目录
AF的基本应用场景
基本上在每个区域的出口都会部署防火墙,来保证内网的安全
1.防火墙接口介绍
- 根据接口属性分为:物理接口、子接口、VLAN接口、聚合接口。
- 其中物理口可选择为:路由口、透明口、虚拟网线口、旁路镜像口。
- 根据接口不同工作层面可以划分为:二层区域、三层区域、虚拟网线区域
AF的部署模式是由各个接口的属性决定的。
物理接口与AF设备面板上的接口一 一对应(eth0为manage口),根据网口数据转发特性的不同,可选择路由、透明、虚拟网线、旁路镜像4种类型,前三种接口又可设置WAN 或非WAN属性,WAN属性可以有一些特别的功能,如流控和审计。
1.1 物理接口
路由接口
如果将物理接口设置为路由接口,则需要给该接口配置IP地址,并且该接口具有路由转发功能。这里需要注意一下,设置下一跳网关,并不会生成一条缺省路由,而需要管理员手动配置一条缺省路由。
链路故障检测:实时检测接口的链路状态,以及多条外网线路情况下,某条线路故障,流量自动切换到其它线路,均需开启链路故障检测。 有三种方法,可以使用ARP探测(免费ARP)、DNS解析(向指定服务器发送解析)、Ping。需要配置链路失效的检测时间和阈值。
高级模式:可以修改工作模式和MTU等参数
另:
1、ADSL拨号
如果设置为路由接口,并且是ADSL拨号,需要在拨号参数中选上添加默认路由选项,默认勾选。
2、管理口
Eth0为固定的管理口,接口类型为路由口,无法修改。Eth0可增加管理IP地址,默认的管理IP 10.251.251.251/24如需修改,AF8.0.13版本后,可在【系统】-【通用配置】-【网络参数】中进行修改。
透明接口
透明接口相当于普通的交换网口,也就是二层的接口,不需要配置IP地址,不支持路由转发,根据MAC地址表转发数据,可以根据需要设置为Access口和Trunk口;高级配置中同路由接口一致,可以配置接口工作模式、MTU和MAC等。
注:部分功能要求接口是WAN属性,当接口设置成透明WAN口时,需要注意设备上架时接线方向,内外网口接反会导致需要WAN属性支持的功能失效。
虚拟网线接口
虚拟网线接口也是普通的交换接口,不能配置IP地址,不支持路由转发,转发数据时,也无需检查MAC表,直接从虚拟网线配对的接口转发。因为虚拟网线接口需要成双配对,从一个接口进入,必须从另一个接口出去,所以虚拟网线接口的转发性能高于透明接口,单进单出、双进双去等成对出现的网桥的环境下,推荐使用虚拟网线接口部署。
旁路镜像接口
旁路镜像接口不能配置IP地址,也不支持数据转发,只是用来接收从外部镜像过来的镜像数据。镜像接口可以配置多个,根据现场实际业务场景需要接收的数据情况进行选择。该应用场景一般是在不想打乱现有的网络拓扑,此接口可以接一些其他安全设备,起一个对流量进行审计和检测作用。
注:如果仅存在些无法配置IP的接口,正常情况下无法登录管理管理设备,解决方法,我们可以重启一个接口,配置为路由接口接到内网,使用这个路由接口管理设备,另一个我们可以起一个VLAN接口,我们可以在VLAN接口中配置IP地址,通过这个VLAN接口管理设备。
1.2 聚合接口
将多个以太网接口捆绑在一起所形成的逻辑接口,创建的聚合接口成为一个逻辑接口,而不是底层的物理接口。可以起到冗余的作用,提高可靠性。
- 负载均衡-hash:按数据包源目的IP/MAC的hash值均分
- 负载均衡-RR:直接按数据包轮转均分到每个接口
- 主备模式:取eth最大号为主接口收发包,其余为备接口
- LACP:标准LACP协议对接,选择LACP选项后,可以支持基于:IP+MAC、IP+端口、MAC三种哈希策略,同时支持主动和被动两种模式
注:这里需要注意一下,要是不知道对端是主动还是被动,我们可以直接选择主动,只要有一方主动就可以协商起来
1.3 子接口
子接口应用于路由接口需要启用VLAN或TRUNK的场景。子接口是逻辑接口,只能在路由口下添加子接口。子接口的下一跳网关和链路故障检测根据实际环境进行配置。
1.4 VLAN接口
为VLAN定义IP地址,则会产生VLAN接口。VLAN接口也是逻辑接口。可以在定义物理接口无法配置IP地址时,启用VLAN接口来管理设备。
1.5 注意事项
- 设备支持配置多个WAN属性的路由接口连接多条外网线路,但是需要开通多条线路的授权
- 管理口不支持设置成透明接口或虚拟网线接口,如果要设置2对或2对以上的虚拟网线接口,则必须要求设备不少于5个物理接口,预留一个专门的管理口Eth0。
- 一个路由接口下可添加多个子接口,路由接口的IP地址不能与子接口的IP地址在同网段。
1.6 区域
是本地逻辑安全区域的概念;一个或多个接口所连接的网络
区域的作用:
- 安全策略都基于区域实施
- 在同一区域内部发生的数据流动是不存在风险的,不需要实施任何安全策略。
- 只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略。
- 在AF中,同一个接口所连网络的所有网络设备一定位于同一区域中,而一个安全区域可以包含多个接口所连的网络。
区域:用于定义和归类接口,以供各类安全策略等模块调用。
定义区域时,需根据控制的需求来规划,可以将一个接口划分到一个区域,或将几个相同需求的接口划分到同一个区域。一个接口只能属于一个区域,而一个区域可以有多个接口。
可以在区域中选择接口。也可以预先设置好区域名称,在接口中选择区域。
2.组网方案
2.1 路由模式组网
网络拓扑:现有的拓扑如下图,使用AF替换现有防火墙部署在出口,实现对内网用户和服务器安全防护。
需求分析:
- 现有设备的接口配置
- 内网网段规划,好写回包路由
- 是否有服务器要映射
- 是否需要代理内网用户上外网
- 进行内外网哪些访问权限的控制
- 进行哪些安全策略配置实现用户需求
- 现在拓扑是否完整
配置思路:
1、配置接口地址,并定义接口对应的区域:
在【网络】-【接口/区域】-【物理接口】中,选择接口,并配置接口类型、所属区域、基本属性、IP地址。
2、配置路由:
在【网络】-【路由】中,新增静态路由,配置默认路由或回程路由。
3、配置代理上网:
在【策略】-【地址转换】中,新增源地址转换。
4、配置端口映射:
在【策略】-【地址转换】中,新增服务器映射。
5、配置应用控制策略,放通内网用户上网权限:
在【策略】-【访问控制】-【应用控制策略】中,新增应用控制策略,放通内到外的数据访问权限。
6、配置安全防护策略:
如:业务防护策略、用户防护策略等。
单臂路由模式
单臂路由是指在路由器的一个接口上通过配置子接口(逻辑接口,并不存在真正物理接口)的方式,实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通。
网络拓扑:
配置思路: 配置同路由模式一致
1、配置接口地址,并定义接口对应的区域:
在【网络】-【接口/区域】-【子接口】中,设置对应子接口,选择VLAN ID,并配置接口类型、所属区域、基本属性、IP地址。
2、配置路由:
在【网络】-【路由】中,新增静态路由,配置默认路由或回程路由。
3、配置代理上网:
在【策略】-【地址转换】中,新增源地址转换。
4、配置端口映射:
在【策略】-【地址转换】中,新增服务器映射。
5、配置应用控制策略,放通内网用户上网权限:
在【策略】-【访问控制】-【应用控制策略】中,新增应用控制策略,放通内到外的数据访问权限。
6、配置安全防护策略:
如:业务防护策略、用户防护策略等。
路由模式总结
- 在此组网方式时,防火墙位于内部网络和外部网络之间,负责在内部网络、外部网络中进行路由寻址,相当于路由器。其与内部网络、外部网络相连的上下行业务接口均工作在三层,需要分别配置不同网段的IP地址。
- 此组网方式支持更多的安全特性,如NAT、策略路由选择,动态路由协议(OSPF、BGP、RIP等)等。
- 需要修改原网络拓扑,对现有环境改动较大。
- 一般部署在需要进行路由转发的位置,如出口路由器或替换已有路由器、老防火墙等场景。
2.2 透明模式组网
网络拓扑:部署一台AF设备进行安全防护,但是又不改动现有的网络环境。
需求分析:
- 接口定义
- 管理地址配置
- 配置路由,一般缺省路由用作防火墙上网,回程路由用作防火墙管理
- 不用配置地址转换
- 应用控制进行访问权限控制
- 安全防护策略实现用户安全防护需求
配置思路:
1、 配置接口地址,并定义接口对应的区域:
在【网络】-【接口/区域】-【物理接口】中,选择接口,并配置接口类型、所属区域、基本属性如所属access或者trunk。
2、配置管理接口:
在【网络】中,新增管理接口,或者配置vlan接口的逻辑接口做为管理接口,并分配管理地址。
3、配置路由:
在【网络】-【路由】中,新增缺省路由和回程路由。
4、配置应用控制策略,对不同区域间的访问权限进行控制:
在【策略】-【访问控制】-【应用控制策略】中,新增应用控制策略,进行访问权限控制。
5、配置安全防护策略:
如:业务防护策略、用户防护策略等。
虚拟网线部署
用户需求:路由器和交换机聚合口对接,要求透明部署防火墙设备,即从1号口进来的数据,只从2号口出,不再转发到其他接口,其他接口的效果也一样。同时防火墙设备可以被日常管理。
虚拟网线部署是透明部署中另外一种特殊情况:
- 和透明部署一样,接口也是二层接口,但是被定义成虚拟网线接口。
- 虚拟网络接口必须成对存在,转发数据时,无需检查MAC表,直接从虚拟网线配对的接口转发。
- 虚拟网线接口的转发性能高于透明接口,单进单出网桥的环境下,推荐使用虚拟网线接口部署。
配置思路:
1、 配置接口地址,并定义接口对应的区域:
在【网络】-【接口/区域】-【物理接口】中,选择接口,并配置接口类型、所属区域、以及配对的虚拟接口。
2、配置管理接口:
在【网络】中,新增管理接口,管理接口必须新启一个单独的接口,无法通过配置桥地址实现,并分配管理地址。
3、配置路由:
在【网络】-【路由】中,新增缺省路由和回程路由。
4、配置应用控制策略,对不同区域间的访问权限进行控制:
在【策略】-【访问控制】-【应用控制策略】中,新增应用控制策略,进行访问权限控制。
5、配置安全防护策略:
如:业务防护策略、用户防护策略等。
2.3 混合模式组网
网络拓扑: 某用户内网有服务器群,服务器均配置公网IP地址,提供所有用户直接通过公网IP地址接入访问。 内网用户使用私有地址,通过NAT转换代理上网。希望将AF设备部署在公网出口的位置,实现内外部数据通信的同时,保护服务器群和内网上网数据的安全。
推荐使用混合模式部署,AF设备连接公网和服务器群的2个接口使用透明access口,连接内网网段使用路由接口。
需求分析:
- 由于服务器均有公网IP地址,所以AF设备连接公网线路的接口eth1与连接服务器群接口eth2使用透明access接口,并设置相同的VLAN ID。即可实现所有用户通过公网IP直接访问到服务器群。
- 新增VLAN1接口,分配一个公网IP地址,划入区域为外网区域。
- AF设备与内网相连的接口eth3使用路由接口,设置与内网交换机同网段的IP地址,并设置静态路由与内网通信。
- 内网用户上网时,转换源IP地址为VLAN1接口的IP地址。根据需求,划分为一个二层区域选择网口eth1和eth2;划分两个三层区域,其中“外网区域”选择VLAN接口vlan1;“内网区域”选择接口eth3。
配置分析:
1、配置物理接口
2、设置VLAN接口
2.4 旁路模式组网
网络拓扑:使用AF来实现对各区域之前数据交互进行安全分析,同时不改动已有的环境。
配置分析:
1、配置镜像接口,定义接口对应的区域,并配置流量监听网络对象:
在【网络】-【接口/区域】-【物理接口】中,选择接口,并配置接口类型、所属区域、旁路流量统计网络对象。
2、配置管理接口:
在【网络】-【接口/区域】-【物理接口】中,选择空闲的物理接口做为管理口。
3、配置路由:
在【网络】-【路由】中,一般新增缺省路由。较少场景使用明细的回程路由。
4、启用旁路reset功能:
在【系统】-【系统配置】-【通用配置】-【网络参数】中,勾选【旁路reset】。
5、配置安全防护策略:
如:业务防护策略、用户防护策略等。
注:
1、设备旁挂在现有的网络设备上,不影响现有的网络结构,通过端口镜像技术把流量镜像到下一代防火墙,实现对数据的分析和处理。
2、需要另外单独设置管理接口才能对设备进行管理。
3、启用管理口reset功能。
4、旁路部署支持的功能仅有:
- lAPT(僵尸网络)
- lPVS(实时漏洞分析)
- lWAF(web应用防护)
- l入侵防护系统
- lDLP(数据泄密防护)
- l网站防篡改部分功能(客户端保护)
3.策略路由解决方案
策略路由是路由中的一种。静态路由的匹配条件相对较少:匹配目的IP、子网掩码与下一跳网关。策略路由可以弥补静态路由的不足,更灵活多样的匹配条件,根据相应策略来进行匹配,包括:匹配源、目的、协议、应用等,出口在外网多条线路情况下,建议配置策略路由。
策略路由分为:
- 源地址策略路由——可指定内网哪些IP走指定线路出公网
- 多线路负载路由——可指定多条线路进行负载选路
网络拓扑:公网出口两条线路,一条教育网专线,一条是电信
- 内网用户访问教育网资源必须通过教育网专线才能进行访问。
- 内网所有用户访问电信IP的资源优先通过电信出口进行访问。
- 互联网有个学习平台,主要是视频数据。为了实现访问的分流,要求内网IP段一和内网IP段二访问时,走教育网专线;内网IP段三访问时,走电信线路。
- 非以上三条要求的资源访问,按访问时,剩余带宽比例自动选择线路。
- 互联网访问时,当电信或者教育网线路任意一条中断,另一条可以自动继续提供互联网业务。
配置思路:
1、接口和区域设置和路由部署一致,但策略路由要开启链路状态检测。
2、代理上网和应用控制策略配置和路由部署一致。
3、策略路由配置:在【网络】-【路由】-【策略路由】中,
- 需求1:添加源地址策略路由,来自于“内网区域”,目标ISP地址为教育网,填写下一跳接口为eth1。
- 需求2:添加源地址策略路由,来自于“内网区域”,目标ISP地址为电信,填写下一跳接口为eth2。
- 需求3.1:添加源地址策略路由,来自于“内网区域”-“内网IP段一和内网IP段二”,目标地址为“互联网学习平台”,填写下一跳接口为eth1 。
- 需求3.2:添加源地址策略路由,来自于“内网区域”-“内网IP段三”,目标地址为“互联网学习平台”,填写下一跳接口为eth2 。
- 需求4&5:添加多线路负载路由,来自于“内网区域”,目标IP选择全部,选择接口eth1和eth2,接口选择策略为带宽比例。
配置策略:
注意事项
注意事项
- AF路由的优先级默认是:【VPN路由】>【静态路由/动态路由】>【策略路由】>【默认路由】
- AF6.8后新增了【VPN与专线互备路由】功能,开启该功能后,路由优先级调整为:【静态路由/动态路由】>【策略路由】>【VPN路由】>【默认路由】
- 每一条外网线路必须至少有一条策略路由与之对应,源地址策略路由或多线路负载路由均可。
- 源地址策略路由,通过直接填写路由的下一跳,可以实现从设备非WAN属性的接口转发数据。
- 多线路负载路由选择的接口,必须开启链路故障检测功能,才能实现线路故障自动切换。
- 多条策略路由,按照从上往下的顺序匹配,一旦匹配到某条策略路由后,不再往下匹配。