当前位置：首页 > news >正文

防火墙组网方式总结

news 2025/8/12 7:27:09

一、部署模式：灵活适配多样网络环境

下一代防火墙（NGAF）具备极强的网络适应能力，支持五种核心部署模式，可根据不同网络需求灵活选择。

路由模式：防火墙相当于路由器，位于内外网之间负责路由寻址，上下行接口均工作在三层，需配置不同网段 IP 地址。支持 NAT、策略路由、OSPF/BGP/RIP 等动态路由协议等丰富安全特性，适用于替换出口路由器或老防火墙，但需修改原网络拓扑，对现有环境改动较大。
透明模式：接口为二层接口，无需配置 IP 地址，根据 MAC 地址表转发数据，部署时不改动现有网络环境。部分功能要求接口为 WAN 属性，设置透明 WAN 口时需注意接线方向，避免内外网口接反导致功能失效。
虚拟网线模式：作为透明部署的特殊形式，接口成对存在，转发数据时无需检查 MAC 表，直接从配对接口转发。其转发性能高于透明接口，在单进单出网桥环境中推荐使用。
混合模式：结合透明接口和路由接口的特点，适用于复杂网络场景。例如服务器群使用公网 IP 直接被访问，内网用户通过 NAT 转换上网的场景，可将连接公网和服务器群的接口设为透明接口，连接内网的接口设为路由接口。
旁路模式：设备旁挂在现有网络设备上，不影响现有网络结构，通过端口镜像技术将流量镜像到防火墙实现数据的分析和处理。需单独设置管理接口，启用旁路 reset 功能，支持 APT（僵尸网络）、PVS（实时漏洞分析）、WAF（web 应用防护）、IPS（入侵防护系统）、DLP（数据泄密防护）及网站防篡改部分功能（客户端保护）。

二、接口类型：构建网络连接的核心要素

NGAF 的接口类型丰富，可按属性和工作区域划分，接口属性决定设备部署模式。

按接口属性分类

物理接口：与设备面板接口一一对应（eth0 为固定管理口），根据转发特性可分为路由、透明、虚拟网线和旁路镜像 4 种类型，前三种可设置 WAN 或非 WAN 属性。物理接口无法删除或新增，数目由硬件型号决定。
子接口：逻辑接口，仅能在路由口下添加，适用于路由接口需启用 VLAN 或 TRUNK 的场景。其下一跳网关和链路故障检测需根据实际环境配置，且路由接口的 IP 地址不能与子接口 IP 在同网段。
VLAN 接口：逻辑接口，为 VLAN 定义 IP 地址后产生，需填写对应 VLAN ID，其下一跳网关和链路故障检测需根据实际环境配置。
聚合接口：将多个以太网接口捆绑形成的逻辑接口，最多支持 4 个聚合接口。工作模式包括主备模式（取 eth 最大号为主接口，其余为备接口）、负载均衡 - hash（按数据包源目的 IP/MAC 的 hash 值均分）、负载均衡 - RR（按数据包轮转均分）。

按接口工作区域分类

可分为二层区域口、三层区域口、虚拟网线区域口，用于适配不同的网络层级需求。

特殊接口说明

路由接口：需配置 IP 地址，具备路由转发功能，部分功能（如流控、VPN、策略路由）要求接口为 WAN 属性。若为 ADSL 拨号，需勾选添加默认路由选项；WAN 属性接口必须开启链路故障检测，用于检测链路状态及线路故障时自动切换流量。
透明接口：相当于普通交换网口，无需配置 IP 地址，不支持路由转发，根据 MAC 地址表转发数据。
虚拟网线接口：成对存在的交换接口，无需配置 IP 地址和检查 MAC 表，直接从配对接口转发，转发性能优于透明接口。
管理口（Eth0）：固定为路由口，无法修改类型，可增加管理 IP 地址，默认管理 IP 10.251.251.251/24 无法删除，且不支持设置为透明或虚拟网线接口。

三、区域定义：逻辑安全的划分与管理

区域是本地逻辑安全区域概念，用于定义和归类接口，供防火墙、内容安全、服务器保护等模块调用。

区域规划需根据控制需求进行，可将一个接口划分到一个区域，或多个相同需求接口划到同一区域，一个接口仅能属于一个区域。
配置方式灵活，可在区域中选择接口，也可预先设置区域名称后在接口中选择区域，常见区域包括 DMZ 区域、Trust 区域、Untrust 区域等。

四、典型组网模式配置详解

路由模式组网

需求背景：替换现有防火墙，实现对内网用户和服务器的安全防护。
部署前准备：明确现有设备接口配置、内网网段规划、服务器映射需求、内网访问权限、安全策略配置及现有拓扑完整性。
配置思路：首先在【网络配置】-【接口 / 区域】-【物理接口】中配置接口类型、所属区域、基本属性及 IP 地址；然后在【网络配置】-【路由】中新增静态路由，配置默认路由或回程路由；接着在【防火墙】-【地址转换】中新增源地址转换实现代理上网；再在【内容安全】-【应用控制策略】中新增策略放通内网用户上网权限；最后配置僵尸网络、IPS、DOS 等安全防护策略。

单臂路由模式

核心原理：在路由器一个接口上通过配置子接口（逻辑接口）实现不同 VLAN 间的互联互通。
配置思路：在【网络配置】-【接口 / 区域】-【子接口】中设置子接口，选择 VLAN ID，配置接口类型、所属区域、基本属性及 IP 地址；后续路由配置、代理上网、应用控制策略及安全防护策略配置与路由模式类似。

透明模式组网

需求背景：部署 NGAF 进行安全防护但不改动现有网络环境。
部署前准备：明确接口定义、管理地址及路由配置需求，无需配置地址转换，需规划安全控制放通和安全防护策略。
配置思路：在【网络配置】-【接口 / 区域】-【物理接口】中配置接口参数；在【网络配置】中新增管理接口并分配地址；在【网络配置】-【路由】中配置默认路由；之后配置应用控制策略放通内网访问权限及相关安全防护策略。

虚拟网线部署

核心需求：透明部署中实现特定网口的二层隔离，如 eth1 口数据从 eth3 口转发，eth2 口数据从 eth4 口转发。
特点：接口为二层接口且定义为虚拟网线接口，成对存在，转发无需检查 MAC 表，性能优于透明接口，单进单出网桥环境优先选用。

混合模式部署

需求背景：内网服务器群用公网 IP 供直接访问，内网用户用私有地址通过 NAT 上网，需在公网出口部署 NGAF 保护服务器群和内网数据安全。
部署方式：连接公网和服务器群的 2 个接口用透明 access 口，连接内网网段用路由接口。
配置要点：物理接口 eth1、eth2 设为透明 access 接口并配置相同 VLAN ID；新增 VLAN1 接口分配公网 IP 并划入外网区域；eth3 设为路由接口，配置与内网交换机同网段 IP 及静态路由；内网用户上网时源 IP 转换为 VLAN1 接口 IP，划分二层区域（含 eth1 和 eth2）、外网区域（含 VLAN1 接口）、内网区域（含 eth3）。

旁路模式组网

需求背景：实现内网防护和数据分板，且不改动现有环境。
配置思路：在【网络配置】-【接口 / 区域】-【物理接口】中配置镜像接口，定义所属区域及流量监听网络对象；在【网络配置】-【接口区域】-【物理接口】中选择管理接口；在【系统】-【系统配置】-【网络参数】中勾选【旁路 reset】；最后配置相关安全防护策略。