h3c防火墙透明模式设置-推荐下载

防火墙透明模式配置案例1、组网需求：某局点想在原有的网络中增加防火墙来提高网络安全性，又不想要对原有网络配置进行变动。

所以采取防火墙透明模式部署。

注：透明模式部署不会影响原有网络配置，也是防火墙最常见的部署方式。

2、组网图：3、配置步骤: 1、登录设备H3CSECPATH F100- C80-WiNet策路fgVRF接口 接口帝删陰@创建子接口(3麴笳憊瓏豳围溜接口1PWGE1/0/0ManagementDown152.168.CDown力认安全域链路状态设备默认的管理地址为 192.168.0.1/24 ，需要将电脑设置为 192.168.0.X/24 地址后连接设备0号端口登录设备。

设备默认的管理地址为 192.168.1.1/24 ，需要将电脑设置为 192.168.1.X/24 地址后连接设备2号端口登录设备。

电脑IP 地址配置方法：点击右下角电脑图标 ＞选择“打开网络和共享中心”打开浏览器后登录设备，设备默认的登录用户名和密码都是“ admin ”。

2、配置接口 1为连接上层网络设备接口，并设置为二层模式。

J GE1/0/1GE1/D/13、配置接口2为连接内网设备的接口，不同的是加入安全域选择trust，其他配置同上。

删除I■朗|寺番动丨“启用丨0禁用丨鹿I 艮I 描述聽呂单选择源安全区域为“trust ”目的安全区域为“ untrust "，源IP地址下拉按钮处点击“ +”新建匹配192.168.10.0 的网段。

4、放通“trust ”到“untrust ”区域的域间策略，点击“策略-》安全策略”点击中间的“新建”按钮H3C SECPATH F100-C80-WiNet安全防护攻■WE旻保护IF@^n rlh馳除['勸DSJ象* (IPv4地址腌码拴圜SECPATHF100- CSO-WiNet巨]槪臆监控/宾金时户冈运知运更Zm•詐.眾魁本睦克[7| 安鉀目的安全. 耀第…tai目咖止[/] Trust Untnut ipvl0再网殛©m ■ I Q sn 壬移动勰质缶0继续配置untrust到trust的策略放通DHCP艮务蜒;”旅=QSiS玄圖和如厂Unirg J w 'nrTturi w '—内客窖拿盘中:T®sa9t£2■i IMit述“Cl SlS&cj萌IT：Hg-rf•『阳□禅Imdi^a«J tcpVRFFTTJ.OFftHR*蟻區呗也计秆用E歼日■苗闻•埼cQ5、保存配置由于防火墙默认是不保存配置的重启后配置就会丢失，在做完所有配置后请务必保存配置。

实验V3防火墙透明模式（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图四、配置步骤基本配置1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2. 将防火墙加入到网络中，进行防火墙的基本配置3. 将防火墙转换成二层模式，保证内网运行正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustadd interface g1/0quitfirewall zone untrust //外网口加入untrustadd interface g2/0quit2、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1 //设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 //将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1 五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2 六、实验思考：1、当需要管理F1000-S防火墙时，我们需要登录bridge-template接口，请考虑这个时候对内网S3100交换机有什么特殊要求？1.3 附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP地址）interface Ethernet2/0（进入WAN口）promiscuous （配置为透明传输）quitinterface Ethernet1/0 （进入LAN口）promiscuous （配置为透明传输）quitfirewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）。

防火墙的透明模式和透明代理效劳器教程电脑资料随着防火墙技术的开展，平安性高、操作简便、界面友好的防火墙逐渐成为市场热点，透明模式，顾名思义，首要的特点就是对用户是透明的(Transparent)，即用户意识不到防火墙的存在。

要想实现透明模式，防火墙必须在没有IP地址的情况下工作，不需要对其设置IP地址，用户也不知道防火墙的IP地址。

防火墙作为实际存在的物理设备，其本身也起到路由的作用，所以在为用户安装防火墙时，就需要考虑如何改动其原有的网络拓扑结构或修改连接防火墙的路由表，以适应用户的实际需要，这样就增加了工作的复杂程度和难度。

但如果防火墙采用了透明模式，即采用无IP方式运行，用户将不必重新设定和修改路由，防火墙就可以直接安装和放置到网络中使用，如交换机一样不需要设置IP地址。

透明模式的防火墙就好象是一台网桥(非透明的防火墙好象一台路由器)，网络设备(包括主机、路由器、工作站等)和所有计算机的设置(包括IP地址和网关)无须改变，同时解析所有通过它的数据包，既增加了网络的平安性，又降低了用户的复杂程度，而与透明模式在称呼上相似的透明代理，和传统代理一样，可以比包过滤更深层次地检查数据信息，比方FTP包的port命令等。

同时它也是一个非常快的代理，从物理上别离了连接，这可以提供更复杂的协议需要，例如带动态端口分配的H.323，或者一个带有不同命令端口和数据端口的连接。

这样的通信是包过滤所无法完成的。

防火墙使用透明代理技术，这些代理效劳对用户也是透明的，用户意识不到防火墙的存在，便可完成内外网络的通讯。

当内部用户需要使用透明代理访问外部资源时，用户不需要进行设置，代理效劳器会建立透明的通道，让用户直接与外界通信，这样极大地方便了用户的使用。

一般使用代理效劳器时，每个用户需要在客户端程序中指明要使用代理，自行设置Proxy参数(如在浏览器中有专门的设置来指明或FTP等的代理)。

而透明代理效劳，用户不需要任何设置就可以使用代理效劳器，简化了网络的设置过程。

H3C防火墙F1060透明模式部署到路由器和三层核心交换机之间如图，给路由器R1配置管理地址为192.168.33.1，三层核心交换机SW1管理地址为192.168.33.254，且开启DHCP服务，为PC1和PC2提供IP地址；防火墙F1以透明模式部署到路由器R1和三层交换机SW1之间。

下面是各个设备的配置过程。

一．首先我们配置三层交换机和与三层交换机相连的接入交换机，配置步骤如下：1.启动三层核心交换机SW1，接着启动命令行终端：<H3C>sysSystem View: return to User View with Ctrl+Z.[H3C]vlan 31 to 33[H3C]dhcp enable 开启DHCP服务[H3C]dhcp server ip-pool vlan31pool 创建DHCP地址池并命名[H3C-dhcp-pool-vlan31pool]network 192.168.31.0 mask 255.255.255.0 设置DCHP地址池[H3C-dhcp-pool-vlan31pool]gateway-list 192.168.31.254 设置网关地址[H3C-dhcp-pool-vlan31pool]dns-list 114.114.114.114 180.76.76.76 设置DNS地址[H3C-dhcp-pool-vlan31pool]quit[H3C]dhcp server ip-pool vlan32pool[H3C-dhcp-pool-vlan32pool]network 192.168.32.0 mask 255.255.255.0[H3C-dhcp-pool-vlan32pool]gateway-list 192.168.32.254[H3C-dhcp-pool-vlan32pool]dns-list 114.114.114.114 180.78.76.76[H3C-dhcp-pool-vlan32pool]quit[H3C]int vlan 31[H3C-Vlan-interface31]ip address 192.168.31.254 24[H3C-Vlan-interface31]dhcp select server 设置DHCP模式为server[H3C-Vlan-interface31]dhcp server apply ip-pool vlan31pool 指定应用的地址池[H3C-Vlan-interface31]quit[H3C]int vlan 32[H3C-Vlan-interface32]ip address 192.168.32.254 24[H3C-Vlan-interface32]dhcp select server[H3C-Vlan-interface32]dhcp server apply ip-pool vlan32pool[H3C-Vlan-interface32]quit[H3C]int g1/0/3[H3C-GigabitEthernet1/0/3]port link-type access[H3C-GigabitEthernet1/0/3]port access vlan 33[H3C-GigabitEthernet1/0/3]quit[H3C]int vlan 33[H3C-Vlan-interface33]ip address 192.168.33.254 24[H3C-Vlan-interface33]quit[H3C]int g1/0/1[H3C-GigabitEthernet1/0/1]port link-type trunk[H3C-GigabitEthernet1/0/1]port trunk permit vlan all[H3C-GigabitEthernet1/0/1]undo port trunk permit vlan 1[H3C-GigabitEthernet1/0/1]quit[H3C]int g1/0/2[H3C-GigabitEthernet1/0/2]port link-type trunk[H3C-GigabitEthernet1/0/2]port trunk permit vlan all[H3C-GigabitEthernet1/0/2]undo port trunk permit vlan 1[H3C-GigabitEthernet1/0/2]quit在三层交换机SW1上建立用户admin，并设置密码，用作远程登陆和web登陆。

4.2 防火墙透明工作模式的配置前置知识:防火墙的透明工作模式，相当于防火墙端口工作于透明网桥模式，即防火墙的各个端口所连接的计算机均处于同一IP子网中，但不同接口之间的计算机的访问要受安全规则的制约。

因此这对内部网络中需要对某些计算机采取强化控制措施时是很用的。

这是对网络变动最少的接入控制方法，广泛应用于原来网络的安全升级中，而原有的拓扑只要稍加改动即可。

实验目的1.了解什么是防火的透明工作模式2.掌握防火墙透明工作模式的配置方法，并在防火墙中设置简单规则以实现对外部设备访问的控制实验器材1.DCFW-1800S-K/VPN防火墙一台2.交叉网线两根3.PC机两台实验拓扑及规划试验步骤1.给防火墙LAN(if1)接口设置IP地址及添加管理机地址在命令行方式下利用admin用户登录到防火墙，执行如下操作：# ifconfig if1 192.168.100.100/24# ifconfig if1 192.168.100.100/24# adminhost add 192.168.100.101# apply# save做了如上修改之后，修改本地计算机的“测试”网卡地址为“192.168.100.101”，并启动浏览器、用admin用户登录到防火墙。

2. 进入网桥设置主界面选择“首页”|“系统”|“网桥设置”命令，如图1所示：图1 网桥设置界面3．启用网桥单击图1中“网桥设备”中的“bridge0”右边的“修改”按钮，进入如图2所示的界面，选中“修改网桥设置”选项卡，随后选中“启用”复选框，以启用网桥。

图2 启用网桥设置4．向网桥中添加接口选中“网桥bridege0接口设置”选项卡，如图3所示。

图3启用网桥设置单击“新增”按钮，将if0和if1接口加入bridge0，完成后的界面如图4所示。

图4 向bridge0中加入接口而后选“修改网桥设置”选项卡，回到图25所示界面，单击“确定”按钮，回到主界面，如图5所示，为使设置生效，依次单击“应用”和“保存”按钮。

1、使用超级终端，名称任意，连接com端口，回车，出现<H3C>表明已经连接了防火墙。

2、输入一系列配置命令如下：[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit[H3C]firewall zone trust[H3C-zone-trust]add interface ethernet0/0The interface has been added to trust security zone.[H3C-zone-trust]add interface ethernet0/1The interface has been added to trust security zone.[H3C-zone-trust]add interface ethernet0/2The interface has been added to trust security zone.[H3C-zone-trust]quit[H3C]bridge enableBridge module has been activated[H3C]bridge 1 enableBridge set has been activated[H3C]interface bridge-template 1[H3C-Bridge-template1]ip address 192.168.1.188 255.255.255.0[H3C-Bridge-template1]quit[H3C]interface ethernet0/0[H3C-Ethernet0/0]bridge-set 1The port has been in the set[H3C-Ethernet0/0]quit[H3C]interface ethernet0/1[H3C-Ethernet0/1]bridge-set 1The port has been in the set[H3C-Ethernet0/1]interface ethernet0/2[H3C-Ethernet0/2]bridge-set 1The port has been in the set[H3C-Ethernet0/2]quit[H3C]firewall zone trust[H3C-zone-trust]add interface bridge-template 1The interface has been added to trust security zone.[H3C-zone-trust]quit[H3C]saveThe configuration will be written to the device.Are you sure?[Y/N]yNow saving current configuration to the device.Saving configuration flash:/config.cfg. Please wait...................Current configuration has been saved to the device successfully.[H3C]3、进入WEB页面配置IP地址：192.168.1.122 子网掩码：255.255.255.0IE地址栏：http:// 192.168.1.185（省调项目）188（SIS网的防火墙）用户名：Admin 密码：Admin我们在web页面配置下，没有什么重要的配置，只是要勾选下所有的攻击类型。

实验七、防火墙透明模式配置实验目的1.了解什么是透明网络模式2.了解如何配置防火墙为透明模式应用环境透明模式即相当于防火墙工作于透明网桥模式。

防火墙进行防范的各个区域均位于同一网段。

在实际应用网络中，这是对网络变动最少的接入方法，广泛用于大量原有网络的安全升级中。

实验设备1.防火墙设备一台2.Console线一条3.交叉网络线三条4.直通网络线一条5.PC机2三台实验拓扑实验要求1.防火墙网桥模式初始配置2.配置相关网络对象和服务对象3.配置安全规则安全规则为：PC1为内网主机，PC2为外网主机。

PC1：允许访问外网的HTTP，FTP，ping；PC2：不允许访问内网；4.实验验证实验步骤连接实验环境按照拓扑图，使用二根交叉双绞线将二台PC机与防火墙的对应端口连接在一起（实验验证用）。

防火墙网桥模式初始配置进入防火墙命令行管理界面，按照拓扑图的IP地址规划，配置防火墙的管理主机地址和LAN口地址，以便进行图形化界面管理。

# ifconfig if1 192.168.1.77/24# adminhost add 192.168.1.10# apply# save修改PC1的地址为拓扑所示（192.168.1.10），则可以通过IE浏览器进行防火墙的安全图形界面管理了。

在系统->网桥设置中，启用bridge0，并点击右侧修改按钮，如下所示：点击启用，然后点开网桥bridge0接口设置标签，使用新增按钮分别添加防火墙的lan （if1）和wan（if0）口。

系统提示操作成功后，可以得到如下界面显示：点击右上角的应用按钮，然后保存配置，网桥模式启动成功。

注：MAC缓冲池大小一般与内网连接的用户数有关，可以根据实际需要对此数值进行更改，一般需要比内网用户数多。

配置相关网络对象和服务对象在DCFW-1800系列中，配置安全规则之前，需要定义一系列的服务对象和网络对象。

所谓网络对象，就是指防火墙的安全规则所针对的网络节点或网络节点群，安全规则就是以网络对象为基本的检查单元进行安全检查决定是否允许某个网络对象的数据转发与否。

实验V3防火墙基本配置（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、xx四、配置步骤基本配置1.基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2.将防火墙加入到网络中，进行防火墙的基本配置3.将防火墙转换成二层模式，保证内网运行正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustquitfirewall zone untrust //外网口加入untrustquit2、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1//设置管理地址ip address 192.168.1.100 255.255.255.0quit//将接口加入桥组bridge-set 1quitbridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1//管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0（这是防火墙的管理IP地址）（进入WAN口）promiscuous （配置为透明传输）quit（进入LAN口）promiscuous （配置为透明传输）quitfirewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）。

实验V3防火墙基本配置（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S 防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图四、配置步骤基本配置1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2. 将防火墙加入到网络中，进行防火墙的基本配置3. 将防火墙转换成二层模式，保证内网运行正常页脚内容1防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permit firewall zone trust //内网口加入trustadd interface g1/0quitfirewall zone untrust //外网口加入untrustadd interface g2/0quit2、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组页脚内容2int bridge-template 1 //设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 //将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛页脚内容31.1五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP地址）interface Ethernet2/0（进入WAN口）promiscuous （配置为透明传输）quitinterface Ethernet1/0 （进入LAN口）promiscuous （配置为透明传输）页脚内容4quitfirewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）页脚内容5。

实验V3防火墙基本配置（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图四、配置步骤基本配置1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2. 将防火墙加入到网络中，进行防火墙的基本配置3. 将防火墙转换成二层模式，保证内网运行正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustadd interface g1/0quitfirewall zone untrust //外网口加入untrustadd interface g2/02、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1 //设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 //将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP地址）interface Ethernet2/0（进入WAN口）promiscuous （配置为透明传输）quitinterface Ethernet1/0 （进入LAN口）promiscuous （配置为透明传输）firewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）。

h3c路由器防火墙怎么样设置h3c路由器防火墙怎么样设置才最好呢?小编来告诉你!下面由店铺给你做出详细的h3c路由器防火墙设置介绍!希望对你有帮助!h3c路由器防火墙设置一：打开IE浏览器，在IE地址栏中输入192.168.0.1(不同品牌路由器可能登录的网关地址会有不同比如有的是192.168.1.1的网关，路由器底面的贴条上一般都注明，包括用户名和密码)。

，然后回车，出来一个用户名密码的登录小页面，初始用户名和密码默认都是admin，输入之后，点”确定“进入路由器设置界面。

在路由器设置界面左面菜单栏里有一项“快速设置”选项，点击该项，然后出来一个页面让选择上网方式(若联通或者电信，给的是账号密码就选择PPPOE方式，若给的是一组IP地址，选择静态IP方式，静态IP方式下，填写上网宽带信息的时候，记得填上当地的DNS)。

然后点击下一步，填写无线网账号和密码，点击保存，在路由器菜单栏最下面“系统工具”中有“重启路由器”选项，点击重启后就可以上网了。

h3c路由器防火墙设置二：内部电脑，是通过防火墙的端口进行NAT转换上网的。

端口是可以全堵上，但是，你会发现好多东西用不了了。

上网行为我知道的有百络网警，但是用硬件比较好。

管理也方便。

如果人数多。

最好是架设一台专门的服务器，用域控来管理，再装上ISA的代理防火墙。

控制效果好。

硬件上网行为管理有多。

h3c路由器防火墙设置三：初始化配置〈H3C〉system-view开启防火墙功能，并默认允许所有数据包通过[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域(untrust外网，trust内网;端口号请参照实际情况)[H3C] firewall zone untrust[H3C-zone-untrust] add interface Ethernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface Ethernet0/1工作模式，默认为路由模式[H3C] firewall mode route开启所有防范功能[H3C] firewall defend all配置内网LAN口IP(内网IP地址请参考实际情况)[H3C] interface Ethernet0/1[H3C-interface] ip address 192.168.1.1 255.255.255.0配置外网IP(也就是电信给你们的IP和子网掩码)[H3C] interface Ethernet0/0[H3C-interface] ip address X.X.X.X X.X.X.X.X配置NAT地址池(填写电信给你们的IP地址，填写两次)[H3C]nat address-group 1 X.X.X.X X.X.X.X.X配置默认路由(出外网的路由,字母代表的是电信分配你们的外网网关地址，不知道就问电信)[H3C]ip route-static 0.0.0.0 0.0.0.0 Y.Y.Y.Y preference 60配置访问控制列表(上网必须配置)[H3C]acl number 2001[H3C-ACL]rule 1 permit source 192.168.1.0 0.0.0.255应用访问控制列表到端口，并开启NAT上网功能[H3C]interface Ethernet1/0[H3C-interface]nat outbound 2001 address-group 1配置DHCP[H3C] dhcp enable[H3C-dhcp] dhcp server ip-pool 0[H3C-dhcp] network 192.1681.0 mask 255.255.255.0[H3C-dhcp] gateway-list 192.168.1.1[H3C-dhcp] dns-list X.X.X.X(配置你们这里的DNS服务器地址) 其它配置：允许网页配置[H3C] undo ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3配置telnet远程登录[H3C-vty] user-interface vty 0 4[H3C-vty] authentication-mode schem/password[H3C-vty] user privilage 3完成某项配置之后要回到[H3C] 提示符下面请按q再回车。

项目名称： 配置防火墙透明模式学习目标：了解什么是透明网络模式掌握防火墙透明模式的配置及应用学习情境：透明模式即相当于防火墙工作于透明网桥模式。

防火墙的各个安全区域均为同一网段当中。

在实际应用网络中，无需变动网络的拓扑结构，广泛应用大量原有网络的安全升级项目。

教学设备：防火墙设备一台Console 线一条交叉线两条PC 机两台拓扑结构：一、基本操作训练（CLI 模式下完成下列操作，本部分操作与拓扑图无关）1、为eth1口设置IP 地址（10.1.1.1/24）；2、定义area-eth1区域；3、定义管理主机（manager-host ）地址10.1.1.10；2、为eth1口设置管理方式，允许管理主机从eth1口以telnet 的方式登录防火墙。

二、防火墙备份与恢复操作（本部分操作与拓扑图无关）2 50 . 1 . 1 . 2 / 24 Eth 50 . 1 . 1 .3 / 24 50 . 1 . 1 . 1 / 241、下载防火墙保存配置文件2、下载防火墙运行配置文件3、上传防火墙保存配置文件三、防火墙透明模式配置实践操作（参照拓扑图，在CLI模式下完成下列操作）1、创建VLANTopsecOS# network vlan add id 102、配置VLAN地址TopsecOS# network interface vlan.10 ip add 50.1.1.1 mask 255.255.255.03、激活VLANTopsecOS# network interface eth1 switchportTopsecOS# network interface eth1 switchport mode accessTopsecOS# network interface eth1 switchport access-vlan 10TopsecOS# network interface eth1 no shutdownTopsecOS# network interface eth2 switchportTopsecOS# network interface eth2 switchport mode accessTopsecOS# network interface eth2 switchport access-vlan 10TopsecOS# network interface eth2 no shutdown结果及验证：可以通过两台PC互ping进行测试和验证，如可连通对方，说明配置正确。

H3C防⽕墙透明传输配置Saving configuration flash:/config.cfg. Please wait... .......................Current configuration has been saved to the device successfully.[H3C]%Oct 10 13:58:07:869 2010 H3C PHY/1/PHY: Ethernet0/0: change status to up%Oct 10 13:59:42:871 2010 H3C PHY/1/PHY: Ethernet0/1: change status to up*********************************************************** ** H3C SecPath Series Gateway BOOTROM, Version 1.18 ** ***********************************************************Copyright (c) 2004-2008 Hangzhou H3C Technologies Co., Ltd.Compiled at Mon Jul 7 15:07:10 CST 2008Testing memory...OK!256M bytes DDR SDRAM Memory16M bytes Flash MemoryHardware Version is 3.0CPLD Version is 1.0Press Ctrl-B to enter Boot MenuSystem is self-decompressing.................................................. ................................................................................ ................................................................................ .............................................................System is starting...User interface Con 0 is available.Press ENTER to get started.%Oct 10 14:09:22:267 2010 H3C SHELL/4/LOGIN: Console login from con0sysSystem View: return to User View with Ctrl+Z.[H3C][H3C][H3C][H3C][H3C]%Oct 10 14:11:59:474 2010 H3C PHY/1/PHY: Ethernet0/3: change status to down%Oct 10 14:11:59:474 2010 H3C IFNET/4/UPDOWN:Line protocol on the interface Ethe rnet0/3 is DOWN[H3C][H3C][H3C][H3C][H3C][H3C]dis cur#sysname H3C#firewall packet-filter enablefirewall packet-filter default permit#insulate#firewall statistic system enable#radius scheme systemserver-type extended#domain system#local-user adminpassword simple adminservice-type telnetlevel 3#interface Aux0async mode flow#interface Ethernet0/0#interface Ethernet0/1#interface Ethernet0/2#interface Ethernet0/3ip address 192.168.1.1 255.255.255.0 #interface Ethernet1/0#interface Ethernet1/1#interface Ethernet1/2#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet0/1set priority 85#firewall zone untrustadd interface Ethernet0/0set priority 5#firewall zone DMZset priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode scheme#return[H3C]sys^% Incomplete command found at '^' position.[H3C]dis cur#sysname H3C#firewall packet-filter enablefirewall packet-filter default permit#insulate#firewall statistic system enable#radius scheme systemserver-type extended#domain system#local-user adminpassword simple adminservice-type telnetlevel 3#interface Aux0async mode flow#interface Ethernet0/0#interface Ethernet0/1#interface Ethernet0/2#interface Ethernet0/3ip address 192.168.1.1 255.255.255.0#---- More ----%Oct 10 14:17:19:471 2010 H3C PHY/1/PHY: Ethernet0/1: change status to down%Oct 10 14:17:24:470 2010 H3C PHY/1/PHY: Ethernet0/3: change status to up%Oct 10 14:17:24:470 2010 H3C IFNET/4/UPDOWN:Line protocol on the interface Ethe rnet0/3 is UP%Oct 10 14:22:29:473 2010 H3C PHY/1/PHY: Ethernet0/3: change status to down%Oct 10 14:22:29:473 2010 H3C IFNET/4/UPDOWN:Line protocol on the interface Ethe rnet0/3 is DOWN%Oct 10 14:22:34:470 2010 H3C PHY/1/PHY: Ethernet0/0: change status to up%Oct 10 14:22:54:472 2010 H3C PHY/1/PHY: Ethernet0/0: change status to down%Oct 10 14:22:59:473 2010 H3C PHY/1/PHY: Ethernet0/3: change status to up%Oct 10 14:22:59:473 2010 H3C IFNET/4/UPDOWN:Line protocol on the interface Ethe rnet0/3 is UPinterface Ethernet1/0#interface Ethernet1/1#interface Ethernet1/2#interface NULL0[H3C]dis cur#sysname H3C#firewall packet-filter enablefirewall packet-filter default permit#insulate#firewall statistic system enable#radius scheme systemserver-type extended#domain system#local-user adminpassword simple adminservice-type telnetlevel 3#interface Aux0async mode flow#interface Ethernet0/0#interface Ethernet0/1#interface Ethernet0/2#interface Ethernet0/3ip address 192.168.1.1 255.255.255.0 #interface Ethernet1/0#interface Ethernet1/1#interface Ethernet1/2#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet0/1set priority 85#firewall zone untrustadd interface Ethernet0/0set priority 5#firewall zone DMZset priority 50[H3C]fire[H3C]firewall z[H3C]firewall zone tr[H3C]firewall zone trust[H3C-zone-trust]add[H3C-zone-trust]add in[H3C-zone-trust]add interface e[H3C-zone-trust]add interface Ethernet 0/3[H3C-zone-trust]qu[H3C]saveThe configuration will be written to the device.Are you sure?[Y/N]yNow saving current configuration to the device.Saving configuration flash:/config.cfg. Please wait... ..................Current configuration has been saved to the device successfully. [H3C]dis cur#sysname H3C#firewall packet-filter enablefirewall packet-filter default permit#insulate#firewall statistic system enable#radius scheme systemserver-type extended#domain system#local-user adminpassword simple adminservice-type telnetlevel 3#interface Aux0async mode flow#interface Ethernet0/0#interface Ethernet0/1#interface Ethernet0/2#interface Ethernet0/3ip address 192.168.1.1 255.255.255.0#interface Ethernet1/0#interface Ethernet1/1#interface Ethernet1/2#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet0/1add interface Ethernet0/3set priority 85#firewall zone untrustadd interface Ethernet0/0set priority 5#firewall zone DMZset priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode scheme#---- More ----%Oct 10 14:28:39:473 2010 H3C PHY/1/PHY: Ethernet0/3: change status to down%Oct 10 14:28:39:473 2010 H3C IFNET/4/UPDOWN:Line protocol on the interface Ethe rnet0/3 is DOWN%Oct 10 14:29:09:473 2010 H3C PHY/1/PHY: Ethernet0/3: change status to up%Oct 10 14:29:09:473 2010 H3C IFNET/4/UPDOWN:Line protocol on the interface Ethe rnet0/3 is UP[H3C]********************************************************************************* Copyright(c) 2004-2009 Hangzhou H3C Technologies Co., Ltd. All rights reserve d.** Without the owner's prior written consent, ** no decompiling or reverse-engineering shall be allowed. *********************************************************************************User interface con0 is available.Please press ENTER.%Oct 10 14:39:59:500 2010 H3C SHELL/4/LOGIN: Console login from con0s^% Ambiguous command found at '^' position.sysSystem View: return to User View with Ctrl+Z.[H3C]bre[H3C]br[H3C]bridge e[H3C]bridge enable[H3C]bri[H3C]bridge 1 en[H3C]bridge 1 enable[H3C]inter[H3C]interface e[H3C]interface Ethernet 0/0[H3C-Ethernet0/0]set br[H3C-Ethernet0/0]bri[H3C-Ethernet0/0]bridge-s[H3C-Ethernet0/0]bridge-set 1[H3C-Ethernet0/0]interface Ethernet 0/1[H3C-Ethernet0/1]bridge-set 1[H3C-Ethernet0/1]qu[H3C]dis cur#sysname H3C#firewall packet-filter enablefirewall packet-filter default permit#insulate#bridge enablebridge 1 enable#firewall statistic system enable#radius scheme systemserver-type extended#domain system#local-user adminpassword simple adminservice-type telnetlevel 3#interface Aux0async mode flow#interface Ethernet0/0bridge-set 1#interface Ethernet0/1bridge-set 1#interface Ethernet0/2#interface Ethernet0/3ip address 192.168.1.1 255.255.255.0#interface Ethernet1/0#interface Ethernet1/1#interface Ethernet1/2#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet0/1add interface Ethernet0/3set priority 85#firewall zone untrustadd interface Ethernet0/0set priority 5#firewall zone DMZset priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#[H3C]saveThe configuration will be written to the device.Are you sure?[Y/N]yNow saving current configuration to the device.Saving configuration flash:/config.cfg. Please wait... ..................Current configuration has been saved to the device successfully.[H3C]dis cur#sysname H3C#firewall packet-filter enablefirewall packet-filter default permit#insulate#bridge enablebridge 1 enable#firewall statistic system enable#radius scheme systemserver-type extended#domain system#local-user adminpassword simple adminservice-type telnetlevel 3#interface Aux0---- More ----%Oct 10 14:44:48:636 2010 H3C PHY/1/PHY: Ethernet0/0: change status to up%Oct 10 14:44:48:636 2010 H3C PHY/1/PHY: Ethernet0/3: change status to down%Oct 10 14:44:48:637 2010 H3C IFNET/4/UPDOWN:Line protocol on the interface Ethe rnet0/3 is DOWN%Oct 10 14:44:53:634 2010 H3C PHY/1/PHY: Ethernet0/1: change status to up%Oct 10 14:46:18:633 2010 H3C PHY/1/PHY: Ethernet0/0: change status to down%Oct 10 14:46:18:633 2010 H3C PHY/1/PHY: Ethernet0/3: change status to up%Oct 10 14:46:18:634 2010 H3C IFNET/4/UPDOWN:Line protocol on the interface Ethe rnet0/3 is UP。

Cisco FWSM防火墙透明模式配置例子透明模式配置例子以下内容需要回复才能看到hostname Farscapepassword passw0rdenable password chr1cht0ninterface vlan 4interface vlan 5interface vlan 6interface vlan 7interface vlan 150interface vlan 151interface vlan 152interface vlan 153admin-context admincontext adminallocate-interface vlan150allocate-interface vlan4config-url disk://admin.cfgmember defaultcontext customerAdescription This is the context for customer A allocate-interface vlan151allocate-interface vlan5config-url disk://contexta.cfgmember goldcontext customerBdescription This is the context for customer B allocate-interface vlan152allocate-interface vlan6config-url disk://contextb.cfgmember silvercontext customerCdescription This is the context for customer Callocate-interface vlan153allocate-interface vlan7config-url disk://contextc.cfgmember bronzeChangeto context adminfirewall transparentpasswd secret1969enable password h1andl0interface vlan 150nameif outsidesecurity-level 0bridge-group 1interface vlan 4nameif insidesecurity-level 100bridge-group 1interface bvi 1ip address 10.1.1.1 255.255.255.0route outside 0 0 10.1.1.2 1ssh 10.1.1.75 255.255.255.255 insidearp outside 10.1.1.2 0009.7cbe.2100arp inside 10.1.1.3 0009.7cbe.1000arp-inspection inside enable floodarp-inspection outside enable floodaccess-list INTERNET remark -Allows all inside hosts to access the outside access-list INTERNET extended permit ip any anyaccess-group INTERNET in interface insideaccess-list RETURN remark -Allows OSPF backaccess-list RETURN extended permit 89 any anyaccess-list RETURN remark -Allows DHCP backaccess-list RETURN extended permit udp any any eq 68access-group RETURN in interface outsideChangeto context afirewall transparentpasswd hell0!enable password enter55interface vlan 151nameif outsidesecurity-level 0bridge-group 45interface vlan 5nameif insidesecurity-level 100bridge-group 45interface bvi 45ip address 10.1.2.1 255.255.255.0route outside 0 0 10.1.2.2 1access-list INTERNET remark -Allows all inside hosts to access the outside access-list INTERNET extended permit ip any anyaccess-group INTERNET in interface insideaccess-list RETURN remark -Allows OSPF backaccess-list RETURN extended permit 89 any anyaccess-list RETURN remark -Allows DHCP backaccess-list RETURN extended permit udp any any eq 68access-group RETURN in interface outsideChangeto context bfirewall transparentpasswd tenac10usenable password defen$einterface vlan 152nameif outsidesecurity-level 0bridge-group 1interface vlan 6nameif insidesecurity-level 100bridge-group 1interface bvi 1ip address 10.1.3.1 255.255.255.0route outside 0 0 10.1.3.2 1access-list INTERNET remark -Allows all inside hosts to access the outside access-list INTERNET extended permit ip any anyaccess-group INTERNET in interface insideaccess-list RETURN remark -Allows OSPF backaccess-list RETURN extended permit 89 any anyaccess-list RETURN remark -Allows DHCP backaccess-list RETURN extended permit udp any any eq 68access-group RETURN in interface outsideChangeto context cfirewall transparentpasswd fl0werenable password treeh0u$einterface vlan 153nameif outsidesecurity-level 0bridge-group 100interface vlan 7nameif insidesecurity-level 100bridge-group 100interface bvi 100ip address 10.1.4.1 255.255.255.0route outside 0 0 10.1.4.2 1access-list INTERNET remark -Allows all inside hosts to access the outside access-list INTERNET extended permit ip any anyaccess-group INTERNET in interface insideaccess-list RETURN remark -Allows OSPF backaccess-list RETURN extended permit 89 any anyaccess-list RETURN remark -Allows DHCP backaccess-list RETURN extended permit udp any any eq 68access-group RETURN in interface outside。

山石网科防火墙在接入方面为我们提供了四个方面的选择1. 透明模式2. 路由模式3. 混合模式4. 旁路模式今天我们简单的看下透明模式的接入，首先我们来看下拓扑图。

通过这样的一个拓扑图我们发现，在防火墙的左边和右边都是连接的同一个网络，但是我们并没有给防火墙分配地址，而是让防火墙透明的存在这个网络中，这种接入方式就是我们的接入方式的透明模式。

既然是透明的，并且没有IP地址，那么我们让他们正常的进行通信就需要通过二层来实现。

山石网科的设备在设备内部默认存在一个虚拟交换机，通过这个交换机来实现二层的互联。

下面我们有两种方式来为配置我们的透明模式，一种是命令行方式，还有一种是网页方式。

一：命令行模式先要把对应的接口划入到对应的zone，如我们的拓扑图所示。

QYTANG(config)# int e0/1QYTANG(config-if-eth0/1)# zone l2-trustQYTANG(config-if-eth0/1)# no shutdownQYTANG(config-if-eth0/1)# exitQYTANG(config)# int e0/2QYTANG(config-if-eth0/2)# zone l2-untrustQYTANG(config-if-eth0/2)# no shutdown现在我们需要在两边的路由器上配置相应的ip地址。

R1(config)#int e0/0R1(config-if)#ip address 10.1.1.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exitR2(config)#int e0/0R2(config-if)#ip address 10.1.1.2 255.255.255.0R2(config-if)#no shutdownR2(config-if)#exit在没有做策略之前做测试，看是否能够通信。