系统集成论坛

标题: netscreen防火墙透明模式配置实例 [打印本页]

作者: 思考的牛 时间: 2011-7-28 11:00
标题: netscreen防火墙透明模式配置实例
防火墙的透明模式即防火墙内网和外网不设三层IP地址，不做路由或者地址转换，只有设置管理IP。

一般在现有复杂网络添加防火墙时采用。接口为透明模式时，NetScreen 设备过滤通过防火墙的封包，而不会修改 IP 封包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分，而NetScreen 设备的作用更像是Layer 2（第 2 层）交换机或桥接器。在透明模式下，接口的 IP 地址被设置为 0.0.0.0，使得 NetScreen 设备对于用户来说是可视或“透明”的。

实例：透明模式
Netscreen 25
ethent0 V1－Trust zone IP：0.0.0.0/0
ethent3 V1－Untrust zone IP：0.0.0.0/0
gateway:192.168.10.253
LAN:192.168.10.0/24
FTP 服务器:192.168.10.250/24
邮件服务器:192.168.10.249/24
VLAN1 IP:192.168.10.252/24 端口 5555

透明模式的 NetScreen 设备保护的单独 LAN 的基本配置。策略允许 V1-Trust 区段中所有主机的外向信息流、邮件服务器的内向 SMTP 服务，以及 FTP 服务器的内向 FTP-Get 服务。为了提高管理信息流的安全性，将 WebUI 管理的 HTTP 端口号从 80 改为 5555，将 CLI 管理的 Telnet 端口号从 23改为 5555。使用 VLAN1 IP 地址192.168.10.252/24 来管理 V1-Trust 安全区段的设备。也可配置到外部路由器的缺省路由（于 192.168.10.253 处），以便 NetScreen 设备能向其发送出站 VPN 信息流。V1-Trust 区段中所有设备的缺省网关也是 192.168.10.253。）

Web界面模式
管理设置和接口
1. Network > Interfaces > Edit（对于 VLAN1 接口）：输入以下内容，然后单击 OK：
IP Address/Netmask: 192.168.10.252/24
Management Services: WebUI, Telnet （选择）
Other Services: Ping（选择）
2. Configuration > Admin > Management：在“HTTP Port”字段中，键入 5555，然后单击 Apply
3. Network > Interfaces > Edit（对于 ethernet1）：输入以下内容，然后单击 OK：
Zone Name: V1-Trust
IP Address/Netmask: 0.0.0.0/0
4. Network > Interfaces > Edit（对于 ethernet3）：输入以下内容，然后单击 OK：
Zone Name: V1-Untrust
IP Address/Netmask: 0.0.0.0/0
5. Network > Interfaces > Edit（对于 v1-trust）：选择以下内容，然后单击 OK：
Management Services: WebUI, Telnet
Other Services: Ping

路由
6. Network > Routing > Routing Table > trust-vr New：输入以下内容，然后单击 OK：
Network Address/Netmask: 0.0.0.0/0
Gateway: （选择）
Interface: vlan1(trust-vr)
Gateway IP Address: 192.168.10.253
Metric: 1

地址
7. Objects > Addresses > List > New：输入以下内容，然后单击 OK：
Address Name: Mail Server
IP Address/Domain Name: IP/Netmask: 192.168.10.249/32
Zone: Trust
8. Objects > Addresses > List > New：输入以下内容，然后单击 OK：
Address Name: FTP Server
IP Address/Domain Name: IP/Netmask: 192.168.10.250/32
Zone: Trust

策略
9. Policies > (From: Trust, To: Untrust) > New：输入以下内容，然后单击 OK：
Source Address:
Address Book: （选择） , Any
Destination Address:
Address Book: （选择） , Any
Service: Any
Action: Permit
10. Policies > (From: Untrust, To: Trust) > New：输入以下内容，然后单击 OK：
Source Address:
Address Book: （选择） , Any
Destination Address:
Address Book: （选择） , Mail Server
Service: Mail
Action: Permit
11. Policies > (From: Untrust, To: Trust) > New：输入以下内容，然后单击 OK：
Source Address:
Address Book: （选择） , Any
Destination Address:
Address Book: （选择） , FTP Server
Service: FTP-Get
Action: Permit

命令行模式：

set interface vlan1 ip 192.168.10.252/24
set interface vlan1 manage web
set interface vlan1 manage telnet
set interface vlan1 manage ping

set admin port 5555
set interface eth1 zone V1-Trust
set interface eth3 zone V1-Untrust

set interface eth1 manage web
set interface eth1 manage telnet
set interface eth1 manage ping

set set route 0.0.0.0/0 interface vlan1 gateway 192.168.10.253 metric 1

set address trust mail-server 192.168.10.249/32
set address trust ftp-server 192.168.10.250/32

set policy from trust to untrust any any any permit

set policy from untrust to trust any mail-server mail permit

set policy from untrust to trust any ftp-server ftp-get permit

作者: 我是菜鸟 时间: 2011-8-9 11:05
看看

欢迎光临系统集成论坛 (http://bbs.xtjc.com/)