监控安装 ERP

系统集成论坛

 找回密码
 注册通行证

QQ登录

只需一步,快速开始

路由器交换机防火墙系统集成商城 优质产品采购平台
查看: 2990|回复: 1
打印 上一主题 下一主题

netscreen防火墙透明模式配置实例

[复制链接]
跳转到指定楼层
1
发表于 2011-7-28 11:00:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
华为金牌代理
防火墙的透明模式即防火墙内网和外网不设三层IP地址,不做路由或者地址转换,只有设置管理IP。

    一般在现有复杂网络添加防火墙时采用。接口为透明模式时,NetScreen 设备过滤通过防火墙的封包,而不会修改 IP 封包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分,而NetScreen 设备的作用更像是Layer 2(第 2 层)交换机或桥接器。在透明模式下,接口的 IP 地址被设置为 0.0.0.0,使得 NetScreen 设备对于用户来说是可视或“透明”的。



实例:透明模式
Netscreen 25
ethent0 V1-Trust zone IP:0.0.0.0/0
ethent3 V1-Untrust zone IP:0.0.0.0/0
gateway:192.168.10.253
LAN:192.168.10.0/24
FTP 服务器:192.168.10.250/24
邮件服务器:192.168.10.249/24
VLAN1 IP:192.168.10.252/24 端口 5555

    透明模式的 NetScreen 设备保护的单独 LAN 的基本配置。策略允许 V1-Trust 区段中所有主机的外向信息流、邮件服务器的内向 SMTP 服务,以及 FTP 服务器的内向 FTP-Get 服务。为了提高管理信息流的安全性,将 WebUI 管理的 HTTP 端口号从 80 改为 5555,将 CLI 管理的 Telnet 端口号从 23改为 5555。使用 VLAN1 IP 地址192.168.10.252/24 来管理 V1-Trust 安全区段的设备。也可配置到外部路由器的缺省路由(于 192.168.10.253 处),以便 NetScreen 设备能向其发送出站 VPN 信息流。V1-Trust 区段中所有设备的缺省网关也是 192.168.10.253。)



Web界面模式
管理设置和接口
1. Network > Interfaces > Edit(对于 VLAN1 接口):输入以下内容,然后单击 OK:
IP Address/Netmask: 192.168.10.252/24
Management Services: WebUI, Telnet (选择)
Other Services: Ping(选择)
2. Configuration > Admin > Management:在“HTTP Port”字段中,键入 5555,然后单击 Apply
3. Network > Interfaces > Edit(对于 ethernet1):输入以下内容,然后单击 OK:
Zone Name: V1-Trust
IP Address/Netmask: 0.0.0.0/0
4. Network > Interfaces > Edit(对于 ethernet3):输入以下内容,然后单击 OK:
Zone Name: V1-Untrust
IP Address/Netmask: 0.0.0.0/0
5. Network > Interfaces > Edit(对于 v1-trust):选择以下内容,然后单击 OK:
Management Services: WebUI, Telnet
Other Services: Ping

路由
6. Network > Routing > Routing Table > trust-vr New:输入以下内容,然后单击 OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (选择)
Interface: vlan1(trust-vr)
Gateway IP Address: 192.168.10.253
Metric: 1

地址
7. Objects > Addresses > List > New:输入以下内容,然后单击 OK:
Address Name: Mail Server
IP Address/Domain Name: IP/Netmask: 192.168.10.249/32
Zone: Trust
8. Objects > Addresses > List > New:输入以下内容,然后单击 OK:
Address Name: FTP Server
IP Address/Domain Name: IP/Netmask: 192.168.10.250/32
Zone: Trust

策略
9. Policies > (From: Trust, To: Untrust) > New:输入以下内容,然后单击 OK:
Source Address:
Address Book: (选择) , Any
Destination Address:
Address Book: (选择) , Any
Service: Any
Action: Permit
10. Policies > (From: Untrust, To: Trust) > New:输入以下内容,然后单击 OK:
Source Address:
Address Book: (选择) , Any
Destination Address:
Address Book: (选择) , Mail Server
Service: Mail
Action: Permit
11. Policies > (From: Untrust, To: Trust) > New:输入以下内容,然后单击 OK:
Source Address:
Address Book: (选择) , Any
Destination Address:
Address Book: (选择) , FTP Server
Service: FTP-Get
Action: Permit

命令行模式:

set interface vlan1 ip 192.168.10.252/24
set interface vlan1 manage web
set interface vlan1 manage telnet
set interface vlan1 manage ping

set admin port 5555
set interface eth1 zone V1-Trust
set interface eth3 zone V1-Untrust

set interface eth1 manage web
set interface eth1 manage telnet
set interface eth1 manage ping

set set route  0.0.0.0/0 interface vlan1 gateway 192.168.10.253 metric 1

set address trust mail-server 192.168.10.249/32
set address trust ftp-server 192.168.10.250/32

set policy from trust to untrust any any any permit

set policy from untrust to trust any mail-server mail permit

set policy from untrust to trust any ftp-server ftp-get permit
我分享,我成长!系统集成 XTJC.COM
2
发表于 2011-8-9 11:05:12 | 只看该作者
华为金牌代理
看看
您需要登录后才可以回帖 登录 | 注册通行证

本版积分规则

联系我们| 手机版|系统集成论坛 ( 京ICP备11008917号 )

GMT+8, 2024-11-22 22:34 , Processed in 0.074186 second(s), 28 queries .

系统集成论坛

BBS.XTJC.COM

快速回复 返回顶部 返回列表