防火牆配置——透明模式混合模式

導讀：

這篇文章主要為大家介紹瞭如何進行防火牆配置，需要的朋友可以參考下。

透明模式配置

– 網路拓撲 –

– 需求描述 –

1、防火牆 eth6 介面和 eth7 介面配置為透明模式；

2、eth6 與 eth7 同屬一個虛擬橋接組，eth6 屬於 l2-trust 安全域，eth7 屬於 l2-untrust 安全域；

3、為虛擬橋接組 Vswitch1 配置 ip 地址以便管理防火牆；

4、允許網段 A ping網段 B 及訪問網段 B 的 WEB 服務。

– 配置步驟 –

第一步：配置介面

將 eth6 介面加入二層安全域 l2-trust

DCFW-1800（config）# interface ethernet0/6

DCFW-1800（config-if-eth0/6）# zone l2-trust

將 eth7 介面設定成二層安全域 l2-untrust

第二步：配置虛擬交換機（Vswitch）

如果沒有單獨介面做管理的話，可以先使用控制線透過控制口登陸下防火牆在命令下：

DCFW-1800（config）# interface vswitchif1

DCFW-1800（config-if-vsw1）# zone trust

DCFW-1800（config-if-vsw1）# ip address 192。168。1。254/24

DCFW-1800（config-if-vsw1）# manage ping

DCFW-1800（config-if-vsw1）# manage https

當然也可以在防火牆上單獨使用一個介面做管理，透過該介面登陸到防火牆在 Web 下進行配置

第三步：新增物件

定義地址物件

定義網段 A （192。168。1。1 – 192。168。1。100）

定義網段 B （192。168。1。101 – 192。168。1。200）

要求允許網段 Aping網段 B 及訪問網段 B 的 WEB 服務，在這裡我們將 ping 和 http 服務建立一個服務組。

第四步：配置安全策略

在 “ 安 全 ”->“ 策 略 ” 中 選 擇 好 “ 源 安 全 域 ” 和 “ 目 的 安 全 域 ” 後 ， 新 建

混合模式配置

– 網路拓撲 –

– 需求描述 –

1、將 eth0 口設定成路由介面，eth6 和 eth7 口設定成二層介面。並設定 Vswitch 介面；

2、設定源 NAT 策略；

3、配置安全策略。

– 配置步驟 –

1、設定內網口地址，設定 eth0 口為內網口地址為 192。168。1。1/24。

2、設定外網口，eth6 口連線外網，將 eth6 口設定成二層安全域 l2-untrust。

3、 設定伺服器介面，將 eth7 口設定成 l2-dmz 安全域，連線伺服器。

第二步：配置Vswitch介面

由於二層安全域介面不能設定地址，需要將地址設定在網橋介面上，該網橋介面即為Vswitch

第三步：設定SNAT策略

針對內網所有地址我們在防火牆上設定源 NAT，內網 PC 在訪問外網時，資料包凡是從 Vswitch 接口出去的資料包都做地址轉換，轉換地址為 Vswitch 介面地址。

第四步：新增路由

要建立一條到外網的預設路由，如果內網有三層交換機的話還需要建立到內網的回指路由。

第五步：設定地址簿

在放行安全策略時，我們需要選擇相應的地址和服務進行放行，所以這裡首先要建立服 務器的地址簿。在建立地址簿時，如果是建立的伺服器屬單個 ip，建議使用 IP 成員方式的 話，掩碼一定要寫 32 位。

第六步：放行策略

放行策略時，首先要保證內網能夠訪問到外網。應該放行內網口所屬安全域到 Vswitch介面所屬安全域的安全策略，應該是從 trust 到 untrust。

另 外 還 要 保 證 外 網 能 夠 訪 問 Web_server ， 該 服 務 器 的 網 關 地 址 設 置 為 ISP 網 關218。240。143。1 那需要放行二層安全之前的安全策略，應該是放行 l2-untrust 到 l2-dmz 策略。

關注微信公眾號：安徽思恆資訊科技有限公司,瞭解更多技術內容……