部署方式那么多,该怎么选?——安全网关类产品的部署

安全网关类产品众多,下面,我们以最常见的下一代防火墙(NGFW)产品为例,介绍一下安全网关类设备的部署方式。

多数下一代防火墙支持四种模式的部署,分别为
透明模式(二层在线模式)、
路由模式(三层在线模式)、
混合在线模式、
旁路模式。

对于下一代防火墙产品,主要的部署形式还是在线部署。只有在线部署模式才能很好的把恶意流量拒之门外,旁路模式更多的是起到一个监听流量的作用,并不能阻断恶意流量。有的宣称可以旁路阻断的设备,基本上就是向对端设备发送一些干扰包,并不会起到很好的威胁阻断作用。

在线模式的三种场景是以数据在OSI模型中的哪层进行转发划分的。我们需要知道无论设备是在二层还是三层进行转发,数据包中包含的数据并没有改变,所以对流量的检测结果并不会有变化。

透明模式(二层在线模式)

二层转发适用于什么场景呢?大家都知道二层转发是不需要IP寻址的,通过MAC地址作为传输依据。如果NGFW设备不需要IP地址,那么原网络中的IP地址规划就不会改变。在不改变IP地址规划的情况下,即可将安全设备部署到原有拓扑,这种操作简直棒棒哒~是网络拥有者愿意看到的~所以说,在不改变原有网址规划的前提下部署NGFW,可以将NGFW设备以二层模式接入网络。

上图为二层透明模式部署的典型应用,可以看出NGFW上并没有使用任何IP地址。这里的eth1和eth2分别连接内部和外部,划分到同一个VLAN中,这样两个接口可以通信,安全策略得以执行。

路由模式

第二种模式就是设备部署在三层了,就是接口有IP地址,通过IP路由的方式与其他网络设备通信。所以,NGFW可以充当网关设备,做一些路由和NAT的工作。某种程度上说,NGFW既解决安全问题,又解决了与外部网络对接问题,而且还简化了网络复杂度,一举好几得~所以说,在网络规划初期即考虑部署下一代防火墙,并且主机之间需要通信或者与外界进行三层通信,则可以采用这种模式接入。

混合模式

下面有一个场景,大家可以看一看。
公司网络规划时,开发和测试两个部门都在同一个网段,但因为工作属性不同,需要将两个部门的网络进行逻辑隔离。同时,这两个部门还都需要与外网相连,上网查阅资料等。这就产生了上面两种形式的结合,既要在二层进行隔离,又要在三层进行隔离。

 


eth1、eth2、eth3分别划分到三个不同的安全域,NGFW对域间通信进行检测和控制。我们可以看到,混合模式能够兼具透明模式和路由模式的特点。

旁路模式

最后说下旁路部署,旁路只能对流量进行监听和分析,并不能对流量进行控制和阻断,对于下一代防火墙产品来说,有点儿大材小用了,并不是一种常见的部署方式。但是,有时,需要收集和了解网络访问与攻击信息,为后续在线部署提供优化配置参考;还有,进行在线部署之前,需要测评NGFW可靠性的时候,还是需要进行旁路部署的。所以我们还是需要了解一下旁路部署的,比较简单。
 

流量经过交换机配置流量镜像或者使用分光器,将流量导入到NGFW设备,就可对流量进行检测了。

以上就是四种部署方式,能够满足全部部署需求,具体需要哪一种部署方式,可以根据现场情况进行选取。此外,还有一个功能与部署有关,叫高可用性(HA),双机备份,提高网络健壮性,这里先卖个关子,这次先不对其进行介绍了,后续再进行介绍。

敲黑板,划重点!!!

上面说了这么多,结尾精炼总结一下:

模式选取不用愁,对应场景要记牢。
透明模式真方便,无需  IP  就能防。
路由模式在三层,既当网关又当墙。
混合模式较复杂,透明路由齐飞翔。
旁路模式较少用,监听数据能力强。