交换机配置防火墙的功能原理是什么?

[复制链接]

975

主题

975

帖子

629

积分

高级会员

Rank: 4

积分
629
分享到:
发表于 2022-12-2 16:10:07 | 显示全部楼层 |阅读模式
一、基本概念
1.透明模式
防火墙表现为透明网桥,根据接口、VLAN ID和MAC进行转发,不改变原有网络IP地址规划,改动量小,适合旧网改造,或者新加入FW卡。
2.路由模式
防火墙表现为三层网络设备,根据路由表和报文的目的IP地址选路转发,可以把FW当做一台独立的路由器,通常需要部署路由协议。
3.故障切换对
两台防火墙设备处于主用/备用(Active-Standby)的模式。主用设备(Active)处理所有的安全业务功能,另外一台作为备份处于备用(Standby)的模式。当主用设备出现故障的时候,备用设备可以在短时间内接管流量,实现秒级切换,大部分的业务应用都不会感知到这一变化,主备之间的关系即故障切换对(failover),或称HA。
4.安全域
一种高级访问控制方法,传统ACL规划方法是在接口下从IP-A到IP-B,安全域的规划方法是在全局从域A到域B匹配某规则。把一个大规模的复杂系统的安全问题,转化为更小区域的安全保护问题,规划域的范围,基于整体的一个域来控制访问的策略。
5.应用安全域
由RG-SMP安全管理平台、RG-ePortal网络访问门户系统、防火墙卡、支持GSN的接入交换机、RG-SA安全代理客户端软件、RG-SU认证客户端软件组成的综合。
安全解决方案
二、透明模式
防火墙卡插入到机箱后,为了让需要保护的数据流进入防火墙卡,需要修改拓扑配置进行引流,有透明模式和路由模式两种。
透明模式指的是引流后防火墙表现为透明网桥,根据接口、VLAN

ID和MAC进行转发,不改变原有拓扑的IP和路由规划。引流后,防火墙将默认进行数据包的TCP全状态检查,防TearDrop、Smurf、异常TCP

Flag、Ping Of Death 4种攻击功能。
1.优点
引流后能够转发IPv4、IPv6的单播、组播和广播
单张防火墙卡时配合交换机的Bypass功能,遇到防火墙卡故障时能自动旁路
2.缺点
每个进入防火墙的VLAN需要交换机上多提供VLAN,消耗VLAN资源
不能使用NAT功能
三、路由模式
路由模式指的是交换机和防火墙卡之间采用互为下一跳指路由的方式通信,可以把此时的FW卡当做一台独立的路由器,通常需要与交换机间运行某种路由协议
1.优点
能够支持三层网络设备的多种功能,NAT、动态路由、策略路由、VRRP等
能够通过VRRP多组的方式实现多张防火墙卡的冗余和负载分担
2.缺点
不能转发IPv6和组播包
部署到已实施网络中需要重新改动原有地址和路由规划,改动量大,所以通常适用新建网络项目

使用高级回帖 (可批量传图、插入视频等)快速回复

您需要登录后才可以回帖 登录 | 注册

本版积分规则   Ctrl + Enter 快速发布  

发帖时请遵守我国法律,网站会将有关你发帖内容、时间以及发帖IP地址等记录保留,只要接到合法请求,即会将信息提供给有关政府机构。
快速回复 返回顶部 返回列表