×

【红桃笔记】AF从入门到精通一(经典场景)
  

代号红桃7 136833人觉得有帮助

{{ttag.title}}
  防火墙作为网络安全的典型设备,在整个网络拓扑中起到非常重要的作用。所以我想分享我自己第一次认识防火墙到现在基本熟悉防火墙的经历,希望帮助大家理解防火墙。之后,笔者会一步一步地给大家分享自己的防火墙学习心得。
  第一步:防火墙的拓扑位置
  首先先从拓扑的位置来认识防火墙。下图是一个简单的三层部署:
环境信息:
接入层设备主要是交换机,这里交换机主要负责对接内网PC和服务器以及上面的汇聚交换机。
汇聚层设备主要是三层交换机(一般性能优于接入交换机),这里交换机主要对接下面的接入交换机和上面的路由器。
核心层主要设备是路由器,对接路由器和对外出口网络(路由器或者运营商的猫)。
功能作用:
核心层主要负责: 对外路由解析、NAT地址转换、VPN、负载均衡
汇聚层主要负责: 流量管理、QoS优先级管理、vlan划分、同区跨网段内主机访问
接入层主要负责: 接入认证、同区本网段内主机访问
由此可知,防火墙串接的位置不一样,所需要的效果也就不一样。因此可以得出常见的防火墙部署的位置。


防火墙代替路由器的场景
  比如将防火墙部署在需要进行路由转发的位置。这样将防火墙代替路由器。因此这里更加侧重防火墙的路由模式,确保数据通信正常。常见的场景有出口路由器或替换已有路由器、老防火墙等。

防火墙串在核心层路由器和汇聚层交换机的场景
比如将防火墙部署在路由器和交换机之间,这样既增加了安全防护能力,又不会改动现有网络环境。这种部署方式也很常见,因为这能保留路由器处理路由协议和路由表。同时避免某些路由协议机制导致防火墙需要处理复杂路由进而影响防火墙实际性能,保障防火墙能够有充足的性能做好安全防护。更重要的是这能减少现有网络的修改量,从数通侧上看简单。


防火墙旁挂在汇聚或者接入交换机上

防火墙旁挂在现有的网络设备上,不影响现有的网络结构,通过端口镜像技术把流量镜像到AF,实现对数据的分析和处理。和串入核心和汇聚层不一样的是,镜像部署能够对实时监控比较注重的管理人员可以利用镜像端口对网络的流量和数据进行分析和监视,方便及时在线调试。因此在数据库审计、流量探针的部署场景上经常使用。
防火墙用户可以将经过防火墙某些特定的流量镜像到防火墙的接口或者使用某一个IP的主机上,便于防火墙用户使用IDSSniffer等数据流量监控设备进行数据分析。

       之后,我将会在下一步分享基于三种经典场景的部署思路,敬请大家期待。

26078639be9ddca6d6.png (483.72 KB, 下载次数: 207)

26078639be9ddca6d6.png

13708639bea1ac9982.png (1.25 MB, 下载次数: 226)

13708639bea1ac9982.png

61343639bea2c57a9b.png (1.25 MB, 下载次数: 203)

61343639bea2c57a9b.png

打赏鼓励作者,期待更多好文!

打赏
69人已打赏

Sangfor43876 发表于 2023-1-6 13:47
  
感谢楼主分享!文章详细介绍了防火墙常见的部署模式及部署场景应用,对于防火墙的使用有较大帮助,期待楼主带来更多有价值的分享~
我是路人甲55 发表于 2022-12-16 16:22
  
感谢楼主分享,沙发~~
她丶ta 发表于 2022-12-16 17:24
  
感谢分享,有助学习!!!
angelccn 发表于 2022-12-16 18:08
  
感谢分享,有助学习!!!
723592 发表于 2022-12-16 18:10
  

感谢楼主分享,学习一下
新手899116 发表于 2022-12-16 18:57
  
感谢分享,构建全联接的未来!
新手517842 发表于 2022-12-16 19:07
  
感谢分享,构建全联接的未来!
JM 发表于 2022-12-16 19:16
  
感谢分享,构建全联接的未来!
水若善 发表于 2022-12-16 20:00
  
坚持每日学习打卡
司马缸砸了光 发表于 2022-12-16 20:41
  

感谢分享!构建全联接的未来
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
【 社区to talk】
每日一问
干货满满
新版本体验
产品连连看
GIF动图学习
2023技术争霸赛专题
技术咨询
功能体验
通用技术
秒懂零信任
安装部署配置
原创分享
技术晨报
自助服务平台操作指引
每周精选
标准化排查
排障笔记本
玩转零信任
深信服技术支持平台
社区新周刊
POC测试案例
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人