在深信服科技(SINFOR)的數千個用戶中,從沒有發現過兩個完全相同的網絡環境。作為保護組織網絡資源的核心設備,AC考慮到了各種可能的網絡拓撲,并力求部署的最簡化。
穿透式(Pass-Through)部署
穿透式部署將設備部署在局域網的主干部分以處理流經設備的數據流。
 |
| 圖1 |
網關(Gateway)模式
網關模式適用于希望通過AC產品來實現所有的審計、控制和攔截功能,且對網絡拓撲的更改不敏感的用戶。
網關模式將SINFOR AC作為局域網的出口網代理內網PC上網,除完成AC的管理控制功能外還可以實現NAT、路由和防火墻等網絡與安全功能。
部署方式:AC的WAN口與廣域網的接入線路相連,一般是光纖、ADSL線路或者是路由器,AC的LAN口(DMZ口)同局域網的交換機相連,內網的PC將網關指向AC的局域網口,進而通過AC代理上網。
網橋(Bridge)模式
網橋模式適用于希望對內網完全監控、控制和管理,且不希望更改局域網的任何網絡地址的用戶。
網橋模式將SINFOR AC等同于一根連接在網關和交換機之間的“智能網線”,可以對所有流經AC的數據流進行審計、管理和控制。
部署方式:AC的WAN口同局域網的網關相連,LAN口(DMZ口)同局域網交換機連接。局域網內的任何網絡設備和PC都不需要更改IP地址。
旁路式(Pass-by)部署
旁路式部署將設備與交換機的鏡像口相連,用于監聽局域網中的數據流。
 |
| 圖2 |
旁路(Pass-by)模式
旁路模式適用于希望通過AC來實現內網監控和審計的用戶。旁路模式的部署不需要對內網拓撲作任何改動,使實施難度最低。而由于內網數據流不需要流經AC設備,避免了網絡主干中設備過多引發的網絡處理性能下降,也降低了網絡單點故障的發生幾率。
部署方式:在出口交換機中配置鏡像端口,將AC的廣域網口同鏡像端口相連,實現對內網數據包的監聽。
