| 防火墙/UTM/安全网关 | 您所在的位置:网站首页 › 深信服防火墙透明模式安全域配置 › 防火墙/UTM/安全网关 |
防火墙/UTM/安全网关
|
写在最前: 安全产品系列目录:目录&总述 FireWall 防火墙用于边界安全防护的权限控制和安全域的划分 防外不防内,隔离区域 配置策略,按需划分,最小授权原则 产品简介采用应用层安全防护理念,同时结合先进的多核高速数据包并发处理技术,研发而成的下一代边界安全产品。其核心理念是立足于用户网络边界,建立起以应用为核心的网络安全策略和以内网资产风险识别、云端安全管理为显著特征的全方位的安全防护体系。 产品特点 全面的应用、用户识别能力细致的应用层控制应用层安全防护能力 入侵防护、URL过滤、防病毒、内容过滤应用层安全处理性能 基础网络数据包的高速转发,应用层安全处理的高性能内网资产风险管理云端安全管理模式高稳定性和可靠性支持路由、交换、访问控制、流量管理、SNAT/DNAT、日志报表等传统功能 用户价值 对应用、业务和用户完全识别并加以控制、可以帮助企业降低管理难度、减少运维成本事前的风险预知和事后的检测&响应能力,主动发现被保护的资产对象,以及被保护对象的风险状况帮助有关部门、机构和人员及时对网络安全风险信息进行监测评估 1.部署模式 路由模式 当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址,重新规划原有的网络拓扑,此时相当于一台路由器。路由器两端是不同子网 采用路由模式时,可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。然而,路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、路由器需要更改路由配置等),这是一件相当费事的工作,因此在使用该模式时需权衡利弊。 如果防火墙采用透明模式进行工作,则可以避免改变拓扑结构造成的麻烦,此时防火墙对于子网用户和路由器来说是完全透明的。也就是说,用户完全感觉不到防火墙的存在。 采用透明模式时,只需在网络中像放置网桥(bridge)一样插入该防火墙设备即可,无需修改任何已有的配置。与路由模式相同,IP 报文同样经过相关的过滤检查(但是IP 报文中的源或目的地址不会改变),内部网络用户依旧受到防火墙的保护。 在其他设备上开一个镜像口接入,逻辑上类似透明模式,检查流量经过,但不能进行阻断 部署简单,不改变现有结构,不影响速度,出现故障不会影响其他设备 这种可能会用到混合模式:防火墙既存在工作在路由模式的接口(接口具有IP 地址),又存在工作在透明模式的接口(接口无IP 地址),则防火墙工作在混合模式下 主备模式 主备模式下的两台防火墙,其中一台作为主设备,另一台作为备份设备。主设备处理所有业务,并将产生的会话信息传送到备份设备进行备份;备份设备不处理业务,只用做备份。当主设备故障,备份设备接替主设备处理业务,从而保证新发起的会话能正常建立,当前正在进行的会话也不会中断。 负载分担模式 两台设备均为主设备,都处理业务流量,同时又作为另一台设备的备份设备,备份对端的会话信息(如下图所示,Firewall 1和Firewall 2均处理业务,互为备份)。当其中一台故障后,另一台设备负责处理全部业务,从而保证新发起的会话能正常建立,当前正在进行的会话也不会中断 一般部署 当两台防火墙做负载分担,而且数据流量存在来回路径不一致的时候,防火墙必须开启会话备份功能。 因为开启了OSPF负载分担,以TCP数据流为例,假如Trust区域的某客户要去访问Untrust区域的资源,TCP数据流第一个SYN报文根据等价路由被转发到Firewall 1,但是对方回应的SYN-ACK报文被上面路由器转发到了Firewall 2,对于Firewall 2由于报文是从Untrust到Trust,策略是禁止的,而且设备本身又没有会话,所以这个报文就会被丢弃,TCP连接建立失败。尽管TCP超时后会再次发起连接,但是如果上下两台路由器等价路由的Hash方式不变,报文会一直按着上面所说的路径转发,所以TCP连接永远失败。 路由工作模式 防火墙工作在路由模式下,此时所有接口都配置IP 地址,各接口所在的安全区域是三层区域,不同三层区域相关的接口连接的外部用户属于不同的子网。当报文在三层区域的接口间进行转发时,根据报文的IP 地址来查找路由表,此时 防火墙表现为一个路由器。但是, 防火墙与路由器存在不同, 防火墙中IP 报文还需要送到上层进行相关过滤等处理,通过检查会话表或ACL 规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。路由模式的防火墙支持ACL 规则检查、ASPF 状态过滤、防攻击检查、流量监控等功能。 透明工作模式 防火墙工作在透明模式下,此时所有接口都不能配置IP 地址,接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时,需要根据报文的MAC 地址来寻找出接口,此时防火墙表现为一个透明网桥。但是,防火墙与网桥存在不同,防火墙中IP 报文还需要送到上层进行相关过滤等处理,通过检查会话表或ACL 规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。透明模式的防火墙支持ACL 规则检查、ASPF 状态过滤、防攻击检查、流量监控等功能。工作在透明模式下的 防火墙在数据链路层连接局域网(LAN),网络终端用户无需为连接网络而对设备进行特别配置,就像LAN Switch 进行网络连接。 混合工作模式 防火墙工作在混合透明模式下,此时部分接口配置IP 地址,部分接口不能配置IP 地址。配置IP 地址的接口所在的安全区域是三层区域,接口上启动VRRP功能,用于双机热备份;而未配置IP 地址的接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间 进行转发时,转发过程与透明模式的工作过程完全相同。 UTM 统一威胁管理Unified Threat Management 集成多种功能 若开启多项功能,可能性能不足,大多用于中低端公司 产品简介集合了防火墙、虚拟专用网(VPN)、入侵检测和防御(IPS)、网关防病毒、Web内容过滤、反垃圾邮件、流量整形、用户身份认证、审计以及BT(蓝牙)、IM(即时通讯)控制等多种应用 产品特点集成多种产品功能,方便配置,管理 用户价值 便于部署,维护性价比高 1. 部署模式与防火墙类似,但一般不用于区域划分(太贵),只在内外网之间放一个 生产厂商防火墙/UTM/安全网关/下一代防火墙/第二代防火墙: 天融信、山石网科、启明星辰、网御星云、绿盟科技、安恒信息、蓝盾、华为、软云神州、杭州迪普、华清信安、东软、上讯信息、利谱、深信服、奇安信、卫士通、H3C、交大捷普、信安世纪、任子行、上海纽盾、金电网安、亚信安全、北京擎企、金山、君众甲匠、优炫、海峡信息、安信华、博智软件、中科曙光、中科网威、江民科技、六壬网安、安码科技、点点星光、瑞星、华域数安、中新网安、山东确信、有云信息、上元信安、成都世纪顶点、卫达安全、网御科技、锐捷、清华永新、华诺科技、六方云 |
旁路部署可以进行特殊流量配置,比如:三角传输 三角传输,也叫Direct Server Return(DSR)模式,是旁路部署的一个特例这种模式下只有入站方向流量进入到设备,服务器返回的流量不经过设备。由于互联网的流量具有典型的非对称性,即请求方向上的流量比较小,绝大多数流量集中在服务器响应的方向上,若充分信任内部安全性,这种配置可以提升处理能力。
会话备份 
因为有重传机制 所以在两台防火墙完全主备部署的情况下,即使不使用会话备份,在设备故障切换时只是会影响业务的切换时间,但不会完全导致业务不可用;对于新建连接,只是增加一次会话建立时间,对数据转发没有任何影响
【本文地址】