一、串联
安全设备串联接入网络,若安全设备故障,整个网络故障。
1. 路由模式
把防火墙当作路由器来用,与交换路由的配置没有区别。
若用户原本网络中没有防火墙,接入需要改变原本的地址规划。
比如:原本出口设备与核心交换机串联,使用的接口地址是同一网段,现加入防火墙,原接口地址需要更换成不同网段的。
2. 透明模式
在防火墙上做网桥,将流量进出端口加入网桥。
接入用户网络时,进出流量是直接由桥传输,不需要修改用户原本网络配置。
网桥使用端口地址是防火墙内部的逻辑地址,与外部其他设备的IP地址并无关联。
用透明模式串网络,这个防火墙对于网络来说相当于是不存在的,但是在防火墙上能监测到进出的流量。
二、旁挂
安全设备旁挂接入网络,若安全设备故障,不影响原本网络,仅这个安全设备的功能无法使用。
注:交换机上需要将出入流量做镜像口,在连接防火墙的端口做观察口。交换机上要做2个东西,镜像口/观察口,统称镜像口。
1. 旁路监听
需要交换机上做镜像口,将出入流量复制一份到防火墙。
出入流量正常经过核心交换机,流量到核心交换机的时候,将流量从镜像口复制一份到观察口,使防火墙可以接收到。
因为流量是复制过来的,防火墙可以看到流量中具体信息,但是无法去限制流量。
2. 旁路代理
这个具体是怎么配置的,我不太理解,没找到相关文章。以下是原理
安全设备工作于旁路代理模式时,设备相当于代理网关。此时,需要更改网络配置,将所有的网络数据及访问流量指向旁路的安全设备,经过安全设备过滤后,再返回交换机
