企业中深信服防火墙旁挂部署_深信服防火墙旁路模式-CSDN博客

本文链接：https://blog.csdn.net/qq_17202735/article/details/125939185

本文详细介绍了在企业网络中采用深信服防火墙进行旁挂部署的方案，旨在增强网络安全。通过策略路由将特定流量重定向至防火墙进行过滤，避免全网流量处理，减少了网络改造的需求。配置包括核心交换机接口设置、ACL及流策略配置，确保流量正常进出并实现异常流量的检测与过滤。同时，使用NQA配置进行流量监测，确保策略路由的稳定性和冗余性。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

一、方案背景
因为现在所在的企业中原网络架构中无防火墙，出于网络安全考虑。现增加一台深信服防火墙实现安全防护功能，最小改动现在网络情况下，于是采取防火墙旁挂方法，通过引流的方式把要防护的流量引流到防火墙，防火墙做路由部署模式，进出的流量在防火墙上过滤一遍之后再进入互联网或内网中。

 此部署好处如下：
a)只引流需要防护的流量即可，如果是透明模式部署，可能所有经过的流量都需要防护
b)不用做网络改造，特别是对于直连核心的网络设备。

二、部署方案

在这里插入图片描述

1、业务流量从各业务服务器业务网段进入核心交换机上行端口

2、进入核心交换机内部的业务流量经策略路由引导从核心交换机的防火墙接入端口（LAN口）进入防火墙

    2.1、如果防火墙无异常则业务流量正常进入防火墙

    2.2、如果防火墙接入端口无法接通则业务流量经缺省路由直接导向核心交换机的流量出口

3、业务流量经接入端口进入防火墙后，由防火墙过滤异常流量

4、经防火墙过滤后的业务流量根据防火墙路由表由防火墙的接出端口（WAN口）到达核心交换机

5、经防火墙过滤后的业务流量进入核心交换机后，经过路由转发和数据交换机后到达各个接入交换机。

6、客户端访问业务的流量则反过来，先从防火墙WAN口进，然后从LAN口出去到核心交换机。

四、具体配置（策略路由配置）

1.核心交换机部分

核心CORE交换机接WAN口的接口
interface GigabitEthernet 0/0/1
ip address 10.1.1.1 255.255.255.0

核心CORE 交换机LAN口的接口
interface GigabitEthernet 0/0/2
ip address 10.1.2.1 255.255.255.0

b）流量重定向设置（配置流策略，服务器出去（用户访问服务器的回包流量）的流量重定向到防火墙）：
#创建ACL
ACL number 3010
Rule 5 permit ip source 192.168.0.0 0.0.255.255

#配置流策略
traffic classifier G1 operator or precedence 10
if-match acl 3010

配置流行为，将流量重定向到防火墙LAN口。

traffic behavior tofire01
permit
Redirect ip-nexthop 10.1.1.2

配置流策略并应用到接口的入方向上。

Traffic policy F1 match-order config
classifier G1 behavior tofire01

interface Eth-Trunk1 （内网所在接口）
Port link-type trunk
Port trunk allow-pass vlan 2 to 4094
traffic-policy F1 inbound

c）流量重定向设置（配置流策略，用户主动访问服务器的流量重定向到防火墙）：

创建ACL。

acl number 3011
rule 5 permit ip destination 192.168.0.0 0.0.255.255

配置流分类。

Traffic classifier G2 operator or precedence 15
if-match acl 3011

配置流行为，将流量重定向到防火墙WAN口。

Traffic behavior tofire02
permit
redirect ip-nexthop 10.1.2.2

配置流策略并应用到接口的入方向上。

traffic policy F2 match-order config
Classifier G2 behavior tofire02

Interface vlan1000 （核心上联口）
ip address 192.168.200.1 255.255.255.0
traffic-policy F2 inbound

五、NQA配置
[CORE]nqa test-instance admin01 F1_icmp //创建一个nqa测试实例，测试管理账户名为admin01,测试实例名称为F1_icmp
[CORE-nqa-admin01-F1_icmp] test-type icmp //测试类型为icmp协议测试
[CORE-nqa-admin01-F1_icmp] frequency 10 //指定连续两次探测时间间隔为10s
[CORE-nqa-admin01-F1_icmp] probe-count 2 //指定一次探测进行的测试次数
[CORE-nqa-admin01-F1_icmp] Destination-address ipv4 10.1.1.2 //要测试的对端ip地址
[CORE-nqa-admin01-F1_icmp] start now //启动当前测试例
[CORE-nqa-admin01-F1_icmp] quit

在配置流行为设置下一跳，并配置NQA检测
traffic behavior tofire01
permit
Redirect ip-nexthop 10.1.1.2 track nqa admin01 F1_icmp

[CORE] ip route-static 0.0.0.0 0.0.0.0 192.168.200.2
配置除了策略路由未匹配的流量的路由；走默认路由
并当策略路由失效的时候，所有流量将通过默认路由走出去，起到冗余作用