【红桃笔记】AF从入门到精通一（经典场景）

谢谢分享，有助于工作！

我在社区摸爬滚打这么多年，所谓阅人无数，就算没有见过猪走路，也总明白猪肉是啥味道的。一看到楼主的气势，我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别，你一定就是传说中的最强技术牛。

  防火墙作为网络安全的典型设备，在整个网络拓扑中起到非常重要的作用。所以我想分享我自己第一次认识防火墙到现在基本熟悉防火墙的经历，希望帮助大家理解防火墙。之后，笔者会一步一步地给大家分享自己的防火墙学习心得。

  第一步：防火墙的拓扑位置
  首先先从拓扑的位置来认识防火墙。下图是一个简单的三层部署：

环境信息：

接入层设备主要是交换机，这里交换机主要负责对接内网PC和服务器以及上面的汇聚交换机。

汇聚层设备主要是三层交换机（一般性能优于接入交换机），这里交换机主要对接下面的接入交换机和上面的路由器。

核心层主要设备是路由器，对接路由器和对外出口网络（路由器或者运营商的猫）。

功能作用：

核心层主要负责: 对外路由解析、NAT地址转换、VPN、负载均衡

汇聚层主要负责: 流量管理、QoS优先级管理、vlan划分、同区跨网段内主机访问

接入层主要负责: 接入认证、同区本网段内主机访问

由此可知，防火墙串接的位置不一样，所需要的效果也就不一样。因此可以得出常见的防火墙部署的位置。

防火墙代替路由器的场景

  比如将防火墙部署在需要进行路由转发的位置。这样将防火墙代替路由器。因此这里更加侧重防火墙的路由模式，确保数据通信正常。常见的场景有出口路由器或替换已有路由器、老防火墙等。

防火墙串在核心层路由器和汇聚层交换机的场景

比如将防火墙部署在路由器和交换机之间，这样既增加了安全防护能力，又不会改动现有网络环境。这种部署方式也很常见，因为这能保留路由器处理路由协议和路由表。同时避免某些路由协议机制导致防火墙需要处理复杂路由进而影响防火墙实际性能，保障防火墙能够有充足的性能做好安全防护。更重要的是这能减少现有网络的修改量，从数通侧上看简单。

防火墙旁挂在汇聚或者接入交换机上

防火墙旁挂在现有的网络设备上，不影响现有的网络结构，通过端口镜像技术把流量镜像到AF，实现对数据的分析和处理。和串入核心和汇聚层不一样的是，镜像部署能够对实时监控比较注重的管理人员可以利用镜像端口对网络的流量和数据进行分析和监视，方便及时在线调试。因此在数据库审计、流量探针的部署场景上经常使用。

防火墙用户可以将经过防火墙某些特定的流量镜像到防火墙的接口或者使用某一个IP的主机上，便于防火墙用户使用IDS或Sniffer等数据流量监控设备进行数据分析。

       之后，我将会在下一步分享基于三种经典场景的部署思路，敬请大家期待。