【红桃笔记】AF从入门到精通二（部署思路）

我们已经知道防火墙在拓扑中常见的出现位置，我们继续认识防火墙的配置思路。

防火墙的配置思路要从两个角度考虑：一个是数通层面上，网络能够形成回路。另一个是安全层面上，确保策略和需求能够基本匹配。

下面基于三种场景来说明防火墙配置的具体思路：

防火墙路由模式的场景

上次我们提到防火墙可以部署在需要进行路由转发的位置。这样将防火墙代替路由器。因此一般将防火墙作为路由模式部署。现在我们介绍路由模式准备和思路。

在编写或者查看交付方案时，我们可以先问一下自己：部署前我们需要做哪些准备工作？这是一个非常重要的习惯，开始会不太适应，但是经过几次实战交付之后，会发现这是真正能帮助我们的。

防火墙路由模式的场景准备7大点

1.现有防火墙设备的内外网接口配置是不是清楚明白？实际上是为了将实际接口和区域匹配起来。

2.内网网段如何规划，我们需要写回程路由，保障到数据包能到内网；同时防火墙面向外网，需要配置默认路由，下一跳指向对端的网络设备。

3.内网服务器是否需要做端口映射，需要让服务器对外发布服务，让外面能用公网来访问服务器；

4.是否需要做源地址转换代理内网电脑上网，让数据包源目一致；

5.内外网权限需要做哪些控制，控制外来访问者访问范围；

6.需要配置哪些安全防护策略满足客户需求，体现安全侧防护价值；

7.现有拓扑是否完整，是否需要补充，单点故障思考。

经过我们准备前的思考，可以得出防火墙在路由模式下的部署思路：

数通维度

1.配置接口地址，并定义接口对应的区域：在【网络】-【接口/区域】-【物理接口】中，选择接口，并配置接口类型、所属区域、基本属性、IP地址；

2.配置路由：在【网络】-【路由】中，新增静态路由，配置默认路由和回程路由；

3.配置代理上网：在【策略】-【地址转换】中，新增源地址转换；

4.配置端口映射：在【策略】-【地址转换】中，新增服务器映射；

路由模式部署时，防火墙位于内部网络和外部网络之间，负责在内部网络、外部网络中进行路由寻址，相当于路由器。因此路由不通的情况时，防火墙也可以查找路由表，进一步排查路由情况 。

安全维度

5.配置应用控制策略，放通内网用户上网权限：在【策略】-【访问控制】-【应用控制策略】中，新增应用控制策略，放通内到外的数据访问权限；

6.配置安全防护策略：如业务防护策略、用户防护策略等。

防火墙透明模式的场景

比如将防火墙部署在路由器和交换机之间，这样既增加了安全防护能力，又不会改动现有网络环境。因此一般将防火墙作为透明模式部署。现在我们介绍透明模式准备和思路。

和路由模式部署一样，在编写或者查看交付方案时，我们可以先问一下自己：部署前我们需要做哪些准备工作？

防火墙透明模式的场景准备5大点

1.内外网接口定义，将实际接口和区域匹配起来；

2.管理地址配置，是否需要带外管理，还是通过VLAN IP管理，确保能在运维终端能够访问透明模式的防火墙；

3.配置路由，一般缺省路由用作防火墙上网，回程路由用作防火墙管理；

4.内外网权限需要做哪些控制，控制外来访问者访问范围；

5.需要配置哪些安全防护策略满足客户需求，体现安全侧防护价值；

经过我们准备前的思考，可以得出防火墙在透明模式下的部署思路：

数通维度

1.配置接口类型，并定义接口对应的区域：在【网络】-【接口】-【物理接口】中，选择接口，并配置接口类型、所属区域、基本属性如所属access或者trunk；

2.配置管理接口：在【网络】-【接口】中，新增管理接口，或者配置vlan接口的逻辑接口做为管理接口，并分配管理地址；

3.配置路由：在【网络】-【路由】中，新增缺省路由和回程路由；

虚拟网线部署是透明部署中另外一种特殊情况，之后再会和大家详细说明。

安全维度

4.配置应用控制策略，对不同区域间的访问权限进行控制：在【策略】-【访问控制】-【应用控制策略】中，新增应用控制策略，进行访问权限控制；

5.配置安全防护策略：如：业务防护策略、用户防护策略等。

防火墙镜像模式的场景

防火墙旁挂在现有的网络设备上，不影响现有的网络结构，通过端口镜像技术把流量镜像到AF，实现对数据的分析和处理。现在我们介绍镜像模式准备和思路。

和之前两种部署模式一样，在编写或者查看交付方案时，我们可以先问一下自己：部署前我们需要做哪些准备工作？

防火墙镜像模式的场景准备4大点

1.了解管理口需要配置的IP地址，确保能在运维终端能够访问透明模式的防火墙；

2.交换机是否能做镜像，这点非常重要，确定交换机和防火墙的镜像口的对接；

3.内网网段如何规划，需要统计哪些网段的流量，确定交换机需要监听的镜像口；

4.是否需要配置安全防护策略满足客户需求，体现安全侧防护价值；

经过我们准备前的思考，可以得出防火墙在路由模式下的部署思路：

数通维度

1.配置镜像接口，定义接口对应的区域，并配置流量监听网络对象：在【网络】-【接口/区域】-【物理接口】中，选择接口，并配置接口类型、所属区域、旁路流量统计网络对象；

2.配置管理接口：在【网络】-【接口/区域】-【物理接口】中，选择空闲的物理接口做为管理口；

3.配置路由： 在【网络】-【路由】中，一般新增缺省路由,较少场景使用明细的回包路由；

4.启用旁路reset功能：在【系统】-【系统配置】-【通用配置】-【网络参数】中，勾选【旁路reset】；

安全维度

5.配置安全防护策略：如：业务防护策略、用户防护策略等。

这里要补充一点：防火墙不同于路由器的是，本身的安全规则库非常重要。因此每次登录防火墙需要特别关注授权的有效时间以及自身的版本，在之后的升级、配置新策略、日志检查等操作的时候，要及时检查防火墙软件序列号、升级序列号的有效日期，按照计划日期定时完成巡检，定期向防火墙的厂商续保。否则会因为授权问题影响安全规则库的更新，削弱了防火墙的安全能力，造成安全事故。

之后，我将会在下一步分享基于防火墙部署的基本点，敬请大家期待。

感谢楼主分享！文章对解决AF常见部署问题很有帮助，如增加更多页面配置及截图讲解会更优秀，能把帮助新人快速了解AF部署，期待楼主带来更多有价值的分享

感谢楼主分享，学习一下！！！！！！！！

感谢分享，学习了！！！！！

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！!!!!!!

防火墙不同于路由器的是，本身的安全规则库非常重要。因此每次登录防火墙需要特别关注授权的有效时间以及自身的版本，在之后的升级、配置新策略、日志检查等操作的时候，要及时检查防火墙软件序列号、升级序列号的有效日期，按照计划日期定时完成巡检，定期向防火墙的厂商续保

感谢分享，学习了！！！！！

感谢楼主分享，学习一下

感谢楼主分享，学习一下