防火墙透明工作模式的配置

1、4.2防火墙透明工作模式的配置前置知识：防火墙的透明工作模式，相当于防火墙端口工作于透明网桥模式，即防火墙的各个端 口所连接的计算机均处于同一 IP子网中，但不同接口之间的计算机的访问要受安全规则的 制约。因此这对内部网络中需要对某些计算机采取强化控制措施时是很用的。这是对网络变动最少的接入控制方法，广泛应用于原来网络的安全升级中，而原有的 拓扑只要稍加改动即可。实验目的了解什么是防火的透明工作模式掌握防火墙透明工作模式的配置方法，并在防火墙中设置简单规则以实现对外部设 备访问的控制实验器材DCFW-1800S-K/VPN 防火墙一台交叉网线两根PC机两台实验拓扑及规划试验步骤给防火墙LAN(

2、ifl)接口设置IP地址及添加管理机地址在命令行方式下利用admin用户登录到防火墙，执行如下操作：ifconfig if1 00/24ifconfig if1 00/24adminhost add 01applysave做了如上修改之后，修改本地计算机的“测试”网卡地址为“ 01 ”，并启 动浏览器、用admin用户登录到防火墙。进入网桥设置主界面选择“首页” | “系统” | “网桥设置”命令，如图1所示：图1网桥设置界面启用网桥单击图1中“网桥设备”中的“bridge0”右边的“修改”按钮，进入如图2所示的界面， 选中“修改网桥设置”选项卡，随后选中“启用”复选框，以启用网桥。图2启用网

3、桥设置向网桥中添加接口选中“网桥bridege0接口设置”选项卡，如图3所示。图3启用网桥设置单击“新增”按钮，将if0和if1接口加入bridge0,完成后的界面如图4所示。图4向bridge0中加入接口而后选“修改网桥设置”选项卡，回到图25所示界面，单击“确定”按钮，回到主界面， 如图5所示，为使设置生效，依次单击“应用”和“保存”按钮。至此，网桥的配置工作完 成。图5保存和应用所做的设置4.配置网络对象和服务对象在DCFW1800S-L/VPN防火墙中，在配置安全控制规则之前，必须首先定义一些列的 网络对象和服务对象。所谓的网络对象是指防火墙的安全控制规则所要作用到的网络节点或者是节点

4、群（比 如一个网段的计算机），一般表现为计算机和服务器对象。安全规则以网络对象为基本控制 单位，根据安全规则的规定以决定是否允许网络对象访问某个或多个服务对象。服务对象是指对网络提供的服务进行定义，如FTP、HTTP等服务，他们是网络对象对 象所要使用的网络服务。DCFW1800S-L/VPN防火墙默认已经定义了常见的网络服务对象， 基本上可以满足常规的应用需求，无须用户再次定义。选择“首页”|“对象”|“网络对象”，系统已经内置定义了一些可信区域、非可信区域、 DMZ区及可信接口等网络对象，如图6所示。图6系统内置的网络对象本试验创建两个新的网络对象，对应两台试验用计算机。在图6中单击“新增

5、”按钮， 打开如图7所示窗口并填入相应的参数，该计算机连接在防火墙的LAN(ifl)口所在的子网 中，因此从“接口”下列别表中选择“ if1:00”项目；因为该计算机是单一的 网络对象，所以“IP/Maskbits”中的掩码填入值32。图7创建网络对象单击“确定”按钮回到28所示界面，完成该网络对象的定义。重复上述步骤，创建第二 个网络对象，完成后的情况如图8所示。网命对象新增安全域：I 全部 I E第m页转到第1页回#名称类型接口 IP/MaskbitsMA主机名备注修改U除1 pptpjjserZNRpptp any addressall pptp dialup users2 tunnel

6、jjserZNRtunnel any addressall ipsec tunnel users3 untrustzone ZNR ifO untrust any addressall of untrust zone4 trustzoneZNR ifl trust any addressall of trust zoneQ溪5 dmzzoneZNR if2 dmz any addressall of dmz zoneQ溪6 untrustifIFR ifO 54/24all of untrustifQ溪7 trustifIFR ifl 00/24all of trustifQ溪8 dmzifI

7、FR if2 54/24all of dmzifQ溪CVrust-PCSTD ifl 01/32内网的管理机，是可信的计耸机Q溪ldjntrust_PCSTD iFO 9/32处在口连接的外部网貉上，是不可信的计耸机图8定义两个网络对象至此，网络对象的定义就完成了。定义服务对象选择“首页” I “对象” I “服务” I “服务对象”，可以看到系统内置定义的服务对象，如 图9所示。图9系统内置的服务对象系统内置了 87个服务对象，几乎涵盖了所有的网络服务。如果用户使用的网络服务未包含 其中，则可以通过“自定义服务对象”功能进行定义。配置安全访问规则选择“首页” I “策略” I “策略设置”，

8、添加两条访问控制规则，如图10所示。图10添加两条访问控制规则这两条访问控制规则的含义如下：第 1 条：允许 trust-PC ping untrust_PC 的操作第2条：不允许trust-PC ping untrust_PC的操作 这两条规则实际上限制了只能单项Ping通。7.验证PC1 ping PC2(即 trust-PC ping untrust_PC)，操作结果如图 11 所示:图 11PC1 ping PC2由上图可见PC1是可以ping通PC2的，即防火墙允许该服务的数据包通过。由 图12可见PC2却是不可以ping通PC12的，可见防火墙不允许该方向的该服务的数据 包通过。图 12 PC2 pi