防火墙交换模式配置教案.pptxVIP

防火墙交换模式配置 神州数码网络 案例描述 神州数码网络 2 需求陈述 防火墙eth6接口和eth7接口配置为透明模式 Eth6与eth7同属一个虚拟桥接组，eth6属于l2-trust安全域，eth7属于l2-untrust安全域。 允许网段A ping 网段B及访问网段B的WEB服务 放行网段B至网段A的TCP9988端口 为虚拟桥接组vswitch1配置ip地址以便管理防火墙 网段A: - 00 网段B:01 - 00 网络拓扑 Eth6 Zone:l2-trust Eth7 Zone:l2-untrust Vswtichif1:54/24 配置步骤 接口配置 配置虚拟交换机（vswitch） 添加对象 网络对象 服务对象 配置安全策略 神州数码网络 3 接口配置 将eth6接口加入二层安全域l2-trust DCFW-1800(config)# interface ethernet0/6 DCFW-1800(config-if-eth0/6)# zone l2-trust 添加管理主机 DCFW-1800(config)# admin host any any 神州数码网络 4 配置vswitch 将l2-trust安全域绑定到vswitch1上 DCFW-1800(config)# zone l2-trust DCFW-1800(config-zone-l2-tru~)# bind vswitch1 配置vswitchif1接口 DCFW-1800(config)# interface vswitchif1 DCFW-1800(config-if-vsw1)# zone trust DCFW-1800(config-if-vsw1)# ip address 54/24 DCFW-1800(config-if-vsw1)# manage ping DCFW-1800(config-if-vsw1)# manage https 完成上述配置后即可在网段A通过WEBUI使用vswitchif1接口IP进行管理 神州数码网络 5 外网口配置 通WEBUI登陆防火墙对eth7接口进行配置 将eth7接口所属安全域类型指定为“二层安全域” 将eth7接口划归l2-untrust安全域 神州数码网络 6 物理接口配置为二层安全域时无法配置IP地址 对eth0/7接口进行编辑 添加对象 为即将建立的安全策略定义地址对象和服务对象 定义地址对象 定义网段A ( – 00) 定义网段B (01 – 00) 定义服务对象 为网段A访问网段B定义服务对象，其中包括ping和http 为网段B访问网段A定义服务对象，其中只有TCP9988 神州数码网络 7 定义地址对象 定义包含网段A的地址对象net_A 在地址薄里“新建”地址对象 神州数码网络 8 把地址对象与它所属的vswitch相关联 由于对象不是整个网段所以使用IP范围定义 定义地址对象 定义包含网段B的地址对象net_B 在地址薄里“新建”地址对象 神州数码网络 9 把地址对象与它所属的vswitch相关联 由于对象不是整个网段所以使用IP范围定义 定义服务对象 为网段A访问网段B定义服务对象 由于包含多个服务，这里定义了一个服务对象组 神州数码网络 10 选中左侧的服务对象推送到右侧的成员组中 定义服务对象 为网段B访问网段A定义服务对象 由于“预定义”服务对象中不存在该服务，所以需要在“自定义”服务对象中手工定义 神州数码网络 11 这里定义的服务对象是要访问的目的端口，如果端口号只有一个填写最小值即可 配置安全策略 添加网段A到网段B的策略 在“安全”-“策略”中选择好“源安全域”和“目的安全域”后，新建策略 神州数码网络 12 源地址选择网段A的地址对象 目的地址选择网段B的地址对象 选择网段A访问网段B的服务对象 配置安全策略 添加网段B到网段A的策略 在“安全”-“策略”中选择好“源安全域”和“目的安全域”后，新建策略 神州数码网络 13 The End 神州数码网络