L1学习地图_4.2_下一代防火墙组网方案_Ver6.1.pptxVIP

第4章4.2 下一代防火墙组网方案版权所有? 2020深信服科技股份有限公司第1页客户服务部 目录下一代防火墙组网方案4.2.1 下一代防火墙组网简介4.2.2 下一代防火墙组网方案4.2.3 策略路由解决方案版权所有? 2020深信服科技股份有限公司第2页 部署模式简介虚拟化服务器数据中心边界云安全服务SandBox在线专家云扫描未知威胁检测硬件服务器云监测下一代防火墙下一代防火墙威胁情报快速响应微信公众号管理中心安全可视化平台集中管理平台运维界面安全云数据中心区互联网接入区分支接入区软件定义安全下一代防火墙下一代防火墙下一代防火墙核心交换核心交换应用服务区下一代防火墙下一代防火墙AF基本应用场景版权所有? 2020深信服科技股份有限公司第3页 部署模式简介下一代防火墙具备灵活的网络适应能力，支持：路由模式、透明模式、虚拟网线模式、混合模式、旁路模式。路由模式透明模式虚拟网线模式混合模式旁路模式镜像管理AFAFAFAF版权所有? 2020深信服科技股份有限公司第4页 接口AF有哪些接口？根据接口属性分为：物理接口、子接口、VLAN接口、聚合接口。 其中物理口可选择为：路由口、透明口、虚拟网线口、旁路镜像口。根据接口不同工作层面，可以划分为：二层区域、三层区域、虚拟网线区域。AF的部署模式是由各个接口的属性决定的。版权所有? 2020深信服科技股份有限公司第5页 物理接口 物理接口与AF设备面板上的接口一 一对应（eth0为manage口），根据网口数据转发特性的不同，可选择路由、透明、虚拟网线和旁路镜像4种类型，前三种接口又可设置WAN 或非WAN属性。物理接口无法删除或新增，物理接口的数目由硬件决定（个别平台支持可扩展）。版权所有? 2020深信服科技股份有限公司第6页 路由接口部分功能要求出接口是WAN属性，比如流控、流审等。设置接口的下一跳网关，用于链路故障检测，并不会自动生成0.0.0.0的缺省路由，需手动添加缺省路由。接口的线路带宽设置与流量管理无关，用于策略路由根据接口带宽占用比例选路。实时检测接口的链路状态，以及多条外网线路情况下，某条线路故障，流量自动切换到其它线路，均需开启链路故障检测。路由接口：如果设置为路由接口，则需要给该接口配置IP地址，且该接口具有路由转发功能。用于管理设备接入的方式，比如登录设备控制台、后台及开启SNMP协议监控设备状态版权所有? 2020深信服科技股份有限公司第7页 路由接口ADSL拨号（PPPoE）：如果设置为路由接口，并且是ADSL拨号，需要选上添加默认路由选项，默认勾选。版权所有? 2020深信服科技股份有限公司第8页 路由接口管理口：Eth0为固定的管理口，接口类型为路由口，无法修改。eth0可增加管理IP地址，默认的管理IP 10.251.251.251/24如需修改，AF8.0.13版本后，可在【系统】-【通用配置】-【网络参数】中进行修改。版权所有? 2020深信服科技股份有限公司第9页 透明接口透明接口：透明接口相当于普通的交换网口，不需要配置IP地址，不支持路由转发，根据MAC地址表转发数据。部分功能要求接口是WAN属性，当接口设置成透明WAN口时，注意设备上架时接线方向，内外网口接反会导致需要WAN属性支持的功能失效。版权所有? 2020深信服科技股份有限公司第10页 虚拟网线接口虚拟网线接口：虚拟网线接口也是普通的交换接口，不能配置IP地址，不支持路由转发，转发数据时，也无需检查MAC表，直接从虚拟网线配对的接口转发。虚拟网线接口的转发性能高于透明接口，单进单出、双进双去等成对出现的网桥的环境下，推荐使用虚拟网线接口部署。版权所有? 2020深信服科技股份有限公司第11页 旁路镜像接口旁路镜像接口：旁路镜像接口不能配置IP地址，也不支持数据转发，只是用来接收从外部镜像过来的镜像数据。镜像接口可以配置多个，根据现场实际业务场景需要接收的数据情况进行选择。版权所有? 2020深信服科技股份有限公司第12页 聚合接口聚合接口：将多个以太网接口捆绑在一起所形成的逻辑接口，创建的聚合接口成为一个逻辑接口，而不是底层的物理接口。最多支持4个聚合接口不支持旁路镜像负载均衡：hash:按数据包源目的IP/MAC的hash值均分负载均衡：RR:直接按数据包轮转均分到每个接口主备模式：取eth最大号为主接口收发包，其余为备接口LACP：标准LACP协议对接，选择LACP选项后，可以支持基于：IP+MAC、IP+端口、MAC三种哈希策略，同时支持主动和被动两种模式。版权所有? 2020深信服科技股份有限公司第13页 子接口子接口：子接口应用于路由接口需要启用VLAN或TRUNK的场景。选择在哪个路由口下添加子接口。设置此子接口的VLAN ID设置子接口的IP地址子