爱快防火墙旁路管控

爱快技术支持05

网络拓扑：

网络拓扑说明：网络--路由--防火墙、客户机

实现目的：防火墙旁路部署，实现数据旁路管控。

防火墙配置：

配置防火墙接路由的接口。

网络--接口--物理接口，

【IP 地址】：当选择静态时，选择 IP 地址类型，地址类型为 IP 地址/掩码，192.168.3.2/24，此处IP地址网段需要和路由同网段。

【管理状态】：分为 UP 和 down，选择 UP 为开启此接口。

【管理访问】：设置此接口可以通过什么方式去访问此接口，根据需求进行勾选即可。

静态路由：

设置对应外网接口路由表信息。

【IP 地址/掩码】：设置 0.0.0.0/0。

【下一跳地址】：填写路由接口 IP 地址,192.168.3.1。

NAT规则：

添加 NAT 规则，启用 NAT 规则。

【转换类型】：根据连接路由接口的地址类型来选择转换类型为IPv4 或 IPv6 。

【源地址】：选择 any。

【目标地址】：选择 any。

【服务】：选择 any。

【出接口】：选择防火墙连接路由的接口，ge0/3。

策略：

设置开启防火墙策略。启用防火墙，设置名称，其他配置默认即可。

路由配置：

此处LAN口IP需要与防火墙互连接口IP同网段，192.168.3.1。

端口分流：

将路由内网数据分流到防火墙走。

【分流方式】：选择下一条网关。

【线路】：填写路由接防火墙的接口IP，192.168.3.2。

【源地址】：填写路由内网IP地址，192.168.2.0/24。

NAT转发：

将路由内网IP地址进行过滤，通过防火墙进行NAT转发。

【动作】：选择过滤。

【进、出接口】：选择任意。

【源地址】：填写内网IP网段。

验证旁路是否搭建成功：

电脑接在防火墙下能正常ping通百度代表旁路搭建成功。

设置完成点击右上角保存配置。

liubecome

看看 仔细看看  

曲凌云

kunquan 发表于 2022-6-19 11:26
防火墙如何设置阻挡病毒入侵

是不是需要购买特征码？我记得好像其他家的防火墙都是购买特征码就可以实时更新特征码了

xibanya

jesae 发表于 2022-9-22 12:24
有一个坑，网关的ip段跟防火墙的ip是一个段，那么你本地局域网也是一个段就无法访问。
原理是 例如防火墙 ...

配合交换机的VRF功能，把流量引导到旁路防火墙
上下行切割成两个VRF
路由-VRF xxx-防火墙区域A同段
防火墙区域B-VRF public-下行设备
这样引流到旁路，对于防火墙来说就是不同区域间的流量
对于路由器来说，是不同段的流量。数据转发的逻辑拓扑就变成爱快--交换机A（交换机的vpn实例xx） ---防火墙---交换机 （交换机根实例）--终端

xibanya

还是建议路由支持下OSPF
旁挂时候配合交换机用VRF+OSPF引导流量至旁挂方便一点

ljc779

为什么不是叫当代防火墙，而是下一代。

jesae

kingofgu 发表于 2022-6-19 12:37
按照教程，先设置下一跳网关分流，然后nat选择过滤后，小米手机会提示已连接到设备，但是无法提供互联网连 ...

有一个坑，网关的ip段跟防火墙的ip是一个段，那么你本地局域网也是一个段就无法访问。
原理是 例如防火墙网段是192.168.0.2/24，你的网关内网段也是192.168.0.0/24 那么你在做分流的时候就只需要分流192.168.0.3-192.168.0.254，同理nat过滤也是只过滤192.168.0.3-192.168.0.254 以上两个都不能设置192.168.0.0/24 你设置了，那么分流会继续把192.168.0.2防火墙也分流下去，nat也会继续过滤，就形成了无限的循环。你在pc上路有追踪看，无限的循环，192.168.0.1->192.168.0.2->192.168.0.1->192.168.0.2。。。。。。。。。一直下去。不知道用什么方式能规避。而且，我发现转发到防火墙在回到路由去出去后，访问速度很降低。

jesae

流量压力过大，是否可以让防火墙 一个物理口进，一个物理口出，这样子如何配置？

kingofgu

按照教程，先设置下一跳网关分流，然后nat选择过滤后，小米手机会提示已连接到设备，但是无法提供互联网连接

kunquan

防火墙如何设置阻挡病毒入侵