实验8 防火墙透明模式配置

实验V3防火墙透明模式（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图四、配置步骤基本配置1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2. 将防火墙加入到网络中，进行防火墙的基本配置3. 将防火墙转换成二层模式，保证内网运行正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustadd interface g1/0quitfirewall zone untrust //外网口加入untrustadd interface g2/0quit2、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1 //设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 //将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1 五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2 六、实验思考：1、当需要管理F1000-S防火墙时，我们需要登录bridge-template接口，请考虑这个时候对内网S3100交换机有什么特殊要求？1.3 附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP地址）interface Ethernet2/0（进入WAN口）promiscuous （配置为透明传输）quitinterface Ethernet1/0 （进入LAN口）promiscuous （配置为透明传输）quitfirewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）。

配置防火墙透明代理应用场景代理服务器是介于浏览器和Web服务器之间的一台服务器，有了它之后，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，Request信号会先送到代理服务器，由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。

而且，大部分代理服务器都具有缓冲的功能，就好象一个大的Cache，它有很大的存储空间，它不断将新取得数据储存到它本机的存储器上，如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的，那么它就不重新从Web服务器取数据，而直接将存储器上的数据传送给用户的浏览器，这样就能显著提高浏览速度和效率（速度会随着代理服务器地理位置的不同以及网络传输情况而改变），而且国外的网络大部分都是没有限制访问网站或者所限制的不同，所以我们有很大的机会通过代理服务器去访问那些原本不能够去的网站对于服务提供商来说：● 大部分代理服务器都具有缓冲的功能。

它有一个很大的Cache（一个很大的硬盘缓冲区），不断地将新取得的数据保存在Cache中。

如果浏览器所请求的数据在其缓冲区中已经存在而且是最新的，那么它就不会重新到Web服务器取数据，而直接将缓冲区中的数据传送给浏览器，从而显著地提高浏览速度；● 代理服务器能够提供安全功能。

它连接Internet与Intranet，有防火墙功能。

由于内部网与外部网之间没有其它的直接连接，所有的通信都必须通过代理服务器，因此外界不能直接访问到内部网，使得内部网的安全性得到提高。

同时也可以设置IP地址过滤，来限制内部网对外部的访问权限。

● 可以节省IP开销。

由于所有用户对外只占用一个有效的IP，所以不必租用过多的有效IP地址，降低网络的维护成本。

由于目的服务器只能查出所使用的代理服务器的IP，所以对防止网络黑客还有一个不言而喻的好处，那就是通过这种方法隐藏自己的真实IP地址。

对于个人来说：代理服务器的最大的好处是可以通过代理来访问本身不能访问到的地方。

防火墙透明模式典型配置举例防火墙透明模式是一种常见的网络安全配置，它允许防火墙在网络上作为透明的桥接设备，无需修改网络设备的IP地址和配置，对所有网络流量进行过滤和监控。

本文将以一个典型的企业网络环境为例，详细介绍防火墙透明模式的配置。

1.网络拓扑假设企业网络中有一个内部局域网（LAN）和一个外部网络（WAN），分别连接到防火墙的两个接口。

内部局域网的网段为192.168.0.0/24，防火墙的局域网接口IP地址为192.168.0.1；外部网络的网段为202.100.100.0/24，防火墙的广域网接口IP地址为202.100.100.1、防火墙的透明模式设置在两个接口之间。

2.配置步骤（1）配置局域网接口IP地址：登录防火墙管理界面，在网络设置中找到局域网接口，设置IP地址为192.168.0.1，子网掩码为255.255.255.0。

这样，防火墙就可以与内部网络通信。

（2）配置广域网接口IP地址：同样在网络设置中找到广域网接口，设置IP地址为202.100.100.1，子网掩码为255.255.255.0。

这样，防火墙就可以与外部网络通信。

（3）配置透明模式：在防火墙的透明模式设置中，将局域网接口和广域网接口进行桥接。

在桥接配置中，选择透明模式，并将局域网接口和广域网接口绑定在一个桥接组中。

（4）配置ACL（访问控制列表）：通过ACL可以定义防火墙的过滤规则，控制允许和禁止的流量。

例如，可以设置允许内部网络对外访问的规则，禁止特定IP地址的访问规则等。

在防火墙管理界面的策略设置中，创建相应的ACL规则。

（5）配置NAT（网络地址转换）：NAT可以将内部网络的私有IP地址映射为公共IP地址，实现内部网络对外部网络的访问。

在防火墙的NAT设置中，配置相应的NAT规则。

（6）配置日志功能：在防火墙中启用日志功能，记录所有的网络流量和安全事件。

可以将日志信息发送到指定的日志服务器，方便网络管理员进行监控和分析。

防火墙的透明模式和透明代理服务器教程电脑资料防火墙在计算机网络安全中扮演着非常重要的角色。

它可以帮助监控和管理网络流量，保护计算机网络免受恶意攻击和未经授权的访问。

而防火墙的透明模式和透明代理服务器是其中两个重要的概念。

本文将详细解释防火墙的透明模式和透明代理服务器的原理，并介绍它们的设置和配置。

一、透明模式防火墙的透明模式是指在网络中拦截和过滤数据包时，对网络用户和应用程序来说是不可察觉的。

换句话说，透明模式下的防火墙不会对数据包进行任何的修改或干预。

它像一个“隐形”的墙壁，无论数据包是进入还是离开网络，都会被透明模式的防火墙检查和过滤。

在透明模式下，防火墙通常被部署为一个网桥。

这意味着它有两个网络接口，一个连接到内部网络，一个连接到外部网络。

防火墙会监听通过它的数据包流量，并根据预设的策略来判断是否允许或拒绝数据包通过。

用户和应用程序在没有任何感知的情况下，可以自由地发送和接收数据。

透明模式的防火墙通常还具备一些高级功能，如入侵检测系统（Intrusion Detection System，IDS）和虚拟专用网（Virtual Private Network，VPN）功能等。

它们能够帮助检测和防范网络攻击、黑客入侵等安全威胁。

二、透明代理服务器透明代理服务器（Transparent Proxy Server）是一种在网络通信中起到中间人角色的服务器。

在用户和目标服务器之间建立连接时，所有的请求和响应都需要经过透明代理服务器。

用户认为它们直接与目标服务器通信，而不知道自己实际上是在与代理服务器通信。

透明代理服务器通常用于网络缓存、访问控制、流量管理等用途。

它可以帮助优化网络通信，并提高网络性能。

同时，透明代理服务器还可以过滤和检测网络流量，防止恶意攻击、病毒传播和未经授权的访问。

设置和配置透明代理服务器通常需要以下几个步骤：1. 选择和安装合适的代理服务器软件。

常见的透明代理服务器软件有Squid、Nginx和Apache等。

4.2 防火墙透明工作模式的配置前置知识:防火墙的透明工作模式，相当于防火墙端口工作于透明网桥模式，即防火墙的各个端口所连接的计算机均处于同一IP子网中，但不同接口之间的计算机的访问要受安全规则的制约。

因此这对内部网络中需要对某些计算机采取强化控制措施时是很用的。

这是对网络变动最少的接入控制方法，广泛应用于原来网络的安全升级中，而原有的拓扑只要稍加改动即可。

实验目的1.了解什么是防火的透明工作模式2.掌握防火墙透明工作模式的配置方法，并在防火墙中设置简单规则以实现对外部设备访问的控制实验器材1.DCFW-1800S-K/VPN防火墙一台2.交叉网线两根3.PC机两台实验拓扑及规划试验步骤1.给防火墙LAN(if1)接口设置IP地址及添加管理机地址在命令行方式下利用admin用户登录到防火墙，执行如下操作：# ifconfig if1 192.168.100.100/24# ifconfig if1 192.168.100.100/24# adminhost add 192.168.100.101# apply# save做了如上修改之后，修改本地计算机的“测试”网卡地址为“192.168.100.101”，并启动浏览器、用admin用户登录到防火墙。

2. 进入网桥设置主界面选择“首页”|“系统”|“网桥设置”命令，如图1所示：图1 网桥设置界面3．启用网桥单击图1中“网桥设备”中的“bridge0”右边的“修改”按钮，进入如图2所示的界面，选中“修改网桥设置”选项卡，随后选中“启用”复选框，以启用网桥。

图2 启用网桥设置4．向网桥中添加接口选中“网桥bridege0接口设置”选项卡，如图3所示。

图3启用网桥设置单击“新增”按钮，将if0和if1接口加入bridge0，完成后的界面如图4所示。

图4 向bridge0中加入接口而后选“修改网桥设置”选项卡，回到图25所示界面，单击“确定”按钮，回到主界面，如图5所示，为使设置生效，依次单击“应用”和“保存”按钮。

防火墙透明或路由模式的更改
一、登陆防火墙 (1)
1. 查看防火墙端口IP: show system interface (1)
2. 登陆防火墙的计算机的IP地址要和防火墙网口的IP地址在同一网段 (2)
二、更改防火墙模式 (3)
一、登陆防火墙
1. 查看防火墙端口IP: show system interface
2. 登陆防火墙的计算机的IP地址要和防火墙网口的IP地址在同一网段例：防火墙网口的IP地址为：192.168.30.1
计算机的IP地址可设为：192.168.30.100
登陆防火墙在IE里输入：https://192.168.30.1
用户名：administrator
密码：administrator
二、更改防火墙模式
Transparent为透明模式
注:UTM目前只支持透明和路由模式,不支持混合模式
UTM的透明模式为纯透明模式,不能做NA T,不做路由
切换到透明模式后,防火墙将恢复出厂配置,重启
防火墙的默认管理地址更改为:10.10.10.1/24,管理主机ip配置为同一网段即可。

透明网桥模式防火墙配置透明网桥模式是一种常用于防火墙配置的网络架构。

它能够提供更高的灵活性和可配置性，并且可以无缝地集成到现有的网络环境中。

在这种模式下，防火墙实际上是一个透明的设备，不需要对网络中的其他设备进行任何的配置更改。

下面是一个基于透明网桥模式的防火墙配置的示例，重点介绍了一些重要的配置步骤和注意事项。

1.网络拓扑规划：首先需要规划网络拓扑，确定防火墙的位置和连接方式。

在透明网桥模式下，防火墙通常被放置在内部网络和外部网络之间的物理链路上，作为网络流量的桥接点。

2.配置防火墙：根据网络拓扑规划，为防火墙配置IP地址和其他必要的网络参数。

确保防火墙的固件和软件是最新的，并配置相关的安全策略。

3.物理连接：将防火墙的内部接口和外部接口分别连接到内部网络和外部网络上的交换机或路由器。

确保连接线路正常并且连接稳定。

4.IP地址分配：为防火墙的内部接口和外部接口分别分配独立的IP地址。

确保内部和外部接口的IP地址是在不同的网络段中，并且与已有设备的IP地址不冲突。

5.配置透明网桥：在防火墙上配置透明网桥，并指定内部接口和外部接口。

透明网桥将内部网络和外部网络桥接起来，实现数据的透明传输。

配置透明网桥时需要注意避免造成网络环路。

6.安全策略配置：配置防火墙的安全策略，包括访问控制列表（ACL）、入侵检测和防御系统（IDS/IPS）等。

根据实际需求和网络环境，制定和实施相应的安全策略，确保网络安全。

7.流量监控和日志记录：配置防火墙的流量监控和日志记录功能，可以实时和事后审计网络流量，并及时发现和处理潜在的安全威胁。

8.测试和优化：在配置完成后，进行测试验证防火墙的功能和性能。

通过对网络流量和安全策略的实际测试，发现和解决可能存在的问题，并进行必要的优化。

透明网桥模式的防火墙配置需要在网络规划、物理连接、IP地址分配、透明网桥配置、安全策略配置、流量监控、日志记录以及测试和优化等方面进行细致的配置和调整。

实验七、防火墙透明模式配置实验目的1.了解什么是透明网络模式2.了解如何配置防火墙为透明模式应用环境透明模式即相当于防火墙工作于透明网桥模式。

防火墙进行防范的各个区域均位于同一网段。

在实际应用网络中，这是对网络变动最少的接入方法，广泛用于大量原有网络的安全升级中。

实验设备1.防火墙设备一台2.Console线一条3.交叉网络线三条4.直通网络线一条5.PC机2三台实验拓扑实验要求1.防火墙网桥模式初始配置2.配置相关网络对象和服务对象3.配置安全规则安全规则为：PC1为内网主机，PC2为外网主机。

PC1：允许访问外网的HTTP，FTP，ping；PC2：不允许访问内网；4.实验验证实验步骤连接实验环境按照拓扑图，使用二根交叉双绞线将二台PC机与防火墙的对应端口连接在一起（实验验证用）。

防火墙网桥模式初始配置进入防火墙命令行管理界面，按照拓扑图的IP地址规划，配置防火墙的管理主机地址和LAN口地址，以便进行图形化界面管理。

# ifconfig if1 192.168.1.77/24# adminhost add 192.168.1.10# apply# save修改PC1的地址为拓扑所示（192.168.1.10），则可以通过IE浏览器进行防火墙的安全图形界面管理了。

在系统->网桥设置中，启用bridge0，并点击右侧修改按钮，如下所示：点击启用，然后点开网桥bridge0接口设置标签，使用新增按钮分别添加防火墙的lan （if1）和wan（if0）口。

系统提示操作成功后，可以得到如下界面显示：点击右上角的应用按钮，然后保存配置，网桥模式启动成功。

注：MAC缓冲池大小一般与内网连接的用户数有关，可以根据实际需要对此数值进行更改，一般需要比内网用户数多。

配置相关网络对象和服务对象在DCFW-1800系列中，配置安全规则之前，需要定义一系列的服务对象和网络对象。

所谓网络对象，就是指防火墙的安全规则所针对的网络节点或网络节点群，安全规则就是以网络对象为基本的检查单元进行安全检查决定是否允许某个网络对象的数据转发与否。

透明网桥模式防火墙配置1、使用超级终端，名称任意，连接com端口，回车，出现表明已经连接了防火墙。

2、输入一系列配置命令如下：[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit[H3C]firewall zone trust[H3C-zone-trust]add interface ethernet0/0The interface has been added to trust security zone.[H3C-zone-trust]add interface ethernet0/1The interface has been added to trust security zone.[H3C-zone-trust]add interface ethernet0/2The interface has been added to trust security zone.[H3C-zone-trust]quit[H3C]bridge enableBridge module has been activated[H3C]bridge 1 enableBridge set has been activated[H3C]interface bridge-template 1[H3C-Bridge-template1]ip address 192.168.1.188 255.255.255.0[H3C-Bridge-template1]quit[H3C]interface ethernet0/0[H3C-Ethernet0/0]bridge-set 1The port has been in the set[H3C-Ethernet0/0]quit[H3C]interface ethernet0/1[H3C-Ethernet0/1]bridge-set 1The port has been in the set[H3C-Ethernet0/1]interface ethernet0/2[H3C-Ethernet0/2]bridge-set 1The port has been in the set[H3C-Ethernet0/2]quit[H3C]firewall zone trust[H3C-zone-trust]add interface bridge-template 1The interface has been added to trust security zone.[H3C-zone-trust]quit[H3C]saveThe configuration will be written to the device.Are you sure?[Y/N]yNow saving current configuration to the device.Saving configuration flash:/config.cfg. Please wait...................Current configuration has been saved to the device successfully.[H3C]3、进入WEB页面配置IP地址：192.168.1.122 子网掩码：255.255.255.0IE地址栏：http:// 192.168.1.185（省调项目）188（SIS网的防火墙）用户名：Admin 密码：Admin我们在web页面配置下，没有什么重要的配置，只是要勾选下所有的攻击类型。

防火墙的透明模式防火墙透明模式是一种网络安全技术，其主要目的是在不对网络流量做任何修改的情况下，对网络进行监控和检查，以保护网络免受各种威胁。

在防火墙透明模式下，网络中的所有流量都会通过防火墙进行传递，但与普通防火墙不同的是，在透明模式下，网络流量的路由是无法察觉的，即外部用户无法察觉到网络流量被防火墙处理过。

防火墙透明模式的主要工作原理如下：1.路由配置：在防火墙和网络中的其他设备之间进行正确的路由配置。

这样，所有的网络流量都会被自动重定向到防火墙，而不会对网络流量的路由造成任何影响。

2.透明桥接：防火墙通常会通过透明桥接的方式接管网络流量，即将网络流量原封不动地转发给目标设备，同时在转发过程中进行监控和检查。

透明桥接可以实现无害的网络流量传递。

3.无IP更改：透明模式下的防火墙不会对网络流量的IP地址进行任何更改操作。

这意味着，外部用户无法察觉到网络流量被防火墙处理过，从而增加了攻击者进行攻击的难度。

4.网络监控和检查：透明模式下的防火墙会监控和检查网络流量，以识别和阻止任何潜在的威胁。

它可以根据预设规则对流量进行分析，例如检测恶意软件，过滤垃圾邮件，防御拒绝服务攻击等。

防火墙透明模式的优点包括：1.无需客户端配置：由于防火墙在网络中的传输是透明和无感知的，所以无需在客户端设备上进行任何额外的配置。

这样可以简化网络管理，并减少可能的配置错误。

2.网络兼容性：透明模式的防火墙可以与任何网络设备和协议兼容，无需进行任何修改。

这使得防火墙的部署和维护更加灵活和方便。

3.安全性高：透明模式不会对网络流量的路由和源IP地址进行更改，使得外部用户无法轻易地绕过防火墙进行攻击。

与此同时，防火墙将持续监控和检查网络流量，提高了网络的安全性。

4.部署简便：在透明模式下，防火墙可以在网络中的任何位置进行部署，而不会对网络的结构和性能产生任何影响。

这为网络管理员提供了更多的灵活性和便捷性。

然而，防火墙透明模式也存在一些局限性和挑战。

透明防火墙一、实验拓朴二、实验目的1.跨过防火墙来建立OSPF邻居2.可以互相访问三、实验配置RT2(config)#interface e0/0RT2(config-if)#ip address 192.168.1.2 255.255.255.0RT2(config-if)#no shutdownRT2(config-if)#exitRT2(config)#interface loopback 0RT2(config-if)#ip address 2.2.2.2 255.255.255.255RT2(config-if)#ip ospf network point-to-pointRT2(config-if)#exitRT2(config)#router ospf 1 /配置OPSFRT2(config-router)#router-id 2.2.2.2RT2(config-router)#network 2.2.2.2 0.0.0.0 area 0RT2(config-router)#network 192.168.1.0 0.0.0.255 area 0RT2(config-router)#exitRT2#show ip interface brief /可以看到配置的接口IP信息Interface IP-Address OK? Method Status Protocol Ethernet0/0 192.168.1.2 YES manual up up Ethernet0/1 unassigned YES unset administratively down down Ethernet0/2 unassigned YES unset administratively down down Ethernet0/3 unassigned YES unset administratively down down Ethernet1/0 unassigned YES unset administratively down down Ethernet1/1 unassigned YES unset administratively down down Ethernet1/2 unassigned YES unset administratively down down Ethernet1/3 unassigned YES unset administratively down down Loopback0 2.2.2.2 YES manual up upRT2#show ip route /查看路由可以看到学到的这条4.4.4.4的OSPF路由Codes: C - connected, S - static, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2ia - IS-IS inter area, * - candidate default, U - per-user static routeo - ODR, P - periodic downloaded static routeGateway of last resort is not set2.0.0.0/32 is subnetted, 1 subnetsC 2.2.2.2 is directly connected, Loopback04.0.0.0/32 is subnetted, 1 subnetsO 4.4.4.4 [110/11] via 192.168.1.4, 00:00:26, Ethernet0/0C 192.168.1.0/24 is directly connected, Ethernet0/0FW3(config)# firewall transparent /配置防火墙的模式为透明模式FW3# show firewall /查看防火墙的模式Firewall mode: Transparentpixfirewall(config)#pixfirewall(config)# hostname FW3 /配置防火墙的名字FW3(config)# interface e2FW3(config-if)# nameif inside /配置e2的名字为insideINFO: Security level for "inside" set to 100 by default.FW3(config-if)# no shutdownFW3(config-if)# security-level 100 /配置安全级别为100，为最高安全级别FW3(config-if)# exitFW3(config)# interface e0FW3(config-if)# nameif outside /配置e0的名字为ousideINFO: Security level for "outside" set to 0 by default.FW3(config-if)# security-level 0 /配置安全级别为0，为最低安全级别FW3(config-if)# exitFW3(config)# ip address 192.168.1.3 255.255.255.0 /配置防火墙的管理IPFW3# show ip address /查看配置的管理IP信息Management System IP Address:ip address 192.168.1.3 255.255.255.0Management Current IP Address:ip address 192.168.1.3 255.255.255.0FW3(config)# access-list aaa extended permit ospf any any /放通OPSF流量FW3(config)# access-list aaa extended permit icmp any any/允许ping包通过FW3(config)# access-group aaa in interface outsideFW3(config)# access-group aaa in interface inside /因为OSPF不属于TCP、也不属于UDP，所以要在内部放通OSPF流量RT4(config)#interface e0/0RT4(config-if)#ip address 192.168.1.4 255.255.255.0RT4(config-if)#no shutdownRT4(config-if)#exitRT4(config)#interface loopback 0RT4(config-if)#ip address 4.4.4.4 255.255.255.255RT4(config-if)#ip ospf network point-to-point /OSPF的网络类型为点到点RT4(config-if)#exitRT4(config)#router ospf 1 /配置OSPFRT4(config-router)#router-id 4.4.4.4RT4(config-router)#network 4.4.4.4 0.0.0.0 area 0RT4(config-router)#network 192.168.1.0 0.0.0.255 area 0RT4(config-router)#exitRT4(config)#RT4#show ip interface brief /查看接口的IP信息Interface IP-Address OK? Method Status Protocol Ethernet0/0 192.168.1.4 YES manual up up Ethernet0/1 unassigned YES unset administratively down down Ethernet0/2 unassigned YES unset administratively down down Ethernet0/3 unassigned YES unset administratively down down Ethernet1/0 unassigned YES unset administratively down down Ethernet1/1 unassigned YES unset administratively down down Ethernet1/2 unassigned YES unset administratively down down Ethernet1/3 unassigned YES unset administratively down down Loopback0 4.4.4.4 YES manual up upRT4#show ip route /查看路由信息,可以看到一条2.2.2.2的OSPF路由Codes: C - connected, S - static, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2ia - IS-IS inter area, * - candidate default, U - per-user static routeo - ODR, P - periodic downloaded static routeGateway of last resort is not set2.0.0.0/32 is subnetted, 1 subnetsO 2.2.2.2 [110/11] via 192.168.1.2, 00:33:29, Ethernet0/04.0.0.0/32 is subnetted, 1 subnetsC 4.4.4.4 is directly connected, Loopback0C 192.168.1.0/24 is directly connected, Ethernet0/0四、实验测试RT2#ping 192.168.1.3Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds: .!!!!Success rate is 80 percent (4/5), round-trip min/avg/max = 1/44/120 ms RT2#ping 192.168.1.4Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.4, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/59/120 ms RT2#FW3# ping 192.168.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 10/20/40 ms FW3# ping 192.168.1.4Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.4, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 10/20/50 ms FW3#RT4#ping 192.168.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/31/76 ms RT4#ping 192.168.1.3Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/20/44 ms RT2#ping 4.4.4.4Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 4.4.4.4, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/44/96 ms RT4#ping 2.2.2.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 20/40/88 ms五、实验总结在这个实验中引入了透明模式，在这个实验中主要跨过防火墙建立OSPF邻居，防火墙做为二层设备，只有2个接口，但是不能配置IP，所以必须要做ACL允许OSPF的流量通过。

普通网络环境防火墙配置透明模式题记：大多数的防火墙或者说是UTM部署的模式有路由模式，网桥模式，混杂模式，配置最核心的也就是写规则，一个好的规则会使得内部网络的安全性得到较大的改善，当然如果是UTM可能还会附加上一些其他的安全组件，例如见的最多的就是AV防病毒组件，IPS组件，anti-spam反垃圾邮件组件等，有的还有一些上网行为管理（比较薄弱），VPN等组件，本次主要是以启明星辰的USG系列设备的常见部署模式进行配置说明，其他的厂商的防火墙配置内容都是大同小异，掌握一家的其他的自然也就很容易上手，学习就要善于总结归纳，将有共同点的知识技能归纳，做到一劳多得！！实验环境：1、防火墙工作在桥模式。

2、防火墙的eth2 和eth3 加入网桥组1（BVI1）。

网桥组1 配置防火墙管理IP：192.168.0.249/243、eth2 接口连接课桌上的网线口(如A1-1)通过交换机与网络相连，网关为192.168.0.1.4、eth3 直接与主机相连，主机IP 设为192.168.0.5实验拓扑：通过下面的简单操作，用户可以快速地安装配置好一台防火墙，并且，防火墙内部网的机器能够直接访问internet。

网络拓扑如下图所示：实验步骤如下：1.进入“网络设置-接口-透明桥”点击“新建”。

在桥名称中填入“BVI1”，桥组号中填入“1”，接口列表中选择“eth2”和“eth3”。

为便于对防火墙的管理可以将“管理访问”下的选项全部选择。

因为“eth2”和“eth3”使用的是桥模式，所以桥的IP 地址和掩码可以不配。

因为是透明桥模式，所以配置的IP 和掩码：192.168.0.249/24，是用于管理防火墙的IP，对网络没有什么影响。

参数配置完毕后，点击“提交”。

点击右上角图标保存配置。

2.进入“网络设置》基本配置缺省网关”点击“新建”添加网关。

提交并保存3.进入“防火墙》安全策略”点击“新建”，配置eth3 到eth2 的“全通”安全策略。

SonicWall防火墙透明模式配置（三层交换机）用户要求防火墙配置成透明模式接入到网络，要求达到的配置
如下图示
配置步骤：
1、配置防火墙WAN网卡
2、建立透明模式下的地址对象
（注意：透明范围不能够包含了防火墙本身的地址（192.168.254.21）以及防火墙的网关地址(192.168.254.1) ，同时也不能够包含防火墙WAN口外面的地址，即如果防火墙WAN外面还有其他的地址如192.168.254.200 则Transparent Range 不能够包含该地址, 否则可能会引发安全问题！！）
3、建立内网地址对象（注意：本范例中仅示例了2 个内网网段，可根据实际情况增加）
4、建立地址对象组
5、配置内网3 层交换机的地址对象
6、配置完成后的界面显示如下：
7、配置内网地址访问外网的回程路由（必须配置！！）
8、配置防火墙LAN网卡配置透明模式
9、关闭防火墙DHCP服务器
配置完成！。

项目名称： 配置防火墙透明模式学习目标：了解什么是透明网络模式掌握防火墙透明模式的配置及应用学习情境：透明模式即相当于防火墙工作于透明网桥模式。

防火墙的各个安全区域均为同一网段当中。

在实际应用网络中，无需变动网络的拓扑结构，广泛应用大量原有网络的安全升级项目。

教学设备：防火墙设备一台Console 线一条交叉线两条PC 机两台拓扑结构：一、基本操作训练（CLI 模式下完成下列操作，本部分操作与拓扑图无关）1、为eth1口设置IP 地址（10.1.1.1/24）；2、定义area-eth1区域；3、定义管理主机（manager-host ）地址10.1.1.10；2、为eth1口设置管理方式，允许管理主机从eth1口以telnet 的方式登录防火墙。

二、防火墙备份与恢复操作（本部分操作与拓扑图无关）2 50 . 1 . 1 . 2 / 24 Eth 50 . 1 . 1 .3 / 24 50 . 1 . 1 . 1 / 241、下载防火墙保存配置文件2、下载防火墙运行配置文件3、上传防火墙保存配置文件三、防火墙透明模式配置实践操作（参照拓扑图，在CLI模式下完成下列操作）1、创建VLANTopsecOS# network vlan add id 102、配置VLAN地址TopsecOS# network interface vlan.10 ip add 50.1.1.1 mask 255.255.255.03、激活VLANTopsecOS# network interface eth1 switchportTopsecOS# network interface eth1 switchport mode accessTopsecOS# network interface eth1 switchport access-vlan 10TopsecOS# network interface eth1 no shutdownTopsecOS# network interface eth2 switchportTopsecOS# network interface eth2 switchport mode accessTopsecOS# network interface eth2 switchport access-vlan 10TopsecOS# network interface eth2 no shutdown结果及验证：可以通过两台PC互ping进行测试和验证，如可连通对方，说明配置正确。

第一篇：实验8 防火墙透明模式配置实验八防火墙透明模式配置适用于河南中医学院信息技术学院网络安全实验室一、实验目的1、了解什么是透明模式；2、了解如何配置防火墙的透明模式；二、应用环境透明模式相当于防火墙工作于透明网桥模式。

防火墙进行防范的各个区域均位于同一网段。

在实际应用网络中，这是对网络变动最少的介入方法，广泛用于大量原有网络的安全升级中。

三、实验设备(1) 防火墙设备1台(2) Console线1条(3) 网络线2条(4) PC机3台四、实验拓扑五、实验步骤第一步：搭建WebUI配置环境除使用CLI 进行配置以外，神州数码安全网关还提供WebUI 界面，使用户能够更简便与直观地对设备进行管理与配置。

安全网关的ethernet0/0 接口配有默认IP 地址192.168.1.1/24，并且该接口的各种管理功能均为开启状态。

初次使用安全网关时，用户可以通过该接口访问安全网关的WebUI 页面。

请按照以下步骤搭建WebUI 配置环境：1. 将管理PC 的IP 地址设置为与192.168.1.1/24 同网段的IP 地址，并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。

2. 在管理PC 的Web 浏览器中访问地址http://192.168.1.1 并按回车键。

出现登录页面如下图所示：3.输入管理员的名称和密码。

DCFW-1800系列安全网关提供的默认管理员名称和密码均为“admin”。

4.从下拉菜单选择Web页面语言环境，或。

5.点击『登录』按钮进入安全网关的主页。

DCFW-1800系列安全网关的主页如图第二步：接口配置1. 将eth0/1接口加入二层安全域l2-trust。

2. 将eth0/2接口设置成二层安全域l2-untrust。

如下图所示配置好以后如下图所示第三步：添加对象定义地址对象定义网段A (172.16.2.11 –172.16.2.12) 定义网段B (1172.16.2.13 –172.16.2.14) 如下图所示添加第一个网段，如下图添加第二个网段，如下图自定义规则，如下图所示自定义添加的规则，点击确定后即可使用。

【基于透明模式的Linux防火墙设计】防火墙透明模式随着计算机技术、网络技术和现代通信技术的发展，信息安全成为众多科学工作者的研究重点。

Linux系统作为一个开放的网络网络操作系统，被广泛的应用于教育、金融和政府企业网中，在应用过程中，防火墙技术越来越多的被应用于专用网络，和公用网络的互联环境中,因此，linux系统的防火墙设计大大的影响人们办公的利于弊。

防火墙集成了计算机的硬件和软件，位于两个或者多个网段之间，能够实施对网络资源的访问控制，在任何两个或者多个网络之间，按照一定的安全策略实施数据包的安全检测，判断各个网络之间的通信能否被许可，时刻监视网络的运行现状。

本文基于作者多年的研究和实践经验，详细的描述了linux2.4系统内核中，防火墙设计的相关技术，比如数据包过滤、Netfilter/Iptables架构、透明模式等，并基于这些技术针对linux防火墙进行了设计，详细的探讨了防火墙控制系统的设计，以便为人们在使用linux系统时，设计防火墙提供参考。

二、背景技术（一）Linux系统简介Linux是一种自由的和开放源码的类Unix操作系统，其得名于计算机业余爱好者Linus Torvalds。

当前存在着许多不同的linux系统版本，比如大家众所周知的linux2.2和linux2.4系列。

虽然他们的产生时间和版本不同，但是它们都使用了linux内核，严格来讲，Linux这个词本身只表示Linux内核，但实际上人们已经习惯了用Linux来形容整个基于Linux内核，并且使用GNU 工程各种工具和数据库的操作系统。

Linux可以安装在各种计算机硬件设备中，比如从平板电脑、手机、路由器和视频游戏控制台，到台式计算机、大型机和超级计算机。

Linux是一个领先的操作系统，世界上运算最快的10台超级计算机运行的都是Linux操作系统。

（二）Linux系统的数据包过滤对于Linux系统的防火墙设计与实现来讲，为了能够判定网中的流通的数据包等是络安全人员或者是系统管理员制定一组详细的网络通信规则，这组规则具有一个中心控制点，使用该组规则能够检测网络中的数据包并且能够流出合法的数据包信息，使系统不受损害。