V7防火墙透明模式配置
防火墙透明模式配置(二层模式)
实验V3防火墙透明模式(二层模式)一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段,在交换机上划分了两个VLAN,在路由器上设置单臂路由,内网用户DHCP获取IP地址,DHCP服务器为MSR路由器。
为了安全,用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙,为了不改变网络架构,用户要求将防火墙配置成二层模式。
三、拓扑图四、配置步骤基本配置1. 基本配置:设备命名,先不将防火墙加入网络,保证内网运行正常2. 将防火墙加入到网络中,进行防火墙的基本配置3. 将防火墙转换成二层模式,保证内网运行正常防火墙的配置:一、基本配置:1、设备命名,防火墙数据放通,接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustadd interface g1/0quitfirewall zone untrust //外网口加入untrustadd interface g2/0quit2、将防火墙转换成二层模式:bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1 //设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 //将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1 五、查看和测试:使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址,能否获取到?2、获取IP地址后,PC能否Ping通网关,能否上公网?3、内网PC机能否管理F1000-S1.2 六、实验思考:1、当需要管理F1000-S防火墙时,我们需要登录bridge-template接口,请考虑这个时候对内网S3100交换机有什么特殊要求?1.3 附:老版本的二层模式配置:firewall mode transparent (配置为透明模式)firewall system-ip 192.168.1.254 255.255.255.0 (这是防火墙的管理IP地址)interface Ethernet2/0(进入WAN口)promiscuous (配置为透明传输)quitinterface Ethernet1/0 (进入LAN口)promiscuous (配置为透明传输)quitfirewall packet-filter default permit (配置防火墙默认规则)firewall unknown-mac flood (未知MAC泛洪)。
配置防火墙透明代理
配置防火墙透明代理应用场景代理服务器是介于浏览器和Web服务器之间的一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,Request信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。
而且,大部分代理服务器都具有缓冲的功能,就好象一个大的Cache,它有很大的存储空间,它不断将新取得数据储存到它本机的存储器上,如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的,那么它就不重新从Web服务器取数据,而直接将存储器上的数据传送给用户的浏览器,这样就能显著提高浏览速度和效率(速度会随着代理服务器地理位置的不同以及网络传输情况而改变),而且国外的网络大部分都是没有限制访问网站或者所限制的不同,所以我们有很大的机会通过代理服务器去访问那些原本不能够去的网站对于服务提供商来说:● 大部分代理服务器都具有缓冲的功能。
它有一个很大的Cache(一个很大的硬盘缓冲区),不断地将新取得的数据保存在Cache中。
如果浏览器所请求的数据在其缓冲区中已经存在而且是最新的,那么它就不会重新到Web服务器取数据,而直接将缓冲区中的数据传送给浏览器,从而显著地提高浏览速度;● 代理服务器能够提供安全功能。
它连接Internet与Intranet,有防火墙功能。
由于内部网与外部网之间没有其它的直接连接,所有的通信都必须通过代理服务器,因此外界不能直接访问到内部网,使得内部网的安全性得到提高。
同时也可以设置IP地址过滤,来限制内部网对外部的访问权限。
● 可以节省IP开销。
由于所有用户对外只占用一个有效的IP,所以不必租用过多的有效IP地址,降低网络的维护成本。
由于目的服务器只能查出所使用的代理服务器的IP,所以对防止网络黑客还有一个不言而喻的好处,那就是通过这种方法隐藏自己的真实IP地址。
对于个人来说:代理服务器的最大的好处是可以通过代理来访问本身不能访问到的地方。
防火墙透明模式典型配置举例
防火墙透明模式典型配置举例防火墙透明模式是一种常见的网络安全配置,它允许防火墙在网络上作为透明的桥接设备,无需修改网络设备的IP地址和配置,对所有网络流量进行过滤和监控。
本文将以一个典型的企业网络环境为例,详细介绍防火墙透明模式的配置。
1.网络拓扑假设企业网络中有一个内部局域网(LAN)和一个外部网络(WAN),分别连接到防火墙的两个接口。
内部局域网的网段为192.168.0.0/24,防火墙的局域网接口IP地址为192.168.0.1;外部网络的网段为202.100.100.0/24,防火墙的广域网接口IP地址为202.100.100.1、防火墙的透明模式设置在两个接口之间。
2.配置步骤(1)配置局域网接口IP地址:登录防火墙管理界面,在网络设置中找到局域网接口,设置IP地址为192.168.0.1,子网掩码为255.255.255.0。
这样,防火墙就可以与内部网络通信。
(2)配置广域网接口IP地址:同样在网络设置中找到广域网接口,设置IP地址为202.100.100.1,子网掩码为255.255.255.0。
这样,防火墙就可以与外部网络通信。
(3)配置透明模式:在防火墙的透明模式设置中,将局域网接口和广域网接口进行桥接。
在桥接配置中,选择透明模式,并将局域网接口和广域网接口绑定在一个桥接组中。
(4)配置ACL(访问控制列表):通过ACL可以定义防火墙的过滤规则,控制允许和禁止的流量。
例如,可以设置允许内部网络对外访问的规则,禁止特定IP地址的访问规则等。
在防火墙管理界面的策略设置中,创建相应的ACL规则。
(5)配置NAT(网络地址转换):NAT可以将内部网络的私有IP地址映射为公共IP地址,实现内部网络对外部网络的访问。
在防火墙的NAT设置中,配置相应的NAT规则。
(6)配置日志功能:在防火墙中启用日志功能,记录所有的网络流量和安全事件。
可以将日志信息发送到指定的日志服务器,方便网络管理员进行监控和分析。
防火墙透明模式配置
收藏 分享
来源: 中国系统集成论坛 原文链接:/thread-381753-1-1.html
防火墙透明模式配置
防火墙的透明模式
特性介绍:从PIX 7.0和FWSM 2.2开始防火墙可以支持透明的防火墙模式,接口不需要配置地址信息,工作在二层。只支持两个接口inside和outside,
当然可以配置一个管理接口,但是管理接口不能用于处理用户流量,在多context模式下不能复用物理端口。
配置接口 Firewall(config)# interface hardware-id
Firewall(config-if)# speed {auto | 10 | 100 |noneg-if)# duplex {auto | full | half}
Firewall(config)# mac-learn if_name disable 禁止特定接口地址学习(show mac-learn验证)
ARP检查 Firewall(config)# arp if_name ip_address mac_address 静态ARP条目
Firewall(config)# arp-inspection if_name enable [flood | no-flood]
MAC地址表的配置 Firewall# show mac-address-table 显示MAC地址表
Firewall(config)# mac-address-table aging-time minutes 设置MAC地址表过期时间
Firewall(config)# mac-address-table static if_name mac_address 设置静态MAC条目
防火墙透明模式配置(二层模式)
实验V3防火墙透明模式(二层模式)一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段,在交换机上划分了两个VLAN,在路由器上设置单臂路由,内网用户DHCP获取IP地址,DHCP服务器为MSR路由器。
为了安全,用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙,为了不改变网络架构,用户要求将防火墙配置成二层模式。
三、拓扑图四、配置步骤基本配置1. 基本配置:设备命名,先不将防火墙加入网络,保证内网运行正常2. 将防火墙加入到网络中,进行防火墙的基本配置3. 将防火墙转换成二层模式,保证内网运行正常防火墙的配置:一、基本配置:1、设备命名,防火墙数据放通,接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustadd interface g1/0quitfirewall zone untrust //外网口加入untrustadd interface g2/0quit2、将防火墙转换成二层模式:bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1 //设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 //将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1 五、查看和测试:使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址,能否获取到?2、获取IP地址后,PC能否Ping通网关,能否上公网?3、内网PC机能否管理F1000-S1.2 六、实验思考:1、当需要管理F1000-S防火墙时,我们需要登录bridge-template接口,请考虑这个时候对内网S3100交换机有什么特殊要求?1.3 附:老版本的二层模式配置:firewall mode transparent (配置为透明模式)firewall system-ip 192.168.1.254 255.255.255.0 (这是防火墙的管理IP地址)interface Ethernet2/0(进入WAN口)promiscuous (配置为透明传输)quitinterface Ethernet1/0 (进入LAN口)promiscuous (配置为透明传输)quitfirewall packet-filter default permit (配置防火墙默认规则)firewall unknown-mac flood (未知MAC泛洪)。
透明模式防火墙
透明模式防火墙在防火墙系统7.0及其后续版本中,引入了用安全网桥模式作为二层设备来部署安全设备的方法,以此提供从第2层到第7层的丰富防火墙服务。
在透明模式下,安全设备会以"额外添加设备(bump in the wire )"的形式存在,而不会被计算进路由的跳数中。
因此也就不需要对IP网络(第3层地址方案)重新进行设计。
安全设备的内部接口和外部接口连接在同一个网络(IP子网)中。
如果这个内部接口和外部接口连接在同一台交换机上的话,就要把它们放在不同的二层网络中(可以给这两个接口分配不同的VLAN号,或者用不同的交换机连接它们)。
这样做可以从本质上把网络分成两个二层网段,安全设备位于这两个网段之间充当网桥,而网络的第3层结构则没有发生变化。
客户只能被连接到两台相互分离的交换机之一(而无法以任何方式与另一台相连)。
图6-3对此作出了进一步的说明。
即使防火墙处于网桥模式中,仍然需要对其配置ACL来对穿越防火墙的三层流量实施控制和放行。
但ARP流量除外,它不需要使用ACL来匹配,因为它可以用防火墙的ARP监控功能(ARP inspection)进行控制。
透明模式不能为穿越设备的流量提供IP路由功能,因为它处于网桥模式中。
静态路由是用来为这台设备始发流量服务的,不适用于穿越这台设备的流量。
不过,只要防火墙的ACL 有相应的匹配条目,那么IP路由协议数据包是可以通过这个防火墙的。
OSPF、RIP、EIGRP、BGP都可以穿越透明模式的防火墙建立临接关系。
当防火墙运行在透明模式时,它仍然对数据进行状态化监控和应用层检测,它也仍然可以实现所有普通防火墙的功能,比如NA T。
配置NA T可以在防火墙系统8.0及后续版本中实现,在此之前的版本中,则不支持在透明模式下实现NA T的功能。
出站数据包要从哪个接口转发出去是通过防火墙查询MAC地址,而不是路由表实现的。
透明模式下的防火墙只有一个IP地址必须配置,那就是管理IP。
防火墙的透明模式和透明代理服务器教程电脑资料
防火墙的透明模式和透明代理服务器教程电脑资料防火墙在计算机网络安全中扮演着非常重要的角色。
它可以帮助监控和管理网络流量,保护计算机网络免受恶意攻击和未经授权的访问。
而防火墙的透明模式和透明代理服务器是其中两个重要的概念。
本文将详细解释防火墙的透明模式和透明代理服务器的原理,并介绍它们的设置和配置。
一、透明模式防火墙的透明模式是指在网络中拦截和过滤数据包时,对网络用户和应用程序来说是不可察觉的。
换句话说,透明模式下的防火墙不会对数据包进行任何的修改或干预。
它像一个“隐形”的墙壁,无论数据包是进入还是离开网络,都会被透明模式的防火墙检查和过滤。
在透明模式下,防火墙通常被部署为一个网桥。
这意味着它有两个网络接口,一个连接到内部网络,一个连接到外部网络。
防火墙会监听通过它的数据包流量,并根据预设的策略来判断是否允许或拒绝数据包通过。
用户和应用程序在没有任何感知的情况下,可以自由地发送和接收数据。
透明模式的防火墙通常还具备一些高级功能,如入侵检测系统(Intrusion Detection System,IDS)和虚拟专用网(Virtual Private Network,VPN)功能等。
它们能够帮助检测和防范网络攻击、黑客入侵等安全威胁。
二、透明代理服务器透明代理服务器(Transparent Proxy Server)是一种在网络通信中起到中间人角色的服务器。
在用户和目标服务器之间建立连接时,所有的请求和响应都需要经过透明代理服务器。
用户认为它们直接与目标服务器通信,而不知道自己实际上是在与代理服务器通信。
透明代理服务器通常用于网络缓存、访问控制、流量管理等用途。
它可以帮助优化网络通信,并提高网络性能。
同时,透明代理服务器还可以过滤和检测网络流量,防止恶意攻击、病毒传播和未经授权的访问。
设置和配置透明代理服务器通常需要以下几个步骤:1. 选择和安装合适的代理服务器软件。
常见的透明代理服务器软件有Squid、Nginx和Apache等。
防火墙透明工作模式的配置
4.2 防火墙透明工作模式的配置前置知识:防火墙的透明工作模式,相当于防火墙端口工作于透明网桥模式,即防火墙的各个端口所连接的计算机均处于同一IP子网中,但不同接口之间的计算机的访问要受安全规则的制约。
因此这对内部网络中需要对某些计算机采取强化控制措施时是很用的。
这是对网络变动最少的接入控制方法,广泛应用于原来网络的安全升级中,而原有的拓扑只要稍加改动即可。
实验目的1.了解什么是防火的透明工作模式2.掌握防火墙透明工作模式的配置方法,并在防火墙中设置简单规则以实现对外部设备访问的控制实验器材1.DCFW-1800S-K/VPN防火墙一台2.交叉网线两根3.PC机两台实验拓扑及规划试验步骤1.给防火墙LAN(if1)接口设置IP地址及添加管理机地址在命令行方式下利用admin用户登录到防火墙,执行如下操作:# ifconfig if1 192.168.100.100/24# ifconfig if1 192.168.100.100/24# adminhost add 192.168.100.101# apply# save做了如上修改之后,修改本地计算机的“测试”网卡地址为“192.168.100.101”,并启动浏览器、用admin用户登录到防火墙。
2. 进入网桥设置主界面选择“首页”|“系统”|“网桥设置”命令,如图1所示:图1 网桥设置界面3.启用网桥单击图1中“网桥设备”中的“bridge0”右边的“修改”按钮,进入如图2所示的界面,选中“修改网桥设置”选项卡,随后选中“启用”复选框,以启用网桥。
图2 启用网桥设置4.向网桥中添加接口选中“网桥bridege0接口设置”选项卡,如图3所示。
图3启用网桥设置单击“新增”按钮,将if0和if1接口加入bridge0,完成后的界面如图4所示。
图4 向bridge0中加入接口而后选“修改网桥设置”选项卡,回到图25所示界面,单击“确定”按钮,回到主界面,如图5所示,为使设置生效,依次单击“应用”和“保存”按钮。
透明网桥模式防火墙配置
透明网桥模式防火墙配置透明网桥模式是一种常用于防火墙配置的网络架构。
它能够提供更高的灵活性和可配置性,并且可以无缝地集成到现有的网络环境中。
在这种模式下,防火墙实际上是一个透明的设备,不需要对网络中的其他设备进行任何的配置更改。
下面是一个基于透明网桥模式的防火墙配置的示例,重点介绍了一些重要的配置步骤和注意事项。
1.网络拓扑规划:首先需要规划网络拓扑,确定防火墙的位置和连接方式。
在透明网桥模式下,防火墙通常被放置在内部网络和外部网络之间的物理链路上,作为网络流量的桥接点。
2.配置防火墙:根据网络拓扑规划,为防火墙配置IP地址和其他必要的网络参数。
确保防火墙的固件和软件是最新的,并配置相关的安全策略。
3.物理连接:将防火墙的内部接口和外部接口分别连接到内部网络和外部网络上的交换机或路由器。
确保连接线路正常并且连接稳定。
4.IP地址分配:为防火墙的内部接口和外部接口分别分配独立的IP地址。
确保内部和外部接口的IP地址是在不同的网络段中,并且与已有设备的IP地址不冲突。
5.配置透明网桥:在防火墙上配置透明网桥,并指定内部接口和外部接口。
透明网桥将内部网络和外部网络桥接起来,实现数据的透明传输。
配置透明网桥时需要注意避免造成网络环路。
6.安全策略配置:配置防火墙的安全策略,包括访问控制列表(ACL)、入侵检测和防御系统(IDS/IPS)等。
根据实际需求和网络环境,制定和实施相应的安全策略,确保网络安全。
7.流量监控和日志记录:配置防火墙的流量监控和日志记录功能,可以实时和事后审计网络流量,并及时发现和处理潜在的安全威胁。
8.测试和优化:在配置完成后,进行测试验证防火墙的功能和性能。
通过对网络流量和安全策略的实际测试,发现和解决可能存在的问题,并进行必要的优化。
透明网桥模式的防火墙配置需要在网络规划、物理连接、IP地址分配、透明网桥配置、安全策略配置、流量监控、日志记录以及测试和优化等方面进行细致的配置和调整。
实验七_防火墙透明模式配置.
实验七、防火墙透明模式配置实验目的1.了解什么是透明网络模式2.了解如何配置防火墙为透明模式应用环境透明模式即相当于防火墙工作于透明网桥模式。
防火墙进行防范的各个区域均位于同一网段。
在实际应用网络中,这是对网络变动最少的接入方法,广泛用于大量原有网络的安全升级中。
实验设备1.防火墙设备一台2.Console线一条3.交叉网络线三条4.直通网络线一条5.PC机2三台实验拓扑实验要求1.防火墙网桥模式初始配置2.配置相关网络对象和服务对象3.配置安全规则安全规则为:PC1为内网主机,PC2为外网主机。
PC1:允许访问外网的HTTP,FTP,ping;PC2:不允许访问内网;4.实验验证实验步骤连接实验环境按照拓扑图,使用二根交叉双绞线将二台PC机与防火墙的对应端口连接在一起(实验验证用)。
防火墙网桥模式初始配置进入防火墙命令行管理界面,按照拓扑图的IP地址规划,配置防火墙的管理主机地址和LAN口地址,以便进行图形化界面管理。
# ifconfig if1 192.168.1.77/24# adminhost add 192.168.1.10# apply# save修改PC1的地址为拓扑所示(192.168.1.10),则可以通过IE浏览器进行防火墙的安全图形界面管理了。
在系统->网桥设置中,启用bridge0,并点击右侧修改按钮,如下所示:点击启用,然后点开网桥bridge0接口设置标签,使用新增按钮分别添加防火墙的lan (if1)和wan(if0)口。
系统提示操作成功后,可以得到如下界面显示:点击右上角的应用按钮,然后保存配置,网桥模式启动成功。
注:MAC缓冲池大小一般与内网连接的用户数有关,可以根据实际需要对此数值进行更改,一般需要比内网用户数多。
配置相关网络对象和服务对象在DCFW-1800系列中,配置安全规则之前,需要定义一系列的服务对象和网络对象。
所谓网络对象,就是指防火墙的安全规则所针对的网络节点或网络节点群,安全规则就是以网络对象为基本的检查单元进行安全检查决定是否允许某个网络对象的数据转发与否。
防火墙的透明模式
防火墙的透明模式防火墙透明模式是一种网络安全技术,其主要目的是在不对网络流量做任何修改的情况下,对网络进行监控和检查,以保护网络免受各种威胁。
在防火墙透明模式下,网络中的所有流量都会通过防火墙进行传递,但与普通防火墙不同的是,在透明模式下,网络流量的路由是无法察觉的,即外部用户无法察觉到网络流量被防火墙处理过。
防火墙透明模式的主要工作原理如下:1.路由配置:在防火墙和网络中的其他设备之间进行正确的路由配置。
这样,所有的网络流量都会被自动重定向到防火墙,而不会对网络流量的路由造成任何影响。
2.透明桥接:防火墙通常会通过透明桥接的方式接管网络流量,即将网络流量原封不动地转发给目标设备,同时在转发过程中进行监控和检查。
透明桥接可以实现无害的网络流量传递。
3.无IP更改:透明模式下的防火墙不会对网络流量的IP地址进行任何更改操作。
这意味着,外部用户无法察觉到网络流量被防火墙处理过,从而增加了攻击者进行攻击的难度。
4.网络监控和检查:透明模式下的防火墙会监控和检查网络流量,以识别和阻止任何潜在的威胁。
它可以根据预设规则对流量进行分析,例如检测恶意软件,过滤垃圾邮件,防御拒绝服务攻击等。
防火墙透明模式的优点包括:1.无需客户端配置:由于防火墙在网络中的传输是透明和无感知的,所以无需在客户端设备上进行任何额外的配置。
这样可以简化网络管理,并减少可能的配置错误。
2.网络兼容性:透明模式的防火墙可以与任何网络设备和协议兼容,无需进行任何修改。
这使得防火墙的部署和维护更加灵活和方便。
3.安全性高:透明模式不会对网络流量的路由和源IP地址进行更改,使得外部用户无法轻易地绕过防火墙进行攻击。
与此同时,防火墙将持续监控和检查网络流量,提高了网络的安全性。
4.部署简便:在透明模式下,防火墙可以在网络中的任何位置进行部署,而不会对网络的结构和性能产生任何影响。
这为网络管理员提供了更多的灵活性和便捷性。
然而,防火墙透明模式也存在一些局限性和挑战。
普通网络环境防火墙配置透明模式
普通网络环境防火墙配置透明模式题记:大多数的防火墙或者说是UTM部署的模式有路由模式,网桥模式,混杂模式,配置最核心的也就是写规则,一个好的规则会使得内部网络的安全性得到较大的改善,当然如果是UTM可能还会附加上一些其他的安全组件,例如见的最多的就是AV防病毒组件,IPS组件,anti-spam反垃圾邮件组件等,有的还有一些上网行为管理(比较薄弱),VPN等组件,本次主要是以启明星辰的USG系列设备的常见部署模式进行配置说明,其他的厂商的防火墙配置内容都是大同小异,掌握一家的其他的自然也就很容易上手,学习就要善于总结归纳,将有共同点的知识技能归纳,做到一劳多得!!实验环境:1、防火墙工作在桥模式。
2、防火墙的eth2 和eth3 加入网桥组1(BVI1)。
网桥组1 配置防火墙管理IP:192.168.0.249/243、eth2 接口连接课桌上的网线口(如A1-1)通过交换机与网络相连,网关为192.168.0.1.4、eth3 直接与主机相连,主机IP 设为192.168.0.5实验拓扑:通过下面的简单操作,用户可以快速地安装配置好一台防火墙,并且,防火墙内部网的机器能够直接访问internet。
网络拓扑如下图所示:实验步骤如下:1.进入“网络设置-接口-透明桥”点击“新建”。
在桥名称中填入“BVI1”,桥组号中填入“1”,接口列表中选择“eth2”和“eth3”。
为便于对防火墙的管理可以将“管理访问”下的选项全部选择。
因为“eth2”和“eth3”使用的是桥模式,所以桥的IP 地址和掩码可以不配。
因为是透明桥模式,所以配置的IP 和掩码:192.168.0.249/24,是用于管理防火墙的IP,对网络没有什么影响。
参数配置完毕后,点击“提交”。
点击右上角图标保存配置。
2.进入“网络设置》基本配置缺省网关”点击“新建”添加网关。
提交并保存3.进入“防火墙》安全策略”点击“新建”,配置eth3 到eth2 的“全通”安全策略。
配置防火墙透明模式
项目名称: 配置防火墙透明模式学习目标:了解什么是透明网络模式掌握防火墙透明模式的配置及应用学习情境:透明模式即相当于防火墙工作于透明网桥模式。
防火墙的各个安全区域均为同一网段当中。
在实际应用网络中,无需变动网络的拓扑结构,广泛应用大量原有网络的安全升级项目。
教学设备:防火墙设备一台Console 线一条交叉线两条PC 机两台拓扑结构:一、基本操作训练(CLI 模式下完成下列操作,本部分操作与拓扑图无关)1、为eth1口设置IP 地址(10.1.1.1/24);2、定义area-eth1区域;3、定义管理主机(manager-host )地址10.1.1.10;2、为eth1口设置管理方式,允许管理主机从eth1口以telnet 的方式登录防火墙。
二、防火墙备份与恢复操作(本部分操作与拓扑图无关)2 50 . 1 . 1 . 2 / 24 Eth 50 . 1 . 1 .3 / 24 50 . 1 . 1 . 1 / 241、下载防火墙保存配置文件2、下载防火墙运行配置文件3、上传防火墙保存配置文件三、防火墙透明模式配置实践操作(参照拓扑图,在CLI模式下完成下列操作)1、创建VLANTopsecOS# network vlan add id 102、配置VLAN地址TopsecOS# network interface vlan.10 ip add 50.1.1.1 mask 255.255.255.03、激活VLANTopsecOS# network interface eth1 switchportTopsecOS# network interface eth1 switchport mode accessTopsecOS# network interface eth1 switchport access-vlan 10TopsecOS# network interface eth1 no shutdownTopsecOS# network interface eth2 switchportTopsecOS# network interface eth2 switchport mode accessTopsecOS# network interface eth2 switchport access-vlan 10TopsecOS# network interface eth2 no shutdown结果及验证:可以通过两台PC互ping进行测试和验证,如可连通对方,说明配置正确。
防火墙透明模式典型配置举例
工作在透明模式下的防火墙在数据链路层连接局域网(LAN),网络终端用户无需为连接网络 而对设备进行特别配置,就像使用以太网交换机一样进行网络连接。
配置防火墙允许通过的报 文类型
3.2.2 配置以太网帧头过滤规则
以太网帧头过滤规则主要配置如下:
1) 配置访问控制列表4000~4999
2) 配置过滤规则
3) 在接口应用以太网帧头过滤规则
操作视图
操作命令
操作说明
系统视图 [Quidway]acl number acl-number
创建acl规则
[Quidway-acl-ethernetframe-4000] rule [ rule-id ] { deny | ACL视图 permit } [ type type-code type-mask | lsap lsap-code lsap-mask ] 增加过滤规则
3.2.1 配置透明模式 .................................................................................................................2 3.2.2 配置以太网帧头过滤规则...............................................................................................2 3.2.3 配置tcp-proxy.................................................................................................................3 3.3 注意事项....................................................................................................................................3 3.4 举例...........................................................................................................................................3 3.4.1 组网需求 ........................................................................................................................3 3.4.2 组网图............................................................................................................................4 3.4.3 配置 ...............................................................................................................................4 3.4.4 验证结果 ........................................................................................................................6 3.4.5 故障排除 ........................................................................................................................9 4 关键命令 ................................................................................................................................... 9 4.1 firewall mode.............................................................................................................................9 4.2 firewall packet-filter default .....................................................................................................10 4.3 firewall zone............................................................................................................................10 4.4 add interface ...........................................................................................................................11 5 相关资料 ................................................................................................................................. 11
Cisco FWSM防火墙透明模式配置例子
Cisco FWSM防火墙透明模式配置例子透明模式配置例子以下内容需要回复才能看到hostname Farscapepassword passw0rdenable password chr1cht0ninterface vlan 4interface vlan 5interface vlan 6interface vlan 7interface vlan 150interface vlan 151interface vlan 152interface vlan 153admin-context admincontext adminallocate-interface vlan150allocate-interface vlan4config-url disk://admin.cfgmember defaultcontext customerAdescription This is the context for customer A allocate-interface vlan151allocate-interface vlan5config-url disk://contexta.cfgmember goldcontext customerBdescription This is the context for customer B allocate-interface vlan152allocate-interface vlan6config-url disk://contextb.cfgmember silvercontext customerCdescription This is the context for customer Callocate-interface vlan153allocate-interface vlan7config-url disk://contextc.cfgmember bronzeChangeto context adminfirewall transparentpasswd secret1969enable password h1andl0interface vlan 150nameif outsidesecurity-level 0bridge-group 1interface vlan 4nameif insidesecurity-level 100bridge-group 1interface bvi 1ip address 10.1.1.1 255.255.255.0route outside 0 0 10.1.1.2 1ssh 10.1.1.75 255.255.255.255 insidearp outside 10.1.1.2 0009.7cbe.2100arp inside 10.1.1.3 0009.7cbe.1000arp-inspection inside enable floodarp-inspection outside enable floodaccess-list INTERNET remark -Allows all inside hosts to access the outside access-list INTERNET extended permit ip any anyaccess-group INTERNET in interface insideaccess-list RETURN remark -Allows OSPF backaccess-list RETURN extended permit 89 any anyaccess-list RETURN remark -Allows DHCP backaccess-list RETURN extended permit udp any any eq 68access-group RETURN in interface outsideChangeto context afirewall transparentpasswd hell0!enable password enter55interface vlan 151nameif outsidesecurity-level 0bridge-group 45interface vlan 5nameif insidesecurity-level 100bridge-group 45interface bvi 45ip address 10.1.2.1 255.255.255.0route outside 0 0 10.1.2.2 1access-list INTERNET remark -Allows all inside hosts to access the outside access-list INTERNET extended permit ip any anyaccess-group INTERNET in interface insideaccess-list RETURN remark -Allows OSPF backaccess-list RETURN extended permit 89 any anyaccess-list RETURN remark -Allows DHCP backaccess-list RETURN extended permit udp any any eq 68access-group RETURN in interface outsideChangeto context bfirewall transparentpasswd tenac10usenable password defen$einterface vlan 152nameif outsidesecurity-level 0bridge-group 1interface vlan 6nameif insidesecurity-level 100bridge-group 1interface bvi 1ip address 10.1.3.1 255.255.255.0route outside 0 0 10.1.3.2 1access-list INTERNET remark -Allows all inside hosts to access the outside access-list INTERNET extended permit ip any anyaccess-group INTERNET in interface insideaccess-list RETURN remark -Allows OSPF backaccess-list RETURN extended permit 89 any anyaccess-list RETURN remark -Allows DHCP backaccess-list RETURN extended permit udp any any eq 68access-group RETURN in interface outsideChangeto context cfirewall transparentpasswd fl0werenable password treeh0u$einterface vlan 153nameif outsidesecurity-level 0bridge-group 100interface vlan 7nameif insidesecurity-level 100bridge-group 100interface bvi 100ip address 10.1.4.1 255.255.255.0route outside 0 0 10.1.4.2 1access-list INTERNET remark -Allows all inside hosts to access the outside access-list INTERNET extended permit ip any anyaccess-group INTERNET in interface insideaccess-list RETURN remark -Allows OSPF backaccess-list RETURN extended permit 89 any anyaccess-list RETURN remark -Allows DHCP backaccess-list RETURN extended permit udp any any eq 68access-group RETURN in interface outside。
透明网桥模式防火墙配置
透明网桥模式防火墙配置1、使用超级终端,名称任意,连接com端口,回车,出现表明已经连接了防火墙。
2、输入一系列配置命令如下:[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit[H3C]firewall zone trust[H3C-zone-trust]add interface ethernet0/0The interface has been added to trust security zone.[H3C-zone-trust]add interface ethernet0/1The interface has been added to trust security zone.[H3C-zone-trust]add interface ethernet0/2The interface has been added to trust security zone.[H3C-zone-trust]quit[H3C]bridge enableBridge module has been activated[H3C]bridge 1 enableBridge set has been activated[H3C]interface bridge-template 1[H3C-Bridge-template1]ip address 192.168.1.188 255.255.255.0[H3C-Bridge-template1]quit[H3C]interface ethernet0/0[H3C-Ethernet0/0]bridge-set 1The port has been in the set[H3C-Ethernet0/0]quit[H3C]interface ethernet0/1[H3C-Ethernet0/1]bridge-set 1The port has been in the set[H3C-Ethernet0/1]interface ethernet0/2[H3C-Ethernet0/2]bridge-set 1The port has been in the set[H3C-Ethernet0/2]quit[H3C]firewall zone trust[H3C-zone-trust]add interface bridge-template 1The interface has been added to trust security zone.[H3C-zone-trust]quit[H3C]saveThe configuration will be written to the device.Are you sure?[Y/N]yNow saving current configuration to the device.Saving configuration flash:/config.cfg. Please wait...................Current configuration has been saved to the device successfully.[H3C]3、进入WEB页面配置IP地址:192.168.1.122 子网掩码:255.255.255.0IE地址栏:http:// 192.168.1.185(省调项目)188(SIS网的防火墙)用户名:Admin 密码:Admin我们在web页面配置下,没有什么重要的配置,只是要勾选下所有的攻击类型。
实验二防火墙的典型安装与部署——透明模式(网桥模式)
实验二防火墙的典型安装与部署——透明模式(网桥模式)
【实验拓扑】
【实验步骤】
一、将防火墙接入当前网络
1、从内部网络中的任一台PC无法再ping通路由器的对内网口IP: 10.0.0.254
2、通过管理PC登录防火墙系统,“系统”→“系统信息”→“设备状态”,仍显示
二、配置桥接
1、网口设置:进入桥接设定界面,“网络设置”→“网口配置”→“网口”:
将LAN口的“内部网口”勾选取消,可以看到下面的设置变为灰色,代表不可编辑,然后点击“保存”,最后选择“重启”,这样就将LAN口设置为外网口
进入桥接设定界面,“网络设置”→“网口配置”→“桥接设定”:
定义一条桥接规则:
添加一条桥接规则:
添加成功,重启。
三、测试桥接
1、检查LAN内主机是否能ping通路由地址,可以连通:
防火墙桥模式(透明模式)部署成功。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙透明模式配置案例
1、组网需求:
某局点想在原有的网络中增加防火墙来提高网络安全性,又不想要对原有网络配置进行变动。
所以采取防火墙透明模式部署。
注:透明模式部署不会影响原有网络配置,也是防火墙最常见的部署方式。
2、组网图:
3、配置步骤: 1、登录设备
H3C
SECPATH F100- C80-WiNet
策路
fgVRF
接口 接口
帝删陰@创建子接口
(3麴
笳憊瓏豳围溜
接口
1PW
GE1/0/0
Management
Down
152.168.C
Down
力认安全域
链路状态
设备默认的管理地址为 192.168.0.1/24 ,需要将电脑设置为 192.168.0.X/24 地址后连接设备0号端口登
录设备。
设备默认的管理地址为 192.168.1.1/24 ,需要将电脑设置为 192.168.1.X/24 地址后连接设备2号端口登
录设备。
电脑IP 地址配置方法:点击右下角电脑图标 >选择“打开网络和共享中心”
打开浏览器后登录设备,设备默认的登录用户名和密码都是“ admin ”。
2、配置接口 1为连接上层网络设备接口,并设置为二层模式。
J GE1/0/1
GE1/D/1
3、配置接口2为连接内网设备的接口,不同的是加入安全域选择trust,其他配置同上。
删除I■朗|寺番动丨“启用丨0禁用丨鹿
I 艮I 描述
聽呂单
选择源安全区域为“trust ”目的安全区域为“ untrust ",源IP地址下拉按钮处点击“ +”新建匹配
192.168.10.0 的网段。
4、放通“trust ”到“untrust ”区域的域间策略,点击“策略-》安全策略”点击中间的“新建”按钮
H3C SECPATH F100-
C80-WiNet
安全防护
攻■WE
旻保护IF
@^n rlh馳除
['勸DSJ象
* (IPv4地址腌码拴圜
SECPATH
F100- CSO-
WiNet
巨]
槪臆监控
/宾金时户
冈运知运更Zm•詐.眾魁本睦克
[7| 安鉀目的安全. 耀第…tai目咖止
[/] Trust Untnut ipvl0再网殛
©m ■ I Q sn 壬移动勰质缶0
继续配置untrust到trust的策略放通DHCP艮务
蜒;”旅=
QSiS玄圖和如厂Unirg J w 'nr
Tturi w '
—内客窖拿盘中:T®sa
9t£2■i IM
it述“Cl SlS&cj
萌IT:
Hg-rf•『阳□禅Im
di^a«J tcp
VRF
FTTJ.OFft
HR*蟻區呗也计
秆用E
歼日
■苗闻
•埼cQ
5、保存配置
由于防火墙默认是不保存配置的重启后配置就会丢失,在做完所有配置后请务必保存配置。
点击界面右上
角的admin下拉图标,点击保存然后选择"是”。
配置关键点:
1、 透明模式最大优点为不改变原有组网,配置简单。
2、 如果无法打开防火墙管理界面,一般是由于使用 http 方式登录,只要在浏览器上输入
https://192.168.0.1
就可以登录。
SECPATH F100-
CBO-WiNet
M
暑gr
IM。