防火墙透明模式典型配置举例

asa5520防火墙透明模式的配置例子ciscoasa# sh run: Saved:ASA Version 7.2(3)!firewall transparenthostname ciscoasadomain-name default.domain.invalidenable password 8Ry2YjIyt7RRXU24 encryptednames!interface GigabitEthernet0/0nameif outsidesecurity-level 0!interface GigabitEthernet0/1nameif insidesecurity-level 100!interface GigabitEthernet0/2shutdownno nameifno security-level!interface GigabitEthernet0/3shutdownno nameifno security-level!interface Management0/0nameif managementsecurity-level 100ip address 192.168.1.1 255.255.255.0management-only!passwd 2KFQnbNIdI.2KYOU encryptedftp mode passivedns server-group DefaultDNSdomain-name default.domain.invalidaccess-list acl_inside extended permit ip any any access-list acl_inside extended permit icmp any anyaccess-list acl_outside extended permit tcp any any eq 3306access-list acl_outside extended permit tcp any any eq wwwaccess-list acl_outside extended permit tcp any any eq 8080access-list acl_outside extended permit tcp any any eq httpsaccess-list acl_outside extended permit tcp any any eq sqlnetaccess-list acl_outside extended permit tcp any any eq ftpaccess-list acl_outside extended permit tcp any any eq 1433access-list acl_outside extended permit esp any anyaccess-list acl_outside extended permit udp any any eq isakmpaccess-list acl_outside extended permit tcp any any eq pop3access-list acl_outside extended permit tcp any any eq smtpaccess-list acl_outside extended permit icmp any anypager lines 24mtu outside 1500mtu inside 1500mtu management 1500ip address 172.16.177.208 255.255.255.0no failovericmp unreachable rate-limit 1 burst-size 1asdm image disk0:/ASDM-523.BINno asdm history enablearp timeout 14400access-group acl_outside in interface outsideaccess-group acl_inside in interface insidetimeout xlate 3:00:00timeout conn 0:20:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolutehttp server enablehttp 192.168.1.0 255.255.255.0 managementhttp 0.0.0.0 0.0.0.0 insideno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstarttelnet timeout 5ssh timeout 5console timeout 0!class-map inspection_defaultmatch default-inspection-traffic!!policy-map type inspect dns preset_dns_mapparametersmessage-length maximum 512policy-map global_policyclass inspection_defaultinspect dns preset_dns_mapinspect ftpinspect h323 h225inspect h323 rasinspect rshinspect rtspinspect esmtpinspect sqlnetinspect skinnyinspect sunrpcinspect xdmcpinspect sipinspect netbiosinspect tftpinspect pptp!service-policy global_policy globalusername cisco password 3USUcOPFUiMCO4Jk encryptedprompt hostname contextCryptochecksum:4682fd668f251c28d32a0cb82a3ac5f3: endciscoasa#注意点：语句ip address 172.16.177.208 255.255.255.0是在interface GigabitEthernet0/0下配的，自己跑到外面来了，如果不配这个，好像ping不通。

实验V3防火墙透明模式（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图四、配置步骤基本配置1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2. 将防火墙加入到网络中，进行防火墙的基本配置3. 将防火墙转换成二层模式，保证内网运行正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustadd interface g1/0quitfirewall zone untrust //外网口加入untrustadd interface g2/0quit2、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1 //设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 //将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1 五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2 六、实验思考：1、当需要管理F1000-S防火墙时，我们需要登录bridge-template接口，请考虑这个时候对内网S3100交换机有什么特殊要求？1.3 附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP地址）interface Ethernet2/0（进入WAN口）promiscuous （配置为透明传输）quitinterface Ethernet1/0 （进入LAN口）promiscuous （配置为透明传输）quitfirewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）。

Netscreen防火墙透明模式配置案例防火墙的透明模式即防火墙内网和外网不设三层IP地址，不做路由或者地址转换，只有设置管理IP。

一般在现有复杂网络添加防火墙时采用。

接口为透明模式时，NetScreen 设备过滤通过防火墙的封包，而不会修改 IP 封包包头中的任何源或目的地信息。

所有接口运行起来都像是同一网络中的一部分，而NetScreen 设备的作用更像是Layer 2（第 2 层）交换机或桥接器。

在透明模式下，接口的 IP 地址被设置为 0.0.0.0，使得 NetScreen 设备对于用户来说是可视或“透明”的。

实例：透明模式Netscreen 25ethent0 V1－Trust zone IP：0.0.0.0/0ethent3 V1－Untrust zone IP：0.0.0.0/0gateway:192.168.10.253LAN:192.168.10.0/24FTP 服务器:192.168.10.250/24邮件服务器:192.168.10.249/24VLAN1 IP:192.168.10.252/24 端口 5555透明模式的 NetScreen 设备保护的单独 LAN 的基本配置。

策略允许V1-Trust 区段中所有主机的外向信息流、邮件服务器的内向 SMTP 服务，以及 FTP 服务器的内向 FTP-Get 服务。

为了提高管理信息流的安全性，将 WebUI 管理的 HTTP 端口号从 80 改为 5555，将 CLI 管理的 Telnet 端口号从 23改为 5555。

使用 VLAN1 IP 地址192.168.10.252/24 来管理 V1-Trust 安全区段的设备。

也可配置到外部路由器的缺省路由（于192.168.10.253 处），以便 NetScreen 设备能向其发送出站 VPN 信息流。

V1-Trust 区段中所有设备的缺省网关也是 192.168.10.253。

Juniper防火墙HA配置详解_双主（L2透明模式）（精）Juniper HA 双主(L2透明模式配置实际环境中防火墙做双主是不太可能实现全互联结构, juniper 防火墙标配都是4个物理以太网端口, 全互联架构需要防火墙增加额外的以太网接口 (这样会增加用户成本,或者在物理接口上使用子接口(这样配置的复杂性增加许多 , 最主要的是用户的网络中大多没有像全互联模式那样多的设备。

因此双主多数实现在相对冗余的网络环境中。

图中服务器交换机与核心交换机间采用OSPF 动态路由器协议,自动完成双链路的流量负载均衡。

具体实际环境如下:FW-A FW-B 核心 -1核心 -2 E1/1E1/1E1/4E1/4HAZone: v1-UntrustZone: v1-trustE1/3E1/3服务器交换机服务器服务器172.16.40.254172.17.1.1172.17.2.1172.17.2.2Zone: v1-trust Zone: v1-Untrust 172.17.1.21.1.1.11.1.1.2Vlan100 主Vlan200 从Vlan200 主Vlan100 从防火墙 A 上执行的命令set hostname ISG1000-Aset interface mgt ip 172.16.12.1/24 set int mgt manageset interface "ethernet1/4" zone "HA" set nsrp cluster id 1set nsrp rto-mirror syncset nsrp rto-mirror session ageout-ack unset nsrp vsd-group id 0set nsrp vsd-group id 1 priority 1set nsrp vsd-group id 1 preemptset nsrp vsd-group id 1 preempt hold-down 10 set nsrp vsd-group id 2 priority 255 set nsrp vsd-group id 2 preempt hold-down 10 防火墙 B 上执行的命令set hostname ISG1000-Bset interface mgt ip 172.16.12.2/24set int mgt manageset interface "ethernet1/4" zone "HA"set nsrp cluster id 1set nsrp rto-mirror syncset nsrp rto-mirror session ageout-ackset nsrp rto-mirror session non-vsiunset nsrp vsd-group id 0set nsrp vsd-group id 1 priority 255set nsrp vsd-group id 1 preempt hold-down 10 set nsrp vsd-group id 2 priority 1 set nsrp vsd-group id 2 preempt set nsrp vsd-group id 2 preempt hold-down 10任意一个防火墙上执行的命令即可set vlan group name v100set vlan group v100 100set vlan group v100 vsd id 1set vlan group name v200set vlan group v200 200set vlan group v200 vsd id 2set vlan port ethernet1/3 group v100 zone V1-trust set vlan port ethernet1/1 group v100 zone V1-untrust set vlan port ethernet1/3 group v200 zone V1-trust set vlan port ethernet1/1 group v200 zone V1-untrustset policy from V1-trust to V1-untrust any any any permit set policy from V1-untrust to V1-trust any any any permit set interface "ethernet1/1" zone "V1-Untrust"set interface "ethernet1/3" zone "V1-Trust"。

透明网桥模式防火墙配置透明网桥模式是一种常用于防火墙配置的网络架构。

它能够提供更高的灵活性和可配置性，并且可以无缝地集成到现有的网络环境中。

在这种模式下，防火墙实际上是一个透明的设备，不需要对网络中的其他设备进行任何的配置更改。

下面是一个基于透明网桥模式的防火墙配置的示例，重点介绍了一些重要的配置步骤和注意事项。

1.网络拓扑规划：首先需要规划网络拓扑，确定防火墙的位置和连接方式。

在透明网桥模式下，防火墙通常被放置在内部网络和外部网络之间的物理链路上，作为网络流量的桥接点。

2.配置防火墙：根据网络拓扑规划，为防火墙配置IP地址和其他必要的网络参数。

确保防火墙的固件和软件是最新的，并配置相关的安全策略。

3.物理连接：将防火墙的内部接口和外部接口分别连接到内部网络和外部网络上的交换机或路由器。

确保连接线路正常并且连接稳定。

4.IP地址分配：为防火墙的内部接口和外部接口分别分配独立的IP地址。

确保内部和外部接口的IP地址是在不同的网络段中，并且与已有设备的IP地址不冲突。

5.配置透明网桥：在防火墙上配置透明网桥，并指定内部接口和外部接口。

透明网桥将内部网络和外部网络桥接起来，实现数据的透明传输。

配置透明网桥时需要注意避免造成网络环路。

6.安全策略配置：配置防火墙的安全策略，包括访问控制列表（ACL）、入侵检测和防御系统（IDS/IPS）等。

根据实际需求和网络环境，制定和实施相应的安全策略，确保网络安全。

7.流量监控和日志记录：配置防火墙的流量监控和日志记录功能，可以实时和事后审计网络流量，并及时发现和处理潜在的安全威胁。

8.测试和优化：在配置完成后，进行测试验证防火墙的功能和性能。

通过对网络流量和安全策略的实际测试，发现和解决可能存在的问题，并进行必要的优化。

透明网桥模式的防火墙配置需要在网络规划、物理连接、IP地址分配、透明网桥配置、安全策略配置、流量监控、日志记录以及测试和优化等方面进行细致的配置和调整。

Cisco FWSM防火墙透明模式配置例子透明模式配置例子以下内容需要回复才能看到hostname Farscapepassword passw0rdenable password chr1cht0ninterface vlan 4interface vlan 5interface vlan 6interface vlan 7interface vlan 150interface vlan 151interface vlan 152interface vlan 153admin-context admincontext adminallocate-interface vlan150allocate-interface vlan4config-url disk://admin.cfgmember defaultcontext customerAdescription This is the context for customer A allocate-interface vlan151allocate-interface vlan5config-url disk://contexta.cfgmember goldcontext customerBdescription This is the context for customer B allocate-interface vlan152allocate-interface vlan6config-url disk://contextb.cfgmember silvercontext customerCdescription This is the context for customer Callocate-interface vlan153allocate-interface vlan7config-url disk://contextc.cfgmember bronzeChangeto context adminfirewall transparentpasswd secret1969enable password h1andl0interface vlan 150nameif outsidesecurity-level 0bridge-group 1interface vlan 4nameif insidesecurity-level 100bridge-group 1interface bvi 1ip address 10.1.1.1 255.255.255.0route outside 0 0 10.1.1.2 1ssh 10.1.1.75 255.255.255.255 insidearp outside 10.1.1.2 0009.7cbe.2100arp inside 10.1.1.3 0009.7cbe.1000arp-inspection inside enable floodarp-inspection outside enable floodaccess-list INTERNET remark -Allows all inside hosts to access the outside access-list INTERNET extended permit ip any anyaccess-group INTERNET in interface insideaccess-list RETURN remark -Allows OSPF backaccess-list RETURN extended permit 89 any anyaccess-list RETURN remark -Allows DHCP backaccess-list RETURN extended permit udp any any eq 68access-group RETURN in interface outsideChangeto context afirewall transparentpasswd hell0!enable password enter55interface vlan 151nameif outsidesecurity-level 0bridge-group 45interface vlan 5nameif insidesecurity-level 100bridge-group 45interface bvi 45ip address 10.1.2.1 255.255.255.0route outside 0 0 10.1.2.2 1access-list INTERNET remark -Allows all inside hosts to access the outside access-list INTERNET extended permit ip any anyaccess-group INTERNET in interface insideaccess-list RETURN remark -Allows OSPF backaccess-list RETURN extended permit 89 any anyaccess-list RETURN remark -Allows DHCP backaccess-list RETURN extended permit udp any any eq 68access-group RETURN in interface outsideChangeto context bfirewall transparentpasswd tenac10usenable password defen$einterface vlan 152nameif outsidesecurity-level 0bridge-group 1interface vlan 6nameif insidesecurity-level 100bridge-group 1interface bvi 1ip address 10.1.3.1 255.255.255.0route outside 0 0 10.1.3.2 1access-list INTERNET remark -Allows all inside hosts to access the outside access-list INTERNET extended permit ip any anyaccess-group INTERNET in interface insideaccess-list RETURN remark -Allows OSPF backaccess-list RETURN extended permit 89 any anyaccess-list RETURN remark -Allows DHCP backaccess-list RETURN extended permit udp any any eq 68access-group RETURN in interface outsideChangeto context cfirewall transparentpasswd fl0werenable password treeh0u$einterface vlan 153nameif outsidesecurity-level 0bridge-group 100interface vlan 7nameif insidesecurity-level 100bridge-group 100interface bvi 100ip address 10.1.4.1 255.255.255.0route outside 0 0 10.1.4.2 1access-list INTERNET remark -Allows all inside hosts to access the outside access-list INTERNET extended permit ip any anyaccess-group INTERNET in interface insideaccess-list RETURN remark -Allows OSPF backaccess-list RETURN extended permit 89 any anyaccess-list RETURN remark -Allows DHCP backaccess-list RETURN extended permit udp any any eq 68access-group RETURN in interface outside。

SonicWall防火墙透明模式配置（三层交换机）用户要求防火墙配置成透明模式接入到网络，要求达到的配置
如下图示
配置步骤：
1、配置防火墙WAN网卡
2、建立透明模式下的地址对象
（注意：透明范围不能够包含了防火墙本身的地址（192.168.254.21）以及防火墙的网关地址(192.168.254.1) ，同时也不能够包含防火墙WAN口外面的地址，即如果防火墙WAN外面还有其他的地址如192.168.254.200 则Transparent Range 不能够包含该地址, 否则可能会引发安全问题！！）
3、建立内网地址对象（注意：本范例中仅示例了2 个内网网段，可根据实际情况增加）
4、建立地址对象组
5、配置内网3 层交换机的地址对象
6、配置完成后的界面显示如下：
7、配置内网地址访问外网的回程路由（必须配置！！）
8、配置防火墙LAN网卡配置透明模式
9、关闭防火墙DHCP服务器
配置完成！。

SecBlade 防火墙单板透明模式的配置（一）一、组网需求：SecBlade防火墙单板工作在透明模式，S8500作为二层交换机。

二、组网图：SecBlade板工作在透明模式，S8505作为二层交换机，g3/1/1属于vlan30，g3/2/1属于vlan50，g3/3/1属于vlan60。

软件版本如下：S8505: VRP310-R1271SecBlade：VRP3.4-ESS1209三、配置步骤：本配置适用于S8500VRP3.1-R1271及以后版本，SecBlade VRP3.4-E1209及以后版本。

1、S8500配置[S8505]dis cu#config-version S8500-VRP310-r1271#sysname S8505#super password level 1 cipher O5(YaI!$LR+Q=^Q`MAF4<1!!#local-server nas-ip 127.0.0.1 key huawei#Xbar load-single#router route-limit 128Krouter VRF-limit 256#secblade aggregation slot 2 //配置内部端口聚合，增大带宽#radius scheme systemserver-type huaweiprimary authentication 127.0.0.1 1645primary accounting 127.0.0.1 1646user-name-format without-domain#domain systemvlan-assignment-mode integeraccess-limit disablestate activeidle-cut disableself-service-url disabledomain default enable system#vlan 1#vlan 30 //创建vlan30、vlan50、vlan60#vlan 50#vlan 60#interface Aux0/0/1#interface M-Ethernet0/0/0#interface GigabitEthernet2/1/1#interface GigabitEthernet2/1/2#interface GigabitEthernet2/1/3#interface GigabitEthernet2/1/4#interface GigabitEthernet2/1/5#interface GigabitEthernet2/1/6#interface GigabitEthernet2/1/7#interface GigabitEthernet2/1/8#interface GigabitEthernet3/1/1 //PCA属于VLAN30port access vlan 30#interface GigabitEthernet3/1/2#interface GigabitEthernet3/1/3#interface GigabitEthernet3/1/4#interface GigabitEthernet3/2/1 //PCB属于VLAN50port access vlan 50#interface GigabitEthernet3/2/2#interface GigabitEthernet3/2/3#interface GigabitEthernet3/2/4#interface GigabitEthernet3/3/1 //PCC属于VLAN60port access vlan 60#interface GigabitEthernet3/3/2#interface GigabitEthernet3/3/3#interface GigabitEthernet3/3/4#interface NULL0#user-interface con 0user-interface aux 0user-interface vty 0 4#secblade module secbladesecurity-vlan 30 50 60 //指定VLAN30、VLAN50、VLAN60为security-vlanmap to slot 2 //SecBlade板在二号槽位#return[S8505][S8505]dis mac-address //S8500的mac地址表项MAC ADDR VLAN ID STATE PORT INDEXAGING TIME(s)000f-e22c-9474 30 Learned InnerPort slot 2 AGING 000f-e22c-9474 50 Learned InnerPort slot 2 AGING 000f-e230-3754 60 Learned InnerPort slot 2AGING000f-e230-3754 30 Learned InnerPort slot 2AGING000f-e230-3748 50 Learned InnerPort slot 2AGING000f-e230-3748 60 Learned InnerPort slot 2AGING000f-e230-3748 30 Learned GigabitEthernet3/1/1AGING000f-e230-3754 50 Learned GigabitEthernet3/2/1AGING000f-e22c-9474 60 Learned GigabitEthernet3/3/1AGING--- 9 mac address(es) found ---[S8505]2、SecBlade配置：<SecBlade_FW>dis cu#sysname SecBlade_FW#firewall packet-filter enablefirewall packet-filter default permit //防火墙设置包过滤缺省规则为permit#firewall mode transparent //将防火墙板设置为透明模式firewall unknown-mac flood //将防火墙对未知mac报文的处理方式设置为flood#firewall statistic system enable#radius scheme system#domain system#interface Aux0async mode flow#interface Ethernet0/1promiscuous#interface Ethernet0/2promiscuous#interface Ethernet0/3promiscuous#interface GigabitEthernet0/0promiscuous#interface GigabitEthernet0/0.1vlan-type dot1q vid 30 //g0/0.1属于vlan30#interface GigabitEthernet0/0.2vlan-type dot1q vid 50 //g0/0.2属于vlan50#interface GigabitEthernet0/0.3vlan-type dot1q vid 60 //g0/0.3属于vlan60#interface NULL0#interface LoopBack0ip address 169.0.0.1 255.0.0.0#firewall zone localset priority 100#firewall zone trustadd interface GigabitEthernet0/0.1 //g0/0.1加入trust区域set priority 85#firewall zone untrustadd interface GigabitEthernet0/0.2 //g0/0.2加入untrust区域set priority 5#firewall zone DMZadd interface GigabitEthernet0/0.3 //g0/0.3加入DMZ区域set priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#user-interface con 0user-interface aux 0authentication-mode passworduser-interface vty 0 4authentication-mode scheme#return<SecBlade_FW><SecBlade_FW>dis fir transparent-mode add //透明防火墙的mac地址表The total of the address-items is 3Mac-address Flag Aging-time Receive Send Interface-name 000f-e230-3748 PD 00:03:59 38 10 GigabitEthernet0/0.1000f-e230-3754 PD 00:01:38 11 5 GigabitEthernet0/0.2000f-e22c-9474 PD 00:02:05 13 5 GigabitEthernet0/0.3Flag meaning: P--PERMIT N--DENY D--DYNAMIC S--STATIC <SecBlade_FW>四、配置关键点：1、防火墙透明模式下将未知mac报文的处理方式设置为flood。

防火墙透明模式配置（二层模式）实验v3防火墙透明模式（二层模式）一、实验目的介绍并熟识h3csecpathv3防火墙的两种二层模式布局二、场景描述用户在内网存有两个网段，在交换机上分割了两个vlan，在路由器上设置单臂路由，内网用户dhcp以获取ip地址，dhcp服务器为msr路由器。

为了安全，用户现在在内网交换机和路由器之间减少了一个f1000-s防火墙，为了不发生改变网络架构，用户建议将防火墙布局成二层模式。

三、拓扑图四、布局步骤基本配置1.基本布局：设备命名，先不将防火墙重新加入网络，确保内网运转正常2.将防火墙重新加入至网络中，展开防火墙的基本布局3.将防火墙转换成二层模式，确保内网运转正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，USB重新加入区域systemsysf1000-sfirewallpacket-filterenable//开通防火墙的包过滤功能firewallpacket-filterdefaultpermit//包过滤的默认规则为permitfirewallzonetrust//内网口加入trustaddinterfaceg1/0quitfirewallzoneuntrust//外网口重新加入untrustaddinterfaceg2/0quit2、将防火墙转换成二层模式：bridgeenable//启用桥接模式bridge1enable//建立一个桥组intbridge-template1//设置管理地址ipaddress192.168.1.100255.255.255.0quitintg1/0//将USB重新加入桥组与bridge-set1quitintg2/0bridge-set1quitfirewallzonetrust//将桥模板加入区域addinterfacebridge-template1quitiproute0.0.0.00.0.0.0192.168.1.1//管理ip的路由3、放通dhcp报文bridge1firewallunknown-macflood//未知mac洪泛1.1五、查阅和测试：使用discu查看防火墙的配置使用disver查看防火墙的软件版本1、在内网pc机上以获取ip地址，若想以获取至？2、获取ip地址后，pc能否ping通网关，能否上公网？3、内网pc机能否管理f1000-s1.2六、实验思索：1、当需要管理f1000-s防火墙时，我们需要登录bridge-template接口，请考虑这个时候对内网s3100交换机有什么特殊要求？1.3附：旧版本的二层模式布局：firewallmodetransparent（配置为透明模式）firewallsystem-ip192.168.1.254255.255.255.0（这是防火墙的管理ip地址）interfaceethernet2/0（进入wan口）promiscuous（布局为透明化传输）quitinterfaceethernet1/0（进入lan口）promiscuous（布局为透明化传输）quitfirewallpacket-filterdefaultpermit（配置防火墙默认规则）firewallunknown-macflood（未知mac泛洪）。

实验二防火墙的典型安装与部署——透明模式（网桥模式）
【实验拓扑】
【实验步骤】
一、将防火墙接入当前网络
1、从内部网络中的任一台PC无法再ping通路由器的对内网口IP: 10.0.0.254
2、通过管理PC登录防火墙系统，“系统”→“系统信息”→“设备状态”，仍显示
二、配置桥接
1、网口设置：进入桥接设定界面，“网络设置”→“网口配置”→“网口”：
将LAN口的“内部网口”勾选取消，可以看到下面的设置变为灰色，代表不可编辑，然后点击“保存”，最后选择“重启”，这样就将LAN口设置为外网口
进入桥接设定界面，“网络设置”→“网口配置”→“桥接设定”：
定义一条桥接规则：
添加一条桥接规则：
添加成功，重启。

三、测试桥接
1、检查LAN内主机是否能ping通路由地址，可以连通：
防火墙桥模式（透明模式）部署成功。

防火墙透明模式配置案例1、组网需求：某局点想在原有的网络中增加防火墙来提高网络安全性，又不想要对原有网络配置进行变动。

所以采取防火墙透明模式部署。

注：透明模式部署不会影响原有网络配置，也是防火墙最常见的部署方式。

2、组网图：3、配置步骤：1、登录设备设备默认的管理地址为192.168.0.1/24，需要将电脑设置为192.168.0.X/24地址后连接设备0号端口登录设备。

设备默认的管理地址为192.168.1.1/24，需要将电脑设置为192.168.1.X/24地址后连接设备2号端口登录设备。

电脑IP地址配置方法：点击右下角电脑图标>选择“打开网络和共享中心”打开浏览器后登录设备，设备默认的登录用户名和密码都是“admin”。

2、配置接口1为连接上层网络设备接口，并设置为二层模式。

3、配置接口2为连接内网设备的接口，不同的是加入安全域选择trust，其他配置同上。

4、放通“trust”到“untrust”区域的域间策略，点击“策略-》安全策略”点击中间的“新建”按钮。

选择源安全区域为“trust”目的安全区域为“untrust”，源IP地址下拉按钮处点击“+”新建匹配192.168.10.0的网段。

继续配置untrust到trust的策略放通DHCP服务5、保存配置由于防火墙默认是不保存配置的重启后配置就会丢失，在做完所有配置后请务必保存配置。

点击界面右上角的admin下拉图标，点击保存然后选择“是”。

配置关键点：1、透明模式最大优点为不改变原有组网，配置简单。

2、如果无法打开防火墙管理界面，一般是由于使用http方式登录，只要在浏览器上输入https://192.168.0.1就可以登录。