Palo Alto防火墙安全区域–分接区域,虚拟线路,第2层和第3层区域
Palo Alto 网络s下一代防火墙 依靠的概念 安全区 为了申请 安全政策。这意味着访问列表(防火墙规则)将应用于区域,而不是接口,这类似于思科的 基于区域的防火墙 IOS路由器支持。
Palo Alto 网络s的下一代防火墙区域不依赖于其物理位置,并且可以位于企业网络内的任何位置。下面的网络安全图中也对此进行了说明:
图1. Palo Alto防火墙安全区域可以包含位于不同位置的网络
上面说明的拓扑显示 VLAN 10, 11 ,12 和 2 由一个管理 思科Catalyst 4507R + E交换机 并且都是 OSPF区域0 并在Palo Alto防火墙中显示为路由。在Palo Alto防火墙(每个防火墙上的接口ae1)和防火墙之间创建了第3层聚合链接。 思科4507R + E交换机 (端口通道1& 2).
当聚合接口 ae1.2 在Palo Alto Firewall上配置为 DMZ安全区,由 OSPF路由协议 上 界面ae1.2 将成为 DMZ安全区.
创建一个 安全区 涉及诸如命名区域,将接口分配给创建的新区域等任务。 Palo Alto 网络s下一代防火墙将不会处理来自任何接口的流量,除非它们是防火墙的一部分。 安全区.
下图描述了Palo Alto防火墙处理数据包的顺序:
图2.初始数据包处理– Palo Alto下一代防火墙的流逻辑
毫无疑问 基于区域的防火墙 在安全性设计方面提供了更大的灵活性,并且也被认为更易于管理和维护,尤其是在大规模网络部署中。
Palo Alto 网络s下一代防火墙具有 区域的四种主要类型 即如以下屏幕截图所示:
- 分接区。与...结合使用 SPAN / RSPAN 监控流量。
- 虚拟线。也称为透明防火墙。
- 第2层。在两个或多个网络之间切换时使用。
- 第三层。在两个或多个网络之间路由时使用。必须为接口分配IP地址。
