如何配置防火墙之二层透明接入
2022-8-27 08:10:13 Author: 系统安全运维(查看原文) 阅读量:11 收藏

前言

本文档是初识防火墙的引路者,阅读本文后您将对防火墙配置过程有了初步认识,并完成防火墙基本配置。

01 配置二层透明接入

1.1 背景信息

二层透明接入就是防火墙使用两个二层接口接入网络,通常部署在出口网关的内侧。此种接入方式的优点是不影响原有网络结构,不需要调整上下行设备路由,因此也称为“透明模式”。

二层透明接入防火墙同样具备安全防护能力,也需要配置安全策略,只是部分三层特有的功能二层接口不支持,例如路由。但是可以使用VLANIF作为三层接口。

防火墙无需全局切换路由模式、透明模式,而是进行接口级别的模式切换。接口工作在三层,就可以实现三层网关的功能;接口工作在二层,就可以实现二层透明接入的功能。二、三层接入可以并存。

如下图所示,防火墙一般部署在出口路由器的内侧,防火墙下行是交换机,上行是路由器。根据组网情况,可能路由器做内网用户网关,也可能三层交换机做内网用户网关。

防火墙透明接入组网中,一般使用路由器做源NAT,但是防火墙也支持做源NAT转换。下图中,当三层交换机做内网用户网关时可以在防火墙上配置源NAT。

图1-9 防火墙二层透明接入组网图

1.2  操作步骤

【1】配置二层接口。

A、选择“网络 > 接口”。

B、配置GE0/0/2接口为交换模式,并将接口加入安全区域。

单击“确定”,然后在接口列表中修改GE0/0/2的安全区域为trust。

根据与防火墙连接的交换机的配置情况,配置防火墙二层接口的连接类型是Trunk还是Access。透明接入防火墙类似于二层交换机。

如果防火墙接口是Trunk类型转发VLAN,则需要在路由器上配置子接口终结VLAN。

配置GE0/0/3接口为交换模式,并将接口加入安全区域。

单击“确定”,然后在接口列表中修改GE0/0/3的安全区域为untrust。

【2】配置基础安全策略允许内网用户访问Internet。

A、选择“策略 > 安全策略 > 安全策略”。

B、新建安全策略。

【3】配置交换机和路由器的VLAN、接口及IP地址等,具体步骤略。

【4】可选:配置源NAT转换内网用户IP地址。

当三层交换机做内网用户网关时,可以选择防火墙做源NAT。

A、选择“策略 > NAT策略 > NAT策略”。

B、选择“源转换地址池”页签,新建地址池,地址池中是可供使用的公网IP地址范围。

C、选择“NAT 策略”页签,新建NAT策略。

D、在三层交换机上配置到NAT地址池地址(1.1.1.1~1.1.1.5)的黑洞路由。

<switch> system-view 
[switch] ip route-static 1.1.1.1 32 NULL0
[switch] ip route-static 1.1.1.2 32 NULL0
[switch] ip route-static 1.1.1.3 32 NULL0
[switch] ip route-static 1.1.1.4 32 NULL0
[switch] ip route-static 1.1.1.5 32 NULL0

E、在路由器上配置到NAT地址池地址(1.1.1.1~1.1.1.5)的静态路由,下一跳为交换机VLANIF10的地址10.2.1.1。

<router> system-view
[router] ip route-static 1.1.1.1 32 10.2.1.1
[router] ip route-static 1.1.1.2 32 10.2.1.1
[router] ip route-static 1.1.1.3 32 10.2.1.1
[router] ip route-static 1.1.1.4 32 10.2.1.1
[router] ip route-static 1.1.1.5 32 10.2.1.1

1.3  后续处理

透明接入时,管理员首次登录通过管理口登录防火墙。如果需要使用业务口登录防火墙,或者防火墙需要访问外部地址,均需要配置VLANIF接口IP地址。

本例中是VLANIF10,配置如下,注意VLANIF10的IP地址需要与防火墙上下行设备IP地址同一网段。

好文推荐

信息收集常用的工具

几款实用的内网穿透工具

实战挖掘一个某公司网站漏洞

渗透测试报告自动生成工具 -- Savior

Spring 框架相关漏洞合集 | 红队技术

一款漏洞查找器(挖漏洞的有力工具)

神兵利器 | 分享 直接上手就用的内存马(附下载)

推荐一款自动向hackerone发送漏洞报告的扫描器

欢迎关注 系统安全运维


文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NjE0NDc5OQ==&mid=2247508839&idx=3&sn=866c6a66af591a03e030c6ea842b8a02&chksm=c3087017f47ff9013bc603f26364fdc1c946f92545d283c3752c03f1562dd3ead10f7b037352#rd
如有侵权请联系:admin#unsafe.sh