防火墙二层透明模式配置案例

实验 V3防火墙透明模式（二层模式）

一、 实验目的

了解并熟悉H3C Secpath V3防火墙的两种二层模式配置

二、 场景描述

用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图

四、配置步骤

基本配置

1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常 2. 将防火墙加入到网络中，进行防火墙的基本配置 3. 将防火墙转换成二层模式，保证内网运行正常

防火墙的配置： 一、基本配置：

1、设备命名，防火墙数据放通，接口加入区域 system sys F1000-S

firewall packet-filter enable //开通防火墙的包过滤功能 firewall packet-filter default permit //包过滤的默认规则为permit firewall zone trust //内网口加入trust

实验八 防火墙透明模式配置

适用于河南中医学院信息技术学院网络安全实验室

一、实验目的

1、了解什么是透明模式；

2、了解如何配置防火墙的透明模式； 二、应用环境

透明模式相当于防火墙工作于透明网桥模式。防火墙进行防范的各个区域均位于同 一网段。在实际应用网络中，这是对网络变动最少的介入方法，广泛用于大量原有网络的 安全升级中。

三、实验设备

(1) 防火墙设备1台 (2) Console线1条 (3) 网络线2条 (4) PC机3台

四、实验拓扑

五、实验步骤

第一步：搭建WebUI配置环境

除使用 CLI 进行配置以外，神州数码安全网关还提供WebUI 界面，使用户能够更简便与直观地对设备进行管理与配置。安全网关的 ethernet0/0 接口配有默认IP 地址192.168.1.1/24，并且该接口的各种管理功能均为开启状态。初次使用安全网关时，用户可以通过该接口访问安全网关的WebUI 页面。请按照以下步骤搭建WebUI 配置环境：

1. 将管理 PC 的IP 地址设置为与192.168.1.1/24 同网段的IP 地址，并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。

2. 在管理 PC 的Web 浏览器中访问

文档名称 文档密级

防火墙透明模式下做双向NAT典型配置

一、组网需求

如下图所示：某市银行通过外联路由器连接国税，地税等外联单位，通过骨干路由器连 接银行骨干网。为了保证内网的安全，在外联单位和内网之间部署了一台USG防火墙，通过严格的规则限制内网和外联单位之间的互相访问。

具体需求如下：

? 防火墙采用透明模式接入，不影响原有的网络结构和地址规划。G0/0/0连接内网核心交

换，TRUST区域，G0/0/1连接外联路由器，UNTRUST区域。 ? 业务访问需求：外联单位只能够访问内网的业务前置机的特定端口。内网的业务前置机

和某些终端可以访问外联单位的业务主机。 ? 对外联单位发布一个业务前置机的虚地址，对内网用户发布一个外联单位业务主机的虚

地址。

? 外联单位业务主机只允许固定的某个地址可以访问。

? 为了保证内网安全，不能在内网的核心三层交换机上配置到到外联单位的路由。 ? 为了保证路由器性能，外联路由器只做路由转发，通过防火墙做NAT策略。

二、IP地址，NAT地址规划：

2013-4-11

华赛机密，未经许可不得扩散

第1页, 共6页

文档名称 文档密级

项目 数据 接口编号：G/0/0/0 接口编号：G

Juniper防火墙简明实用手册

（版本号：V1.0）

目 录

1

juniper中文参考手册重点章节导读 .................................................................... 3 1.1 第二卷：基本原理 ...................................................................................... 3

1.1.1 第一章：ScreenOS 体系结构.......................................................... 3 1.1.2 第二章：路由表和静态路由............................................................ 3 1.1.3 第三章：区段.................................................................................... 3 1.1.4 第四章：接口.........................

一、基本配置

#hostname name //名字的设置

#interface gigabitethernet0/0 //进入接口0/0

#nameif outside //配置接口名为outside

#security-level 0 //设置安全级别。 级别从0--100，级别越高安全级别越高 #ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址 #no shutdown

#interface ethernet0/1 //进入接口0/1

#nameif inside //配置接口名为inside

#security-level 100 //设置安全级别。 级别从0--100，级别越高安全级别越高 #ip address 192.168.10.1 255.

在Linux 中设置防火墙，以CentOS 为例，打开iptables 的配置文件：1. 2. vi

/etc/sysconfig/iptables

通过/etc/init.d/iptables status 命令查询是否有打开80 端口，如果没有可通过两种方式处理：1.修改1.修改vi /etc/sysconfig/iptables 命令添加使防火墙开放80 端口1. 2. 2.关闭/开启/ 2.关闭/开启/重启防火墙关闭1. 2. 3. 4. 5. 6. /etc/init.d/iptables stop #start 开启#restart 重启-A

RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

3.永久性关闭防火墙3.永久性关闭防火墙1. 2. 3.

4.

5.

6. chkconfig --level 35 iptables off

/etc/init.d/iptables stop iptables -P INPUT DROP

4.打开主动模式4.打开主动模式21 端口1. 2. iptables -A INPUT -p tcp --dport

Juniper SRX防火墙简明配置手册

Juniper Networks, Inc.

北京市东城区东长安街1号东方经贸城西三办公室15层1508室

邮编:100738 电话:65288800 http://www.juniper.net

第 1 页 共 11 页

目录

一、JUNOS操作系统介绍 ........................................................................................................... 3 1.1 层次化配置结构 ...................................................................................................................... 3 1.2 JunOS配置管理 ....................................................................................................................... 3

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

第7讲 iptables防火墙配置

与管理

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

内容

1.

2.

3.

4.iptables简介iptables基础关闭系统防火墙iptables命令格式

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

iptables简介

netfilter/iptables(简称为iptables)组成Linux平台下免费的包过滤防火墙 iptables能够完成封包过滤、封包重定向和网络地址转换NAT等功能 iptables的官方网站为 netfilter/iptables包过滤防火墙的两个组件

netfilter组件：称为内核空间，集成在Linux内核中。主要由信息包过滤表组成，包含了控制IP包处理的规则集 iptables组件：称为用户空间，用户通过它来插入、删除和修改规则

一.IPSEC VPN (site to site)

第一步：在外部接口启用IKE协商 crypto ikev1 enable outside

第二步：配置ikev1协商 策略

Ikev1 策略两边要一致，可设置多个策略模板，只要其中一个和对方匹配即可

crypto ikev1 policy 5 //启用并创建一个ikev1策略，并指定优先级为5

authentication pre-share //配置认证方式为预共享密钥

encryption 3des //配置策略的加密算法，有3des、des、ase等 hash sha //配置策略的哈希算法，校验算法有sha、md5等 group 2 //配置Diffie-Hellman组，1为768位，2为1024位 lifetime 86400 //默认的有效时间

第三步：配置需要加密的数据流

10.30.0.0为本地内网地址，172.17.0.0为对方内网地址

access-list ipsec-vpn extended permit ip 10.30.

一.IPSEC VPN (site to site)

第一步：在外部接口启用IKE协商 crypto isakmp enable outside

第二步：配置isakmp协商 策略

isakmp 策略两边要一致，可设置多个策略模板，只要其中一个和对方匹配即可 isakmp policy 5 authentication pre-share //配置认证方式为预共享密钥 isakmp policy 5 encryption des //配置isakmp 策略的加密算法 isakmp policy 5 hash md5 //配置isakmp 策略的哈希算法 isakmp policy 5 group 2 //配置Diffie-Hellman组 isakmp policy 5 lifetime 86400 //默认的有效时间

第三步：配置需要加密的数据流

192.168.241.0为本地内网地址，10.10.10.0为对方内网地址

access-list ipsec-vpn extended permit ip 192.1