防火墙单臂路由部署模式
如图,PC 1与PC 2通信,想在中间加上防火墙对其进行监控,并实现对两台设备的通信阻断,可以在交换机的另一个接口上连接防火墙,交换机将两台PC发送的数据引流到防火墙上,防火墙也配置下一跳到交换机,交换机依据路由表转发到目的主机,这样流量就会经过防火墙。防火墙对引流过来的数据进行安全检查,如果数据是不安全的防火墙就进行阻断
单臂路由模式的缺点在于,如果防火墙宕机,那么两台PC也不能通信了
交换机如何将PC 1发送的数据引流到防火墙:策略路由
策略路由PBR
PBR(Policy Based Routing)策略路由可以使特定用户、特定业务的流量走指定的转发路径,而其他的用户或业务流量则依旧根据路由表进行转发
策略路由可以基于报文的目的IP、源IP、源MAC、目的MAC、端口、VLAN ID等进行转发。也可以使用ACL匹配特定的报文,然后针对该ACL进行PBR部署
ACL访问控制列表技术是一种基于包过滤的流控技术。控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素,并可以规定符合条件的数据包是否允许通过。
若设备部署了PBR,则被匹配的报文优先根据PBR的策略进行转发,即PBR的策略优先级高于传统路由表