部署旁路(Tap)模式通常情况下,设备在网络部署上会串联到网络中,以直路的方式对网络流量进行分析、控制以及转发。但是,如果仅需要使用部分功能,例如IPS、防病毒、监控及网络行为控制等,既可以使防火墙工作在直路模式下,也可以工作在旁路模式下。 设备工作在旁路模式下时,仅对流量进行统计、扫描或者记录,并不对流量进行转发,同时,网络流量也不会受到设备本身故障的影响,所以,对于仅有审计需求的情况,使用旁路模式将会更加有效合理。 旁路模式将物理接口绑定到Tap域(旁路模式功能域)的方式实现。绑定后,该物理接口就成为旁路接口,此时,设备对从旁路接口收到的流量进行统计、扫描或者记录,即可实现旁路模式。下图为Hillstone设备旁路模式工作原理示意图。 使用网线将交换机的e0接口与设备的e1接口连接,设备以旁路模式部署在网络中。e1为设备的旁路接口,e2为设备的旁路控制接口;e0为交换机的镜像接口。
此处以利用旁路模式,实现IPS监控为例,介绍旁边路模式的操作。 步骤一:创建Tap安全域,绑定接口1、选择“网络 > 安全域”,点击“新建”。 2、点击“确定”。 步骤二:创建IPS规则1、选择“对象 > IPS“ 。 2、点击“新建”,在弹出的对话框输入规则名称。 3、在特征集配置部分配置特征集。 4、在协议配置部分配置协议。 5、点击“确定”按钮,完成IPS规则配置。 步骤三:将IPS规则添加到Tap安全域1、选择“网络 > 安全域”,然后双击打开上面创建的安全域。 2、在<威胁防护>标签页,启用IPS功能,并绑定刚刚创建的IPS规则。 3、点击“确定”按钮。 步骤四(可选):配置控制接口阻断流量控制接口用于发送控制报文(目前可以发送TCP RST控制报文)。在旁路设备中配置IPS、病毒过滤或者网络行为控制的阻断功能后,如果设备检测到攻击、病毒或者访问受限网站的行为,就会通过旁路控制接口向干路设备发送TCP RST控制报文,重置TCP连接,从而对流量进行阻断。默认情况下,旁路控制接口为旁路接口本身。 旁路控制接口只能在命令行界面中配置,不能在WebUI界面配置。 在旁路接口配置模式下使用以下命令:
在旁路接口配置模式下,使用no tap control-interface命令取消旁路控制接口的指定。 结语以上就是今天的防火墙旁路模式部署介绍! |
|