路故障
    • Ping:向固定的IP地址执行Ping命令,未得到回应的次数超过阈值,则判断线路故障
以上内容均属原创,如有不详或错误,敬请指出。
本文作者: 坏坏 本文链接: http://t.csdn.cn/ZSzK4 版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请联系作者注明出处并附带本文链接!

以上是关于防火墙组网的主要内容,如果未能解决你的问题,请参考以下文章

15-思科防火墙:TCP状态化旁路

防火墙基础

如何在CentOS7上改变网络接口名

华为防火墙网关间通过IKE方式协商IPSec VPN隧道(共享密钥认证)

防火墙基础之BGP基础企业网络组网

防火墙基础之H3C小型企业防火墙组网