防火墙透明模式和路由模式区别

实验 V3防火墙透明模式（二层模式）

一、 实验目的

了解并熟悉H3C Secpath V3防火墙的两种二层模式配置

二、 场景描述

用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图

四、配置步骤

基本配置

1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常 2. 将防火墙加入到网络中，进行防火墙的基本配置 3. 将防火墙转换成二层模式，保证内网运行正常

防火墙的配置： 一、基本配置：

1、设备命名，防火墙数据放通，接口加入区域 system sys F1000-S

firewall packet-filter enable //开通防火墙的包过滤功能 firewall packet-filter default permit //包过滤的默认规则为permit firewall zone trust //内网口加入trust

实验八 防火墙透明模式配置

适用于河南中医学院信息技术学院网络安全实验室

一、实验目的

1、了解什么是透明模式；

2、了解如何配置防火墙的透明模式； 二、应用环境

透明模式相当于防火墙工作于透明网桥模式。防火墙进行防范的各个区域均位于同 一网段。在实际应用网络中，这是对网络变动最少的介入方法，广泛用于大量原有网络的 安全升级中。

三、实验设备

(1) 防火墙设备1台 (2) Console线1条 (3) 网络线2条 (4) PC机3台

四、实验拓扑

五、实验步骤

第一步：搭建WebUI配置环境

除使用 CLI 进行配置以外，神州数码安全网关还提供WebUI 界面，使用户能够更简便与直观地对设备进行管理与配置。安全网关的 ethernet0/0 接口配有默认IP 地址192.168.1.1/24，并且该接口的各种管理功能均为开启状态。初次使用安全网关时，用户可以通过该接口访问安全网关的WebUI 页面。请按照以下步骤搭建WebUI 配置环境：

1. 将管理 PC 的IP 地址设置为与192.168.1.1/24 同网段的IP 地址，并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。

2. 在管理 PC 的Web 浏览器中访问

文档名称 文档密级

防火墙透明模式下做双向NAT典型配置

一、组网需求

如下图所示：某市银行通过外联路由器连接国税，地税等外联单位，通过骨干路由器连 接银行骨干网。为了保证内网的安全，在外联单位和内网之间部署了一台USG防火墙，通过严格的规则限制内网和外联单位之间的互相访问。

具体需求如下：

? 防火墙采用透明模式接入，不影响原有的网络结构和地址规划。G0/0/0连接内网核心交

换，TRUST区域，G0/0/1连接外联路由器，UNTRUST区域。 ? 业务访问需求：外联单位只能够访问内网的业务前置机的特定端口。内网的业务前置机

和某些终端可以访问外联单位的业务主机。 ? 对外联单位发布一个业务前置机的虚地址，对内网用户发布一个外联单位业务主机的虚

地址。

? 外联单位业务主机只允许固定的某个地址可以访问。

? 为了保证内网安全，不能在内网的核心三层交换机上配置到到外联单位的路由。 ? 为了保证路由器性能，外联路由器只做路由转发，通过防火墙做NAT策略。

二、IP地址，NAT地址规划：

2013-4-11

华赛机密，未经许可不得扩散

第1页, 共6页

文档名称 文档密级

项目 数据 接口编号：G/0/0/0 接口编号：G

V3防火墙和V 防火墙ipsec 对接-主模式

功能需求:

?防火墙A 和防火墙B 之间建立一个ipsec 隧道，对Host A 所在的子网 (192.168.5.1 )与Host B 所在的子网(192.168.7.1 )之间的数据流进行安全 保护。

?防火墙A 和防火墙B 之间采用IKE 协商方式建立IPsec SA 。

?使用IKE 主模式进行协商，防火墙 A 向防火墙B 发起方隧道触发

?使用缺省的预共享密钥认证方法。此案例适用于：两边都是固定 ip ，中间 公网ip 不经过nat 设备的组网。

组网信息及描述：

此案例中，以防火墙A 的loopbackO 口代表A 设备的内网hostA ,以防火 墙B 的loopbackO 口代表B 设备的内网hostB , A 设备的E1/1作为连接外网 的接口，ip : 1.1.1.1。B 设备的G1/0/1 口作为连接外网的接口， ip : 2.2.2.1 。 loopback 口代表各自的内网。1.1.1.1和2.2.2.1作为公网ip 能相互通信

LoopBackO : 192.168.7.1

Ipsec 丁 hmtB gl/0/l 2.2.2.1

V3防火墙A

配置步骤：

防火墙A

配置接口的ip ，路由，安全

v7防火墙和v7防火墙ipsec对接-野蛮模式

功能需求：

防火墙A和防火墙B之间建立一个ipsec隧道，对Host A所在的子网（192.168.7.1）与Host B所在的子网（192.168.5.1）之间的数据流进行安全保护。

· 防火墙A和防火墙B之间采用IKE协商方式建立IPsec SA。

· 使用IKE野蛮模式进行协商，防火墙A作为分部，防火墙B作为总部。 · 使用缺省的预共享密钥认证方法。此案例适用于：分部ip不固定，总部公网ip固定，中间经过nat或者不经过nat的组网。 组网信息及描述：

本案例中，以防火墙A（拨号的）的loopback0口代表A设备的内网hostA，以防火墙B（固定ip的）的loopback0口代表B设备的内网hostB，A设备的G1/0/1作为连接外网的接口，ip：2.2.2.1.B设备的G1/0/1口作为连接外网的接口，ip：1.1.1.1。loopback口代表各自的内网。防火墙A能ping的通防火墙B的公网ip。2.2.2.1去往1.1.1.1的公网路由中间经过了nat设备,对源2.2.2.1的转换成了1.1.1.2。

配置步骤：

防火墙A

配置接口的ip，路由，安全域等基本配置

定义要保护由子网1

V3防火墙和V 防火墙ipsec 对接-主模式

功能需求:

?防火墙A 和防火墙B 之间建立一个ipsec 隧道，对Host A 所在的子网 (192.168.5.1 )与Host B 所在的子网(192.168.7.1 )之间的数据流进行安全 保护。

?防火墙A 和防火墙B 之间采用IKE 协商方式建立IPsec SA 。

?使用IKE 主模式进行协商，防火墙 A 向防火墙B 发起方隧道触发

?使用缺省的预共享密钥认证方法。此案例适用于：两边都是固定 ip ，中间 公网ip 不经过nat 设备的组网。

组网信息及描述：

此案例中，以防火墙A 的loopbackO 口代表A 设备的内网hostA ,以防火 墙B 的loopbackO 口代表B 设备的内网hostB , A 设备的E1/1作为连接外网 的接口，ip : 1.1.1.1。B 设备的G1/0/1 口作为连接外网的接口， ip : 2.2.2.1 。 loopback 口代表各自的内网。1.1.1.1和2.2.2.1作为公网ip 能相互通信

LoopBackO : 192.168.7.1

Ipsec 丁 hmtB gl/0/l 2.2.2.1

V3防火墙A

配置步骤：

防火墙A

配置接口的ip ，路由，安全

v7防火墙和v7防火墙ipsec对接-野蛮模式

功能需求：

防火墙A和防火墙B之间建立一个ipsec隧道，对Host A所在的子网（192.168.7.1）与Host B所在的子网（192.168.5.1）之间的数据流进行安全保护。

· 防火墙A和防火墙B之间采用IKE协商方式建立IPsec SA。

· 使用IKE野蛮模式进行协商，防火墙A作为分部，防火墙B作为总部。 · 使用缺省的预共享密钥认证方法。此案例适用于：分部ip不固定，总部公网ip固定，中间经过nat或者不经过nat的组网。 组网信息及描述：

本案例中，以防火墙A（拨号的）的loopback0口代表A设备的内网hostA，以防火墙B（固定ip的）的loopback0口代表B设备的内网hostB，A设备的G1/0/1作为连接外网的接口，ip：2.2.2.1.B设备的G1/0/1口作为连接外网的接口，ip：1.1.1.1。loopback口代表各自的内网。防火墙A能ping的通防火墙B的公网ip。2.2.2.1去往1.1.1.1的公网路由中间经过了nat设备,对源2.2.2.1的转换成了1.1.1.2。

配置步骤：

防火墙A

配置接口的ip，路由，安全域等基本配置

定义要保护由子网1

v7防火墙和v7防火墙ipsec对接-野蛮模式

功能需求：

防火墙A和防火墙B之间建立一个ipsec隧道，对Host A所在的子网（192.168.7.1）与Host B所在的子网（192.168.5.1）之间的数据流进行安全保护。

· 防火墙A和防火墙B之间采用IKE协商方式建立IPsec SA。

· 使用IKE野蛮模式进行协商，防火墙A作为分部，防火墙B作为总部。 · 使用缺省的预共享密钥认证方法。此案例适用于：分部ip不固定，总部公网ip固定，中间经过nat或者不经过nat的组网。 组网信息及描述：

本案例中，以防火墙A（拨号的）的loopback0口代表A设备的内网hostA，以防火墙B（固定ip的）的loopback0口代表B设备的内网hostB，A设备的G1/0/1作为连接外网的接口，ip：2.2.2.1.B设备的G1/0/1口作为连接外网的接口，ip：1.1.1.1。loopback口代表各自的内网。防火墙A能ping的通防火墙B的公网ip。2.2.2.1去往1.1.1.1的公网路由中间经过了nat设备,对源2.2.2.1的转换成了1.1.1.2。

配置步骤：

防火墙A

配置接口的ip，路由，安全域等基本配置

定义要保护由子网1

juniper Netscreen防火墙策略路由配置

Netscreen-25 概述

Juniper网络公司NetScreen-25和NetScreen-50是面向大企业分支办事处和远程办事处、以及中小企业的集成安全产品。它们可提供网络周边安全解决方案，并带有多个DMZ和VPN，可以确保无线LAN的安全性，或保护内部网络的安全。NetScreen-25设备可提供100 Mbps的防火墙和20 Mbps的3DES或 AES VPN性能，可支持32,000条并发会话和125条VPN隧道。NetScreen-50设备是高性能的集成安全产品，可提供170 Mbps的防火墙和45 Mbps的3DES或 AES VPN性能，可支持64,000条并发会话和500 条VPN隧道。

一、特性与优势

NetScreen-25和NetScreen-50产品的主要特性和优势如下：

集成的深层检测防火墙可以逐策略提供应用层攻击防护，以保护互联网协议安全；

集成的Web过滤功能，可制订企业 Web使用策略、提高整体生产率、并最大限度地减少因滥用企业资源而必须承担的赔偿责任；

拒绝服务攻击防护功能，可抵御30多种不同的内外部攻击； 高可用性功能，可最大限度地

龙源期刊网 http://www.qikan.com.cn

天融信防火墙的双线路路由和VPN设置

作者：李胜

来源：《电脑知识与技术》2013年第09期

摘要：根据源地址及目的地址选择路由走向，进行天融信防火墙的策略路由配置，来控制穿越防火墙的数据流，从而实现内网分流访问互联网；通过设置VPN功能，实现从外部网络访问单位内部网络的功能。

关键词：双线路；源地址；静态路由；策略路由；VPN

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）09-2087-02

随着网络通信资费的下调和新业务的增加，现在有些单位有两条或两条以上的外网线路，如何有效利用网络带宽，合理分流网络流量，显得十分必要。另外，出差在外不能在单位办公时，如何访问单位内部网络也是大家关心的问题。 1 双线路路由 1.1 双线路路由简介

在天融信防火墙的两个ETH口同时接入不同外网线路，该文中ETH1接内网网络，ETH2接电信线路、ETH3接联通线路，通过设置天融信防火墙的策略路由，使得内网不同网段分别经由电信和联通线路访问外网，合理地解决