見下
IPS可以使用RBM+VRRP主備旁觀交換機,交換機寫策略路由,IPS默認路由回指這種組網嗎,哪裏有案例,沒找到
(0)
最佳答案
vrrp跑三層的話,交換機直接靜態指向VRRP虛地址,IPS直接回指網段的靜態路由就可以啊。
(0)
這種是不是就相當於邏輯上串進去了
對,這樣相當於串行了,這樣可以實現檢測防護和自動阻斷,如果旁掛的話隻能檢測,不能防護了。那就相當於不是IPS,而是IDS了。隻檢測不防禦。
交換機寫靜態指向IPS和交換機寫策略路由這兩種有什麼區別嗎
想要審計基本兩種形式:
1、
交換機上策略路由引流我們防火牆上,隨後在防火牆上寫靜態路由指向交換機來實現上外網;(交換機關閉快轉)
防火牆正常將路由指向核心交換機,安全域正常放行的就行。
核心交換機側配置策略路由,下一跳指向防火牆與核心互聯的接口即可。
策略路由的感興趣流,匹配你所屬於過牆的業務網段即可。出入方向都需要
2、
安全設備旁掛時,如果要對鏡像的流量進行統計分析,需要將接口添加至黑洞橋實例中,否則會導致防火牆上無法對鏡像的流量進行統計分析,URL報表以及威脅報表等內容無法生成等問題(一般的流量不需要配黑洞)
# 創建Bridge 4,配置其轉發模式為黑洞模式。
<Sysname> system-view
[Sysname] bridge 4 blackhole
[Sysname-bridge4-blackhole]
[Sysname-bridge-4-blackhole] add interface GigabitEthernet1/0/9 //向Bridge轉發實例中添加接口
(0)
這邊這種場景建議就把IPS做成二層那種透明部署的設備吧,知了知識庫搜索防火牆旁掛有很多案例,IPS其實就是強化了DPI功能的防火牆
策略路由引流的流量算是鏡像流量嗎
好的謝謝
這邊這種場景建議就把IPS做成二層那種透明部署的設備吧,知了知識庫搜索防火牆旁掛有很多案例,IPS其實就是強化了DPI功能的防火牆
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
其實本質上沒啥區別。都是把流量送上去,不過寫靜態比較簡單。