资料下载

帕洛阿尔托防火墙安全区域–分接区域,虚拟线路,第2层和第3层区域

由Yasir Irfan撰写。发表于 帕洛阿尔托防火墙

3.6666666666667 1 1 1 1 1 评分3.67(9投票)
压住他

帕洛阿尔托 网络s下一代防火墙 依靠的概念 安全区 为了申请 安全政策。这意味着访问列表(防火墙规则)将应用于区域,而不是接口,这类似于思科的 基于区域的防火墙 IOS路由器支持。

帕洛阿尔托 网络s的下一代防火墙区域不依赖于其物理位置,并且可以位于企业网络内的任何位置。下面的网络安全图中也对此进行了说明:

帕洛阿尔托防火墙安全区域可以包含位于不同位置的网络 图1. 帕洛阿尔托防火墙安全区域可以包含位于不同位置的网络

上面说明的拓扑显示 VLAN 10, 11 ,122 由一个管理 思科Catalyst 4507R + E交换机 并且都是 OSPF区域0 并在Palo Alto防火墙中显示为路由。在Palo Alto防火墙(每个防火墙上的接口ae1)和防火墙之间创建了第3层聚合链接。 思科4507R + E交换机 (端口通道1& 2).

当聚合接口 ae1.2 在Palo Alto Firewall上配置为 DMZ安全区,由 OSPF路由协议界面ae1.2 将成为 DMZ安全区.

创建一个 安全区 涉及诸如命名区域,将接口分配给创建的新区域等任务。 帕洛阿尔托 网络s下一代防火墙将不会处理来自任何接口的流量,除非它们是防火墙的一部分。 安全区.

下图描述了Palo Alto防火墙处理数据包的顺序:

初始数据包处理– 帕洛阿尔托下一代防火墙的流逻辑 图2.初始数据包处理– 帕洛阿尔托下一代防火墙的流逻辑

毫无疑问 基于区域的防火墙 在安全性设计方面提供了更大的灵活性,并且也被认为更易于管理和维护,尤其是在大规模网络部署中。

帕洛阿尔托 网络s下一代防火墙具有 区域的四种主要类型 即如以下屏幕截图所示:

  • 分接区。与...结合使用 SPAN / RSPAN 监控流量。
  • 虚拟线。也称为透明防火墙。
  • 第2层。在两个或多个网络之间切换时使用。
  • 第三层。在两个或多个网络之间路由时使用。必须为接口分配IP地址。

帕洛阿尔托防火墙中的安全区域类型 

图3. 帕洛阿尔托防火墙中的安全区域类型

帕洛阿尔托 网络s下一代防火墙具有一个称为“外部”的特殊区域,该区域用于在同一防火墙设备上配置的虚拟系统(vsys)之间传递流量。外部区域类型仅在具有虚拟系统功能的Palo Alto 网络s下一代防火墙中可用,并且仅当启用了多vsys功能时,外部区域才可见。

 

创建安全区域

本节重点介绍在Palo Alto 网络s下一代防火墙中创建不同类型的安全区域。

步骤1.登录到Palo Alto 网络s下一代防火墙的WebUI

第2步。从菜单中, 点击 网络> Zones > Add

在Palo Alto防火墙中创建新区域

图4.在Palo Alto防火墙中创建一个新区域

步骤3.提供 名称 为了 新区,然后选择 区域类型点击确定:

在Palo Alto防火墙中创建区域

图5.在Palo Alto防火墙中创建区域

以类似的方式,我们可以重复步骤1至3来创建 点按, 虚拟线 要么 第2层安全区域.

最后,重要的是要注意,区域名称区分大小写,因此在使用区域时要小心 FiewallCX防火墙 被视为不同区域:

使用不同字母大小写的相同名称的安全区域将导致不同的安全区域

图6.使用不同字母大小写的相同名称的安全区域将导致不同的安全区域

 具有相同区域名称的区分大小写的安全区域的示例

图7。 具有相同区域名称的区分大小写的安全区域的示例

创建一个安全区域 帕洛阿尔托 网络s中的下一代防火墙涉及三个步骤:

第1步。 指定区域名称

第2步。 选择区域类型

第三步 分配接口

接口部分将在以后的文章中讨论,因为您需要了解Palo Alto 网络s下一代防火墙提供的接口类型及其工作方式。

在Palo Alto 网络s下一代防火墙中,区域名称没有预定义的含义或策略关联,基本上,它们是按功能分组以创建服务的,例如,即使它们是不同域的一部分,也可以将所有域控制器分组到一个安全组中。网络。

 在同一安全区域– DMZ中对域控制器进行分组的示例

图8.在同一安全区域(DMZ)中对域控制器进行分组的示例

如前所述,Palo Alto 网络s下一代防火墙的工作原理是 安全区, 默认 区域内流量允许的区域间流量被拒绝。更多技术文章可以在我们的网站上找到 帕洛阿尔托网络防火墙部分.

返回帕洛阿尔托网络防火墙部分

压住他

标签: 防火墙 组态 设定 帕洛阿尔托 安全区 基于区域的防火墙 分接区 虚拟线 二层专区 三层区域 透明防火墙

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置