×

深信服社区»版块 安全类 下一代防火墙NGAF AF部署

AF部署

查看数: 2116 | 评论数: 8 | 收藏 0
关灯 | 提示:支持键盘翻页<-左 右->
    组图打开中,请稍候......
发布时间: 2022-4-21 09:59

正文摘要:

本帖最后由 新手876748 于 2022-4-21 10:05 编辑 路由器做了网关,AF这种怎么部署?{我是第一次部署步骤请讲详细一些}

回复

会飞的癞蛤蟆 发表于 2022-4-22 10:58
本帖最后由 会飞的癞蛤蟆 于 2022-4-22 11:01 编辑

就现在的拓扑,得看防火墙上面还有没有其他设备。
1,如果是防火墙直接接运营商,可以用路由模式,默认路由往外指,精细路由往内网指,此时防火墙即进行路由选路,又进行访问控制;
2,如果防火墙设备上面还有其他的三层设备,可以把防火墙做透明串联(类似于一个交换机)部署,此时防火墙只做访问控制,不做路由选路。
或者  可以改变一下部署架构,把上网行为和防火墙全部都透明串联到路由器下面,防火墙只做访问控制,上网行为只做上网行为管控,路由器进行路由选路,连接运营商。
Linuxtianyu 发表于 2022-4-21 16:31
AC可以透明部署,然后AF和路由器之间采用路由互联(写静态路由就OK),在防火墙上,配置WAN   LAN接口区域,AF上配置回指路由,默认路由出去,配置源地址转换NAT,配置应用控制策略;
我理解是这样哈,你内网所有的终端、服务器的网关地址都可以写在路由器上。
WangZhongXiu 发表于 2022-4-21 15:16
防火墙替代路由器做网管,AC透明部署
Hill_李胜阳 发表于 2022-4-21 14:16
确实如上面同事说的这点,个人认为AC设备和交换机之间的路由器是完全没有必要的。当然咱这边这样规划也可能有咱这边的道理哈。一般来说为了避免多余的开销,我们建议的方案是出口AF路由部署,AC串在中间,下联核心交换机这样子。希望能够帮助到你。
新手373177 发表于 2022-4-21 12:42
拿掉路由器,AF做网关,ac透明模式部署
Netx 发表于 2022-4-21 10:17
就直接拿防火墙替换现有的路由器,稍微改变下当前的网络,防火墙做出口,AC串在防火墙和核心交换机中间;
1、防火墙,接口区域配置,路由配置,源地址转换NAT,应用控制策略;
2、AC做网桥,策略后面慢慢加。。。
汤汤啊 发表于 2022-4-21 10:05
这种就有个问题了,为啥防火墙和上网行为管理管理会在路由器上面,我们可以改变下拓扑,拿路由器当网关,防火墙与AC透明串进网络中,实现安全防护和审计
汤汤啊 发表于 2022-4-21 10:03
啥设备 需要部署单臂路由,每个都不太一样,单臂路由就是指在一个接口上出很多的子接口,通过该子接口划分不同VLAN互相隔离,需要看下具体需求,才能具体分析