本帖最后由 91135_周杰 于 2024-3-6 16:59 编辑
防火墙AF多次穿越功能
一、功能产生背景 客户的网络环境如下图,有PC、路由器、服务器,客户为了对网络做安全防护,所以购买了我司的防火墙设备,但是客户不想更改网络架构,如果直接在客户原来环境中增加防火墙设备,如图,则会产生PC访问服务器的来回流量二次经过防火墙设备。 产生问题:1、二次穿越的流量AF如何处理? 2、安全防护策略如何检测?
环境拓扑1.0
二、基本原理 防火墙的多次穿越功能是为了解决相同流量第二次穿越或者多次穿越AF设备,导致AF数据无法正常转发以及安全策略无法正常检测的问题。 针对二次穿越AF的流量,多次穿越功能是作用于接口,通过对其中一次经过AF的流量做穿越处理,相当于bypass功能,不再匹配AF的各种策略,从而避免AF对相同的流量做两次处理,消耗AF的资源。
具体过程: 1.未配置多次穿越功能的数据流 PC在访问服务器过程中,在防火墙接口eth1和eth3都存在请求数据流,防火墙会做二次的数据转发以及安全策略检测,这样大大消耗防火墙的性能。同理服务器返回数据给PC也会二次经过防火墙。 2.已配置多次穿越功能的数据流
PC访问服务器时候,在二次经过防火墙接口的任一接口配置多次穿越功能,如配置eth1口,这时候,PC的数据流经过eth1口时候就不会去做安全策略检测,相当于bypass功能,在eth3口的时候进行安全策略检测,同理服务器回包也可以在eth4或者eth2上配置多次穿越功能。
应用场景:AF部署在内部网络中,存在内网同一流量数据有二次穿越或者多次穿越AF设备。 AF部署要求:透明模式或者虚拟网线模式
三、配置步骤 案例拓扑: 步骤一:AF透明模式或者虚拟网线模式部署,配置应用控制策略放通内到外流量。 步骤二:配置PC访问服务器过程中指定接口做多次穿越功能,在【网络】-【高级网络】-【多次穿越设置】勾选<启用>,并点击【新增】配置源为PC网段,目的为服务器网段,接口为访问方向二次穿越其中一次的数据包入接口;
步骤三:配置服务器回包PC过程中指定接口做多次穿越功能,.在【网络】-【高级网络】-【多次穿越设置】,然后【新增】配置源为服务器网段,目的为PC网段,接口为返回方向二次穿越其中一次的数据包入接口。
四、注意事项
1、多次穿越数据流一般建议配置在二层部署上,根据不同的部署场景,将透明部署、虚拟网 线或者镜像流量设置二次穿越,相当于将多次穿越AF的二层流量直通;
2、一般不将三层流量设置多次穿越,否则会丢失NAT、安全策略、路由等功能;
3、多次穿越部署不支持配置在中间设备存在NAT环境上;
4、多次穿越策略列表,最多支持配64条策略;
5、多次穿越不支持数据包入接口选择GRE口和VPN口。
|