一、为什么可视是安全的基础
下一代防火墙的最大优点之一就是实现了可视化界面
“如果你真想保护你的网络,你就必须真正了解你的网络。你必须了解其中的设备、安全技术和各种组成部分。”
——罗布·乔伊斯(Rob Joyce)
二、如何实现安全可视
三、下一代防火墙的主要功能
1.传统防火墙的包过滤,状态过滤等功能
2.增强应用控制(DPI)
3.入侵防护
4.恶意代码防护
5.web攻击防护
6.信息泄露防护
四、下一代防火墙应用场景全景架构图
五、web安全场景
1.资产发现:基于自动化的流量识别分析,发现网络中被遗漏或新增的资产情况,明确需要防护资产
2.脆弱性发现:针对发现的资产,通过本地的web扫描、实时漏洞以及云端的云扫描、渗透测试等功能发现这些资产的脆弱性,再针对性的配置防护策略
六、部署模式简介
下一代防火墙具备灵活的网络适应能力,支持路由模式、透明模式、虚拟网线模式、混合模式、旁路模式。
1.透明模式
(1)特点
- 二层设备
- 接口不需要IP,可配置管理IP
- 学习MAC,组建MAC表,依据MAC表转发数据
- 数据是否放行取决于安全策略,同路由模式一样
(2)优点
- 加入防火墙,可以不改变网络IP规划,原路由邻居关系
- 交换环境中加入防火墙,防火墙可以转发非IP数据和多播/广播数据
2.路由模式
- 三层安全区域于三层接口映射
- 数据转发安全策略制定
- 目的路由选择
- 策略路由选择
- NAT
3.混合模式
- 三层安全区域与三层接口映射
- 二层安全区域与二层接口映射
- 同时执行路由模式与透明模式
4.虚拟网线模式
- 逻辑上,它不参与IP路由。它不配置自己的IP地址(除了管理接口),也不作为网关或下一跳。
- 数据包原封不动地从一个物理接口进入,从另一个物理接口转发出去(就像通过一根网线连接一样)。设备本身不修改数据包的源/目的IP地址或MAC地址
七、部署接口--部署模式由各个接口的熟悉决定的
根据接口属性分为:物理接口、子接口、VLAN接口、聚合接口
根据接口工作区域划分为:二层区域口、三层区域口、虚拟网线区域口
1.物理接口
物理接口与NGAF设备面板上的接口一一对应,根据网口转发特性不同,物理口可选择为:路由口、透明口、虚拟网线口、镜像口,前三种接口又可设置WAN或非WAN属性
2.路由接口
如果设置为路由接口,则需要给该接口配置IP地址,且该接口具有路由转发功能,Eth0为固定的管理口,接口类型为路由口,且无法修改,Eth0可增加管理IP地址
3.透明接口
透明接口相当于普通的交换网口,不需要配置IP地址,不支持路由转发,根据MAC地址转发表转发数据,当接口配置WAN时,需要注意上架时接线方向,内外口接反会导致部分功能失效
4.虚拟网线接口
虚拟网线接口也是普通的交换接口,不需要配置IP地址,不支持路由转发,转发数据时,无需检查MAC表,直接从虚拟网线配对的接口转发,虚拟网线接口的转发性能高于透明接口,单进单出网桥的环境下,推荐使用虚拟网线接口部署
5.注意事项
(1)设备支持配置多个WAN属性的路由接口连接多条外网线路,但是需要开通多条线路的授权
(2)管理口不支持设置透明接口或虚拟网线接口,如果要设置两对或两对以上的虚拟网线接口,则必须要求设备不少于五个物理接口,预留一个专门管理口Eth0
(3)一个路由接口下添加多个子接口,路由接口的IP地址不能与子接口的IP地址在同网段
八、部署区域
1.什么是区域
(1)用于定义和归类接口,以供防火墙、内容安全、服务器保护等模块调用
(2)定义区域时,需根据控制的需求来规划,可以将一个接口划分到一个区域,或将几个相同需求的接口划分到同一区域,一个接口只能属于一个区域
2.DMZ区域
指位于组织内部可信网络(如公司内网)和外部不可信网络(如互联网)之间的一个隔离的、半可信的网络区域。也称为“隔离区”或“屏蔽子网”,主要目的是将需要对外提供服务的服务器(如Web服务器、邮件服务器、FTP服务器)放置在一个相对独立、风险可控的区域,避免将它们直接暴露在互联网上或放在高度敏感的内部网络中。
3.Trust区域
指组织内部受信任的网络区域,包含需要高度保护的敏感资源。 该区域内的设备、用户和流量被认为是相对安全、可信赖)。通常存放最核心、最敏感的资产, 严防外部攻击和未授权访问进入此区域,是网络安全防御体系的“最后防线”。
4.Untrust区域
指组织无法控制、不可信赖的网络范围。例如:公共互联网、未经认证的访客WiFi网络、移动网络(4G/5G等公共接入点)。充斥恶意扫描、攻击工具、僵尸网络、未授权访问尝试。无法对其中的设备、用户或流量实施安全管理策略。所有源自Untrust区域的流量均需严格审查和过滤。