网络设备旁路部署：高效灵活的网络解决方案(图文)

在网络安全领域中，旁路部署是一个重要的概念。它是相对于直路而言的，类似并联电路，不影响直路数据传输。
旁路部署的概念可以从串联和并联的物理学概念来理解。串联电路是把元件逐个顺次连接起来组成的电路，特点是流过一个元件的电流同时也流过另一个；并联电路则是把元件并列地连接起来组成的电路，干路的电流在分支处分两部分，分别流过两个支路中的各个元件。串联和并联最大的区别在于，串联的元器件在一条通路上，各元器件损坏时，整个通路都受影响；而并联的元器件，一个通路上的元器件不会影响另一个通路的元器件。
直路是从 A 到 B 进行数据传输的一条通路，旁路则是相对与直路的概念，指的是不影响 A 到 B 直路的另一条路。直路的概念等同于串行，而旁路的概念等同于并行。
在网络安全领域，在部署类似防火墙、WAF、入侵检测设备等时，会在原有的网络拓扑图基础上进行部署。一般来说，安全检测类等没有拦截功能的设备，通常会选择旁路部署，因为这样对原来的网络架构影响较小。例如，部署在旁路的防火墙 A 一般不带阻断功能，而部署在直路的防火墙 B 会配置阻断功能。
其实不只是防毒墙，IDS、上网行为审计、流控等很多安全设备都可以在部署的时候设计为在线部署或旁路部署。在线部署就是设备是串联方式接入到网络中的，数据交互是通过相应设备的；旁路部署是指只有一根线接到网络中，一般是交换机上，交换机将数据镜像后发给安全设备，安全设备进行分析处理。对于防毒墙一般来说，旁路部署目的为只检测网络中的病毒情况，在线部署也就是串接部署的话不但可以检测也可以起到实时阻止的作用。
旁路路由器就是发送路由器协议给终端的一种单元方法的名称。旁路路由器部署方案有很多优点，比如是对当前网络影响最小的监控模式；充分利用已有硬件的功能，部署方便，不会影响现有的网络结构；不会对网速造成任何影响，旁路模式分析的是镜像端口拷贝过来的数据，对原始数据包不会造成延时；旁路监控设备一旦故障或者停止运行，不会影响现有网络；旁路部署方案一样可以对上网行为进行控制。但也有一些缺点，比如需要交换机或者路由支持 “端口镜像” 功能才可以实现监控；旁路模式采用发送 RST 包的方式来断开 TCP 连接，不能禁止 UDP 通讯，对于 UDP 应用，一般还需要在路由器上面禁止 UDP 端口进行配合。

二、网络设备旁路部署的优势

1. 对当前网络影响小，不改变原有网络结构和配置，实现资源互联互通。

旁路组网部署简单高效，不用改变原来的网络结构模式和配置，就可以实现网络设备的资源互联互通。例如企业组建网络结构模式比较复杂时，通过旁路组网的方式可以很好地解决组网中存在的难题，完成异地虚拟局域网的组建。

2. 部署简单高效，连接设备后自动生成旁路网络信息。

企业通过旁路组网的方式组建网络，方案部署设置简单高效。连接设备之后就能自动生成旁路网络信息，简单实用。

3. 具备扩展性和灵活性，不会对原网络结构产生影响，可解决企业新增分支问题。

通过蒲公英旁路组网，具备一定的扩展性和灵活性，并且不会对原有的网络结构产生影响，从而也能解决企业新增分支的问题。

4. 不会对网速造成影响，旁路模式分析镜像数据，对原始数据包无延时。

旁路模式分析的是镜像端口拷贝过来的数据，对原始数据包不会造成延时，不会对网速造成任何影响。

5. 设备故障或停止运行不影响现有网络，且仍可对上网行为进行控制。

旁路监控设备一旦故障或者停止运行，不会影响现有网络。旁路部署方案一样可以对上网行为进行控制。

三、网络设备旁路部署注意事项

1. 需有较好的旁路路由器设备，如蒲公英旁路盒子，挑选时要货比三家。

旁路组网工作的前提是必须拥有比较不错的旁路路由器设备，否则是不可能实现的。在市场上有众多的旁路路由器可供选择，其中蒲公英旁路盒子以其突出的优势备受青睐。在挑选旁路路由器时，我们应该进行充分的比较和评估，确保选择到性能稳定、功能满足需求的设备。

2. 注意 U 盘介质的连接工作，满足网络使用需要。

在进行旁路组网的时候一定要注意 U 盘介质的连接工作。按照设备说明书对网络进行连接，插入 U 盘介质后启动设备观察指示灯，如果显示为蓝色则表示设备运行进入正常化。同时，在使用 U 盘介质安装时需注意，在使用 u 盘启动盘安装系统前需要先了解电脑开机启动项快捷键是什么；在将 u 盘启动盘插入电脑时需要将其插入到电脑主机后置的 usb 插口，切勿插入到电脑外接的 usb 延长线上、电脑主机前置 usb 插口或者延伸出来的多功能 usb 外接插口上。

3. 配置时要注意版本差异，如不同版本的 AC 旁路部署配置有所不同。

不同版本的 AC 旁路部署配置存在差异。例如，深信服 AC 设备在不同版本下对镜像口的配置要求不同，AC6.1 及之前版本，除了管理口外，其他接口均是监听口（镜像口）；AC11.0 及之后版本，需要在部署模式配置中指定监听口（镜像口），除了管理口都可以设置为监听口（镜像口）。

4. 旁路模式部署时，要将内网需管控地址加入 “监控网段与排除地址” 列表。

旁路模式部署的时候，需要把内网需要被 AC 管控的地址加入到 “监控网段与排除地址” 列表，否则不会被 AC 的策略管控。例如，在深信服 AC 旁路部署配置中，点击【系统管理】-【网络配置】-【部署模式】开始配置，选择【旁路模式】，配置好管理口 IP 地址、网关以及 DNS，配置好镜像口、监控网段以及监控服务器网段后，要将内网需管控地址加入 “监控网段与排除地址” 列表，核对配置无误后点击提交，设备会自动重启。

四、网络设备旁路部署案例

1. H3C SecPath W2000-G [AK] 系列 Web 应用防火墙旁路监听部署配置举例

• 部署模式配置：

• • 登录 Web 应用防火墙：启动 IE/Firefox 浏览器，在地址栏内使用 https 访问管理口 IP，进入 Web 网管登录页面。输入用户名 “admin”、密码 “admin”，点击登录按钮即可进入 Web 网管页面并进行相关操作。推荐使用 IE10 + 及 Firefox56 + 及其以上版本的浏览器。

• • 旁路侦测部署模式必须预先指定一个固定的管理接口，并工作在路由模式。该接口不可以为 Bypass 接口。若在切换旁路监听模式前，已经使用了路由模式的默认管理口，则此处无需再配置；若没有使用路由模式的管理口，则在切换模式前需要配置管理口为路由口，否则切换模式并保存重启后会导致管理 IP 不通。

• • 点击左侧菜单：系统配置 - 侦测模式。在配置模式中，默认情况下采用的是透明模式，此时选择旁路监听模式，点击旁路监听模式前面的选择框，然后点击应用，并在页面右上角点击保存配置。之后需要重启设备以便使模式生效。旁路监听模式配置成功后，设备上的空闲透明模式配置的接口均可实现镜像流量监听。

• 交换机配置：

• • 以组网图为例，在交换机上创建镜像组，并配置镜像口和监听口。以下交换机配置命令均以 H3C 交换机为例。

• • system-view

• • mirroring-group 1 local

• • mirroring-group 1 mirroring-port gigabitethernet 1/0/6 both

• • mirroring-group 1 mirroring-port gigabitethernet 1/0/7 both

• • mirroring-group 1 monitor-port gigabitethernet 1/0/8

• 安全策略配置：

• • 点击左侧安全策略 - Web 安全策略，根据需要添加调整 Web 应用防护策略。

• • 点击添加按钮可以添加新 WAF 策略，点击策略右侧操作按键可以调整策略配置，可根据客户安全需求调整策略内容和动作等信息。调整完毕后点击确定。

• • 点击左侧安全策略 - 策略引用，将添加的 Web 应用策略与 Web 服务器进行关联。点击左侧添加按钮，添加新的引用策略，上联接口选择作为镜像口的接口，如在后续使用中更换了镜像接口，也要在这里更改为相应的接口。

• • 其它配置根据需要和配置选择入侵检测策略和 WEB 防护策略（上一步添加的 WAF 策略），点击服务器安全组按钮添加被保护服务器。

• • 在服务器列表里添加服务器地址和掩码，协议端口可根据业务情况进行填写和选择，填写完成后点击右侧的添加按钮即可添加到服务器列表中，可以添加多条服务器信息。添加完成后点击应用并返回上一级界面。

2. 绿盟 WAF 旁路部署案例

• 使用策略路由引流，进行交换机配置：

• • 匹配访问网站的流量：acl number 3150 name vWaf-node1 rule 5 permit tcp destination 10.137.221.41 0 destination-port eq 443。

• • 设置下一跳修改为 WAF：policy-based-route vWaf permit node 1 if-match acl name vWaf-node1 apply next-hop 10.137.221.71。

• • 在流量的入方向应用：interface Route-Aggregation11 ip address 172.23.99.61 255.255.255.252 ip policy-based-route vWaf。

• • 添加工作组设置路由设置部署模式为旁路设置 DNS 添加对应的防护网站包括证书，防护配置文件，打开防护。

3. LB 服务器负载均衡旁路部署案例

• 需求：

• • 为了实现服务器对外网用户提供服务的可靠性，客户在现网中部署了 LB 设备，LB 采用旁路方式部署，要求外网主机访问时的流量经过 LB 轮询到内部服务器，一台服务器 down 机不影响其正常业务。

• 拓扑环境：无具体内容描述。

• 配置思路：

• • 配置各个设备 ip 地址及路由，保证 ip 可达。

• • 配置检测模板。

• • 配置 ip 地址池。

• • 配置实服务组，调用检测模板和 ip 地址池。

• • 配置实服务，关联实服务组。

• • 配置虚服务器，关联实服务组。

• • 测试。

• 配置步骤：

• • 出口 NAT 设备配置：

• • • sysname NAT

• • • #system-working-mode standard

• • • xbar load-single

• • • password-recovery enable

• • • lpu-type f-series

• • • #vlan 1

• • • #interface Serial1/0

• • • #interface Serial2/0

• • • #interface Serial3/0

• • • #interface Serial4/0

• • • #interface NULL0

• • • #interface GigabitEthernet0/0

• • • port link-mode route

• • • combo enable copper

• • • ip address 192.168.34.4 255.255.255.0

• • • #interface GigabitEthernet0/1

• • • port link-mode route

• • • combo enable copper

• • • ip address 100.1.46.4 255.255.255.0

• • • nat outbound

• • • nat server protocol tcp global 100.1.46.4 2323 inside 192.168.35.5 2323

• • • #interface GigabitEthernet0/2

• • • port link-mode route

• • • combo enable copper

• • • #interface GigabitEthernet5/0

• • • port link-mode route

• • • combo enable copper

• • • #interface GigabitEthernet5/1

• • • port link-mode route

• • • combo enable copper

• • • #interface GigabitEthernet6/0

• • • port link-mode route

• • • combo enable copper

• • • #interface GigabitEthernet6/1

• • • port link-mode route

• • • combo enable copper

• • • #scheduler logfile size 16

• • • #line class aux

• • • user-role network-operator

• • • #line class console

• • • user-role network-admin

• • • #line class tty

• • • user-role network-operator

• • • #line class vty

• • • user-role network-operator

• • • #line aux 0

• • • user-role network-operator

• • • #line con 0

• • • user-role network-admin

• • • #line vty 0 63

• • • user-role network-operator

• • • #ip route-static 0.0.0.0 0 100.1.46.6

• • • ip route-static 192.168.1.0 24 192.168.34.3

• • • ip route-static 192.168.2.0 24 192.168.34.3

• • • ip route-static 192.168.35.0 24 192.168.34.3

• • • #domain system

• • • #domain default enable system

• • • #role name level-0

• • • description Predefined level-0 role

• • • #role name level-1

• • • description Predefined level-1 role

• • • #role name level-2

• • • description Predefined level-2 role

• • • #role name level-3

• • • description Predefined level-3 role

• • • #role name level-4

• • • description Predefined level-4 role

• • • #role name level-5

• • • description Predefined level-5 role

• • • #role name level-6

• • • description Predefined level-6 role

• • • #role name level-7

• • • description Predefined level-7 role

• • • #role name level-8

• • • description Predefined level-8 role

• • • #role name level-9

• • • description Predefined level-9 role

• • • #role name level-10

• • • description Predefined level-10 role

• • • #role name level-11

• • • description Predefined level-11 role

• • • #role name level-12

• • • description Predefined level-12 role

• • • #role name level-13

• • • description Predefined level-13 role

• • • #role name level-14

• • • description Predefined level-14 role

• • • #user-group system

• • LB 关键配置：

• • • interface GigabitEthernet1/0/1

• • • port link-mode route

• • • combo enable copper

• • • ip address 192.168.0.1 255.255.255.0

• • • #interface GigabitEthernet1/0/2

• • • port link-mode route

• • • combo enable copper

• • • ip address 192.168.35.5 255.255.255.0

• • • loadbalance snat-pool pool

• • • ip range start 192.168.35.5 end 192.168.35.5

• • • #server-farm sf

• • • snat-pool pool

• • • probe t1

• • • #real-server rs1

• • • ip address 192.168.1.1

• • • port 23

• • • weight 150

• • • server-farm sf

• • • #real-server rs2

• • • ip address 192.168.2.2

• • • port 23

• • • weight 120

• • • server-farm sf

• • • #virtual-server vs

• • • type tcp

• • • port 2323

• • • virtual ip address 192.168.35.5

• • • default server-farm sf

• • • service enable

• • • #ip route-static 0.0.0.0 0 192.168.35.3

• • • #acl basic 2000

• • • rule 0 permit

• • • security-zone name Trust

• • • import interface GigabitEthernet1/0/2

• • • #security-zone name DMZ

• • • #security-zone name Untrust

• • • #security-zone name Management

• • • zone-pair security source Any destination Any

• • • packet-filter 2000

• • • #return

• 测试：

• • 外网主机 telnet 外网映射到 LB 的地址和端口，看是否可以访问到内部服务器。

• • 退出登录后再尝试登录下，测试看是否可以轮询到另一个服务器。同时查看 LB 的实服务器统计信息。

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。