资料下载

帕洛阿尔托防火墙配置选项。分接模式,虚拟线,第2层&三层部署模式

由Yasir Irfan撰写。发表于 帕洛阿尔托防火墙

4.1666666666667 1 1 1 1 1 评分4.17(12投票)
压住他

我们的 上一篇文章 解释了如何 帕洛阿尔托防火墙利用安全区域 处理和 实施安全策略。本文将解释不同 配置选项 对于 物理以太网逻辑接口 在Palo Alto防火墙上可用。

在实际部署中可以轻松混合和匹配接口类型和部署选项,这似乎是Palo Alto 网络s下一代防火墙的最大卖点。由于一对Palo Alto设备提供的灵活性,网络分段变得更加容易。

以下是可用于以太网(物理)接口的配置选项的列表:

  • 点击模式
  • 虚拟线
  • 第2层
  • 第三层
  • 聚合接口

以下是可用的逻辑接口选项:

  • 虚拟局域网
  • 回送
  • 隧道
  • 解密镜像

帕洛阿尔托网络下一代防火墙提供的各种接口类型提供了灵活的部署选项。

点击模式部署选项

TAP模式部署 允许使用SPAN功能(也称为镜像)对网络上的流量进行被动监视。

典型的部署将涉及 在Cisco Catalyst交换机上配置SPAN 目的地SPAN端口是我们的Palo Alto Firewall连接到的交换机端口,如下图所示:

 以TAP模式部署的Palo Alto下一代防火墙

图1.以TAP模式部署的Palo Alto下一代防火墙

此部署模型的优势在于,它允许组织密切监视到其服务器或网络的流量,而无需对网络基础结构进行任何更改。

在此期间 SPAN的配置 重要的是要确保正确 SPAN来源SPAN目标端口 在配置的同时 启用点击模式 在防火墙。

点击模式 提供应用程序,用户和内容的可见性,但是,我们必须注意防火墙无法控制流量,因为在此模式下无法应用安全规则。点击模式仅在仪表板的“ ACC”选项卡中提供可见性。这里的要点是确保将分接头接口分配给安全区域。

虚拟线 (V-Wire)部署选项

虚拟线, 也被称为 V线,部署选项使用 虚拟线 interfaces。伟大的事情 V线部署 可以将防火墙插入到现有拓扑中,而无需对现有网络拓扑进行任何更改。

V线部署选项 克服限制 TAP模式部署,因为工程师能够监视和控制遍历链接的流量。一种 虚拟线 interface 支持 应用程式编号, 用户身份, 内容编号, NAT解密.

 以V-Wire模式部署的Palo Alto下一代防火墙

图2.以V-Wire模式部署的Palo Alto下一代防火墙

第2层部署选项

帕洛阿尔托网络下一代防火墙也可以部署在 二层模式。在此模式下,将在两个或多个网段之间进行切换,如下图所示:

 以第2层模式部署的Palo Alto下一代防火墙

图3.以第2层模式部署的Palo Alto下一代防火墙

二层部署模式 防火墙配置为在两个或多个网段之间执行切换。按照策略检查穿越防火墙的流量,以提高内部网络的安全性和可见性。

在这种模式下,防火墙接口可以支持 接入或中继链接 (802.1Q中继),不要参与 生成树拓扑。任何 协议报文 在防火墙接口上收到的消息将直接转发到相邻的第2层交换机,而无需进行处理。 虚拟局域网网络或其他网络之间的路由通信可以通过默认网关来实现,默认网关通常是第3层交换机,支持 虚拟局域网间路由,防火墙安全设备,甚至 棒上路由器 设计。

第三层部署选项

三层部署模式 是一种流行的部署设置。在这种模式下,防火墙在多个接口之间路由流量,每个接口都配置有IP地址和安全区域。防火墙接口也可以配置为通过DHCP服务器获取其IP地址,并且可以用于管理安全设备。

 以第3层模式部署的Palo Alto下一代防火墙

图4 –以第3层模式部署的Palo Alto下一代防火墙

上图显示了典型的第3层部署设置,其中防火墙在三个不同IP网络之间路由和控制流量。与其他设置方法类似,将根据配置的安全策略检查并允许或阻止所有通过防火墙的流量。

结论

在本文中,我们研究了可用于Palo Alto防火墙的几种不同的部署模式。我们谈过的 点击模式, 虚拟线 mode, 第2层三层部署模式。每种部署方法均用于满足不同的安全要求,并允许灵活的配置选项。访问我们的 帕洛阿尔托防火墙部分 以获得更深入的技术文章。

返回帕洛阿尔托网络防火墙部分

 

压住他

标签: 网络安全 应用程式编号 帕洛阿尔托 帕洛阿尔托网络 用户身份 虚拟线 点击模式 V线 内容编号 解密 二层模式 三层模式

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置