|
几种部署模式的应用场景: 路由模式的应用场景:现有环境没有路由器当网关的情况下,需要用AF做路由,并且需要实现代理上网/发布内网服务,路由选路,VPN连接等功能。
透明模式、虚拟网线的应用场景:支持所有的安全防护功能(如IPS、WEB应用防护、僵尸网络等),适用于不改变原有环境只需要用到AF的安全防护功能(不需要用到VPN、路由、NAT等功能)的场景 (单进单出网桥的网络,两个模式可以通用)
混合模式的应用场景:主要是指AF的各个网口,既有2层口,又有3层口的情况。特别是当DMZ区域服务器集群需要配置公网IP地址的时候,混合模式部署相应的安全功能都支持,如IPS、WEB应用防护、僵尸网络、应用控制、内容安全、实时漏洞分析等都支持
旁路模式的应用场景:设备以旁挂在内网交换机或者路由器上,实现防护功能,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险。
单臂模式的应用场景:设备以旁挂在内网交换机或者路由器上,单臂口是路由口,支持路由功能,需要直连的网络设备做策略路由,将数据引流经过AF。
几种部署模式的区别: 路由模式:所有业务口都是三层路由口,必须配置IP地址照路由表以及arp表进行转发数据。 透明模式:所有业务口都二层透明口,分为access和trunk属性。 虚拟网线模式:所有业务口都是虚拟网线口,不需要检查路由转发规则,直接对数据进行转发或者拦截,可以理解成一根网线的二端。 混合模式:所有业务口中既有二层透明口也有三层路由口 旁路模式:旁路模式部署下接口都是镜像口,不支持路由转发功能,需要配合交换机做镜像配置使用 单臂模式:单臂接口是路由口,支持路由功能,策略配置跟路由模式配置相似
透明模式和虚拟网线模式共同点和不同点 共同点:AF虚拟网线模式和透明模式都可以理解为网桥模式,都需要串接部署在网络中,都支持所有安全功能模块,流量都是要双向经过设备; 不同点:虚拟网线模式支持放通任何协议信息、适用环境范围广、只支持单独配置带外管理IP(其他路由口)去管理设备;不需要检测mac地址表,且需要配对转发,转发性能和速度更高; 透明模式如在VLAN环境则需要配置VLAN信息、要了解网络环境、可以通过VLAN IP来管理设备或者配置带外管理IP;需要通过mac表数据转发数据,不需要配对转发,支持多对一和一对多场景
注意: 1、透明模式、虚拟网线模式、路由模式、混合模式可使用防火墙全部安全防护功能 2、旁路模式只支持WAF(web应用防护)、IPS(入侵防护系统)、APT(僵尸网络)、PVS(实时漏洞分析)、DLP(数据泄密防护)、网站防篡改部分功能(客户端保护)、流量审计(AF5.6版本后才支持)等审计功能,以及在发现攻击时回复RESET包阻断的功能 3、AF功能支持跟部署模式有关,跟AF部署位置没有直接关系。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-10-31 09:49
技术研究员3级 
