实验8 防火墙透明模式配置

1、实验八防火墙透明模式配置适用于河南中医学院信息技术学院网络安全实验室、实验目的1、了解什么是透明模式；2、了解如何配置防火墙的透明模式；二、应用环境透明模式相当于防火墙工作于透明网桥模式。防火墙进行防范的各个区域均位于同 一网段。在实际应用网络中，这是对网络变动最少的介入方法，广泛用于大量原有网络的 安全升级中。三、实验设备防火墙设备1台Console 线 1条网络线2条PC机3台四、实验拓扑五、实验步骤第一步：搭建WebUI配置环境除使用CLI进行配置以外，神州数码安全网关还提供WebUI界面，使用户能够更简便与直 观地对设备进行管理与配置。安全网关的ethernet0/0接口配有默认IP地

2、址/24， 并且该接口的各种管理功能均为开启状态。初次使用安全网关时，用户可以通过该接口访问安全 网关的WebUI页面。请按照以下步骤搭建WebUI配置环境：将管理PC的IP地址设置为与/24同网段的IP地址，并且用网线将管理PC 与安全网关的ethernet0/0接口进行连接。在管理PC的Web浏览器中访问地址http:/192.168.L1并按回车键。出现登录页面如 下图所示：输入管理员的名称和密码。DCFW-1800系列安全网关提供的默认管理员名称和密码均为 “admin”。从语言下拉菜单选择Web页面语言环境，中文或English。点击登录按钮进入安全网关的主页。DCFW-1800系列

3、安全网关的主页如图m DeFW-imHMLttf u一，HF S3 iMT g gg *LnIInm， *rlVFnV!MFWVpH*TTT】DCFrV-LEDaE-H-1瓦用吒H；取用日还5吨汹目 扁徊食： 心烟： 主机鄂Versic-1 4.0 DCFQ5 -4.CR3Dl.bnEniD.iaLiis 2D：a?：i1-0,43 2D09-0&-23 14;06:02 无过 1091127第二步：接口配置将eth0/1接口加入二层安全域l2-trust。将eth0/2接口设置成二层安全域l2-untrust。如下图所示丫系统职 一磁SB路由HiCPWSIHMCS* 基标盅萼飕置RIP按堆本

4、瞄名字和类型I 斗接口名ethemeW/1奏M域哭型-三巨安全域。二M安全域.五沈定安兰域Hw-trust确认）应用 :取消）,域证rnJA.I_L基栩量箭闾置RIP接口基根置召字汨类型*宣口名右安全t或类型克全域etfiemt0/2.二岳夏宝顽尊二岳玄受何.尢辨宝灵兰域lw-untrust配置好以后如下图所示Q）关于旬幕肽也保存胜注销欧启BigLiilL作地职Fi制眼主观MACTH1!：=一elKmecD/O192.3 66.1.1/24trustDDOJ.OrLfi.eQ*t &eEgl0.0-0.0/0hUULQW3.0fL5.Cl*t * rnKhemetgO.O-D.D/OHULLO

5、DOa.afl 6X42*t *曰ediQE 日 to 月0.0-0,0/0MJULQD(3.0F10,GW3*t *elnemetDj4O.O-D.D/OhULLODoafiexw*t *tfswitchrfio.fl.o.tyektlLLDDCQ.aFLE.cd4. “策略”中选择“新建”，选择规则卜对象源安全城：|any 一3 目的安全域：商厂 一3 Q搜索 *_.舌瓯 IC凫色/用户F用户纽源由M目的地址卜用户卜唳策略EAT攻击防卧瓮话限制应用层网关选择规则如下图所示，点击确定按键即可卜系第39基本配置1诟也址卜用户+目扩成-防火增+目眦111眼斓岐击瞒护时间耒二层勘护1 %芒正套馅限

6、制匹用密网美SSL代理/上财行为| l?-lr .| r uLl| l2-Lintl L5Z| r 出| r ctl to -ct_jtJI3匿丘评 c晚 i.jr广隘宣l卑目隘道I匚 _ h ；字王时单消补充1：防火墙的重置，将防火墙恢复到出厂的方法有三种：1、用户除使用设备上的CRL按键使系统恢复到出厂配置2、可以使用命令恢复。恢复出厂配置，在执行模式下，使用以下命令：unset all3、WebUI :访问页面“系统一维护一配置一管理”。点击重置思考与问题：1、防火墙上如果处于透明模式的两个接口都放到同一个二层安全域中，比如说将上述实验 中的eth0/1 口和eth0/2 口都设置成l2-trust安全域。那是否还需要设置安全策略，如果需要 的话那如何设置？答：还需要设置安全策略，如果不设置，则两者都不能ping通。若设置，则需要将eth0/1 设置成源地址，eth0/2设置成目标地址，就可以实现eth0/1 ping通eth0/2，而eth0/2 ping不 通 eth0/12、关于行为，第一次备课做时候，缺省行为竟然对结果没有影响，即不管行为时允许还是 拒绝，都能实现我们的目标；第二次实验课，学生练习发现，若是将最后的安全策略中的行为 设为拒绝，则两者将都不能ping通。待解决。3、第2次实验课