参考答案1
1、在项目中的职责:
1)负责防火墙的部署及策略配置,包括安全策略、源NAT、NAT-Server ,IPSEC VPN、路由等。
2)配置IPS防御策略,配置内容安全、根据业务需求制定合理的访问控制策略
3)定期审计日志,分析攻击事件并优化策略,确保合规性(如等保)。
2. 防火墙数量:
我做的项目通常不是很大,中小规模的网络,就是网络的出口,部署两台边界防火墙做高可用
我做一个稍微大一下项目,就是园区网内部有数据机房,在机房的部署了2台区域防火墙,然后公司出口部署了2条边界防火墙,总共4台,一般我的项目都是2台防火墙,做主备,也有部署一台防火墙的项目
3. 防火墙配置内容:
安全策略:基于五元组的流量控制(源/目的IP、端口、协议)。
NAT:源地址转换(SNAT)目的地址转换(DNAT)
VPN:IPSec/SSL VPN实现远程安全接入。
高可用性:VRRP或集群模式保障冗余。
路由:静态路由或动态路由协议(OSPF/BGP)。
4. 二层墙还是三层墙:
三层模式:防火墙作为网关,处理路由和策略(如互联网边界)。
二层模式(透明模式):仅过滤流量,不改变网络拓扑(如内部核心区域隔离)。
5. 防火墙位置:
部署在网络边界(如Internet出口、核心交换机和路由器之间),或隔离敏感区域(如财务/研发网段)。
6. 对外开放的业务:
Web服务(HTTP/HTTPS)、邮件服务(SMTP/IMAP)、VPN接入等,通过DNAT映射到DMZ区服务器.