实验8防火透墙明模式配置.docVIP

实验八 防火墙透明模式配置 适用于河南中医学院信息技术学院网络安全实验室 一、实验目的 1、了解什么是透明模式； 2、了解如何配置防火墙的透明模式； 二、应用环境 透明模式相当于防火墙工作于透明网桥模式。防火墙进行防范的各个区域均位于同 一网段。在实际应用网络中，这是对网络变动最少的介入方法，广泛用于大量原有网络的 安全升级中。 三、实验设备 (1) 防火墙设备1台 (2) Console线1条 (3) 网络线2条 (4) PC机3台 四、实验拓扑 五、实验步骤 第一步：搭建WebUI配置环境 除使用 CLI 进行配置以外，神州数码安全网关还提供WebUI 界面，使用户能够更简便与直观地对设备进行管理与配置。安全网关的 ethernet0/0 接口配有默认IP 地址/24，并且该接口的各种管理功能均为开启状态。初次使用安全网关时，用户可以通过该接口访问安全网关的WebUI 页面。请按照以下步骤搭建WebUI 配置环境： 1. 将管理 PC 的IP 地址设置为与/24 同网段的IP 地址，并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。 2. 在管理 PC 的Web 浏览器中访问地址 并按回车键。出现登录页面如下图所示： 3.输入管理员的名称和密码。DCFW-1800系列安全网关提供的默认管理员名称和密码均为“admin”。 4.从语言下拉菜单选择Web页面语言环境，中文或English。 5.点击『登录』按钮进入安全网关的主页。DCFW-1800系列安全网关的主页如图 第二步：接口配置 1. 将eth0/1接口加入二层安全域l2-trust。 2. 将eth0/2接口设置成二层安全域l2-untrust。如下图所示 配置好以后如下图所示 第三步：添加对象 定义地址对象 定义网段A (1 – 2) 定义网段B (13 – 4) 如下图所示 添加第一个网段，如下图 添加第二个网段，如下图 自定义规则，如下图所示 自定义添加的规则，点击确定后即可使用。 要求允许网段A能够 ping 网段B及访问网段B的WEB服务，在这里我们将ping和http服务建立一个服务组 第四步：配置安全策略 在“防火墙”-“策略”中选择“新建”，选择规则 选择规则如下图所示，点击确定按键即可 补充1：防火墙的重置，将防火墙恢复到出厂的方法有三种： 1、用户除使用设备上的CRL按键使系统恢复到出厂配置 2、可以使用命令恢复。恢复出厂配置，在执行模式下，使用以下命令：unset all 3、WebUI：访问页面“系统→维护→配置→管理”。 点击『重置』 思考与问题： 1，防火墙上如果处于透明模式的两个接口都放到同一个二层安全域中，比如说将上述实验中的eth0/1口和eth0/2口都设置成l2-trust安全域。那是否还需要设置安全策略，如果需要的话那如何设置？ 答：还需要设置安全策略，如果不设置，则两者都不能ping通。若设置，则需要将eth0/1设置成源地址，eth0/2设置成目标地址，就可以实现eth0/1 ping通 eth0/2,而 eth0/2 ping 不通 eth0/1 2、关于行为，第一次备课做时候，缺省行为竟然对结果没有影响，即不管行为时允许还是拒绝，都能实现我们的目标；第二次实验课，学生练习发现， 若是将最后的安全策略中的行为设为拒绝，则两者将都不能ping通。 待解决。。 3、 第2次实验课发现，无论是将eth0/1口和eth0/2口都设置成12-trust安全域，还是一个设为12-trust一个设为12-untrust，都能实现源地址能ping通目标地址而目标地址ping不通源地址。待解决。。。