联想网御强五防火墙透明模式设置资料

实验V3防火墙透明模式（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图四、配置步骤基本配置1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2. 将防火墙加入到网络中，进行防火墙的基本配置3. 将防火墙转换成二层模式，保证内网运行正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustadd interface g1/0quitfirewall zone untrust //外网口加入untrustadd interface g2/0quit2、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1 //设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 //将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1 五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2 六、实验思考：1、当需要管理F1000-S防火墙时，我们需要登录bridge-template接口，请考虑这个时候对内网S3100交换机有什么特殊要求？1.3 附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP地址）interface Ethernet2/0（进入WAN口）promiscuous （配置为透明传输）quitinterface Ethernet1/0 （进入LAN口）promiscuous （配置为透明传输）quitfirewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）。

防火墙的透明模式和透明代理效劳器教程电脑资料随着防火墙技术的开展，平安性高、操作简便、界面友好的防火墙逐渐成为市场热点，透明模式，顾名思义，首要的特点就是对用户是透明的(Transparent)，即用户意识不到防火墙的存在。

要想实现透明模式，防火墙必须在没有IP地址的情况下工作，不需要对其设置IP地址，用户也不知道防火墙的IP地址。

防火墙作为实际存在的物理设备，其本身也起到路由的作用，所以在为用户安装防火墙时，就需要考虑如何改动其原有的网络拓扑结构或修改连接防火墙的路由表，以适应用户的实际需要，这样就增加了工作的复杂程度和难度。

但如果防火墙采用了透明模式，即采用无IP方式运行，用户将不必重新设定和修改路由，防火墙就可以直接安装和放置到网络中使用，如交换机一样不需要设置IP地址。

透明模式的防火墙就好象是一台网桥(非透明的防火墙好象一台路由器)，网络设备(包括主机、路由器、工作站等)和所有计算机的设置(包括IP地址和网关)无须改变，同时解析所有通过它的数据包，既增加了网络的平安性，又降低了用户的复杂程度，而与透明模式在称呼上相似的透明代理，和传统代理一样，可以比包过滤更深层次地检查数据信息，比方FTP包的port命令等。

同时它也是一个非常快的代理，从物理上别离了连接，这可以提供更复杂的协议需要，例如带动态端口分配的H.323，或者一个带有不同命令端口和数据端口的连接。

这样的通信是包过滤所无法完成的。

防火墙使用透明代理技术，这些代理效劳对用户也是透明的，用户意识不到防火墙的存在，便可完成内外网络的通讯。

当内部用户需要使用透明代理访问外部资源时，用户不需要进行设置，代理效劳器会建立透明的通道，让用户直接与外界通信，这样极大地方便了用户的使用。

一般使用代理效劳器时，每个用户需要在客户端程序中指明要使用代理，自行设置Proxy参数(如在浏览器中有专门的设置来指明或FTP等的代理)。

而透明代理效劳，用户不需要任何设置就可以使用代理效劳器，简化了网络的设置过程。

5.3.1 需求描述上图是一个具有三个区段的小型网络。

其中内部网络区段的地址是10.10.10.1 到10.10.10.50，掩码是255.255.255.0；DMZ 网络区段的地址是10.10.10.100 到10.10.10.150，掩码是255.255.255.0；fe4 所在网络区段的地址是10.10.10.200 到10.10.10.254，掩码是255.255.255.0。

WWW 服务器的地址是10.10.10.100，开放端口是80；MAIL 服务器的地址是10.10.10.101，开放端口是25 和110；FTP 服务器的地址是10.10.10.102，开放端口是21。

fe1 工作在透明模式，fe3 工作在透明模式，fe4 工作在透明模式。

桥接设备brg0 的IP 地址是10.10.10.1，允许管理。

防火墙的缺省安全策略是禁止。

区段间的安全策略是：允许内部网络区段访问DMZ 区段和INTERNET 的http，smtp，pop3，ftp 服务，允许INTERNET 区段访问DMZ 网络的http，smtp，pop3，ftp 服务。

其他的访问都禁止。

5.3.2 配置步骤1. 网络配置>网络设备>：编辑桥接设备brg0，将它的IP 地址配置为10.10.10.1，掩码是255.255.255.0，允许管理，确定。

2. 网络配置>网络设备>：编辑物理设备fe1，选择工作模式为“透明”，确定。

3. 网络配置>网络设备>：编辑物理设备fe3，选择工作模式为“透明”，确定。

4. 网络配置>网络设备>：编辑物理设备fe4，选择工作模式为“透明”，确定。

注意：在策略配置前，先添加如下的资源：LOCAL_NET：10.10.10.2 到10.10.10.50，网络地址段。

DMZ_NET：10.10.10.100 到10.10.10.150，网络地址段。

防火墙的透明模式和透明代理服务器教程电脑资料防火墙在计算机网络安全中扮演着非常重要的角色。

它可以帮助监控和管理网络流量，保护计算机网络免受恶意攻击和未经授权的访问。

而防火墙的透明模式和透明代理服务器是其中两个重要的概念。

本文将详细解释防火墙的透明模式和透明代理服务器的原理，并介绍它们的设置和配置。

一、透明模式防火墙的透明模式是指在网络中拦截和过滤数据包时，对网络用户和应用程序来说是不可察觉的。

换句话说，透明模式下的防火墙不会对数据包进行任何的修改或干预。

它像一个“隐形”的墙壁，无论数据包是进入还是离开网络，都会被透明模式的防火墙检查和过滤。

在透明模式下，防火墙通常被部署为一个网桥。

这意味着它有两个网络接口，一个连接到内部网络，一个连接到外部网络。

防火墙会监听通过它的数据包流量，并根据预设的策略来判断是否允许或拒绝数据包通过。

用户和应用程序在没有任何感知的情况下，可以自由地发送和接收数据。

透明模式的防火墙通常还具备一些高级功能，如入侵检测系统（Intrusion Detection System，IDS）和虚拟专用网（Virtual Private Network，VPN）功能等。

它们能够帮助检测和防范网络攻击、黑客入侵等安全威胁。

二、透明代理服务器透明代理服务器（Transparent Proxy Server）是一种在网络通信中起到中间人角色的服务器。

在用户和目标服务器之间建立连接时，所有的请求和响应都需要经过透明代理服务器。

用户认为它们直接与目标服务器通信，而不知道自己实际上是在与代理服务器通信。

透明代理服务器通常用于网络缓存、访问控制、流量管理等用途。

它可以帮助优化网络通信，并提高网络性能。

同时，透明代理服务器还可以过滤和检测网络流量，防止恶意攻击、病毒传播和未经授权的访问。

设置和配置透明代理服务器通常需要以下几个步骤：1. 选择和安装合适的代理服务器软件。

常见的透明代理服务器软件有Squid、Nginx和Apache等。

4.2 防火墙透明工作模式的配置前置知识:防火墙的透明工作模式，相当于防火墙端口工作于透明网桥模式，即防火墙的各个端口所连接的计算机均处于同一IP子网中，但不同接口之间的计算机的访问要受安全规则的制约。

因此这对内部网络中需要对某些计算机采取强化控制措施时是很用的。

这是对网络变动最少的接入控制方法，广泛应用于原来网络的安全升级中，而原有的拓扑只要稍加改动即可。

实验目的1.了解什么是防火的透明工作模式2.掌握防火墙透明工作模式的配置方法，并在防火墙中设置简单规则以实现对外部设备访问的控制实验器材1.DCFW-1800S-K/VPN防火墙一台2.交叉网线两根3.PC机两台实验拓扑及规划试验步骤1.给防火墙LAN(if1)接口设置IP地址及添加管理机地址在命令行方式下利用admin用户登录到防火墙，执行如下操作：# ifconfig if1 192.168.100.100/24# ifconfig if1 192.168.100.100/24# adminhost add 192.168.100.101# apply# save做了如上修改之后，修改本地计算机的“测试”网卡地址为“192.168.100.101”，并启动浏览器、用admin用户登录到防火墙。

2. 进入网桥设置主界面选择“首页”|“系统”|“网桥设置”命令，如图1所示：图1 网桥设置界面3．启用网桥单击图1中“网桥设备”中的“bridge0”右边的“修改”按钮，进入如图2所示的界面，选中“修改网桥设置”选项卡，随后选中“启用”复选框，以启用网桥。

图2 启用网桥设置4．向网桥中添加接口选中“网桥bridege0接口设置”选项卡，如图3所示。

图3启用网桥设置单击“新增”按钮，将if0和if1接口加入bridge0，完成后的界面如图4所示。

图4 向bridge0中加入接口而后选“修改网桥设置”选项卡，回到图25所示界面，单击“确定”按钮，回到主界面，如图5所示，为使设置生效，依次单击“应用”和“保存”按钮。

防火墙路由模式修改为透明模式的具体操作步骤
客户在修改了工作模式以后，无法登陆防火墙也无法管理，提示防火墙连接中断现象。

以下为防火墙的具体操作步骤：
一、物理设备的修改（需求：FE3/FE5/FE6工作在透明模式，地址为192.9.200.1） 1
1. 让FE3口工作在路由模式，先进行对FE5/FE6口的进行透明模式的修改 1
2. 网桥设备的IP设置 (2)
3. 网桥设备的管理主机的设置（管理主机IP：192.9.200.111） (2)
4. 通过管理主机IP：192.9.200.111连接FE5/FE6的任意一个网口3
5. 修改FE3口的工作模式为透明模式。

(3)
6. 在网桥设备中对FE3IP地址的设置。

(3)
7. 以上的步骤解决了FE3/FE5/FE6网口都工作在透明模式下。

(3)
在路由模式下连接防火墙（防火墙IP为10.1.5.254, 管理主机的IP10.1.5.200）
一、物理设备的修改（需求：FE3/FE5/FE6工作在透明模式，地址为192.9.200.1）
设置如下
1. 让FE3口工作在路由模式，先进行对FE5/FE6口的进行透明模式的修改
2. 网桥设备的IP设置
3. 网桥设备的管理主机的设置（管理主机IP：192.9.200.111）
4. 通过管理主机IP：192.9.200.111连接FE5/FE6的任意一个网口
5. 修改FE3口的工作模式为透明模式。

6. 在网桥设备中对FE3IP地址的设置。

7. 以上的步骤解决了FE3/FE5/FE6网口都工作在透明模式下。