ファイアウォール ネットワークの概要
導入モードの概要
AF の基本的なアプリケーション シナリオ
次世代ファイアウォールは柔軟なネットワーク適応性を備え、ルーティング モード、トランスペアレント モード、仮想ネットワーク ケーブル モード、ハイブリッド モード、およびバイパス モードをサポートします。
インターフェース
AFにはどのようなインターフェースがありますか?
インターフェースの属性に応じて、物理インターフェース、サブインターフェース、 VLANインターフェース、アグリゲーションインターフェースに分かれます。
このうち、物理ポートはルーティング ポート、トランスペアレント ポート、仮想ネットワーク ケーブル ポート、バイパス ミラー ポートとして選択できます。
インターフェイスのさまざまな動作レベルに応じて、インターフェイスは第 2 層エリア、第 3 層エリア、および仮想ネットワーク ケーブル エリアに分割できます。
AFの展開モードは、各インターフェイスの属性によって決定されます。
物理インターフェース
物理インタフェースはAFデバイスのパネル上のインタフェース(eth0が管理インタフェース)に相当し、ネットワークポートのデータ転送特性に応じて、ルーティング、トランスペアレント、仮想ネットワークケーブル、バイパスミラーリングの4種類を選択できます。最初の 3 つのインターフェイスは、WAN または非 WAN プロパティを設定することもできます。
物理インターフェイスは削除または追加できません。物理インターフェイスの数はハードウェアによって決まります (個々のプラットフォームはスケーラビリティをサポートします)。
ルーティングインターフェイス
ルーティング インターフェイス:ルーティング インターフェイスとして設定されている場合は、インターフェイスのIPアドレスを設定する必要があり、インターフェイスにはルーティングと転送の機能があります。
ADSLダイヤルアップ:ルーティング インターフェイスとして設定されており、 ADSLダイヤルアップである場合は、デフォルトでオンになっているデフォルト ルートを追加するオプションを選択する必要があります。
管理ポート:
Eth0は固定管理ポートで、インターフェイス タイプはルーティング ポートであり、変更できません。Eth0 は管理IPアドレスを追加できます。AF8.0.13バージョン以降、デフォルトの管理IP 10.251.251.251/24を変更する必要がある場合は、 [システム]-[一般構成]-[ネットワーク パラメーター]で変更できます。
透明なインターフェース
トランスペアレント インターフェイス:トランスペアレント インターフェイスは、通常のスイッチング ネットワーク ポートと同等であり、 IPアドレスを設定する必要がなく、ルーティングと転送をサポートせず、MACアドレス テーブルに従ってデータを転送します。
仮想ネットワークインターフェース
仮想ネットワーク ケーブル インターフェイス:
仮想ネットワーク ケーブル インターフェイスも通常のスイッチング インターフェイスであり、 IPアドレスを設定できず、ルーティングと転送をサポートせず、データ転送時にMACテーブルを確認する必要がなく、仮想ネットワーク ケーブルとペアになっているインターフェイスから直接転送します。仮想ネットワークケーブル。
仮想ネットワーク ケーブル インターフェイスの転送パフォーマンスは、透過インターフェイスよりも高く、単一入力と単一出力、または二重入力と二重出力などのネットワーク ブリッジがペアになっている環境では、仮想ネットワーク ケーブル インターフェイスの使用をお勧めします。展開用に。
バイパスミラーインターフェース
バイパスミラーインターフェイス:
バイパス ミラー インターフェイスはIPアドレスを使用して構成できず、データ転送をサポートしていません。外部ミラーからミラーリングされたデータを受信するためにのみ使用されます。
現場の実際のビジネスシナリオで受信する必要があるデータに応じて、複数のミラーリングインターフェイスを構成および選択できます。
集約インターフェース
集約インターフェイス:複数のイーサネット インターフェイスを束ねて形成される論理インターフェイス。作成された集約インターフェイスは、基礎となる物理インターフェイスの代わりに論理インターフェイスになります。
サブインターフェース
サブインターフェース:
サブインターフェイスは、ルーティング インターフェイスでVLANまたはトランクを有効にする必要があるシナリオで使用されます。
サブインターフェイスは論理インターフェイスであり、ルーター ポートの下にのみ追加できます。
ネクストホップ ゲートウェイとサブインターフェイスのリンク障害検出は、実際の環境に応じて設定する必要があります。
VLANインターフェース
vlan インターフェース: VLANのIPアドレスを定義すると、VLANインターフェースが生成されます。VLANインターフェースも論理インターフェースです。
インターフェース設定に関する注意事項
1. 本装置は、複数の外部ネットワーク回線に接続するためのWAN属性を持つ複数のルーティング インターフェイスの設定をサポートしていますが、複数の回線に対する認証が必要です。
2.管理ポートは、透過インターフェイスまたは仮想ネットワーク ケーブル インターフェイスとしての設定をサポートしていません。2 組以上の仮想ネットワーク ケーブル インターフェイスを設定したい場合は、デバイスに5つ以上の物理インターフェイスが必要です。専用の管理ポートEth0を予約します。
3.ルーティング インターフェイスには複数のサブインターフェイスを追加できます。ルーティング インターフェイスのIPアドレスは、サブインターフェイスのIPアドレスと同じネットワーク セグメント上に存在することはできません。
エリア
どのタイムゾーン
- ローカル論理セキュリティ領域の概念です
- 1 つ以上のインターフェイスが接続されているネットワーク
エリア:さまざまなセキュリティ ポリシーなどのモジュールによって呼び出されるインターフェイスを定義および分類するために使用されます。
エリアを定義する場合は、制御要件に応じて計画する必要があり、1 つのインターフェイスを 1 つのエリアに分割することも、同じ要件を持つ複数のインターフェイスを同じエリアに分割することもできます。
インターフェイスは 1 つのゾーンのみに属することができ、ゾーンには複数のインターフェイスを持つことができます。
インターフェイスはゾーンで選択できます。あらかじめエリア名を設定しておき、画面上でエリアを選択することもできます。
ファイアウォール ネットワーキング ソリューション
ルーティング モード ネットワーキング
需要の背景
お客様の要件: 既存のトポロジは次の図に示すとおりで、AFを使用して既存のファイアウォールを置き換え、出口に導入して、イントラネット ユーザーとサーバーのセキュリティ保護を実現します。
需要分析
導入前にどのような準備作業を行う必要がありますか?
- 既存のデバイスのインターフェース構成
- イントラネット ネットワーク セグメントの計画、パケット ルーティングの簡単なライトバック
- マッピングするサーバーはありますか
- イントラネット ユーザーがエクストラネットにアクセスするためにプロキシとして機能する必要がありますか?
- 内部および外部ネットワークのアクセス権を制御する
- ユーザーのニーズを満たすためにどのセキュリティ ポリシー構成を実装するか
- トポロジは完成しましたか?
構成アイデア
1.インターフェースアドレスを設定し、インターフェースに対応する領域を定義します。
[ネットワーク] - [インターフェース/エリア] - [物理インターフェース]でインターフェースを選択し、インターフェースの種類、エリア、基本プロパティ、IPアドレスを設定します。
2.ルーティングを構成します。
[ネットワーク] - [ルーティング] でスタティックルートを追加し、デフォルトルートまたはリターンルートを設定します。
3.インターネットにアクセスするようにプロキシを構成します。
【ストラテジー】-【アドレス変換】に、送信元アドレス変換を追加します。
4.ポートマッピングを設定します。
[戦略]-[アドレス変換]でサーバーマッピングを追加します。
5.イントラネット ユーザーのインターネット アクセス許可を解放するようにアプリケーション制御戦略を構成します。
[ポリシー] - [アクセス制御] - [アプリケーション制御ポリシー]で、内部および外部のデータ アクセス許可を許可するアプリケーション制御ポリシーを追加します。
6.セキュリティ保護戦略を構成します。
例: ビジネス保護戦略、ユーザー保護戦略など。
ワンアームルーティングモード
ワンアーム ルーティングとは、元々互いに分離されていた異なるVLAN (仮想ローカル エリア ネットワーク)間の相互接続を実現するために、ルータのインターフェイス上にサブインターフェイス (実際の物理インターフェイスではなく論理インターフェイス) を構成することを指します。
ワンアーム配線構成
1.インターフェースアドレスを設定し、インターフェースに対応する領域を定義します。
[ ネットワーク] - [インターフェース/エリア] - [サブインターフェース]で、対応するサブインターフェースを設定し、VLAN IDを選択し、インターフェースの種類、エリア、基本プロパティ、IPアドレスを設定します。
2.ルーティングを構成します。
[ネットワーク] - [ルーティング] でスタティックルートを追加し、デフォルトルートまたはリターンルートを設定します。
3.インターネットにアクセスするようにプロキシを構成します。
【ストラテジー】-【アドレス変換】 に、送信元アドレス変換を追加します。
4.ポートマッピングを設定します。
[戦略]-[アドレス変換]でサーバーマッピングを追加します。
5.イントラネット ユーザーのインターネット アクセス許可を解放するようにアプリケーション制御戦略を構成します。
[ポリシー] - [アクセス制御] - [アプリケーション制御ポリシー] で、内部および外部のデータ アクセス許可を許可するアプリケーション制御ポリシーを追加します。
6.セキュリティ保護戦略を構成します。
例: ビジネス保護戦略、ユーザー保護戦略など。
ルーティングパターンの概要
このネットワーキング モードでは、ファイアウォールは内部ネットワークと外部ネットワークの間に配置され、内部ネットワークと外部ネットワークでのルーティングとアドレス指定を担当します。これはルーターに相当します。内部ネットワークと外部ネットワークに接続されているアップリンクとダウンリンクのサービス インターフェイスはすべて第 3 層で動作し、異なるネットワーク セグメントのIPアドレスをそれぞれ設定する必要があります。
このネットワーキング モードは、NAT 、ポリシー ルーティング、動的ルーティング プロトコル ( OSPF 、BGP 、RIPなど) など、より多くのセキュリティ機能をサポートします。
元のネットワークトポロジを変更する必要があり、既存の環境を大幅に変更する必要があります。
通常、出口ルーターや既存ルーターの交換、古いファイアウォール、その他のシナリオなど、ルーティングと転送が必要な場所に導入されます。
トランスペアレント モード ネットワーキング
需要の背景
お客様のニーズ:既存のネットワーク環境を変更せずに、セキュリティ保護のためにAFデバイスを導入します。
需要分析
導入前にどのような準備作業を行う必要がありますか?
- インターフェースの定義
- アドレス構成の管理
- ルーティングを構成します。通常、デフォルト ルートはファイアウォールがインターネットにアクセスするために使用され、戻りルートはファイアウォール管理に使用されます。
- アドレス変換を設定する必要はありません
- アクセス制御のためのアプリケーション制御
- ユーザーのセキュリティ保護要件を満たすセキュリティ保護戦略
構成アイデア
1. インターフェースアドレスを設定し、インターフェースに対応する領域を定義します。
[ ネットワーク] - [インターフェース/エリア] - [物理インターフェース]でインターフェースを選択し、インターフェースの種類、エリア、アクセスやトランクなどの基本プロパティを設定します。
2.管理インターフェイスを構成します。
[ネットワーク] で、管理インターフェイスを追加するか、vlanインターフェイスの論理インターフェイスを管理インターフェイスとして設定し、管理アドレスを割り当てます。
3.ルーティングを構成します。
[ネットワーク] - [ルーティング] にデフォルトルートとリターンルートを追加します。
4.アプリケーション制御ポリシーを構成して、異なる領域間のアクセス権を制御します。
[ポリシー]-[アクセス制御]-[アプリケーション制御ポリシー] で、アクセス権を制御するアプリケーション制御ポリシーを追加します。
5.セキュリティ保護戦略を構成します。
例: ビジネス保護戦略、ユーザー保護戦略など。
仮想ネットワークケーブルの導入
ユーザー要件: ルーターとスイッチ アグリゲーション ポートの相互接続には、ファイアウォール デバイスの透過的な展開が必要です。つまり、ポート 1 から入ってくるデータはポート2からのみ送信され、他のポートには転送されず、他のポートの影響は受けません。ポートは同じです。同時に、ファイアウォールデバイスを毎日管理できます。
仮想ネットワークケーブルの導入
仮想ネットワーク ケーブルの展開は、透過的な展開におけるもう 1 つの特殊なケースです。
透過的展開と同様に、インターフェイスもレイヤ 2 インターフェイスですが、仮想ネットワーク ケーブル インターフェイスとして定義されます。
仮想ネットワークインターフェースはペアで存在する必要があり、データ転送時にMACテーブルを確認する必要はなく、仮想ネットワークケーブルとペアになったインターフェースから直接転送されます。
仮想ネットワーク ケーブル インターフェイスの転送パフォーマンスは、透過インターフェイスよりも高いため、単一入力および単一出力のブリッジ環境では、仮想ネットワーク ケーブル インターフェイスを使用して展開することをお勧めします。