深信服AF防火墙第二层透明模式下配置

实验V3防火墙透明模式（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图四、配置步骤基本配置1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2. 将防火墙加入到网络中，进行防火墙的基本配置3. 将防火墙转换成二层模式，保证内网运行正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustadd interface g1/0quitfirewall zone untrust //外网口加入untrustadd interface g2/0quit2、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1 //设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 //将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1 五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2 六、实验思考：1、当需要管理F1000-S防火墙时，我们需要登录bridge-template接口，请考虑这个时候对内网S3100交换机有什么特殊要求？1.3 附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP地址）interface Ethernet2/0（进入WAN口）promiscuous （配置为透明传输）quitinterface Ethernet1/0 （进入LAN口）promiscuous （配置为透明传输）quitfirewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）。

USG 防火墙透明模式配置方法USG接口工作在二层模式（透明模式）USG采用此组网接入上下行网络，无须改变原有网络的拓扑结构，也不需要重新分配额外的业务地址。

组网需求USG作为安全设备被部署在业务节点上，上行设备是路由器，下行设备为交换机，业务接口工作在交换模式下。

组网图如图1所示，网络规划如下：∙内部网络的网段地址为192.168.1.0/24，与USG的GigabitEthernet 0/0/1接口相连，部署在trust区域。

∙外部网络与USG的GigabitEthernet 0/0/2接口相连，部署在Untrust区域。

∙USG的管理地址为192.168.1.2/24图1 业务接口工作在二层，上下行连接交换机的组网图配置思路G接口GigabitEthernet 0/0/1和GigabitEthernet 0/0/2均工作在交换模式，分别加入不同的安全区域。

2.在USG上创建VLANif接口，配置管理ip地址为192.168.0.1。

3.在USG上配置到路由器的默认路由。

4.在USG上配置Trust区域和Untrust区域的域间包过滤规则。

操作步骤1.在USG上完成以下基本配置。

# 配置GigabitEthernet 0/0/1工作在交换模式。

<USG_A> system-view[USG_A] interface GigabitEthernet 0/0/1[USG_A-GigabitEthernet0/0/1] portswitch[USG_A-GigabitEthernet0/0/1] quit# 配置GigabitEthernet 0/0/1加入Trust区域。

[USG_A] firewall zone trust[USG_A-zone-trust] add interface GigabitEthernet 0/0/1[USG_A-zone-trust] quit# 配置GigabitEthernet 0/0/2工作在交换模式。

深信服防火墙使用手册摘要：1.深信服防火墙简介2.深信服防火墙的功能与特点3.深信服防火墙的安装与配置4.深信服防火墙的使用方法与技巧5.深信服防火墙的维护与升级6.深信服防火墙的常见问题与解决方法正文：【深信服防火墙简介】深信服防火墙是一款国内知名的网络安全设备，由我国深信服科技公司研发并生产。

深信服防火墙凭借其强大的安全防护能力，广泛的应用在政府、金融、教育、医疗等各个领域，有效保护了用户的网络信息安全。

【深信服防火墙的功能与特点】深信服防火墙具有以下主要功能：1.防止恶意攻击：可以有效防止DDoS、SYN Flood 等网络攻击，确保网络稳定运行。

2.访问控制：可以根据用户需求设置访问规则，实现对网络访问的精细控制。

3.内容过滤：可以对网络中的内容进行过滤，防止恶意信息传播。

4.应用控制：可以对网络中的应用进行控制，避免应用滥用。

深信服防火墙具有以下特点：1.高性能：具有高效的数据处理能力，不会影响网络速度。

2.易用性：界面简洁，操作方便，易于上手。

3.高安全性：采用国内领先的安全技术，有效防止网络攻击。

【深信服防火墙的安装与配置】深信服防火墙的安装与配置主要包括硬件安装、软件安装和配置三个步骤。

具体操作可以参考设备的安装手册。

【深信服防火墙的使用方法与技巧】深信服防火墙的使用方法主要包括以下几个步骤：1.登录设备：使用管理员账号登录设备。

2.查看状态：查看设备的运行状态，包括CPU 使用率、内存使用率等。

3.配置规则：根据需求设置访问规则、内容过滤规则等。

4.查看日志：查看设备的日志，以便及时发现和处理问题。

在使用深信服防火墙时，还可以运用一些技巧，如设置访问时间限制、限制P2P 软件等，以提高网络的安全性和稳定性。

【深信服防火墙的维护与升级】深信服防火墙的维护主要包括设备维护和软件升级两个方面。

设备维护主要包括定期检查设备硬件、清理设备内部灰尘等。

软件升级则需要定期查看设备软件版本，并根据需求进行升级。

深信服下一代防火墙NGAF解决方案深信服科技有限公司2012-03-09第1章需求概述1.1方案背景xxx公司成立于1997年…….1.2网络安全现状近几年来，计算机和网络攻击的复杂性不断上升，使用传统的防火墙和入侵检测系统（IDS）越来越难以检测和阻挡。

随着每一次成功的攻击，黑客会很快的学会哪种攻击方向是最成功的。

漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短，使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。

随着病毒、蠕虫、木马、后门和混合威胁的泛滥，内容层和网络层的安全威胁正变得司空见惯。

复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻，它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。

许多黑客正监视着软件提供商的补丁公告，并对补丁进行简单的逆向工程，由此来发现漏洞。

下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。

需要注意的是，对于最近的一些攻击，这一时间已经大大缩短了。

IT和安全人员不仅需要担心已知安全威胁，他们还不得不集中精力来防止各种被称之为“零小时”（zero-hour）或“零日”（zero-day）的新的未知的威胁。

为了对抗这种新的威胁，安全技术也在不断进化，包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统（IPS）等新技术不断被应用。

但是黑客的动机正在从引起他人注意向着获取经济利益转移，我们可以看到一些更加狡猾的攻击方式正被不断开发出来，以绕过传统的安全设备，而社会工程（social engineering）陷阱也成为新型攻击的一大重点。

图：系统漏洞被黑客利用的速度越来越快带有社会工程陷阱元素的攻击包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web 站点等。

这些攻击设计为欺骗用户暴露敏感信息，下载和安装恶意程序、跟踪软件或运行恶意代码。

深信服AF防火墙第二层透明模式下配置在配置深信服AF防火墙第二层透明模式之前，首先需要进行以下准备工作：1.网络拓扑规划：确定防火墙的放置位置和与其他网络设备的连接方式，以便合理规划网络流量的监控和策略的下发。

2.IP地址规划：为防火墙的透明模式接口和管理口分配合适的IP地址，并与网络中的其他设备进行地址配置的协调。

3.网络访问策略：根据实际需求和网络安全要求，定义合适的网络访问策略，包括访问控制列表(ACL)、安全策略、NAT等，以确保网络流量的安全性和合规性。

下面是深信服AF防火墙第二层透明模式的配置步骤及相关解释：1.登录防火墙：使用浏览器访问深信服AF防火墙的管理页面，并使用管理员账号进行登录。

2.配置接口：选择"网络"-"接口"，点击“新增”，配置透明模式接口的相关参数，包括名称、物理接口、IP地址、子网掩码等。

3.绑定端口：选择"网络"-"端口"，选择待绑定的物理接口，点击“绑定”，将透明模式接口与物理接口进行绑定。

4.配置VLAN：如果需要对网络流量进行VLAN隔离，选择"网络"-"VLAN"，点击“新增”，配置VLAN的相关参数，包括名称、VLANID、IP 地址等。

5.配置物理链路：选择"网络"-"链路"，点击“新增”，配置物理链路的相关参数，包括名称、绑定接口、链路类型等，以将不同的物理接口绑定为一组进行负载均衡和冗余备份。

6.配置网络ACL：选择"策略"-"网络ACL"，点击“新增”，配置ACL规则，包括源IP、目的IP、协议、端口等，以定义允许或禁止的网络流量。

7.配置安全策略：选择"策略"-"安全策略"，点击“新增”，配置安全策略规则，包括源地址、目的地址、应用、行为等，以定义网络流量的安全检查和处理方式。

4.2 防火墙透明工作模式的配置前置知识:防火墙的透明工作模式，相当于防火墙端口工作于透明网桥模式，即防火墙的各个端口所连接的计算机均处于同一IP子网中，但不同接口之间的计算机的访问要受安全规则的制约。

因此这对内部网络中需要对某些计算机采取强化控制措施时是很用的。

这是对网络变动最少的接入控制方法，广泛应用于原来网络的安全升级中，而原有的拓扑只要稍加改动即可。

实验目的1.了解什么是防火的透明工作模式2.掌握防火墙透明工作模式的配置方法，并在防火墙中设置简单规则以实现对外部设备访问的控制实验器材1.DCFW-1800S-K/VPN防火墙一台2.交叉网线两根3.PC机两台实验拓扑及规划试验步骤1.给防火墙LAN(if1)接口设置IP地址及添加管理机地址在命令行方式下利用admin用户登录到防火墙，执行如下操作：# ifconfig if1 192.168.100.100/24# ifconfig if1 192.168.100.100/24# adminhost add 192.168.100.101# apply# save做了如上修改之后，修改本地计算机的“测试”网卡地址为“192.168.100.101”，并启动浏览器、用admin用户登录到防火墙。

2. 进入网桥设置主界面选择“首页”|“系统”|“网桥设置”命令，如图1所示：图1 网桥设置界面3．启用网桥单击图1中“网桥设备”中的“bridge0”右边的“修改”按钮，进入如图2所示的界面，选中“修改网桥设置”选项卡，随后选中“启用”复选框，以启用网桥。

图2 启用网桥设置4．向网桥中添加接口选中“网桥bridege0接口设置”选项卡，如图3所示。

图3启用网桥设置单击“新增”按钮，将if0和if1接口加入bridge0，完成后的界面如图4所示。

图4 向bridge0中加入接口而后选“修改网桥设置”选项卡，回到图25所示界面，单击“确定”按钮，回到主界面，如图5所示，为使设置生效，依次单击“应用”和“保存”按钮。

SANGFOR_AF_等保场景 配置指导手册2019年8月修订历史编号修订内容简述修订日期修订前版本号修订后版本号修订人1 编写20190808 V1.0 chenke■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。

任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录第1章前言 (2)第2章典型案例 (2)第3章下一代防火墙的作用 (3)第4章下一代防火墙的配置内容 (4)4.1安全功能配置 (4)4.1.1划分区域 (4)4.1.2访问控制 (5)4.1.3高可用 (6)4.1.4 IPSec VPN功能 (7)4.1.5 IPS功能 (8)4.1.6网络杀毒功能 (11)4.1.7 WAF功能 (12)4.1.8网页防篡改 (14)4.1.9 DoS/DDoS防护 (15)4.1.10 APT攻击检测 (17)4.2安全计算环境 (17)4.2.1身份鉴别&访问控制 (17)4.2.2入侵防范 (20)4.2.3数据备份恢复 (22)4.3安全审计 (22)第1章 前言为了保障等保项目的顺利交付，协助用户满足GB/T-22239-2019等保三级的相关技术要求，特编写此配置指导文档。

第2章 典型案例第3章 下一代防火墙的作用安全域产品名称部署位置产品作用配置内容互联网出口域基础级防火墙互联网出口隔离互联网和内部网络防范网络入侵攻击网络层恶意代码过滤流量管理与控制区域划分访问控制IPS防病毒流量控制核心业务域（三级系统域）增强级防火墙核心业务服务区的外联口隔离核心业务服务器区和其他区域防范网络入侵攻击防范web应用层攻击访问控制IPSWAF对外服务器域增强级防火墙对外服务器区的外联口隔离对外服务器区和其他区域防范网络入侵攻击防范web应用层攻击网页防篡改访问控制IPSWAF网页防篡改运维管理域基础级防火墙运维管理域的外联口隔离运维区和其他区域访问控制第4章 下一代防火墙的配置内容4.1安全功能配置4.1.1划分区域GB/T 22239技术要求：1)应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；配置步骤：1、点击【网络】-【接口/区域】。