SonicOS 包括 L2(2 层)桥接模式,以不显眼的方式将防火墙集成到任何以太网网络。二层桥接模式表面上与 SonicOS 的透明模式相似,因为它使得防火墙能够在两个接口之间共享公共子网,以及对所有流经的 IP 流量执行状态检测和深度包检测,但二层桥接模式的功能更加全面。
与其他透明解决方案不同,二层桥接模式可传递所有流量类型,包括 IEEE 802.1Q VLAN、生成树协议、多播、广播和 IPv6,从而确保无中断地继续所有网络通信。
二层桥接模式的全面性还体现在可以使用它来配置 IPS 探查器模式。Dell SonicWALL 安全设备支持 IPS 探查器模式,后者使用桥接对的单个接口来监控来自交换机上的镜像端口的网络流量。IPS 探查器模式提供入侵检测,但无法阻止恶意流量,因为防火墙未以内联方式接入流量流动。如需 IPS 探查器模式的更多信息,请参见IPS 探查器模式 。
二层桥接模式为具备以下特征的网络提供了理想的解决方案:已具备现有防火墙,但不计划立即更换其现有防火墙,而是希望增加 SonicWALL 深度包检测的安全性(例如入侵保护服务、网关防病毒和网关防间谍软件等安全服务)。如果您没有订阅 SonicWALL 安全服务,您可以在 SonicWALL 的安全服务 > 摘要页中注册免费试用。
也可以在高可用性部署中使用二层桥接模式。此应用场景将在有高可用性的二层桥接模式 中说明。
|
•
|
|
•
|
|
•
|
二层桥接模式 – 一种配置 Dell SonicWALL 安全设备的方法。利用此方法,防火墙能够以内联方式插入现有网络,并有绝对的透明性(甚至超越了透明模式所提供的透明性)。二层桥接模式还指为置入桥接对的次要桥接接口所选择的 IP 分配配置。
|
|
•
|
透明模式 – 一种配置 Dell SonicWALL 安全设备的方法。利用此方法,可通过使用自动应用的 ARP 和路由逻辑在两个或更多个接口之间生成单个 IP 子网,无需重新配置 IP 即可在现有网络中插入防火墙。
|
|
•
|
IP 分配 – 在配置受信任的接口 (LAN) 或公用 (DMZ) 接口时,接口的 IP 分配可能是:
|
|
•
|
静态 – 手动输入接口的 IP 地址。
|
|
•
|
透明模式 – 使用落入 WAN 主 IP 子网范围内的地址对象(主机、范围或组)来分配接口的 IP 地址,从而有效地生成从 WAN 接口到所分配的接口的子网。
|
|
•
|
二层桥接模式 – 置于此种模式的接口将成为它被配对到的主桥接接口的次要桥接接口。之后,生成的桥接对的行为将与拥有完全二层透明性的两端口学习桥接相似,且将对所有流经桥接对的 IP 流量进行完全状态故障切换和深度包检测。
|
|
•
|
桥接对 – 构成主桥接接口和次要桥接接口的逻辑接口组。术语主要和次要并不暗示任何固有的操作主导或从属级别;两个接口将继续根据其区域类型进行处理,并根据所配置的访问规则传递 IP 流量。经过桥接对的非 IPv4 流量由次要桥接接口上的阻塞所有非 IPv4 流量设置进行控制。系统可以支持的桥接对数量与它能提供的接口对数量相同。或者说,最大桥接对数量等于平台上的物理接口数量的一半。拥有桥接对成员资格不妨碍接口的常规行为;例如,如果将 X1 配置为与次要桥接接口 X3 配对的主桥接接口,则 X1 可以在作为主 WAN(传统角色)工作的同时,通过自动添加的 X1 默认 NAT 策略执行用于互联网绑定流量的 NAT。
|
|
•
|
主桥接接口 – 在为其配对次要桥接接口后分配给接口的名称。主桥接接口可能属于不信任的 (WAN)、受信任的 (LAN) 或公用 (DMZ) 区域。
|
|
•
|
次要桥接接口 – 分配给已针对二层桥接模式配置其 IP 分配的接口的名称。次要桥接接口可能属于受信任的 (LAN) 或公用 (DMZ) 区域。
|
|
•
|
桥接管理地址 – 主桥接接口的地址由桥接对的两个接口共享。如果主桥接接口凑巧还是主 WAN 接口,则该地址将用于防火墙的出站通信,例如 NTP 和许可证管理器更新。连接到桥接对的任一网段的主机还可以使用桥接管理地址作为其网关,这在混合模式部署中很常见。
|
|
•
|
桥接合作伙伴 – 该术语用于指代桥接对的“另一个”成员。
|
|
•
|
非 IPv4 流量 - SonicOS 支持以下 IP 协议类型:ICMP (1)、IGMP (2)、TCP (6)、UDP (17)、GRE (47)、ESP (50)、AH (51)、EIGRP (88)、OSPF (89)、PIM-SM (103)、L2TP (115)。对于更多机密型 IP 类型(例如战斗无线电传输协议 (126))以及非 IPv4 流量类型(例如 IPX 或当前使用的 IPv6 流量),防火墙均不在本机进行处理。二层桥接模式可配置为传递或丢弃非 IPv4 流量。
|
|
•
|
捕获桥接模式 – 这种可选的二层桥接工作模式可防止已进入二层桥接的流量被转发至非桥接对接口。默认情况下,二层桥接逻辑会将已进入二层桥接的流量沿 ARP 和路由表所确定的最优路径转发至其目的地。在某些情况下,最优路径可能涉及到路由至或 NAT 至非桥接对接口。激活捕获桥接模式可确保进入二层桥接的这类流量退出二层桥接,而不是采用在逻辑上最优的路径。一般而言,仅在有冗余路径且严格要求遵循路径的复杂网络才需要使用这种工作模式。
|
|
•
|
单纯的二层桥接拓扑 – 指的是将防火墙严格用于二层桥接模式,以便为网络提供内联式安全性的部署方式。这意味着,进入桥接对一端的所有流量将被绑定到另一端,而不会通过其他接口进行路由/NAT。这在以下情况下很常见:存在现有的外围安全设备;或者沿现有网络的部分路径(例如部门之间的路径或两个交换机之间的主干链路上的路径)需要内联式安全。单纯的二层桥接拓扑不是一种功能限制,而是对异构环境中的常见部署的一种拓扑描述。
|
|
•
|
混合模式拓扑 – 指代桥接对不是通过防火墙的唯一入口/出口点的部署情况。这意味着,进入桥接对一端的流量可能会通过其他接口进行路由/NAT。这在防火墙被用来为一个或多个桥接对提供安全性的同时,还提供下列服务时很常见:
|
ARP – 在透明模式下,地址解析协议(网络接口卡上的唯一硬件地址通过该机制与 IP 地址进行关联)使用的是代理方式。如果左侧服务器上的工作站之前已将路由器 (192.168.0.1) 解析为其 MAC 地址 00:99:10:10:10:10,要使这些主机能够通过防火墙进行通信,必须先清除这条缓存的 ARP 条目。这是因为,防火墙为连接到以透明模式工作的接口的主机代理(或者说代其响应)了网关 IP (192.168.0.1)。因此,当左侧的工作站尝试解析 192.168.0.1 时,它所发送的 ARP 请求将由防火墙使用自己的 X0 MAC 地址 (00:06:B1:10:10:10) 进行响应。
对于大型网络而言,采用多个子网(这些子网可能在单个线路上、单独的 VLAN 中、多个线路上或采用某种组合)的情况很常见。尽管透明模式能够通过使用静态 ARP 和路由条目来支持多个子网(如技术说明
http://www.sonicwall.com/us/support/2134_3468.html 所述),但这个过程相当繁琐。
透明模式将丢弃(且通常会记录)所有非 IPv4 流量,阻止其传递其他流量类型,例如 IPX 或未处理的 IP 类型。
二层桥接模式解决了这些常见的透明模式部署问题,后面的章节将对此加以说明。
这种行为允许将以二层桥接模式工作的 SonicWALL 引入现有网络中,而不会对大多数网络通信造成除物理插入引起的瞬时中断以外的其他干扰。
请注意,在插入二层桥接模式的防火墙时,需要重新建立基于流的 TCP 协议通信(例如客户端与服务器之间的 FTP 会话)。这是设计决定的,目的是维护状态数据包检测所提供的安全性;由于状态数据包检查引擎无法获知在其之前已存在的 TCP 连接,因此它会丢弃这些既有的数据包,并记录事件“在不存在/已关闭的连接上收到 TCP 数据包;TCP 数据包已丢弃”。
图 8. 二层桥接 IP 数据包流
|
•
|
一般而言,进入二层桥接的数据包的目的地将是桥接合作伙伴接口(即桥接的另一端)。这种情况下,无需执行转化。
|
|
•
|
如上所示,二层桥接模式能够处理通过桥接的任何数量的子网。默认行为是允许所有子网,但可以根据需要,通过应用访问规则来控制流量。
默认情况下,不支持的流量将从一个二层桥接接口传递至桥接合作伙伴接口。这使得防火墙可以传递其他流量类型,包括 LLC 数据包(例如生成树)、其他以太网类型(例如 MPLS 标签交换数据包 (EtherType 0x8847)、Appletalk (EtherType 0x809b) 和广受欢迎的虚拟综合网络服务 (EtherType 0xbad))。这些非 IPv4 数据包将仅通过桥接,而不会受到数据包处理程序的检测或控制。如果不需要这些流量类型,可通过在次要桥接接口配置页中启用阻塞所有非 IPv4 流量选项来更改桥接行为。
二层桥接模式最多允许两个接口。如果同一子网中需要工作的接口数量超过两个,应考虑采用透明模式。
|
1
|
如果存在通往目的地的最具体的非默认路由,则选择该路由。它包括下列示例情况:
|
在最后这种情况下,由于在收到 ARP 响应之前目的地未知,因此,目标区域在此之前也保持未知。这使得防火墙在完成路径确定之前无法应用相应的访问规则。完成路径确定后,将对后续的相关流量应用正确的访问规则。
|
a
|
如果该路径为另一个连接的(本地)接口,则可能不需要转换。也就是说,由于触发了最终的任意->原始 NAT 策略,它将得到有效的路由。
|
|
b
|
应根据网络的流量流动要求进行桥接对接口区域分配。透明模式要求使用主 WAN 作为源接口,使用受信任的或公用接口作为透明接口,从而实现一个“更可信任的对不可信的”系统;与之不同的是,二层桥接模式允许对操作级别的信任提供更多的控制。具体而言,二层桥接模式允许将主桥接接口和次要桥接接口分配给相同或不同的区域(例如 LAN+LAN、LAN+DMZ、WAN+自定义 LAN,等等)。这不仅影响到应用于流量的默认访问规则,还影响到对流经桥接的流量应用深度包检测安全服务的方式。选择和配置要在桥接对中使用的接口时,需要考虑的重要方面包括:安全服务、访问规则和 WAN 连接性:
安全服务将是二层桥接模式的主要应用之一,因此了解安全服务的应用对于正确选择桥接对接口区域而言非常重要。安全服务适用性基于以下条件:
|
1
|
|
2
|
流量方向。与 IPS 有关的流量方向主要取决于流量流动的源区域和目标区域。在防火墙收到数据包时,通常立即获知数据包的源区域,并通过路由(或 VPN)查找快速确定其目标区域。
|
基于源和目标,数据包的方向性可归类为传入或传出,(不要与入站和出站相混淆),用于确定方向性的条件如下:
除了上述分类以外,对于流入/流出拥有附加信任级别的区域(这些区域内在拥有增强级别的安全性 [LAN|无线|加密<-->LAN|无线|加密])的数据包,还提供了专门的信任分类。有信任分类的流量已应用所有特征(传入、传出和双向)。
|
3
|
特征方向。它主要与 IPS 相关。在 IPS 中,每个特征都被 SonicWALL 特征开发团队分配了一个方向,目的是提供优化手段,最大限度减少误报。特征方向包括:
|
|
•
|
传入 – 应用于传入流量和信任流量。大多数特征为传入特征,包括所有形式的应用程序漏洞以及所有枚举和足迹法尝试。约 85% 的特征为传入特征。
|
|
•
|
传出 – 应用于传出流量和信任流量。传出特征的示例包括 IM 和 P2P 登录尝试,以及对成功启动的漏洞的响应(例如攻击响应)。约 10% 的特征为传出特征。
|
|
•
|
双向 – 应用于所有流量。双向特征的示例包括 IM 文件传输、各种 NetBIOS 攻击(例如震荡波通信),以及各种 DoS 攻击(例如目的地为端口 0 的 UDP/TCP 流量)。约 5% 的特征为双向特征。
|
|
4
|
区域应用。要触发某个特征,必须在它所流经的至少一个区域中激活需要的安全服务。例如,访问 Microsoft 终端服务器(在 X3 上,次要桥接接口,LAN)的互联网主机(X1,WAN)将触发传入特征“IPS 检测警报:MISC MS 终端服务器请求,SID:436,优先级:低”(如果已在 WAN、LAN 或同时在两者之中激活 IPS)。
|
默认的区域对区域访问规则。应考虑默认访问规则,尽管可根据需要对其进行修改。默认访问规则如下:
图 9. 访问规则默认值
互联网 (WAN) 连接性是堆栈通信所必需的,例如授权、安全服务特征下载、NTP(时间同步)和 CFS(内容过滤服务)等。目前,仅通过主 WAN 接口进行这些通信。如果需要这些类型的通信,主 WAN 应具备连接互联网的路径。是否采用主 WAN 作为桥接对的一部分,对于其提供此类堆栈通信的能力没有任何影响。
以下是描述常见部署的示例拓扑。内联式二层桥接模式描述加入 Dell SonicWALL 安全设备,从而在已部署现有防火墙的网络中提供安全服务。外围安全描述在已在靠近网络外围的位置部署防火墙的现有网络中,以单纯的二层桥接模式加入 Dell SonicWALL 安全设备。内部安全描述以混合模式完全集成 Dell SonicWALL 安全设备,在此模式中,安全设备用于同时提供二层桥接、WLAN 服务和经过 NAT 的 WAN 访问。拥有高可用性的二层桥接模式描述防火墙 HA 对与二层桥接共同提供高可用性的混合模式应用场景。拥有 SSL VPN 的二层桥接模式描述与二层桥接模式联合部署 SonicWALL Aventail SSL VPN 或 SonicWALL SSL VPN 系列设备的应用场景。
|
•
|
|
•
|
|
•
|
在无线模式下,将无线 (WLAN) 接口桥接至 LAN 或 DMZ 区域之后,WLAN 区域将成为次要桥接接口,允许无线客户端使用与其有线对等方相同的子网和 DHCP 池。
|
1
|
转至 SonicOS 管理界面的网络 > 接口页。
|
|
2
|
|
3
|
|
4
|
从桥接到下拉菜单选择应将 WLAN 桥接到的接口。在此实例中,将选择 X0(默认 LAN 区域)。
|
本示例指的是安装在 Hewlett Packard ProCurve 交换环境中的 Dell SonicWALL 安全设备。SonicWALL 是 HP ProCurve 联盟的成员之一 – 更多详细信息,请参见以下位置:
http://www.procurve.com/alliance/members/sonicwall.htm。
要配置用于此应用场景的防火墙,请转至网络 > 接口页,然后单击 X0 LAN 接口的配置图标。在“X0 设置”页中,将 IP 分配设为“二层桥接模式”,并将桥接到:接口设为“X1”。此外,确保已配置该接口使用 HTTP 和 SNMP,以便通过 PCM+/NIM 从 DMZ 管理该接口。单击确定以保存和激活该更改。
外围安全是将防火墙添加到外围以提供安全服务(网络可能已经也可能还没有在该防火墙与路由器之间部署现有防火墙)的网络应用场景。在此应用场景中,防火墙下面的所有部分(主桥接接口分段)通常被视为有低于防火墙左侧所有部分(次要桥接接口分段)的信任级别。因此,最好使用 X1(主 WAN)作为主桥接接口。
来自连接到次要桥接接口 (LAN) 的主机的流量将被允许通过防火墙传出到其网关(三层交换机上的 VLAN 接口,之后再通过路由器),而来自主桥接接口 (WAN) 的流量默认不允许入站。
如果在次要桥接接口 (LAN) 分段中存在公用服务器(例如邮件和 Web 服务器),则可以添加允许相应 IP 地址和服务的 WAN->LAN 流量的访问规则,以允许流向这些服务器的入站流量。
在此网络应用场景中,防火墙将作为外围安全设备,保护无线平台的安全。与此同时,它还将在网络的工作站和服务器分段之间提供二层桥接安全,而无需对任何工作站或服务器重新编址。
这种典型的部门间混合模式拓扑部署展示了防火墙如何同时提供桥接和路由/NAT 服务。主桥接接口(服务器)分段与次要桥接接口(工作站)分段之间的流量将通过二层桥接。
由于桥接对的两个接口都已分配到受信任的 (LAN) 区域,因此将应用以下规则:
|
•
|
|
•
|
如需配置二层桥接模式下的接口的详细说明,请参见配置二层桥接模式 。
这种方法适用于同时需要高可用性和二层桥接模式的网络环境。本示例针对的是 Dell SonicWALL 安全设备,并假定使用已配置 VLAN 的交换机。
图 10. 内部安全:示例同时需要高可用性和二层桥接模式的网络环境
由于在此部署场景中,网络安全设备将仅用作防病毒、防间谍软件和入侵保护的实施点,因此必须修改其现有的安全策略,以允许 WAN 和 LAN 之间的流量双向通过。
在防火墙 > 访问规则页中,单击 WAN 到 LAN 流量的交汇点的配置图标。单击用于隐式阻止从 WAN 到 LAN 的未初始化流量的默认规则旁边的配置图标。在编辑规则窗口中,为操作设置选择允许,然后单击确定。
在 SonicOS 管理界面的网络 > 接口页中,单击 WAN 接口的配置图标,然后为其分配一个可访问互联网的地址,以便设备获取特征更新以及与 NTP 通信。
网关和内部/外部 DNS 地址设置将与 SSL VPN 设备的对应设置相匹配:
|
•
|
对于管理设置,选择 HTTPS 和 Ping 复选框。单击确定以保存并激活更改。
要配置 LAN 接口设置,请转至网络 > 接口页,然后单击 LAN 接口的配置图标。
对于 IP 分配设置,选择二层桥接模式。对于桥接到设置,选择 X1。
如果您还需要传递防火墙上支持的使用 VLAN 标签的流量,请单击 VLAN 过滤选项卡,然后添加需要通过的所有 VLAN。
单击确定以保存和激活该更改。您可以会自动断开与网络安全设备的管理接口的连接。现在,您可以从设备的 X0 接口断开管理笔记本电脑或台式机,关闭设备,然后再将其实际连接到网络。
如果您的 SSL VPN 设备采用双端口模式且位于第三方防火墙后面,则为双宿主设备。
|
3
|
如果您的 SSL VPN 设备采用单端口模式且位于第三方防火墙的 DMZ 区域中,则为单宿主设备。
|
3
|
在网络中的管理工作站上,现在应该能够通过网络安全设备的 WAN IP 地址访问其管理界面。
确保已启用 Dell SonicWALL 安全设备的所有安全服务。参见授权服务 和在每个区域激活安全服务 。
在与 SonicWALL Aventail SSL VPN 设备联合部署该设备之前,必须禁用 SonicWALL 内容过滤服务。在网络 > 区域页中,单击 LAN (X0) 区域旁边的配置,清除强制内容过滤服务复选框,然后单击确定。
如果您尚未更改 Dell SonicWALL 安全设备上的管理密码,可以在系统 > 管理页中执行该操作。
要从外部客户端测试网络访问,请连接到 SSL VPN 设备并登录。连接后,尝试访问您的内部网络资源。如果存在任何问题,请检查您的配置并参阅配置二层桥接模式部署的通用设置 。
