深信服下一代防火墙组网介绍及配置

下一代防火墙目录

1.下一代防火墙组网简介
- 1.1部署模式简介
- 1.2 NGAF接口类型
- - 1.2.1根据接口属性分类
  - - （1）物理接口
    - - a 路由口
      - b 透明口
      - c虚拟网线口
    - （2）子接口
    - （3）VLAN接口
    - （4）聚合接口
  - 1.2.3 接口设置注意事项
- 1.3区域
2.下一代防火墙组网方案
- 2.1路由模式组网
- - 2.1.1 客户需求
  - 2.1.2 准备工作
  - 2.1.3 配置思路
  - 2.1.4 单臂路由模式
  - - （1）单臂路由概述
    - （2）配置思路
  - 2.1.5 路由模式总结
- 2.2透明模式组网
- - 2.2.1 需求背景
  - 2.2.2 准备工作
  - 2.2.3 配置思路
  - 2.2.4 虚拟网线部署
- 2.3混合模式组网
- - 2.3.1需求背景
  - 2.3.2 混合模式部署拓扑
  - 2.3.3 混合模式部署分析
  - 2.3.4 混合模式部署
- 2.4 旁路模式组网
- - 2.4.2 配置思路
  - 2.4.3 旁路模式（流量统计）
  - 2.4.4 总结
3.策略路由解决方案
- 3.1需求背景
- 3.2 策略路由
- 3.3 配置思路
- 3.4 总结

1.下一代防火墙组网简介

1.1部署模式简介

NGAF基本应用场景

下一代防火墙具备灵活的网络适应能力，支持：
路由模式、

透明模式、
虚拟网线模式、

混合模式、

旁路模式。

1.2 NGAF接口类型

NGAF的部署模式是由各个接口的属性决定的

1.2.1根据接口属性分类

（1）物理接口

物理接口与NGAF设备面板上的接口一一对应（eth0为manage口），根据网口数据转发特性的不同，可选择路由、透明、虚拟网线和旁路镜像4种类型，前三种接口又可设置WAN 或非WAN属性。

物理接口无法删除或新增，物理接口的数目由硬件型号决定.

a 路由口

如果设置为路由接口，则需要给该接口配置IP地址，且该接口具有路由转发功能。

ADSL拨号：

管理口：

Eth0为固定的管理口，接口类型为路由口，且无法修改。Eth0可增加管理IP地址，默认的管理IP 10.251.251.251/24无法删除

b 透明口

透明接口：透明接口相当于普通的交换网口，不需要配置IP地址，不支持路由转发，根据MAC地址表转发数据。

部分功能要求接口是WAN属性，当接口设置成透明WAN口时，注意设备上架时接线方向，内外网网口接反会导致部分功能失效。

c虚拟网线口

虚拟网线接口：虚拟网线接口也是普通的交换接口，不需要配置IP地址，不支持路由转发，转发数据时，无需检查MAC表，直接从虚拟网线配对的接口转发。

虚拟网线接口的转发性能高于透明接口，单进单出网桥的环境下，推荐使用虚拟网线接口部署。

（2）子接口

子接口：子接口应用于路由接口需要启用 VLAN或TRUNK的场景。
子接口是逻辑接口，只能在路由口下添加子接口。子接口的下一跳网关和链路故障检测根据实际环境进行配置。

（3）VLAN接口

VLAN接口：为VLAN定义IP地址，则会产生 VLAN接口。VLAN接口也是逻辑接口。

VLAN 接口的下一跳网关和链路故障检测根据实际环境进行配置

（4）聚合接口

将多个以太网接口捆绑在一起所形成的逻辑接口，创建的聚合接口成为一个逻辑接口，而不是底层的物理接口。

1.2.3 接口设置注意事项

1.     设备支持配置多个WAN属性的路由接口连接多条外网线路，但是需要开通多条线路的授权。
2.     管理口不支持设置成透明接口或虚拟网线接口，如果要设置2对或2对以上的虚拟网线接口，则必须要求设备不少于5个物理接口，预留一个专门的管理口Eth0。
3.      一个路由接口下可添加多个子接口，路由接口的IP地址不能与子接口的IP地址在同网段。

1.3区域

区域：用于定义和归类接口，以供防火墙、内容安全、服务器保护等模块调用。

定义区域时，需根据控制的需求来规划，可以将一个接口划分到一个区域，或将几个相同需求的接口划分到同一个区域。
一个接口只能属于一个区域。

可以在区域中选择接口；也可以预先设置好区域名称，在接口中选择区域。

2.下一代防火墙组网方案

2.1路由模式组网

2.1.1 客户需求

客户需求：现有的拓扑如下图，使用NGAF替换现有防火墙，实现对内网用户和服务器安全防护

2.1.2 准备工作

部署前准备工作：
1、现有设备的接口配置
2、内网网段规划，好写回包路由
3、是否有服务器要映射
4、内网有哪些访问权限
5、进行哪些安全策略配置
6、现在拓扑是否完整

2.1.3 配置思路

1、配置接口地址，并定义接口对应的区域：
在【网络配置】－【接口/区域】－【物理接口】中，选择接口，并配置接口类型、所属区域、基本属性、IP地址。2、配置路由： 在【网络配置】－【路由】中，新增静态路由，配置默认路由或回程路由。3、配置代理上网： 在【防火墙】-【地址转换】中，新增源地址转换。4、配置应用控制策略，放通内网用户上网权限： 在【内容安全】-【应用控制策略】中，新增应用控制策略，放通内到外的数据访问权限。5、配置安全防护策略： 如：僵尸网络、IPS、DOS等防护策略。

2.1.4 单臂路由模式

（1）单臂路由概述

单臂路由是指在路由器的一个接口上通过配置子接口（逻辑接口，并不存在真正物理接口）的方式，实现原来相互隔离的不同VLAN（虚拟局域网）之间的互联互通。

（2）配置思路

1、配置接口地址，并定义接口对应的区域：
在【网络配置】－【接口/区域】－【子接口】中，设置对应子接口，选择 VLAN ID，并配置接口类型、所属区域、基本属性、IP地址。

2、==配置路由： ==
在【网络配置】－【路由】中，新增静态路由，配置默认路由或回程路由。

3、配置代理上网：
在【防火墙】-【地址转换】中，新增源地址转换。

4、配置应用控制策略，放通内网用户上网权限：
在【内容安全】-【应用控制策略】中，新增应用控制策略，放通内到外的数据访问权限。

5、==配置安全防护策略： ==
如：僵尸网络、IPS、DOS等防护策略。

2.1.5 路由模式总结

1.在此组网方式时，防火墙位于内部网络和外部网络之间，负责在内部网络、外部网络中进行路由寻址，相当于路由器。其与内部网络、外部网络相连的上下行业务接口均工作在三层，需要分别配置不同网段的IP地 址。
2.此组网方式支持更多的安全特性，如NAT、策略路由选择，动态路由协议（OSPF、BGP、RIP等）等。
3.需要修改原网络拓扑，对现有环境改动较大。
4.一般替换出口路由器或老防火墙。

2.2透明模式组网

2.2.1 需求背景

客户需求：部署一台NGAF设备进行安全防护，但是又不改动现有的网络环境

2.2.2 准备工作

1、接口定义
2、管理地址配置，还需要配置路由
3、不用配置地址转换
4、安全控制放通
5、安全防护策略

2.2.3 配置思路

１、 ==配置接口地址，并定义接口对应的区域： ==
在【网络配置】－【接口/区域】－【物理接口】中，选择接口，并配置接口类型、所属区域、基本属性、IP地址。

2、配置管理接口：
在【网络配置】中，新增管理接口，并分配管理地址。

3、==配置路由： ==
在【网络配置】－【路由】中，新增静态路由，配置默认路由。

4、配置应用控制策略，放通内网用户上网权限：
在【内容安全】-【应用控制策略】中，新增应用控制策略，放通内到外的数据访问权限。

5、配置安全防护策略：
如：僵尸网络、IPS、DOS等防护策略。

2.2.4 虚拟网线部署

透明部署NGAF设备，要求eth1和eth3这对网口，与eth2和eth4这对网口二层隔离，即从eth1口进入的数据必须从eth3口转发，eth2口进入的数据必须从eth4口转发。

透明部署中另外一种特殊情况：虚拟网线部署

和透明部署一样，接口也是二层接口，但是被定义成虚拟网线接口。

虚拟网络接口是成对存在的，转发数据时，无需检查MAC表，直接从虚拟网线配对的接口转发。
3.虚拟网线接口的转发性能高于透明接口，单进单出网桥的环境下，推荐使用虚拟网线接口部署。

2.3混合模式组网

2.3.1需求背景

某用户内网有服务器群，服务器均配置公网IP地址，提供所有用户直接通过公网IP地址接入访问。内网用户使用私有地址，通过NAT转换上网。希望将NGAF设备部署在公网出口的位置，保护服务器群和内网上网数据的安全。

部署方式推荐：使用混合模式部署，NGAF设备连接公网和服务器群的2个接口使用透明access 口，连接内网网段使用路由接口。

2.3.2 混合模式部署拓扑

2.3.3 混合模式部署分析

由于服务器均有公网IP地址，所以NGAF设备连接公网线路的接口eth1与连接服务器群接口eth2使用透明access接口，并设置相同的VLAN ID。即可实现所有用户通过公网IP直接访问到服务器群。

新增VLAN1接口，分配一个公网IP地址，划入区域为外网区域。

AF设备与内网相连的接口eth3使用路由接口，设置与内网交换机同网段的IP 地址，并设置静态路由与内网通信。

内网用户上网时，转换源IP地址为VLAN1接口的IP地址。根据需求，划分为一个二层区域选择网口eth1和eth2；划分两个三层区域，其中“外网区域 ”选择VLAN接口vlan1；“内网区域”选择接口eth3。

2.3.4 混合模式部署

配置截图:

设置物理接口eth1、eth2和eth3：

2.设置VLAN接口：

2.4 旁路模式组网

2.4.1 需求背景
使用NGAF来实现内网防护和对内网防护数据进行分析，但是不能改动已有的环境

2.4.2 配置思路

1、配置镜像接口，定义接口对应的区域，并配置流量监听网络对象：
在【网络配置】－【接口/区域】－【物理接口】中，选择接口，并配置接口类型、所属区域、旁路流量统计网络对象。
2、配置管理接口：
在【网络配置】－【接口区域】－【物理接口】中，选择接口。
3、启用旁路reset功能：
在【系统】-【系统配置】-【网络参数】中，勾选【旁路reset】。
4、配置安全防护策略：
如：僵尸网络、IPS、DOS等防护策略

2.4.3 旁路模式（流量统计）

2.4.4 总结

设备旁挂在现有的网络设备上，不影响现有的网络结构，通过端口镜像技术把流量镜像到下一代防火墙，实现对数据的分析和处理。
➢ 需要另外设置接口才能对设备进行管理。
➢ 启用管理口reset功能。

➢ 旁路部署支持的功能仅有：
⚫ APT（僵尸网络）
⚫ PVS（实时漏洞分析）
⚫ WAF（web应用防护）
⚫ IPS（入侵防护系统）
⚫ DLP（数据泄密防护）
⚫ 网站防篡改部分功能（客户端保护）

3.策略路由解决方案

3.1需求背景

网络环境如下图，公网出口两条线路：电信线路和专线

客户需求：
1、内网用户访问教育网资源必须通过专线才能访问到。
2、内网所有用户访问网上银行TCP 443端口的数据全部走10M电信线路。
3、内网所有P2P应用走10M电信。
4、内网用户访问公网时按照带宽比例自动选择线路。
5、访问教育网的所有资源均走专线。

3.2 策略路由

策略路由是路由中的一种。
静态路由的匹配条件相对较少：匹配目的IP、子网掩码与下一跳网关。
策略路由可以弥补静态路由的不足，匹配条件会灵活很多，根据相应策略来匹配：匹配源、目的、协议、出口在外网多条线路情况下，建议配置策略路由。

策略路由分为：

1.源地址策略路由——可指定内网哪些IP走指定线路出公网
2.多线路负载路由——可指定多条线路进行负载选路

3.3 配置思路

1、接口和区域设置和路由部署一致，但接口要开启链路状态检测。
2、代理上网和应用控制策略配置和路由部署一致。
3、策略路由配置：在【系统管理】-【网络配置】-【路由设置】-【策略路由】中，
3.1、添加源地址策略路由，来自于“内网区域”，目标ISP为教育网，目标端口为TCP 443的数据，填写下一跳地址为192.168.1.2。
3.2、添加源地址策略路由，来自于“内网区域”，目标IP选择全部，目标端口为TCP443的数据，选择接口eth2。
3.3、添加源地址策略路由，来自于“内网区域”，目标ISP为教育网，填写下一跳地址为192.168.1.2。
3.4、添加源地址策略路由，来自于“内网区域”，属于P2P应用的选择接口eth2。
3.5、添加多线路负载路由，来自于“内网区域”，目标IP选择全部，选择接口eth1和eth2，接口选择策略为带宽比例。

3.4 总结

注意事项：
1. 路由优先级：VPN路由>静态路由>策略路由>默认路由。
2. 每一条外网线路必须至少有一条策略路由与之对应，源地址策略路由或多线路负载路由均可。
3.源地址策略路由，通过直接填写路由的下一跳，可以实现从设备非WAN属性的接口转发数据。
4. 多线路负载路由选择的接口，必须开启链路故障检测功能，才能实现线路故障自动切换。
5. 多条策略路由，按照从上往下的顺序匹配，一旦匹配到某条策略路由后，不再往下匹配。