防火墙有哪几种配置模式(您了解防火墙的部署模式吗)

防火墙有哪几种配置模式(您了解防火墙的部署模式吗)(1)

部署旁路(Tap)模式

防火墙有哪几种配置模式(您了解防火墙的部署模式吗)(2)

通常情况下,设备在网络部署上会串联到网络中,以直路的方式对网络流量进行分析、控制以及转发。但是,如果仅需要使用部分功能,例如IPS、防病毒、监控及网络行为控制等,既可以使防火墙工作在直路模式下,也可以工作在旁路模式下。

设备工作在旁路模式下时,仅对流量进行统计、扫描或者记录,并不对流量进行转发,同时,网络流量也不会受到设备本身故障的影响,所以,对于仅有审计需求的情况,使用旁路模式将会更加有效合理。

防火墙有哪几种配置模式(您了解防火墙的部署模式吗)(3)

旁路模式将物理接口绑定到Tap域(旁路模式功能域)的方式实现。绑定后,该物理接口就成为旁路接口,此时,设备对从旁路接口收到的流量进行统计、扫描或者记录,即可实现旁路模式。下图为Hillstone设备旁路模式工作原理示意图。

防火墙有哪几种配置模式(您了解防火墙的部署模式吗)(4)

使用网线将交换机的e0接口与设备的e1接口连接,设备以旁路模式部署在网络中。e1为设备的旁路接口,e2为设备的旁路控制接口;e0为交换机的镜像接口。

在本设备上配置旁路模式之前,需要在主干网络的交换机上配置,使交换机通过e0接口将网络流量镜像到e1上,从而使设备能够对e1接收到的流量进行统计、扫描和记录。

此处以利用旁路模式,实现IPS监控为例,介绍旁边路模式的操作。

步骤一:创建Tap安全域,绑定接口

1、选择“网络 > 安全域”,点击“新建”。

防火墙有哪几种配置模式(您了解防火墙的部署模式吗)(5)

防火墙有哪几种配置模式(您了解防火墙的部署模式吗)(6)

2、点击“确定”。

步骤二:创建IPS规则

1、选择“对象 > IPS“ 。

2、点击“新建”,在弹出的对话框输入规则名称。

3、在特征集配置部分配置特征集。

4、在协议配置部分配置协议。

5、点击“确定”按钮,完成IPS规则配置。

步骤三:将IPS规则添加到Tap安全域

1、选择“网络 > 安全域”,然后双击打开上面创建的安全域。

2、在<威胁防护>标签页,启用IPS功能,并绑定刚刚创建的IPS规则。

防火墙有哪几种配置模式(您了解防火墙的部署模式吗)(7)

3、点击“确定”按钮。

步骤四(可选):配置控制接口阻断流量

控制接口用于发送控制报文(目前可以发送TCP RST控制报文)。在旁路设备中配置IPS、病毒过滤或者网络行为控制的阻断功能后,如果设备检测到攻击、病毒或者访问受限网站的行为,就会通过旁路控制接口向干路设备发送TCP RST控制报文,重置TCP连接,从而对流量进行阻断。默认情况下,旁路控制接口为旁路接口本身。

旁路控制接口只能在命令行界面中配置,不能在WebUI界面配置。

在旁路接口配置模式下使用以下命令:

  • tap control-interface interface-nameinterface-name – 指定接口名称。

在旁路接口配置模式下,使用no tap control-interface命令取消旁路控制接口的指定。

结语

以上就是今天的防火墙旁路模式部署介绍!

感谢阅读,欢迎在评论区中发表自己不同的观点,若有其他问题请在评论区留言,喜欢的朋友请多多关注转发支持一下。

防火墙有哪几种配置模式(您了解防火墙的部署模式吗)(8)

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页