防火墙透明工作模式的配置

4.2 防火墙透明工作模式的配置

前置知识:

防火墙的透明工作模式，相当于防火墙端口工作于透明网桥模式，即防火墙的各个端口所连接的计算机均处于同一IP子网中，但不同接口之间的计算机的访问要受安全规则的制约。因此这对内部网络中需要对某些计算机采取强化控制措施时是很用的。

这是对网络变动最少的接入控制方法，广泛应用于原来网络的安全升级中，而原有的拓扑只要稍加改动即可。

实验目的

1.了解什么是防火的透明工作模式

2.掌握防火墙透明工作模式的配置方法，并在防火墙中设置简单规则以实现对外部设

备访问的控制

实验器材

1.DCFW-1800S-K/VPN防火墙一台

2.交叉网线两根

3.PC机两台

实验拓扑及规划

试验步骤

1.给防火墙LAN(if1)接口设置IP地址及添加管理机地址

在命令行方式下利用admin用户登录到防火墙，执行如下操作：

# ifconfig if1 192.168.100.100/24

# ifconfig if1 192.168.100.100/24

# adminhost add 192.168.100.101

# apply

# save

做了如上修改之后，修改本地计算机的“测试”网卡地址为“192.168.100.101”，并启动浏览器、用admin用户登录到防火墙。

2. 进入网桥设置主界面

选择“首页”|“系统”|“网桥设置”命令，如图1所示：

图1 网桥设置界面

3．启用网桥

单击图1中“网桥设备”中的“bridge0”右边的“修改”按钮，进入如图2所示的界面，选中“修改网桥设置”选项卡，随后选中“启用”复选框，以启用网桥。

图2 启用网桥设置

4．向网桥中添加接口

选中“网桥bridege0接口设置”选项卡，如图3所示。

图3启用网桥设置

单击“新增”按钮，将if0和if1接口加入bridge0，完成后的界面如图4所示。

图4 向bridge0中加入接口

而后选“修改网桥设置”选项卡，回到图25所示界面，单击“确定”按钮，回到主界面，如图5所示，为使设置生效，依次单击“应用”和“保存”按钮。至此，网桥的配置工作完成。

图5 保存和应用所做的设置

4．配置网络对象和服务对象

在DCFW1800S-L/VPN防火墙中，在配置安全控制规则之前，必须首先定义一些列的网络对象和服务对象。

所谓的网络对象是指防火墙的安全控制规则所要作用到的网络节点或者是节点群（比如一个网段的计算机），一般表现为计算机和服务器对象。安全规则以网络对象为基本控制单位，根据安全规则的规定以决定是否允许网络对象访问某个或多个服务对象。

服务对象是指对网络提供的服务进行定义，如FTP、HTTP等服务，他们是网络对象对象所要使用的网络服务。DCFW1800S-L/VPN防火墙默认已经定义了常见的网络服务对象，基本上可以满足常规的应用需求，无须用户再次定义。

选择“首页”|“对象”|“网络对象”，系统已经内置定义了一些可信区域、非可信区域、DMZ区及可信接口等网络对象，如图6所示。

图6系统内置的网络对象

本试验创建两个新的网络对象，对应两台试验用计算机。在图6中单击“新增”按钮，打开如图7所示窗口并填入相应的参数，该计算机连接在防火墙的LAN(if1)口所在的子网中，因此从“接口”下列别表中选择“if1:192.168.100.100”项目；因为该计算机是单一的网络对象，所以“IP/Maskbits”中的掩码填入值32。

图7 创建网络对象

单击“确定”按钮回到28所示界面，完成该网络对象的定义。重复上述步骤，创建第二个网络对象，完成后的情况如图8所示。

图8 定义两个网络对象

至此，网络对象的定义就完成了。

5.定义服务对象

选择“首页”|“对象”|“服务”|“服务对象”，可以看到系统内置定义的服务对象，如图9所示。

图9 系统内置的服务对象

系统内置了87个服务对象，几乎涵盖了所有的网络服务。如果用户使用的网络服务未包含其中，则可以通过“自定义服务对象”功能进行定义。

6．配置安全访问规则

选择“首页”|“策略”|“策略设置”，添加两条访问控制规则，如图10所示。

图10 添加两条访问控制规则

这两条访问控制规则的含义如下：

第1条：允许trust-PC ping untrust_PC的操作

第2条：不允许trust-PC ping untrust_PC的操作

这两条规则实际上限制了只能单项Ping通。

7.验证

PC1 ping PC2(即trust-PC ping untrust_PC)，操作结果如图11所示：

图11PC1 ping PC2

由上图可见PC1 是可以ping通PC2的，即防火墙允许该服务的数据包通过。由图12可见PC2 却是不可以ping通PC12的，可见防火墙不允许该方向的该服务的数据包通过。

图12 PC2 ping PC1

由以上两个步骤，测试的结果和理论分析相吻合。

思考题：

1 在透明网桥工作模式下，为if1配置网络接口的作用在那里？if2呢？

2 在透明网桥工作模式下DMZ接口是否可用，请设计实验来验证。

3 更改接口IP地址配置，测试针对其他服务的安全控制效果。