交换机与服务器直连,需要加防火墙策略吗

~ 需要。
防火墙支持多维一体化安全防护，可从用户、应用、时间、五元组等多个维度，对流量展开IPS、AV、DLP等一体化安全访问控制，能够有效的保证网络的安全；支持多种VPN业务，如L2TP VPN、GRE VPN 、IPSec VPN和SSL VPN等，与智能终端对接实现移动办公；提供丰富的路由能力，支持RIP/OSPF/BGP/路由策略及基于应用与URL的策略路由；支持IPv4/IPv6双协议栈同时，可实现针对IPV6的状态防护和攻击防范。
支持丰富的攻击防范功能。包括：Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范，还包括针对SYN Flood、UDP Flood、ICMP Flood、DNS Flood等常见DDoS攻击的检测防御。
最新支持SOP 1:N完全虚拟化。可在H3C SecPath F1000-AK1X5设备上划分多个逻辑的虚拟防火墙，基于容器化的虚拟化技术使得虚拟系统与实际物理系统特性一致，并且可以基于虚拟系统进行吞吐、并发、新建、策略等性能分配。
支持安全区域管理。可基于接口、VLAN划分安全区域。
支持包过滤。通过在安全区域间使用标准或扩展访问控制规则，借助报文中UDP或TCP端口等信息实现对数据包的过滤。此外，还可以按照时间段进行过滤。
支持基于应用、用户的访问控制，将应用与用户作为安全策略的基本元素，并结合深度防御实现下一代的访问控制功能。
支持应用层状态包过滤（ASPF）功能。通过检查应用层协议信息（如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP协议的应用层协议），并监控基于连接的应用层协议状态，动态的决定数据包是被允许通过防火墙或者是被丢弃。
支持验证、授权和计帐（AAA）服务。包括：基于RADIUS/HW TACACS+、CHAP、PAP等的认证。
支持静态和动态黑名单。
支持NAT和NAT多实例。
支持VPN功能。包括：支持L2TP、IPSec/IKE、GRE、SSL等，并实现与智能终端对接。
支持丰富的路由协议。支持静态路由、策略路由，以及RIP、OSPF等动态路由协议。
支持安全日志。
支持流量监控统计、管理。
灵活可扩展的一体化DPI深度安全
与基础安全防护高度集成的一体化安全业务处理平台。
全面的应用层流量识别与管理：通过H3C长期积累的状态机检测、流量交互检测技术，能精确检测Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（电骡）/eDonkey（电驴）、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用；支持P2P流量控制功能，通过对流量采用深度检测的方法，即通过将网络报文与P2P协议报文特征进行匹配，可以精确的识别P2P流量，以达到对P2P流量进行管理的目的，同时可提供不同的控制策略，实现灵活的P2P流量控制。
高精度、高效率的入侵检测引擎。采用H3C公司自主知识产权的FIRST（Full Inspection with Rigorous State Test，基于精确状态的全面检测）引擎。FIRST引擎集成了多项检测技术，实现了基于精确状态的全面检测，具有极高的入侵检测精度；同时，FIRST引擎采用了并行检测技术，软、硬件可灵活适配，大大提高了入侵检测的效率。
实时的病毒防护：采用流引擎查毒技术，可以迅速、准确查杀网络流量中的病毒等恶意代码。
迅捷的URL分类过滤：提供基础的URL黑白名单过滤同时，可以配置URL分类过滤服务器在线查询。
全面、及时的安全特征库。通过多年经营与积累，H3C公司拥有业界资深的攻击特征库团队，同时配备有专业的攻防实验室，紧跟网络安全领域的最新动态，从而保证特征库的及时准确更新。H3C公司是中国国家信息安全漏洞库（CNNVD）一级技术支撑单位和国家信息安全漏洞共享平台（CNVD）技术组成员。

---

道县18752249464： 有一台三层交换机和10多台服务器,我想让网络更安全些,应该怎么做? - ？
犁葛力太： 1.根据实际划分2个VLAN,如果还需要连接外网就需要划分3个VLAN;2.服务器和用户分级别放2个VLAN,外网一个VLAN;3.启用ACL,制定访问策略(具体视三层交换机功能);4.如果还不放心,加一台防火墙和2层交换机,核心的服务器接在防火墙后面的交换机再接入服务器的VLAN.外网也经由防火墙接入,防火墙的策略就请防火墙厂家人员解决即可.希望能帮到你:)

道县18752249464： 服务器、防火墙、交换机怎样连接 - ？
犁葛力太： 网络服务商提供的线路直接接防火墙WAN端,LAN端接到双网卡服务器上(把这台服务器充当路由器的作用,并设置网络运营商提供的设置参数)然后把这台双网卡的服务卡再连接到交换机的WAN...

道县18752249464： 网吧里硬件防火墙接哪里,服务器和交换机之间吗? - ？
犁葛力太： 一.防火墙一般放在服务器上:这样他既在服务器与服务器之间 又在服务器与工作站之间;如果连外网 他更在外网与内网之间 二.防火墙的作用:1.包过滤 具备包过滤的就是防火墙?对,没错!根据对防火墙的定义,凡是能有效阻止网络非法连...

道县18752249464： 交换机>防火墙>服务器这样的顺序应该怎么连接以及如何配置 - ？
犁葛力太： 应该是网络运营商端口进公司局域网的方上防火墙,然后网络进来后接交换机,划分vlan给各个部门.然后接服务器吧.. 我的理解,不对的话说明一哈,谢谢.

道县18752249464： 电脑与交换机之间加一个防火墙 防火墙接口用trunk 还是access口 - ？
犁葛力太： access口,

道县18752249464： 服务器与路由器,交换机,防火墙之间该如何连接?我现在是服务器连接到交换机的1口,路由器连接到交换机的24 - ？
犁葛力太： 首先要检查你的路由器的接口地址是否和局域网电脑在同一网段,并且网关要指向它.连接服务器是要看你要达到一个什么目的,如果你的服务器是要外网访问而希望保证内网安全那么你可以把服务器接在防火墙的DMZ区,这样外网都可以访问服务器但是访问不了内网.

道县18752249464： 交换机和路由器之间为什么加防火墙 - ？
犁葛力太： 交换机没有防护功能,在这之间加上防火墙,可以保护路由器的局域网

道县18752249464： 二层vlan怎样通过防火墙与三层vlan通信 - ？
犁葛力太： 这个拓扑看起来还行,如果设备够的话服务器部分我还是推荐配置在防火墙的DMZ接口上首先规划线路的端口,一定要按照你自己规划的端口去接线,千万不要接错了然后看看你的交换机设备需不需要配置链路聚合,链路认证,确定二层也全部...

道县18752249464： 用户通过交换机连接到服务器,服务器最终与什么连接进入互联网 - ？
犁葛力太： 服务器最终与网关设备(比如:路由器,防火墙,安全网关等)连接进入互联网.

道县18752249464： 数据中心带宽接入,先接路由还是防火墙,10台服务器,用路由器好还三层交换机好 - ？
犁葛力太： 一般的连接顺序是外网-防火墙-路由器-交换机(安全系数相对高一些) 另外一种顺序就是外网-路由器-防火墙-交换机(路由速度相对快一些) 不过现在很多防火墙已经集成了路由模块,很多应用都是直接用一台防火墙(集成了路由模块)代替了防火墙和路由器、然后直接接交换机,看具体情况和本身的要求而定