安全合规4--下一代防火墙组网
一、部署模式概览
| 模式 | 工作层级 | 特点 | 适用场景 |
|---|---|---|---|
| 路由模式 | 三层 | 需配置IP地址,支持路由转发、NAT、策略路由等高级功能 | 替换出口路由器/防火墙 |
| 透明模式 | 二层 | 无需IP地址,类似交换网口,通过MAC转发 | 不改动现有网络拓扑 |
| 虚拟网线模式 | 二层 | 无MAC表检查,直接配对转发,性能>透明模式 | 单进单出网桥环境 |
| 混合模式 | 二/三层混合 | 部分接口三层(路由)、部分二层(透明/网线) | 服务器公网IP直访 + 内网NAT上网 |
| 旁路模式 | 监听 | 通过镜像流量分析,不支持主动拦截 | 仅需安全监控的场景 |
二、关键接口类型与配置
物理接口
类型:路由口、透明口、虚拟网线口、镜像口(旁路)
特性:
管理口(eth0)固定为路由口,不可修改
WAN口必须开启链路故障检测(目标IP检测+自动切换)
支持聚合接口(主备/负载均衡)
逻辑接口
类型 作用 限制 子接口 路由口下扩展VLAN/Trunk 需绑定物理路由口 VLAN接口 为VLAN分配IP地址 需独立配置网关/链路检测 聚合接口 多物理口逻辑捆绑 支持主备或负载均衡模式 接口注意事项
多WAN口需额外授权
虚拟网线部署需≥5物理口(预留eth0管理口)
路由口与子接口IP禁止同网段
三、安全区域规划
核心概念:逻辑分组接口,供防火墙策略调用
规则:
一个接口仅属一个区域
支持三层区域(路由)、二层区域(透明/网线)
典型区域:
Trust(内网)、Untrust(外网)、DMZ(服务器区)
四、典型组网方案详解
1. 路由模式
拓扑:
Internet ↔ AF(路由口) ↔ 内网/服务器配置流程:
① 配置接口IP及区域
② 设置静态路由(默认路由+回包路由)
③ NAT地址转换(代理上网)
④ 应用控制策略放行流量
⑤ 启用IPS/僵尸网络等防护适用:替换出口设备,需支持高级路由功能
2. 透明/虚拟网线模式
拓扑:
Internet ↔ 交换机 ↔ AF(透明口/网线口) ↔ 内网特点:
零IP配置(管理口需单独设IP)
虚拟网线性能更优(无MAC表查询)
适用:无缝插入现有网络
3. 混合模式
案例:
服务器区:透明接口(公网IP直通)
内网用户:路由接口(NAT转换上网)
关键配置:
VLAN接口绑定公网IP
策略路由引导流量
4. 旁路模式
功能限制:
仅支持检测类功能(APT、IPS、WAF等),不支持主动拦截配置要点:
① 镜像口绑定监听对象
② 启用管理口+旁路Reset功能
五、核心配置流程
接口与区域
定义物理/逻辑接口属性(类型、区域、WAN属性)
路由设置
静态路由(默认路由+精细化回包路由)
地址转换
源NAT(内网上网)、目的NAT(服务器映射)
安全策略
应用控制策略(流量放行)
防护模块(IPS/AV/DOS等)
六、部署注意事项
拓扑改动:路由模式 > 透明模式 > 旁路模式
性能优先级:虚拟网线 > 透明 > 路由
高可用:多WAN口需配置链路故障检测(检测间隔2s+失败阈值3次)
管理口:eth0不可更改类型,需单独规划管理网络
附:方案选择决策树
