防火墙交换模式配置

防火墙交换模式配置

神州数码网络第1页，共15页，2023年，2月20日，星期四防火墙交换模式配置

神州数码网络第2页，共15页，2023年，2月20日，星期四案例描述

神州数码网络3需求陈述防火墙eth6接口和eth7接口配置为透明模式Eth6与eth7同属一个虚拟桥接组，eth6属于l2-trust安全域，eth7属于l2-untrust安全域。允许网段Aping网段B及访问网段B的WEB服务放行网段B至网段A的TCP9988端口为虚拟桥接组vswitch1配置ip地址以便管理防火墙网段A:-00网段B:01-00网络拓扑Eth6Zone:l2-trustEth7Zone:l2-untrustVswtichif1:54/24第3页，共15页，2023年，2月20日，星期四配置步骤接口配置配置虚拟交换机（vswitch）添加对象网络对象服务对象配置安全策略

神州数码网络4第4页，共15页，2023年，2月20日，星期四接口配置将eth6接口加入二层安全域l2-trustDCFW-1800(config)#interfaceethernet0/6DCFW-1800(config-if-eth0/6)#zonel2-trust添加管理主机DCFW-1800(config)#adminhostanyany

神州数码网络5第5页，共15页，2023年，2月20日，星期四配置vswitch将l2-trust安全域绑定到vswitch1上DCFW-1800(config)#zonel2-trustDCFW-1800(config-zone-l2-tru~)#bindvswitch1配置vswitchif1接口DCFW-1800(config)#interfacevswitchif1DCFW-1800(config-if-vsw1)#zonetrustDCFW-1800(config-if-vsw1)#ipaddress54/24DCFW-1800(config-if-vsw1)#managepingDCFW-1800(config-if-vsw1)#managehttps完成上述配置后即可在网段A通过WEBUI使用vswitchif1接口IP进行管理

神州数码网络6第6页，共15页，2023年，2月20日，星期四外网口配置通WEBUI登陆防火墙对eth7接口进行配置将eth7接口所属安全域类型指定为“二层安全域”将eth7接口划归l2-untrust安全域

神州数码网络7物理接口配置为二层安全域时无法配置IP地址对eth0/7接口进行编辑第7页，共15页，2023年，2月20日，星期四添加对象为即将建立的安全策略定义地址对象和服务对象定义地址对象定义网段A(–00)定义网段B(01–00)定义服务对象为网段A访问网段B定义服务对象，其中包括ping和http为网段B访问网段A定义服务对象，其中只有TCP9988

神州数码网络8第8页，共15页，2023年，2月20日，星期四定义地址对象定义包含网段A的地址对象net_A在地址薄里“新建”地址对象

神州数码网络9把地址对象与它所属的vswitch相关联由于对象不是整个网段所以使用IP范围定义第9页，共15页，2023年，2月20日，星期四定义地址对象定义包含网段B的地址对象net_B在地址薄里“新建”地址对象

神州数码网络10把地址对象与它所属的vswitch相关联由于对象不是整个网段所以使用IP范围定义第10页，共15页，2023年，2月20日，星期四定义服务对象为网段A访问网段B定义服务对象由于包含多个服务，这里定义了一个服务对象组

神州数码网络11选中左侧的服务对象推送到右侧的成员组中第11页，共15页，2023年，2月20日，星期四定义服务对象为网段B访问网段A定义服务对象由于“预定义”服务对象中不存在该服务，所以需要在“自定义”服务对象中手工定义

神州数码网络12这里定义的服务对象是要访问的目的端口，如果端口号只有一个填写最小值即可第12页，共15页，2023年，2月20日，星期四配置安全策略添加网段A到网段B的策略在“安全”->“策略”中选择好“源安全域”和“目的安全域”后，新建策略

神州数码网络13源地址选择网段A的地址对象目的地址选择网段B的地址对象选择网段A访问网段B的服务对象第13页，共15页，2023年，2月20日，星期四配置安全策略添加网段B到网段A的策略在“安全”-