安盟华御 下一代防火墙 部署位置

说明：安盟防火墙和安盟信息防火墙都是指安盟华御防火墙

安盟华御 下一代防火墙 部署位置

防火墙应部署在哪里？

防火墙推荐使用在某个区域的网关或与外网接入处，一般来说，外部网络是最具有威胁的。当所有外网流量进入内网时都需要经过边界网关。由此来说防火墙放置的最佳位置应为与外网接入的地方。如果内网某一区域对安全性有高要求也可放置防火墙。但要注意，所有防火墙应放在区域与区域相接处。

防火墙部署方式有哪些？

防火墙能够工作在三种模式下：路由模式、透明模式和旁路模式。如果防火墙以第三层对外连接（接口具有IP 地址），则认为防火墙工作在路由模式下；若防火墙通过第二层对外连接（接口无IP 地址），则防火墙工作在透明模式下；若防火墙在完全不影响原网络运行的情况下部署，则防火墙工作在旁路模式下。

什么是路由模式？

当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络区域相连的接口分别配置成不同网段的IP 地址，重新规划原有的网络拓扑，此时相当于一台路由器。也就是说，路由模式防火墙连接两个不同的子网。

路由模式使用在什么情况下？

在网络出口需要定义一些访问控制列表（ACL）来对内外网访问进行更严格的要求时，采用路由模式时，路由模式防火墙可以完成ACL 包过滤、NAT 转换等功能。

路由模式下无法访问外网？

如出现该情况可检查路由表，执行show ip route命令查看路由表中是否存在外网路由，如路由表正常，查看防火墙安全策略，在防火墙设备中默认安全策略为deny，需要手工设定放行条目，执行show running-config policy命令查看防火墙安全策略。

什么是透明模式？

透明模式防火墙进行工作时，可以避免改变拓扑结构造成的麻烦，此时防火墙对于子网用户和路由器来说是完全透明的。也就是说，用户完全感觉不到防火墙的存在。

透明模式无效果？

检查物理接口是否划入到了bvi接口中，show running-config interface查看当前接口下信息。

透明模式的工作原理？

在透明模式下，防火墙将流过的所有二层数据进行解封装，把数据根据用户定义的规则进行从二层到四层的过滤。但与路由模式不同的是，防火墙会将过滤后的数据重新用原来的二层源地址和目的地址再封装成帧进行转发，而不改变数据帧的源地址和目的地址。

透明模式的实用性在哪里？

透明模式防火墙一般使用在原网络拓扑在已经完善的情况下增添防火墙。配置透明模式防火墙，防火墙相当于二层设备。可以将防火墙的多个接口连接到相同子网。可以在不更改其他设备的路由网关对网络进行保护。减少工作量。

什么是旁路模式？

旁路模式在不更改原网络部署环境的前提下使用。旁路模式防火墙将通过的流量进行监听、审计等作用。

使用旁路模式的好处是什么？

旁路模式部署不会大范围影响原网络拓扑结构。只需在原出口设备连接上防火墙即可。

查看防火墙日志信息为空时怎么处理？

查看旁路模式防火墙审计日志时无相应显示，该情况可查看策略配置，执行show running-config policy命令于查看防火墙的部署策略。

部署防火墙有什么好处？

防火墙具有很好的保护网络安全的效果。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置多种策略，如控制端口、协议、应用等。

为什么防火墙配置正确但是数据无法通过？

防火墙默认存在一条全拒绝的控制策略，使用防火墙时应先注意安全策略是否匹配。