联想网御强五防火墙透明模式设置

实验V3防火墙透明模式（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图四、配置步骤基本配置1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2. 将防火墙加入到网络中，进行防火墙的基本配置3. 将防火墙转换成二层模式，保证内网运行正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustadd interface g1/0quitfirewall zone untrust //外网口加入untrustadd interface g2/0quit2、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1 //设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 //将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1 五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2 六、实验思考：1、当需要管理F1000-S防火墙时，我们需要登录bridge-template接口，请考虑这个时候对内网S3100交换机有什么特殊要求？1.3 附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP地址）interface Ethernet2/0（进入WAN口）promiscuous （配置为透明传输）quitinterface Ethernet1/0 （进入LAN口）promiscuous （配置为透明传输）quitfirewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）。

联想网御防火墙日常维护手册1、电子钥匙无法使用，提示没有安装驱动?故障分析：如果使用电子钥匙管理防火墙电子钥匙插到管理计算机前，必须要在该机安装驱动程序，驱动程序在防火墙的随机光盘里根目录/Ikey Driver。

解决方案:先拔下电子钥匙，安装电子钥匙驱动，然后插入钥匙（目前为止电子钥匙驱动程序支持32位XP和2000server、2003server的操作系统），之后打开认证程序/administrator目录下ikeyc.exe。

认证通过后程序会弹出提示。

2、电子钥匙PIN码错误？故障分析：由于电子钥匙属安全认证设备，密码连续错误输入13次将被锁死，返厂也无法修复。

解决方案: 密码连续输错几次后，请拔下电子钥匙，回忆密码然后重新输入，并且咨询联想网御售后人员。

请勿试图暴力破解防火墙电子钥匙pin码。

3、连接防火墙失败,请检查IP地址和端口号是否正确？故障分析：连接防火墙失败，一般会有如下三种原因a) 电子钥匙认证程序上防火墙IP输入不正确b) 电子钥匙认证程序上端口号被修改，电子钥匙上默认的端口号为9999，此端口为电子钥匙与防火墙连接端口，一定不要与页面登陆8888端口混淆c) 防火墙的管理主机IP设置不正确解决方案：a)联想网御防火墙FE1口默认IP为:10.1.5.254,如此地址改变，电子钥匙认证程序上的防火墙IP也要做相应修改。

b）修改电子钥匙认证程序端口为默认9999c）修改防火墙上管理主机IP与管理电脑的IP一致，防火墙默认的管理主机IP10.1.5.2004、认证失败!错误的用户名/密码故障分析：联想网御防火墙与电子钥匙是一一对应的，具体是通过防火墙的ID号来识别，如果使用了非对应的电子钥匙则会提示用户名/密码错误。

解决方案：保证防火墙和电子钥匙的一一对应，通过在防火墙串口命令行输入system show查看防火墙ID与电子钥匙读出的ID是否一致，如不一致寻找和防火墙配对的电子钥匙进行测试。

5.3.1 需求描述上图是一个具有三个区段的小型网络。

其中内部网络区段的地址是10.10.10.1 到10.10.10.50，掩码是255.255.255.0；DMZ 网络区段的地址是10.10.10.100 到10.10.10.150，掩码是255.255.255.0；fe4 所在网络区段的地址是10.10.10.200 到10.10.10.254，掩码是255.255.255.0。

WWW 服务器的地址是10.10.10.100，开放端口是80；MAIL 服务器的地址是10.10.10.101，开放端口是25 和110；FTP 服务器的地址是10.10.10.102，开放端口是21。

fe1 工作在透明模式，fe3 工作在透明模式，fe4 工作在透明模式。

桥接设备brg0 的IP 地址是10.10.10.1，允许管理。

防火墙的缺省安全策略是禁止。

区段间的安全策略是：允许内部网络区段访问DMZ 区段和INTERNET 的http，smtp，pop3，ftp 服务，允许INTERNET 区段访问DMZ 网络的http，smtp，pop3，ftp 服务。

其他的访问都禁止。

5.3.2 配置步骤1. 网络配置>网络设备>：编辑桥接设备brg0，将它的IP 地址配置为10.10.10.1，掩码是255.255.255.0，允许管理，确定。

2. 网络配置>网络设备>：编辑物理设备fe1，选择工作模式为“透明”，确定。

3. 网络配置>网络设备>：编辑物理设备fe3，选择工作模式为“透明”，确定。

4. 网络配置>网络设备>：编辑物理设备fe4，选择工作模式为“透明”，确定。

注意：在策略配置前，先添加如下的资源：LOCAL_NET：10.10.10.2 到10.10.10.50，网络地址段。

DMZ_NET：10.10.10.100 到10.10.10.150，网络地址段。

防火墙的透明模式和透明代理服务器教程电脑资料防火墙在计算机网络安全中扮演着非常重要的角色。

它可以帮助监控和管理网络流量，保护计算机网络免受恶意攻击和未经授权的访问。

而防火墙的透明模式和透明代理服务器是其中两个重要的概念。

本文将详细解释防火墙的透明模式和透明代理服务器的原理，并介绍它们的设置和配置。

一、透明模式防火墙的透明模式是指在网络中拦截和过滤数据包时，对网络用户和应用程序来说是不可察觉的。

换句话说，透明模式下的防火墙不会对数据包进行任何的修改或干预。

它像一个“隐形”的墙壁，无论数据包是进入还是离开网络，都会被透明模式的防火墙检查和过滤。

在透明模式下，防火墙通常被部署为一个网桥。

这意味着它有两个网络接口，一个连接到内部网络，一个连接到外部网络。

防火墙会监听通过它的数据包流量，并根据预设的策略来判断是否允许或拒绝数据包通过。

用户和应用程序在没有任何感知的情况下，可以自由地发送和接收数据。

透明模式的防火墙通常还具备一些高级功能，如入侵检测系统（Intrusion Detection System，IDS）和虚拟专用网（Virtual Private Network，VPN）功能等。

它们能够帮助检测和防范网络攻击、黑客入侵等安全威胁。

二、透明代理服务器透明代理服务器（Transparent Proxy Server）是一种在网络通信中起到中间人角色的服务器。

在用户和目标服务器之间建立连接时，所有的请求和响应都需要经过透明代理服务器。

用户认为它们直接与目标服务器通信，而不知道自己实际上是在与代理服务器通信。

透明代理服务器通常用于网络缓存、访问控制、流量管理等用途。

它可以帮助优化网络通信，并提高网络性能。

同时，透明代理服务器还可以过滤和检测网络流量，防止恶意攻击、病毒传播和未经授权的访问。

设置和配置透明代理服务器通常需要以下几个步骤：1. 选择和安装合适的代理服务器软件。

常见的透明代理服务器软件有Squid、Nginx和Apache等。

4.2 防火墙透明工作模式的配置前置知识:防火墙的透明工作模式，相当于防火墙端口工作于透明网桥模式，即防火墙的各个端口所连接的计算机均处于同一IP子网中，但不同接口之间的计算机的访问要受安全规则的制约。

因此这对内部网络中需要对某些计算机采取强化控制措施时是很用的。

这是对网络变动最少的接入控制方法，广泛应用于原来网络的安全升级中，而原有的拓扑只要稍加改动即可。

实验目的1.了解什么是防火的透明工作模式2.掌握防火墙透明工作模式的配置方法，并在防火墙中设置简单规则以实现对外部设备访问的控制实验器材1.DCFW-1800S-K/VPN防火墙一台2.交叉网线两根3.PC机两台实验拓扑及规划试验步骤1.给防火墙LAN(if1)接口设置IP地址及添加管理机地址在命令行方式下利用admin用户登录到防火墙，执行如下操作：# ifconfig if1 192.168.100.100/24# ifconfig if1 192.168.100.100/24# adminhost add 192.168.100.101# apply# save做了如上修改之后，修改本地计算机的“测试”网卡地址为“192.168.100.101”，并启动浏览器、用admin用户登录到防火墙。

2. 进入网桥设置主界面选择“首页”|“系统”|“网桥设置”命令，如图1所示：图1 网桥设置界面3．启用网桥单击图1中“网桥设备”中的“bridge0”右边的“修改”按钮，进入如图2所示的界面，选中“修改网桥设置”选项卡，随后选中“启用”复选框，以启用网桥。

图2 启用网桥设置4．向网桥中添加接口选中“网桥bridege0接口设置”选项卡，如图3所示。

图3启用网桥设置单击“新增”按钮，将if0和if1接口加入bridge0，完成后的界面如图4所示。

图4 向bridge0中加入接口而后选“修改网桥设置”选项卡，回到图25所示界面，单击“确定”按钮，回到主界面，如图5所示，为使设置生效，依次单击“应用”和“保存”按钮。

防火墙NetScreen 5GT透明模式配置指引目录一、配置网络环境描述 (2)二、配置步骤 (3)2.1 防火墙的配置 (3)2.3 配置结果 (10)三、参考资料 (10)一、配置网络环境描述网络拓扑结构网络拓扑结构图网络拓扑结构简述防火墙采用1台NetScreen 5GT（以下简称5GT），5GT将与其连接的网络设备分为V1-Trust和V1-Untrust两个安全区段，其物理端口配置在透明模式下运行，并定义各端口为中继端口，实现5GT允许与其连接的交换机接收、发送来自多个VLAN的信息流，并按帧头中的VLAN 标识符(VID) 对各个封包进行分类。

交换机采用2台Cisco Catalyst 2950-24。

Cat 2950-2的F0/24端口连接5GT的Trust端口，f0/24配置为Trunk工作模式，Cat 2950-2指定为VTP Server工作模式，并建立VLAN101、VLAN102和VLAN103；Cat 2950-1的F0/24端口连接5GT的Untrust端口，f0/24配置为Trunk工作模式，Cat 2950-1指定为VTP Client工作模式，并加入Cat 2950-2创建的VTP域，接收其创建的VLAN信息。

二、配置步骤2.1 防火墙的配置1、登录将NetScreen 5GT的Trust端口1~4中任一端口与一台PC通过网线直连，将该PC的IP地址设置为192.168.1.2~255中的任一地址。

通过WEB登录NetScreen 5GT，NetScreen默认的管理地址是：192.168.1.1选择“No，use the Initial Configuration Wizard instead。

”默认配置：输入默认的用户名“netscreen”和密码“netscreen”：进入5GT的Web用户管理界面（WebUI）：2、配置端口查看5GT的“Network-interfaces”界面，5GT的物理端口共有5个，由untrust和ethernet 1-4组成，ethernet 1-4端口默认名称(name)为trust，它们在默认的配置中分别属于“Untrust”和“Trust”区段(zone)。

透明模式设置一、设置环境 . (1)二、设置要求 . (1)三、设置步骤 . (2)1. 准备工作,管理主机 IP 设为:10.1.5.200直接连防火墙 Fe 1口 . (2)2. 通过 Fe 1口管理防火墙,将 Fe 2口、 Fe 3口设为透明模式 (2)1 将 Fe 2口口设为透明模式并启用 . (3)2 将 Fe 3口口设为透明模式并启用 . (5)3. 将 Fe 2口、 Fe 3口绑进桥接设备并设定 IP 地址 (7)4. 在桥接设备的同一网段设置管理主机IP (9)5. 通过 Fe 2口管理防火墙,将 Fe 1口改为透明模式 (10)1 直接接在 Fe 2口的计算机的 IP 设置为管理主机 IP :211.100.11.100 (10)2 通过 Fe 1口管理防火墙 . (10)3 将 Fe 1口改为透明模式 . .......................................................................................11 四、测试 . (13)1 计算机接 Fe 2口,测试连接 . (13)2 计算机接 Fe1 口,测试连接 . (13)3 计算机接 Fe 3口,测试连接 . (14)一、设置环境防火墙在出厂配置的情况下,也就是, Fe 1口工作在路由模式下,可以用于管理, IP 为:10.1.5.254,同一网段的管理主机 IP 为:10.1.5.200二、设置要求要求将防火墙的网口全部设为透明模式三、设置步骤1. 准备工作,管理主机 IP 设为:10.1.5.200直接连防火墙 Fe 1口2. 通过 Fe 1口管理防火墙,将 Fe 2口、 Fe 3口设为透明模式1 将 Fe 2口口设为透明模式并启用2 将 Fe 3口口设为透明模式并启用3. 将 Fe 2口、 Fe 3口绑进桥接设备并设定 IP 地址4. 在桥接设备的同一网段设置管理主机IP至此注意要保存设置5. 通过 Fe 2口管理防火墙,将 Fe 1口改为透明模式1直接接在 Fe 2口的计算机的 IP 设置为管理主机 IP :211.100.11.100 2通过 Fe 1口管理防火墙3 将 Fe 1 口改为透明模式查看 Fe 1 口已经自动添加到了绑定设备里注意保存设置至此 Fe 1 口、Fe 2 口、Fe 3 口已经全部工作在透明模式下了。

实验七、防火墙透明模式配置实验目的1.了解什么是透明网络模式2.了解如何配置防火墙为透明模式应用环境透明模式即相当于防火墙工作于透明网桥模式。

防火墙进行防范的各个区域均位于同一网段。

在实际应用网络中，这是对网络变动最少的接入方法，广泛用于大量原有网络的安全升级中。

实验设备1.防火墙设备一台2.Console线一条3.交叉网络线三条4.直通网络线一条5.PC机2三台实验拓扑实验要求1.防火墙网桥模式初始配置2.配置相关网络对象和服务对象3.配置安全规则安全规则为：PC1为内网主机，PC2为外网主机。

PC1：允许访问外网的HTTP，FTP，ping；PC2：不允许访问内网；4.实验验证实验步骤连接实验环境按照拓扑图，使用二根交叉双绞线将二台PC机与防火墙的对应端口连接在一起（实验验证用）。

防火墙网桥模式初始配置进入防火墙命令行管理界面，按照拓扑图的IP地址规划，配置防火墙的管理主机地址和LAN口地址，以便进行图形化界面管理。

# ifconfig if1 192.168.1.77/24# adminhost add 192.168.1.10# apply# save修改PC1的地址为拓扑所示（192.168.1.10），则可以通过IE浏览器进行防火墙的安全图形界面管理了。

在系统->网桥设置中，启用bridge0，并点击右侧修改按钮，如下所示：点击启用，然后点开网桥bridge0接口设置标签，使用新增按钮分别添加防火墙的lan （if1）和wan（if0）口。

系统提示操作成功后，可以得到如下界面显示：点击右上角的应用按钮，然后保存配置，网桥模式启动成功。

注：MAC缓冲池大小一般与内网连接的用户数有关，可以根据实际需要对此数值进行更改，一般需要比内网用户数多。

配置相关网络对象和服务对象在DCFW-1800系列中，配置安全规则之前，需要定义一系列的服务对象和网络对象。

所谓网络对象，就是指防火墙的安全规则所针对的网络节点或网络节点群，安全规则就是以网络对象为基本的检查单元进行安全检查决定是否允许某个网络对象的数据转发与否。

管理防火墙Power V 防火墙有2种管理方式，1是web(界面管理)管理。

2是命令行管理。

命令行管理又分为串口管理和SSH管理。

本文档详细介绍如何对一台出厂配置的防火强进行管理和相关注意事项。

一．串口管理1．使用超级终端连接防火墙。

利用随机附带的串口线将PC的串口和防火墙串口相连，启动超级终端。

以Windows XP为例：选择程序->附件->通讯->超级终端，选择用于连接的串口设备。

定制通讯参数如下。

每秒位数：9600；数据位：8；奇偶校验：无；停止位：1；数据流控制：无。

第1页第2页第3页当出现上面的语言时，就可以通过命令行管理防火墙了。

2．使用SecureCRT连接防火墙。

利用随机附带的串口线连接管理主机的串口和防火墙串口。

在pc 上运行SecureCRT 软件。

第4页第5页出现上面的情况就可以用命令行管理防火墙了。

二.Web 管理1．使用电子钥匙a.从随机光盘中找到电子钥匙的驱动程序并安装，注意安装时不要插入电子钥匙。

b.驱动安装成功后，将电子钥匙插入管理主机的usb口，启动用于认证的客户端ikeyc.exe，输入PIN密码，默认为12345678，系统会读出用于认证的ikey信息，此时窗口右边的灯是红的。

c.选择“连接”，连接进行中灯是黄的，如果连接成功，灯会变绿，并且出现通过认证的提示框d．“确定”后就可以通过https://10.1.5.254:8888连接防火墙了。

注意：防火墙管理过程中，请不要拔下电子钥匙，也不要关闭防火墙管理认证客户端，否则可能无法管理。

2．使用证书a.首先从联想网御的FTP服务上获得证书。

FTP服务器IP地址是211.100.11.172，用户命密码都是lenovo。

b.用SecureCRT软件管理防火墙的命令行，用administrator/administrator帐号登陆。

c.执行rz命令上传防火墙导入的证书分别是：admin.pem；CACert.pem；leadsec.pem；第6页leadsec_key.pem，如图所示：d.按照如下步骤执行命令将证书导入防火墙admcert add cacert CACert.pem fwcert leadsec.pem fwkey leadsec_key.pemadmcert add admincert admin.pemadmcert on admincert admin.peme.在pc上导入浏览器证书。

防火墙的透明模式防火墙透明模式是一种网络安全技术，其主要目的是在不对网络流量做任何修改的情况下，对网络进行监控和检查，以保护网络免受各种威胁。

在防火墙透明模式下，网络中的所有流量都会通过防火墙进行传递，但与普通防火墙不同的是，在透明模式下，网络流量的路由是无法察觉的，即外部用户无法察觉到网络流量被防火墙处理过。

防火墙透明模式的主要工作原理如下：1.路由配置：在防火墙和网络中的其他设备之间进行正确的路由配置。

这样，所有的网络流量都会被自动重定向到防火墙，而不会对网络流量的路由造成任何影响。

2.透明桥接：防火墙通常会通过透明桥接的方式接管网络流量，即将网络流量原封不动地转发给目标设备，同时在转发过程中进行监控和检查。

透明桥接可以实现无害的网络流量传递。

3.无IP更改：透明模式下的防火墙不会对网络流量的IP地址进行任何更改操作。

这意味着，外部用户无法察觉到网络流量被防火墙处理过，从而增加了攻击者进行攻击的难度。

4.网络监控和检查：透明模式下的防火墙会监控和检查网络流量，以识别和阻止任何潜在的威胁。

它可以根据预设规则对流量进行分析，例如检测恶意软件，过滤垃圾邮件，防御拒绝服务攻击等。

防火墙透明模式的优点包括：1.无需客户端配置：由于防火墙在网络中的传输是透明和无感知的，所以无需在客户端设备上进行任何额外的配置。

这样可以简化网络管理，并减少可能的配置错误。

2.网络兼容性：透明模式的防火墙可以与任何网络设备和协议兼容，无需进行任何修改。

这使得防火墙的部署和维护更加灵活和方便。

3.安全性高：透明模式不会对网络流量的路由和源IP地址进行更改，使得外部用户无法轻易地绕过防火墙进行攻击。

与此同时，防火墙将持续监控和检查网络流量，提高了网络的安全性。

4.部署简便：在透明模式下，防火墙可以在网络中的任何位置进行部署，而不会对网络的结构和性能产生任何影响。

这为网络管理员提供了更多的灵活性和便捷性。

然而，防火墙透明模式也存在一些局限性和挑战。

普通网络环境防火墙配置透明模式题记：大多数的防火墙或者说是UTM部署的模式有路由模式，网桥模式，混杂模式，配置最核心的也就是写规则，一个好的规则会使得内部网络的安全性得到较大的改善，当然如果是UTM可能还会附加上一些其他的安全组件，例如见的最多的就是AV防病毒组件，IPS组件，anti-spam反垃圾邮件组件等，有的还有一些上网行为管理（比较薄弱），VPN等组件，本次主要是以启明星辰的USG系列设备的常见部署模式进行配置说明，其他的厂商的防火墙配置内容都是大同小异，掌握一家的其他的自然也就很容易上手，学习就要善于总结归纳，将有共同点的知识技能归纳，做到一劳多得！！实验环境：1、防火墙工作在桥模式。

2、防火墙的eth2 和eth3 加入网桥组1（BVI1）。

网桥组1 配置防火墙管理IP：192.168.0.249/243、eth2 接口连接课桌上的网线口(如A1-1)通过交换机与网络相连，网关为192.168.0.1.4、eth3 直接与主机相连，主机IP 设为192.168.0.5实验拓扑：通过下面的简单操作，用户可以快速地安装配置好一台防火墙，并且，防火墙内部网的机器能够直接访问internet。

网络拓扑如下图所示：实验步骤如下：1.进入“网络设置-接口-透明桥”点击“新建”。

在桥名称中填入“BVI1”，桥组号中填入“1”，接口列表中选择“eth2”和“eth3”。

为便于对防火墙的管理可以将“管理访问”下的选项全部选择。

因为“eth2”和“eth3”使用的是桥模式，所以桥的IP 地址和掩码可以不配。

因为是透明桥模式，所以配置的IP 和掩码：192.168.0.249/24，是用于管理防火墙的IP，对网络没有什么影响。

参数配置完毕后，点击“提交”。

点击右上角图标保存配置。

2.进入“网络设置》基本配置缺省网关”点击“新建”添加网关。

提交并保存3.进入“防火墙》安全策略”点击“新建”，配置eth3 到eth2 的“全通”安全策略。

第3章系统配备3.1 本章重要简介防火墙旳系统配备, 由如下部分构成: 日期时间, 系统参数, 系统更新, 管理配备, 联动, 报告设立, 入侵检测和产品许可证。

3.2 日期时间防火墙系统时间旳精确性是非常重要旳。

可以采用两种方式来同步防火墙旳系统时钟1)与管理主机时间同步2)与网络时钟服务器同步（NTP协议）图3-1配备防火墙时间与管理主机时间同步1.调节管理主机时钟2.点击“时间同步”按钮与时钟服务器时间同步有两种方式1.立即同步2.周期性自动同步立即同步1.选中“启用时钟服务器”, 输入“时钟同步服务器IP”2.点击“立即同步”按钮周期性自动同步1.选中“启用时钟服务器”, 输入“时钟同步服务器IP”2.设定同步周期3.点击“拟定”按钮系统参数注意事项:3.3 防火墙旳诸多操作依赖于系统时间, 变化系统时间会对这些操作发生影响, 例如更改时间后配备管理界面登录超时等。

3.4 系统参数系统参数设立防火墙名称和动态域名注册所使用旳顾客名、密码。

防火墙名称旳最大长度是14个英文字符, 不能有空格。

默认旳防火墙名称是themis, 顾客可以自己修改这个名称。

动态域名注册所使用旳顾客名、密码旳最大长度是31个英文字符, 不能有空格。

动态域名旳设立在网络配备>>网络设备旳物理网络配备中。

图3-2系统参数配备图3.5 系统更新3.5.1 模块升级防火墙系统升级功能可以迅速响应安全需求, 保证防火墙功能与安全旳迅速升级。

图3-3导入升级文献模块升级界面涉及如下功能1.模块升级2.导出升级历史3.检查最新升级包4.重启防火墙模块升级1.点击“浏览”按钮, 选择管理主机上旳升级包2.点击“升级”按钮点击“重启防火墙”按钮, 重启防火墙完毕升级导出升级历史点击“导出升级历史”按钮, 导出升级历史做备份。

检查最新升级包管理员可以查看”系统目前软件版本”, 点”检查最新升级包”, 系统会弹出新旳IE窗口并连接联想安全服务网站（防火墙可以连接Internet）。

项目名称： 配置防火墙透明模式学习目标：了解什么是透明网络模式掌握防火墙透明模式的配置及应用学习情境：透明模式即相当于防火墙工作于透明网桥模式。

防火墙的各个安全区域均为同一网段当中。

在实际应用网络中，无需变动网络的拓扑结构，广泛应用大量原有网络的安全升级项目。

教学设备：防火墙设备一台Console 线一条交叉线两条PC 机两台拓扑结构：一、基本操作训练（CLI 模式下完成下列操作，本部分操作与拓扑图无关）1、为eth1口设置IP 地址（10.1.1.1/24）；2、定义area-eth1区域；3、定义管理主机（manager-host ）地址10.1.1.10；2、为eth1口设置管理方式，允许管理主机从eth1口以telnet 的方式登录防火墙。

二、防火墙备份与恢复操作（本部分操作与拓扑图无关）2 50 . 1 . 1 . 2 / 24 Eth 50 . 1 . 1 .3 / 24 50 . 1 . 1 . 1 / 241、下载防火墙保存配置文件2、下载防火墙运行配置文件3、上传防火墙保存配置文件三、防火墙透明模式配置实践操作（参照拓扑图，在CLI模式下完成下列操作）1、创建VLANTopsecOS# network vlan add id 102、配置VLAN地址TopsecOS# network interface vlan.10 ip add 50.1.1.1 mask 255.255.255.03、激活VLANTopsecOS# network interface eth1 switchportTopsecOS# network interface eth1 switchport mode accessTopsecOS# network interface eth1 switchport access-vlan 10TopsecOS# network interface eth1 no shutdownTopsecOS# network interface eth2 switchportTopsecOS# network interface eth2 switchport mode accessTopsecOS# network interface eth2 switchport access-vlan 10TopsecOS# network interface eth2 no shutdown结果及验证：可以通过两台PC互ping进行测试和验证，如可连通对方，说明配置正确。

1.1 概述在缺省情况下，网御安全网关PowerV支持两种管理方式:串口命令行方式和远程Web管理。

串口命令行方式适用于对安全网关比较熟悉的用户，操作较复杂。

Web方式直观方便，但要求认证管理员身份。

如果正式使用安全网关推荐采用Web方式，如果希望快速配置使用,推荐采用串口命令行方式。

如果您希望使用命令行方式管理安全网关,请详细阅读1.2节、1。

3.2节。

如果您希望使用Web方式远程管理安全网关,请详细阅读1.2节和1.3。

1节.安全网关主要以两种方式接入网络:透明方式和路由方式。

透明方式下不用改动原有网络配置；在路由方式下，配置完安全网关后您还必须修改已有的网络配置，修改直接相连主机或网络设备的IP地址，并把网关指向安全网关。

1.2 准备开始接通电源,开启安全网关，安全网关正常启动后，会蜂鸣三声,未出现上述现象则表明安全网关未正常启动，请您检查电源是否连接正常，如仍无法解决问题请直接联系安全网关技术支持人员.1。

3 配置使用1.3.1 通过Web浏览器配置管理安全网关设备基本过程：配置管理主机-〉安装usb钥匙并认证管理员身份－>配置管理1. 选用管理主机。

要求具有以太网卡、USB接口和光驱，操作系统应为Window98/2000/XP，管理主机IE浏览器建议为5。

0以上版本、文字大小为中等，屏幕显示建议设置为1024＊768。

2。

安装认证驱动程序。

插入随机附带的驱动光盘，进入光盘ikey driver目录，双击运行INSTDRV程序，选择“开始安装"，随后出现安装成功的提示,选择“退出重新插锁”。

切记：安装驱动前不要插入USB电子钥匙.3. 安装usb电子钥匙。

在管理主机上插入USB电子钥匙，系统提示找到新硬件，稍后提示完全消失，说明电子钥匙已经可以使用了。

如果您在安装驱动前插了一次电子钥匙，此时系统会弹出“欢迎使用找到新硬件向导"对话框,直接选择“下一步”并耐心等待，约半分钟后系统将提示驱动程序没有经过windows兼容性测试,选择“仍然继续”即可，如长时间（如3分钟）没有反映，请拔下usb电子钥匙，重启系统后再试一次，如仍无法解决，请联系技术支持人员。

防火墙透明或路由模式的更改
一、登陆防火墙 (1)
1. 查看防火墙端口IP: show system interface (1)
2. 登陆防火墙的计算机的IP地址要和防火墙网口的IP地址在同一网段 (2)
二、更改防火墙模式 (3)
一、登陆防火墙
1. 查看防火墙端口IP: show system interface
2. 登陆防火墙的计算机的IP地址要和防火墙网口的IP地址在同一网段例：防火墙网口的IP地址为：192.168.30.1
计算机的IP地址可设为：192.168.30.100
登陆防火墙在IE里输入：https://192.168.30.1
用户名：administrator
密码：administrator
二、更改防火墙模式
Transparent为透明模式
注:UTM目前只支持透明和路由模式,不支持混合模式
UTM的透明模式为纯透明模式,不能做NA T,不做路由
切换到透明模式后,防火墙将恢复出厂配置,重启
防火墙的默认管理地址更改为:10.10.10.1/24,管理主机ip配置为同一网段即可。

防火墙的透明模式和透明代理效劳器教程电脑资料随着防火墙技术的开展，平安性高、操作简便、界面友好的防火墙逐渐成为市场热点，透明模式，顾名思义，首要的特点就是对用户是透明的(Transparent)，即用户意识不到防火墙的存在。

要想实现透明模式，防火墙必须在没有IP地址的情况下工作，不需要对其设置IP地址，用户也不知道防火墙的IP地址。

防火墙作为实际存在的物理设备，其本身也起到路由的作用，所以在为用户安装防火墙时，就需要考虑如何改动其原有的网络拓扑结构或修改连接防火墙的路由表，以适应用户的实际需要，这样就增加了工作的复杂程度和难度。

但如果防火墙采用了透明模式，即采用无IP方式运行，用户将不必重新设定和修改路由，防火墙就可以直接安装和放置到网络中使用，如交换机一样不需要设置IP地址。

透明模式的防火墙就好象是一台网桥(非透明的防火墙好象一台路由器)，网络设备(包括主机、路由器、工作站等)和所有计算机的设置(包括IP地址和网关)无须改变，同时解析所有通过它的数据包，既增加了网络的平安性，又降低了用户的复杂程度，而与透明模式在称呼上相似的透明代理，和传统代理一样，可以比包过滤更深层次地检查数据信息，比方FTP包的port命令等。

同时它也是一个非常快的代理，从物理上别离了连接，这可以提供更复杂的协议需要，例如带动态端口分配的H.323，或者一个带有不同命令端口和数据端口的连接。

这样的通信是包过滤所无法完成的。

防火墙使用透明代理技术，这些代理效劳对用户也是透明的，用户意识不到防火墙的存在，便可完成内外网络的通讯。

当内部用户需要使用透明代理访问外部资源时，用户不需要进行设置，代理效劳器会建立透明的通道，让用户直接与外界通信，这样极大地方便了用户的使用。

一般使用代理效劳器时，每个用户需要在客户端程序中指明要使用代理，自行设置Proxy参数(如在浏览器中有专门的设置来指明或FTP等的代理)。

而透明代理效劳，用户不需要任何设置就可以使用代理效劳器，简化了网络的设置过程。