【交换机】配置防火墙的功能原理是什么？

发布时间：2013-11-16

点击量：16593

1.1基本概念
透明模式
防火墙表现为透明网桥，根据接口、VLAN ID和MAC进行转发，不改变原有网络IP地址规划，改动量小，适合旧网改造，或者新加入FW卡
路由模式
防火墙表现为三层网络设备，根据路由表和报文的目的IP地址选路转发，可以把FW当做一台独立的路由器，通常需要部署路由协议
故障切换对
两台防火墙设备处于主用/备用（Active-Standby）的模式。主用设备（Active）处理所有的安全业务功能，另外一台作为备份处于备用（Standby）的模式。当主用设备出现故障的时候，备用设备可以在短时间内接管流量，实现秒级切换，大部分的业务应用都不会感知到这一变化，主备之间的关系即故障切换对(failover)，或称HA
安全域
一种高级访问控制方法，传统ACL规划方法是在接口下从IP-A到IP-B，安全域的规划方法是在全局从域A到域B匹配某规则。把一个大规模的复杂系统的安全问题，转化为更小区域的安全保护问题，规划域的范围，基于整体的一个域来控制访问的策略
应用安全域
由RG-SMP安全管理平台、RG-ePortal网络访问门户系统、防火墙卡、支持GSN的接入交换机、RG-SA安全代理客户端软件、RG-SU认证客户端软件组成的综合
安全解决方案

1.2透明模式
防火墙卡插入到机箱后，为了让需要保护的数据流进入防火墙卡，需要修改拓扑配置进行引流，有透明模式和路由模式两种
透明模式指的是引流后防火墙表现为透明网桥，根据接口、VLAN ID和MAC进行转发，不改变原有拓扑的IP和路由规划。引流后，防火墙将默认进行数据包的TCP全状态检查，防TearDrop、Smurf、异常TCP Flag、Ping Of Death 4种攻击功能
优点
引流后能够转发IPv4、IPv6的单播、组播和广播
单张防火墙卡时配合交换机的Bypass功能，遇到防火墙卡故障时能自动旁路
缺点
每个进入防火墙的VLAN需要交换机上多提供VLAN，消耗VLAN资源
不能使用NAT功能
防火墙流量引入方法

转发原理说明图

1.3路由模式
路由模式指的是交换机和防火墙卡之间采用互为下一跳指路由的方式通信，可以把此时的FW卡当做一台独立的路由器，通常需要与交换机间运行某种路由协议
优点
能够支持三层网络设备的多种功能，NAT、动态路由、策略路由、VRRP等
能够通过VRRP多组的方式实现多张防火墙卡的冗余和负载分担
缺点
不能转发IPv6和组播包
部署到已实施网络中需要重新改动原有地址和路由规划，改动量大，所以通常适用新建网络项目
路由模式部署原理图