下一代防火墙组网方案

目录

1.防火墙接口介绍

1.1 物理接口

      路由接口

      透明接口

      虚拟网线接口

      旁路镜像接口

1.2 聚合接口

1.3 子接口 

1.4 VLAN接口

1.5 注意事项

1.6 区域

2.组网方案

2.1 路由模式组网

      单臂路由模式

      路由模式总结 

2.2 透明模式组网

      虚拟网线部署

2.3 混合模式组网

2.4 旁路模式组网

3.策略路由解决方案

注意事项

---

AF的基本应用场景

基本上在每个区域的出口都会部署防火墙，来保证内网的安全

1.防火墙接口介绍

• 根据接口属性分为：物理接口、子接口、VLAN接口、聚合接口。
• 其中物理口可选择为：路由口、透明口、虚拟网线口、旁路镜像口。
• 根据接口不同工作层面可以划分为：二层区域、三层区域、虚拟网线区域

AF的部署模式是由各个接口的属性决定的。

物理接口与AF设备面板上的接口一 一对应（eth0为manage口），根据网口数据转发特性的不同，可选择路由、透明、虚拟网线、旁路镜像4种类型，前三种接口又可设置WAN 或非WAN属性，WAN属性可以有一些特别的功能，如流控和审计。

1.1 物理接口

      路由接口

如果将物理接口设置为路由接口，则需要给该接口配置IP地址，并且该接口具有路由转发功能。这里需要注意一下，设置下一跳网关，并不会生成一条缺省路由，而需要管理员手动配置一条缺省路由。

链路故障检测：实时检测接口的链路状态，以及多条外网线路情况下，某条线路故障，流量自动切换到其它线路，均需开启链路故障检测。 有三种方法，可以使用ARP探测（免费ARP）、DNS解析（向指定服务器发送解析）、Ping。需要配置链路失效的检测时间和阈值。

高级模式：可以修改工作模式和MTU等参数

另：

1、ADSL拨号

如果设置为路由接口，并且是ADSL拨号，需要在拨号参数中选上添加默认路由选项，默认勾选。

2、管理口

Eth0为固定的管理口，接口类型为路由口，无法修改。Eth0可增加管理IP地址，默认的管理IP 10.251.251.251/24如需修改，AF8.0.13版本后，可在【系统】-【通用配置】-【网络参数】中进行修改。

      透明接口

透明接口相当于普通的交换网口，也就是二层的接口，不需要配置IP地址，不支持路由转发，根据MAC地址表转发数据，可以根据需要设置为Access口和Trunk口；高级配置中同路由接口一致，可以配置接口工作模式、MTU和MAC等。

注：部分功能要求接口是WAN属性，当接口设置成透明WAN口时，需要注意设备上架时接线方向，内外网口接反会导致需要WAN属性支持的功能失效。

      虚拟网线接口

虚拟网线接口也是普通的交换接口，不能配置IP地址，不支持路由转发，转发数据时，也无需检查MAC表，直接从虚拟网线配对的接口转发。因为虚拟网线接口需要成双配对，从一个接口进入，必须从另一个接口出去，所以虚拟网线接口的转发性能高于透明接口，单进单出、双进双去等成对出现的网桥的环境下，推荐使用虚拟网线接口部署。

      旁路镜像接口

旁路镜像接口不能配置IP地址，也不支持数据转发，只是用来接收从外部镜像过来的镜像数据。镜像接口可以配置多个，根据现场实际业务场景需要接收的数据情况进行选择。该应用场景一般是在不想打乱现有的网络拓扑，此接口可以接一些其他安全设备，起一个对流量进行审计和检测作用。

注：如果仅存在些无法配置IP的接口，正常情况下无法登录管理管理设备，解决方法，我们可以重启一个接口，配置为路由接口接到内网，使用这个路由接口管理设备，另一个我们可以起一个VLAN接口，我们可以在VLAN接口中配置IP地址，通过这个VLAN接口管理设备。

1.2 聚合接口

将多个以太网接口捆绑在一起所形成的逻辑接口，创建的聚合接口成为一个逻辑接口，而不是底层的物理接口。可以起到冗余的作用，提高可靠性。

• 负载均衡-hash:按数据包源目的IP/MAC的hash值均分
• 负载均衡-RR:直接按数据包轮转均分到每个接口
• 主备模式：取eth最大号为主接口收发包，其余为备接口
• LACP：标准LACP协议对接，选择LACP选项后，可以支持基于：IP+MAC、IP+端口、MAC三种哈希策略，同时支持主动和被动两种模式

注：这里需要注意一下，要是不知道对端是主动还是被动，我们可以直接选择主动，只要有一方主动就可以协商起来 

1.3 子接口 

子接口应用于路由接口需要启用VLAN或TRUNK的场景。子接口是逻辑接口，只能在路由口下添加子接口。子接口的下一跳网关和链路故障检测根据实际环境进行配置。

1.4 VLAN接口

为VLAN定义IP地址，则会产生VLAN接口。VLAN接口也是逻辑接口。可以在定义物理接口无法配置IP地址时，启用VLAN接口来管理设备。

1.5 注意事项

1. 设备支持配置多个WAN属性的路由接口连接多条外网线路，但是需要开通多条线路的授权
2. 管理口不支持设置成透明接口或虚拟网线接口，如果要设置2对或2对以上的虚拟网线接口，则必须要求设备不少于5个物理接口，预留一个专门的管理口Eth0。
3. 一个路由接口下可添加多个子接口，路由接口的IP地址不能与子接口的IP地址在同网段。

1.6 区域

是本地逻辑安全区域的概念；一个或多个接口所连接的网络

区域的作用：

• 安全策略都基于区域实施
• 在同一区域内部发生的数据流动是不存在风险的，不需要实施任何安全策略。
• 只有当不同安全区域之间发生数据流动时，才会触发设备的安全检查，并实施相应的安全策略。
• 在AF中，同一个接口所连网络的所有网络设备一定位于同一区域中，而一个安全区域可以包含多个接口所连的网络。

区域：用于定义和归类接口，以供各类安全策略等模块调用。

定义区域时，需根据控制的需求来规划，可以将一个接口划分到一个区域，或将几个相同需求的接口划分到同一个区域。一个接口只能属于一个区域，而一个区域可以有多个接口。

 可以在区域中选择接口。也可以预先设置好区域名称，在接口中选择区域。

2.组网方案

2.1 路由模式组网

网络拓扑：现有的拓扑如下图，使用AF替换现有防火墙部署在出口，实现对内网用户和服务器安全防护。

需求分析：

1. 现有设备的接口配置
2. 内网网段规划，好写回包路由
3. 是否有服务器要映射
4. 是否需要代理内网用户上外网
5. 进行内外网哪些访问权限的控制
6. 进行哪些安全策略配置实现用户需求
7. 现在拓扑是否完整

配置思路：

1、配置接口地址，并定义接口对应的区域：

         在【网络】－【接口/区域】－【物理接口】中，选择接口，并配置接口类型、所属区域、基本属性、IP地址。

2、配置路由：

         在【网络】－【路由】中，新增静态路由，配置默认路由或回程路由。

3、配置代理上网：

         在【策略】-【地址转换】中，新增源地址转换。

4、配置端口映射：

         在【策略】-【地址转换】中，新增服务器映射。

5、配置应用控制策略，放通内网用户上网权限：

         在【策略】-【访问控制】-【应用控制策略】中，新增应用控制策略，放通内到外的数据访问权限。

6、配置安全防护策略：

         如：业务防护策略、用户防护策略等。

      单臂路由模式

单臂路由是指在路由器的一个接口上通过配置子接口（逻辑接口，并不存在真正物理接口）的方式，实现原来相互隔离的不同VLAN（虚拟局域网）之间的互联互通。

网络拓扑：

配置思路： 配置同路由模式一致

1、配置接口地址，并定义接口对应的区域：

         在【网络】－【接口/区域】－【子接口】中，设置对应子接口，选择VLAN ID，并配置接口类型、所属区域、基本属性、IP地址。

2、配置路由：

         在【网络】－【路由】中，新增静态路由，配置默认路由或回程路由。

3、配置代理上网：

         在【策略】-【地址转换】中，新增源地址转换。

4、配置端口映射：

         在【策略】-【地址转换】中，新增服务器映射。

5、配置应用控制策略，放通内网用户上网权限：

         在【策略】-【访问控制】-【应用控制策略】中，新增应用控制策略，放通内到外的数据访问权限。

6、配置安全防护策略：

         如：业务防护策略、用户防护策略等。

      路由模式总结 

1. 在此组网方式时，防火墙位于内部网络和外部网络之间，负责在内部网络、外部网络中进行路由寻址，相当于路由器。其与内部网络、外部网络相连的上下行业务接口均工作在三层，需要分别配置不同网段的IP地址。
2. 此组网方式支持更多的安全特性，如NAT、策略路由选择，动态路由协议（OSPF、BGP、RIP等）等。
3. 需要修改原网络拓扑，对现有环境改动较大。
4. 一般部署在需要进行路由转发的位置，如出口路由器或替换已有路由器、老防火墙等场景。

---

2.2 透明模式组网

网络拓扑：部署一台AF设备进行安全防护，但是又不改动现有的网络环境。

需求分析：

1. 接口定义
2. 管理地址配置
3. 配置路由，一般缺省路由用作防火墙上网，回程路由用作防火墙管理
4. 不用配置地址转换
5. 应用控制进行访问权限控制
6. 安全防护策略实现用户安全防护需求

配置思路：

１、 配置接口地址，并定义接口对应的区域：

        在【网络】－【接口/区域】－【物理接口】中，选择接口，并配置接口类型、所属区域、基本属性如所属access或者trunk。

2、配置管理接口：

        在【网络】中，新增管理接口，或者配置vlan接口的逻辑接口做为管理接口，并分配管理地址。

3、配置路由：

        在【网络】－【路由】中，新增缺省路由和回程路由。

4、配置应用控制策略，对不同区域间的访问权限进行控制：

        在【策略】-【访问控制】-【应用控制策略】中，新增应用控制策略，进行访问权限控制。

5、配置安全防护策略：

        如：业务防护策略、用户防护策略等。

      虚拟网线部署

用户需求：路由器和交换机聚合口对接，要求透明部署防火墙设备，即从1号口进来的数据，只从2号口出，不再转发到其他接口，其他接口的效果也一样。同时防火墙设备可以被日常管理。

虚拟网线部署是透明部署中另外一种特殊情况：

• 和透明部署一样，接口也是二层接口，但是被定义成虚拟网线接口。
• 虚拟网络接口必须成对存在，转发数据时，无需检查MAC表，直接从虚拟网线配对的接口转发。
• 虚拟网线接口的转发性能高于透明接口，单进单出网桥的环境下，推荐使用虚拟网线接口部署。

配置思路： 

１、 配置接口地址，并定义接口对应的区域：

        在【网络】－【接口/区域】－【物理接口】中，选择接口，并配置接口类型、所属区域、以及配对的虚拟接口。

2、配置管理接口：

        在【网络】中，新增管理接口，管理接口必须新启一个单独的接口，无法通过配置桥地址实现，并分配管理地址。

3、配置路由：

        在【网络】－【路由】中，新增缺省路由和回程路由。

4、配置应用控制策略，对不同区域间的访问权限进行控制：

        在【策略】-【访问控制】-【应用控制策略】中，新增应用控制策略，进行访问权限控制。

5、配置安全防护策略：

        如：业务防护策略、用户防护策略等。

2.3 混合模式组网

网络拓扑： 某用户内网有服务器群，服务器均配置公网IP地址，提供所有用户直接通过公网IP地址接入访问。 内网用户使用私有地址，通过NAT转换代理上网。希望将AF设备部署在公网出口的位置，实现内外部数据通信的同时，保护服务器群和内网上网数据的安全。

推荐使用混合模式部署，AF设备连接公网和服务器群的2个接口使用透明access口，连接内网网段使用路由接口。

需求分析：

1. 由于服务器均有公网IP地址，所以AF设备连接公网线路的接口eth1与连接服务器群接口eth2使用透明access接口，并设置相同的VLAN ID。即可实现所有用户通过公网IP直接访问到服务器群。
2. 新增VLAN1接口，分配一个公网IP地址，划入区域为外网区域。
3. AF设备与内网相连的接口eth3使用路由接口，设置与内网交换机同网段的IP地址，并设置静态路由与内网通信。
4. 内网用户上网时，转换源IP地址为VLAN1接口的IP地址。根据需求，划分为一个二层区域选择网口eth1和eth2；划分两个三层区域，其中“外网区域”选择VLAN接口vlan1；“内网区域”选择接口eth3。

配置分析：

1、配置物理接口

2、设置VLAN接口

2.4 旁路模式组网

网络拓扑：使用AF来实现对各区域之前数据交互进行安全分析，同时不改动已有的环境。

配置分析：

1、配置镜像接口，定义接口对应的区域，并配置流量监听网络对象：

         在【网络】－【接口/区域】－【物理接口】中，选择接口，并配置接口类型、所属区域、旁路流量统计网络对象。

2、配置管理接口：

         在【网络】－【接口/区域】－【物理接口】中，选择空闲的物理接口做为管理口。

3、配置路由：

         在【网络】－【路由】中，一般新增缺省路由。较少场景使用明细的回程路由。

4、启用旁路reset功能：

         在【系统】-【系统配置】-【通用配置】-【网络参数】中，勾选【旁路reset】。

5、配置安全防护策略：

         如：业务防护策略、用户防护策略等。

注：

1、设备旁挂在现有的网络设备上，不影响现有的网络结构，通过端口镜像技术把流量镜像到下一代防火墙，实现对数据的分析和处理。

2、需要另外单独设置管理接口才能对设备进行管理。

3、启用管理口reset功能。

4、旁路部署支持的功能仅有：

• lAPT（僵尸网络）
• lPVS（实时漏洞分析）
• lWAF（web应用防护）
• l入侵防护系统
• lDLP（数据泄密防护）
• l网站防篡改部分功能（客户端保护）

---

3.策略路由解决方案

策略路由是路由中的一种。静态路由的匹配条件相对较少：匹配目的IP、子网掩码与下一跳网关。策略路由可以弥补静态路由的不足，更灵活多样的匹配条件，根据相应策略来进行匹配，包括：匹配源、目的、协议、应用等，出口在外网多条线路情况下，建议配置策略路由。

策略路由分为：

• 源地址策略路由——可指定内网哪些IP走指定线路出公网
• 多线路负载路由——可指定多条线路进行负载选路

网络拓扑：公网出口两条线路，一条教育网专线，一条是电信

1. 内网用户访问教育网资源必须通过教育网专线才能进行访问。
2. 内网所有用户访问电信IP的资源优先通过电信出口进行访问。
3. 互联网有个学习平台，主要是视频数据。为了实现访问的分流，要求内网IP段一和内网IP段二访问时，走教育网专线；内网IP段三访问时，走电信线路。
4. 非以上三条要求的资源访问，按访问时，剩余带宽比例自动选择线路。
5. 互联网访问时，当电信或者教育网线路任意一条中断，另一条可以自动继续提供互联网业务。

配置思路：

1、接口和区域设置和路由部署一致，但策略路由要开启链路状态检测。

2、代理上网和应用控制策略配置和路由部署一致。

3、策略路由配置：在【网络】-【路由】-【策略路由】中，

1. 需求1：添加源地址策略路由，来自于“内网区域”，目标ISP地址为教育网，填写下一跳接口为eth1。
2. 需求2：添加源地址策略路由，来自于“内网区域”，目标ISP地址为电信，填写下一跳接口为eth2。
3. 需求3.1：添加源地址策略路由，来自于“内网区域”-“内网IP段一和内网IP段二”，目标地址为“互联网学习平台”，填写下一跳接口为eth1 。
4. 需求3.2：添加源地址策略路由，来自于“内网区域”-“内网IP段三”，目标地址为“互联网学习平台”，填写下一跳接口为eth2 。
5. 需求4&5：添加多线路负载路由，来自于“内网区域”，目标IP选择全部，选择接口eth1和eth2，接口选择策略为带宽比例。

配置策略： 

注意事项

注意事项

1. AF路由的优先级默认是：【VPN路由】>【静态路由/动态路由】>【策略路由】>【默认路由】
2. AF6.8后新增了【VPN与专线互备路由】功能，开启该功能后，路由优先级调整为：【静态路由/动态路由】>【策略路由】>【VPN路由】>【默认路由】
3. 每一条外网线路必须至少有一条策略路由与之对应，源地址策略路由或多线路负载路由均可。
4. 源地址策略路由，通过直接填写路由的下一跳，可以实现从设备非WAN属性的接口转发数据。
5. 多线路负载路由选择的接口，必须开启链路故障检测功能，才能实现线路故障自动切换。
6. 多条策略路由，按照从上往下的顺序匹配，一旦匹配到某条策略路由后，不再往下匹配。