下一代防火墙概述及组网方案
·
一、传统防火墙
1.传统防火墙的局限性
| 核心问题 | 具体表现 | PPT内容对应 |
|---|---|---|
| 静态防御失效 | 基于IP/端口和固定特征匹配,无法应对新型攻击 | 传统防火墙防御模式(基于静态特征) |
| 边界模糊化 | 云、移动办公、IoT导致安全边界消失 | IT业务复杂化(云端ERP、无线、边界模糊) |
| 攻击复杂化 | APT攻击、0day漏洞、专业黑客工具 | 攻击隐蔽化(高手云集、ODay漏洞) |
| 设备堆叠瓶颈 | FW/IPS/AV/WAF独立部署,效率低下 | “串糖葫芦式”建设(成本高、管理难、效率低) |
2.传统防火墙防御模式
通过防火墙等设备划分 “非信任网络(外部)” 与 “信任网络(内部)” 边界,基于 IP / 端口、攻击特征(如特定二进制串)静态检测拦截 ,拒绝非可信 IP 访问,匹配攻击特征(如 101101010 )则拦截,以隔离为基础、静态特征防护为核心,但难应对 0DAY、APT 等新型动态攻击。
3.IT“变化”带来的挑战
- 业务侧:OA、云端 ERP 等多样业务使安全边界模糊消失,传统边界防护难适用。
- 攻击侧:攻击目标增多、手段隐蔽(黑客、工具、0Day 漏洞等),静态防御失效 。
4.传统安全产品的缺陷
5.防火墙的发展历程
6.传统的安全防护UTM
7.深信服下一代防火墙NGAF
8.下一代防火墙应对之法
9.下一代防火墙应用场景
互联网出口终端安全场景:
WEB安全场景:
数据中心安全场景:
广域网接入安全场景:
二、下一代防火墙组网介绍
1.下一代防火墙组网简介
这个板块通常介绍NGFW在网络中可以担任的角色和常见的部署位置。
2.NGFW 在网络中的核心角色
| 角色 | 部署位置 | 主要功能 | 比喻 |
|---|---|---|---|
| 边界守卫者 | 网络与互联网出口 | 访问控制、入侵防御、应用/用户控制、内容过滤、防病毒 | 城堡大门 + 安检站 |
| 区域隔离者 | 内部安全区域之间 (如:办公网↔服务器区、生产网↔测试网、有线网↔访客WiFi) |
防止威胁横向扩散、基于策略隔离敏感区域 | 不同房间之间的防盗门 |
| 数据中心守护者 | 数据中心核心/汇聚层 | 保护服务器间通信(东西向流量) | 数据中心内部的巡逻警卫 |
3.部署模式
3.1 路由模式
- 作用:防火墙充当网络 “路由器”,负责不同网段间的数据转发与路由决策,同时做安全过滤。
- 场景:常用于多网段互联的网络出口,比如企业总部与分支异地组网,防火墙既路由转发数据,又拦截外网攻击。
1.需求背景
2.需求分析
3.配置
总结
2. 透明模式(桥接模式)
- 作用:防火墙像 “透明玻璃” 嵌入网络,不改变原有网络 IP 规划,基于二层(数据链路层)转发,对用户无感知。
- 场景:老网络升级安全防护,不想调整网段、网关等配置时用,直接串接在链路里做流量检测与过滤。
3. 虚拟网线模式
- 作用:把防火墙两个网口虚拟成一根 “网线”,数据从一个口进、另一个口出,类似透明模式的简化版,专注简单链路的安全穿透。
- 场景:小型网络、设备间短链路防护,比如服务器机柜内,串接在服务器与交换机间,极简部署做防护。
总结
4. 混合模式
- 作用:同一防火墙同时启用多种模式,部分网口路由模式、部分网口透明模式,适配复杂网络(比如既有新网段互联需求,又要保留老网段无感知防护)。
- 场景:企业网络改造过渡期,新业务用路由模式组网,老业务用透明模式续用,统一在防火墙做安全策略。
5. 旁路模式
- 作用:防火墙旁接在网络链路(如交换机镜像口),不参与数据转发,只镜像抓包分析,做流量审计、威胁检测(发现问题后,可联动其他设备阻断)。
- 场景:对现有网络转发性能无影响,侧重监控、溯源,比如核心交换机旁挂,持续分析流量中的异常行为。
4.NGAF接口类型
NGAF的工作模式(路由/透明/混合)由接口的工作属性决定,而非设备本身。同一设备的不同接口可配置不同属性。
| 类型 | 工作层级 | 关键特性 | 应用场景 | 配置要点补充 |
|---|---|---|---|---|
| 物理接口 | L1 | 设备实际存在的硬件端口(电口/光口) | 所有部署模式的基础连接单元 | - 需绑定安全域(Trust/Untrust/DMZ等) - 支持切换为:路由口/透明口/虚拟网线口/镜像口(核心!) |
| 子接口 | L3 | 在物理接口上虚拟的逻辑接口(如 ge0/0.10) |
单臂路由场景:通过一个物理接口处理多VLAN流量 | - 需配置VLAN ID - 独立IP地址和安全域 - 父接口需为路由口 |
| VLAN接口 | L3 | 三层VLAN虚接口(如 vlan10) |
作为VLAN网关,实现跨VLAN路由 | - 需先创建VLAN - 配置IP地址作为该VLAN的网关 |
| 聚合接口 | L2/L3 | 将多个物理接口绑定为逻辑接口(如 agg1) |
提升带宽冗余性(链路聚合) | - 支持静态/LACP聚合协议 - 可配置为路由属性(需配IP)或透明属性(无IP) |
5.物理接口的4种工作模式
5.1 路由接口
1.定义
路由接口是设备(防火墙 / 路由器等)用于 网络层数据转发、路由交互 的网口,承担 “转发数据包 + 执行路由策略 + 嵌入安全防护” 职责,适配多样网络场景(如静态 IP、ADSL 拨号 )。
2. ADSL 拨号(物理接口的一种工作模式)
3.管理口
4.子接口
5. vlan接口
6.注意事项
5.2 透明接口
5.3 虚拟网线接口
5.4 聚合接口
6. 区域
腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。
更多推荐
29
0- 0
已为社区贡献2条内容
所有评论(0)