导读:这篇文章主要为大家介绍了如何进行防火墙配置,需要的朋友可以参考下。
透明模式配置
– 网络拓扑 –
– 需求描述 –
1、防火墙 eth6 接口和 eth7 接口配置为透明模式;
2、eth6 与 eth7 同属一个虚拟桥接组,eth6 属于 l2-trust 安全域,eth7 属于 l2-untrust 安全域;
3、为虚拟桥接组 Vswitch1 配置 ip 地址以便管理防火墙;
4、允许网段 A ping网段 B 及访问网段 B 的 WEB 服务。
– 配置步骤 –
第一步:配置接口
将 eth6 接口加入二层安全域 l2-trust
DCFW-1800(config)# interface ether电信大流量卡net0/6DCFW-1800(config-if-eth0/6)# zone l2-trust将 eth7 接口设置成二层安全域 l2-untrust
第二步:配置虚拟交换机(Vswitch)
如果没有单独接口做管理的话,可以先使用控制线通过控制口登陆下防火墙在命令下:
DCFW-1800(config)# interface vswitchif1DCFW-1800(config-if-vsw1)# zone trustDCFW-1800(config-if-vsw1)# ip address 192.168.1.254/24DCFW-1800(config-if-vsw1)# manage pi电信大流量卡ngDCFW-1800(config-if-vsw1)# manage https当然也可以在防火墙上单独使用一个接口做管理,通过该接口登陆到防火墙在 Web 下进行配置
第三步:添加对象
定义地址对象
定义网段 A (192.168.1.1 – 192.168.1.100)定义网段 B (192.168.1.101 – 192.168.1.200)要求允许网段 Aping网段 B 及访问网段 B 的 WEB 服务,在这里我们将 ping 和 http服务建立一个服务组。
第四步:配置安全策略
在 “ 安 全 ”->“ 策 略 ” 中 选 择 好 “ 源 安 全 域 ” 和 “ 目 的 安 全 域 ” 电信大流量卡后 , 新 建
混合模式配置
– 网络拓扑 –
– 需求描述 –
1、将 eth0 口设置成路由接口,eth6 和 eth7 口设置成二层接口。并设置 Vswitch 接口;
2、设置源 NAT 策略;
3、配置安全策略。
– 配置步骤 –
1、设置内网口地址,设置 eth0 口为内网口地址为 192.168.1.1/24。
2、设置外网口,eth6 口连接外网,将 eth6 口设置成二层安全域 l2-untrust。
3、 设置服务器接口,将 eth7 口设置成 l2-dmz 安全域,连接服务器。
第二步:配置Vswitch接口
由于二层安全域接口不能设置地址,需要将地址设置在网桥接口上,该网桥接口即为Vswitc电信大流量卡h
第三步:设置SNAT策略
针对内网所有地址我们在防火墙上设置源 NAT,内网 PC 在访问外网时,数据包凡是从Vswitch 接口出去的数据包都做地址转换,转换地址为 Vswitch 接口地址。
第四步:添加路由
要创建一条到外网的缺省路由,如果内网有三层交换机的话还需要创建到内网的回指路由。
第五步:设置地址簿
在放行安全策略时,我们需要选择相应的地址和服务进行放行,所以这里首先要创建服 务器的地址簿。在创建地址簿时,如果是创建的服务器属单个 ip,建议使用 IP 成员方式的 话,掩码一定要写 32 位。
第六步:放行策略
放行策略时,首先要保证内网能够访问到外网。应该放行内网口所属安全域到 Vswit电信大流量卡ch接口所属安全域的安全策略,应该是从 trust 到 untrust。
另 外 还 要 保 证 外 网 能 够 访 问 Web_server , 该 服 务 器 的 网 关 地 址 设 置 为 ISP 网 关218.240.143.1 那需要放行二层安全之前的安全策略,应该是放行 l2-untrust 到 l2-dmz 策略。
关注微信公众号:安徽思恒信息科技有限公司,了解更多技术内容……
友情提醒: 请添加客服微信进行免费领取流量卡!
QQ交流群:226333560 站长微信:qgzmt2
原创文章,作者:sunyaqun,如若转载,请注明出处:https://www.dallk.cn/72820.html
