防火墙透明模式配置(二层模式)

防火墙透明模式典型配置举例防火墙透明模式是一种常见的网络安全配置，它允许防火墙在网络上作为透明的桥接设备，无需修改网络设备的IP地址和配置，对所有网络流量进行过滤和监控。

本文将以一个典型的企业网络环境为例，详细介绍防火墙透明模式的配置。

1.网络拓扑假设企业网络中有一个内部局域网（LAN）和一个外部网络（WAN），分别连接到防火墙的两个接口。

内部局域网的网段为192.168.0.0/24，防火墙的局域网接口IP地址为192.168.0.1；外部网络的网段为202.100.100.0/24，防火墙的广域网接口IP地址为202.100.100.1、防火墙的透明模式设置在两个接口之间。

2.配置步骤（1）配置局域网接口IP地址：登录防火墙管理界面，在网络设置中找到局域网接口，设置IP地址为192.168.0.1，子网掩码为255.255.255.0。

这样，防火墙就可以与内部网络通信。

（2）配置广域网接口IP地址：同样在网络设置中找到广域网接口，设置IP地址为202.100.100.1，子网掩码为255.255.255.0。

这样，防火墙就可以与外部网络通信。

（3）配置透明模式：在防火墙的透明模式设置中，将局域网接口和广域网接口进行桥接。

在桥接配置中，选择透明模式，并将局域网接口和广域网接口绑定在一个桥接组中。

（4）配置ACL（访问控制列表）：通过ACL可以定义防火墙的过滤规则，控制允许和禁止的流量。

例如，可以设置允许内部网络对外访问的规则，禁止特定IP地址的访问规则等。

在防火墙管理界面的策略设置中，创建相应的ACL规则。

（5）配置NAT（网络地址转换）：NAT可以将内部网络的私有IP地址映射为公共IP地址，实现内部网络对外部网络的访问。

在防火墙的NAT设置中，配置相应的NAT规则。

（6）配置日志功能：在防火墙中启用日志功能，记录所有的网络流量和安全事件。

可以将日志信息发送到指定的日志服务器，方便网络管理员进行监控和分析。

Netscreen防火墙透明模式配置案例防火墙的透明模式即防火墙内网和外网不设三层IP地址，不做路由或者地址转换，只有设置管理IP。

一般在现有复杂网络添加防火墙时采用。

接口为透明模式时，NetScreen 设备过滤通过防火墙的封包，而不会修改 IP 封包包头中的任何源或目的地信息。

所有接口运行起来都像是同一网络中的一部分，而NetScreen 设备的作用更像是Layer 2（第 2 层）交换机或桥接器。

在透明模式下，接口的 IP 地址被设置为 0.0.0.0，使得 NetScreen 设备对于用户来说是可视或“透明”的。

实例：透明模式Netscreen 25ethent0 V1－Trust zone IP：0.0.0.0/0ethent3 V1－Untrust zone IP：0.0.0.0/0gateway:192.168.10.253LAN:192.168.10.0/24FTP 服务器:192.168.10.250/24邮件服务器:192.168.10.249/24VLAN1 IP:192.168.10.252/24 端口 5555透明模式的 NetScreen 设备保护的单独 LAN 的基本配置。

策略允许V1-Trust 区段中所有主机的外向信息流、邮件服务器的内向 SMTP 服务，以及 FTP 服务器的内向 FTP-Get 服务。

为了提高管理信息流的安全性，将 WebUI 管理的 HTTP 端口号从 80 改为 5555，将 CLI 管理的 Telnet 端口号从 23改为 5555。

使用 VLAN1 IP 地址192.168.10.252/24 来管理 V1-Trust 安全区段的设备。

也可配置到外部路由器的缺省路由（于192.168.10.253 处），以便 NetScreen 设备能向其发送出站 VPN 信息流。

V1-Trust 区段中所有设备的缺省网关也是 192.168.10.253。

透明模式防火墙在防火墙系统7.0及其后续版本中，引入了用安全网桥模式作为二层设备来部署安全设备的方法，以此提供从第2层到第7层的丰富防火墙服务。

在透明模式下，安全设备会以"额外添加设备（bump in the wire ）"的形式存在，而不会被计算进路由的跳数中。

因此也就不需要对IP网络（第3层地址方案）重新进行设计。

安全设备的内部接口和外部接口连接在同一个网络（IP子网）中。

如果这个内部接口和外部接口连接在同一台交换机上的话，就要把它们放在不同的二层网络中（可以给这两个接口分配不同的VLAN号，或者用不同的交换机连接它们）。

这样做可以从本质上把网络分成两个二层网段，安全设备位于这两个网段之间充当网桥，而网络的第3层结构则没有发生变化。

客户只能被连接到两台相互分离的交换机之一（而无法以任何方式与另一台相连）。

图6-3对此作出了进一步的说明。

即使防火墙处于网桥模式中，仍然需要对其配置ACL来对穿越防火墙的三层流量实施控制和放行。

但ARP流量除外，它不需要使用ACL来匹配，因为它可以用防火墙的ARP监控功能（ARP inspection）进行控制。

透明模式不能为穿越设备的流量提供IP路由功能，因为它处于网桥模式中。

静态路由是用来为这台设备始发流量服务的，不适用于穿越这台设备的流量。

不过，只要防火墙的ACL 有相应的匹配条目，那么IP路由协议数据包是可以通过这个防火墙的。

OSPF、RIP、EIGRP、BGP都可以穿越透明模式的防火墙建立临接关系。

当防火墙运行在透明模式时，它仍然对数据进行状态化监控和应用层检测，它也仍然可以实现所有普通防火墙的功能，比如NA T。

配置NA T可以在防火墙系统8.0及后续版本中实现，在此之前的版本中，则不支持在透明模式下实现NA T的功能。

出站数据包要从哪个接口转发出去是通过防火墙查询MAC地址，而不是路由表实现的。

透明模式下的防火墙只有一个IP地址必须配置，那就是管理IP。

4.2 防火墙透明工作模式的配置前置知识:防火墙的透明工作模式，相当于防火墙端口工作于透明网桥模式，即防火墙的各个端口所连接的计算机均处于同一IP子网中，但不同接口之间的计算机的访问要受安全规则的制约。

因此这对内部网络中需要对某些计算机采取强化控制措施时是很用的。

这是对网络变动最少的接入控制方法，广泛应用于原来网络的安全升级中，而原有的拓扑只要稍加改动即可。

实验目的1.了解什么是防火的透明工作模式2.掌握防火墙透明工作模式的配置方法，并在防火墙中设置简单规则以实现对外部设备访问的控制实验器材1.DCFW-1800S-K/VPN防火墙一台2.交叉网线两根3.PC机两台实验拓扑及规划试验步骤1.给防火墙LAN(if1)接口设置IP地址及添加管理机地址在命令行方式下利用admin用户登录到防火墙，执行如下操作：# ifconfig if1 192.168.100.100/24# ifconfig if1 192.168.100.100/24# adminhost add 192.168.100.101# apply# save做了如上修改之后，修改本地计算机的“测试”网卡地址为“192.168.100.101”，并启动浏览器、用admin用户登录到防火墙。

2. 进入网桥设置主界面选择“首页”|“系统”|“网桥设置”命令，如图1所示：图1 网桥设置界面3．启用网桥单击图1中“网桥设备”中的“bridge0”右边的“修改”按钮，进入如图2所示的界面，选中“修改网桥设置”选项卡，随后选中“启用”复选框，以启用网桥。

图2 启用网桥设置4．向网桥中添加接口选中“网桥bridege0接口设置”选项卡，如图3所示。

图3启用网桥设置单击“新增”按钮，将if0和if1接口加入bridge0，完成后的界面如图4所示。

图4 向bridge0中加入接口而后选“修改网桥设置”选项卡，回到图25所示界面，单击“确定”按钮，回到主界面，如图5所示，为使设置生效，依次单击“应用”和“保存”按钮。

透明网桥模式防火墙配置透明网桥模式是一种常用于防火墙配置的网络架构。

它能够提供更高的灵活性和可配置性，并且可以无缝地集成到现有的网络环境中。

在这种模式下，防火墙实际上是一个透明的设备，不需要对网络中的其他设备进行任何的配置更改。

下面是一个基于透明网桥模式的防火墙配置的示例，重点介绍了一些重要的配置步骤和注意事项。

1.网络拓扑规划：首先需要规划网络拓扑，确定防火墙的位置和连接方式。

在透明网桥模式下，防火墙通常被放置在内部网络和外部网络之间的物理链路上，作为网络流量的桥接点。

2.配置防火墙：根据网络拓扑规划，为防火墙配置IP地址和其他必要的网络参数。

确保防火墙的固件和软件是最新的，并配置相关的安全策略。

3.物理连接：将防火墙的内部接口和外部接口分别连接到内部网络和外部网络上的交换机或路由器。

确保连接线路正常并且连接稳定。

4.IP地址分配：为防火墙的内部接口和外部接口分别分配独立的IP地址。

确保内部和外部接口的IP地址是在不同的网络段中，并且与已有设备的IP地址不冲突。

5.配置透明网桥：在防火墙上配置透明网桥，并指定内部接口和外部接口。

透明网桥将内部网络和外部网络桥接起来，实现数据的透明传输。

配置透明网桥时需要注意避免造成网络环路。

6.安全策略配置：配置防火墙的安全策略，包括访问控制列表（ACL）、入侵检测和防御系统（IDS/IPS）等。

根据实际需求和网络环境，制定和实施相应的安全策略，确保网络安全。

7.流量监控和日志记录：配置防火墙的流量监控和日志记录功能，可以实时和事后审计网络流量，并及时发现和处理潜在的安全威胁。

8.测试和优化：在配置完成后，进行测试验证防火墙的功能和性能。

通过对网络流量和安全策略的实际测试，发现和解决可能存在的问题，并进行必要的优化。

透明网桥模式的防火墙配置需要在网络规划、物理连接、IP地址分配、透明网桥配置、安全策略配置、流量监控、日志记录以及测试和优化等方面进行细致的配置和调整。

华为防火墙的使用手册摘要：一、华为防火墙简介1.防火墙工作模式2.防火墙功能与应用二、华为防火墙配置指南1.基本配置与IP编址2.路由模式配置3.透明模式配置4.混合模式配置三、华为防火墙实用技巧1.拨号连接配置2.VPN配置3.访问控制列表配置4.防病毒和入侵检测配置四、华为防火墙故障排除1.常见故障及解决方法2.故障排查流程正文：一、华为防火墙简介华为防火墙作为一种安全设备，广泛应用于各种网络环境中。

它起到隔离网络的作用，防止外部攻击和数据泄露。

华为防火墙有三种工作模式：路由模式、透明模式和混合模式。

1.防火墙工作模式（1）路由模式：当防火墙连接的网络接口配置了IP地址时，防火墙工作在路由模式。

在此模式下，防火墙首先作为一台路由器，然后提供其他防火墙功能。

（2）透明模式：防火墙在这种模式下不干预网络流量，仅作为物理设备存在，适用于需要隔离网络的场景。

（3）混合模式：该模式结合了路由模式和透明模式，可以根据网络需求进行灵活配置。

2.防火墙功能与应用华为防火墙具备丰富的功能，包括：（1）防火墙：防止外部攻击和入侵，保障网络安全。

（2）VPN：实现远程办公和数据加密传输。

（3）流量控制：优化网络带宽利用率，保证关键业务优先运行。

（4）访问控制：根据需求设置允许或拒绝特定IP地址、协议、端口的访问。

（5）防病毒和入侵检测：实时监测网络流量，防止病毒和恶意行为。

二、华为防火墙配置指南1.基本配置与IP编址（1）给防火墙配置管理接口IP地址，例如：192.168.0.124。

（2）为防火墙的接口分配不同的IP地址，根据实际网络拓扑进行配置。

2.路由模式配置（1）进入路由模式，设置相关接口的IP地址。

（2）配置路由协议，如OSPF、BGP等。

（3）设置路由策略，优化网络路由。

3.透明模式配置（1）将防火墙调整为透明模式。

（2）根据需求，配置透明模式下的接口属性。

4.混合模式配置（1）结合路由模式和透明模式进行配置。

透明防火墙是二层防火墙技术，1.只能有两个接口，2.如果两个接口都接交换机，两个接口必须要化到不同的vlan 中3.支持多模式防火墙透明防火墙注意事项1.三层流量需要内外明确放行（ospf,eigrp）2.直连的网络必须要在相同的子网内部3.必须要配置网管IP4.网管IP必须要和内外的网段相同5.网管IP不能够当作网关来使用6.可以指定一个特定接口抵达的IP为默认网关，这条路由只起到网管作用7.每一个接口必须在不同的vlan8.所有的流量都可以通过extended access-list (ACL)（for ip traffic）或者ethertype acl(for no ip traffic)来放行9ARP是不需要放行就可以穿越的，但是你也可以通过ARP inspection 这个技术来控制，CDP 是无法穿越的。

初始化一个透明防火墙：1.firewall transparent。

切换回路由模式：1.clear config all2.no firewall transparent2.ip address 202.100.1.100--必须要是相连路由器接口的地址段的没有被使用的地址3.接口在不同的vlan4.access-list out permit icmp any anyaccess group out in interface outside--监控icmp。

二层列表二层协议除ARP以外是默认不过的，如果放行，两边必须都要放行才可以access-list ETHER ethertype permit ipxaccess-group ETHER in interface insideaccess-group ETHER in interface outsidepppoe放行access-list l2acl ethertype permit 0x8863access-list l2acl ethertype permit 0x8864access-group l2acl in in outsideaccess-group l2acl in in inside二层列表中最后如果出现明文的deny any----就是干掉所有的二层三层的流量permit any--就是放行所有的二层三层流量。

【电脑知识】：防火墙的三种工作模式是什么？今天小编为大家带来的是关于防火墙的三种工作模式介绍，下面我们一起来看看吧!防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。

如果防火墙以第三层对外连接(接口具有IP 地址)，则认为防火墙工作在路由模式下;若防火墙通过第二层对外连接(接口无IP 地址)，则防火墙工作在透明模式下;若防火墙同时具有工作在路由模式和透明模式的接口(某些接口具有IP 地址，某些接口无IP 地址)，则防火墙工作在混合模式下。

防火墙三种工作模式的简介1、路由模式当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址，重新规划原有的网络拓扑，此时相当于一台路由器。

如下图所示，防火墙的Trust区域接口与公司内部网络相连，Untrust 区域接口与外部网络相连。

值得注意的是，Trust 区域接口和Untrust 区域接口分别处于两个不同的子网中。

采用路由模式时，可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。

然而，路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、路由器需要更改路由配置等)，这是一件相当费事的工作，因此在使用该模式时需权衡利弊。

2. 透明模式如果防火墙采用透明模式进行工作，则可以避免改变拓扑结构造成的麻烦，此时防火墙对于子网用户和路由器来说是完全透明的。

也就是说，用户完全感觉不到防火墙的存在。

采用透明模式时，只需在网络中像放置网桥(bridge)一样插入该防火墙设备即可，无需修改任何已有的配置。

与路由模式相同，IP 报文同样经过相关的过滤检查(但是IP 报文中的源或目的地址不会改变)，内部网络用户依旧受到防火墙的保护。

防火墙透明模式的典型组网方式如下：如上图所示，防火墙的Trust 区域接口与公司内部网络相连，Untrust 区域接口与外部网络相连，需要注意的是内部网络和外部网络必须处于同一个子网。