防火墻透明工作模式的配置

1、4.2防火墻透明工作模式的配置前置知識：防火墻的透明工作模式，相當于防火墻端口工作于透明網橋模式，即防火墻的各個端 口所連接的計算機均處于同一 IP子網中，但不同接口之間的計算機的訪問要受安全規(guī)則的 制約。因此這對內部網絡中需要對某些計算機采取強化控制措施時是很用的。這是對網絡變動最少的接入控制方法，廣泛應用于原來網絡的安全升級中，而原有的 拓撲只要稍加改動即可。實驗目的了解什么是防火的透明工作模式掌握防火墻透明工作模式的配置方法，并在防火墻中設置簡單規(guī)則以實現(xiàn)對外部設 備訪問的控制實驗器材DCFW-1800S-K/VPN 防火墻一臺交叉網線兩根PC機兩臺實驗拓撲及規(guī)劃試驗步驟給防火墻LAN(

2、ifl)接口設置IP地址及添加管理機地址在命令行方式下利用admin用戶登錄到防火墻，執(zhí)行如下操作：ifconfig if1 00/24ifconfig if1 00/24adminhost add 01applysave做了如上修改之后，修改本地計算機的“測試”網卡地址為“ 01 ”，并啟 動瀏覽器、用admin用戶登錄到防火墻。進入網橋設置主界面選擇“首頁” | “系統(tǒng)” | “網橋設置”命令，如圖1所示：圖1網橋設置界面啟用網橋單擊圖1中“網橋設備”中的“bridge0”右邊的“修改”按鈕，進入如圖2所示的界面， 選中“修改網橋設置”選項卡，隨后選中“啟用”復選框，以啟用網橋。圖2啟用網

3、橋設置向網橋中添加接口選中“網橋bridege0接口設置”選項卡，如圖3所示。圖3啟用網橋設置單擊“新增”按鈕，將if0和if1接口加入bridge0,完成后的界面如圖4所示。圖4向bridge0中加入接口而后選“修改網橋設置”選項卡，回到圖25所示界面，單擊“確定”按鈕，回到主界面， 如圖5所示，為使設置生效，依次單擊“應用”和“保存”按鈕。至此，網橋的配置工作完 成。圖5保存和應用所做的設置4.配置網絡對象和服務對象在DCFW1800S-L/VPN防火墻中，在配置安全控制規(guī)則之前，必須首先定義一些列的 網絡對象和服務對象。所謂的網絡對象是指防火墻的安全控制規(guī)則所要作用到的網絡節(jié)點或者是節(jié)點

4、群（比 如一個網段的計算機），一般表現(xiàn)為計算機和服務器對象。安全規(guī)則以網絡對象為基本控制 單位，根據(jù)安全規(guī)則的規(guī)定以決定是否允許網絡對象訪問某個或多個服務對象。服務對象是指對網絡提供的服務進行定義，如FTP、HTTP等服務，他們是網絡對象對 象所要使用的網絡服務。DCFW1800S-L/VPN防火墻默認已經定義了常見的網絡服務對象， 基本上可以滿足常規(guī)的應用需求，無須用戶再次定義。選擇“首頁”|“對象”|“網絡對象”，系統(tǒng)已經內置定義了一些可信區(qū)域、非可信區(qū)域、 DMZ區(qū)及可信接口等網絡對象，如圖6所示。圖6系統(tǒng)內置的網絡對象本試驗創(chuàng)建兩個新的網絡對象，對應兩臺試驗用計算機。在圖6中單擊“新增

5、”按鈕， 打開如圖7所示窗口并填入相應的參數(shù)，該計算機連接在防火墻的LAN(ifl)口所在的子網 中，因此從“接口”下列別表中選擇“ if1:00”項目；因為該計算機是單一的 網絡對象，所以“IP/Maskbits”中的掩碼填入值32。圖7創(chuàng)建網絡對象單擊“確定”按鈕回到28所示界面，完成該網絡對象的定義。重復上述步驟，創(chuàng)建第二 個網絡對象，完成后的情況如圖8所示。網命對象新增安全域：I 全部 I E第m頁轉到第1頁回#名稱類型接口 IP/MaskbitsMA主機名備注修改U除1 pptpjjserZNRpptp any addressall pptp dialup users2 tunnel

6、jjserZNRtunnel any addressall ipsec tunnel users3 untrustzone ZNR ifO untrust any addressall of untrust zone4 trustzoneZNR ifl trust any addressall of trust zoneQ溪5 dmzzoneZNR if2 dmz any addressall of dmz zoneQ溪6 untrustifIFR ifO 54/24all of untrustifQ溪7 trustifIFR ifl 00/24all of trustifQ溪8 dmzifI

7、FR if2 54/24all of dmzifQ溪CVrust-PCSTD ifl 01/32內網的管理機，是可信的計聳機Q溪ldjntrust_PCSTD iFO 9/32處在口連接的外部網貉上，是不可信的計聳機圖8定義兩個網絡對象至此，網絡對象的定義就完成了。定義服務對象選擇“首頁” I “對象” I “服務” I “服務對象”，可以看到系統(tǒng)內置定義的服務對象，如 圖9所示。圖9系統(tǒng)內置的服務對象系統(tǒng)內置了 87個服務對象，幾乎涵蓋了所有的網絡服務。如果用戶使用的網絡服務未包含 其中，則可以通過“自定義服務對象”功能進行定義。配置安全訪問規(guī)則選擇“首頁” I “策略” I “策略設置”，

8、添加兩條訪問控制規(guī)則，如圖10所示。圖10添加兩條訪問控制規(guī)則這兩條訪問控制規(guī)則的含義如下：第 1 條：允許 trust-PC ping untrust_PC 的操作第2條：不允許trust-PC ping untrust_PC的操作 這兩條規(guī)則實際上限制了只能單項Ping通。7.驗證PC1 ping PC2(即 trust-PC ping untrust_PC)，操作結果如圖 11 所示:圖 11PC1 ping PC2由上圖可見PC1是可以ping通PC2的，即防火墻允許該服務的數(shù)據(jù)包通過。由 圖12可見PC2卻是不可以ping通PC12的，可見防火墻不允許該方向的該服務的數(shù)據(jù) 包通過。圖 12 PC2 pi