如何通過旁路模式部署防火墻
offoce66 2022-04-20 13:29:07路由器
實現防護功能的同時,可以完全不需改變用戶的網絡環境,并且可以避免設備對用戶網絡造成中斷的風險。用于把設備接在交換機的鏡像口,保證外網用戶訪問服務器的數據經過此交換機,并且設置鏡像口的時候需要同時鏡像上下行的數據,從而實現對服務器的保護。
如下圖,防火墻設備旁路部署,內網接三層交換機,用戶網段為 192.168.2.0/24,服務器網段為 172.16.1.0/24,配置防火墻設備能夠對服務器進行 IPS防護、WEB 應用防護以及防止敏感信息的泄露。
配置管理口
旁路部署時,設備通過管理口來阻斷連接。通過『網絡配置』→ 『接口/區域』→『物理接口』,點擊 eth0,配置頁面如圖:
配置旁路鏡像口
通過『網絡配置』→『接口/區域』→『物理接口』,點擊eth1,配置頁面如圖:
接口[類型]選擇旁路鏡像。
[區域]選擇接口 eth1 所屬的區域。區域需要提前設置,本例選擇旁路區域,對于區域的設置請參考章節 3.2.1.4 區域設置。
[啟用旁路流量統計]用于開啟旁路鏡像口的流量統計,在[內網 IP 組]中選擇需要統計流量的內網 IP。
[高級配置]用來設置網口的工作模式,MTU,MAC 地址,如果需要修改,點擊設置,接口如下:
配置路由
需要配置一條到 0.0.0.0/0.0.0.0 的默認路由指向前置網關 192.168.1.1。
進入『網絡配置』→『路由』→『靜態路由』,配置頁面如下:
配置防護規則
通過『IPS』→『IPS』,新增 IPS 規則,配置頁面如圖:
旁路模式下,源區域和目的區域都要選擇旁路接口所在的區域,目的 IP 組選擇服務器網段所在的 IP 組即可。
基本配置完畢后,將設備接入網絡中,eth1 口連接三層交換機的鏡像口,eth0口接內網三層交換機的 VLAN99 范圍內的接口即可。
點個贊! ()
