行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
上网AC12.0.47
{{sendMatomoQuery("行为管理AC","网桥模式")}}

网桥模式

更新时间:2022-07-15

网桥模式是把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用。把设备接在原有网关及内网用户之间,在原网关及内网用户不需做任何配置改变的情况下,对设备进行一些配置即可使用。对原网关及内网用户而言,亦不知设备的存在,即所谓对原网关及内网用户透明。网桥模式的主要特点是:网桥模式对用户做到完全透明。

注意事项

设备工作在网桥模式时,局域网内电脑的网关都不需要改变,保留指向原有网关即可(即指向前置设备的内网接口IP)。

设备工作在网桥模式时,穿透数据时要保证WAN区接前置的路由设备,LAN区接内网的交换机,不能接反。数据从LAN区发到WAN区能进行上网行为的监控和控制。

设备的网桥模式是在数据链路层(OSI第二层)上实现的透明,是通过把设备的几个网口桥接起来实现的。数据链路层及以上各层的数据均可穿透。原有网关启用IP/MAC绑定及DHCP等需要第二层数据穿透的功能可以正常使用。

在网桥模式下设备无NAT功能,VPN功能不生效。

如启用上网安全、邮件内容识别等功能或要让设备能够自动升级URL库,应用识别规则库,杀毒引擎等,则需配置网桥IP,默认网关和DNS,并保证设备本身访问外网(可通过升级控制台工具ping测试)。

如启用WEB认证、准入客户端推送或其他需要重定向到设备上的功能,同时内网有多网段时,须添加到内网非直连网段的路由指向内网路由设备。

网桥模式时,设备网桥支持VLAN TRUNK穿透,网桥的IP地址支持802.1Q-VLAN的地址,即设备可以透明接在VLAN TRUNK的主干道上。

运行环境

设备一进一出做单网桥。

适用于用户内网有VRRP或HSRP环境,上架设备做多网桥实现基本审计控制功能的同时,不影响用户原有主备的切换。如图所示的两种运行环境。

用户的两个FW和交换机之间走VRRP协议,FW对应的虚拟IP是192.168.1.1,设备双进双出做双网桥部署在交换机和防火墙之间。

操作步骤

配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https://10.251.251.251登录设备,默认登录用户名/密码是:admin/admin。

在导航菜单页面中的[系统管理/网络配置/部署模式],进入[部署模式]编辑页面,点击<开始配置>,出现以下页面,配置设备模式为网桥模式,点击<下一步>。

分别选择LAN区网口和WAN区网口,组成两对网桥,如图所示。

[LAN网口选择]用于选择内网接口。

[WAN网口选择]用于选择外网接口。

[网桥列表]用于定义网桥,每对网桥接口之间允许转发数据,非一对网桥接口之间的数据是不允许转发的。

勾选开启多网桥链路同步,当网桥的一个网口由连接到断开或者是从断开到连接,另外一个网口的状态完成相应的转换,实现同一个网桥的两个网口状态同步,通常用于在冗余网络环境中通知对端设备该链路正发生了故障或已从故障中恢复,建议开启。

网桥配置,配置网桥IP地址。

在[网桥配置]中配置设备的两个网桥IP,此例中两个网桥是处在不同网段上的,按照网络中空闲的IP地址分配两个地址用做网桥IP。

有VLAN数据穿过设备,这里需要设置VLAN的相关信息,包括VLAN ID、VLAN IP(内网每个VLAN均分配一个空闲IP给设备)、VLAN的掩码。

此处如果没有多余的空闲地址分配做网桥IP,不会影响内网上网的数据,但此时设备没有有效的IP和内网、外网进行通讯,某些功能会受到影响,比如:规则库更新、WEB认证、准入客户端推送等,这种情况可以通过管理网口接到内网交换机上,通过管理网口实现设备和内外网的通信。

网桥部署模式下网桥IP可以为空。

多网桥下各组网桥之间的IP不能同网段,而且网桥之间不能有相同的VLAN ID。

配置管理网口,管理网口DMZ口,选择一个设备空闲的网口(非网桥口)作为管理网口。

网关配置,配置网关地址,DNS地址。

在[网关配置]中配置设备默认网关和DNS地址。此例中两个网桥按照网络中空闲的IP地址分配两个地址用做网桥IP,默认网关指向前置FW的虚拟IP地址,DNS设置网络运营商分配的公网DNS地址。

勾选[自动放通防火墙规则]:用于放通WAN<->LAN方向所有数据的防火墙规则。

确认配置信息,确认无误后,点击<提交>。

设置完毕需要重启设备才能生效,在弹出的提示框中点击<是>。

配置新增[组/用户]或者是在[认证策略]中添加新用户认证策略,避免内网用户没有有效的身份验证,无法通过设备上网。

基本配置完毕后,将设备接入网络中,WAN1口、WAN2口分别接FW1、FW2,LAN1口、LAN2口接内网交换机。