下一代防火墙--NGAF
下一代防火墙(NGAF)概述
传统安全产品的形态
一眼望去,看不到优点。
缺点:
- 成本高:环境、空间、重复采购
- 管理难:多设备、多厂商、安全风险无法评估
- 效率低:重复解析、单点故障
防火墙的发展历程
UTM其实是一个很搞笑的东西,别看他集成了上面的四个东西,但是本质上就是把这四个东西连在了一起,打包售卖而已。
UTM存在的问题:
- 多次拆包,多次检测
- 应用层性能低
多设备叠加=多功能假集成=貌合神离
下一代防火墙应对之法
- 安全可视:安全运营应该从简单到充分认知,可视是最有效的手段
- 持续检测:安全保护应该从被动应对到主动保护,持续检测是最有效的手段
如何去实现安全可视呢?
下一代防火墙的功能
- 下一代防火墙拥有传统防火墙的三个功能(包过滤、状态检测、应用网关ALG)
- 还拥有对数据包进行深度检查的功能,可以深入到应用层,即深度内容检测DPI
- 还有入侵防护(IPS)
- 恶意代码防护(AV)
- WEB防护(WAF,以软件为主)
- 信息泄露防护
下一代防火墙应用场景
- 互联网出口终端安全场景
- WEB安全场景
- 数据中心安全场景
- 广域网接入安全场景
下一代防火墙组网方案
部署模式
-
NGAF基本应用场景
-
下一代防火墙具备灵活的网络适应能力,支持:路由模式、透明模式、虚拟网线模式(成对存在)、混合模式、旁路模式。
接口
- 根据接口属性可以分为:物理接口、子接口、VLAN接口、聚合接口。其中物理接口可选择为:路由口、透明口、虚拟网线口(最快)、镜像口(监听)。
- 根据接口工作区域可分为:二层区域口、三层区域口、虚拟网线区域口。
NGAF的部署模式是由各个接口的属性决定的。
物理接口
-
物理接口与NGAF设备面板上的接口一一对应(eth0为manage口),根据网口数据转发特性的不同,可选择路由、透明、虚拟网线对和旁路镜像4种类型,前三种接口又可设置WAN或非WAN属性。
-
物理接口无法删除或者新增,物理接口的数码由硬件型号决定。
路由接口
-
如果设置为路由接口,则需要给该接口设置IP地址,并且该接口具有路由转发功能。
-
如果设置为路由接口,并且是拨号上网(ADSL拨号),需要选上默认路由选项,默认勾选。
-
管理口:eth0为固定的管理口,接口类型为路由口,无法修改。eth0可以增加管理IP地址,默认的管理IP
10.251.251.251/24无法删除。
透明接口
- 透明接口相当于普通的交换网口,不需要配置IP地址,不支持路由转发,根据MAC地址表转发数据。(部分功能要求接口是WAN属性,注意设备上架时接线方向,内外网接口接反会导致部分功能失效)。
虚拟网线口
- 虚拟网线口也是普通的交换机接口,不需要配置IP,不支持路由转发,转发数据时,无需检查MAC地址表,直接从虚拟网线配对的接口转发。
- 虚拟网线接口的转发性能高于透明接口,单进单出网桥的环境下,推荐使用虚拟网线接口部署。
聚合接口
- 将多个以太网接口捆绑在一起形成的逻辑接口,创建的聚合接口成为一个逻辑接口,而不是底层的物理接口
子接口
- 子接口应用于路由接口需要启用VLAN或TRUNK的场景
- 子接口是逻辑接口,只能在路由口下添加子接口
- 子接口的下一跳网关和链路故障检测根据实际环境进行配置
VLAN接口
- 为VLAN定义IP地址,则会产生VLAN接口。VLAN接口也是逻辑接口
- VLAN接口的下一跳网关和链路故障检测根据实际环境进行配置
接口设置注意事项
-
设备支持配置多个WAN属性的路由接口连接多条外网线路,但是需要开通多条线路的授权
-
管理口不支持设置为透明接口或虚拟网线接口,如果要设置2对或者2对以上的虚拟网线接口,则必须要求设备不少于5个物理接口,预留一个专门的管理口
eth0 -
一个路由接口下可以添加多个子接口,路由接口的IP地址不能与子接口的IP地址在同网段
区域
是本地逻辑安全区域的概念
一个或者多个接口所连接的网络
- 用于定义和归类接口,以供防火墙、内网安全、服务器保护等模块调用。
- 定义区域时,需要根据控制的需求来规划,可以将一个接口划分到一个区域,或者将几个相同需求的接口划分到同一个区域。
- 一个接口只能属于一个区域。
- 可以在区域中选择接口,也可以预先设置好区域名称,在接口中选择区域。
下一代防火墙组网方案
路由模式组网
部署前需要做的准备?
- 现有设备的接口配置
- 内网网段规划,好写回包路由
- 是否有服务器要映射
- 内网有哪些访问权限
- 进行哪些安全策略配置
- 现在拓扑是否完整
配置思路
- 配置接口地址,定义接口对应的区域
- 配置路由
- 配置代理上网
- 配置应用控制策略,放通内网用户上网权限
- 配置安全策略
单臂路由模式
单臂路由是指在路由器的一个接口上通过配置子接口(逻辑接口,并不存在真正的物理接口)的方式,实现原来互相隔离的不同VLAN(虚拟局域网)之间的互通。实现原理和之前的路由器是一样的,只是把路由器或者三层交换机换成了防火墙而已
单臂路由配置
- 配置接口地址,定义接口对应的区域(选择子接口而不是物理接口)
- 配置路由
- 配置代理上网
- 配置应用控制策略,放通内网用户上网权限
- 配置安全防护策略
路由模式小结
- 在这种组网方式下,防火墙位于内部网络和外部网络之间,负责在内部网络、外部网络中进行寻址,相当于路由器。其与内部网络、外部网络相连的上下行业务接口均工作在三层,需要分别配置不同网段的IP地址。
- 这种组网方式支持更多的安全特性,如NAT、策略路由选择,动态路由协议等。
- 需要修改原网络拓扑,对现有环境改动较大。
- 一般替换出口路由器或老防火墙
透明模式组网
准备工作
- 接口定义
- 配置管理地址,还要配置路由
- 不用配置地址转换
- 安全控制放通
- 安全防护策略
配置思路一致。
虚拟网线部署
- 透明部署NGAF设备,要求eth1和eth3这对网口,与eth2和eth4这对网口二层隔离,即从eth1进入的数据必须从eth3口转发,从eth2口进入的数据必须从eth4口转发
虚拟网线部署是透明部署中的一种特殊情况:
- 和透明模式一样,接口也是二层接口,但是被定义成虚拟网线接口。
- 虚拟网络接口是成对存在的,转发数据时,无需检查MAC表,直接从虚拟网线配对的接口转发
- 虚拟网线接口的转发性能高于透明接口,在单进单出网桥的环境下,推荐使用虚拟网线接口部署
混合模式组网
混合模式部署方式推荐:
- 使用混合模式部署,NGAF设备连接公网和服务器群的2个接口使用透明access口,连接内网的接口使用路由接口
部署拓扑:
部署方式分析:
- 由于服务器均有公网IP地址,所以NGAF设备连接公网线路的接口eth1与连接服务器群接口eth2使用透明access接口,并设置相同的VLAN ID。即可实现所有用户通过公网IP直接访问到服务器群。
- 新增VLAN1接口,分配一个公网IP地址,划入区域为外网区域
- AF设备与内网相连的接口eth3使用路由接口,设置与内网交换机同网段的IP地址,并设置静态路由和内网通信
- 内网用户上网时,转换源IP地址为VLAN1接口的IP地址。根据需求,划分为一个二层区域选择网口eth1和eth2;划分两个三层区域,其中“外网区域”选择VLAN接口vlan1;“内网区域”选择接口eth3
旁路模式组网
配置思路
- 配置镜像接口,定义接口对应的区域,并配置流量监听网络对象
- 配置管理接口
- 启用旁路reset功能
- 配置安全防护策略
旁路模式小结:
- 设备旁挂在现有的网络设备上,不影响现有的网络结构,通过端口镜像技术把流量镜像到下一代防火墙,实现对数据的分析和处理
- 需要另外设置接口才能对设备进行管理
- 启用管理口reset功能
- 旁路部署支持的功能仅有(有状态):
- APT(僵尸网络)
- PVS(实时漏洞分析)
- WAF(web应用防护)
- IPS(入侵防护系统)
- DLP(数据泄密防护)
- 网站防篡改部分功能(客户端保护)