实验8 防火墙透明模式配置

实验八防火墙透明模式配置

适用于河南中医学院信息技术学院网络安全实验室

一、实验目的

1、了解什么是透明模式；

2、了解如何配置防火墙的透明模式；

二、应用环境

透明模式相当于防火墙工作于透明网桥模式。防火墙进行防范的各个区域均位于同

一网段。在实际应用网络中，这是对网络变动最少的介入方法，广泛用于大量原有网络的

安全升级中。

三、实验设备

(1) 防火墙设备1台

(2) Console线1条

(3) 网络线2条

(4) PC机3台

四、实验拓扑

五、实验步骤

第一步：搭建WebUI配置环境

除使用 CLI 进行配置以外，神州数码安全网关还提供WebUI 界面，使用户能够更简便与直观地对设备进行管理与配置。安全网关的 ethernet0/0 接口配有默认IP 地址192.168.1.1/24，并且该接口的各种管理功能均为开启状态。初次使用安全网关时，用户可以通过该接口访问安全网关的WebUI 页面。请按照以下步骤搭建WebUI 配置环境：

1. 将管理 PC 的IP 地址设置为与19

2.168.1.1/24 同网段的IP 地址，并且用网线将管理PC 与安全网关的ethernet0/0 接口进行连接。

2. 在管理 PC 的Web 浏览器中访问地址http://192.168.1.1 并按回车键。出现登录页面如下图所示：

3.输入管理员的名称和密码。DCFW-1800系列安全网关提供的默认管理员名称和密码均为“admin”。

4.从<语言>下拉菜单选择Web页面语言环境，<中文>或。

5.点击『登录』按钮进入安全网关的主页。DCFW-1800系列安全网关的主页如图

1. 将eth0/1接口加入二层安全域l2-trust。

2. 将eth0/2接口设置成二层安全域l2-untrust。如下图所示

配置好以后如下图所示

定义地址对象

定义网段A (172.16.2.11 – 172.16.2.12)

定义网段B (1172.16.2.13 – 172.16.2.14)

如下图所示

添加第一个网段，如下图

添加第二个网段，如下图

自定义规则，如下图所示

自定义添加的规则，点击确定后即可使用。

要求允许网段A能够 ping 网段B及访问网段B的WEB服务，在这里我们将ping和http 服务建立一个服务组

第四步：配置安全策略

在“防火墙”->“策略”中选择“新建”，选择规则

选择规则如下图所示，点击确定按键即可

补充1：防火墙的重置，将防火墙恢复到出厂的方法有三种：

1、用户除使用设备上的CRL按键使系统恢复到出厂配置

2、可以使用命令恢复。恢复出厂配置，在执行模式下，使用以下命令：unset all

3、WebUI：访问页面“系统→维护→配置→管理”。点击『重置』

思考与问题：

1，防火墙上如果处于透明模式的两个接口都放到同一个二层安全域中，比如说将上述实验中的eth0/1口和eth0/2口都设置成l2-trust安全域。那是否还需要设置安全策略，如果需要的话那如何设置？

答：还需要设置安全策略，如果不设置，则两者都不能ping通。若设置，则需要将eth0/1设置成源地址，eth0/2设置成目标地址，就可以实现eth0/1 ping通 eth0/2,而 eth0/2 ping 不通 eth0/1

2、关于行为，第一次备课做时候，缺省行为竟然对结果没有影响，即不管行为时允许还是拒绝，都能实现我们的目标；第二次实验课，学生练习发现，若是将最后的安全策略中的行为设为拒绝，则两者将都不能ping通。待解决。。

3、第2次实验课发现，无论是将eth0/1口和eth0/2口都设置成12-trust安全域，还是一个设为12-trust一个设为12-untrust，都能实现源地址能ping通目标地址而目标地址ping 不通源地址。待解决。。。