下一代防火墙组网方案
下一代防火墙组网简介
部署模式简介
下一代防火墙具备灵活的网络适应能力,支持:路由模式、透明模式、虚拟网线模式、混合模式、旁路模式。
接口
NGAF有哪些接口?
- 根据接口属性分为:物理接口、子接口、VLAN接口、聚合接口。其中物理口可选择为:路由口、透明口、虚拟网线口、镜像口。
- 根据接口工作区域划分为:二层区域口、三层区域口、虚拟网线区域口。
- NGAF的部署模式是由各个接口的属性决定的。
物理接口
- 物理接口与NGAF设备面板上的接口一 一对应(eth0为manage口),根据网口数据转发特性的不同,可选择路由、透明、虚拟网线和旁路镜像4种类型,前三种接口又可设置WAN 或非WAN属性。物理接口无法删除或新增,物理接口的数目由硬件型号决定。
路由接口
路由接口:如果设置为路由接口,则需要给该接口配置IP地址,且该接口具有路由转发功能。
ADSL拨号:如果设置为路由接口,并且是ADSL拨号,需要选上添加默认路由选项,默认勾选。
管理口:Eth0为固定的管理口,接口类型为路由口,且无法修改。Eth0可增加管理IP地址,默认的管理IP 10.251.251.251/24无法删除。
透明接口
虚拟网线接口
聚合接口
子接口
VLAN接口
接口设置注意事项
-
- 设备支持配置多个WAN属性的路由接口连接多条外网线路,但需要开通多条线路的授权。(深信服)
-
- 管理口不支持设置成透明接口或虚拟网线接口,如果要设置2对或2对以上的虚拟网线接口,则必须要求设备不少于5个物理接口,预留一个专门的管理口Eth0。(深信服)
-
- 一个路由接口下可添加多个子接口,路由接口的IP地址不能与子接口的IP地址在同网段。
区域
下一代防火墙组网方案
路由模式组网
需求背景:
- 客户需求:现有的拓扑如右图,使用NGAF替换现有防火墙,实现对内网用户和服务器安全防护。
需求分析:
部署前我们需要做哪些准备工作?
-
- 现有设备的接口配置
-
- 内网网段规划,好写回包路由
-
- 是否有服务器要映射
-
- 内网有哪些访问权限
-
- 进行哪些安全策略配置
-
- 现在拓扑是否完整
配置思路
- 1、配置接口地址,并定义接口对应的区域:
在【网络配置】-【接口/区域】-【物理接口】中,选择接口,并配置接口类型、所属区域、基本属性、IP地址。 - 2、配置路由: 在【网络配置】-【路由】中,新增静态路由,配置默认路由或回程路由。
- 3、配置代理上网:在【防火墙】-【地址转换】中,新增源地址转换。
- 4、配置应用控制策略,放通内网用户上网权限:在【内容安全】-【应用控制策略】中,新增应用控制策略,放通内到外的数据访问权限。
- 5、配置安全防护策略:如:僵尸网络、IPS、DOS等防护策略。
单臂路由模式
路由模式总结
透明模式组网
混合模式组网
旁路模式组网
