系统集成论坛
标题:
netscreen防火墙透明模式配置实例
[打印本页]
作者:
思考的牛
时间:
2011-7-28 11:00
标题:
netscreen防火墙透明模式配置实例
防火墙的透明模式即防火墙内网和外网不设三层IP地址,不做路由或者地址转换,只有设置管理IP。
一般在现有复杂网络添加防火墙时采用。接口为透明模式时,NetScreen 设备过滤通过防火墙的封包,而不会修改 IP 封包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分,而NetScreen 设备的作用更像是Layer 2(第 2 层)交换机或桥接器。在透明模式下,接口的 IP 地址被设置为 0.0.0.0,使得 NetScreen 设备对于用户来说是可视或“透明”的。
实例:透明模式
Netscreen 25
ethent0 V1-Trust zone IP:0.0.0.0/0
ethent3 V1-Untrust zone IP:0.0.0.0/0
gateway:192.168.10.253
LAN:192.168.10.0/24
FTP 服务器:192.168.10.250/24
邮件服务器:192.168.10.249/24
VLAN1 IP:192.168.10.252/24 端口 5555
透明模式的 NetScreen 设备保护的单独 LAN 的基本配置。策略允许 V1-Trust 区段中所有主机的外向信息流、邮件服务器的内向 SMTP 服务,以及 FTP 服务器的内向 FTP-Get 服务。为了提高管理信息流的安全性,将 WebUI 管理的 HTTP 端口号从 80 改为 5555,将 CLI 管理的 Telnet 端口号从 23改为 5555。使用 VLAN1 IP 地址192.168.10.252/24 来管理 V1-Trust 安全区段的设备。也可配置到外部路由器的缺省路由(于 192.168.10.253 处),以便 NetScreen 设备能向其发送出站 VPN 信息流。V1-Trust 区段中所有设备的缺省网关也是 192.168.10.253。)
Web界面模式
管理设置和接口
1. Network > Interfaces > Edit(对于 VLAN1 接口):输入以下内容,然后单击 OK:
IP Address/Netmask: 192.168.10.252/24
Management Services: WebUI, Telnet (选择)
Other Services: Ping(选择)
2. Configuration > Admin > Management:在“HTTP Port”字段中,键入 5555,然后单击 Apply
3. Network > Interfaces > Edit(对于 ethernet1):输入以下内容,然后单击 OK:
Zone Name: V1-Trust
IP Address/Netmask: 0.0.0.0/0
4. Network > Interfaces > Edit(对于 ethernet3):输入以下内容,然后单击 OK:
Zone Name: V1-Untrust
IP Address/Netmask: 0.0.0.0/0
5. Network > Interfaces > Edit(对于 v1-trust):选择以下内容,然后单击 OK:
Management Services: WebUI, Telnet
Other Services: Ping
路由
6. Network > Routing > Routing Table > trust-vr New:输入以下内容,然后单击 OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (选择)
Interface: vlan1(trust-vr)
Gateway IP Address: 192.168.10.253
Metric: 1
地址
7. Objects > Addresses > List > New:输入以下内容,然后单击 OK:
Address Name: Mail Server
IP Address/Domain Name: IP/Netmask: 192.168.10.249/32
Zone: Trust
8. Objects > Addresses > List > New:输入以下内容,然后单击 OK:
Address Name: FTP Server
IP Address/Domain Name: IP/Netmask: 192.168.10.250/32
Zone: Trust
策略
9. Policies > (From: Trust, To: Untrust) > New:输入以下内容,然后单击 OK:
Source Address:
Address Book: (选择) , Any
Destination Address:
Address Book: (选择) , Any
Service: Any
Action: Permit
10. Policies > (From: Untrust, To: Trust) > New:输入以下内容,然后单击 OK:
Source Address:
Address Book: (选择) , Any
Destination Address:
Address Book: (选择) , Mail Server
Service: Mail
Action: Permit
11. Policies > (From: Untrust, To: Trust) > New:输入以下内容,然后单击 OK:
Source Address:
Address Book: (选择) , Any
Destination Address:
Address Book: (选择) , FTP Server
Service: FTP-Get
Action: Permit
命令行模式:
set interface vlan1 ip 192.168.10.252/24
set interface vlan1 manage web
set interface vlan1 manage telnet
set interface vlan1 manage ping
set admin port 5555
set interface eth1 zone V1-Trust
set interface eth3 zone V1-Untrust
set interface eth1 manage web
set interface eth1 manage telnet
set interface eth1 manage ping
set set route 0.0.0.0/0 interface vlan1 gateway 192.168.10.253 metric 1
set address trust mail-server 192.168.10.249/32
set address trust ftp-server 192.168.10.250/32
set policy from trust to untrust any any any permit
set policy from untrust to trust any mail-server mail permit
set policy from untrust to trust any ftp-server ftp-get permit
作者:
我是菜鸟
时间:
2011-8-9 11:05
看看
欢迎光临 系统集成论坛 (http://bbs.xtjc.com/)
Powered by Discuz! X3.1