防火墙模式

实验V3防火墙透明模式（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图四、配置步骤基本配置1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2. 将防火墙加入到网络中，进行防火墙的基本配置3. 将防火墙转换成二层模式，保证内网运行正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustadd interface g1/0quitfirewall zone untrust //外网口加入untrustadd interface g2/0quit2、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1 //设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 //将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1 五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2 六、实验思考：1、当需要管理F1000-S防火墙时，我们需要登录bridge-template接口，请考虑这个时候对内网S3100交换机有什么特殊要求？1.3 附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP地址）interface Ethernet2/0（进入WAN口）promiscuous （配置为透明传输）quitinterface Ethernet1/0 （进入LAN口）promiscuous （配置为透明传输）quitfirewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）。

前言 3一、防火墙的概况、应用及功能 31.1 防火墙的定义 31.2防火墙的种类 41.2.2网络层防火墙 41.2.2应用层防火墙 41.2.3数据库防火墙 51.3 防火墙的功能 5二、使用设置 52.1使用习惯 62.1.1所有防火墙文件规则必须更改 62.1 .2以最小的权限安装所有的访问规则 62.1.3 根据法规协议和更改需求来校验每项防火墙的更改 62.1.4当服务过期后从防火墙规则中删除无用的规则 7 2.2配置 72.3工作模式 82.3.1 透明网桥模式 82.3.1.1适用环境 92.3.1.2组网实例 92.3.2 路由模式 102.3.2.1适用环境 112.3.2.2NAT（网络地址转换） 112.3.2.3组网实例 12三、总结 13一、前言随着计算机的日益发展，计算机早已深入到各个领域，计算机网络已无处不在。

而internet的飞速发展，使计算机网络资源共享进一步加强。

随之而来的安全问题也日益突出。

在人们对网络的优越性还没有完全接受的时候，黑客攻击开始肆虐全球的各大网站；而病毒制造者们也在各显其能，从CIH到爱虫．中毒者不计其数。

一般认为，计算机网络系统的安全威胁主要来自黑客的攻击、计算机病毒和拒绝服务攻击三个方面。

目前,人们也开始重视来自网络内部的安全威胁。

我们可以通过很多网络工具、设备和策略来为我们的网络提供安全防护。

其中防火墙是运用非常广泛和效果最好的选择。

然而购买了防火墙设备，却不是仅仅装上了硬件就能发挥作用的，而是需要根据你的网络结构和需求在合适的工作模式下配置相应的安全策略，才能满足你的安全需求。

由此引出的问题和解决办法就是本文的主要研究对象。

一、防火墙的概况、应用及功能1、防火墙的定义所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。

1. 2防火墙模块工作模式配置2. 2.1工作模式概述M8600-FW防火墙模块可以工作在路由模式或透明模式。

路由模式：该模式的防火墙模块可以让处于不同网段的设备通过路由转发的方式进行相互通信，IP报文到达防火墙业务模块后按路由模式进行转发（即按目的IP地址进行选路），缺省情况下为该模式。

透明模式：该模式的防火墙模块表现为一个透明网桥，它可以连接在IP地址属于同一子网的两个物理子网之间，报文在接口间进行转发时，需要根据报文的MAC 地址来寻找出接口。

在使用时，用户可以根据实际情况进行选择，让防火墙模块在透明模式和路由模式下进行切换。

3. 2.2理解路由模式4. 2.2.1路由模式概述缺省情况下防火墙模块工作在路由模式。

为了配置防火墙工作在路由模式，需要在交换机和防火墙模块上进行如下的配置。

◆交换机1)创建2个VLAN，把报文的入端口和出端口加入不同的VLAN2)配置交换机与防火墙模块相连接的2个万兆以太口为聚合口，工作在trunk模式，允许上述的VLAN通过◆防火墙模块1)配置防火墙工作模式为路由模式2)创建2个VLAN 接口，接口号分别对应于交换机的2个VLAN ID3)为2个VLAN 接口配置ip地址若要实现在多个VLAN 的任意两个VLAN 间进行三层转发，需要在交换机中创建多个VLAN，将防火墙保护的流量经过的各端口划分到各个独立的VLAN中，同时在防火墙创建多个对应的VLAN接口并配置IP地址。

5. 2.2.2路由模式配置2.2.2.1配置交换机下述为在交换机设备线卡端的配置：Step 1Step 2Step 3Step 4Step 5Step 6Step 7Step 8Step 9Step 10Step 11Step 12Step 13Step 14Step 15Step 16Step 172.2.2.2配置防火墙模块登录防火墙模块后进行下述配置，具体登录方法请见<href="Cap1.htm#_配置防火墙模块进行登录" target="b">“配置防火墙模块进行登录”一节说明。

4.2 防火墙透明工作模式的配置前置知识:防火墙的透明工作模式，相当于防火墙端口工作于透明网桥模式，即防火墙的各个端口所连接的计算机均处于同一IP子网中，但不同接口之间的计算机的访问要受安全规则的制约。

因此这对内部网络中需要对某些计算机采取强化控制措施时是很用的。

这是对网络变动最少的接入控制方法，广泛应用于原来网络的安全升级中，而原有的拓扑只要稍加改动即可。

实验目的1.了解什么是防火的透明工作模式2.掌握防火墙透明工作模式的配置方法，并在防火墙中设置简单规则以实现对外部设备访问的控制实验器材1.DCFW-1800S-K/VPN防火墙一台2.交叉网线两根3.PC机两台实验拓扑及规划试验步骤1.给防火墙LAN(if1)接口设置IP地址及添加管理机地址在命令行方式下利用admin用户登录到防火墙，执行如下操作：# ifconfig if1 192.168.100.100/24# ifconfig if1 192.168.100.100/24# adminhost add 192.168.100.101# apply# save做了如上修改之后，修改本地计算机的“测试”网卡地址为“192.168.100.101”，并启动浏览器、用admin用户登录到防火墙。

2. 进入网桥设置主界面选择“首页”|“系统”|“网桥设置”命令，如图1所示：图1 网桥设置界面3．启用网桥单击图1中“网桥设备”中的“bridge0”右边的“修改”按钮，进入如图2所示的界面，选中“修改网桥设置”选项卡，随后选中“启用”复选框，以启用网桥。

图2 启用网桥设置4．向网桥中添加接口选中“网桥bridege0接口设置”选项卡，如图3所示。

图3启用网桥设置单击“新增”按钮，将if0和if1接口加入bridge0，完成后的界面如图4所示。

图4 向bridge0中加入接口而后选“修改网桥设置”选项卡，回到图25所示界面，单击“确定”按钮，回到主界面，如图5所示，为使设置生效，依次单击“应用”和“保存”按钮。

华为防火墙的使用手册摘要：一、华为防火墙简介1.防火墙工作模式2.防火墙功能与应用二、华为防火墙配置指南1.基本配置与IP编址2.路由模式配置3.透明模式配置4.混合模式配置三、华为防火墙实用技巧1.拨号连接配置2.VPN配置3.访问控制列表配置4.防病毒和入侵检测配置四、华为防火墙故障排除1.常见故障及解决方法2.故障排查流程正文：一、华为防火墙简介华为防火墙作为一种安全设备，广泛应用于各种网络环境中。

它起到隔离网络的作用，防止外部攻击和数据泄露。

华为防火墙有三种工作模式：路由模式、透明模式和混合模式。

1.防火墙工作模式（1）路由模式：当防火墙连接的网络接口配置了IP地址时，防火墙工作在路由模式。

在此模式下，防火墙首先作为一台路由器，然后提供其他防火墙功能。

（2）透明模式：防火墙在这种模式下不干预网络流量，仅作为物理设备存在，适用于需要隔离网络的场景。

（3）混合模式：该模式结合了路由模式和透明模式，可以根据网络需求进行灵活配置。

2.防火墙功能与应用华为防火墙具备丰富的功能，包括：（1）防火墙：防止外部攻击和入侵，保障网络安全。

（2）VPN：实现远程办公和数据加密传输。

（3）流量控制：优化网络带宽利用率，保证关键业务优先运行。

（4）访问控制：根据需求设置允许或拒绝特定IP地址、协议、端口的访问。

（5）防病毒和入侵检测：实时监测网络流量，防止病毒和恶意行为。

二、华为防火墙配置指南1.基本配置与IP编址（1）给防火墙配置管理接口IP地址，例如：192.168.0.124。

（2）为防火墙的接口分配不同的IP地址，根据实际网络拓扑进行配置。

2.路由模式配置（1）进入路由模式，设置相关接口的IP地址。

（2）配置路由协议，如OSPF、BGP等。

（3）设置路由策略，优化网络路由。

3.透明模式配置（1）将防火墙调整为透明模式。

（2）根据需求，配置透明模式下的接口属性。

4.混合模式配置（1）结合路由模式和透明模式进行配置。

如何配置防火墙混合工作模式案例一：＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋注：缺省访问权限都允许的情况下，完成如下的配置即可具体的访问控制配置过程参考访问控制操作篇此环境中由路由器完成NAT（源地址转换）功能以实现共享上网＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋〖配置相应网口的工作模式以及IP地址〗TopsecOS# network interface eth0 no switchportTopsecOS# network interface eth0 ip add 192.168.7.165 mask 255.255.255.0 TopsecOS# network interface eth0 no shutdownTopsecOS# network interface eth1 switchportTopsecOS# network interface eth1 switchport mode accessTopsecOS# network interface eth1 switchport access-vlan 1TopsecOS# network interface eth1 no shutdownTopsecOS# network interface eth2 switchportTopsecOS# network interface eth2 switchport mode accessTopsecOS# network interface eth2 switchport access-vlan 1TopsecOS# network interface eth2 no shutdown配置完毕TopsecOS# network interface vlan.1 no shutdown配置完毕〖配置缺省路由〗TopsecOS# network route add dst 0.0.0.0/0 gw 192.168.7.1建议在此不要选择连接端口，让系统自动选择即可〖简单的配置各个网口区域的缺省策略后即可正常通讯〗TopsecOS# define area add name area_eth0 attribute 'eth0 ' access on TopsecOS# define area add name area_eth1 attribute 'eth1 ' access on TopsecOS# define area add name area_eth2 attribute 'eth2 ' access on++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++案例二：＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋注：缺省访问权限都允许的情况下，完成如下的配置即可具体的访问控制配置过程参考访问控制操作篇＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋〖配置相应网口的工作模式以及IP地址〗TopsecOS# network interface eth0 no switchportTopsecOS# network interface eth0 ip add 192.168.7.165 mask 255.255.255.0 TopsecOS# network interface eth0 no shutdownTopsecOS# network interface eth1 switchportTopsecOS# network interface eth1 switchport mode TrunkTopsecOS# network interface eth1 switchport trunk encapsulation dot1q TopsecOS# network interface eth1 switchport trunk native-vlan 1 TopsecOS# network interface eth1 switchport access-vlan 10TopsecOS# network interface eth1 switchport trunk allowed-vlan 1-1000 TopsecOS# network interface eth1 no shutdownTopsecOS# network interface eth2 switchportTopsecOS# network interface eth2 switchport mode accessTopsecOS# network interface eth2 switchport trunk encapsulation dot1q TopsecOS# network interface eth2 switchport trunk native-vlan 1 TopsecOS# network interface eth2 switchport access-vlan 30TopsecOS# network interface eth2 switchport trunk allowed-vlan 1-1000 TopsecOS# network interface eth2 no shutdownTopsecOS# network route add dst 0.0.0.0/0 gw 192.168.7.1〖简单的配置各个网口区域的缺省策略后即可正常通讯〗TopsecOS# define area add name area_eth0 attribute 'eth0 ' access on TopsecOS# define area add name area_eth1 attribute 'eth1 ' access on TopsecOS# define area add name area_eth2 attribute 'eth2 ' access on。

Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：① 基于TCP/IP协议三层的NAT模式；② 基于TCP/IP协议三层的路由模式；③ 基于二层协议的透明模式。

2.1、NAT模式当Juniper防火墙入口接口（内网端口）处于NAT模式时，防火墙Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：① 基于TCP/IP协议三层的NAT模式；② 基于TCP/IP协议三层的路由模式；③ 基于二层协议的透明模式。

2.1、NAT模式当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往Untrust 区（外网或者公网）的IP 数据包包头中的两个组件进行转换：源IP 地址和源端口号。

防火墙使用Untrust 区（外网或者公网）接口的IP 地址替换始发端主机的源IP 地址；同时使用由防火墙生成的任意端口号替换源端口号。

NAT模式应用的环境特征：① 注册IP地址（公网IP地址）的数量不足；2.2、Route-路由模式当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP 数据包包头中的源地址和端口号保持不变。

① 与NAT模式下不同，防火墙接口都处于路由模式时，不需要为了允许入站数据流到达某个主机而建立映射IP (MIP)和虚拟IP (VIP)地址；② 与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网中。

路由模式应用的环境特征：① 注册IP（公网IP地址）的数量较多；② 非注册IP地址（私网IP地址）的数量与注册IP地址（公网IP地址）的数量相当；③ 防火墙完全在内网中部署应用。

2.3、透明模式当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改IP数据包包头中的任何信息。

防火墙的作用更像是处于同一VLAN 的2层交换机或者桥接器，防火墙对于用户来说是透明的。

防火墙工作模式防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。

如果防火墙以第三层对外连接（接口具有IP地址），则认为防火墙工作在路由模式下；若防火墙通过第二层对外连接（接口无IP地址），则防火墙工作在透明模式下；若防火墙同时具有工作在路由模式和透明模式的接口（某些接口具有IP地址，某些接口无IP地址），则防火墙工作在混合模式下。

一、防火墙三种工作模式的简介1、路由模式当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别配置成不同网段的IP地址，重新规划原有的网络拓扑，此时相当于一台路由器。

如下图所示，防火墙的Trust区域接口与公司内部网络相连，Untrust区域接口与外部网络相连。

值得注意的是，Trust区域接口和Untrust区域接口分别处于两个不同的子网中。

采用路由模式时，可以完成ACL包过滤、ASPF动态过滤、NAT转换等功能。

然而，路由模式需要对网络拓扑进行修改（内部网络用户需要更改网关、路由器需要更改路由配置等），这是一件相当费事的工作，因此在使用该模式时需权衡利弊。

2.透明模式如果防火墙采用透明模式进行工作，则可以避免改变拓扑结构造成的麻烦，此时防火墙对于子网用户和路由器来说是完全透明的。

也就是说，用户完全感觉不到防火墙的存在。

采用透明模式时，只需在网络中像放置网桥（bridge）一样插入该防火墙设备即可，无需修改任何已有的配置。

与路由模式相同，IP报文同样经过相关的过滤检查（但是IP报文中的源或目的地址不会改变），内部网络用户依旧受到防火墙的保护。

防火墙透明模式的典型组网方式如下：如上图所示，防火墙的Trust区域接口与内部网络相连，Untrust区域接口与外部网络相连，需要注意的是内部网络和外部网络必须处于同一个子网。

3.混合模式如果防火墙既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口无IP地址），则防火墙工作在混合模式下。

防火墙三种部署模式及基本配置Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：① 基于TCP/IP协议三层的NAT模式；② 基于TCP/IP协议三层的路由模式；③ 基于二层协议的透明模式。

2.1、NAT模式当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往Untrust 区（外网或者公网）的IP 数据包包头中的两个组件进行转换：源 IP 地址和源端口号。

防火墙使用 Untrust 区（外网或者公网）接口的 IP 地址替换始发端主机的源IP 地址；同时使用由防火墙生成的任意端口号替换源端口号。

NAT模式应用的环境特征：① 注册IP地址（公网IP地址）的数量不足；② 内部网络使用大量的非注册IP地址（私网IP地址）需要合法访问Internet；③ 内部网络中有需要外显并对外提供服务的服务器。

2.2、Route-路由模式当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP 数据包包头中的源地址和端口号保持不变。

① 与NAT模式下不同，防火墙接口都处于路由模式时，不需要为了允许入站数据流到达某个主机而建立映射 IP (MIP) 和虚拟 IP (VIP) 地址；② 与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网中。

路由模式应用的环境特征：① 注册IP（公网IP地址）的数量较多；② 非注册IP地址（私网IP地址）的数量与注册IP地址（公网IP地址）的数量相当；③ 防火墙完全在内网中部署应用。

2.3、透明模式当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改 IP数据包包头中的任何信息。

防火墙的作用更像是处于同一VLAN 的2 层交换机或者桥接器，防火墙对于用户来说是透明的。

透明模式是一种保护内部网络从不可信源接收信息流的方便手段。

防火墙旁挂模式部署1.概述网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障，是最先受到人们重视的网络安全技术，就其产品的主流趋势而言，大多数代理服务器(也称应用网关)也集成了包滤技术，这两种技术的混合应用显然比单独使用更具有大的优势。

那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部internet 的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(vlan),则应该在各个vlan之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网()。

加装防火墙的基本原则就是:只要存有蓄意入侵的可能将,无论是内部网络还是与外部公网的连接处,都必须加装防火墙。

2.防火墙的选择挑选防火墙的标准存有很多,但最重要的就是以下几条:2.1.总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(tco)不应该超过受保护网络系统可能遭受最大损失的成本。

以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。

当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。

如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。

2.2.防火墙本身就是安全的作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。

如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。

通常,防火墙的安全性问题源自两个方面:其一就是防火墙本身的设计与否合理,这类问题通常用户显然难以抓起,只有通过权威认证机构的全面测试就可以确认。

所以对用户来说,激进的方法就是挑选一个通过多家权威认证机构测试的产品。

防⽕墙路由模式和NAT配置应⽤场景：在⽹络的边界，如出⼝区域，在内⽹和外⽹之间增加防⽕墙设备，采⽤路由模式对局域⽹的整⽹进⾏保护。

路由模式⼀般不单独使⽤，⼀般会有以下功能的配合，如在内外⽹之间配置灵活的安全策略，或者是进⾏NAT内⽹地址转换。

功能原理：简介路由模式指的是交换机和防⽕墙卡之间采⽤互为下⼀跳指路由的⽅式通信优点能够⽀持三层⽹络设备的多种功能，NAT、动态路由、策略路由、VRRP等能够通过VRRP多组的⽅式实现多张防⽕墙卡的冗余和负载分担缺点不能转发IPv6和组播包部署到已实施⽹络中需要重新改动原有地址和路由规划⼀、组⽹要求1、在⽹络出⼝位置部署防⽕墙卡，插在核⼼交换机的3号槽位，通过防⽕墙卡区分内外⽹，外⽹接⼝有两个ISP出⼝；2、在防⽕墙上做NAT配置，内⽹⽤户上外⽹使⽤私有地址段；⼆、组⽹拓扑三、配置要点要点1，配置防⽕墙创建互联的三层接⼝，并指定IP地址配置动态路由或静态路由创建作为NAT Outside的VLAN接⼝并指定IP配置NAT转换关系配置NAT⽇志要点2，配置交换机创建连接NAT Outside线路的VLAN并指定物理接⼝创建互联到防⽕墙的三层接⼝通过互联到防⽕墙的三层接⼝配置动态路由或静态路由四、配置步骤注意：步骤⼀、将交换机按照客户的业务需要配置完成，并将防⽕墙卡和交换机联通,并对防⽕墙卡进⾏初始化配置。

1）配置防⽕墙模块与PC的连通性：配置防⽕墙卡和交换机互联端⼝，可以⽤于防⽕墙的管理。

Firewall>enable ------>进⼊特权模式Firewall#configure terminal ------>进⼊全局配置模式Firewall(config)#interface vlan 4000 ------>进⼊vlan 4000接⼝FW1(config-if-Vlan 4000)#ip address 10.0.0.1 255.255.255.252------>为vlan 4000接⼝上互联IP地址Firewall(config-if)#exit ------>退回到全局配置模式Firewall(config)#firewall default-policy-permit ------>10.3（4b5）系列版本的命令ip session acl-filter-default-permit，10.3（4b6）命令变更为 firewall default-policy-permit 防⽕墙接⼝下没有应⽤ACL时或配置的ACL在最后没有Permit any则默认会丢弃所有包，配置以下命令可修改为默认转发所有包2）防⽕墙配置路由模式，交换机与防⽕墙联通配置。

普通网络环境防火墙配置透明模式题记：大多数的防火墙或者说是UTM部署的模式有路由模式，网桥模式，混杂模式，配置最核心的也就是写规则，一个好的规则会使得内部网络的安全性得到较大的改善，当然如果是UTM可能还会附加上一些其他的安全组件，例如见的最多的就是AV防病毒组件，IPS组件，anti-spam反垃圾邮件组件等，有的还有一些上网行为管理（比较薄弱），VPN等组件，本次主要是以启明星辰的USG系列设备的常见部署模式进行配置说明，其他的厂商的防火墙配置内容都是大同小异，掌握一家的其他的自然也就很容易上手，学习就要善于总结归纳，将有共同点的知识技能归纳，做到一劳多得！！实验环境：1、防火墙工作在桥模式。

2、防火墙的eth2 和eth3 加入网桥组1（BVI1）。

网桥组1 配置防火墙管理IP：192.168.0.249/243、eth2 接口连接课桌上的网线口(如A1-1)通过交换机与网络相连，网关为192.168.0.1.4、eth3 直接与主机相连，主机IP 设为192.168.0.5实验拓扑：通过下面的简单操作，用户可以快速地安装配置好一台防火墙，并且，防火墙内部网的机器能够直接访问internet。

网络拓扑如下图所示：实验步骤如下：1.进入“网络设置-接口-透明桥”点击“新建”。

在桥名称中填入“BVI1”，桥组号中填入“1”，接口列表中选择“eth2”和“eth3”。

为便于对防火墙的管理可以将“管理访问”下的选项全部选择。

因为“eth2”和“eth3”使用的是桥模式，所以桥的IP 地址和掩码可以不配。

因为是透明桥模式，所以配置的IP 和掩码：192.168.0.249/24，是用于管理防火墙的IP，对网络没有什么影响。

参数配置完毕后，点击“提交”。

点击右上角图标保存配置。

2.进入“网络设置》基本配置缺省网关”点击“新建”添加网关。

提交并保存3.进入“防火墙》安全策略”点击“新建”，配置eth3 到eth2 的“全通”安全策略。

H3C 防火墙二层模式配置案例H3C 的防火墙有两种二层模式的配置方法，老版本支持的叫透明模式，新版本的叫桥接模式，配置命令不一样，但效果一致，下面为两种方法配置案例，请参考：systemfirewall packet-filter enablefirewall packet-filter default permitfirewall zone trustadd interface e1/0 //将内网口和外网口都要加入区域,加入的端口请按您实际的情况加入,例子中的不能为准add interface e2/0add interface e3/0quit bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1 //设置管理地址,要是没有,可以不设置ip address 管理IP 地址 quitint e1/0 //将接口加入桥组 bridge-set 1quitint e2/0bridge-set 1quitint e3/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 管理地址的下一跳 //管理IP 的路由,若无可以不加 saveU n R e g i s t e r e d透明模式：system-view （进入系统模式）firewall packet-filter enable （开起防火墙功能）firewall packet-filter default permit（配置防火墙默认规则）firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP 地址） interface Ethernet2/0（进入WAN 口）promiscuous （配置为透明传输） interface Ethernet1/0 （进入LAN 口）promiscuous （配置为透明传输） firewall zone trust（进入区域） add interface e2/0（把WAN 口加入该区域）add interface e1/0（把LAN 口加入该区域）如果防火墙上行有DHCP 服务器的话，需要配置，系统视图：firewall unknown-mac flood （未知MAC 泛洪） bridge 1 firewall unknown-mac floodU n R e g i s t e r e d。

路由器的工作模式有路由模式和透明模式；防火墙的工作模式有路由模式、透明模式、混合模式。

NATNAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。

顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。

简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共IP地址紧缺的问题。

通过这种方法，您可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。

这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。

如图2所示。

这里提到的内部地址，是指在内部网络中分配给节点的私有IP地址，这个地址只能在内部网络中使用，不能被路由（路由就是指通过相互连接的网络把信息从源地点移动到目标地点的活动。

一种网络技术，可以实现不同路径的转发）。

虽然内部地址可以随机挑选，但是通常使用的是下面的地址：10.0.0.0~10.255.255.255，172.16.0.0~172.16.255.255，192.168.0.0~192.168.255.255。

NAT将这些无法在互联网上使用的保留IP地址翻译成可以在互联网上使用的合法IP地址。

而全局地址，是指合法的IP地址，它是由NIC（网络信息中心）或者ISP(网络服务提供商)分配的地址，对外代表一个或多个内部局部地址，是全球统一的可寻址的地址。

win10防火墙严格模式
方法/步骤1
1、首先右击"网络"图标，在单击“属性”。

2、单击”windows防火墙"。

3、在单击“启用或关闭windows防火墙"。

4、选择”关windows防火墙(不推荐)。

在单击“确定就可以完成了。

方法/步骤2
1. 第二种方法有双击“控制面板”。

2.单击“windows 防火墙”。

3.单击“启用或关闭windows 防火墙”。

4.在选择“关闭windows 防火墙(不推荐)”。

win10下如何设置防火墙允许程序通信
工具/原料
电脑、Windows10系统
方法/步骤
第一步：在桌面上找到控制面板，并双击。

新装的系统如果桌面上没有控制面板，可以在桌面空白处右键“个性化”-“主题”-“桌面图标”-“控制面板”-“确定”就可以了。

第二步：点击“查看方式”-“大图标”，然后找到“Windows防火墙”并点击。

第三步：在打开的窗口左侧可以看到“允许应用或功能通过Windows防火墙"，并点击。

在这里也可以看到其他相关设置，比如”启用或关闭windows防火墙“
第四步：点击右侧的“更改设置”。

此时方框里的选项由灰色变成可以修改的，这样你就可以通过勾选程序前面的复选框来启用或者关闭该程序的通信功能。

勾选好程序后，要点击下面的“确定”来保存你的设置，使设置生效。