實(shí)驗(yàn)8 防火墻透明模式配置

1、實(shí)驗(yàn)八防火墻透明模式配置適用于河南中醫(yī)學(xué)院信息技術(shù)學(xué)院網(wǎng)絡(luò)安全實(shí)驗(yàn)室、實(shí)驗(yàn)?zāi)康?、了解什么是透明模式；2、了解如何配置防火墻的透明模式；二、應(yīng)用環(huán)境透明模式相當(dāng)于防火墻工作于透明網(wǎng)橋模式。防火墻進(jìn)行防范的各個(gè)區(qū)域均位于同 一網(wǎng)段。在實(shí)際應(yīng)用網(wǎng)絡(luò)中，這是對(duì)網(wǎng)絡(luò)變動(dòng)最少的介入方法，廣泛用于大量原有網(wǎng)絡(luò)的 安全升級(jí)中。三、實(shí)驗(yàn)設(shè)備防火墻設(shè)備1臺(tái)Console 線 1條網(wǎng)絡(luò)線2條PC機(jī)3臺(tái)四、實(shí)驗(yàn)拓?fù)湮?、?shí)驗(yàn)步驟第一步：搭建WebUI配置環(huán)境除使用CLI進(jìn)行配置以外，神州數(shù)碼安全網(wǎng)關(guān)還提供WebUI界面，使用戶能夠更簡(jiǎn)便與直 觀地對(duì)設(shè)備進(jìn)行管理與配置。安全網(wǎng)關(guān)的ethernet0/0接口配有默認(rèn)IP地

2、址/24， 并且該接口的各種管理功能均為開啟狀態(tài)。初次使用安全網(wǎng)關(guān)時(shí)，用戶可以通過(guò)該接口訪問(wèn)安全 網(wǎng)關(guān)的WebUI頁(yè)面。請(qǐng)按照以下步驟搭建WebUI配置環(huán)境：將管理PC的IP地址設(shè)置為與/24同網(wǎng)段的IP地址，并且用網(wǎng)線將管理PC 與安全網(wǎng)關(guān)的ethernet0/0接口進(jìn)行連接。在管理PC的Web瀏覽器中訪問(wèn)地址http:/192.168.L1并按回車鍵。出現(xiàn)登錄頁(yè)面如 下圖所示：輸入管理員的名稱和密碼。DCFW-1800系列安全網(wǎng)關(guān)提供的默認(rèn)管理員名稱和密碼均為 “admin”。從語(yǔ)言下拉菜單選擇Web頁(yè)面語(yǔ)言環(huán)境，中文或English。點(diǎn)擊登錄按鈕進(jìn)入安全網(wǎng)關(guān)的主頁(yè)。DCFW-1800系列

3、安全網(wǎng)關(guān)的主頁(yè)如圖m DeFW-imHMLttf u一，HF S3 iMT g gg *LnIInm， *rlVFnV!MFWVpH*TTT】DCFrV-LEDaE-H-1瓦用吒H；取用日還5噸洶目 扁徊食： 心煙： 主機(jī)鄂Versic-1 4.0 DCFQ5 -4.CR3Dl.bnEniD.iaLiis 2D：a?：i1-0,43 2D09-0&-23 14;06:02 無(wú)過(guò) 1091127第二步：接口配置將eth0/1接口加入二層安全域l2-trust。將eth0/2接口設(shè)置成二層安全域l2-untrust。如下圖所示丫系統(tǒng)職 一磁SB路由HiCPWSIHMCS* 基標(biāo)盅萼颼置RIP按堆本

4、瞄名字和類型I 斗接口名ethemeW/1奏M域哭型-三巨安全域。二M安全域.五沈定安蘭域Hw-trust確認(rèn)）應(yīng)用 :取消）,域證rnJA.I_L基栩量箭閭置RIP接口基根置召字汨類型*宣口名右安全t或類型克全域etfiemt0/2.二岳夏寶頑尊二岳玄受何.尢辨寶靈蘭域lw-untrust配置好以后如下圖所示Q）關(guān)于旬幕肽也保存勝注銷歐啟BigLiilL作地職Fi制眼主觀MACTH1!：=一elKmecD/O192.3 66.1.1/24trustDDOJ.OrLfi.eQ*t &eEgl0.0-0.0/0hUULQW3.0fL5.Cl*t * rnKhemetgO.O-D.D/OHULLO

5、DOa.afl 6X42*t *曰ediQE 日 to 月0.0-0,0/0MJULQD(3.0F10,GW3*t *elnemetDj4O.O-D.D/OhULLODoafiexw*t *tfswitchrfio.fl.o.tyektlLLDDCQ.aFLE.cd4. “策略”中選擇“新建”，選擇規(guī)則卜對(duì)象源安全城：|any 一3 目的安全域：商廠 一3 Q搜索 *_.舌甌 IC鳧色/用戶F用戶紐源由M目的地址卜用戶卜唳策略EAT攻擊防臥甕話限制應(yīng)用層網(wǎng)關(guān)選擇規(guī)則如下圖所示，點(diǎn)擊確定按鍵即可卜系第39基本配置1詬也址卜用戶+目擴(kuò)成-防火增+目眥111眼斕岐擊瞞護(hù)時(shí)間耒二層勘護(hù)1 %芒正套餡限

6、制匹用密網(wǎng)美SSL代理/上財(cái)行為| l?-lr .| r uLl| l2-Lintl L5Z| r 出| r ctl to -ct_jtJI3匿丘評(píng) c晚 i.jr廣隘宣l卑目隘道I匚 _ h ；字王時(shí)單消補(bǔ)充1：防火墻的重置，將防火墻恢復(fù)到出廠的方法有三種：1、用戶除使用設(shè)備上的CRL按鍵使系統(tǒng)恢復(fù)到出廠配置2、可以使用命令恢復(fù)?；謴?fù)出廠配置，在執(zhí)行模式下，使用以下命令：unset all3、WebUI :訪問(wèn)頁(yè)面“系統(tǒng)一維護(hù)一配置一管理”。點(diǎn)擊重置思考與問(wèn)題：1、防火墻上如果處于透明模式的兩個(gè)接口都放到同一個(gè)二層安全域中，比如說(shuō)將上述實(shí)驗(yàn) 中的eth0/1 口和eth0/2 口都設(shè)置成l2-trust安全域。那是否還需要設(shè)置安全策略，如果需要 的話那如何設(shè)置？答：還需要設(shè)置安全策略，如果不設(shè)置，則兩者都不能ping通。若設(shè)置，則需要將eth0/1 設(shè)置成源地址，eth0/2設(shè)置成目標(biāo)地址，就可以實(shí)現(xiàn)eth0/1 ping通eth0/2，而eth0/2 ping不 通 eth0/12、關(guān)于行為，第一次備課做時(shí)候，缺省行為竟然對(duì)結(jié)果沒有影響，即不管行為時(shí)允許還是 拒絕，都能實(shí)現(xiàn)我們的目標(biāo)；第二次實(shí)驗(yàn)課，學(xué)生練習(xí)發(fā)現(xiàn)，若是將最后的安全策略中的行為 設(shè)為拒絕，則兩者將都不能ping通。待解決。3、第2次實(shí)驗(yàn)課