31
2017
03

WSG上网行为管理网关的几种组网方案探讨

经常有用户问起如何用”WSG上网行为管理网关“(WFilter NGF)来进行组网,本文我将进行一定的探讨。

首先要明确的是,WSG网关是一个”下一代防火墙“、”上网行为管理设备“,也是一个网关路由器,另外WSG还可以工作在网桥模式。所以,WSG一般采用如下方案来组网:

  1. WSG在网络中处于接入的位置,后面直接接交换机。WSG已经有了防火墙功能,所以不需要额外的防火墙。

  2. WSG接在现有的防火墙后,用网关或者网桥模式,用做上网行为管理和流控。

由于网桥的模式比较简单,不涉及到网络结构的改动。在本文中,我们只探讨WSG作为网关的组网模式,以一个典型的企业局域网环境为例(分为:办公、服务器、Wifi),详述如下:


1. 组网方案

1.1. WSG + 三层核心交换机

201703311490939690256329.png

    如上图所示,通过三层交换机来划分VLAN,WSG作为路由接入设备,提供防火墙和上网行为管理功能。这个网络结构,只需要在WSG上配置到不同VLAN网段的路由即可,详细配置命令请参考:多VLAN三层交换机如何连接WFilter上网行为管理系统

1.2. WSG + 二层VLAN交换机

201703311490939698271410.png

    如上图所示,本例中,WSG作为路由接入设备,提供防火墙和上网行为管理功能。用支持VLAN的二层交换机来作为核心交换机,由于二层VLAN交换机无法配置ACL,需要在WSG网关上配置VLAN模块,从而把WSG网关作为一个“单臂路由”来使用。具体配置请参考:WFilter NGF的VLAN设置


1.3. WSG + 普通二层交换机

201703311490939698116316.png

    如果您没有三层交换机,也没有支持划分VLAN的二层交换机。没问题,用WSG一样可以实现多网段:在“接口设置”中添加多个“内网网段”,每个内网网段接到不同的交换机即可。等于在WSG网关是实现了VLAN的功能,还可以用WSG的“防火墙”功能来设置不同网段互访的权限。

2. 服务器的发布

服务器的发布一般有两种方案:

  • a. 端口映射。把服务器的相关端口映射到外网即可。如果公网IP是静态IP,可以通过静态IP访问。如果公网IP是动态的,可以启用“动态域名”功能来通过域名访问。

  • b. 静态NAT。当你有多个静态公网IP时,可以把内网的服务发布到指定的公网IP上。比如:“公司申请三个公网IP,IP1用作上网,IP2用于发布内网的web服务器,IP3用于发布内网的FTP服务器。” 请参考:DMZ和静态NAT


3. 服务器安全问题

如果是通过“端口映射”来发布服务,由于只公开了指定端口,安全性是比较高的,一般不会存在安全隐患。(注:黑客利用公开的漏洞,可以在服务器上开启其他的端口进行入侵。而端口映射由于只映射了一个端口,所以黑客即使利用漏洞开启了后门,也会被防火墙挡住无法进入。)

服务器的安全问题,需要注意如下要点:

a. 如果是“静态NAT”或者“DMZ”来发布服务,建议多排除掉一些端口,只留下必须的服务端口。

b. 在服务器上开启防火墙,只例外服务必须的端口。(又加了一重保障)

c. 服务器段单独一个VLAN,并且配置VLAN的访问规则,只允许内网到服务器的访问,屏蔽服务器到内网的访问。这样设置后,即使服务器被入侵,也可以保证企业内网的安全。




« 上一篇 下一篇 »