山石网科防火墙接入方式之透明模式

1、山石网科防火墙在接入方面为我们提供了四个方面的选择1 .透明模式2 .路由模式3 .混合模式4 .旁路模式今天我们简单的看下透明模式的接入，首先我们来看下拓扑图。Ip.addr=10.L1.1/24通过这样的一个拓扑图我们发现，在防火墙的左边和右边都是连接的同一个网络，但是我们并没有给防火墙分配地址，而是让防火墙透明的存在这个网络中，这种接入方式就是我们的接入方式的透明模式。既然是透明的，并且没有ip地址，那么我们让他们正常的进行通信通过这个交就需要通过二层来实现。山石网科的设备在设备内部默认存在一个虚拟交换机，换机来实现二层的互联。L2InterfaceL2InterfaceL2ZonelL

2、2Interface、L2Zone2L2Interface'/Switch卜面我们有两种方式来为配置我们的透明模式，一种是命令行方式，还有一种是网页方式。一：命令行模式先要把对应的接口划入到对应的zone,如我们的拓扑图所示。QYTANG(config)#inte0/1QYTANG(config-if-eth0/1)#zonel2-trustQYTANG(config-if-eth0/1)#noshutdownQYTANG(config-if-eth0/1)#exitQYTANG(config)#inte0/2QYTANG(config-if-eth0/2)#zonel2-untrus

3、tQYTANG(config-if-eth0/2)#noshutdown现在我们需要在两边的路由器上配置相应的ip地址。R1(config)#inte0/0R1(config-if)#ipaddress10.1.1.1255.255.255.0R1(config-if)#noshutdownR1(config-if)#exitR2(config)#inte0/0R2(config-if)#ipaddress10.1.1.2255.255.255.0R2(config-if)#noshutdownR2(config-if)#exit在没有做策略之前做测试，看是否能够通信。Ripping10.1.

4、1.2Typeescapesequencetoabort,Sending5,100-byteICMPEchosto10,1.1.2,timeoutis2seconds:successrateis0percent(0/5)最后我们需要在防火墙上做相应的策略来放行从trust到untrust的流量，先定义要放行的地址的范围。QYTANG(config)#addresstrust-addressQYTANG(config-addr)#range10.1.1.010.1.1.255QYTANG(config-addr)#exitQYTANG(config)#addressuntrust-address

5、QYTANG(config-addr)#range10.1.1.010.1.1.255QYTANG(config-addr)#exit在对应的规则里面放行上面自己定义的地址。QYTANG(config)#ruleid2Ruleid2iscreatedQYTANG(config-policy-rule)#src-zonel2-trustQYTANG(config-policy-rule)#dst-zonel2-untrustQYTANG(config-policy-rule)#src-addrtrust-addressQYTANG(config-policy-rule)#dst-addruntr

6、ust-addressQYTANG(config-policy-rule)#actionpermitQYTANG(config-policy-rule)#serviceanyQYTANG(config-policy-rule)#exit做了策略和相关的设置之后再来测试下连通性。Ripping10*1.1.2Typeescapesequencetoabort4Sending5.100-byteICMPEchosto10.1.1,2,timeoutis2seconds:iiiIjSuccessrareis100percent(5/5),round-tripnrin/avg/max=20/29/39msRI#：通过网页来操作。和命令行一样的顺序，先要把对应的端口划入到对应的zone。rnel里口捅口名京6themetO/2推逑士外字符场定安全号,。二星生金W。三展安全域.TAP0无螂足安例广12-untrust*由于命令行的时候已经配置过了路由器的ip地址，这边就不需要了，直接进入策略的配置就好了。!TT一YFVW01