下一代防火墙部署
1. 部署模式简介
下一代防火墙(NGAF)支持多种部署模式,适用于不同的网络环境和需求:
路由模式:适用于三层网络环境,接口需配置IP地址,支持路由转发功能。
透明模式:适用于二层网络环境,接口无需IP地址,类似于交换机。
虚拟网线模式:高性能二层转发,适用于单进单出的网桥环境。
混合模式:结合路由和透明模式,适用于复杂网络环境。
旁路模式:通过镜像流量实现安全监测,不干扰现有网络。
2. 接口类型与配置
NGAF的接口类型多样,根据功能和需求选择:
物理接口:
路由接口:需配置IP地址,支持路由转发。
透明接口:无需IP地址,二层转发,查MAC表转发。
虚拟网线接口:高性能二层转发,成对配置。
镜像接口:用于旁路模式,接收镜像流量。
逻辑接口:
子接口:用于VLAN或Trunk场景。
VLAN接口:为VLAN定义IP地址。
聚合接口:捆绑多个物理接口提升带宽或冗余。
注意事项:
管理口(eth0)固定为路由接口,不可修改(可增加管理IP地址)默认管理的IP无法删除。
多个WAN接口需额外授权(国内特有)。
路由接口与子接口的IP地址不能同网段。
3. 区域(Zone)概念
区域是逻辑安全区域的划分,用于归类接口和定义安全策略:
常见区域:DMZ、Trust、Untrust、Internet等。
接口归属:一个接口只能属于一个区域。
规划建议:根据安全需求和控制目标划分区域。
4. 典型组网方案
4.1 路由模式组网
适用场景:替换出口路由器或防火墙,需支持NAT、策略路由等功能。
配置步骤:
配置接口IP地址并划分区域。
配置静态路由或动态路由协议。
设置源地址转换(NAT)代理内网上网。
配置应用控制策略和安全防护策略(如IPS、防病毒等)。
4.2 透明模式组网
适用场景:不改变现有网络拓扑,仅需安全防护。
配置步骤:
配置透明接口及区域。
设置管理接口和路由。
配置应用控制策略和安全防护策略。
4.3 混合模式组网
适用场景:部分网络需路由功能,部分需透明转发(如服务器群有公网IP)。
配置步骤:
透明接口连接公网和服务器群,路由接口连接内网。
配置VLAN接口和静态路由。
设置NAT和安全策略。
4.4 旁路模式组网
适用场景:仅需流量分析和安全监测,不干扰现有网络。
配置步骤:
配置镜像接口和管理接口。
启用旁路reset功能。
配置安全防护策略(如APT、IPS等)。
5. 关键配置示例
单臂路由配置:
在子接口中配置VLAN ID和IP地址。
设置静态路由和NAT。
虚拟网线配置:
成对配置虚拟网线接口(如eth1与eth2绑定)。
无需MAC表检查,直接转发数据。
6. 总结
路由模式功能全面但改动较大,适合替换出口设备。
透明模式对网络无影响,适合快速部署。
混合模式灵活应对复杂需求。
旁路模式适用于流量分析和监测。