可显示编辑接口窗口,用于配置指定接口的设置。 Network_netInterfaces
本“网络 > 接口”页面提供以下信息:
• 设置向导
• 接口设置
• 接口流量统计
• 物理和虚拟接口
• 透明模式
• 二层桥接模式
• IPS 探查器模式(Dell SonicWALL NSA 系列设备)
• 配置接口
• 配置二层桥接模式
• 配置 IPS 探查器模式(Dell SonicWALL NSA 系列设备)
• 配置有线模式(Dell SonicWALL NSA 系列设备)
网络 > 接口页面包含直接链接到物理接口的接口对象。SonicOS 的接口寻址方案可配合网络区域和地址对象工作。“网络 > 接口”页面显示的接口因 Dell SonicWALL 设备的类型而异。
下图中的页面适用于 Dell SonicWALL NSA 设备。
设置向导按钮用于访问设置向导。设置向导将引领您完成配置 Dell SonicWALL 安全设备以建立因特网连接的整个过程。有关设置向导的说明,请参见向导 > 设置向导。
接口设置表列出了每个接口的以下信息:
名称 - 列为 X0 至 X8 和 W0,具体取决于您的 Dell SonicWALL 安全设备型号。
Note X0 和 X1 千兆接口分别用于 LAN 和 WAN。在 TZ 210 系列设备上,X0 和 X1 仅为千兆接口。X2 是 NSA 240 的唯一千兆接口。
• 区域 - 默认列出 LAN、DMZ、WAN 和 WLAN。已配置的区域的名称将在此列中列出。
• 群组 - 接口所属的群组。
• IP 地址 - 分配给接口的 IP 地址。
• 子网掩码 - 分配给子网的网络掩码。
• IP 分配 - 主页将基于接口的区域类型,显示以下 IP 分配类型之一:
– 非 WAN:静态、透明或二层桥接模式。
– WAN:静态、DHCP、PPPoE、PPTP 或 L2TP。
– W0:静态(仅在无线设备上可用)
• 状态 - 链路状态和速度。
• 注释 - 任何用户指定的注释。
• 配置 - 单击配置图标 可显示编辑接口窗口,用于配置指定接口的设置。
接口流量统计表列出了所有已配置接口的接收和发送信息。
将为所有 Dell SonicWALL 安全设备接口显示以下信息:
• 名称 - 指示接口的名称。
• 接收单播数据包 - 指示该接口所接收的点对点通信数量。
• Rx 广播数据包 - 指示该接口所接收的多点通信数量。
• 接收错误 - 指示该接口所接收的错误数。
• 接收字节 - 指示该接口所接收的数据量(以字节计)。
• Tx 单播数据包 - 指示该接口所发送的点对点通信数量。
• 发送广播数据包 - 指示该接口所发送的多点通信数量。
• 发送错误 - 指示该接口所发送的错误数。
• 发送字节 - 指示该接口所发送的数据量(以字节计)。
• 跳过 DPI - 指示绕过 DPI 检测的数据包数。
要清除当前的统计数据,请单击工具栏中的清除按钮。
SonicOS 中的接口可能是:
• 物理接口 – 物理接口被绑定到单个端口上
• 虚拟接口 – 虚拟接口被指定为物理接口的子接口,并使得物理接口能够承载分配至多个接口的流量。
• PortShield 接口 – PortShield 接口是 Dell SonicWALL TZ 系列、NSA 240 和 NSA 2400MX 提供的一项功能。这些设备上的任意数量的 LAN 端口均可组合成一个 PortShield 接口。
物理接口
必须将物理接口指定给某个区域,以便配置访问规则来管理入站和出站流量。安全区域被绑定至各个物理接口,作为入站和出站流量的管道。如果没有接口,流量将无法访问或退出该区域。
有关区域的更多信息,请参见网络 > 区域。
前两个接口 LAN 和 WAN 为固定接口,它们永久绑定到受信和不受信区域类型。TZ 系列还可以具有两个用于调制解调器和 WLAN 的特殊接口。可以对剩余接口进行配置,并将其绑定到任何区域类型,具体取决于您的 Dell SonicWALL 安全设备。
虚拟接口(Dell SonicWALL NSA 系列设备)
Dell SonicWALL 系列安全设备支持虚拟接口,后者是分配给物理接口的子接口。虚拟接口用于在一个物理连接上提供多个接口。
虚拟接口提供许多与物理接口相同的特性,包括区域分配、DHCP 服务器,以及 NAT 和访问规则控制。
虚拟局域网 (VLAN) 可描述为“基于标记的 LAN 多路复用技术”,因为通过使用 IP 标头标记,VLAN 可模拟单个物理 LAN 内的多个 LAN。正如两个在物理上相互区别、断开连接的 LAN 彼此完全独立,两个不同的 VLAN 之间也是如此,但是,这两个 VLAN 可以在同一线路上共存。VLAN 需要能够感知 VLAN 的联网设备来提供这种虚拟化 – 这些设备包括能够根据网络设计和安全策略识别、处理、移除和插入 VLAN 标记的交换机、路由器和防火墙。
VLAN 适用于多种用途,其中大部分用途是基于 VLAN 能够提供逻辑广播域而非物理广播域(或者说 LAN 边界)的能力。它不仅能将较大的物理 LAN 分割为较小的虚拟 LAN,还能将在物理上不相干的 LAN 联合成为在逻辑上相邻的虚拟 LAN。这样做的好处包括:
• 提高性能 – 创建以逻辑方式分割的较小广播域可降低整体网络利用率,仅向需要的目的地发送广播,因而能够将更多的可用带宽保留用于应用程序流量。
• 降低成本 – 根据历史经验,使用路由器进行广播分段需要更多的硬件和配置工作。使用 VLAN 时,路由器的职能角色完全颠倒 – 不是用于抑制通信的用途,而是根据需要促成独立 VLAN 之间的通信。
• 虚拟工作组 – 工作组是广泛共享信息的逻辑单位,例如营销部门或工程部门。出于效率的考虑,应创建广播域边界,以便与这些职能工作组保持一致。但这种做法并非总能实现:工程部用户和营销部用户可能存在混叠的情况,处于建筑物内的同一楼层(并且使用相同的工作组交换机),或者相反 – 工程团队可能分布在整个园区内。尝试通过复杂的布线来解决这一问题不仅成本高,而且无法进行持续的添加和移动操作。VLAN 允许快速重新配置交换机,以便保持与工作组要求相一致的逻辑网络配置。
• 安全性 – 位于一个 VLAN 中的主机无法与位于其他 VLAN 中的主机通信,除非某个联网设备促成它们之间的通信。
SonicOS 增强版提供的 VLAN 支持是通过子接口实现的,后者是嵌套在物理接口下面的逻辑接口。每个唯一的 VLAN ID 都需要自己的子接口。出于安全和控制的原因,SonicOS 没有参与任何 VLAN 中继协议,而是要求对将要支持的每个 VLAN 进行配置,并指定相应的安全特性。
Note 动态 VLAN 中继协议(例如 VTP [VLAN 中继协议] 或 GVRP [通用 VLAN 注册协议])不得用于连接到 Dell SonicWALL 的其他设备的中继链路。
对于来自具备 VLAN 功能的交换机的中继链路,采取的支持方法是将相关的 VLAN ID 声明为 Dell SonicWALL 上的子接口,并且采用与物理接口几乎相同的方式对其进行配置。也就是说,Dell SonicWALL 仅处理已定义为子接口的 VLAN,其余的 VLAN 将作为无关的 VLAN 被丢弃。这种方法还允许中继链路所连接的 Dell SonicWALL 上的父级物理接口以常规接口的方式工作,从而为同一链路上可能同时存在的任何本机(未标记)VLAN 流量提供支持。否则,该父类接口可能保持“未分配”状态。
VLAN 子接口具有物理接口的大部分功能和特性,包括区域可分配性、安全服务、GroupVPN、DHCP 服务器、IP 助手、路由,以及完整的 NAT 策略和访问规则控制。VLAN 子接口暂时不包含的功能包括 WAN 动态客户端支持和多播支持。下表列出了每个平台上支持的最大子接口数:
|
SonicOS 增强版的接口寻址方案可配合网络区域和地址对象工作。这种结构以 SonicOS 增强版中的规则和策略所使用的安全对象为基础。
安全对象包括直接链接到物理接口并在网络 > 接口页面中进行管理的接口对象。地址对象在网络 > 地址对象页面中定义。服务和日程对象在 Dell SonicWALL 安全设备管理界面的防火墙部分定义,用户对象在 Dell SonicWALL 安全设备管理界面的用户部分定义。
区域处于 SonicOS 增强版安全对象体系结构的顶层。SonicOS 增强版包含预定义的区域,并且允许您定义自己的区域。预定义的区域包括 LAN、DMZ、WAN、WLAN 和自定义区域。区域可能包含多个接口,但 WAN 区域被限制为共计两个接口。在 WAN 区域内,任意一个或两个 WAN 接口都有可能主动传输流量,具体取决于网络 > 故障转移 & 负载均衡页面中的 WAN 故障转移和负载平衡配置。
有关 Dell SonicWALL 安全设备中的 WAN 故障转移和负载均衡功能的更多信息,请参见网络 > 故障转移和负载平衡。
在区域配置级别,区域的允许接口信任设置可自动完成创建宽松的区域内访问规则的相关过程。它将为整个区域创建一个综合地址对象,以及一条宽松包容的区域地址到区域地址访问规则。
SonicOS 增强版中的透明模式使用接口作为管理层级的顶层。透明模式支持独特的寻址和接口路由。
SonicOS 增强版固件版本 4.0 及更高版本包括 L2(2 层)桥接模式,它提供了一种新方法,以不显眼的方式将 Dell SonicWALL 安全设备集成到任何以太网网络。二层桥接模式表面上与 SonicOS 增强版的透明模式相似,因为它使得 Dell SonicWALL 安全设备能够在两个接口之间共享公共子网,以及对所有流经的 IP 流量执行状态检测和深度包检测,但二层桥接模式的功能更加全面。
特别是,二层桥接模式采用了安全学习桥接体系结构,使其能够传递和检测其他许多透明安全设备集成方法所无法处理的流量类型。利用二层桥接模式,可以无干扰地将 Dell SonicWALL 安全设备添加到任何以太网网络,从而为所有流经的 IPv4 TCP 和 UDP 流量提供内联式深度包检测。在此应用场景中,Dell SonicWALL 网络安全设备不会用于加强安全性,而用于双向扫描、阻止病毒和间谍软件以及入侵企图。
与其他透明解决方案不同,二层桥接模式可传递所有流量类型,包括 IEEE 802.1Q VLAN(在 Dell SonicWALL NSA 设备上)、生成树协议、多播、广播和 IPv6,从而确保无中断地继续所有网络通信。
二层桥接模式的全面性还体现在可以使用它来配置 IPS 探查器模式。Dell SonicWALL NSA 系列设备支持 IPS 探查器模式,后者使用桥接对的单个接口来监控来自交换机上的镜像端口的网络流量。IPS 探查器模式提供入侵检测,但无法阻止恶意流量,因为 Dell SonicWALL 安全设备未以内联方式接入流量流。有关 IPS 探查器模式的更多信息,请参见IPS 探查器模式(Dell SonicWALL NSA 系列设备)。
二层桥接模式为具备以下特征的网络提供了理想的解决方案:已具备现有防火墙,但不计划立即更换其现有防火墙,而是希望增加 Dell SonicWALL 深度包检测的安全性(例如入侵保护服务、网关防病毒和网关防间谍软件)。如果您没有订阅 Dell SonicWALL 安全服务,您可以在 Dell SonicWALL 的安全服务 > 摘要页中注册免费试用。
也可以在高可用性部署中使用二层桥接模式。此应用场景将在具有高可用性的二层桥接模式(Dell SonicWALL NSA 系列设备)中说明。
参见以下章节:
• 二层桥接路径确定
• 示例拓扑
下表总结了二层桥接模式各项主要功能的优点:
|
在提到二层桥接模式的操作和配置时,将会用到以下术语:
• 二层桥接模式 – 一种配置 Dell SonicWALL 安全设备的方法。利用此方法,Dell SonicWALL 能够以内联方式插入现有网络,并具有绝对的透明性(甚至超越了透明模式所提供的透明性)。二层桥接模式还指为置入桥接对的次要桥接接口所选择的 IP 分配配置。
• 透明模式 – 一种配置 Dell SonicWALL 安全设备的方法。利用此方法,可通过使用自动应用的 ARP 和路由逻辑在两个或更多个接口之间生成单个 IP 子网,无需重新配置 IP 即可在现有网络中插入 Dell SonicWALL。
• IP 分配 – 在配置受信任的接口 (LAN) 或公用 (DMZ) 接口时,接口的 IP 分配可能是:
– 静态 – 手动输入接口的 IP 地址。
– 透明模式 – 使用落入 WAN 主 IP 子网范围内的地址对象(主机、范围或组)来分配接口的 IP 地址,从而有效地生成从 WAN 接口到所分配的接口的子网。
– 二层桥接模式 – 置于此种模式的接口将成为它被配对到的主桥接接口的次要桥接接口。之后,生成的桥接对的行为将与具有完全二层透明性的两端口学习桥接相似,并且将对所有流经桥接对的 IP 流量进行完全状态故障转移和深度包检测。
• 桥接对 – 构成主桥接接口和次要桥接接口的逻辑接口组。术语主要和次要并不暗示任何固有的操作主导或从属级别;两个接口将继续根据其区域类型进行处理,并根据所配置的访问规则传递 IP 流量。经过桥接对的非 IPv4 流量由次要桥接接口上的阻塞所有非 IPv4 流量设置进行控制。系统可以支持的桥接对数量与它能提供的接口对数量相同。或者说,最大桥接对数量等于平台上的物理接口数量的一半。具有桥接对成员资格不妨碍接口的常规行为;例如,如果将 X1 配置为与次要桥接接口 X3 配对的主桥接接口,则 X1 可以在作为主 WAN(传统角色)工作的同时,通过自动添加的 X1 默认 NAT 策略执行用于互联网绑定流量的 NAT。
• 主桥接接口 – 在为其配对次要桥接接口后分配给接口的名称。主桥接接口可能属于不信任的 (WAN)、受信任的 (LAN) 或公用 (DMZ) 区域。
• 次要桥接接口 – 分配给已针对二层桥接模式配置其 IP 分配的接口的名称。次要桥接接口可能属于受信任的 (LAN) 或公用 (DMZ) 区域。
• 桥接管理地址 – 主桥接接口的地址由桥接对的两个接口共享。如果主桥接接口凑巧还是主 WAN 接口,则该地址将用于 Dell SonicWALL 的出站通信,例如 NTP 和许可证管理器更新。连接到桥接对的任一网段的主机还可以使用桥接管理地址作为其网关,这在混合模式部署中很常见。
• 桥接合作伙伴 – 该术语用于指代桥接对的“另一个”成员。
• 非 IPv4 流量 - SonicOS 增强版支持以下 IP 协议类型:ICMP (1)、IGMP (2)、TCP (6)、UDP (17)、GRE (47)、ESP (50)、AH (51)、EIGRP (88)、OSPF (89)、PIM-SM (103)、L2TP (115)。对于更多机密型 IP 类型(例如战斗无线电传输协议 (126))以及非 IPv4 流量类型(例如 IPX 或当前使用的 IPv6 流量),Dell SonicWALL 均不在本机进行处理。二层桥接模式可配置为传递或丢弃非 IPv4 流量。
• 捕获桥接模式 – 这种可选的二层桥接工作模式可防止已进入二层桥接的流量被转发至非桥接对接口。默认情况下,二层桥接逻辑会将已进入二层桥接的流量沿 ARP 和路由表所确定的最优路径转发至其目的地。在某些情况下,最优路径可能涉及到路由至或 NAT 至非桥接对接口。激活捕获桥接模式可确保进入二层桥接的这类流量退出二层桥接,而不是采用在逻辑上最优的路径。一般而言,仅在具有冗余路径并且严格要求遵循路径的复杂网络才需要使用这种工作模式。可以通过在“编辑接口”窗口中选中在该桥接对上从不路由流量复选框启用捕获桥接模式。
• 单纯的二层桥接拓扑 – 指的是将 Dell SonicWALL 严格用于二层桥接模式,以便为网络提供内联式安全性的部署方式。这意味着,进入桥接对一端的所有流量将被绑定到另一端,而不会通过其他接口进行路由/NAT。这在以下情况下很常见:存在现有的外围安全设备;或者沿现有网络的部分路径(例如部门之间的路径或两个交换机之间的主干链路上的路径)需要内联式安全。单纯的二层桥接拓扑不是一种功能限制,而是对异构环境中的常见部署的一种拓扑描述。
• 混合模式拓扑 – 指桥接对不是通过 Dell SonicWALL 的唯一入口/出口点的部署情况。这意味着,进入桥接对一端的流量可能会通过其他接口进行路由/NAT。这在 Dell SonicWALL 同时用于为一个或多个桥接对提供安全性时较为常见;Dell SonicWALL 还提供下列服务:
– 为桥接对或其他接口上的主机提供外围安全性,例如 WAN 连接性。
– 为更多网段(例如受信任的 (LAN) 或公用 (DMZ) 接口,这时的通信将在这些网段上的主机与桥接对上的主机之间发生)提供防火墙和安全服务。
– 使用 SonicPoint 提供无线服务(这时的通信将在无线客户端与桥接对上的主机之间发生)。
二层桥接模式与透明模式的比较包含下列章节:
• 简单透明模式拓扑
• 二层桥接模式中的 VLAN 支持(Dell SonicWALL NSA 系列设备)
尽管透明模式无需重新编址即可将运行 SonicOS 增强版的安全设备引入到现有的网络中,但它具有一定程度的干扰性,尤其对于 ARP、VLAN 支持、多个子网和非 IPv4 流量类型是如此。请考虑下面的关系图。在此应用场景中,透明模式的 Dell SonicWALL 设备刚刚添加到网络中,目的是实现最小干扰度的集成,尤其是:
• 极少或没有任何计划外故障时间
• 无需对网络的任何部分重新编址
• 无需重新配置或修改网关路由器(在由 ISP 控制路由器的情况下很常见)
地址解析协议 (ARP) 是网络接口卡上的唯一硬件地址与 IP 地址进行关联所采用的机制,在透明模式下,该协议使用的是代理方式。如果左侧服务器上的工作站之前已将路由器 (192.168.0.1) 解析为其 MAC 地址 00:99:10:10:10:10,要使这些主机能够通过 Dell SonicWALL 进行通信,必须先清除这条缓存的 ARP 条目。这是因为,Dell SonicWALL 为连接到以透明模式工作的接口的主机代理(或者说代其响应)了网关 IP (192.168.0.1)。因此,当左侧的工作站尝试解析 192.168.0.1 时,它所发送的 ARP 请求将由 Dell SonicWALL 使用自己的 X0 MAC 地址 (00:06:B1:10:10:10) 进行响应。
此外,对于在 X1(主 WAN)接口收到的 ARP 请求,Dell SonicWALL 还代理了在透明范围(192.168.0.100 至 192.168.0.250)内指定并分配给以透明模式工作的接口的 IP 地址 ARP。如果路由器之前已将服务器 (192.168.0.100) 解析为其 MAC 地址 00:AA:BB:CC:DD:EE,要使路由器能够通过 Dell SonicWALL 与该主机进行通信,必须先清除这条缓存的 ARP 条目。这通常需要通过路由器的管理界面或通过重启路由器来刷新路由器的 ARP 缓存。在清除路由器的 ARP 缓存后,它可能会为 192.168.0.100 发送新的 ARP 请求,Dell SonicWALL 将使用其 X1 MAC 00:06:B1:10:10:11 来响应该请求。
尽管上述关系图中描述的网络比较简单,但即使对于使用 VLAN 进行流量分段的更大型网络而言也很常见。只要该网络符合下列条件:交换机与路由器之间的链路为 VLAN 主干;透明模式的 Dell SonicWALL 能够将 VLAN 终止为链路任一端的子接口,但它要求唯一编址;或者说,非透明模式工作要求至少在一端进行重新编址。这是因为,只有主 WAN 接口可以用作透明模式地址空间的源。
对于大型网络而言,采用多个子网(这些子网可能在单个线路上、单独的 VLAN 中、多个线路上或采用某种组合)的情况很常见。尽管透明模式能够通过使用静态 ARP 和路由条目来支持多个子网(如技术说明
http://www.SonicWALL.com/us/support/2134_3468.html 所述),但这个过程相当繁琐。
透明模式将丢弃(并且通常会记录)所有非 IPv4 流量,阻止其传递其他流量类型,例如 IPX 或未处理的 IP 类型。
二层桥接模式解决了这些常见的透明模式部署问题,后面的章节将对此加以说明。
二层桥接模式采用的是学习桥接设计,依据此设计,它将动态确定哪些主机位于二层桥接(也称为“桥接对”)的哪些接口上。ARP 将在本机上通过,这意味着通过二层桥接通信的主机将会看到其对等方的实际主机 MAC 地址。例如,与路由器通信 (192.168.0.1) 通信的工作站将会视路由器为 00:99:10:10:10:10,而路由器将会视工作站 (192.168.0.100) 为 00:AA:BB:CC:DD:EE。
这种行为允许将以二层桥接模式工作的 Dell SonicWALL 引入现有网络中,而不会对大多数网络通信造成除物理插入引起的瞬时中断以外的其他干扰。
请注意,在插入二层桥接模式的 Dell SonicWALL 时,需要重新建立基于流的 TCP 协议通信(例如客户端与服务器之间的 FTP 会话)。这是设计决定的,目的是维护状态数据包检测 (SPI) 所提供的安全性;由于 SPI 引擎无法获知在其之前已存在的 TCP 连接,因此它会丢弃这些既有的数据包,并记录事件“在不存在/已关闭的连接上收到 TCP 数据包;TCP 数据包已丢弃”。
二层桥接模式中的 VLAN 支持(Dell SonicWALL NSA 系列设备)
在 Dell SonicWALL NSA 系列设备上,二层桥接模式可针对流经二层桥接的 802.1Q VLAN 流量提供精确控制。VLAN 的默认处理方式是在流量通过二层桥接时,允许和保留所有 802.1Q VLAN 标记,同时仍旧对封装的流量应用所有防火墙规则以及状态检测和深度包检测。还可以进一步指定允许/禁止通过二层桥接的 VLAN ID 白/黑名单。
这样方便将以二层桥接模式工作的 Dell SonicWALL 插入(例如以内联方式)到携带任何数量的 VLAN 的 VLAN 主干中,并为流经 VLAN 的所有 IPv4 流量提供完整的安全服务,而无需显式配置任何 VLAN ID 或子网。鉴于 VLAN 流量的处理方式,也可以选择对流经二层桥接模式的所有 VLAN 流量应用防火墙访问规则。
以下事件序列是对上面的流程图的描述:
1. 采用 802.1Q 封装的帧将进入二层桥接接口(第一步、下一步和最后一步仅适用于 802.1Q VLAN 流量,受 Dell SonicWALL NSA 系列设备支持)。
2. 根据 VLAN ID 白/黑名单检查 802.1Q VLAN ID:
– 对于不允许的 VLAN ID,将丢弃并记录该数据包。
– 对于允许的 VLAN ID,解除数据包封装,存储 VLAN ID,让内层数据包(包括 IP 标头)通过完整的数据包处理程序。
3. 由于二层桥接支持任意数量的子网,因此不对数据包的源 IP 执行源 IP 欺骗检查。可以使用防火墙访问规则来配置二层桥接仅支持特定的子网。
4. 执行泛洪攻击检查。
5. 对目标区域执行目标路由查找,以便应用适当的防火墙访问规则。任何区域都是有效的目标,包括与源区域相同的区域(例如 LAN 对 LAN)、不受信的区域 (WAN)、加密区域 (VPN)、无线区域 (WLAN)、多播区域或任何类型的自定义区域。
6. 根据需要,执行和应用 NAT 查找。
– 一般而言,进入二层桥接的数据包的目的地将是桥接合作伙伴接口(即桥接的另一端)。这种情况下,无需执行转化。
– 在二层桥接管理地址为网关的情况下(混合模式拓扑中有时会出现这种情况),将根据需要应用 NAT(更多详情,请参见二层桥接路径确定章节)。
7. 对数据包应用防火墙访问规则。例如,在 Dell SonicWALL NSA 系列设备上,以下数据包解码显示:ICMP 数据包携带 VLAN ID 10,源 IP 地址 110.110.110.110,目标 IP 地址 4.2.2.1。
可以设置一条防火墙访问规则,独立于数据包的 VLAN 成员资格,根据其任意 IP 元素(例如源 IP、目标 IP 或服务类型)来控制任何 IP 数据包。对于禁止的数据包,将其丢弃并记录。对于允许的数据包,让其继续通过。
8. 为该数据包创建一条连接缓存条目,并执行必要的 NAT 转换(如果有)。
9. 对 TCP、VoIP、FTP、MSN、Oracle、RTSP 和其他媒体流、PPTP 和 L2TP 执行状态数据包检测和转换。对于禁止的数据包,将其丢弃并记录。对于允许的数据包,让其继续通过。
10. 执行深度包检测,包括 GAV、IPS、防间谍软件、CFS 和电子邮件过滤。对于禁止的数据包,将其丢弃并记录。对于允许的数据包,让其继续通过。根据配置执行客户端通知。
11. 如果数据包的目的地是加密区域 (VPN)、不受信的区域 (WAN) 或其他某个连接的接口(混合模式拓扑中可能出现后两种情况),则将通过相应的路径发送数据包。
12. 如果数据包的目的地不是 VPN/WAN/连接的接口,则将恢复已存储的 VLAN 标记,并将数据包(再次携带原始的 VLAN 标记)发送到桥接合作伙伴接口。
如上所示,二层桥接模式能够处理通过桥接的任何数量的子网。默认行为是允许所有子网,但可以根据需要,通过应用访问规则来控制流量。
默认情况下,不支持的流量将从一个二层桥接接口传递至桥接合作伙伴接口。这使得 Dell SonicWALL 可以传递其他流量类型,包括 LLC 数据包(例如生成树)、其他以太网类型(例如 MPLS 标签交换数据包 (EtherType 0x8847)、Appletalk (EtherType 0x809b) 和广受欢迎的虚拟综合网络服务 (EtherType 0xbad))。这些非 IPv4 数据包将仅通过桥接,而不会受到数据包处理程序的检测或控制。如果不需要这些流量类型,可通过在次要桥接接口配置页中启用阻塞所有非 IPv4 流量选项来更改桥接行为。
|
以下是透明模式可能优于二层桥接模式的情况:
• 二层桥接对中最多允许两个接口。如果同一子网中需要工作的接口数量超过两个,应考虑采用透明模式。
• PortShield 接口不能在二层桥接对中运行。如果需要 PortShield 接口才能在同一子网上运行,应考虑采用透明模式。
• Dell SonicWALL NSA 系列设备支持的 WLAN 子接口不能在二层桥接对中运行。如果需要 VLAN 子接口才能在同一子网上运行,应考虑采用透明模式。但是,可以在作为桥接对一部分的接口上配置一个 VLAN 子接口;从各个方面说,该子接口将在桥接对上独立运行。
与透明模式相比,二层桥接模式在功能上与 SCM 更为相似,当它与当前 CSM 行为的区别在于,它处理的是 CSM 不处理的 VLAN 和非 IPv4 流量类型。将来版本的用于 CSM 的 SonicOS CF 软件可能会采用更加全面的二层桥接模式流量处理功能。
Dell SonicWALL 在桥接对接口上收到的数据包必须转发到通往其目的地的适当、最优路径,不论该路径是桥接合作伙伴、其他某个物理接口或子接口,还是 VPN 隧道。类似地,从其他(物理、虚拟或 VPN)路径抵达的绑定至桥接对上的主机的数据包必须发往正确的桥接对接口。以下总结内容按顺序说明了针对下列情形应用于路径确定的逻辑:
1. 如果存在通往目的地的最具体的非默认路由,则选择该路由。它包括下列示例情况:
a. 数据包到达 X3(非二层桥接 LAN),目的地为主机 15.1.1.100 子网,存在一条通过 X0(次要桥接接口,LAN)接口和 192.168.0.254 到达 15.1.1.0/24 子网的路由。数据包将通过 X0 转发至目标 MAC 地址 192.168.0.254,以及目标 IP 地址 15.1.1.100。
b. 数据包到达 X4(主桥接接口,LAN),目的地为主机 10.0.1.100,存在一条通过 X5 (DMZ) 接口和 192.168.10.50 到达 10.0.1.0/24 的路由。数据包将通过 X5 转发至目标 MAC 地址 192.168.10.50,以及目标 IP 地址 10.0.1.100。
3. 如果不存在通往目的地的具体路由,则将对目标 IP 地址执行 ARP 缓存查找。匹配项将指示合适的目标接口。它包括下列示例情况:
a. 数据包到达 X3(非二层桥接 LAN),目的地为主机 192.168.0.100(驻留在二层主桥接接口 X2 上)。数据包将通过 X2 转发至已知的目标 MAC 和 IP 地址 192.168.0.100(来源于 ARP 缓存)。
b. 数据包到达 X4(主桥接接口,LAN),目的地为主机 10.0.1.10(驻留在 X5 – DMZ 上)。数据包将通过 X5 转发至已知的目标 MAC 和 IP 地址 10.0.1.10(来源于 ARP 缓存)。
3. 如果没有找到 ARP 条目:
a. 如果数据包到达桥接对接口,它将被发送至桥接合作伙伴接口。
b. 如果数据包从其他路径到达,Dell SonicWALL 会在桥接对的两个接口分别发送一条 ARP 请求,以确定目标 IP 所在的网段。
在最后这种情况下,由于在收到 ARP 响应之前目的地未知,因此,目标区域在此之前也仍然未知。这使得 Dell SonicWALL 在完成路径确定之前无法应用相应的访问规则。完成路径确定后,将对后续的相关流量应用正确的访问规则。
关于到达二层桥接对接口的流量的地址转换 (NAT):
1. 如果已确定绑定至桥接合作伙伴接口,则不执行 IP 转换 (NAT)。
2. 如果已确定绑定至其他路径,则将应用相应的 NAT 策略:
a. 如果该路径为另一个连接的(本地)接口,则可能不需要转换。也就是说,由于触发了最终的任意->原始 NAT 策略,它将得到有效的路由。
b. 如果已确定该路径将通过 WAN,则将应用默认的用于 X1 WAN 的自动添加 [接口] 出站 NAT 策略,并将转换数据包的源以便发送至因特网。在内部安全中所述的混合模式拓扑中,这种情况比较常见。
应根据网络的流量流动要求进行桥接对接口区域分配。透明模式要求使用主 WAN 作为源接口,使用受信任的或公用接口作为透明接口,从而实现一个“更可信任的对不可信的”系统;与之不同的是,二层桥接模式允许对操作级别的信任提供更多的控制。具体而言,二层桥接模式允许将主桥接接口和次要桥接接口分配给相同或不同的区域(例如 LAN+LAN、LAN+DMZ、WAN+自定义 LAN,等等)。这不仅影响到应用于流量的默认访问规则,还影响到对流经桥接的流量应用深度包检测安全服务的方式。选择和配置要在桥接对中使用的接口时,需要考虑的重要方面包括:安全服务、访问规则和 WAN 连接性:
安全服务方向性
安全服务将是二层桥接模式的主要应用之一,因此了解安全服务的应用对于正确选择桥接对接口区域而言非常重要。安全服务适用性基于以下条件:
1. 服务的方向:
– GAV 基本上是一种入站服务,用于检测入站 HTTP、FTP、IMAP、SMTP、POP3 和 TCP 流。它还具有一个用于 SMTP 的附加出站元素。
– 防间谍软件基本上是一种入站服务,用于检测入站 HTTP、FTP、IMAP、SMTP、POP3,以交付(即获取)间谍软件组件(通常根据其类 ID 进行识别)。它还具有一个附加的出站组件,在此组件中,对于由触发识别这些间谍软件组件的 IPS 特征所归结的方向性(即流出),将使用出站方向。由于这些组件通常由客户端(例如 LAN 主机)通过 HTTP 从互联网上的 Web 服务器(WAN 主机)获取,因此使用流出分类器(如下表所述)。参照下表,该链接为流出连接,并且要求具有流出方向分类的特征。
– IPS 具有三种方向:流入、流出和双向。流入和流出将在下表中说明,双向指的是表中的所有交叉点。
– 为提高准确性,还考虑了其他元素,例如连接状态(例如 SYN 或已建立)、相对流量的数据包来源(例如发起者或响应者)。
2. 流量方向。与 IPS 有关的流量方向主要取决于流量流动的源区域和目标区域。在 Dell SonicWALL 收到数据包时,通常可立即获知数据包的源区域,并通过路由(或 VPN)查找快速确定其目标区域。
基于源和目标,可以数据包的方向性归类为流入或流出(不要与入站和出站相混淆),用于确定方向性的条件如下:
|
表格数据可能发生更改。
除了上述分类以外,对于流入/流出具有附加信任级别的区域(这些区域内在具有增强级别的安全性 [LAN|无线|加密<-->LAN|无线|加密])的数据包,还提供了专门的信任分类。具有信任分类的流量已应用所有特征(流入、流出和双向)。
3. 特征方向。这主要与 IPS 相关。在 IPS 中,每个特征都被 Dell SonicWALL 特征开发团队分配了一个方向,目的是进行优化,最大限度减少误报。特征方向包括:
– 流入 – 应用于流入流量和信任流量。大多数特征为流入特征,包括所有形式的应用程序漏洞以及所有枚举和足迹法尝试。约 85% 的特征为流入特征。
– 流出 – 应用于流出流量和信任流量。流出特征的示例包括 IM 和 P2P 登录尝试,以及对成功启动的漏洞的响应(例如攻击响应)。约 10% 的特征为流出特征。
– 双向 – 应用于所有流量。双向特征的示例包括 IM 文件传输、各种 NetBIOS 攻击(例如震荡波通信),以及各种 DoS 攻击(例如目的地为端口 0 的 UDP/TCP 流量)。约 5% 的特征为双向特征。
4. 区域应用。要触发某个特征,必须在它所流经的至少一个区域中激活需要的安全服务。例如,访问 Microsoft 终端服务器(在 X3 上,次要桥接接口,LAN)的互联网主机(X1,WAN)将触发流入特征“IPS 检测警报:MISC MS 终端服务器请求,SID:436,优先级:低”(如果已在 WAN、LAN 或同时在两者之中激活 IPS)。
访问规则默认值
默认的区域对区域访问规则。应考虑默认访问规则,尽管可根据需要对其进行修改。默认访问规则如下:
WAN 连接性
互联网 (WAN) 连接性是堆栈通信所必需的,例如授权、安全服务特征下载、NTP(时间同步)和 CFS(内容过滤服务)等。目前,仅通过主 WAN 接口进行这些通信。如果需要这些类型的通信,主 WAN 应具备连接互联网的路径。是否采用主 WAN 作为桥接对的一部分,对于其提供此类堆栈通信的能力没有任何影响。
Note 如果因特网连接不可用,可以手动执行授权,还可以在以下地址手动执行特征更新:
http://www.SonicWALL.com/us/support/2134_4170.html
以下是描述常见部署的示例拓扑。内联式二层桥接模式表示添加 Dell SonicWALL 安全设备,从而在已部署现有防火墙的网络中提供防火墙服务。外围安全表示在已在靠近网络外围的位置部署 Dell SonicWALL 的现有网络中,以单纯的二层桥接模式添加 Dell SonicWALL 安全设备。内部安全表示以混合模式完全集成 Dell SonicWALL 安全设备,在此模式中,安全设备用于同时提供二层桥接、WLAN 服务和经过 NAT 的 WAN 访问。具有高可用性的二层桥接模式表示防火墙 Dell SonicWALL HA 对与二层桥接共同提供高可用性的混合模式应用场景。具有 SSL VPN 的二层桥接模式表示与二层桥接模式联合部署 Dell SonicWALL Aventail SSL VPN 或 Dell SonicWALL SSL VPN 系列设备的应用场景。
参见以下章节:
• 无线二层桥接
• 外围安全
• 内部安全
• 具有高可用性的二层桥接模式(Dell SonicWALL NSA 系列设备)
在无线模式下,将无线 (WLAN) 接口桥接至 LAN 或 DMZ 区域之后,WLAN 区域将成为次要桥接接口,允许无线客户端使用与其有线对等方相同的子网和 DHCP 池。
配置 WLAN 到 LAN 二层接口桥接:
1. 浏览至 SonicOS 管理界面的网络 > 接口页。
2. 单击想要桥接的无线接口的配置图标。随即显示“编辑接口”窗口。
3. 选择二层桥接模式作为 IP 分配。
Note 尽管会自动创建一条常规规则,以允许 WLAN 区域与您所选定的桥接接口之间的流量,但仍会应用 WLAN 区域类型安全属性。必须手动添加任何特定规则。
4. 选择应该将 WLAN 桥接到的接口。在此实例中,将选择 X0(默认 LAN 区域)。
5. 按正常方法配置其余选项。有关配置 WLAN 接口的更多信息,请参见配置无线接口。
该方法适用于以下网络环境:存在现有的防火墙并将继续使用,但希望在不对网络做重大更改的前提下使用 Dell SonicWALL 的防火墙服务。通过将 Dell SonicWALL 置于二层桥接模式,X0 和 X1 接口将成为属于 X1 WAN 接口的相同广播域/网络的一部分。
本示例指的是安装在 Hewlett Packard ProCurve 交换环境中的 Dell SonicWALL 网络安全设备。
可以使用 HP 的 ProCurve Manager Plus (PCM+) 和 HP Network Immunity Manager (NIM) 服务器软件包来管理交换机以及 Dell SonicWALL 网络安全设备的某些方面。
要配置用于此应用场景的 Dell SonicWALL 设备,请浏览至网络 > 接口页面,然后单击 X0 LAN 接口的配置图标。在“X0 设置”页中,将 IP 分配设为“二层桥接模式”,并将桥接到:接口设为“X1”。此外,确保已配置该接口使用 HTTP 和 SNMP,以便通过 PCM+/NIM 从 DMZ 管理该接口。单击确定以保存和激活该更改。
您还必须确保修改防火墙访问规则,以允许从 LAN 到 WAN 以及从 WAN 到 LAN 的流量,否则这些流量将无法成功通过防火墙。如果将 PCM+/NIM 服务器置于 DMZ 中,则还必须修改防火墙上的路由信息。
下图描述了一个网络应用场景,已将 Dell SonicWALL 添加到其外围,以提供安全服务(该网络可能已经、也可能还没有在 Dell SonicWALL 与路由器之间部署现有防火墙)。
在此应用场景中,Dell SonicWALL 下面的所有部分(主桥接接口分段)通常被视为具有比 Dell SonicWALL 左侧所有部分(次要桥接接口分段)更低的信任级别。因此,最好使用 X1(主 WAN)作为主桥接接口。
来自连接到次要桥接接口 (LAN) 的主机的流量将被允许通过 Dell SonicWALL 流出到其网关(三层交换机上的 VLAN 接口,之后再通过路由器),而来自主桥接接口 (WAN) 的流量默认情况下不允许入站。
如果在次要桥接接口 (LAN) 分段中存在公用服务器(例如邮件和 Web 服务器),则可以添加允许相应 IP 地址和服务的 WAN->LAN 流量的访问规则,以允许流向这些服务器的入站流量。
此图描述了一个网络应用场景,其中 Dell SonicWALL 将作为外围安全设备,保护无线平台的安全。与此同时,它还将在网络的工作站和服务器分段之间提供二层桥接安全,而无需对任何工作站或服务器重新编址。
这种典型的部门间混合模式拓扑部署展示了 Dell SonicWALL 如何同时提供桥接和路由/NAT 服务。主桥接接口(服务器)分段与次要桥接接口(工作站)分段之间的流量将通过二层桥接。
由于桥接对的两个接口都已分配到受信任的 (LAN) 区域,因此将应用以下规则:
• 默认情况下将允许所有流量,但也可以根据需要设置访问规则。
从对比的角度出发,考虑如果将 X2(主桥接接口)分配到公用 (DMZ) 区域,将会发生怎样的情况:将允许所有工作站访问服务器,但服务器无法向工作站发起通信。尽管这样做可能能够支持流量流动要求(即工作站向服务器发起会话),但它会造成两种不利影响:
a. DHCP 服务器将位于 DMZ 中。来自工作站的 DHCP 请求将通过二层桥接到达 DHCP 服务器 (192.168.0.100),但由于默认的 DMZ->LAN 拒绝访问规则,来自服务器的 DHCP 供应将被丢弃。因此必须添加一条访问规则,或修改默认访问规则,以允许从 DMZ 到 LAN 的这一流量。
b. 从工作站到服务器的流量的安全服务方向性将被分类为流出,因为该流量将具有受信任的源区域和公用目标区域。这可能不是最优选择,因为它所提供的安全性不及流入或(理想选择)信任分类。
• 安全服务方向性将被分类为“信任”,并将应用所有特征(流入、流出和双向),从而为两个分段提供最高级别的安全性。
有关配置二层桥接模式下的接口的详细说明,请参见配置二层桥接模式。
具有高可用性的二层桥接模式(Dell SonicWALL NSA 系列设备)
这种方法适用于同时需要高可用性和二层桥接模式的网络环境。本示例针对的是 Dell SonicWALL NSA 系列设备,并假定使用的是已配置 VLAN 的交换机。
Dell SonicWALL HA 对包含在指定的 HA 端口 X5 上连接在一起的两个 Dell SonicWALL NSA 3500 设备。每个设备上的端口 X1 已配置用于正常 WAN 连接,并且用于访问该设备的管理界面。二层桥接模式采用的实施将端口 X0 桥接至端口 X2。
在设置此应用场景时,Dell SonicWALL 和交换机上都需要注意若干事宜:
在 Dell SonicWALL 设备上:
• 在配置高可用性时,不要启用虚拟 MAC 选项。在二层桥接模式配置中,此功能不起作用。
• 在类似这种内联环境中,不建议启用抢占模式。如果需要抢占模式,请遵循交换机文档中提供的建议,因为在这种情形下,触发时间和故障转移时间值具有重大作用。
• 考虑保留一个接口用于管理网络(在此示例中使用 X1)。如果有必要向桥接接口分配 IP 地址用于探查或其他目的,Dell SonicWALL 建议将分配给交换机的管理 VLAN 网络用于安全和管理用途。请注意,分配用于高可用性用途的 IP 地址不直接与实际流量流动交互。
在交换机上:
• 使用多个标记端口:如以上关系图所示,在边缘交换机(端口 23 和 24)和核心交换机 (C24 - D24) 上分别为 VLAN 100 创建两个标记 (802.1q) 端口。NSA 3500 设备将以内联方式连接在这两个交换机之间。在高性能环境中,通常建议(使用 OSPF)为此类部署指定链路汇总/端口中继、动态 LACP,甚至完全独立的链路,而且必须考虑每个交换机的容错能力。更多信息,请查阅交换机文档。
• 在 HP ProCurve 交换机上,当两个端口被标记在相同的 VLAN 中,该端口组将自动置为故障转移配置。这种情况下,当一个端口发生故障时,另一个端口将立即激活。
此示例拓扑介绍如何将 Dell SonicWALL 网络安全设备正确地安装到您现有的 Dell SonicWALL EX 系列 SSL VPN 或 Dell SonicWALL SSL VPN 网络环境中。将防火墙置为二层桥接模式,并通过内部专用连接连接到 SSL VPN 设备,可以扫描两个方向上的病毒、间谍软件和入侵行为。在此应用场景中,Dell SonicWALL 网络安全设备不会用于加强安全性,而用于双向扫描、阻止病毒和间谍软件以及入侵企图。经过正确设定的防火墙不会中断网络流量,除非已确定该流量的行为或内容是不需要的。本章节将介绍 Dell SonicWALL 网络安全设备的单端口和两端口部署。
WAN 到 LAN 访问规则
由于在此部署场景中,防火墙将仅用作防病毒、防间谍软件和入侵保护的实施点,因此必须修改其现有的安全策略,以允许 WAN 和 LAN 之间的流量双向通过。
在防火墙 > 访问规则页中,单击 WAN 到 LAN 流量的交汇点的配置图标。单击用于隐式阻止从 WAN 到 LAN 的未初始化流量的默认规则旁边的配置图标。
在编辑规则窗口中,为操作设置选择允许,然后单击确定。
配置网络接口和激活 L2B 模式
在此应用场景中,WAN 接口用于下列用途:
• 访问管理员使用的管理接口
• MySonicWALL 上的订阅服务更新
• 设备的默认路由以及后续 SSL VPN 设备内部流量的“下一跳”(这是防火墙设备 WAN 接口必须与 SSL VPN 设备的内部接口位于同一 IP 段的原因所在)
防火墙上的 LAN 接口用于监控来自 SSL VPN 设备外部接口的未加密客户端流量。这是以二层桥接模式运行的原因所在(而不是重新配置 SSL VPN 设备的外部接口,从而将 LAN 接口视为默认路由)。
在 SonicOS 增强版管理界面的网络 > 接口页中,单击 WAN 接口的配置图标,然后为其分配一个可访问互联网的地址,以便设备获取特征更新以及与 NTP 通信。
网关和内部/外部 DNS 地址设置将与 SSL VPN 设备的对应设置相匹配:
• IP 地址:它必须与 SSL VPN 设备上的内部接口的地址相匹配。
• 子网掩码、默认网关和 DNS 服务器:将这些地址设为与 SSL VPN 设备的设置相匹配。
对于管理设置,选择 HTTPS 和 Ping 复选框。单击确定以保存并激活更改。
要配置 LAN 接口设置,请浏览至网络 > 接口页,然后单击 LAN 接口的配置图标。
对于 IP 分配设置,选择二层桥接模式。对于桥接到设置,选择 X1。
如果您还需要传递 Dell SonicWALL NSA 系列设备支持的使用 VLAN 标记的流量,请单击 VLAN 过滤选项卡,然后添加需要通过的所有 VLAN。
单击确定以保存和激活该更改。您可以自动断开与防火墙的管理接口的连接。现在,您可以从防火墙的 X0 接口断开管理笔记本电脑或台式机,关闭防火墙,然后再将其实际连接到网络。
在网络与 SSL VPN 设备之间安装 Dell SonicWALL 网络安全设备
不论采用哪种部署方法(单宿主或多宿主),都应该将 Dell SonicWALL 网络安全设备置于 SSL VPN 设备的 X0/LAN 接口与内部网络连接之间。这使得设备能够向外连接 Dell SonicWALL 的授权和特征更新服务器,以及扫描来自请求访问内部网络资源的外部客户端的解密流量。
如果您的 SSL VPN 设备采用双端口模式并且位于第三方防火墙后面,则为双宿主设备。要连接双宿主 SSL VPN 设备,请执行以下步骤:
1. 将防火墙的 X0/LAN 端口连接到 SSL VPN 设备的 X0/LAN 端口。
2. 将防火墙的 X1/WAN 端口连接到之前连接 SSL VPN 的端口。
3. 给防火墙通电。
如果您的 SSL VPN 设备采用单端口模式并且位于第三方防火墙的 DMZ 区域中,则为单宿主设备。要连接单宿主 SSL VPN 设备,请执行以下步骤:
1. 将防火墙的 X0/LAN 端口连接到 SSL VPN 设备的 X0/LAN 端口。
2. 将防火墙的 X1/WAN 端口连接到之前连接 SSL VPN 的端口。
3. 给防火墙通电。
配置或验证设置
在网络中的管理工作站上,现在应该能够通过防火墙的 WAN IP 地址访问其管理界面。
确保已启用 Dell SonicWALL 网络安全设备的所有安全服务。参见授权服务和在每个区域激活防火墙服务。
在与 Dell SonicWALL Aventail SSL VPN 设备联合部署该设备之前,必须禁用 Dell SonicWALL 内容过滤服务。在网络 > 区域页中,单击 LAN (X0) 区域旁边的配置,清除强制内容过滤服务复选框,然后单击确定。
如果您尚未更改 Dell SonicWALL 网络安全设备上的管理密码,可以在系统 > 管理页中执行该操作。
要从外部客户端测试网络访问,请连接到 SSL VPN 设备并登录。连接后,尝试访问您的内部网络资源。如果存在任何问题,请检查您的配置并参阅配置二层桥接模式部署的通用设置。
IPS 探查器模式(Dell SonicWALL NSA 系列设备)
Dell SonicWALL NSA 系列设备支持 IPS 探查器模式,后者是用于入侵检测的 2 层桥接模式的变体。IPS 探查器模式配置允许将 Dell SonicWALL 上的接口连接到交换机上的镜像端口以检查网络流量。通常,该配置与主网关内部的交换机配合使用,以监控内联网中的流量。
在下面的网络图中,流量流入局域网中的交换机,并通过交换机镜像端口镜像至 Dell SonicWALL 安全设备上的 IPS 探查器模式端口中。Dell SonicWALL 根据在桥接对上配置的防火墙设置检测数据包。警报可能会触发 SNMP 陷阱,并通过 Dell SonicWALL 上的另一个接口将其发送到指定的 SNMP 过滤器。网络流量在经过 Dell SonicWALL 检测后被丢弃。
Dell SonicWALL 的 WAN 接口用于连接到 Dell SonicWALL 数据中心,以获取签名更新或其他数据。
在 IPS 探查器模式中,Dell SonicWALL 上同一区域内的两个接口之间会配置一个 2 层桥接,例如 LAN-LAN 或 DMZ-DMZ。也可以创建自定义区域以用于 2 层桥接。只有 WAN 区域不适用于 IPS 探查器模式。
原因是,SonicOS 会对同一区域内的流量(例如 LAN-LAN 流量)检测所有特征,但某些特定方向(客户端与服务器端)特征不适用于某些 LAN-WAN 的情况。
2 层桥接的任一端口均可连接到交换机上的镜像端口。在网络流量遍历交换机的过程中,该流量还被发送到镜像端口,并通过镜像端口流入 Dell SonicWALL 进行深度包检测。恶意事件会触发警报和生成日志条目,并且如果已启用 SNMP,还会向已配置的 SNMP 管理器系统的 IP 地址发送 SNMP 陷阱。该流量实际不会继续流入 2 层桥接的另一个接口。IPS 探查器模式不会让 Dell SonicWALL 设备接入网络流量,而是仅仅提供一种方法来检测流量。
网络 > 接口页中可用的“编辑接口”页面提供了在配置 IPS 探查器模式时使用的新复选框仅捕获该桥接对上的流量。选中该复选框时,将使得 Dell SonicWALL 检测通过镜像交换机端口到达 L2 桥接的所有数据包。对于 IPS 探查器模式,还应选中从不路由该桥接对上的流量复选框,以确保不会将来自镜像交换机端口的流量发回到网络中。(在该桥接对上从不路由流量设置称为捕获桥接模式。)
有关在 IPS 探查器模式下配置接口的详细说明,请参见配置 IPS 探查器模式(Dell SonicWALL NSA 系列设备)。
IPS 探查器模式示例拓扑
本章节提供在 Hewlitt Packard ProCurve 交换环境中使用 Dell SonicWALL IPS 探查器模式的示例。此应用场景依靠的是 HP ProCurve Manager Plus (PCM+) 和 HP Network Immunity Manager (NIM) 服务器软件包所提供的用于限制或关闭正在流出威胁的端口的功能。
该方法适用于以下网络环境:存在现有的防火墙并将继续使用,但希望将 Dell SonicWALL 的防火墙服务用作传感器。
在此部署中,将针对内部网络的寻址方案配置 WAN 接口和区域,并将其连接到内部网络。X2 端口通过 2 层桥接连接到 LAN 端口 – 但它不会连接任何对象。X0 LAN 端口配置为 HP ProCurve 交换机上另一个专门设定的端口。此特殊端口设置用于镜像模式 – 它会将所有内部用户和服务器端口转发到 Dell SonicWALL 上的“探查”端口。通过该端口,Dell SonicWALL 可以分析整个内部网络的流量,如果有任何流量触发了防火墙特征,它将立即通过 X1 WAN 接口将其捕获到 PCM+/NIM 服务器,然后对正在流出威胁的特定端口采取措施。
要配置此部署,请浏览至网络 > 接口页,并单击 X2 接口的配置图标。在“X2 设置”页中,将 IP 分配设为“二层桥接模式”,并将桥接到:接口设为“X0”。选中复选框仅捕获该桥接对上的流量。单击确定以保存和激活该更改。
下一步,转至网络 > 接口页,并单击 X1 WAN 接口的配置图标。在“X1 设置”页中,为其分配用于网络内部 LAN 分段的唯一 IP 地址 – 这听起来可能不对,但它实际上将成为您用来管理设备的接口,也是设备用来发送其 SNMP 陷阱以及获取防火墙特征更新的端口。单击确定。
您还必须修改防火墙规则,以允许从 LAN 到 WAN 以及从 WAN 到 LAN 的流量,否则这些流量将无法成功通过防火墙。
将 SPAN/镜像交换机端口连接到 Dell SonicWALL 上的 X0,而不是 X2(事实上 X2 中不会插入任何连接),并将 X1 连接到内部网络。小心地设定 SPAN/镜像至 X0 的端口。