一、部署模式：靈活適配多樣網絡環境

下一代防火墻（NGAF）具備極強的網絡適應能力，支持五種核心部署模式，可根據不同網絡需求靈活選擇。

• 路由模式：防火墻相當于路由器，位于內外網之間負責路由尋址，上下行接口均工作在三層，需配置不同網段 IP 地址。支持 NAT、策略路由、OSPF/BGP/RIP 等動態路由協議等豐富安全特性，適用于替換出口路由器或老防火墻，但需修改原網絡拓撲，對現有環境改動較大。
• 透明模式：接口為二層接口，無需配置 IP 地址，根據 MAC 地址表轉發數據，部署時不改動現有網絡環境。部分功能要求接口為 WAN 屬性，設置透明 WAN 口時需注意接線方向，避免內外網口接反導致功能失效。
• 虛擬網線模式：作為透明部署的特殊形式，接口成對存在，轉發數據時無需檢查 MAC 表，直接從配對接口轉發。其轉發性能高于透明接口，在單進單出網橋環境中推薦使用。
• 混合模式：結合透明接口和路由接口的特點，適用于復雜網絡場景。例如服務器群使用公網 IP 直接被訪問，內網用戶通過 NAT 轉換上網的場景，可將連接公網和服務器群的接口設為透明接口，連接內網的接口設為路由接口。
• 旁路模式：設備旁掛在現有網絡設備上，不影響現有網絡結構，通過端口鏡像技術將流量鏡像到防火墻實現數據的分析和處理。需單獨設置管理接口，啟用旁路 reset 功能，支持 APT（僵尸網絡）、PVS（實時漏洞分析）、WAF（web 應用防護）、IPS（入侵防護系統）、DLP（數據泄密防護）及網站防篡改部分功能（客戶端保護）。

二、接口類型：構建網絡連接的核心要素

NGAF 的接口類型豐富，可按屬性和工作區域劃分，接口屬性決定設備部署模式。

按接口屬性分類

• 物理接口：與設備面板接口一一對應（eth0 為固定管理口），根據轉發特性可分為路由、透明、虛擬網線和旁路鏡像 4 種類型，前三種可設置 WAN 或非 WAN 屬性。物理接口無法刪除或新增，數目由硬件型號決定。
• 子接口：邏輯接口，僅能在路由口下添加，適用于路由接口需啟用 VLAN 或 TRUNK 的場景。其下一跳網關和鏈路故障檢測需根據實際環境配置，且路由接口的 IP 地址不能與子接口 IP 在同網段。
• VLAN 接口：邏輯接口，為 VLAN 定義 IP 地址后產生，需填寫對應 VLAN ID，其下一跳網關和鏈路故障檢測需根據實際環境配置。
• 聚合接口：將多個以太網接口捆綁形成的邏輯接口，最多支持 4 個聚合接口。工作模式包括主備模式（取 eth 最大號為主接口，其余為備接口）、負載均衡 - hash（按數據包源目的 IP/MAC 的 hash 值均分）、負載均衡 - RR（按數據包輪轉均分）。

按接口工作區域分類

可分為二層區域口、三層區域口、虛擬網線區域口，用于適配不同的網絡層級需求。

特殊接口說明

• 路由接口：需配置 IP 地址，具備路由轉發功能，部分功能（如流控、VPN、策略路由）要求接口為 WAN 屬性。若為 ADSL 撥號，需勾選添加默認路由選項；WAN 屬性接口必須開啟鏈路故障檢測，用于檢測鏈路狀態及線路故障時自動切換流量。
• 透明接口：相當于普通交換網口，無需配置 IP 地址，不支持路由轉發，根據 MAC 地址表轉發數據。
• 虛擬網線接口：成對存在的交換接口，無需配置 IP 地址和檢查 MAC 表，直接從配對接口轉發，轉發性能優于透明接口。
• 管理口（Eth0）：固定為路由口，無法修改類型，可增加管理 IP 地址，默認管理 IP 10.251.251.251/24 無法刪除，且不支持設置為透明或虛擬網線接口。

三、區域定義：邏輯安全的劃分與管理

區域是本地邏輯安全區域概念，用于定義和歸類接口，供防火墻、內容安全、服務器保護等模塊調用。

• 區域規劃需根據控制需求進行，可將一個接口劃分到一個區域，或多個相同需求接口劃到同一區域，一個接口僅能屬于一個區域。
• 配置方式靈活，可在區域中選擇接口，也可預先設置區域名稱后在接口中選擇區域，常見區域包括 DMZ 區域、Trust 區域、Untrust 區域等。

四、典型組網模式配置詳解

路由模式組網

• 需求背景：替換現有防火墻，實現對內網用戶和服務器的安全防護。
• 部署前準備：明確現有設備接口配置、內網網段規劃、服務器映射需求、內網訪問權限、安全策略配置及現有拓撲完整性。
• 配置思路：首先在【網絡配置】-【接口 / 區域】-【物理接口】中配置接口類型、所屬區域、基本屬性及 IP 地址；然后在【網絡配置】-【路由】中新增靜態路由，配置默認路由或回程路由；接著在【防火墻】-【地址轉換】中新增源地址轉換實現代理上網；再在【內容安全】-【應用控制策略】中新增策略放通內網用戶上網權限；最后配置僵尸網絡、IPS、DOS 等安全防護策略。

單臂路由模式

• 核心原理：在路由器一個接口上通過配置子接口（邏輯接口）實現不同 VLAN 間的互聯互通。
• 配置思路：在【網絡配置】-【接口 / 區域】-【子接口】中設置子接口，選擇 VLAN ID，配置接口類型、所屬區域、基本屬性及 IP 地址；后續路由配置、代理上網、應用控制策略及安全防護策略配置與路由模式類似。

透明模式組網

• 需求背景：部署 NGAF 進行安全防護但不改動現有網絡環境。
• 部署前準備：明確接口定義、管理地址及路由配置需求，無需配置地址轉換，需規劃安全控制放通和安全防護策略。
• 配置思路：在【網絡配置】-【接口 / 區域】-【物理接口】中配置接口參數；在【網絡配置】中新增管理接口并分配地址；在【網絡配置】-【路由】中配置默認路由；之后配置應用控制策略放通內網訪問權限及相關安全防護策略。

虛擬網線部署

• 核心需求：透明部署中實現特定網口的二層隔離，如 eth1 口數據從 eth3 口轉發，eth2 口數據從 eth4 口轉發。
• 特點：接口為二層接口且定義為虛擬網線接口，成對存在，轉發無需檢查 MAC 表，性能優于透明接口，單進單出網橋環境優先選用。

混合模式部署

• 需求背景：內網服務器群用公網 IP 供直接訪問，內網用戶用私有地址通過 NAT 上網，需在公網出口部署 NGAF 保護服務器群和內網數據安全。
• 部署方式：連接公網和服務器群的 2 個接口用透明 access 口，連接內網網段用路由接口。
• 配置要點：物理接口 eth1、eth2 設為透明 access 接口并配置相同 VLAN ID；新增 VLAN1 接口分配公網 IP 并劃入外網區域；eth3 設為路由接口，配置與內網交換機同網段 IP 及靜態路由；內網用戶上網時源 IP 轉換為 VLAN1 接口 IP，劃分二層區域（含 eth1 和 eth2）、外網區域（含 VLAN1 接口）、內網區域（含 eth3）。

旁路模式組網

• 需求背景：實現內網防護和數據分板，且不改動現有環境。
• 配置思路：在【網絡配置】-【接口 / 區域】-【物理接口】中配置鏡像接口，定義所屬區域及流量監聽網絡對象；在【網絡配置】-【接口區域】-【物理接口】中選擇管理接口；在【系統】-【系統配置】-【網絡參數】中勾選【旁路 reset】；最后配置相關安全防護策略。

五、接口設置注意事項

1. 設備支持配置多個 WAN 屬性的路由接口連接多條外網線路，但需開通多條線路的授權。
2. 管理口（Eth0）不支持設置為透明接口或虛擬網線接口；若需設置 2 對及以上虛擬網線接口，設備需不少于 5 個物理接口，預留專門的管理口 Eth0。
3. 一個路由接口下可添加多個子接口，但路由接口與子接口的 IP 地址不能在同一網段。