小白上手深信服下一代防火墙 简单易懂一张图片搞定 下面来介绍几种部署模式的应用场景:
1.路由模式的应用场景:现有环境没有路由器当网关的情况下,需要用AF做路由,并且需要实现代理上网/发布内网服务,路由选路,VPN连接等功能。
2.透明模式、虚拟网线的应用场景:支持所有的安全防护功能(如IPS、WEB应用防护、僵尸网络等),适用于不改变原有环境只需要用到AF的安全防护功能(不需要用到VPN、路由、NAT等功能)的场景 (单进单出网桥的网络,两个模式可以通用)
3.混合模式的应用场景:主要是指AF的各个网口,既有2层口,又有3层口的情况。特别是当DMZ区域服务器集群需要配置公网IP地址的时候,混合模式部署相应的安全功能都支持,如IPS、WEB应用防护、僵尸网络、应用控制、内容安全、实时漏洞分析等都支持
4.旁路模式的应用场景:设备以旁挂在内网交换机或者路由器上,实现防护功能,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险。
5.单臂模式的应用场景:设备以旁挂在内网交换机或者路由器上,单臂口是路由口,支持路由功能,需要直连的网络设备做策略路由,将数据引流经过AF。 理论没搞懂 咱来点介绍区别
几种部署模式的区别:
路由模式:所有业务口都是三层路由口,必须配置IP地址照路由表以及arp表进行转发数据。
透明模式:所有业务口都二层透明口,分为access和trunk属性。
虚拟网线模式:所有业务口都是虚拟网线口,不需要检查路由转发规则,直接对数据进行转发或者拦截,可以理解成一根网线的二端。
混合模式:所有业务口中既有二层透明口也有三层路由口
旁路模式:旁路模式部署下接口都是镜像口,不支持路由转发功能,需要配合交换机做镜像配置使用
单臂模式:单臂接口是路由口,支持路由功能,策略配置跟路由模式配置相似
注意:
1、透明模式、虚拟网线模式、路由模式、混合模式可使用防火墙全部安全防护功能
2、旁路模式只支持WAF(web应用防护)、IPS(入侵防护系统)、APT(僵尸网络)、PVS(实时漏洞分析)、DLP(数据泄密防护)、网站防篡改部分功能(客户端保护)、流量审计(AF5.6版本后才支持)等审计功能,以及在发现攻击时回复RESET包阻断的功能
3、AF功能支持跟部署模式有关,跟AF部署位置没有直接关系。
最后直接上手调试
AF透明模式配置步骤:(WAF/IPS可参考AF配置步骤)
①以标准版本AF8.0.35-8.0.85版本操作路径示例:
1、在【网络】-【接口】中选择网口,并划分区域
2、在【策略】-【访问控制策略】-【应用控制策略】里放通二层到二层的数据,三层到三层的数据
②以标准版本AF7.4-8.0.32版本操作路径示例:
1、在【网络】-【接口/区域】中选择网口,并划分区域
2、在【策略】-【访问控制策略】-【应用控制策略】里放通二层到二层的数据,三层到三层的数据
③以标准版本AF7.3版本操作路径示例:
1、在【网络配置】-【接口/区域】中选择网口,并划分区域
2、在【内容安全】-【应用控制策略】里放通二层到二层的数据,三层到三层的数据
AF混合模式就是同时有路由、透明、虚拟网线、旁路镜像中的任意两个或者多个需求时配置。
注意:AF虚拟网线和旁路镜像可以同时部署,但是不建议有相同IP的数据通过镜像口与虚拟网口两次经过设备,这样日志显示会有异常
截止标准版本AF8.0.85,AF同一个接口上只能配置一个模式类型,不支持部署两种及以上模式
以透明和路由混合为例:
标准版本AF8.0.48版本操作路径示例:
1、在【网络】-【接口/区域】配置对应接口和区域
2、在【网络】-【路由】设置路由
3、在【网络】-【地址转换】设置地址转换策略(当AF做出口网关时)
4、在【策略】-【访问控制策略】-【应用控制策略】里放通二层到二层的数据,三层到三层的数据
AF混合模式各个接口配置:
1、内网私有IP的方向:接口配置为内网同网段IP的路由口
2、内网公有IP的方向:接口配置为透明接口
3、外网方向:接口配置为透明接口,透明接口这对桥需要配置对应的vlan接口,并填写相应的公网IP
AF旁路模式部署的配置步骤
1、配置三层交换机的镜像口
2、在AF上配置监听口并将内网网段添加上 :【接口/区域】选择对应接口配置,【类型】选“旁路镜像”,勾选启用【流量统计】,【内网IP组】勾选需要旁路审计的内网IP。
AF路由模式部署配置步骤:
1、接口配置上IP与区域等信息
①AF8.0.35-8.0.85版本操作示例:在【网络】-【接口】-【物理接口】配置
②AF7.3-8.0.32版本操作示例:在【网络】-【接口/区域】配置
2、配置缺省路由和回包路由
①AF7.4-8.0.85版本操作示例:在【网络】-【路由】配置
②AF7.3-8.0.32版本操作示例:在【网络配置】-【路由】配置
3、配置源地址转换,代理内网上网
①AF8.0.35-8.0.85版本操作示例:在【策略】-【地址转换】配置
②AF7.3-8.0.32版本操作示例:在【网络】-【地址转换】配置
③AF7.3及之前版本操作示例:在【防火墙】-【地址转换】配置
4、配置允许策略放通内网到外网数据
①AF7.4-8.0.85版本操作示例:在【策略】-【访问控制】-【应用控制策略】配置
②AF7.3及之前版本操作示例:在【内容安全】-【应用控制策略】配置
注:AF内网是三层环境情况下才需要配置回包路由,如内网网段和AF内网口是相同网段不需要配置回包路由,AF会自动生成直连路由
AF虚拟网线模式部署配置步骤:
1、配置虚拟网线接口,形成虚拟网线对
2、配置放通数据 旁路部署模式 最后还请各位大佬多多指教 多多补充 |