USG6000系列华为下一代防火墙在不影响原有网络结构的基础上,作为二层桥接设备透明植入原有网络,进行二层交换和安全防护。
在这个场景中,设备的业务接口工作在二层(数据链路层),负责二层报文的转发。此时设备可以作为一台交换机一样部署在网络中,透明接入到原有的网关设备之后,在不改变原有网络结构和配置的前提下对流量进行安全防护,因此这种部署方式常被称为“透明模式”。
因为NGFW实现了切换业务接口的工作层次,所以无需通过整机切换工作模式来实现传统意义上的“路由模式/NAT模式”或者“透明模式”。在NGFW中,只要接口工作在三层,就可以实现三层路由网关的功能;接口工作在二层,就可以实现二层透明桥接的功能。
因此,在NGFW中可以使用部分三层接口来进行三层路由网关的部署,再使用二层接口来进行二层透明桥接的部署。两者可以共存。
将设备作为二层透明网桥部署的最大优势在于:透明植入原有网络,不改变网络拓扑和周边设备的配置,可以基于MAC地址对同一网段内的流量进行更深入的控制。但是,如果设备的所有接口都工作在二层,那么设备也将无法进行特征库升级等需要设备本身与外部网络通信的操作。因此将设备作为二层透明网桥部署时,应当保留一部分接口工作在三层,例如需要保证管理口工作在三层以使管理员可以登录设备。在后续的内容中,将以图1所示的部署为基础,介绍这个场景的初始化步骤。
发表评论