8.11下一代防火墙组网方案笔记
部署模式简介
下一代防火墙具备灵活的网络适应能力,支持:路由模式、透明模式、虚
拟网线模式、混合模式、旁路模式。
接口
NGAF有哪些接口?
➢ 根据接口属性分为:物理接口、子接口、VLAN接口、聚合接口。
其中物理口可选择为:路由口(路由器)、透明口(对应交换机)、虚拟网线口(对应集线器)、镜像口。
➢ 根据接口工作区域划分为:二层区域口、三层区域口、虚拟网线区
域口。
NGAF的部署模式是由各个接口的属性决定的。
物理接口
物理接口与NGAF设备面板上的接口一 一对应(eth0为manage口),根
据网口数据转发特性的不同,可选择路由、透明、虚拟网线和旁路镜像
4种类型,前三种接口又可设置WAN 或非WAN属性。
物理接口无法删除或新增,物理接口的数目由硬件型号决定。
路由接口
路由接口:
如果设置为路由接口,则需要给
该接口配置IP地址,且该接口具
有路由转发功能。
路由接口
ADSL拨号:
如果设置为路由接口,并且是
ADSL拨号,需要选上添加默认
路由选项,默认勾选。
路由接口
管理口:
Eth0为固定的管理口,接口类型为
路由口,且无法修改。Eth0可增加
管理IP地址,默认的管理IP
10.251.251.251/24无法删除。
透明接口
防火墙面板上第一个接口,就是管理接口。路由接口的一个接口可以存在多个接口ip。
虚拟网线接口
聚合接口
聚合接口:
将多个以太网接口捆绑在一起所形成的逻辑接口,创建的聚合接口成为一个逻
辑接口,而不是底层的物理接口。
子接口
VLAN接口
接口设置注意事项
区域
什么是区域
➢ 是本地逻辑安全区域的概念
➢ 一个或多个接口所连接的网络
路由模式组网
需求背景
客户需求:现有的拓扑如右图,使用NGAF替换现有防火墙,实现对内
网用户和服务器安全防护。
需求分析
部署前我们需要做哪些准备工作?
1、现有设备的接口配置
2、内网网段规划,好写回包路由
3、是否有服务器要映射
4、内网有哪些访问权限
5、进行哪些安全策略配置
6、现在拓扑是否完整
配置思路
1、配置接口地址,并定义接口对应的区域:
在【网络配置】-【接口/区域】-【物理接口】中,选择接口,并配置
接口类型、所属区域、基本属性、IP地址。
2、配置路由:
在【网络配置】-【路由】中,新增静态路由,配置默认路由或回程路
由。
3、配置代理上网:
在【防火墙】-【地址转换】中,新增源地址转换。
4、配置应用控制策略,放通内网用户上网权限:
在【内容安全】-【应用控制策略】中,新增应用控制策略,放通内到外
的数据访问权限。
5、配置安全防护策略:
如:僵尸网络、IPS、DOS等防护策略。
单臂路由模式
单臂路由是指在路由器的一个接口上
通过配置子接口(逻辑接口,并不存
在真正物理接口)的方式,实现原来
相互隔离的不同VLAN(虚拟局域网)
之间的互联互通。
单臂路由配置
、配置接口地址,并定义接口对应的区域:
在【网络配置】-【接口/区域】-【子接口】中,设置对应子接口,选择
VLAN ID,并配置接口类型、所属区域、基本属性、IP地址。
2、配置路由:
在【网络配置】-【路由】中,新增静态路由,配置默认路由或回程路由。
3、配置代理上网:
在【防火墙】-【地址转换】中,新增源地址转换。
4、配置应用控制策略,放通内网用户上网权限:
在【内容安全】-【应用控制策略】中,新增应用控制策略,放通内到外的
数据访问权限。
5、配置安全防护策略:
如:僵尸网络、IPS、DOS等防护策略。
透明模式组网
需求背景
客户需求:
部署一台NGAF设备进行安全防护,但是又不改动现有的网络环境。
需求分析
部署前我们需要做哪些准备工作?
1、接口定义
2、管理地址配置,还需要配置路由
3、不用配置地址转换
4、安全控制放通
5、安全防护策略
虚拟网线部署
混合模式组网
旁路模式组网(围绕tcp协议来的)
需求背景
