|
AF概述 防火墙是什么----防火墙主要用于保护一个网络区域免受来自另外一个网络区域的网络攻击和网络入侵行为
传统防火墙 ----包过滤(3、4层五元组,根据规则决定是否通过)、应用代理(7层,检查所有的应用层信息包)、状态检测(首次建立会话表)、入侵检测IDS(事后呈现)、入侵防御IPS(已知威胁流量阻断)、防病毒网关(网络侧识别病毒文件·)、web应用WAF(防止应用层的攻击影响Web应用系统)、统一威胁管理UTM(多合一安全网关,性能消耗大)、NGAF(增加了web应用防护功能、并行处理机制更高效)
用户加强网络安全原因------业务驱动、事件驱动 、合规驱动
AF区域和接口 区域----将不同业务或网段划分成不同的安全级别,通过控制策略限制不同区域互访 二层区域(透明、旁路镜像接口) 三层区域(路由口、子接口、vlan接口、GRE隧道) 虚拟网线区域(虚拟网线接口)
部署模式 路由: 一般部署在需要进行路由转发的位置,如出口路由器或替换已有路由器、老防火墙等场景。需要用AF做路由,并且需要实现代理上网/发布内网服务,路由选路,VPN连接等功能。
透明: 需要安全防护,一般部署在出口路由设备下联方向,但不能改动现有网络环境。支持所有的安全防护功能(如IPS、WEB应用防护、僵尸网络等),适用于不改变原有环境只需要用到AF的安全防护功能(不需要用到VPN、路由、NAT等功能)的场景
虚拟网线: 和透明部署一样,接口也是二层接口,但是被定义成虚拟网线接口; 虚拟网络接口必须成对存在,转发数据时,无需检查MAC表,直接从虚拟网线配对的接口转发; 虚拟网线接口的转发性能高于透明接口,一般的网桥环境下,推荐使用虚拟网线接口部署;
旁路: 设备以旁挂在内网交换机或者路由器上,实现防护功能,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险。将数据流量镜像给AF,不改动已有的环境。旁路模式更多的是审计功能 1、设备旁挂在现有的网络设备,端口镜像技术把流量镜像到AF,实现对数据的分析和处理; 2、需要另外单独设置管理接口才能对设备进行管理; 3、启用管理口reset功能; 4、旁路部署支持的功能仅有:APT(僵尸网络)、PVS(实时漏洞分析)、WAF(web应用防护)、漏洞攻击防护、DLP(数据泄密防护)和网站防篡改部分功能(客户端保护)。
混合: 主要是指AF的各个网口,既有2层口,又有3层口的情况。,贴近真实场景 外网接口的划分和配置、内网网段、回程路由、服务器区提供的服务和需要的防护、SNAT代理内网上网、内外网权限控制、安全防护策略、拓扑是否完整
高可用部署 AF双机主备的工作原理: 主机运行业务,备机不运行业务,备机加到监视口的业务网口会丢包;主机加入监视口的接口和链路故障的链路有异常时,会将业务切换到备机,主机变为故障状态。
AF双机主主的工作原理: 两台AF均处于工作状态,根据流量转发到不同AF的情况,来进行数据处理,通过心跳口同步配置及会话。透明主主在链路聚合的环境下,需要配置双机聚合功能,防止出现非对称数据转发问题(来回路径不一致)。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-11-25 18:04
技术员3级 
