【组网需求】

在现网场景中，若用户需要通过防火墙来监控当前网络安全情况，但又不希望改变当前的网络物理结构，则可以以旁路模式部署防火墙。旁路模式下，防火墙旁挂于交换机，通过旁路口对交换机镜像流量进行检测，提供安全防护功能；可以实现在既不改变现网结构、同时也不影响用户上网数据转发的情况下，对用户网络进行安全监控。

在旁路检测模式下，防火墙产品仅对监控区域做安全防护，不转发流量。

【网络拓扑】

案例中防火墙通过旁路口连接到核心交换机，接收交换机的镜像流量；防火墙0/MGMT口（Ge0/0）为管理口接到核心（本例设置管理口地址为172.28.247.61/24，下一跳172.28.247.1为交换机管理地址，同时确保管理口能Ping外网），实际部署时请根据实际场景进行设置 。

【配置要点】

1、快速入网：选择部署模式（旁路模式），配置旁路口，同时管理口（0/MGMT）需要配置IP地址及下一跳确保能连通外网。

2、连通性检查（可跳过）：系统自动检测防火墙设备是否已经与Internet连通。

3、导入授权（可跳过）：

1）设备激活前，请先注册登录锐捷安全云平台（https://secloud1.ruijie.com.cn），点击【授权管理】-【授权激活】-【授权生成】，生成授权文件；（安全云平台帐号用以设备的授权激活、变更，请妥善保管）；

2）请根据设备联网情况选择激活方式（在线激活或离线激活）；

4、完成快速上线配置；上云实现远程运维（可跳过）。

5、配置交换机流量镜像到防火墙旁路口。

6、配置安全策略放通旁路检测流量。

【操作步骤】

1、登录设备Web，点击页面右上角的【快速上线】。

2、接口配置（快速入网）：

?首先配置0/MGMT管理口（Ge0/0）IP地址及下一跳，同时单独连一根线到网络，确保管理口能联外网（本例地址仅供参考）； 

?其次再配置一个接口为旁路口。本例旁路口为TenGe0/2。

选中接口，选择模式：旁路模式

注意：管理口不可配置为旁路模式。

3、连通性检查（可跳过）：

4、导入授权

5、完成快速上线配置，同时接入WIS云网实现远程运维

6、配置交换机，将需要监听的端口的上下行流量镜像到旁路口TenGe0/2口。（略）

7、配置安全策略

完成极速开局配置后，会默认生成一个allow_all安全策略，该安全策略会默认放行所有流量。如需对旁路模式下流量进行控制、检测，需要配置源安全区域和目的安全区域均为monitor的安全策略。

【配置验证】

1、监控>>流量监控>>流量监控>>接口流量>>接口流量统计，查看TenGe0/2口是否有流量