华为USG6000系列下一代防火墙最常用的一种部署场景,设备作为三层网关,部署在全新网络中或者替代原有网络中的路由器或防火墙,实现内外网通信的同时进行安全防护。
在这个场景中,设备的业务接口工作在三层(网络层)。所有三层接口的IP地址不能在同一网段。每个接口都需要连接一个独立的网段,设备通过路由协议转发各个网段之间的报文。因此,这种部署方式常被称为“路由模式”。
这种场景下,业务接口的IP地址常作为所连网段中PC的默认网关。因此,将设备作为三层路由网关时,有可能需要改变现有网络的拓扑结构、路由信息以及PC上的网关配置。如果原网络中已经存在一个网关设备,本次部署需要将其替代,建议在NGFW上继承原有网关上的网络层协议相关的配置,例如IP地址、路由协议、DHCP等。从而避免修改周边网络设备的配置。
当设备作为三层路由网关部署在内外网之间时,通常还需要负责内网的私网地址与外网的公网地址之间的转换,如图1所示,因此这种部署方式又常被称为“NAT模式”。因为NGFW实现了切换业务接口的工作层次,所以无需通过整机切换工作模式来实现传统意义上的“路由模式/NAT模式”或者“透明模式”。在NGFW中,只要接口工作在三层,就可以实现三层路由网关的功能;接口工作在二层,就可以实现二层透明网桥的功能。
因此,在NGFW中可以使用部分三层接口来进行三层路由网关的部署,再使用二层接口来进行二层透明桥接的部署。两者可以共存。
将设备作为三层路由网关部署的最大优势在于:设备可以配置的功能更多,对报文的处理机制更加完善,对网络的安全防护能力更强。在后续的内容中,将以图1所示的部署为基础,介绍这个场景的初始化步骤。
发表评论