部署旁路(Tap)模式
通常情況下,設備在網絡部署上會串聯到網絡中,以直路的方式對網絡流量進行分析、控制以及轉發。但是,如果僅需要使用部分功能,例如IPS、防病毒、監控及網絡行為控制等,既可以使防火牆工作在直路模式下,也可以工作在旁路模式下。
設備工作在旁路模式下時,僅對流量進行統計、掃描或者記錄,并不對流量進行轉發,同時,網絡流量也不會受到設備本身故障的影響,所以,對于僅有審計需求的情況,使用旁路模式将會更加有效合理。
旁路模式将物理接口綁定到Tap域(旁路模式功能域)的方式實現。綁定後,該物理接口就成為旁路接口,此時,設備對從旁路接口收到的流量進行統計、掃描或者記錄,即可實現旁路模式。下圖為Hillstone設備旁路模式工作原理示意圖。
使用網線将交換機的e0接口與設備的e1接口連接,設備以旁路模式部署在網絡中。e1為設備的旁路接口,e2為設備的旁路控制接口;e0為交換機的鏡像接口。
在本設備上配置旁路模式之前,需要在主幹網絡的交換機上配置,使交換機通過e0接口将網絡流量鏡像到e1上,從而使設備能夠對e1接收到的流量進行統計、掃描和記錄。
此處以利用旁路模式,實現IPS監控為例,介紹旁邊路模式的操作。
步驟一:創建Tap安全域,綁定接口1、選擇“網絡 > 安全域”,點擊“新建”。
2、點擊“确定”。
步驟二:創建IPS規則1、選擇“對象 > IPS“ 。
2、點擊“新建”,在彈出的對話框輸入規則名稱。
3、在特征集配置部分配置特征集。
4、在協議配置部分配置協議。
5、點擊“确定”按鈕,完成IPS規則配置。
步驟三:将IPS規則添加到Tap安全域1、選擇“網絡 > 安全域”,然後雙擊打開上面創建的安全域。
2、在<威脅防護>标簽頁,啟用IPS功能,并綁定剛剛創建的IPS規則。
3、點擊“确定”按鈕。
步驟四(可選):配置控制接口阻斷流量控制接口用于發送控制報文(目前可以發送TCP RST控制報文)。在旁路設備中配置IPS、病毒過濾或者網絡行為控制的阻斷功能後,如果設備檢測到攻擊、病毒或者訪問受限網站的行為,就會通過旁路控制接口向幹路設備發送TCP RST控制報文,重置TCP連接,從而對流量進行阻斷。默認情況下,旁路控制接口為旁路接口本身。
旁路控制接口隻能在命令行界面中配置,不能在WebUI界面配置。
在旁路接口配置模式下使用以下命令:
- tap control-interface interface-nameinterface-name – 指定接口名稱。
在旁路接口配置模式下,使用no tap control-interface命令取消旁路控制接口的指定。
結語以上就是今天的防火牆旁路模式部署介紹!
感謝閱讀,歡迎在評論區中發表自己不同的觀點,若有其他問題請在評論區留言,喜歡的朋友請多多關注轉發支持一下。
,
更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!