联想网御强五防火墙透明模式设置

实验V3防火墙透明模式（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图四、配置步骤基本配置1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2. 将防火墙加入到网络中，进行防火墙的基本配置3. 将防火墙转换成二层模式，保证内网运行正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustadd interface g1/0quitfirewall zone untrust //外网口加入untrustadd interface g2/0quit2、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1 //设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 //将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1 五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2 六、实验思考：1、当需要管理F1000-S防火墙时，我们需要登录bridge-template接口，请考虑这个时候对内网S3100交换机有什么特殊要求？1.3 附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP地址）interface Ethernet2/0（进入WAN口）promiscuous （配置为透明传输）quitinterface Ethernet1/0 （进入LAN口）promiscuous （配置为透明传输）quitfirewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）。

联想网御防火墙日常维护手册1、电子钥匙无法使用，提示没有安装驱动?故障分析：如果使用电子钥匙管理防火墙电子钥匙插到管理计算机前，必须要在该机安装驱动程序，驱动程序在防火墙的随机光盘里根目录/Ikey Driver。

解决方案:先拔下电子钥匙，安装电子钥匙驱动，然后插入钥匙（目前为止电子钥匙驱动程序支持32位XP和2000server、2003server的操作系统），之后打开认证程序/administrator目录下ikeyc.exe。

认证通过后程序会弹出提示。

2、电子钥匙PIN码错误？故障分析：由于电子钥匙属安全认证设备，密码连续错误输入13次将被锁死，返厂也无法修复。

解决方案: 密码连续输错几次后，请拔下电子钥匙，回忆密码然后重新输入，并且咨询联想网御售后人员。

请勿试图暴力破解防火墙电子钥匙pin码。

3、连接防火墙失败,请检查IP地址和端口号是否正确？故障分析：连接防火墙失败，一般会有如下三种原因a) 电子钥匙认证程序上防火墙IP输入不正确b) 电子钥匙认证程序上端口号被修改，电子钥匙上默认的端口号为9999，此端口为电子钥匙与防火墙连接端口，一定不要与页面登陆8888端口混淆c) 防火墙的管理主机IP设置不正确解决方案：a)联想网御防火墙FE1口默认IP为:10.1.5.254,如此地址改变，电子钥匙认证程序上的防火墙IP也要做相应修改。

b）修改电子钥匙认证程序端口为默认9999c）修改防火墙上管理主机IP与管理电脑的IP一致，防火墙默认的管理主机IP10.1.5.2004、认证失败!错误的用户名/密码故障分析：联想网御防火墙与电子钥匙是一一对应的，具体是通过防火墙的ID号来识别，如果使用了非对应的电子钥匙则会提示用户名/密码错误。

解决方案：保证防火墙和电子钥匙的一一对应，通过在防火墙串口命令行输入system show查看防火墙ID与电子钥匙读出的ID是否一致，如不一致寻找和防火墙配对的电子钥匙进行测试。

5.3.1 需求描述上图是一个具有三个区段的小型网络。

其中内部网络区段的地址是10.10.10.1 到10.10.10.50，掩码是255.255.255.0；DMZ 网络区段的地址是10.10.10.100 到10.10.10.150，掩码是255.255.255.0；fe4 所在网络区段的地址是10.10.10.200 到10.10.10.254，掩码是255.255.255.0。

WWW 服务器的地址是10.10.10.100，开放端口是80；MAIL 服务器的地址是10.10.10.101，开放端口是25 和110；FTP 服务器的地址是10.10.10.102，开放端口是21。

fe1 工作在透明模式，fe3 工作在透明模式，fe4 工作在透明模式。

桥接设备brg0 的IP 地址是10.10.10.1，允许管理。

防火墙的缺省安全策略是禁止。

区段间的安全策略是：允许内部网络区段访问DMZ 区段和INTERNET 的http，smtp，pop3，ftp 服务，允许INTERNET 区段访问DMZ 网络的http，smtp，pop3，ftp 服务。

其他的访问都禁止。

5.3.2 配置步骤1. 网络配置>网络设备>：编辑桥接设备brg0，将它的IP 地址配置为10.10.10.1，掩码是255.255.255.0，允许管理，确定。

2. 网络配置>网络设备>：编辑物理设备fe1，选择工作模式为“透明”，确定。

3. 网络配置>网络设备>：编辑物理设备fe3，选择工作模式为“透明”，确定。

4. 网络配置>网络设备>：编辑物理设备fe4，选择工作模式为“透明”，确定。

注意：在策略配置前，先添加如下的资源：LOCAL_NET：10.10.10.2 到10.10.10.50，网络地址段。

DMZ_NET：10.10.10.100 到10.10.10.150，网络地址段。

防火墙的透明模式和透明代理服务器教程电脑资料防火墙在计算机网络安全中扮演着非常重要的角色。

它可以帮助监控和管理网络流量，保护计算机网络免受恶意攻击和未经授权的访问。

而防火墙的透明模式和透明代理服务器是其中两个重要的概念。

本文将详细解释防火墙的透明模式和透明代理服务器的原理，并介绍它们的设置和配置。

一、透明模式防火墙的透明模式是指在网络中拦截和过滤数据包时，对网络用户和应用程序来说是不可察觉的。

换句话说，透明模式下的防火墙不会对数据包进行任何的修改或干预。

它像一个“隐形”的墙壁，无论数据包是进入还是离开网络，都会被透明模式的防火墙检查和过滤。

在透明模式下，防火墙通常被部署为一个网桥。

这意味着它有两个网络接口，一个连接到内部网络，一个连接到外部网络。

防火墙会监听通过它的数据包流量，并根据预设的策略来判断是否允许或拒绝数据包通过。

用户和应用程序在没有任何感知的情况下，可以自由地发送和接收数据。

透明模式的防火墙通常还具备一些高级功能，如入侵检测系统（Intrusion Detection System，IDS）和虚拟专用网（Virtual Private Network，VPN）功能等。

它们能够帮助检测和防范网络攻击、黑客入侵等安全威胁。

二、透明代理服务器透明代理服务器（Transparent Proxy Server）是一种在网络通信中起到中间人角色的服务器。

在用户和目标服务器之间建立连接时，所有的请求和响应都需要经过透明代理服务器。

用户认为它们直接与目标服务器通信，而不知道自己实际上是在与代理服务器通信。

透明代理服务器通常用于网络缓存、访问控制、流量管理等用途。

它可以帮助优化网络通信，并提高网络性能。

同时，透明代理服务器还可以过滤和检测网络流量，防止恶意攻击、病毒传播和未经授权的访问。

设置和配置透明代理服务器通常需要以下几个步骤：1. 选择和安装合适的代理服务器软件。

常见的透明代理服务器软件有Squid、Nginx和Apache等。

4.2 防火墙透明工作模式的配置前置知识:防火墙的透明工作模式，相当于防火墙端口工作于透明网桥模式，即防火墙的各个端口所连接的计算机均处于同一IP子网中，但不同接口之间的计算机的访问要受安全规则的制约。

因此这对内部网络中需要对某些计算机采取强化控制措施时是很用的。

这是对网络变动最少的接入控制方法，广泛应用于原来网络的安全升级中，而原有的拓扑只要稍加改动即可。

实验目的1.了解什么是防火的透明工作模式2.掌握防火墙透明工作模式的配置方法，并在防火墙中设置简单规则以实现对外部设备访问的控制实验器材1.DCFW-1800S-K/VPN防火墙一台2.交叉网线两根3.PC机两台实验拓扑及规划试验步骤1.给防火墙LAN(if1)接口设置IP地址及添加管理机地址在命令行方式下利用admin用户登录到防火墙，执行如下操作：# ifconfig if1 192.168.100.100/24# ifconfig if1 192.168.100.100/24# adminhost add 192.168.100.101# apply# save做了如上修改之后，修改本地计算机的“测试”网卡地址为“192.168.100.101”，并启动浏览器、用admin用户登录到防火墙。

2. 进入网桥设置主界面选择“首页”|“系统”|“网桥设置”命令，如图1所示：图1 网桥设置界面3．启用网桥单击图1中“网桥设备”中的“bridge0”右边的“修改”按钮，进入如图2所示的界面，选中“修改网桥设置”选项卡，随后选中“启用”复选框，以启用网桥。

图2 启用网桥设置4．向网桥中添加接口选中“网桥bridege0接口设置”选项卡，如图3所示。

图3启用网桥设置单击“新增”按钮，将if0和if1接口加入bridge0，完成后的界面如图4所示。

图4 向bridge0中加入接口而后选“修改网桥设置”选项卡，回到图25所示界面，单击“确定”按钮，回到主界面，如图5所示，为使设置生效，依次单击“应用”和“保存”按钮。

防火墙NetScreen 5GT透明模式配置指引目录一、配置网络环境描述 (2)二、配置步骤 (3)2.1 防火墙的配置 (3)2.3 配置结果 (10)三、参考资料 (10)一、配置网络环境描述网络拓扑结构网络拓扑结构图网络拓扑结构简述防火墙采用1台NetScreen 5GT（以下简称5GT），5GT将与其连接的网络设备分为V1-Trust和V1-Untrust两个安全区段，其物理端口配置在透明模式下运行，并定义各端口为中继端口，实现5GT允许与其连接的交换机接收、发送来自多个VLAN的信息流，并按帧头中的VLAN 标识符(VID) 对各个封包进行分类。

交换机采用2台Cisco Catalyst 2950-24。

Cat 2950-2的F0/24端口连接5GT的Trust端口，f0/24配置为Trunk工作模式，Cat 2950-2指定为VTP Server工作模式，并建立VLAN101、VLAN102和VLAN103；Cat 2950-1的F0/24端口连接5GT的Untrust端口，f0/24配置为Trunk工作模式，Cat 2950-1指定为VTP Client工作模式，并加入Cat 2950-2创建的VTP域，接收其创建的VLAN信息。

二、配置步骤2.1 防火墙的配置1、登录将NetScreen 5GT的Trust端口1~4中任一端口与一台PC通过网线直连，将该PC的IP地址设置为192.168.1.2~255中的任一地址。

通过WEB登录NetScreen 5GT，NetScreen默认的管理地址是：192.168.1.1选择“No，use the Initial Configuration Wizard instead。

”默认配置：输入默认的用户名“netscreen”和密码“netscreen”：进入5GT的Web用户管理界面（WebUI）：2、配置端口查看5GT的“Network-interfaces”界面，5GT的物理端口共有5个，由untrust和ethernet 1-4组成，ethernet 1-4端口默认名称(name)为trust，它们在默认的配置中分别属于“Untrust”和“Trust”区段(zone)。

透明模式设置一、设置环境 . (1)二、设置要求 . (1)三、设置步骤 . (2)1. 准备工作,管理主机 IP 设为:10.1.5.200直接连防火墙 Fe 1口 . (2)2. 通过 Fe 1口管理防火墙,将 Fe 2口、 Fe 3口设为透明模式 (2)1 将 Fe 2口口设为透明模式并启用 . (3)2 将 Fe 3口口设为透明模式并启用 . (5)3. 将 Fe 2口、 Fe 3口绑进桥接设备并设定 IP 地址 (7)4. 在桥接设备的同一网段设置管理主机IP (9)5. 通过 Fe 2口管理防火墙,将 Fe 1口改为透明模式 (10)1 直接接在 Fe 2口的计算机的 IP 设置为管理主机 IP :211.100.11.100 (10)2 通过 Fe 1口管理防火墙 . (10)3 将 Fe 1口改为透明模式 . .......................................................................................11 四、测试 . (13)1 计算机接 Fe 2口,测试连接 . (13)2 计算机接 Fe1 口,测试连接 . (13)3 计算机接 Fe 3口,测试连接 . (14)一、设置环境防火墙在出厂配置的情况下,也就是, Fe 1口工作在路由模式下,可以用于管理, IP 为:10.1.5.254,同一网段的管理主机 IP 为:10.1.5.200二、设置要求要求将防火墙的网口全部设为透明模式三、设置步骤1. 准备工作,管理主机 IP 设为:10.1.5.200直接连防火墙 Fe 1口2. 通过 Fe 1口管理防火墙,将 Fe 2口、 Fe 3口设为透明模式1 将 Fe 2口口设为透明模式并启用2 将 Fe 3口口设为透明模式并启用3. 将 Fe 2口、 Fe 3口绑进桥接设备并设定 IP 地址4. 在桥接设备的同一网段设置管理主机IP至此注意要保存设置5. 通过 Fe 2口管理防火墙,将 Fe 1口改为透明模式1直接接在 Fe 2口的计算机的 IP 设置为管理主机 IP :211.100.11.100 2通过 Fe 1口管理防火墙3 将 Fe 1 口改为透明模式查看 Fe 1 口已经自动添加到了绑定设备里注意保存设置至此 Fe 1 口、Fe 2 口、Fe 3 口已经全部工作在透明模式下了。

实验七、防火墙透明模式配置实验目的1.了解什么是透明网络模式2.了解如何配置防火墙为透明模式应用环境透明模式即相当于防火墙工作于透明网桥模式。

防火墙进行防范的各个区域均位于同一网段。

在实际应用网络中，这是对网络变动最少的接入方法，广泛用于大量原有网络的安全升级中。

实验设备1.防火墙设备一台2.Console线一条3.交叉网络线三条4.直通网络线一条5.PC机2三台实验拓扑实验要求1.防火墙网桥模式初始配置2.配置相关网络对象和服务对象3.配置安全规则安全规则为：PC1为内网主机，PC2为外网主机。

PC1：允许访问外网的HTTP，FTP，ping；PC2：不允许访问内网；4.实验验证实验步骤连接实验环境按照拓扑图，使用二根交叉双绞线将二台PC机与防火墙的对应端口连接在一起（实验验证用）。

防火墙网桥模式初始配置进入防火墙命令行管理界面，按照拓扑图的IP地址规划，配置防火墙的管理主机地址和LAN口地址，以便进行图形化界面管理。

# ifconfig if1 192.168.1.77/24# adminhost add 192.168.1.10# apply# save修改PC1的地址为拓扑所示（192.168.1.10），则可以通过IE浏览器进行防火墙的安全图形界面管理了。

在系统->网桥设置中，启用bridge0，并点击右侧修改按钮，如下所示：点击启用，然后点开网桥bridge0接口设置标签，使用新增按钮分别添加防火墙的lan （if1）和wan（if0）口。

系统提示操作成功后，可以得到如下界面显示：点击右上角的应用按钮，然后保存配置，网桥模式启动成功。

注：MAC缓冲池大小一般与内网连接的用户数有关，可以根据实际需要对此数值进行更改，一般需要比内网用户数多。

配置相关网络对象和服务对象在DCFW-1800系列中，配置安全规则之前，需要定义一系列的服务对象和网络对象。

所谓网络对象，就是指防火墙的安全规则所针对的网络节点或网络节点群，安全规则就是以网络对象为基本的检查单元进行安全检查决定是否允许某个网络对象的数据转发与否。