深信服下一代防火墙组网介绍及配置
下一代防火墙目录
- 1.下一代防火墙组网简介
- 1.1部署模式简介
- 1.2 NGAF接口类型
- 1.2.1根据接口属性分类
- (1)物理接口
- a 路由口
- b 透明口
- c虚拟网线口
- (2)子接口
- (3)VLAN接口
- (4)聚合接口
- 1.2.3 接口设置注意事项
- 1.3区域
- 2.下一代防火墙组网方案
- 2.1路由模式组网
- 2.1.1 客户需求
- 2.1.2 准备工作
- 2.1.3 配置思路
- 2.1.4 单臂路由模式
- (1)单臂路由概述
- (2)配置思路
- 2.1.5 路由模式总结
- 2.2透明模式组网
- 2.2.1 需求背景
- 2.2.2 准备工作
- 2.2.3 配置思路
- 2.2.4 虚拟网线部署
- 2.3混合模式组网
- 2.3.1需求背景
- 2.3.2 混合模式部署拓扑
- 2.3.3 混合模式部署分析
- 2.3.4 混合模式部署
- 2.4 旁路模式组网
- 2.4.2 配置思路
- 2.4.3 旁路模式 (流量统计)
- 2.4.4 总结
- 3.策略路由解决方案
- 3.1需求背景
- 3.2 策略路由
- 3.3 配置思路
- 3.4 总结
1.下一代防火墙组网简介
1.1部署模式简介
NGAF基本应用场景
下一代防火墙具备灵活的网络适应能力,支持:
路由模式、
透明模式、
虚拟网线模式、
混合模式、
旁路模式。
1.2 NGAF接口类型
NGAF的部署模式是由各个接口的属性决定的
1.2.1根据接口属性分类
(1)物理接口
物理接口与NGAF设备面板上的接口一一对应(eth0为manage口),根据网口数据转发特性的不同,可选择路由、透明、虚拟网线和旁路镜像4种类型,前三种接口又可设置WAN 或非WAN属性。
物理接口无法删除或新增,物理接口的数目由硬件型号决定.
a 路由口
如果设置为路由接口,则需要给 该接口配置IP地址,且该接口具 有路由转发功能。
ADSL拨号:
管理口:
Eth0为固定的管理口,接口类型为路由口,且无法修改。Eth0可增加管理IP地址,默认的管理IP 10.251.251.251/24无法删除
b 透明口
透明接口:透明接口相当于普通的交换网口, 不需要配置IP地址,不支持路由转发,根据MAC地址表转发数据。
部分功能要求接口是WAN属性,当接口设置成透明WAN口时,注意设 备上架时接线方向,内外网网口接反会导致部分功能失效。
c虚拟网线口
虚拟网线接口: 虚拟网线接口也是普通的交换接口,不需要配置IP地址,不支持路由转发,转发数据时,无需检查MAC表,直接从虚拟网线配对的接口转发。
虚拟网线接口的转发性能高于透明接口,单进单出网桥的环境下 ,推荐使用虚拟网线接口部署。
(2)子接口
子接口: 子接口应用于路由接口需要启用 VLAN或TRUNK的场景。
子接口是逻辑接口,只能在路由口下添加子接口。 子接口的下一跳网关和链路故障检测根据实际环境进行配置。
(3)VLAN接口
VLAN接口: 为VLAN定义IP地址,则会产生 VLAN接口。VLAN接口也是逻辑接口。
VLAN 接口的下一跳网关和链路故障检测根据实际环境进行配置
(4)聚合接口
将多个以太网接口捆绑在一起所形成的逻辑接口,创建的聚合接口成为一个逻辑接口,而不是底层的物理接口。
1.2.3 接口设置注意事项
1. 设备支持配置多个WAN属性的路由接口连接多条外网线路,但是需要开通多条线路的授权。
2. 管理口不支持设置成透明接口或虚拟网线接口,如果要设置2对或2对以上的虚拟网线接口,则必须要求设备不少于5个物理接口,预留一个专门的管理口Eth0。
3. 一个路由接口下可添加多个子接口,路由接口的IP地址不能与子接口的IP地址在同网段。
1.3区域
区域: 用于定义和归类接口,以供防火墙、内容安全、服务器保护等模块调用。
定义区域时,需根据控制的需求来规划,可以将一个接口划分到一个区域,或将几个相同需求的接口划分到同一个区域。
一个接口只能属于一个区域。
可以在区域中选择接口;
也可以预先设置好区域名称,在接口中选择区域。
2.下一代防火墙组网方案
2.1路由模式组网
2.1.1 客户需求
客户需求:现有的拓扑如下图,使用NGAF替换现有防火墙,实现对内网用户和服务器安全防护
2.1.2 准备工作
部署前准备工作:
1、现有设备的接口配置
2、内网网段规划,好写回包路由
3、是否有服务器要映射
4、内网有哪些访问权限
5、进行哪些安全策略配置
6、现在拓扑是否完整
2.1.3 配置思路
1、配置接口地址,并定义接口对应的区域:
在【网络配置】-【接口/区域】-【物理接口】中,选择接口,并配置接口类型、所属区域、基本属性、IP地址。2、配置路由: 在【网络配置】-【路由】中,新增静态路由,配置默认路由或回程路由。3、配置代理上网: 在【防火墙】-【地址转换】中,新增源地址转换。4、配置应用控制策略,放通内网用户上网权限: 在【内容安全】-【应用控制策略】中,新增应用控制策略,放通内到外的数据访问权限。5、配置安全防护策略: 如:僵尸网络、IPS、DOS等防护策略。
2.1.4 单臂路由模式
(1)单臂路由概述
单臂路由是指在路由器的一个接口上通过配置子接口(逻辑接口,并不存在真正物理接口)的方式,实现原来相互隔离的不同VLAN(虚拟局域网) 之间的互联互通。
(2)配置思路
1、配置接口地址,并定义接口对应的区域:
在【网络配置】-【接口/区域】-【子接口】中,设置对应子接口,选择 VLAN ID,并配置接口类型、所属区域、基本属性、IP地址。
2、==配置路由: ==
在【网络配置】-【路由】中,新增静态路由,配置默认路由或回程路由。
3、配置代理上网:
在【防火墙】-【地址转换】中,新增源地址转换。
4、配置应用控制策略,放通内网用户上网权限:
在【内容安全】-【应用控制策略】中,新增应用控制策略,放通内到外的 数据访问权限。
5、==配置安全防护策略: ==
如:僵尸网络、IPS、DOS等防护策略。
2.1.5 路由模式总结
1.在此组网方式时,防火墙位于内部网络和外部网络之间,负责在内部网络、外部网络中进行路由寻址,相当于路由器。其与内部网络、外部网络相连的上下行业务接口均工作在三层,需要分别配置不同网段的IP地 址。
2.此组网方式支持更多的安全特性,如NAT、策略路由选择,动态路由协议(OSPF、BGP、RIP等)等。
3.需要修改原网络拓扑,对现有环境改动较大。
4.一般替换出口路由器或老防火墙。
2.2透明模式组网
2.2.1 需求背景
客户需求: 部署一台NGAF设备进行安全防护,但是又不改动现有的网络环境
2.2.2 准备工作
1、接口定义
2、管理地址配置,还需要配置路由
3、不用配置地址转换
4、安全控制放通
5、安全防护策略
2.2.3 配置思路
1、 ==配置接口地址,并定义接口对应的区域: ==
在【网络配置】-【接口/区域】-【物理接口】中,选择接口,并配置 接口类型、所属区域、基本属性、IP地址。
2、配置管理接口:
在【网络配置】中,新增管理接口,并分配管理地址。
3、==配置路由: ==
在【网络配置】-【路由】中,新增静态路由,配置默认路由。
4、配置应用控制策略,放通内网用户上网权限:
在【内容安全】-【应用控制策略】中,新增应用控制策略,放通内到外 的数据访问权限。
5、配置安全防护策略:
如:僵尸网络、IPS、DOS等防护策略。
2.2.4 虚拟网线部署
透明部署NGAF设备,要求eth1和eth3这对网口,与eth2和eth4这对网口二层隔 离,即从eth1口进入的数据必须从eth3口转发,eth2口进入的数据必须从eth4口 转发。
透明部署中另外一种特殊情况:虚拟网线部署
- 和透明部署一样,接口也是二层接口,但是被定义成虚拟网线接口。
- 虚拟网络接口是成对存在的,转发数据时,无需检查MAC表,直接从虚拟网线配对的接口转发。
3.虚拟网线接口的转发性能高于透明接口,单进单出网桥的环境下,推荐使用虚拟网线接口部署。
2.3混合模式组网
2.3.1需求背景
某用户内网有服务器群,服务器均配置公网IP地址,提供所有用户直接 通过公网IP地址接入访问。内网用户使用私有地址,通过NAT转换上 网。希望将NGAF设备部署在公网出口的位置,保护服务器群和内网上 网数据的安全。
部署方式推荐: 使用混合模式部署,NGAF设备连接公网和服务器群的2个接口使用透明access 口, 连接内网网段使用路由接口。
2.3.2 混合模式部署拓扑
2.3.3 混合模式部署分析
- 由于服务器均有公网IP地址,所以NGAF设备连接公网线路的接口eth1与连 接服务器群接口eth2使用透明access接口,并设置相同的VLAN ID。即可实 现所有用户通过公网IP直接访问到服务器群。
- 新增VLAN1接口,分配一个公网IP地址,划入区域为外网区域。
- AF设备与内网相连的接口eth3使用路由接口,设置与内网交换机同网段的IP 地址,并设置静态路由与内网通信。
- 内网用户上网时,转换源IP地址为VLAN1接口的IP地址。根据需求,划分 为一个二层区域选择网口eth1和eth2;划分两个三层区域,其中“外网区域 ”选择VLAN接口vlan1;“内网区域”选择接口eth3。
2.3.4 混合模式部署
配置截图:
- 设置物理接口eth1、eth2和eth3:
2.设置VLAN接口:
2.4 旁路模式组网
2.4.1 需求背景
使用NGAF来实现内网防护和对内网防护数据进行分析,但是不能改动已有的环境
2.4.2 配置思路
1、配置镜像接口,定义接口对应的区域,并配置流量监听网络对象:
在【网络配置】-【接口/区域】-【物理接口】中,选择接口,并配置 接口类型、所属区域、旁路流量统计网络对象。
2、配置管理接口:
在【网络配置】-【接口区域】-【物理接口】中,选择接口。
3、启用旁路reset功能:
在【系统】-【系统配置】-【网络参数】中,勾选【旁路reset】。
4、配置安全防护策略:
如:僵尸网络、IPS、DOS等防护策略
2.4.3 旁路模式 (流量统计)
2.4.4 总结
设备旁挂在现有的网络设备上,不影响现有的网络结构,通过端口镜像技术把流量镜像到下一代防火墙,实现对数据的分析和处理。
➢ 需要另外设置接口才能对设备进行管理。
➢ 启用管理口reset功能。
➢ 旁路部署支持的功能仅有:
⚫ APT(僵尸网络)
⚫ PVS(实时漏洞分析)
⚫ WAF(web应用防护)
⚫ IPS(入侵防护系统)
⚫ DLP(数据泄密防护)
⚫ 网站防篡改部分功能(客户端保护)
3.策略路由解决方案
3.1需求背景
网络环境如下图,公网出口两条线路:电信线路和专线
客户需求:
1、内网用户访问教育网资源必须通过专线才能访问到。
2、内网所有用户访问网上银行TCP 443端口的数据全部走10M电信线路。
3、内网所有P2P应用走10M电信。
4、内网用户访问公网时按照带宽比例 自动选择线路。
5、访问教育网的所有资源均走专线。
3.2 策略路由
策略路由是路由中的一种。
静态路由的匹配条件相对较少:匹配目的IP、子网掩码与下一跳网关。
策略路由可以弥补静态路由的不足,匹配条件会灵活很多,根据相应策略来匹配 :匹配源、目的、协议、出口在外网多条线路情况下,建议配置策略路由。
策略路由分为:
1.源地址策略路由——可指定内网哪些IP走指定线路出公网
2.多线路负载路由——可指定多条线路进行负载选路
3.3 配置思路
1、接口和区域设置和路由部署一致,但接口要开启链路状态检测。
2、代理上网和应用控制策略配置和路由部署一致。
3、策略路由配置:在【系统管理】-【网络配置】-【路由设置】-【策略路由】中,
3.1、添加源地址策略路由,来自于“内网区域”,目标ISP为教育网,目标端口为TCP 443的数据,填写下一跳地址为192.168.1.2。
3.2、添加源地址策略路由,来自于“内网区域”,目标IP选择全部,目标端口为TCP443的数据,选择接口eth2。
3.3、添加源地址策略路由,来自于“内网区域”,目标ISP为教育网,填写下一跳地址为192.168.1.2。
3.4、添加源地址策略路由,来自于“内网区域”,属于P2P应用的选择接口eth2。
3.5、添加多线路负载路由,来自于“内网区域”,目标IP选择全部,选择接口eth1和eth2,接口选择策略为带宽比例。
3.4 总结
注意事项:
1. 路由优先级:VPN路由>静态路由>策略路由>默认路由。
2. 每一条外网线路必须至少有一条策略路由与之对应,源地址策略路由或多线路负载路由均可。
3.源地址策略路由,通过直接填写路由的下一跳,可以实现从设备非WAN属性的接口转发数据。
4. 多线路负载路由选择的接口,必须开启链路故障检测功能,才能实现线路故障自动切换。
5. 多条策略路由,按照从上往下的顺序匹配,一旦匹配到某条策略路由后,不再往下匹配。
深信服下一代防火墙组网介绍及配置相关推荐
- 深信服下一代防火墙介绍
下一代防火墙目录 1.传统防火墙 1.1防火墙的发展历程 1.2传统防火墙防御模式 1.3传统的安全产品 1.3.1传统安全产品的形态 1.3.2传统的安全防护UTM 1.4总结: 2 深信服的下一代 ...
- zabbix监控深信服下一代防火墙配置
一.深信服下一代防火墙设置 1.防火墙管理界面,选择"系统",选择"SNMP" 1)选择"SNMP v1/v2",勾选"开启SNM ...
- 深信服下一代防火墙(不懂看过来!)
下一代防火墙 一.分类: 1.按照防火墙结构划分 单一主机防火墙 路由集成防火墙 分布式防火墙 2.按照防火墙技术划分: 包过滤防火墙:访问控制 应用代理防火墙:代理技术 状态监测防火墙:会话机制 U ...
- 深信服下一代防火墙NGAF高可用组网
防火墙高可用组网功能概述 两台AF主备部署也称为双机热备部署,一台设备处于工作状态,另外一台处于热备状态.两台设备通过心跳口检测对端是否存在并同步配置及会话,当主设备出现问题触发切换条件时,设备会自动 ...
- 深信服下一代防火墙(NGAF)学习笔记
目录 sangfor_waf 代理HTTP所有流量,SSH不阻拦 网络 接口 端口聚合 负载模式 聚合协议 虚拟网线 ipv6 807 WAN属性 作用 支持接口模式 WAN口入站路由转发 与IPSE ...
- 零信任-深信服零信任aTrust介绍(5)
深信服零信任aTrust介绍 深信服是国内领先的互联网信任服务提供商,也是国内首家通过认证的全球信任服务商.深信服零信任是其中一项核心的信任技术,主要针对身份认证.数字签名.数字证书等方面的信任问题 ...
- 深信服上网行为管理开启snmp_华为路由器、深信服NGAF防火墙的SNMP配置
一.深信服NGAF设置 而在NGAF中,这个功能不是默认开启的,在"网络/高级网络配置"中,设置了团体名,也无法访问SNMP. 在NGAF开启SNMP的方法如下: 1)网络-接口/ ...
- 深信服AD应用交付介绍
文章目录 深信服AD应用交付 1.应用交付解决方案概述 1.1 传统路由器的负载均衡方式 (1)路由器ECMP链路负载方式 (2)路由器策略路由链路负载方式 1.2 AD应用交付解决方案 2.应用交付 ...
- 下一代防火墙组网方案
目录 1.防火墙接口介绍 1.1 物理接口 路由接口 透明接口 虚拟网线接口 旁路镜像接口 1.2 聚合接口 1.3 子接口 1.4 VLAN接口 1.5 注意事项 1.6 区域 2.组网方案 2.1 ...
最新文章
- mysql双机热备的实现
- getheaderfields java_java – HttpsURLConnection getHeaderFields没有返回set-cookie
- Jenkins构建自动化任务
- 【caffe-Windows】关于LSTM的简单小例子
- 279. 完全平方数 golang 动态规划
- Nagios添加主机监控失败-故障小结
- html标签名都是小写,到底啥是w3c标准(示例代码)
- [Unity] FlowCanvas 使用注意事项
- tapestry mail freemarker的使用
- cmd中python -V版本显示不出来
- 数据库-MySQL中间的注释
- 现实版高达!美日巨型机器人格斗大战结果即将见分晓
- 基于mybatis的数据库脱敏
- python实战演练二:抓取我自己csdm博客信息的标题和文章链接,并存入文件夹《列表存入数据到txt》
- C++实现cmd界面简单贪吃蛇游戏
- Elasticsearch开发进阶指南——如何选择合适的ES版本
- Unity零基础到入门 ☀️| 游戏引擎 Unity 从0到1的 系统学习 路线【全面总结-建议收藏】!
- php 配置 error_reporting,PHP中error_reporting()用法详解 技术分享
- 阿里云的图片在小程序内不显示
- 2019年安徽大学ACM/ICPC实验室新生赛
热门文章
- 计科专业新生须知:什么才是编程?助你进阶大牛的必经之路
- css 首字下次,css first-letter实现首字(字母)下沉效果
- 区块链技术与应用实验报告(实验五)
- Elasticsearch/Kibana 视频学习网址(亲测视频很好)
- mysql 地理位置查询
- FLIR E95​​​​​​​ MSX专利技术讲解
- 翻译视频字幕的软件叫什么?安利这几个软件给你
- No.38-VulnHub-Tommy Boy: 1-Walkthrough渗透学习
- 神经性皮炎有哪些种类
- 【李开复】给中国学生的第五封信——你有选择的权利(五)