部署旁路(Tap)模式
通常情况下,设备在网络部署上会串联到网络中,以直路的方式对网络流量进行分析、控制以及转发。但是,如果仅需要使用部分功能,例如IPS、防病毒、监控及网络行为控制等,既可以使防火墙工作在直路模式下,也可以工作在旁路模式下。
设备工作在旁路模式下时,仅对流量进行统计、扫描或者记录,并不对流量进行转发,同时,网络流量也不会受到设备本身故障的影响,所以,对于仅有审计需求的情况,使用旁路模式将会更加有效合理。
旁路模式将物理接口绑定到Tap域(旁路模式功能域)的方式实现。绑定后,该物理接口就成为旁路接口,此时,设备对从旁路接口收到的流量进行统计、扫描或者记录,即可实现旁路模式。下图为Hillstone设备旁路模式工作原理示意图。
使用网线将交换机的e0接口与设备的e1接口连接,设备以旁路模式部署在网络中。e1为设备的旁路接口,e2为设备的旁路控制接口;e0为交换机的镜像接口。
在本设备上配置旁路模式之前,需要在主干网络的交换机上配置,使交换机通过e0接口将网络流量镜像到e1上,从而使设备能够对e1接收到的流量进行统计、扫描和记录。
此处以利用旁路模式,实现IPS监控为例,介绍旁边路模式的操作。
步骤一:创建Tap安全域,绑定接口1、选择“网络 > 安全域”,点击“新建”。
2、点击“确定”。
步骤二:创建IPS规则1、选择“对象 > IPS“ 。
2、点击“新建”,在弹出的对话框输入规则名称。
3、在特征集配置部分配置特征集。
4、在协议配置部分配置协议。
5、点击“确定”按钮,完成IPS规则配置。
步骤三:将IPS规则添加到Tap安全域1、选择“网络 > 安全域”,然后双击打开上面创建的安全域。
2、在<威胁防护>标签页,启用IPS功能,并绑定刚刚创建的IPS规则。
3、点击“确定”按钮。
步骤四(可选):配置控制接口阻断流量控制接口用于发送控制报文(目前可以发送TCP RST控制报文)。在旁路设备中配置IPS、病毒过滤或者网络行为控制的阻断功能后,如果设备检测到攻击、病毒或者访问受限网站的行为,就会通过旁路控制接口向干路设备发送TCP RST控制报文,重置TCP连接,从而对流量进行阻断。默认情况下,旁路控制接口为旁路接口本身。
旁路控制接口只能在命令行界面中配置,不能在WebUI界面配置。
在旁路接口配置模式下使用以下命令:
- tap control-interface interface-nameinterface-name – 指定接口名称。
在旁路接口配置模式下,使用no tap control-interface命令取消旁路控制接口的指定。
结语以上就是今天的防火墙旁路模式部署介绍!
感谢阅读,欢迎在评论区中发表自己不同的观点,若有其他问题请在评论区留言,喜欢的朋友请多多关注转发支持一下。
,