飞塔防火墙的路由与透明模式要点
- 格式:ppt
- 大小:799.00 KB
- 文档页数:39


防火墙透明模式配置案例
1、 组网需求:
某局点想在原有的网络中增加防火墙来提高网络安全性,又不想要对原有 网络配置进行变动。所以采取防火墙透明模式部署。
注:透明模式部署不会影响原有网络配置,也是防火墙最常见的部署方式。
2、 组网图:
3、 配置步骤:
1、登录设备 H3C SECPATH F100-
C80-WiNet 策路
fgVRF
接口
接口
帝删陰@创建子接口 (3麴 笳憊瓏豳围溜
接口 1PW
GE1/0/0 Management Down 152.168.C
Down
力认安全域
链路状态 设备默认的管理地址为 192.168.0.1/24 ,需要将电脑设置为 192.168.0.X/24 地址后连接设备0号端口登
录设备。
设备默认的管理地址为 192.168.1.1/24 ,需要将电脑设置为 192.168.1.X/24 地址后连接设备2号端口登
录设备。
电脑IP地址配置方法:点击右下角电脑图标 >选择“打开网络和共享中心”
打开浏览器后登录设备,设备默认的登录用户名和密码都是“ admin”。
2、配置接口 1为连接上层网络设备接口,并设置为二层模式。
J GE1/0/1
GE1/D/1 3、配置接口 2为连接内网设备的接口,不同的是加入安全域选择 trust,其他配置同上。
删除I■朗|寺番动丨“启用丨0禁用丨鹿
I 艮 I 描述
聽呂单
选择源安全区域为“trust ”目的安全区域为“ untrust ",源 IP地址下拉按钮处点击“ +”新建匹配
192.168.10.0 的网段。 4、放通“trust ”到“untrust ”区域的域间策略,点击“策略 -》安全策略”点击中间的“新建”按钮
H3C SECPATH F100-
C80-WiNet
安全防护
攻■WE
旻保护IF
@^n rlh馳除
['勸DSJ象
* (IPv4地址腌码拴圜
SECPATH F100- CSO-WiNet 巨]
防火墙上网基础调试
透明模式
功能说明:
在透明模式下,防火墙更像一个网桥,它不干涉网络结构,从拓扑中看来,它似乎是不存在的(因此称为透明)。但是,透明模式的防火墙通过设置规则,具备数据包过滤的功能。透明网桥模式在数据链路层实现。防火墙在该模式下工作时,可以透明地接入到网络的任何部位,无需改动用户网络结构和配置,即插即用,简便高效,使用方便。
适用环境:
在网络中使用哪种工作模式的防火墙取决于你的网络环境。一般来说,在下面所述情况下比较适合使用透明模式:
(1)你的服务器需要使用真实互联网IP地址。因为在该模式下,你的服务器看起来像直接面对互联网一样,所有对服务器的访问请求都直接到达服务器。当然,在数据包到达服务器之前会经过防火墙的检测,不符合规则的数据包会被丢弃掉(从服务器编程的角度看,它不会觉察到数据包实际已被处理过)。
(2)需要保护同一子网上不同区域(部门)的主机。这时,原来的网络拓扑结构无须做任何改变。比如,企业的财务部是企业重要部门,即使内部员工也不允许随便访问.因此,需要特别的保护。但企业网络已经建成,相应改造会带来许多工作。而选择透明模式,既不用改造企业网络结构.也可以在没有经过防火墙授权的情况下.禁止非法人员访问财务部的主机。如此一来,起到了局部信息保密和保护的效果
实例拓扑图:DFL-860E以透明模式接入到网络中
拓扑说明:
内网网段为192.168.13.0/24,内网用户需要经过防火墙才可以访问互联网。防火墙接入在客户原有网络内,原有网络结构与设备配置都不需要更改。
透明模式的设置:
一、 在interfaceAddresses分别设置好wan1_ip, wan1net ,wan1_gw ,lan_ip ,lannet ,
wan1_ip的设置如下:
Wan1_net,wan1的网段掩码,如下图:
wan1_gw的网关,如下图:
Lan_ip的设置如下:
Lannet设置为lan_ip的网段掩码
Transparent Mode
在安全或者路由产品上,由于接口都是三层接口所以配置时候需要IP地址。当然有些情况,指的是有些情况,当IP地址不够用,或者其他某些蛋疼的原因没有IP地址时候。怎么办?
接口运行在透明模式,也就是运行在2层中。
那么运行2层有毛好处呢?
透明模式的防火墙就好像是一台网桥(非透明的防火墙好像一台路由器),网络设备(包括主机、路由器、工作站等)和所有计算机的设置(包括IP地址和网关)无须改变,同时解析所有通过它的数据包,既增加了网络的安全性,又降低了用户管理的复杂程度。就是不配IP地址,直接接上就用,但是安全策略还有效。这不是很帅么。
当然再帅也有遗憾,就想SRX 也有些feature 在透明模式下不支持一样:
Note: Transparent mode is supported only for IPv4 traffic.
首先透明模式只支持IPv4
Note: Not all security features are supported in transparent mode:
NAT is not supported.
IPsec VPN is not supported.
For ALGs, only DNS, FTP, RTSP, and TFTP ALGs are supported. Other ALGs are not
supported.
另外透明模式不支持NAT IPSEc vpn 等。
尽管2层桥能力真心不错,在SRX上也能用。类似于MX上的桥工恩呢该。但是有些MX支持的功能在SRX上是不支持的。毕竟他是安全产品么。
Layer 2 control protocols—These protocols are used on MX Series
routers for Rapid Spanning Tree Protocol (RSTP) or Multiple
Fortinet产品家族
fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,报告,网络管理,安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。
更多fortinet产品信息,详见/products.
FortiGuard服务订制
fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。fortiguard服务均以最新的安全技术构建,以最低的运行成本考虑设计。
fortiguard 服务订制包括:
1、fortiguard 反病毒服务
2、 fortiguard 入侵防护(ips)服务
3、 fortiguard 网页过滤服务
4、fortiguard 垃圾邮件过滤服务
5、fortiguard premier伙伴服务
并可获得在线病毒扫描与病毒信息查看服务。
FortiClient
forticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。forticlient的功能包括:
1、建立与远程网络的vpn连接
2、病毒实时防护
3、防止修改windows注册表
4、病毒扫描
forticlient还提供了无人值守的安装模式,管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。
FortiMail
fortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。fortimail 单元在检测与屏蔽恶意附件例如dcc(distributed
checksum clearinghouse)与bayesian扫描方面具有可靠的高性能。在fortinet卓越的fortios 与fortiasic技术的支持下,fortimail反病毒技术深入扩展到全部的内容检测功能,能够检测到最新的邮件威胁。 FortiAnalyzer