防火墙透明模式配置(二层模式)

实验V3防火墙透明模式（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图四、配置步骤基本配置1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2. 将防火墙加入到网络中，进行防火墙的基本配置3. 将防火墙转换成二层模式，保证内网运行正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustadd interface g1/0quitfirewall zone untrust //外网口加入untrustadd interface g2/0quit2、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1 //设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 //将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1 五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2 六、实验思考：1、当需要管理F1000-S防火墙时，我们需要登录bridge-template接口，请考虑这个时候对内网S3100交换机有什么特殊要求？1.3 附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP地址）interface Ethernet2/0（进入WAN口）promiscuous （配置为透明传输）quitinterface Ethernet1/0 （进入LAN口）promiscuous （配置为透明传输）quitfirewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）。

Netscreen防火墙透明模式配置案例防火墙的透明模式即防火墙内网和外网不设三层IP地址，不做路由或者地址转换，只有设置管理IP。

一般在现有复杂网络添加防火墙时采用。

接口为透明模式时，NetScreen 设备过滤通过防火墙的封包，而不会修改 IP 封包包头中的任何源或目的地信息。

所有接口运行起来都像是同一网络中的一部分，而NetScreen 设备的作用更像是Layer 2（第 2 层）交换机或桥接器。

在透明模式下，接口的 IP 地址被设置为 0.0.0.0，使得 NetScreen 设备对于用户来说是可视或“透明”的。

实例：透明模式Netscreen 25ethent0 V1－Trust zone IP：0.0.0.0/0ethent3 V1－Untrust zone IP：0.0.0.0/0gateway:192.168.10.253LAN:192.168.10.0/24FTP 服务器:192.168.10.250/24邮件服务器:192.168.10.249/24VLAN1 IP:192.168.10.252/24 端口 5555透明模式的 NetScreen 设备保护的单独 LAN 的基本配置。

策略允许V1-Trust 区段中所有主机的外向信息流、邮件服务器的内向 SMTP 服务，以及 FTP 服务器的内向 FTP-Get 服务。

为了提高管理信息流的安全性，将 WebUI 管理的 HTTP 端口号从 80 改为 5555，将 CLI 管理的 Telnet 端口号从 23改为 5555。

使用 VLAN1 IP 地址192.168.10.252/24 来管理 V1-Trust 安全区段的设备。

也可配置到外部路由器的缺省路由（于192.168.10.253 处），以便 NetScreen 设备能向其发送出站 VPN 信息流。

V1-Trust 区段中所有设备的缺省网关也是 192.168.10.253。

透明模式防火墙在防火墙系统7.0及其后续版本中，引入了用安全网桥模式作为二层设备来部署安全设备的方法，以此提供从第2层到第7层的丰富防火墙服务。

在透明模式下，安全设备会以"额外添加设备（bump in the wire ）"的形式存在，而不会被计算进路由的跳数中。

因此也就不需要对IP网络（第3层地址方案）重新进行设计。

安全设备的内部接口和外部接口连接在同一个网络（IP子网）中。

如果这个内部接口和外部接口连接在同一台交换机上的话，就要把它们放在不同的二层网络中（可以给这两个接口分配不同的VLAN号，或者用不同的交换机连接它们）。

这样做可以从本质上把网络分成两个二层网段，安全设备位于这两个网段之间充当网桥，而网络的第3层结构则没有发生变化。

客户只能被连接到两台相互分离的交换机之一（而无法以任何方式与另一台相连）。

图6-3对此作出了进一步的说明。

即使防火墙处于网桥模式中，仍然需要对其配置ACL来对穿越防火墙的三层流量实施控制和放行。

但ARP流量除外，它不需要使用ACL来匹配，因为它可以用防火墙的ARP监控功能（ARP inspection）进行控制。

透明模式不能为穿越设备的流量提供IP路由功能，因为它处于网桥模式中。

静态路由是用来为这台设备始发流量服务的，不适用于穿越这台设备的流量。

不过，只要防火墙的ACL 有相应的匹配条目，那么IP路由协议数据包是可以通过这个防火墙的。

OSPF、RIP、EIGRP、BGP都可以穿越透明模式的防火墙建立临接关系。

当防火墙运行在透明模式时，它仍然对数据进行状态化监控和应用层检测，它也仍然可以实现所有普通防火墙的功能，比如NA T。

配置NA T可以在防火墙系统8.0及后续版本中实现，在此之前的版本中，则不支持在透明模式下实现NA T的功能。

出站数据包要从哪个接口转发出去是通过防火墙查询MAC地址，而不是路由表实现的。

透明模式下的防火墙只有一个IP地址必须配置，那就是管理IP。

4.2 防火墙透明工作模式的配置前置知识:防火墙的透明工作模式，相当于防火墙端口工作于透明网桥模式，即防火墙的各个端口所连接的计算机均处于同一IP子网中，但不同接口之间的计算机的访问要受安全规则的制约。

因此这对内部网络中需要对某些计算机采取强化控制措施时是很用的。

这是对网络变动最少的接入控制方法，广泛应用于原来网络的安全升级中，而原有的拓扑只要稍加改动即可。

实验目的1.了解什么是防火的透明工作模式2.掌握防火墙透明工作模式的配置方法，并在防火墙中设置简单规则以实现对外部设备访问的控制实验器材1.DCFW-1800S-K/VPN防火墙一台2.交叉网线两根3.PC机两台实验拓扑及规划试验步骤1.给防火墙LAN(if1)接口设置IP地址及添加管理机地址在命令行方式下利用admin用户登录到防火墙，执行如下操作：# ifconfig if1 192.168.100.100/24# ifconfig if1 192.168.100.100/24# adminhost add 192.168.100.101# apply# save做了如上修改之后，修改本地计算机的“测试”网卡地址为“192.168.100.101”，并启动浏览器、用admin用户登录到防火墙。

2. 进入网桥设置主界面选择“首页”|“系统”|“网桥设置”命令，如图1所示：图1 网桥设置界面3．启用网桥单击图1中“网桥设备”中的“bridge0”右边的“修改”按钮，进入如图2所示的界面，选中“修改网桥设置”选项卡，随后选中“启用”复选框，以启用网桥。

图2 启用网桥设置4．向网桥中添加接口选中“网桥bridege0接口设置”选项卡，如图3所示。

图3启用网桥设置单击“新增”按钮，将if0和if1接口加入bridge0，完成后的界面如图4所示。

图4 向bridge0中加入接口而后选“修改网桥设置”选项卡，回到图25所示界面，单击“确定”按钮，回到主界面，如图5所示，为使设置生效，依次单击“应用”和“保存”按钮。

实验七、防火墙透明模式配置实验目的1.了解什么是透明网络模式2.了解如何配置防火墙为透明模式应用环境透明模式即相当于防火墙工作于透明网桥模式。

防火墙进行防范的各个区域均位于同一网段。

在实际应用网络中，这是对网络变动最少的接入方法，广泛用于大量原有网络的安全升级中。

实验设备1.防火墙设备一台2.Console线一条3.交叉网络线三条4.直通网络线一条5.PC机2三台实验拓扑实验要求1.防火墙网桥模式初始配置2.配置相关网络对象和服务对象3.配置安全规则安全规则为：PC1为内网主机，PC2为外网主机。

PC1：允许访问外网的HTTP，FTP，ping；PC2：不允许访问内网；4.实验验证实验步骤连接实验环境按照拓扑图，使用二根交叉双绞线将二台PC机与防火墙的对应端口连接在一起（实验验证用）。

防火墙网桥模式初始配置进入防火墙命令行管理界面，按照拓扑图的IP地址规划，配置防火墙的管理主机地址和LAN口地址，以便进行图形化界面管理。

# ifconfig if1 192.168.1.77/24# adminhost add 192.168.1.10# apply# save修改PC1的地址为拓扑所示（192.168.1.10），则可以通过IE浏览器进行防火墙的安全图形界面管理了。

在系统->网桥设置中，启用bridge0，并点击右侧修改按钮，如下所示：点击启用，然后点开网桥bridge0接口设置标签，使用新增按钮分别添加防火墙的lan （if1）和wan（if0）口。

系统提示操作成功后，可以得到如下界面显示：点击右上角的应用按钮，然后保存配置，网桥模式启动成功。

注：MAC缓冲池大小一般与内网连接的用户数有关，可以根据实际需要对此数值进行更改，一般需要比内网用户数多。

配置相关网络对象和服务对象在DCFW-1800系列中，配置安全规则之前，需要定义一系列的服务对象和网络对象。

所谓网络对象，就是指防火墙的安全规则所针对的网络节点或网络节点群，安全规则就是以网络对象为基本的检查单元进行安全检查决定是否允许某个网络对象的数据转发与否。

实验V3防火墙基本配置（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、xx四、配置步骤基本配置1.基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2.将防火墙加入到网络中，进行防火墙的基本配置3.将防火墙转换成二层模式，保证内网运行正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustquitfirewall zone untrust //外网口加入untrustquit2、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1//设置管理地址ip address 192.168.1.100 255.255.255.0quit//将接口加入桥组bridge-set 1quitbridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1//管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0（这是防火墙的管理IP地址）（进入WAN口）promiscuous （配置为透明传输）quit（进入LAN口）promiscuous （配置为透明传输）quitfirewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）。

Juniper Srx650防火墙透明模式双机配置目录一、网络拓扑图 (2)二、详细配置 (3)1. 前期准备 (3)2. 配置Cluster id和Node id (3)3. 指定Control Port (3)4. 指定Fabric Link Port (4)5. 配置系统参数 (5)6. 配置Redundancy Group (5)7. 每个机箱的个性化配置 (6)8. 配置桥接域和集成路由桥接口 (6)9. 配置Redundant Ethernet Interface (7)10. 配置Interface Monitoring（必须配置，否则RETH接口） (8)11. 配置接口归属安全区域 (9)12. 配置安全访问策略 (9)13. 配置缺省访问路由 (10)14. 生成紧急配置文件（消除面板告警） (10)15. 配置长连接服务 (10)三、JSRP日常维护命令 (14)1. 手工切换JSRP Master，将RG1 原backup 切换成为Master (14)2. 手工恢复JSRP 状态，按优先级重新确定主备关系（高值优先） (14)3. 查看cluster interface (14)4. 查看cluster 状态、节点状态、主备关系 (14)5. 取消cluster 配置 (14)6. 恢复处于disabled状态的node (14)四、密码恢复 (15)五、在线升级JSRP 软件版本（SRX 650/240/210） (16)1.配置FTP server (16)2.通过FTP服务器，下载OS更新文件到本地 (16)3.备份原FLASH文件 (17)4. 确认当前配置和新软件版本兼容 (17)5. 确认哪个是主设备 (17)6. 升级备份设备 (18)7. 将系统切换到升级后的备用系统 (19)8. 检查系统业务是否正常。

(20)9. 确认业务正常后，继续升级另一个node (20)10. 确认HA工作正常 (20)11. 完成后，进行观察设备及业务是否正常 (20)六、注意点 (21)一、网络拓扑图二、详细配置1.前期准备a)开机，连接设备console接口b)CLI into command line，以root用户登录，初始配置root用户密码为空，设置root用户密码c)首先将防火墙版本升级到V11.1以上版本（从V11.1版本SRX Branch系列才支持透明模式）d)升级完毕后，加载工厂缺省配置，删除所有涉及三层配置（DHCP，三层接口），Commit changese)连接SRX650-OA-1的ge-0/0/1接口和SRX650-OA-2的ge-0/0/1接口。

Juniper HA 主双（L2）透明模式配置实际环境中防火墙做主双是不太可能实现全互联结构，juniper 防火墙标配都是4个物理以太网端口，全互联架构需要防火墙增加额外的以太网接口（这样会增加用户成本），或者在物理接口上使用子接口（这样配置的复杂性增加许多），最主要的是用户的网络中大多没有像全互联模式那样多的设备。

因此主双多数实现在相对冗余的网络环境中。

环境中两个Cisco4506交换配置为HSRP 模式，文档最后附上HSRP 配置。

F5的配置请参考我写的关于F5链路负载均衡设备配置手册。

具体实际环境如下：G 2/23G 2/1G 2/1G 2/23G 2/24G 2/24G 0/1G 0/1G 0/0G 0/0防火墙A 上执行的命令set hostname ISG1000-Aset interface mgt ip 172.16.12.1/24set interface "ethernet1/4" zone "HA"set nsrp cluster id 1set nsrp rto-mirror syncset nsrp vsd-group id 0 priority 10set nsrp vsd-group id 0 preemptset nsrp vsd-group id 0 monitor interface ethernet1/1set nsrp vsd-group id 0 monitor interface ethernet1/2防火墙B上执行的命令set hostname ISG1000-Bset interface mgt ip 172.16.12.2/24set interface "ethernet1/4" zone "HA"set nsrp cluster id 1set nsrp rto-mirror syncset nsrp vsd-group id 0 priority 100set nsrp vsd-group id 0 preemptset nsrp vsd-group id 0 monitor interface ethernet1/1set nsrp vsd-group id 0 monitor interface ethernet1/2任意一个防火墙上执行的命令即可set interface "ethernet1/1" zone "V1-Trust"set interface "ethernet1/2" zone "V1-Untrust"set policy id 2 from "V1-Trust" to "V1-Untrust" "Any" "Any" "ANY" permit set policy id 3 from "V1-UnTrust" to "V1-trust" "Any" "Any" "ANY" permit___________________________________________________________最后 A 和 B 都必须执行的命令exec nsrp sync global save这个实验环境中使用的设备是ISG1000，该产品带有专用管理接口，方便设备的管理配置。

防火墙SRX240透明模式实验一、网络拓扑EX2200二、透明模式配置1．准备首先将防火墙版本升级到V11.1R3.5，从11.1版本SRX Branch系列才开始支持透明模式。

升级完毕后，将所有涉及三层的配置删除，如：DHCP，三层接口等。

2．配置二层模式//接口模式为Trunkset interfaces ge-0/0/12 vlan-taggingset interfaces ge-0/0/12 unit 0 family bridge interface-mode trunkset interfaces ge-0/0/12 unit 0 family bridge vlan-id-list 10set interfaces ge-0/0/12 unit 0 family bridge vlan-id-list 30//接口模式为Accessset interfaces ge-0/0/13 unit 0 family bridge interface-mode accessset interfaces ge-0/0/13 unit 0 family bridge vlan-id 20set interfaces ge-0/0/14 vlan-taggingset interfaces ge-0/0/14 unit 0 family bridge interface-mode trunkset interfaces ge-0/0/14 unit 0 family bridge vlan-id-list 10set interfaces ge-0/0/14 unit 0 family bridge vlan-id-list 20set interfaces ge-0/0/14 unit 0 family bridge vlan-id-list 30set interfaces ge-0/0/15 vlan-taggingset interfaces ge-0/0/15 unit 0 family bridge interface-mode trunkset interfaces ge-0/0/15 unit 0 family bridge vlan-id-list 10set interfaces ge-0/0/15 unit 0 family bridge vlan-id-list 20set interfaces ge-0/0/15 unit 0 family bridge vlan-id-list 30//配置广播域set bridge-domains transfw vlan-id-list 10set bridge-domains transfw vlan-id-list 20set bridge-domains transfw vlan-id-list 30上述提交后防火墙会提示重启。

实验V3防火墙基本配置（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S 防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图四、配置步骤基本配置1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2. 将防火墙加入到网络中，进行防火墙的基本配置3. 将防火墙转换成二层模式，保证内网运行正常页脚内容1防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permit firewall zone trust //内网口加入trustadd interface g1/0quitfirewall zone untrust //外网口加入untrustadd interface g2/0quit2、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组页脚内容2int bridge-template 1 //设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 //将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛页脚内容31.1五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP地址）interface Ethernet2/0（进入WAN口）promiscuous （配置为透明传输）quitinterface Ethernet1/0 （进入LAN口）promiscuous （配置为透明传输）页脚内容4quitfirewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）页脚内容5。