简介
现在的防火墙具备灵活的网络适应能力,支持:路由模式、 透明模式、虚拟网线模式、混合模式、旁路模式。
AF接口:
1、根据接口属性分为:物理接口、子接口、vlan接口、聚合接口
其中物理口可选择为:物理口、透明口、虚拟网线口、旁路镜像口
2、根据接口不同工作层面,可以划分为:二层区域、三层区域、虚拟网线区域
AF的部署模式是由各个接口的属性决定的。
路由接口:
需要给该接口配置ip地址,且改接口具有路由转发功能。
透明接口:
透明接口相当于普通的交换网口,不需要配置ip地址,不支持路由转发,根据MAC地址表转发数据。
虚拟网线接口:
虚拟网线接口也是普通的交换接口,不能配置ip地址,不支持路由转发,转发数据时,也无需检查MAC表,直接从虚拟网线配对的接口转发。
虚拟网线接口的转发性能高于透明接口,单进单出,双进双去等成对出现的网桥环境下,推荐虚拟网线接口部署。
旁路镜像接口:
旁路镜像接口不能配置ip地址,也不支持数据转发,只是用来接受从外部镜像过来的镜像数据。镜像接口可以配置多个,根据现场实际业务场景需要接受的数据情况进行选择。
聚合接口:
将多个以太网接口捆绑在一起所形成的逻辑接口,创建的聚合接口成为一个逻辑接口,而不是底层的物理接口。
子接口:
子接口应用于路由接口需要vlan或trunk的场景。子接口是逻辑接口,只能在路由口下添加子接口。
vlan接口:
为vlan定义ip地址,则会产生vlan接口。vlan接口也是逻辑接口。
区域:
用于定义和归类接口,以供各类安全策略等模块调用。一个接口只能属于一个区域,而一个区域可以有多个接口。
trust区域:内网 untrust区域:外网
DMZ区域:“隔离区”也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。
组网模式
路由模式组网
单臂路由模式
但不路由是指在路由器的一个接口上通过配置子接口(逻辑接口,并不存在真正的物理接口)的方式,实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通。
透明模式组网
虚拟网线部署是透明部署中另外一种特殊情况:
和透明部署一样,接口是二层接口,但是被定义成虚拟网线接口。
虚拟网络接口必须成对存在,转发数据时,无需检查MAC表,直接从虚拟网线配对的接口转发。
虚拟网线接口的转发性能高于透明接口,单进单出网桥的环境下,推荐使用虚拟网线接口部署。
