NGAF基本应用场景 下一代防火墙具备灵活的网络适应能力,支持: 路由模式、 透明模式、 虚拟网线模式、 混合模式、 旁路模式。
NGAF的部署模式是由各个接口的属性决定的
物理接口与NGAF设备面板上的接口一一对应(eth0为manage口),根据网口数据转发特性的不同,可选择路由、透明、虚拟网线和旁路镜像4种类型,前三种接口又可设置WAN 或非WAN属性。 物理接口无法删除或新增,物理接口的数目由硬件型号决定.
如果设置为路由接口,则需要给 该接口配置IP地址,且该接口具 有路由转发功能。 ADSL拨号:
管理口:
Eth0为固定的管理口,接口类型为路由口,且无法修改。Eth0可增加管理IP地址,默认的管理IP 10.251.251.251/24无法删除
透明接口:透明接口相当于普通的交换网口, 不需要配置IP地址,不支持路由转发,根据MAC地址表转发数据。
部分功能要求接口是WAN属性,当接口设置成透明WAN口时,注意设 备上架时接线方向,内外网网口接反会导致部分功能失效。
虚拟网线接口: 虚拟网线接口也是普通的交换接口,不需要配置IP地址,不支持路由转发,转发数据时,无需检查MAC表,直接从虚拟网线配对的接口转发。 虚拟网线接口的转发性能高于透明接口,单进单出网桥的环境下 ,推荐使用虚拟网线接口部署。
子接口: 子接口应用于路由接口需要启用 VLAN或TRUNK的场景。 子接口是逻辑接口,只能在路由口下添加子接口。 子接口的下一跳网关和链路故障检测根据实际环境进行配置。
VLAN接口: 为VLAN定义IP地址,则会产生 VLAN接口。VLAN接口也是逻辑接口。 VLAN 接口的下一跳网关和链路故障检测根据实际环境进行配置
将多个以太网接口捆绑在一起所形成的逻辑接口,创建的聚合接口成为一个逻辑接口,而不是底层的物理接口。
区域: 用于定义和归类接口,以供防火墙、内容安全、服务器保护等模块调用。
定义区域时,需根据控制的需求来规划,可以将一个接口划分到一个区域,或将几个相同需求的接口划分到同一个区域。 一个接口只能属于一个区域。
可以在区域中选择接口;也可以预先设置好区域名称,在接口中选择区域。
客户需求:现有的拓扑如下图,使用NGAF替换现有防火墙,实现对内网用户和服务器安全防护
部署前准备工作: 1、现有设备的接口配置 2、内网网段规划,好写回包路由 3、是否有服务器要映射 4、内网有哪些访问权限 5、进行哪些安全策略配置 6、现在拓扑是否完整
单臂路由是指在路由器的一个接口上通过配置子接口(逻辑接口,并不存在真正物理接口)的方式,实现原来相互隔离的不同VLAN(虚拟局域网) 之间的互联互通。
1、配置接口地址,并定义接口对应的区域: 在【网络配置】-【接口/区域】-【子接口】中,设置对应子接口,选择 VLAN ID,并配置接口类型、所属区域、基本属性、IP地址。
2、==配置路由: == 在【网络配置】-【路由】中,新增静态路由,配置默认路由或回程路由。
3、配置代理上网: 在【防火墙】-【地址转换】中,新增源地址转换。
4、配置应用控制策略,放通内网用户上网权限: 在【内容安全】-【应用控制策略】中,新增应用控制策略,放通内到外的 数据访问权限。
5、==配置安全防护策略: == 如:僵尸网络、IPS、DOS等防护策略。
客户需求: 部署一台NGAF设备进行安全防护,但是又不改动现有的网络环境
1、 ==配置接口地址,并定义接口对应的区域: == 在【网络配置】-【接口/区域】-【物理接口】中,选择接口,并配置 接口类型、所属区域、基本属性、IP地址。
2、配置管理接口: 在【网络配置】中,新增管理接口,并分配管理地址。
3、==配置路由: == 在【网络配置】-【路由】中,新增静态路由,配置默认路由。
4、配置应用控制策略,放通内网用户上网权限: 在【内容安全】-【应用控制策略】中,新增应用控制策略,放通内到外 的数据访问权限。
5、配置安全防护策略: 如:僵尸网络、IPS、DOS等防护策略。
透明部署NGAF设备,要求eth1和eth3这对网口,与eth2和eth4这对网口二层隔 离,即从eth1口进入的数据必须从eth3口转发,eth2口进入的数据必须从eth4口 转发。
透明部署中另外一种特殊情况:虚拟网线部署
和透明部署一样,接口也是二层接口,但是被定义成虚拟网线接口。虚拟网络接口是成对存在的,转发数据时,无需检查MAC表,直接从虚拟网线配对的接口转发。 3.虚拟网线接口的转发性能高于透明接口,单进单出网桥的环境下,推荐使用虚拟网线接口部署。某用户内网有服务器群,服务器均配置公网IP地址,提供所有用户直接 通过公网IP地址接入访问。内网用户使用私有地址,通过NAT转换上 网。希望将NGAF设备部署在公网出口的位置,保护服务器群和内网上 网数据的安全。
部署方式推荐: 使用混合模式部署,NGAF设备连接公网和服务器群的2个接口使用透明access 口, 连接内网网段使用路由接口。
配置截图:
设置物理接口eth1、eth2和eth3: 2.设置VLAN接口:2.4.1 需求背景 使用NGAF来实现内网防护和对内网防护数据进行分析,但是不能改动已有的环境
1、配置镜像接口,定义接口对应的区域,并配置流量监听网络对象: 在【网络配置】-【接口/区域】-【物理接口】中,选择接口,并配置 接口类型、所属区域、旁路流量统计网络对象。 2、配置管理接口: 在【网络配置】-【接口区域】-【物理接口】中,选择接口。 3、启用旁路reset功能: 在【系统】-【系统配置】-【网络参数】中,勾选【旁路reset】。 4、配置安全防护策略: 如:僵尸网络、IPS、DOS等防护策略
设备旁挂在现有的网络设备上,不影响现有的网络结构,通过端口镜像技术把流量镜像到下一代防火墙,实现对数据的分析和处理。 ➢ 需要另外设置接口才能对设备进行管理。 ➢ 启用管理口reset功能。
➢ 旁路部署支持的功能仅有: ⚫ APT(僵尸网络) ⚫ PVS(实时漏洞分析) ⚫ WAF(web应用防护) ⚫ IPS(入侵防护系统) ⚫ DLP(数据泄密防护) ⚫ 网站防篡改部分功能(客户端保护)
网络环境如下图,公网出口两条线路:电信线路和专线
客户需求: 1、内网用户访问教育网资源必须通过专线才能访问到。 2、内网所有用户访问网上银行TCP 443端口的数据全部走10M电信线路。 3、内网所有P2P应用走10M电信。 4、内网用户访问公网时按照带宽比例 自动选择线路。 5、访问教育网的所有资源均走专线。
策略路由是路由中的一种。 静态路由的匹配条件相对较少:匹配目的IP、子网掩码与下一跳网关。 策略路由可以弥补静态路由的不足,匹配条件会灵活很多,根据相应策略来匹配 :匹配源、目的、协议、出口在外网多条线路情况下,建议配置策略路由。
策略路由分为:
1.源地址策略路由——可指定内网哪些IP走指定线路出公网 2.多线路负载路由——可指定多条线路进行负载选路
1、接口和区域设置和路由部署一致,但接口要开启链路状态检测。 2、代理上网和应用控制策略配置和路由部署一致。 3、策略路由配置:在【系统管理】-【网络配置】-【路由设置】-【策略路由】中, 3.1、添加源地址策略路由,来自于“内网区域”,目标ISP为教育网,目标端口为TCP 443的数据,填写下一跳地址为192.168.1.2。 3.2、添加源地址策略路由,来自于“内网区域”,目标IP选择全部,目标端口为TCP443的数据,选择接口eth2。 3.3、添加源地址策略路由,来自于“内网区域”,目标ISP为教育网,填写下一跳地址为192.168.1.2。 3.4、添加源地址策略路由,来自于“内网区域”,属于P2P应用的选择接口eth2。 3.5、添加多线路负载路由,来自于“内网区域”,目标IP选择全部,选择接口eth1和eth2,接口选择策略为带宽比例。
