4-下一代防火墙组网方案

下一代防火墙组网方案

一 下一代防火墙组网简介

1. 部署模式简介

• NGAF基本应用场景

  

• 下一代防火墙具备灵活的网络适应能力，支持：路由模式、透明模式、虚拟网线模式、混合模式、旁路模式

  

2. 接口

• 根据接口属性分为：物理接口、子接口、VLAN接口、聚合接口。其中物理口可选择为：路由口、透明口、虚拟网线口、镜像口。
• 根据接口工作区域划分为：二层区域口、三层区域口、虚拟网线区域口。
• NGAF的部署模式是由各个接口的属性决定的。

• 物理接口
  • 物理接口与NGAF设备面板上的接口一 一对应（eth0为manage口），根据网口数据转发特性的不同，可选择路由、透明、虚拟网线和旁路镜像4种类型，前三种接口又可设置WAN 或非WAN属性。
  • 物理物理接口无法删除或新增，物理接口的数目由硬件型号决定。

• 路由接口

  • 如果设置为路由接口，则需要给该接口配置IP地址，且该接口具有路由转发功能。

  • 

  • 设置接口的下一跳网关，用于链路故障检测，并不会自动生成的缺省路由，需手动添加缺省路由。

    • 链路故障的两种检测方式

      • DNS解析

      • PING

        

  • 接口的线路带宽设置与流量管理无关，用于策略路由根据接口带宽占用比例选路。

  • ADSL拨号

    • 如果设置为路由接口，并且是ADSL拨号，需要选上添加默认路由选项，默认勾选。（需要运营商将光猫改为桥接模式）

      

  • 管理口

    • Eth0为固定的管理口，接口类型为路由口，且无法修改，Eth0可增加管理ip，默认的管理IP10.251.251.251/24无法删除。（防火墙面板的第一个接口就是管理接口（接公网）。 （深信服防火墙不能更改，其他的能改）（防火墙只有一个接口默认开启管理，第一个接口默认有私网地址。不同角色的接口功能有区别））

      

• 透明接口

  • 透明接口相当于普通的交换网口，不需要配置IP地址，不支持路由转发，根据MAC地址表转发数据。（防火墙上二层接口需新建，也可以作为DHCP）

  • 路由器可以一个接口可以写多个地址，防火墙也可以（也可以同时使用）

    

• 虚拟网线接口（虚拟连接对：两个）

  • 虚拟网线接口也是普通的交换接口，不需要配置IP地址，不支持路由转发，转发数据时，无需检查MAC表，直接从虚拟网线配对的接口转发。

  • 虚拟网线接口的转发性能高于透明接口，单进单出网桥的环境下，推荐使用虚拟网线接口部署。

    

• 聚合接口

  • 将多个以太网接口捆绑在一起所形成的逻辑接口，创建的聚合接口成为一个逻辑接口，而不是底层的物理接口。

  • 最多支持4个聚合接口

  • 负载均衡–hash：按数据包源目的IP/MAC的hash值均分

  • 负载均衡–RR:直接按数据包轮转均分到每个接口。

    主备模式–取eth最大号为主接口收发包，其余为备接口。

  • 不支持旁路镜像

    

• 子接口

  • 子接口应用于路由接口需要启动VLAN或trunk的场景

  • 子接口是逻辑接口，只能在路由口下添加子接口

  • 子接口的下一跳网关和链路故障检测根据实际环境进行配置

    

• VLAN接口

  • 为VLAN定义IP地址，则会产生VLAN接口。VLAN接口也是逻辑接口。

    

3. 接口设置注意事项

• 设备支持配置多个WAN属性的路由接口连接多条外网线路，但是需要开通多条线路的授权。
• 管理口不支持设置成透明接口或虚拟网线接口（深信服可以设置），如果要设置2对或2对以上的虚拟网线接口，则必须要求设备不少于5个物理接口，预留一个专门的管理口Eth0。
• 一个路由接口下可添加多个子接口，路由接口的IP地址不能与子接口的IP地址在同网段。

4. 区域

• 定义

  • 是本地逻辑安全区域的概念

  • 一个或多个接口所连接的网络

    

• 用于定义和归类接口，以供防火墙、内容安全、服务器保护等模块调用。

• 定义区域时，需根据控制的需求来规划，可以将一个接口划分到一个区域，或将几个相同需求的接口划分到同一个区域。

• 一个接口只能属于一个区域。

• 可以在区域中选择接口；也可以预先设置好区域名称，在接口中选择区域。

  

二 下一代防火墙组网方案

1. 需求背景

2. 需求分析

3. 配置思路

先ping通在进行安全防护

4. 单臂路由（适用于小规模）

• 定义

  单臂路由是指在路由器的一个接口上通过配置子接口（逻辑接口，并不存在真正物理接口）的方式，实现原来相互隔离的不同VLAN（虚拟局域网）之间的互联互通。

• 配置

  
  

5. 路由模式总结

• 在此组网方式时，防火墙位于内部网络和外部网络之间，负责在内部网络、外部网络中进行路由寻址，相当于路由器。其与内部网络、外部网络相连的上下行业务接口均工作在三层，需要分别配置不同网段的IP地址。
• 此组网方式支持更多的安全特性，如NAT、策略路由选择，动态路由协议（OSPF、BGP、RIP等）等。
• 需要修改原网络拓扑，对现有环境改动较大（若新增选择透明模式好一点）
• 一般替换出口路由器或老防火墙

三 透明模式组网

1. 需求背景

2. 需求分析

3. 配置思路

4. 虚拟网线部署

• 透明部署NGAF设备，要求eth1和eth3这对网口，与eth2和eth4这对网口二层隔离，即从eth1口进入的数据必须从eth3口转发，eth2口进入的数据必须从eth4口转发。

  

  

四 混合模式组网

1. 混合模式部署案例

2. 混合模式部署拓扑

3. 混合模式部署分析

• 由于服务器均有公网IP地址，所以NGAF设备连接公网线路的接口eth1与连接服务器群接口eth2使用透明access接口，并设置相同的VLAN ID。即可实现所有用户通过公网IP直接访问到服务器群。
• 新增VLAN1接口，分配一个公网IP地址，划入区域为外网区域。
• AF设备与内网相连的接口eth3使用路由接口，设置与内网交换机同网段的IP地址，并设置静态路由与内网通信。
• 内网用户上网时，转换源IP地址为VLAN1接口的IP地址。根据需求，划分为一个二层区域选择网口eth1和eth2；划分两个三层区域，其中“外网区域”选择VLAN接口vlan1；“内网区域”选择接口eth3。

4. 混合模式部署

• 设置物理接口

  

• 设置VLAN接口

  

五 旁路模式组网

1. 需求背景

2. 配置思路

3. 思考总结

• 设备旁挂在现有的网络设备上，不影响现有的网络结构，通过端口镜像技术把流量镜像到下一代防火墙，实现对数据的分析和处理。
• 需要另外设置接口才能对设备进行管理。
• 启用管理口reset功能。
• 旁路部署支持的功能仅有：
  • APT（僵尸网络）
  • PVS（实时漏洞分析）
  • WAF（web应用防护）
  • IPS（入侵防护系统）
  • DLP（数据泄密防护）
  • 网站防篡改部分功能（客户端保护）
    旁挂在现有的网络设备上，不影响现有的网络结构，通过端口镜像技术把流量镜像到下一代防火墙，实现对数据的分析和处理。
• 需要另外设置接口才能对设备进行管理。
• 启用管理口reset功能。
• 旁路部署支持的功能仅有：
  • APT（僵尸网络）
  • PVS（实时漏洞分析）
  • WAF（web应用防护）
  • IPS（入侵防护系统）
  • DLP（数据泄密防护）
  • 网站防篡改部分功能（客户端保护）