實現(xiàn)防護功能的同時，可以完全不需改變用戶的網(wǎng)絡(luò)環(huán)境，并且可以避免設(shè)備對用戶網(wǎng)絡(luò)造成中斷的風(fēng)險。用于把設(shè)備接在交換機的鏡像口，保證外網(wǎng)用戶訪問服務(wù)器的數(shù)據(jù)經(jīng)過此交換機，并且設(shè)置鏡像口的時候需要同時鏡像上下行的數(shù)據(jù)，從而實現(xiàn)對服務(wù)器的保護。

如下圖，防火墻設(shè)備旁路部署，內(nèi)網(wǎng)接三層交換機，用戶網(wǎng)段為 192.168.2.0/24，服務(wù)器網(wǎng)段為 172.16.1.0/24，配置防火墻設(shè)備能夠?qū)Ψ��?wù)器進行 IPS防護、WEB 應(yīng)用防護以及防止敏感信息的泄露。

配置管理口

旁路部署時，設(shè)備通過管理口來阻斷連接。通過『網(wǎng)絡(luò)配置』→ 『接口/區(qū)域』→『物理接口』，點擊 eth0，配置頁面如圖：

配置旁路鏡像口

通過『網(wǎng)絡(luò)配置』→『接口/區(qū)域』→『物理接口』，點擊eth1，配置頁面如圖：

接口[類型]選擇旁路鏡像。

[區(qū)域]選擇接口 eth1 所屬的區(qū)域。區(qū)域需要提前設(shè)置，本例選擇旁路區(qū)域，對于區(qū)域的設(shè)置請參考章節(jié) 3.2.1.4 區(qū)域設(shè)置。

[啟用旁路流量統(tǒng)計]用于開啟旁路鏡像口的流量統(tǒng)計，在[內(nèi)網(wǎng) IP 組]中選擇需要統(tǒng)計流量的內(nèi)網(wǎng) IP。

[高級配置]用來設(shè)置網(wǎng)口的工作模式，MTU，MAC 地址，如果需要修改，點擊設(shè)置，接口如下：

配置路由

需要配置一條到 0.0.0.0/0.0.0.0 的默認(rèn)路由指向前置網(wǎng)關(guān) 192.168.1.1。

進入『網(wǎng)絡(luò)配置』→『路由』→『靜態(tài)路由』，配置頁面如下：

配置防護規(guī)則

通過『IPS』→『IPS』，新增 IPS 規(guī)則，配置頁面如圖：

旁路模式下，源區(qū)域和目的區(qū)域都要選擇旁路接口所在的區(qū)域，目的 IP 組選擇服務(wù)器網(wǎng)段所在的 IP 組即可。

基本配置完畢后，將設(shè)備接入網(wǎng)絡(luò)中，eth1 口連接三層交換機的鏡像口，eth0口接內(nèi)網(wǎng)三層交換機的 VLAN99 范圍內(nèi)的接口即可。