《防火墙交换模式配置》由会员分享,可在线阅读,更多相关《防火墙交换模式配置(14页珍藏版)》请在金锄头文库上搜索。
1、防火墙交换模式配置,,神州数码网络,案例描述,,神州数码网络,2,需求陈述 防火墙eth6接口和eth7接口配置为透明模式 Eth6与eth7同属一个虚拟桥接组,eth6属于l2-trust安全域,eth7属于l2-untrust安全域。 允许网段A ping 网段B及访问网段B的WEB服务 放行网段B至网段A的TCP9988端口 为虚拟桥接组vswitch1配置ip地址以便管理防火墙,网段A:192.168.1.1 - 192.168.1.100,网段B:192.168.1.101 - 192.168.1.200,网络拓扑,Eth6 Zone:l2-trust,Eth7 Zone:l2-un
2、trust,Vswtichif1:192.168.1.254/24,配置步骤,接口配置 配置虚拟交换机(vswitch) 添加对象 网络对象 服务对象 配置安全策略,,神州数码网络,3,接口配置,将eth6接口加入二层安全域l2-trust DCFW-1800(config)# interface ethernet0/6 DCFW-1800(config-if-eth0/6)# zone l2-trust 添加管理主机 DCFW-1800(config)# admin host any any,,神州数码网络,4,配置vswitch,将l2-trust安全域绑定到vswitch1上 DCFW-
3、1800(config)# zone l2-trust DCFW-1800(config-zone-l2-tru)# bind vswitch1 配置vswitchif1接口 DCFW-1800(config)# interface vswitchif1 DCFW-1800(config-if-vsw1)# zone trust DCFW-1800(config-if-vsw1)# ip address 192.168.1.254/24 DCFW-1800(config-if-vsw1)# manage ping DCFW-1800(config-if-vsw1)# manage https
4、完成上述配置后即可在网段A通过WEBUI使用vswitchif1接口IP进行管理,,神州数码网络,5,外网口配置,通WEBUI登陆防火墙对eth7接口进行配置 将eth7接口所属安全域类型指定为“二层安全域” 将eth7接口划归l2-untrust安全域,,神州数码网络,6,物理接口配置为二层安全域时无法配置IP地址,对eth0/7接口进行编辑,添加对象,为即将建立的安全策略定义地址对象和服务对象 定义地址对象 定义网段A (192.168.1.1 192.168.1.100) 定义网段B (192.168.1.101 192.168.1.200) 定义服务对象 为网段A访问网段B定义服务对象
5、,其中包括ping和http 为网段B访问网段A定义服务对象,其中只有TCP9988,,神州数码网络,7,定义地址对象,定义包含网段A的地址对象net_A 在地址薄里“新建”地址对象,,神州数码网络,8,把地址对象与它所属的vswitch相关联,由于对象不是整个网段所以使用IP范围定义,定义地址对象,定义包含网段B的地址对象net_B 在地址薄里“新建”地址对象,,神州数码网络,9,把地址对象与它所属的vswitch相关联,由于对象不是整个网段所以使用IP范围定义,定义服务对象,为网段A访问网段B定义服务对象 由于包含多个服务,这里定义了一个服务对象组,,神州数码网络,10,选中左侧的服务对象
6、推送到右侧的成员组中,定义服务对象,为网段B访问网段A定义服务对象 由于“预定义”服务对象中不存在该服务,所以需要在“自定义”服务对象中手工定义,,神州数码网络,11,这里定义的服务对象是要访问的目的端口,如果端口号只有一个填写最小值即可,配置安全策略,添加网段A到网段B的策略 在“安全”-“策略”中选择好“源安全域”和“目的安全域”后,新建策略,,神州数码网络,12,源地址选择网段A的地址对象,目的地址选择网段B的地址对象,选择网段A访问网段B的服务对象,配置安全策略,添加网段B到网段A的策略 在“安全”-“策略”中选择好“源安全域”和“目的安全域”后,新建策略,,神州数码网络,13,The End,,神州数码网络,
