防火墙透明工作模式的配置

合集下载

浅谈防火墙配置中路由模式和透明模式的区别与应用

浅谈防火墙配置中路由模式和透明模式的区别与应用作者：黄安祥来源：《消费导刊》2018年第17期所谓防火墙，指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。

是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。

防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。

该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

在网络中，“防火墙”，是指一种将内部网和公众访问网分开的方法，它实际上是一种隔离技术。

防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。

路由器和防火墙和相比，都属于网关设备，可以支持网络的各种应用，在差异性上有设计思路和实现方式的不同。

Router是作为一种“网络连通手段”，保证网络互连互通为主；Firewall 是作为一种“网络隔离手段”，隔离网络异常数据为主。

Router：能正确转发包的设备是路由器：Firewall：能正确丢包的设备是防火墙。

一、防火墙配置里的工作模式一般硬件防火墙有路由模式、网桥模式、混合模式，路由模式连接不同网段，防火墙有实际的地址，网桥模式即透明模式，连接相同网段，防火墙没有地址，内网用户看不到防火墙的存在，隐蔽性较好，混合模式即在网络拓扑里同时用到了路由和网桥模式，网桥模式也叫透明模式，是指防火墙的功能类型于交换机，进行二层转发，英文有transparent（透明）和bridge 两种叫法，但transparent的说法更加贴切，因为上面有多个端口，而网桥则是典型的只有2个端口。

路由模式是指防火墙的功能类型于路由器，提供路由转发功能，大多时候也会使用NAT功能，进行报文的三层转发。

防火墙透明模式配置(二层模式)

实验V3防火墙透明模式（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图四、配置步骤基本配置1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2. 将防火墙加入到网络中，进行防火墙的基本配置3. 将防火墙转换成二层模式，保证内网运行正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustadd interface g1/0quitfirewall zone untrust //外网口加入untrustadd interface g2/0quit2、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1 //设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 //将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1 五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2 六、实验思考：1、当需要管理F1000-S防火墙时，我们需要登录bridge-template接口，请考虑这个时候对内网S3100交换机有什么特殊要求？1.3 附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP地址）interface Ethernet2/0（进入WAN口）promiscuous （配置为透明传输）quitinterface Ethernet1/0 （进入LAN口）promiscuous （配置为透明传输）quitfirewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）。

如何配置天融信NGFW4000防火墙透明工作模式

f. 在上图中输入需建立的透明网络名称（如transport），将需要透明传输的接口区域(如Server 所在的SSN区域和lihua所在的内网区域)加入到“同一广播域的网络”中即可。

g. 详细操作请参看相关DEMO演示。

注意：
防火墙4000透明模式根据接口地址设置有三种情况：一种就是上面所介绍的情况，即防火墙的每个接口都配置了相同网段的IP地址；另一种是防火墙的每个接口都不需配置任何IP 地址，只需要设置“透明网络”即可；还有一种就是，只在一个接口配置IP地址，并且它只作为管理防火墙使用。

关键词：
透明网络：表示互相之间可以透明通信的几个网络区域，即交换机模式。

天融防火墙信工作模式操作说明

————如何配置防火墙4000透明工作模式————1、假设你已经通过串口初始化了防火墙4000（配置接口IP、GUI 登录权限等），并按照以上拓扑图连接好网络；2、要求：客户端所在的Intranet区域与服务器端所在的SSN区域通过透明方式（交换模式）进行通信。

实现方式如下：3、在防火墙管理器中选取“对象管理”→“透明网络”菜单，将弹出透明网络定义界面；输入需建立的透明网络名称如“transport”，将需要透明传输的接口区域(如服务器端所在的SSN区域和客户端所在的Intranet区域)加入到“统一广播域的网络”中即可；如下图：4、也可以通过串口登录到防火墙上，使用命令行方式进行设置，命令如下：vlan add transport –a ‘intranet’‘internet’以上是以测试要求定义的命令格式，完整的配置格式请参见帮助信息。

5、最后在相应访问目的区域中增加访问策略既可。

————如何配置防火墙4000路由工作模式————1、假设你已经通过串口初始化了防火墙4000（配置接口IP、GUI 登录权限等），并按照以上拓扑图连接好网络；2、要求：客户端所在的Intranet区域（eth2）与服务器端所在的SSN（eth0）区域通过路由方式进行通信;3、由于防火墙缺省情况下的通讯策略就是使用路由模式的，因此在配置防火墙的路由工作模式的时候，只需要配置相应的接口地址，本例中就只需要配置eth2和eth0的接口地址，并在相应访问目的区域中增加访问策略既可。

————如何配置防火墙4000混合工作模式————路由eth11、假设你已经通过串口初始化了防火墙4000（配置接口IP、GUI 登录权限等），并按照以上拓扑图连接好网络；2、要求：客户端所在的Intranet区域（eth2）与服务器端所在的SSN（eth0）区域通过透明方式(交换模式)进行通信，客户端所在的Intranet区域（eth2）与服务器端所在的Internet（eth1）区域通过路由方式进行通信；3、在防火墙管理器中选取“对象管理”→“透明网络”菜单，将弹出透明网络定义界面；输入需建立的透明网络名称如“transport”，将需要透明传输的接口区域(如服务器端所在的SSN区域和客户端所在的Intranet区域)加入到“统一广播域的网络”中，然后在访问策略中的目的区域增加相应得访问策略即可；如下图：4、由于防火墙缺省情况下的通讯策略就是使用路由模式的，因此在配置防火墙的路由工作模式的时候，只需要配置相应的接口地址，本例中就只需要配置eth2和eth0的接口地址，最后在相应访问目的区域中增加访问策略既可。

USG 防火墙透明模式配置方法

USG 防火墙透明模式配置方法USG接口工作在二层模式（透明模式）USG采用此组网接入上下行网络，无须改变原有网络的拓扑结构，也不需要重新分配额外的业务地址。

组网需求USG作为安全设备被部署在业务节点上，上行设备是路由器，下行设备为交换机，业务接口工作在交换模式下。

组网图如图1所示，网络规划如下：∙内部网络的网段地址为192.168.1.0/24，与USG的GigabitEthernet 0/0/1接口相连，部署在trust区域。

∙外部网络与USG的GigabitEthernet 0/0/2接口相连，部署在Untrust区域。

∙USG的管理地址为192.168.1.2/24图1 业务接口工作在二层，上下行连接交换机的组网图配置思路G接口GigabitEthernet 0/0/1和GigabitEthernet 0/0/2均工作在交换模式，分别加入不同的安全区域。

2.在USG上创建VLANif接口，配置管理ip地址为192.168.0.1。

3.在USG上配置到路由器的默认路由。

4.在USG上配置Trust区域和Untrust区域的域间包过滤规则。

操作步骤1.在USG上完成以下基本配置。

# 配置GigabitEthernet 0/0/1工作在交换模式。

<USG_A> system-view[USG_A] interface GigabitEthernet 0/0/1[USG_A-GigabitEthernet0/0/1] portswitch[USG_A-GigabitEthernet0/0/1] quit# 配置GigabitEthernet 0/0/1加入Trust区域。

[USG_A] firewall zone trust[USG_A-zone-trust] add interface GigabitEthernet 0/0/1[USG_A-zone-trust] quit# 配置GigabitEthernet 0/0/2工作在交换模式。

防火墙透明模式典型配置举例

防火墙透明模式典型配置举例防火墙透明模式是一种常见的网络安全配置，它允许防火墙在网络上作为透明的桥接设备，无需修改网络设备的IP地址和配置，对所有网络流量进行过滤和监控。

本文将以一个典型的企业网络环境为例，详细介绍防火墙透明模式的配置。

1.网络拓扑假设企业网络中有一个内部局域网（LAN）和一个外部网络（WAN），分别连接到防火墙的两个接口。

内部局域网的网段为192.168.0.0/24，防火墙的局域网接口IP地址为192.168.0.1；外部网络的网段为202.100.100.0/24，防火墙的广域网接口IP地址为202.100.100.1、防火墙的透明模式设置在两个接口之间。

2.配置步骤（1）配置局域网接口IP地址：登录防火墙管理界面，在网络设置中找到局域网接口，设置IP地址为192.168.0.1，子网掩码为255.255.255.0。

这样，防火墙就可以与内部网络通信。

（2）配置广域网接口IP地址：同样在网络设置中找到广域网接口，设置IP地址为202.100.100.1，子网掩码为255.255.255.0。

这样，防火墙就可以与外部网络通信。

（3）配置透明模式：在防火墙的透明模式设置中，将局域网接口和广域网接口进行桥接。

在桥接配置中，选择透明模式，并将局域网接口和广域网接口绑定在一个桥接组中。

（4）配置ACL（访问控制列表）：通过ACL可以定义防火墙的过滤规则，控制允许和禁止的流量。

例如，可以设置允许内部网络对外访问的规则，禁止特定IP地址的访问规则等。

在防火墙管理界面的策略设置中，创建相应的ACL规则。

（5）配置NAT（网络地址转换）：NAT可以将内部网络的私有IP地址映射为公共IP地址，实现内部网络对外部网络的访问。

在防火墙的NAT设置中，配置相应的NAT规则。

（6）配置日志功能：在防火墙中启用日志功能，记录所有的网络流量和安全事件。

可以将日志信息发送到指定的日志服务器，方便网络管理员进行监控和分析。

防火墙透明模式配置

收藏分享
来源: 中国系统集成论坛原文链接：/thread-381753-1-1.html
防火墙透明模式配置
防火墙的透明模式
特性介绍：从PIX 7.0和FWSM 2.2开始防火墙可以支持透明的防火墙模式，接口不需要配置地址信息，工作在二层。只支持两个接口inside和outside，
当然可以配置一个管理接口，但是管理接口不能用于处理用户流量，在多context模式下不能复用物理端口。
配置接口 Firewall(config)# interface hardware-id
Firewall(config-if)# speed {auto | 10 | 100 |noneg-if)# duplex {auto | full | half}
Firewall(config)# mac-learn if_name disable 禁止特定接口地址学习(show mac-learn验证)
ARP检查 Firewall(config)# arp if_name ip_address mac_address 静态ARP条目
Firewall(config)# arp-inspection if_name enable [flood | no-flood]
MAC地址表的配置 Firewall# show mac-address-table 显示MAC地址表
Firewall(config)# mac-address-table aging-time minutes 设置MAC地址表过期时间
Firewall(config)# mac-address-table static if_name mac_address 设置静态MAC条目

联想网御强五防火墙三网口透明模式

5.3.1 需求描述上图是一个具有三个区段的小型网络。

其中内部网络区段的地址是10.10.10.1 到10.10.10.50，掩码是255.255.255.0；DMZ 网络区段的地址是10.10.10.100 到10.10.10.150，掩码是255.255.255.0；fe4 所在网络区段的地址是10.10.10.200 到10.10.10.254，掩码是255.255.255.0。

WWW 服务器的地址是10.10.10.100，开放端口是80；MAIL 服务器的地址是10.10.10.101，开放端口是25 和110；FTP 服务器的地址是10.10.10.102，开放端口是21。

fe1 工作在透明模式，fe3 工作在透明模式，fe4 工作在透明模式。

桥接设备brg0 的IP 地址是10.10.10.1，允许管理。

防火墙的缺省安全策略是禁止。

区段间的安全策略是：允许内部网络区段访问DMZ 区段和INTERNET 的http，smtp，pop3，ftp 服务，允许INTERNET 区段访问DMZ 网络的http，smtp，pop3，ftp 服务。

其他的访问都禁止。

5.3.2 配置步骤1. 网络配置>网络设备>：编辑桥接设备brg0，将它的IP 地址配置为10.10.10.1，掩码是255.255.255.0，允许管理，确定。

2. 网络配置>网络设备>：编辑物理设备fe1，选择工作模式为“透明”，确定。

3. 网络配置>网络设备>：编辑物理设备fe3，选择工作模式为“透明”，确定。

4. 网络配置>网络设备>：编辑物理设备fe4，选择工作模式为“透明”，确定。

注意：在策略配置前，先添加如下的资源：LOCAL_NET：10.10.10.2 到10.10.10.50，网络地址段。

DMZ_NET：10.10.10.100 到10.10.10.150，网络地址段。

防火墙的透明模式和透明代理服务器教程电脑资料

防火墙的透明模式和透明代理服务器教程电脑资料防火墙在计算机网络安全中扮演着非常重要的角色。

它可以帮助监控和管理网络流量，保护计算机网络免受恶意攻击和未经授权的访问。

而防火墙的透明模式和透明代理服务器是其中两个重要的概念。

本文将详细解释防火墙的透明模式和透明代理服务器的原理，并介绍它们的设置和配置。

一、透明模式防火墙的透明模式是指在网络中拦截和过滤数据包时，对网络用户和应用程序来说是不可察觉的。

换句话说，透明模式下的防火墙不会对数据包进行任何的修改或干预。

它像一个“隐形”的墙壁，无论数据包是进入还是离开网络，都会被透明模式的防火墙检查和过滤。

在透明模式下，防火墙通常被部署为一个网桥。

这意味着它有两个网络接口，一个连接到内部网络，一个连接到外部网络。

防火墙会监听通过它的数据包流量，并根据预设的策略来判断是否允许或拒绝数据包通过。

用户和应用程序在没有任何感知的情况下，可以自由地发送和接收数据。

透明模式的防火墙通常还具备一些高级功能，如入侵检测系统（Intrusion Detection System，IDS）和虚拟专用网（Virtual Private Network，VPN）功能等。

它们能够帮助检测和防范网络攻击、黑客入侵等安全威胁。

二、透明代理服务器透明代理服务器（Transparent Proxy Server）是一种在网络通信中起到中间人角色的服务器。

在用户和目标服务器之间建立连接时，所有的请求和响应都需要经过透明代理服务器。

用户认为它们直接与目标服务器通信，而不知道自己实际上是在与代理服务器通信。

透明代理服务器通常用于网络缓存、访问控制、流量管理等用途。

它可以帮助优化网络通信，并提高网络性能。

同时，透明代理服务器还可以过滤和检测网络流量，防止恶意攻击、病毒传播和未经授权的访问。

设置和配置透明代理服务器通常需要以下几个步骤：1. 选择和安装合适的代理服务器软件。

常见的透明代理服务器软件有Squid、Nginx和Apache等。

深信服AF防火墙第二层透明模式下配置

深信服AF防火墙第二层透明模式下配置在配置深信服AF防火墙第二层透明模式之前，首先需要进行以下准备工作：1.网络拓扑规划：确定防火墙的放置位置和与其他网络设备的连接方式，以便合理规划网络流量的监控和策略的下发。

2.IP地址规划：为防火墙的透明模式接口和管理口分配合适的IP地址，并与网络中的其他设备进行地址配置的协调。

3.网络访问策略：根据实际需求和网络安全要求，定义合适的网络访问策略，包括访问控制列表(ACL)、安全策略、NAT等，以确保网络流量的安全性和合规性。

下面是深信服AF防火墙第二层透明模式的配置步骤及相关解释：1.登录防火墙：使用浏览器访问深信服AF防火墙的管理页面，并使用管理员账号进行登录。

2.配置接口：选择"网络"-"接口"，点击“新增”，配置透明模式接口的相关参数，包括名称、物理接口、IP地址、子网掩码等。

3.绑定端口：选择"网络"-"端口"，选择待绑定的物理接口，点击“绑定”，将透明模式接口与物理接口进行绑定。

4.配置VLAN：如果需要对网络流量进行VLAN隔离，选择"网络"-"VLAN"，点击“新增”，配置VLAN的相关参数，包括名称、VLANID、IP 地址等。

5.配置物理链路：选择"网络"-"链路"，点击“新增”，配置物理链路的相关参数，包括名称、绑定接口、链路类型等，以将不同的物理接口绑定为一组进行负载均衡和冗余备份。

6.配置网络ACL：选择"策略"-"网络ACL"，点击“新增”，配置ACL规则，包括源IP、目的IP、协议、端口等，以定义允许或禁止的网络流量。

7.配置安全策略：选择"策略"-"安全策略"，点击“新增”，配置安全策略规则，包括源地址、目的地址、应用、行为等，以定义网络流量的安全检查和处理方式。

华为防火墙的使用手册

华为防火墙的使用手册摘要：一、华为防火墙简介1.防火墙工作模式2.防火墙功能与应用二、华为防火墙配置指南1.基本配置与IP编址2.路由模式配置3.透明模式配置4.混合模式配置三、华为防火墙实用技巧1.拨号连接配置2.VPN配置3.访问控制列表配置4.防病毒和入侵检测配置四、华为防火墙故障排除1.常见故障及解决方法2.故障排查流程正文：一、华为防火墙简介华为防火墙作为一种安全设备，广泛应用于各种网络环境中。

它起到隔离网络的作用，防止外部攻击和数据泄露。

华为防火墙有三种工作模式：路由模式、透明模式和混合模式。

1.防火墙工作模式（1）路由模式：当防火墙连接的网络接口配置了IP地址时，防火墙工作在路由模式。

在此模式下，防火墙首先作为一台路由器，然后提供其他防火墙功能。

（2）透明模式：防火墙在这种模式下不干预网络流量，仅作为物理设备存在，适用于需要隔离网络的场景。

（3）混合模式：该模式结合了路由模式和透明模式，可以根据网络需求进行灵活配置。

2.防火墙功能与应用华为防火墙具备丰富的功能，包括：（1）防火墙：防止外部攻击和入侵，保障网络安全。

（2）VPN：实现远程办公和数据加密传输。

（3）流量控制：优化网络带宽利用率，保证关键业务优先运行。

（4）访问控制：根据需求设置允许或拒绝特定IP地址、协议、端口的访问。

（5）防病毒和入侵检测：实时监测网络流量，防止病毒和恶意行为。

二、华为防火墙配置指南1.基本配置与IP编址（1）给防火墙配置管理接口IP地址，例如：192.168.0.124。

（2）为防火墙的接口分配不同的IP地址，根据实际网络拓扑进行配置。

2.路由模式配置（1）进入路由模式，设置相关接口的IP地址。

（2）配置路由协议，如OSPF、BGP等。

（3）设置路由策略，优化网络路由。

3.透明模式配置（1）将防火墙调整为透明模式。

（2）根据需求，配置透明模式下的接口属性。

4.混合模式配置（1）结合路由模式和透明模式进行配置。

防火墙NetScreen 5GT透明模式配置指引

防火墙NetScreen 5GT透明模式配置指引目录一、配置网络环境描述 (2)二、配置步骤 (3)2.1 防火墙的配置 (3)2.3 配置结果 (10)三、参考资料 (10)一、配置网络环境描述网络拓扑结构网络拓扑结构图网络拓扑结构简述防火墙采用1台NetScreen 5GT（以下简称5GT），5GT将与其连接的网络设备分为V1-Trust和V1-Untrust两个安全区段，其物理端口配置在透明模式下运行，并定义各端口为中继端口，实现5GT允许与其连接的交换机接收、发送来自多个VLAN的信息流，并按帧头中的VLAN 标识符(VID) 对各个封包进行分类。

交换机采用2台Cisco Catalyst 2950-24。

Cat 2950-2的F0/24端口连接5GT的Trust端口，f0/24配置为Trunk工作模式，Cat 2950-2指定为VTP Server工作模式，并建立VLAN101、VLAN102和VLAN103；Cat 2950-1的F0/24端口连接5GT的Untrust端口，f0/24配置为Trunk工作模式，Cat 2950-1指定为VTP Client工作模式，并加入Cat 2950-2创建的VTP域，接收其创建的VLAN信息。

二、配置步骤2.1 防火墙的配置1、登录将NetScreen 5GT的Trust端口1~4中任一端口与一台PC通过网线直连，将该PC的IP地址设置为192.168.1.2~255中的任一地址。

通过WEB登录NetScreen 5GT，NetScreen默认的管理地址是：192.168.1.1选择“No，use the Initial Configuration Wizard instead。

”默认配置：输入默认的用户名“netscreen”和密码“netscreen”：进入5GT的Web用户管理界面（WebUI）：2、配置端口查看5GT的“Network-interfaces”界面，5GT的物理端口共有5个，由untrust和ethernet 1-4组成，ethernet 1-4端口默认名称(name)为trust，它们在默认的配置中分别属于“Untrust”和“Trust”区段(zone)。

透明网桥模式防火墙配置

1、使用超级终端，名称任意，连接com端口，回车，出现<H3C>表明已经连接了防火墙。

2、输入一系列配置命令如下：[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit[H3C]firewall zone trust[H3C-zone-trust]add interface ethernet0/0The interface has been added to trust security zone.[H3C-zone-trust]add interface ethernet0/1The interface has been added to trust security zone.[H3C-zone-trust]add interface ethernet0/2The interface has been added to trust security zone.[H3C-zone-trust]quit[H3C]bridge enableBridge module has been activated[H3C]bridge 1 enableBridge set has been activated[H3C]interface bridge-template 1[H3C-Bridge-template1]ip address 192.168.1.188 255.255.255.0[H3C-Bridge-template1]quit[H3C]interface ethernet0/0[H3C-Ethernet0/0]bridge-set 1The port has been in the set[H3C-Ethernet0/0]quit[H3C]interface ethernet0/1[H3C-Ethernet0/1]bridge-set 1The port has been in the set[H3C-Ethernet0/1]interface ethernet0/2[H3C-Ethernet0/2]bridge-set 1The port has been in the set[H3C-Ethernet0/2]quit[H3C]firewall zone trust[H3C-zone-trust]add interface bridge-template 1The interface has been added to trust security zone.[H3C-zone-trust]quit[H3C]saveThe configuration will be written to the device.Are you sure?[Y/N]yNow saving current configuration to the device.Saving configuration flash:/config.cfg. Please wait...................Current configuration has been saved to the device successfully.[H3C]3、进入WEB页面配置IP地址：192.168.1.122 子网掩码：255.255.255.0IE地址栏：http:// 192.168.1.185（省调项目）188（SIS网的防火墙）用户名：Admin 密码：Admin我们在web页面配置下，没有什么重要的配置，只是要勾选下所有的攻击类型。

Juniper-防火墙的管理-透明模式

set interface vlan1 manage ns208-> set int vlan1 manage
• 选择指定的管理服务
set interface vlan1 manage [<service>] ns208-> set int vlan1 manage web ns208-> set int vlan1 manage ssl ns208-> set int vlan1 manage nsmgmt
17(01):192.168.1.5/27129->192.168.1.10/768,1,00b0d06c3f39,vlan 0,tun 0,vsd 0 19(00):192.168.1.5/27129<-192.168.1.10/768,1,0010db2b1622,vlan 0,tun 0,vsd 0 id 44/s**,vsys 0,flag 00000090/00/00,policy 1,time 1 17(01):192.168.1.5/27385->192.168.1.10/768,1,00b0d06c3f39,vlan 0,tun 0,vsd 0 19(00):192.168.1.5/27385<-192.168.1.10/768,1,0010db2b1622,vlan 0,tun 0,vsd 0 Total 2 sessions shown
15
NetScreen Technologies, Inc.
透明模式的工具
• Get interface • Get ARP • Get mac-learn • Get session
16
NetScreen Technologies, Inc.
Get interface <name>

防火墙的透明模式

防火墙的透明模式防火墙透明模式是一种网络安全技术，其主要目的是在不对网络流量做任何修改的情况下，对网络进行监控和检查，以保护网络免受各种威胁。

在防火墙透明模式下，网络中的所有流量都会通过防火墙进行传递，但与普通防火墙不同的是，在透明模式下，网络流量的路由是无法察觉的，即外部用户无法察觉到网络流量被防火墙处理过。

防火墙透明模式的主要工作原理如下：1.路由配置：在防火墙和网络中的其他设备之间进行正确的路由配置。

这样，所有的网络流量都会被自动重定向到防火墙，而不会对网络流量的路由造成任何影响。

2.透明桥接：防火墙通常会通过透明桥接的方式接管网络流量，即将网络流量原封不动地转发给目标设备，同时在转发过程中进行监控和检查。

透明桥接可以实现无害的网络流量传递。

3.无IP更改：透明模式下的防火墙不会对网络流量的IP地址进行任何更改操作。

这意味着，外部用户无法察觉到网络流量被防火墙处理过，从而增加了攻击者进行攻击的难度。

4.网络监控和检查：透明模式下的防火墙会监控和检查网络流量，以识别和阻止任何潜在的威胁。

它可以根据预设规则对流量进行分析，例如检测恶意软件，过滤垃圾邮件，防御拒绝服务攻击等。

防火墙透明模式的优点包括：1.无需客户端配置：由于防火墙在网络中的传输是透明和无感知的，所以无需在客户端设备上进行任何额外的配置。

这样可以简化网络管理，并减少可能的配置错误。

2.网络兼容性：透明模式的防火墙可以与任何网络设备和协议兼容，无需进行任何修改。

这使得防火墙的部署和维护更加灵活和方便。

3.安全性高：透明模式不会对网络流量的路由和源IP地址进行更改，使得外部用户无法轻易地绕过防火墙进行攻击。

与此同时，防火墙将持续监控和检查网络流量，提高了网络的安全性。

4.部署简便：在透明模式下，防火墙可以在网络中的任何位置进行部署，而不会对网络的结构和性能产生任何影响。

这为网络管理员提供了更多的灵活性和便捷性。

然而，防火墙透明模式也存在一些局限性和挑战。

华赛USG3000系列防火墙透明模式配置方法

华赛USG3000系列防火墙透明模式配置方法1.组网需求USG3000统一安全网关工作在透明模式下。

对于未知MAC地址的IP报文，处理方式是在除接收接口外的其他所有接口上进行转发。

2.组网图图1 处理未知MAC地址的IP报文3.配置步骤# 配置统一安全网关的当前工作模式为透明模式。

<USG3000> system-view[USG3000] firewall mode transparent这里会要求你重新启动，选择Yes重新启动即可。

# 将接口加入安全区域。

[USG3000] firewall zone trust[USG3000-zone-trust] add interface GigabitEthernet 0/0[USG3000-zone-trust] quit[USG3000] firewall zone untrust[USG3000-zone-untrust] add interface GigabitEthernet 0/1[USG3000-zone-untrust] quit# 配置统一安全网关域间过滤规则。

[USG3000] firewall packet-filter default permit interzone trust untrust# 配置统一安全网关的系统IP地址，以达到通过Telnet配置管理统一安全网关的目的。

[USG3000] firewall system-ip 202.106.100.1 255.255.255.0# 配置统一安全网关透明模式下对未知MAC地址的IP报文的处理方式为在除接收接口外的其他所有接口上进行转发。

[USG3000] firewall unknown-mac broadcast flood。

配置防火墙透明模式

项目名称：配置防火墙透明模式学习目标：了解什么是透明网络模式掌握防火墙透明模式的配置及应用学习情境：透明模式即相当于防火墙工作于透明网桥模式。

防火墙的各个安全区域均为同一网段当中。

在实际应用网络中，无需变动网络的拓扑结构，广泛应用大量原有网络的安全升级项目。

教学设备：防火墙设备一台Console 线一条交叉线两条PC 机两台拓扑结构：一、基本操作训练（CLI 模式下完成下列操作，本部分操作与拓扑图无关）1、为eth1口设置IP 地址（10.1.1.1/24）；2、定义area-eth1区域；3、定义管理主机（manager-host ）地址10.1.1.10；2、为eth1口设置管理方式，允许管理主机从eth1口以telnet 的方式登录防火墙。

二、防火墙备份与恢复操作（本部分操作与拓扑图无关）2 50 . 1 . 1 . 2 / 24 Eth 50 . 1 . 1 .3 / 24 50 . 1 . 1 . 1 / 241、下载防火墙保存配置文件2、下载防火墙运行配置文件3、上传防火墙保存配置文件三、防火墙透明模式配置实践操作（参照拓扑图，在CLI模式下完成下列操作）1、创建VLANTopsecOS# network vlan add id 102、配置VLAN地址TopsecOS# network interface vlan.10 ip add 50.1.1.1 mask 255.255.255.03、激活VLANTopsecOS# network interface eth1 switchportTopsecOS# network interface eth1 switchport mode accessTopsecOS# network interface eth1 switchport access-vlan 10TopsecOS# network interface eth1 no shutdownTopsecOS# network interface eth2 switchportTopsecOS# network interface eth2 switchport mode accessTopsecOS# network interface eth2 switchport access-vlan 10TopsecOS# network interface eth2 no shutdown结果及验证：可以通过两台PC互ping进行测试和验证，如可连通对方，说明配置正确。