防火墙组网简介
部署模式简介
AF基本应用场景
下一代防火墙具备灵活的网络适应能力,支持:路由模式、透明模式、虚拟网线模式、混合模式、旁路模式。
接口
AF有哪些接口?
根据接口属性分为:物理接口、子接口、VLAN接口、聚合接口。
其中物理口可选择为:路由口、透明口、虚拟网线口、旁路镜像口。
根据接口不同工作层面,可以划分为:二层区域、三层区域、虚拟网线区域。
AF的部署模式是由各个接口的属性决定的。
物理接口
物理接口与AF设备面板上的接口一 一对应(eth0为manage口),根据网口数据转发特性的不同,可选择路由、透明、虚拟网线和旁路镜像4种类型,前三种接口又可设置WAN 或非WAN属性。
物理接口无法删除或新增,物理接口的数目由硬件决定(个别平台支持可扩展)。
路由接口
路由接口:如果设置为路由接口,则需要给该接口配置IP地址,且该接口具有路由转发功能。
ADSL拨号:如果设置为路由接口,并且是ADSL拨号,需要选上添加默认路由选项,默认勾选。
管理口:
Eth0为固定的管理口,接口类型为路由口,无法修改。Eth0可增加管理IP地址,默认的管理IP 10.251.251.251/24如需修改,AF8.0.13版本后,可在【系统】-【通用配置】-【网络参数】中进行修改。
透明接口
透明接口:透明接口相当于普通的交换网口,不需要配置IP地址,不支持路由转发,根据MAC地址表转发数据。
虚拟网线接口
虚拟网线接口:
虚拟网线接口也是普通的交换接口,不能配置IP地址,不支持路由转发,转发数据时,也无需检查MAC表,直接从虚拟网线配对的接口转发。
虚拟网线接口的转发性能高于透明接口,单进单出、双进双去等成对出现的网桥的环境下,推荐使用虚拟网线接口部署。
旁路镜像接口
旁路镜像接口:
旁路镜像接口不能配置IP地址,也不支持数据转发,只是用来接收从外部镜像过来的镜像数据。
镜像接口可以配置多个,根据现场实际业务场景需要接收的数据情况进行选择。
聚合接口
聚合接口:将多个以太网接口捆绑在一起所形成的逻辑接口,创建的聚合接口成为一个逻辑接口,而不是底层的物理接口。
子接口
子接口:
子接口应用于路由接口需要启用VLAN或TRUNK的场景。
子接口是逻辑接口,只能在路由口下添加子接口。
子接口的下一跳网关和链路故障检测根据实际环境进行配置。
VLAN接口
vlan接口:为VLAN定义IP地址,则会产生VLAN接口。VLAN接口也是逻辑接口。
接口设置注意事项
1、设备支持配置多个WAN属性的路由接口连接多条外网线路,但是需要开通多条线路的授权。
2、管理口不支持设置成透明接口或虚拟网线接口,如果要设置2对或2对以上的虚拟网线接口,则必须要求设备不少于5个物理接口,预留一个专门的管理口Eth0。
3、一个路由接口下可添加多个子接口,路由接口的IP地址不能与子接口的IP地址在同网段。
区域
什么时区域
- 是本地逻辑安全区域的概念
- 一个或多个接口所连接的网络
区域:用于定义和归类接口,以供各类安全策略等模块调用。
定义区域时,需根据控制的需求来规划,可以将一个接口划分到一个区域,或将几个相同需求的接口划分到同一个区域。
一个接口只能属于一个区域,而一个区域可以有多个接口。
可以在区域中选择接口。也可以预先设置好区域名称,在接口中选择区域。
防火墙组网方案
路由模式组网
需求背景
客户需求:现有的拓扑如下图,使用AF替换现有防火墙部署在出口,实现对内网用户和服务器安全防护。
需求分析
部署前我们需要做哪些准备工作?
- 现有设备的接口配置
- 内网网段规划,好写回包路由
- 是否有服务器要映射
- 是否需要代理内网用户上外网
- 进行内外网哪些访问权限的控制
- 进行哪些安全策略配置实现用户需求
- 现在拓扑是否完整
配置思路
1、配置接口地址,并定义接口对应的区域:
在【网络】-【接口/区域】-【物理接口】中,选择接口,并配置接口类型、所属区域、基本属性、IP地址。
2、配置路由:
在【网络】-【路由】中,新增静态路由,配置默认路由或回程路由。
3、配置代理上网:
在【策略】-【地址转换】中,新增源地址转换。
4、配置端口映射:
在【策略】-【地址转换】中,新增服务器映射。
5、配置应用控制策略,放通内网用户上网权限:
在【策略】-【访问控制】-【应用控制策略】中,新增应用控制策略,放通内到外的数据访问权限。
6、配置安全防护策略:
如:业务防护策略、用户防护策略等。
单臂路由模式
单臂路由是指在路由器的一个接口上通过配置子接口(逻辑接口,并不存在真正物理接口)的方式,实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通。
单臂路由配置
1、配置接口地址,并定义接口对应的区域:
在【网络】-【接口/区域】-【子接口】中,设置对应子接口,选择VLAN ID,并配置接口类型、所属区域、基本属性、IP地址。
2、配置路由:
在【网络】-【路由】中,新增静态路由,配置默认路由或回程路由。
3、配置代理上网:
在【策略】-【地址转换】中,新增源地址转换。
4、配置端口映射:
在【策略】-【地址转换】中,新增服务器映射。
5、配置应用控制策略,放通内网用户上网权限:
在【策略】-【访问控制】-【应用控制策略】中,新增应用控制策略,放通内到外的数据访问权限。
6、配置安全防护策略:
如:业务防护策略、用户防护策略等。
路由模式总结
在此组网方式时,防火墙位于内部网络和外部网络之间,负责在内部网络、外部网络中进行路由寻址,相当于路由器。其与内部网络、外部网络相连的上下行业务接口均工作在三层,需要分别配置不同网段的IP地址。
此组网方式支持更多的安全特性,如NAT、策略路由选择,动态路由协议(OSPF、BGP、RIP等)等。
需要修改原网络拓扑,对现有环境改动较大。
一般部署在需要进行路由转发的位置,如出口路由器或替换已有路由器、老防火墙等场景。
透明模式组网
需求背景
客户需求:部署一台AF设备进行安全防护,但是又不改动现有的网络环境。
需求分析
部署前我们需要做哪些准备工作?
- 接口定义
- 管理地址配置
- 配置路由,一般缺省路由用作防火墙上网,回程路由用作防火墙管理
- 不用配置地址转换
- 应用控制进行访问权限控制
- 安全防护策略实现用户安全防护需求
配置思路
1、 配置接口地址,并定义接口对应的区域:
在【网络】-【接口/区域】-【物理接口】中,选择接口,并配置接口类型、所属区域、基本属性如所属access或者trunk。
2、配置管理接口:
在【网络】中,新增管理接口,或者配置vlan接口的逻辑接口做为管理接口,并分配管理地址。
3、配置路由:
在【网络】-【路由】中,新增缺省路由和回程路由。
4、配置应用控制策略,对不同区域间的访问权限进行控制:
在【策略】-【访问控制】-【应用控制策略】中,新增应用控制策略,进行访问权限控制。
5、配置安全防护策略:
如:业务防护策略、用户防护策略等。
虚拟网线部署
用户需求:路由器和交换机聚合口对接,要求透明部署防火墙设备,即从1号口进来的数据,只从2号口出,不再转发到其他接口,其他接口的效果也一样。同时防火墙设备可以被日常管理
虚拟网线部署
虚拟网线部署是透明部署中另外一种特殊情况:
和透明部署一样,接口也是二层接口,但是被定义成虚拟网线接口。
虚拟网络接口必须成对存在,转发数据时,无需检查MAC表,直接从虚拟网线配对的接口转发。
虚拟网线接口的转发性能高于透明接口,单进单出网桥的环境下,推荐使用虚拟网线接口部署。