防火墙交换模式配置.pptxVIP

防火墙交换模式配置 神州数码网络第一页，共十五页，2022年，8月28日 防火墙交换模式配置 神州数码网络第二页，共十五页，2022年，8月28日 案例描述 神州数码网络 3需求陈述防火墙eth6接口和eth7接口配置为透明模式Eth6与eth7同属一个虚拟桥接组，eth6属于l2-trust安全域，eth7属于l2-untrust安全域。允许网段A ping 网段B及访问网段B的WEB服务放行网段B至网段A的TCP9988端口为虚拟桥接组vswitch1配置ip地址以便管理防火墙网段网段网络拓扑Eth6Zone:l2-trustEth7Zone:l2-untrust第三页，共十五页，2022年，8月28日 配置步骤接口配置配置虚拟交换机（vswitch）添加对象网络对象服务对象配置安全策略 神州数码网络 4第四页，共十五页，2022年，8月28日 接口配置将eth6接口加入二层安全域l2-trustDCFW-1800(config)# interface ethernet0/6DCFW-1800(config-if-eth0/6)# zone l2-trust添加管理主机DCFW-1800(config)# admin host any 神州数码网络 5第五页，共十五页，2022年，8月28日 配置vswitch将l2-trust安全域绑定到vswitch1上DCFW-1800(config)# zone l2-trustDCFW-1800(config-zone-l2-tru~)# bind vswitch1配置vswitchif1接口DCFW-1800(config)# interface vswitchif1DCFW-1800(config-if-vsw1)# zone trustDCFW-1800(config-if-vsw1)# manage pingDCFW-1800(config-if-vsw1)# manage https完成上述配置后即可在网段A通过WEBUI使用vswitchif1接口IP进行管理 神州数码网络 6第六页，共十五页，2022年，8月28日 外网口配置通WEBUI登陆防火墙对eth7接口进行配置将eth7接口所属安全域类型指定为“二层安全域”将eth7接口划归l2-untrust安全域 神州数码网络 7物理接口配置为二层安全域时无法配置IP地址对eth0/7接口进行编辑第七页，共十五页，2022年，8月28日 添加对象为即将建立的安全策略定义地址对象和服务对象定义地址对象定义网段A ( – 00)定义网段B (01 – 00)定义服务对象为网段A访问网段B定义服务对象，其中包括ping和http为网段B访问网段A定义服务对象，其中只有TCP9988 神州数码网络 8第八页，共十五页，2022年，8月28日 定义地址对象定义包含网段A的地址对象net_A在地址薄里“新建”地址对象 神州数码网络 9把地址对象与它所属的vswitch相关联由于对象不是整个网段所以使用IP范围定义第九页，共十五页，2022年，8月28日 定义地址对象定义包含网段B的地址对象net_B在地址薄里“新建”地址对象 神州数码网络 10把地址对象与它所属的vswitch相关联由于对象不是整个网段所以使用IP范围定义第十页，共十五页，2022年，8月28日 定义服务对象为网段A访问网段B定义服务对象由于包含多个服务，这里定义了一个服务对象组 神州数码网络 11选中左侧的服务对象推送到右侧的成员组中第十一页，共十五页，2022年，8月28日 定义服务对象为网段B访问网段A定义服务对象由于“预定义”服务对象中不存在该服务，所以需要在“自定义”服务对象中手工定义 神州数码网络 12这里定义的服务对象是要访问的目的端口，如果端口号只有一个填写最小值即可第十二页，共十五页，2022年，8月28日 配置安全策略添加网段A到网段B的策略在“安全”-“策略”中选择好“源安全域”和“目的安全域”后，新建策略 神州数码网络 13源地址选择网段A的地址对象目的地址选择网段B的地址对象选择网段A访问网段B的服务对象第十三页，共十五页，2022年，8月28日 配置安全策略添加网段B到网段A的策略在“安全”-“策略”中选择好“源安全域”和“目的安全域”后，新建策略 神州数码网络 14第十四页，共十五页，2022年，8月28日 The E 神州数码网络第十五页，共十五页，2022年，8月28日