IPS设备则必须提供掉电保护装置,保证设备即使在掉电情况下业务连通性
(0)
最佳答案
支持的:
Bypass功能包括外部Bypass、内部Bypass和DPI-Bypass功能:
· 外部Bypass功能是指用户流量不经过安全设备Device,直接通过PFC(Power Free Connector,无源连接设备)设备转发。关于PFC的详细介绍,请参见《H3C SecPath PFC 快速入门》。其中外部Bypass功能分为外部自动Bypass和外部静态Bypass:
¡ 外部自动Bypass是Device作为入侵防御设备保护企业内网用户免受来自Internet的攻击。单机部署时又不能因为Device的硬件原因出现网络故障,因此在Device正常的情况下仍然需要其对流量进行入侵防护,当出现Device异常(如设备断电、重启、接口down)需要流量不能受影响。
¡ 外部静态Bypass是Device作为入侵防御设备保护企业内网用户免受来自Internet的攻击。当Device需要进行升级重启、或需要进行影响流量的操作配置、网络流量异常进行问题排查等,可以先通过手动执行外部静态Bypass功能来让流量直接通过PFC,不再经过Device进行处理;当环境恢复后,再关闭外部静态Bypass功能,让流量进行通过Device进行入侵防御
· 内部Bypass是Device作为入侵防御设备保护企业内网用户免受来自Internet的攻击。但由于Device的原因企业网络流量出现异常,如流量不通、流量卡顿等,需要进行问题排查,可以先通过手动执行内部Bypass功能让流量虽然经过安全设备,但不进行安全业务处理。安全设备会根据配置的转发模式,选择对应的接口将用户流量直接转发或者丢弃。
· DPI-Bypass功能是指用户关闭应层检测引擎功能后,系统将不会对接收到的报文进行DPI深度安全处理。若出现系统CPU使用率过高等情况,可通过开启Bypass功能来保证设备的正常运行。
如图1所示,Device作为入侵防御设备保护企业内网用户免受来自Internet的攻击。单机部署时又不能因为Device的硬件原因出现网络故障,因此在Device正常的情况下仍然需要其对流量进行入侵防护,当出现Device异常(如设备断电、重启、接口down)需要流量不能受影响。设备与PFC的接线图如图2所示。
本举例是在T1000-AI-90的R8860版本上进行配置和验证的。
· 仅支持添加二层或者三层物理接口以及二层聚合接口到转发模式的接口对。
· 本功能的支持情况与设备型号有关,请以设备实际情况为准。
# 选择“网络 > 接口 > 接口对 > 接口对”,进入接口对配置页面。
# 单击<新建>按钮,进入新建接口对配置页面。配置如下:
· 工作模式:转发
· Bypass功能:开启
· Bypass模式:外部自动
· 成员:向接口一中添加GE1/0/2;接口二中添加GE1/0/3
图3 接口对配置图
# 当设备和PFC之间链路故障时,HostA和HostB之间的流量直接通过PFC设备转发;当链路恢复正常状态后,设备自动关闭外部Bypass功能,恢复由设备处理HostA和HostB之间的流量。
图4 外部自动Bypass
#
bridge 1 forward
bypass enable external auto
add interface GigabitEthernet1/0/2
add interface GigabitEthernet1/0/3
#
如图5所示,Device作为入侵防御设备保护企业内网用户免受来自Internet的攻击。当Device需要进行升级重启、或需要进行影响流量的操作配置、网络流量异常进行问题排查等,可以先通过手动执行外部静态Bypass功能来让流量直接通过PFC,不再经过Device进行处理;当环境恢复后,再关闭外部静态Bypass功能,让流量进行通过Device进行入侵防御。设备与PFC的接线图如图6所示。
本举例是在T1000-AI-90的R8860版本上进行配置和验证的。
· 仅支持添加二层或者三层物理接口以及二层聚合接口到转发模式的接口对。
· 本功能的支持情况与设备型号有关,请以设备实际情况为准。
# 选择“网络 > 接口 > 接口对 > 接口对”,进入接口对配置页面。
# 单击<新建>按钮,进入新建接口对配置页面。配置如下:
· 工作模式:转发
· Bypass功能:开启
· Bypass模式:外部静态
· 成员:向接口一中添加GE1/0/2;接口二中添加GE1/0/3
图7 接口对配置图
# 外部静态Bypass启用后,Inline转发接口会闪断,HostA和HostB之间的流量直接通过PFC设备转发,不经过设备处理。
图8 外部静态Bypass
#
bridge 1 forward
bypass enable external
add interface GigabitEthernet1/0/2
add interface GigabitEthernet1/0/3
#
如图9所示,Device作为入侵防御设备保护企业内网用户免受来自Internet的攻击。但由于Device的原因企业网络流量出现异常,如流量不通、流量卡顿等,需要进行问题排查,可以先通过手动执行内部Bypass功能让流量虽然经过安全设备,但不进行安全业务处理。安全设备会根据配置的转发模式,选择对应的接口将用户流量直接转发或者丢弃。
本举例是在T1000-AI-90的R8860版本上进行配置和验证的。
· 仅支持添加二层物理接口以及二层聚合接口到转发模式的接口对。
· 本功能的支持情况与设备型号有关,请以设备实际情况为准。
# 选择“网络 > 接口 > 接口对 > 接口对”,进入接口对配置页面。
# 单击<新建>按钮,进入新建接口对配置页面。配置如下:
· 工作模式:转发
· Bypass功能:开启
· Bypass模式:内部
· 成员:向接口一中添加GE1/0/2;接口二中添加GE1/0/3
图11 接口对配置图
# HostA和HostB之间的流量直接通过设备转发,但不进行安全业务处理。
图12 内部Bypass
#
bridge 1 forward
bypass enable
add interface GigabitEthernet1/0/2
add interface GigabitEthernet1/0/3
#
如图13所示,正常情况下,HostA和HostB之间的流量通过Device进行处理。管理员开启Bypass功能,HostA和HostB之间的流量通过Device后,不进行深度安全监测处理,当Device系统CPU使用率过高等情况,可通过开启Bypass功能来保证设备的正常运行。
本举例是在T1000-AI-90的R8860版本上进行配置和验证的。
· 开启Bypass服务将关闭应用层检测引擎,系统将不会对接收到的报文进行DPI深度安全处理。使用此功能前,请确保设备不需要进行DPI深度安全处理。
· 本功能的支持情况与设备型号有关,请以设备实际情况为准。
# 选择“对象 > 应用安全 > 高级配置”,进入高级配置页面。
# 单击勾选开启,点击确定,完成Bypass的配置。
图14 开启DPI-Bypass配置图
# HostA和HostB之间的流量通过Device进行处理。管理员开启Bypass功能,HostA和HostB之间的流量通过Device后,不进行深度安全监测处理,当Device系统CPU使用率过高等情况,可通过开启Bypass功能来保证设备的正常运行。
图15 开启DPI-Bypass
#
Inspect bypass
#
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论