AF部署模式及配置

部署模式

1、路由部署：设备可以作为一个路由使用，对网络改动最大，但可以实现设备的所有功能；

2、透明模式：可以把设备视为一条带过滤功能使用，一般在不方便更改原有网络拓扑结结构下启用，平滑架带到网络用，可以实现设备的大部分功能；

3、虚拟网线模式：属于透明部署中另外一种情况，无须检查MAC表，直接从虚拟网线配对的接口直接转发，且虚拟网线转发效率高于透明模式；

4、旁路模式：设备连接在内网交换机的镜像口或HUB上，镜像内网的数据，通过镜像数据实现对流量进行检测。可以完全实现不需要改变用户模式的网络环境，并且可以避免设备对用户网络造成中断风险，但这种模式下设备只对流量进行检测，无法对恶意流量进行阻断；

5、混合模式：主要指设备的各个网口，既有2层口，又有3层口的情况，特别是当DMZ区域服务器集群需要配置公网IP地址的时候；

路由部署思路：

1、配置接口地址：指定配置接口对应区域：在网络-接口-物理接口；选择配置接口的类型，所属区域、基本属性、IP地址；

2、配置路由： 在网络-路由，新增静态路由，配置默认路由和回程路由；

3、配置代理上网：在策略-地址转换中-新增服地址转发

4、配置端口映射：在策略-地址转换中-新增服务映射—DNS Mapping；

5、配置应用控制策略，方通内网用户上网权限：策略-访问控制-应用策略-新增应用策略方通内外的数据访问权限；

6、配置安全防护策略：如业务防护策略、用户防护策略等；

注意事项：

1、在路由模式部署时，防火墙位于内部网络和外部网之间，负责在内部网络、外部网络中进行路由寻址，相当于路由器。其与内部网络、外部网络相连上下行业接口均工作三层，需要分别配置不同网段的IP地址；

2、路由模式部署支持更多的安全特性，如NAT、策略路由选择、动态路由协议（OSPF/BGP/ROPD等）等；

3、需要修改原网拓扑，对现有环境改动较大；

4、一般部署在需要进行路由转发的位置，入出口路由器或替换已有路由器、老防火墙场景；

透明部署模式

    透明模式部署思路

 1、配置接口类型，并定义接口对应的区域：在网络-物理接口，分别选择俩个接口做上下连接口，并配置接口类型、所属区域、基本属性如所属access或者trunk；

 2、所属管理接口：在网络-接口中，新增管理接口，或者配置vlan接口的逻辑接口作为管理接口，并分配管理地址；

 3、配置路由：在网络-路由中，新增缺省路由和回程路由；

4、配置应用控制策略：对不同区域间的访问进行控制：在策略-访问控制-应用控制策略中，新增应用控制策略，进行访问权限控制；

5、配置安全防护策略：如：业务防护策略、用户防护策略等；

注意事项：

1、透明模式部署不支持NAT、策略路由选择、动态略有协议（OSPF/BGP/RIP）等；

2、需要了解上联和下联方向，以免策略方向出错；

3、一般部署在出口路由下联方向，不会改动原网络环境。

虚拟网线部署模式

配置思路：

1、配置接口类型，并定义接口对应区域：网络-接口-物理接口中，选择接口，并配置接口类型，所属区域；

2、配置管理接口：在网络-接口-接口联动中，勾选【启用接口LINK状态策略】；

3、配置路由：网络-路由中，新增缺省路由；

4、配置控制应用策略，对不同区域间的访问权限进行控制：在策略-控制访问-应用控制策略中，新增应用控制策略，进行访问权限控制；

旁路模式部署模式

配置思路：

1、配置镜像接口，定义接口对应区域，并配置流量监听网络：网络-接口-物理接口中，选择接口，并配置接口类型，所属区域，旁路流量统计网络对像；

2、配置管理接口：网络-接口-物理接口中，选择空闲的物理接口作为管理口；

3、配置路由：网络-路由中，一般新增缺省路由，较少场景使用明细的回包路由；

4、配置安全防护策略：如：业务防护策略、用户防护策略等；

注意事项：

1、设备旁挂在现有的网络设备上，不影响现有的网络结构，通过端口镜像技术把流量镜像到AF，实现对数据的分析和处理；

2、需要领导单独设备管理接口猜呢王对设备进行管理；

3、启用管理口reset功能；

4、旁路部署支持的功能仅有:APT(僵尸网络)、PSV（实施漏洞分析）、WAF（web应用防火墙）、漏洞攻击防护、DLP（数据泄密防护）和网站防篡改部分功能（客户端防护）；

混合模式部署配置

配置思路：

1、配置物理接口：网络-接口-物理接口中，选择连接公网服务器区两个接口，配置接口类型为透明以及所属区域、基本属性和连接类型、连接类型选择Access，VLAN ID相同；接内网的接口配置接口类型为路由以及所属区域，IP地址等；

2、配置VLAN接口：网络-接口-VLAN接口中，新增一个VLAN接口，与连接公网和连接服务器区两个接口对应一个VLAN，并配置所属区域，公网IP地址等；

3、配置路由：在网络-路由中，新增静态路由，配置默认路由和回程路由；

4、配置代理上网：策略-地址转发总，新增源地址转换为VLAN接口IP，代理内网用户上网；

5、配置应用控制策略：策略-访问控制-应用控制策略中，新增两个控制策略，分别方通内到外的数据访问权限和所有的用户访问服务器的权限；

6、配置安全防护策略，如业务防护策略、用户防护策略等

注意事项：

1、在混合模式部署时，接公网和服务器的接口要在同样一个vlan下，同时三成VLAN接口也在这个VLAN下，并配置公网IP；

2、混合模式部署相应的功能都支持，如IPS、WEB应用防护、僵尸网络、应用控制、内容安全、实施漏洞分析等都支持；

3、需要修改原网络拓扑、对现有环境改动较大；