下一代防火墙技术
一、基础概念
1.下一代防火墙组网简介
这个板块通常介绍NGFW在网络中可以担任的角色和常见的部署位置。
2.NGFW 在网络中的核心角色
| 角色 | 部署位置 | 主要功能 | 比喻 |
|---|---|---|---|
| 边界守卫者 | 网络与互联网出口 | 访问控制、入侵防御、应用/用户控制、内容过滤、防病毒 | 城堡大门 + 安检站 |
| 区域隔离者 | 内部安全区域之间 (如:办公网↔服务器区、生产网↔测试网、有线网↔访客WiFi) | 防止威胁横向扩散、基于策略隔离敏感区域 | 不同房间之间的防盗门 |
| 数据中心守护者 | 数据中心核心/汇聚层 | 保护服务器间通信(东西向流量) | 数据中心内部的巡逻警卫 |
3.部署模式
1. 路由模式
- 作用:防火墙充当网络 “路由器”,负责不同网段间的数据转发与路由决策,同时做安全过滤。
- 场景:常用于多网段互联的网络出口,比如企业总部与分支异地组网,防火墙既路由转发数据,又拦截外网攻击。
2. 透明模式(桥接模式)
- 作用:防火墙像 “透明玻璃” 嵌入网络,不改变原有网络 IP 规划,基于二层(数据链路层)转发,对用户无感知。
- 场景:老网络升级安全防护,不想调整网段、网关等配置时用,直接串接在链路里做流量检测与过滤。
3. 虚拟网线模式
- 作用:把防火墙两个网口虚拟成一根 “网线”,数据从一个口进、另一个口出,类似透明模式的简化版,专注简单链路的安全穿透。
- 场景:小型网络、设备间短链路防护,比如服务器机柜内,串接在服务器与交换机间,极简部署做防护。
4. 混合模式
- 作用:同一防火墙同时启用多种模式,部分网口路由模式、部分网口透明模式,适配复杂网络(比如既有新网段互联需求,又要保留老网段无感知防护)。
- 场景:企业网络改造过渡期,新业务用路由模式组网,老业务用透明模式续用,统一在防火墙做安全策略。
5. 旁路模式
- 作用:防火墙旁接在网络链路(如交换机镜像口),不参与数据转发,只镜像抓包分析,做流量审计、威胁检测(发现问题后,可联动其他设备阻断)。
- 场景:对现有网络转发性能无影响,侧重监控、溯源,比如核心交换机旁挂,持续分析流量中的异常行为。
4.NGAF接口类型
NGAF的工作模式(路由/透明/混合)由接口的工作属性决定,而非设备本身。同一设备的不同接口可配置不同属性。
| 类型 | 工作层级 | 关键特性 | 应用场景 | 配置要点补充 |
|---|---|---|---|---|
| 物理接口 | L1 | 设备实际存在的硬件端口(电口/光口) | 所有部署模式的基础连接单元 | - 需绑定安全域(Trust/Untrust/DMZ等) - 支持切换为:路由口/透明口/虚拟网线口/镜像口(核心!) |
| 子接口 | L3 | 在物理接口上虚拟的逻辑接口(如 ge0/0.10) | 单臂路由场景:通过一个物理接口处理多VLAN流量 | - 需配置VLAN ID - 独立IP地址和安全域 - 父接口需为路由口 |
| VLAN接口 | L3 | 三层VLAN虚接口(如 vlan10) | 作为VLAN网关,实现跨VLAN路由 | - 需先创建VLAN - 配置IP地址作为该VLAN的网关 |
| 聚合接口 | L2/L3 | 将多个物理接口绑定为逻辑接口(如 agg1) | 提升带宽冗余性(链路聚合) | - 支持静态/LACP聚合协议 - 可配置为路由属性(需配IP)或透明属性(无IP) |
5.物理接口的4种工作模式
5.1 路由接口
1.定义
路由接口是设备(防火墙 / 路由器等)用于 网络层数据转发、路由交互 的网口,承担 “转发数据包 + 执行路由策略 + 嵌入安全防护” 职责,适配多样网络场景(如静态 IP、ADSL 拨号 )。
2. ADSL 拨号(物理接口的一种工作模式)
3.管理口
4.子接口
5. vlan接口
6.注意事项
5.2 透明接口
5.3 虚拟网线接口
5.4 聚合接口
6. 区域
