透明模式配置(简稿)
创建日期:2006-12-4
最后修改日期:
配置情况说明:
1:客户网络现状
2:用户要求防火墙配置成透明模式接入到网络,要求达到的配置如下图示
1:配置防火墙WAN网卡
2:建立透明模式下的地址对象(注意:透明范围不能够包含了防火墙本身的地址(192.168.254.21)以及防火墙的网关地址(192.168.254.1),同时也不能够包含防火墙WAN 口外面的地址,即如果防火墙WAN外面还有其他的地址如192.168.254.200则Transparent Range不能够包含该地址,否则可能会引发安全问题!!)
3:建立地址对象组
4:建立内网地址对象及对象组(注意:本范例中仅示例了2个内网网段,可根据实际情况增加)
5:配置内网3层交换机的地址对象
6:配置完成后的界面显示如下:
7:配置内网地址访问外网的回程路由(必须配置!!)
8:配置回程路由后的界面显示如下:
9:配置透明模式:
至此,整个配置过程完成
实验V3防火墙透明模式(二层模式) 一、实验目的 了解并熟悉H3C Secpath V3防火墙的两种二层模式配置 二、场景描述 用户在内网有两个网段,在交换机上划分了两个VLAN,在路由器上设置单臂路由,内网用户DHCP获取IP地址,DHCP服务器为MSR路由器。为了安全,用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙,为了不改变网络架构,用户要求将防火墙配置成二层模式。 三、拓扑图 四、配置步骤 基本配置 1. 基本配置:设备命名,先不将防火墙加入网络,保证内网运行正常 2. 将防火墙加入到网络中,进行防火墙的基本配置 3. 将防火墙转换成二层模式,保证内网运行正常 防火墙的配置: 一、基本配置: 1、设备命名,防火墙数据放通,接口加入区域 system sys F1000-S firewall packet-filter enable //开通防火墙的包过滤功能 firewall packet-filter default permit //包过滤的默认规则为permit firewall zone trust //内网口加入trust add interface g1/0 quit firewall zone untrust //外网口加入untrust add interface g2/0
quit 2、将防火墙转换成二层模式: bridge enable //启用桥接模式 bridge 1 enable //建立一个桥组 int bridge-template 1 //设置管理地址 ip address 192.168.1.100 255.255.255.0 quit int g1/0 //将接口加入桥组 bridge-set 1 quit int g2/0 bridge-set 1 quit firewall zone trust //将桥模板加入区域 add interface bridge-template 1 quit ip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由 3、放通DHCP报文 bridge 1 firewall unknown-mac flood //未知MAC洪泛 1.1 五、查看和测试: 使用dis cu 查看防火墙的配置 使用dis ver 查看防火墙的软件版本 1、在内网PC机上获取IP地址,能否获取到? 2、获取IP地址后,PC能否Ping通网关,能否上公网? 3、内网PC机能否管理F1000-S 1.2 六、实验思考: 1、当需要管理F1000-S防火墙时,我们需要登录bridge-template接口,请考虑这个时候对内网S3100交换机有什么特殊要求? 1.3 附:老版本的二层模式配置: firewall mode transparent (配置为透明模式) firewall system-ip 192.168.1.254 255.255.255.0 (这是防火墙的管理IP地址) interface Ethernet2/0(进入WAN口)
ESP8266有三种工作模式: 1.Station (客户端模式) 2.AP (接入点模式) 3.Station+AP (两种模式共存) 就是说模块可以当成一个设备(client)连接区域网内的路由,也可以设置成是一个路由(sever),也可以既作为局域网里面的client同时又是其他client的sever。 下面我们可以尝试一下配置ESP8266的指令(注意:每条AT指令后面都要加一个回车键再发送!!!输入用串口软件输入,相当于把电脑想象成单片机来用。): 一、AP(sever)模式 1.输入:AT+CWMODE=2 响应:OK 说明:指令原型为:AT+CWMODE=
4.输入:AT+CWSAP="ESP8266","0123456789",11,0 响应:OK 说明:指令原型为:AT+ CWSAP=
前言 3 一、防火墙的概况、应用及功能 3 1.1 防火墙的定义 3 1.2防火墙的种类 4 1.2.2网络层防火墙 4 1.2.2应用层防火墙 4 1.2.3数据库防火墙 5 1.3 防火墙的功能 5 二、使用设置 5 2.1使用习惯 6 2.1.1所有防火墙文件规则必须更改 6 2.1 .2以最小的权限安装所有的访问规则 6 2.1.3 根据法规协议和更改需求来校验每项防火墙的更改 6 2.1.4当服务过期后从防火墙规则中删除无用的规则 7 2.2配置 7 2.3工作模式 8 2.3.1 透明网桥模式 8 2.3.1.1适用环境 9 2.3.1.2组网实例 9 2.3.2 路由模式 10 2.3.2.1适用环境 11 2.3.2.2NAT(网络地址转换) 11 2.3.2.3组网实例 12 三、总结 13
一、前言 随着计算机的日益发展,计算机早已深入到各个领域,计算机网络已无处不在。而internet的飞速发展,使计算机网络资源共享进一步加强。随之而来的安全问题也日益突出。在人们对网络的优越性还没有完全接受的时候,黑客攻击开始肆虐全球的各大网站;而病毒制造者们也在各显其能,从CIH到爱虫.中毒者不计其数。一般认为,计算机网络系统的安全威胁主要来自黑客的攻击、计算机病毒和拒绝服务攻击三个方面。目前,人们也开始重视来自网络内部的安全威胁。我们可以通过很多网络工具、设备和策略来为我们的网络提供安全防护。其中防火墙是运用非常广泛和效果最好的选择。然而购买了防火墙设备,却不是仅仅装上了硬件就能发挥作用的,而是需要根据你的网络结构和需求在合适的工作模式下配置相应的安全策略,才能满足你的安全需求。由此引出的问题和解决办法就是本文的主要研究对象。 一、防火墙的概况、应用及功能 1、防火墙的定义 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。 在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)
防火墙部分: 1、SonicWALL GAV/IPS/Application Firewall: 此License包含: a.网关杀毒(Gateway Anti-virus), b.反间谍软件(Anti-spyware), c.入侵防护(IPS), d.Application Firewall(应用管控,上网行为管理的增强功能), e.智能应用流量实时监控(App Flow Monitor). 这一个license就包含了这所有的功能,不能单独拆开购买。这个license分1年,2年,3年。 ? a.网关杀毒:网关杀毒功能是用于对所有经过防火墙流量进行病毒过滤。能够对公司上网的用户和服务器进行病毒防护。病毒库是可以自动更新的。 ? b.反间谍软件:反间谍功能是对所有经过防火墙流量进行间谍软件的过滤。能够对公司上网的用户和服务器进行间谍软件的过滤。间谍软件签名库也是可以自动更新的。 ? c.入侵防护:入侵防护功能能够对对外公布的服务器进行有效的保护,比如说防止DoS,DDoS,flooding等攻击,也能够防护诸如SQL注入,数据库攻击,cc攻击等。攻击 签名库也是是自动更新的。 ? d.Application Firewall:此功能用于聊天工具的管控,下载工具的管控,炒股软件的管控,在线视频的管控等。并且还能对包进行深度包检测,对任意包内容进行识别和匹配。应用 签名库是自动更新的。 ? e.智能应用实时监控(Application Flow Monitor):用于接口带宽,应用流量的实时监控和分析。比如说能够看到HTTP流量,P2P流量,视频流量分别占了多少百分比,分别是 哪些IP 用的最多,分别用了多少流量等. 2. SonicWALL Content Filtering Service Premium Business Edition(CFS):?此License用于网站内容过滤。购买此license后就能按照网站类别对网页浏览进行控制。 比如说,可以不允许员工访问色情,暴力,购物等网站。如果不购买此license,只能手动 添加网站黑名单列表,工作量很大。这个license分1年,2年,3年。 3.SonicWALL Gold/EClass Support 24x7: ?24*7的售后支持服务。包含了24*7的电话支持服务,远程协助的服务,邮件支持服务。 另外还包含了产品新软件升级的服务和硬件维保服务。SonicWALL售后支持服务分1 年,2年,3年。
拓扑: 4507(int port-channel 3,10.2.94.2,4/1,4/2)---(vlan 10,1/0/0,1/1/0)USG9000(vlan 10,2/0/0,2/1/0)---(int vlan 77,10.2.94.1,0/1/1,0/1/2)5700(int vlan 78,10.2.94.5,0/0/1)----(10.2.94.6)PC 4507配置: interface Port-channel3 description firewall-testing ip address 10.2.94.2 255.255.255.252 interface TenGigabitEthernet4/1 description firewall-testing no switchport no ip address channel-group 3 mode active interface TenGigabitEthernet4/2 description firewall-testing no switchport no ip address channel-group 3 mode active ip route 10.2.94.4 255.255.255.252 10.2.94.1 5700配置: # interface XGigabitEthernet0/1/1 eth-trunk 1 # interface XGigabitEthernet0/1/2 eth-trunk 1 interface Vlanif77 ip address 10.2.94.1 255.255.255.252 # interface Vlanif78 ip address 10.2.94.5 255.255.255.252 # interface Eth-Trunk1 port link-type access port default vlan 77 mode lacp
很多网友安装了VMWare虚拟机,但是在虚拟机上网问题上却卡住了。要想虚拟机上网,首先让我们了解一下VMWare虚拟机三种工作模式。现在,让我们一起走近VMWare的三种工作模式。 理解三种工作模式 VMWare提供了三种工作模式,它们是bridged(桥接模式)、NAT(网络地址转换模式)和host-only(主机模式)。要想在网络管理和维护中合理应用它们,你就应该先了解一下这三种工作模式。 1.bridged(桥接模式) 在这种模式下,VMWare虚拟出来的操作系统就像是局域网中的一台独立的主机,它可以访问网内任何一台机器。在桥接模式下,你需要手工为虚拟系统配置IP地址、子网掩码,而且还要和宿主机器处于同一网段,这样虚拟系统才能和宿主机器进行通信。同时,由于这个虚拟系统是局域网中的一个独立的主机系统,那么就可以手工配置它的TCP/IP配置信息,以实现通过局域网的网关或路由器访问互联网。 使用桥接模式的虚拟系统和宿主机器的关系,就像连接在同一个Hub上的两台电脑。想让它们相互通讯,你就需要为虚拟系统配置IP地址和子网掩码,否则就无法通信。 如果是你是局域网上网方式,虚拟机使用网桥连接方式,只要设置虚拟机的IP地址与本机是同一网段,子网、网关、DNS与本机相同就能实现上网,也能访问局域网络。 如果你是拨号上网方式,虚拟机使用此种方式连接,就要在虚拟机内系统建立宽带连接、拨号上网,但是和宿主机不能同时上网。 2.NAT(网络地址转换模式) 使用NAT模式,就是让虚拟系统借助NAT(网络地址转换)功能,通过宿主机器所在的网络来访问公网。也就是说,使用NAT模式可以实现在虚拟系统里访问互联网。NAT模式下的虚拟系统的TCP/IP配置信息是由VMnet8(NAT)虚拟网络的DHCP服务器提供的,无法进行手工修改,因此使用NAT模式虚拟系统也就无法和本地局域网中的其他真实主机进行通讯。 采用NAT模式最大的优势是虚拟系统接入互联网非常简单,你不需要进行任何其他的配置,只需要宿主机器能访问互联网,虚拟机就能访问互联网。 设置上网方式:本机网上邻居属性-->VMnet8属性-->TCP/IP属性-->常规与备用配置都设定为自动获取,虚拟机网上邻居TCP/IP都设定为自动,虚拟网络设置设定如下面图所示 详细步骤: 1.把你的虚拟网卡VMnet8设置为自动获得IP、自动获得DNS 服务器,启用。 如果你想利用VMWare安装一个新的虚拟系统,在虚拟系统中不用进行任何手工配置就能直接访问互联网,建议你采用NAT模式。 注释:以上所提到的NAT模式下的VMnet8虚拟网络,host-only模式下的VMnet1虚拟网络,以及bridged (桥接)模式下的VMnet0虚拟网络,都是由VMWare虚拟机自动配置而生成的,不需要用户自行设置。VMnet8和VMnet1提供DHCP服务,VMnet0虚拟网络则不提供。
SonicWALL 防火墙 HA 配置 网络连接如下图所示:
SonicWALL HA是Active/Passive方式的HA,配置界面相当简单,所有配置只需要在主设备上配置,备用设备会自动同步主设备的配置。配置主设备时,不要打开备用设备电源,待主设备配置完毕之后,连接好物理线路,打开备用设备电源,备用设备自动与主设备同步全部的配置信息。 注意:备用设备要和主设备采用同样的操作系统版本号。如果备用设备启用UTM的功能,那么备用设备要提前注册,拿到全部的UTM的授权。主设备的UTM License不会同步到备用设备。 1.进入主设备的管理界面https://192.168.168.168, 默认的LAN口IP地址,用户名是 admin, 密码password
2.进入Network->Interfaces界面,配置X1口(WAN),X0口(LAN)的IP地址。这里X1口是WAN口,IP 地址218.247.156.9, 这个地址将成为HA发生切换之后WAN口的虚拟地址,从WAN外部通过 218.247.156.9能访问到当前工作的设备,即如果主设备宕机,那么通过这个地址访问到的是备用设备。 X0 口IP地址用默认的 192.168.168.168. 这个地址将成为HA发生切换之后LAN口的虚拟地址,从LAN 内部通过192.168.168.168能访问到当前工作的设备,即如果主设备宕机,那么通过这个地址访问到的是备用设备。
3.进入Hardware Failover->Setting 界面,选中Enable Hardware Failover激活HA配置,点右上角的Apply按钮使HA生效。如果希望主设备恢复后立刻切换回到主设备工作,那么选中Enable Preempt Mode,点右上角的Apply按钮使之生效.
实验八防火墙透明模式配置 适用于河南中医学院信息技术学院网络安全实验室 一、实验目的 1、了解什么是透明模式; 2、了解如何配置防火墙的透明模式; 二、应用环境 透明模式相当于防火墙工作于透明网桥模式。防火墙进行防范的各个区域均位于同 一网段。在实际应用网络中,这是对网络变动最少的介入方法,广泛用于大量原有网络的 安全升级中。 三、实验设备 (1) 防火墙设备1台 (2) Console线1条 (3) 网络线2条 (4) PC机3台 四、实验拓扑 五、实验步骤 第一步:搭建WebUI配置环境 除使用 CLI 进行配置以外,神州数码安全网关还提供WebUI 界面,使用户能够更简便与直观地对设备进行管理与配置。安全网关的 ethernet0/0 接口配有默认IP 地址192.168.1.1/24,并且该接口的各种管理功能均为开启状态。初次使用安全网关时,用户可以通过该接口访问安全网关的WebUI 页面。请按照以下步骤搭建WebUI 配置环境: 1. 将管理 PC 的IP 地址设置为与19 2.168.1.1/24 同网段的IP 地址,并且用网线将管理PC 与安全网关的ethernet0/0 接口进行连接。 2. 在管理 PC 的Web 浏览器中访问地址http://192.168.1.1 并按回车键。出现登录页面如下图所示:
3.输入管理员的名称和密码。DCFW-1800系列安全网关提供的默认管理员名称和密码均为“admin”。 4.从<语言>下拉菜单选择Web页面语言环境,<中文>或
Juniper防火墙三种部署模式及基本配置 文章摘要: Juniper防火墙三种部署模式及基本配置Juniper防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是:基于TCP/IP协议三层的NAT模式;基于TCP/IP协议三层的路由模式;基于二层协议的透明模式。1、NAT模式当Juniper防火墙入口接口(“内网端口”)处于NAT模式时,防火墙将通往... Juniper防火墙三种部署模式及基本配置 Juniper防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是: 基于TCP/IP协议三层的NAT模式; 基于TCP/IP协议三层的路由模式; 基于二层协议的透明模式。 1、NAT模式 当Juniper防火墙入口接口(“内网端口”)处于NAT模式时,防火墙将通往 Untrust 区(外网或者公网)的IP 数据包包头中的两个组件进行转换:源 IP 地址和源端口号。 防火墙使用 Untrust 区(外网或者公网)接口的 IP 地址替换始发端主机的源 IP 地址;同时使用由防火墙生成的任意端口号替换源端口号。 NAT模式应用的环境特征: 注册IP地址(公网IP地址)的数量不足;
内部网络使用大量的非注册IP地址(私网IP地址)需要合法访问Internet; 内部网络中有需要外显并对外提供服务的服务器。 2、Route-路由模式 当Juniper防火墙接口配置为路由模式时,防火墙在不同安全区间(例如:Trust/Utrust/DMZ)转发信息流时IP 数据包包头中的源地址和端口号保持不变(除非明确采用了地址翻译策略)。与NAT模式下不同,防火墙接口都处于路由模式时,防火墙不会自动实施地址翻译; 与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处于不同的子网中。 路由模式应用的环境特征: 防火墙完全在内网中部署应用; NAT模式下的所有环境; 需要复杂的地址翻译。 3、透明模式 当Juniper防火墙接口处于“透明”模式时,防火墙将过滤通过的IP数据包,但不会修改 IP 数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器,防火墙对于用户来说是透明的。
————如何配置防火墙4000透明工作模式———— 1、假设你已经通过串口初始化了防火墙4000(配置接口IP、GUI 登录权限等), 并按照以上拓扑图连接好网络; 2、要求:客户端所在的Intranet区域与服务器端所在的SSN区域通过透明方式 (交换模式)进行通信。实现方式如下: 3、在防火墙管理器中选取“对象管理”→“透明网络”菜单,将弹出透明网络 定义界面;输入需建立的透明网络名称如“transport”,将需要透明传输的接口区域(如服务器端所在的SSN区域和客户端所在的Intranet区域)加入到“统一广播域的网络”中即可;如下图: 4、也可以通过串口登录到防火墙上,使用命令行方式进行设置,命令如下: vlan add transport –a ‘intranet’‘internet’
以上是以测试要求定义的命令格式,完整的配置格式请参见帮助信息。 5、最后在相应访问目的区域中增加访问策略既可。 ————如何配置防火墙4000路由工作模式———— 1、假设你已经通过串口初始化了防火墙4000(配置接口IP、GUI 登录权限等), 并按照以上拓扑图连接好网络; 2、要求:客户端所在的Intranet区域(eth2)与服务器端所在的SSN(eth0) 区域通过路由方式进行通信; 3、由于防火墙缺省情况下的通讯策略就是使用路由模式的,因此在配置防火墙 的路由工作模式的时候,只需要配置相应的接口地址,本例中就只需要配置eth2和eth0的接口地址,并在相应访问目的区域中增加访问策略既可。 ————如何配置防火墙4000混合工作模式———— 路由 eth1 1、假设你已经通过串口初始化了防火墙4000(配置接口IP、GUI 登录权限等), 并按照以上拓扑图连接好网络; 2、要求:客户端所在的Intranet区域(eth2)与服务器端所在的SSN(eth0) 区域通过透明方式(交换模式)进行通信,客户端所在的Intranet区域(eth2)
如何在SonicWALL防火墙上 配置静态路由 配置手册 版本1.0.0
Question/Topic UTM: 如何在SonicW ALL防火墙上配置静态路由 Answer/Article 本文适用于: 涉及到的Sonicwall防火墙 Gen5: NSA E8500, NSA E7500, NSA E6500, NSA E5500, NSA 5000, NSA 4500, NSA 3500, NSA 2400, NSA 2400MX, NSA 240 Gen5 TZ系列:TZ 100, TZ 100 Wireless, TZ 200, TZ 200 W, TZ 210, TZ 210 Wireless Gen4: PRO系列: PRO 5060, PRO 4100, PRO 4060,PRO 3060, PRO 2040, PRO 1260 Gen4: TZ系列: TZ 190, TZ 190 W, TZ 180, TZ 180 W, TZ 170, TZ 170 W, TZ 170 SP, TZ 170 SP Wireless, TZ 150, TZ 150 W, TZ 150 Wireless(RevB) Gen3:PRO系列: PRO 330, PRO 300, PRO 230, PRO 200, PRO 100 SOHO3/TELE3/GX series: SOHO TZW, SOHO3, TELE3, TELE3 SP, TELE3 TZ, TELE3 TZX, GX 650, GX 250 固件/软件版本: 所有Gen5和Gen4固件版本, Gen3 6.5.X.X以及更新固件版本 服务: Routing - Static Routes 功能与应用 如果SonicWALL防火墙下面连接路由器,那么要访问路由器下面的PC必须要在防火墙的Network->Routing页面添加静态路由
部署防火墙的步骤 部署防火墙的步骤一#转换特权用户pixfirewall>ena pixfirewall# #进入全局配置模式 pixfirewall# conf t #激活内外端口 interface ethernet0 auto interface ethernet1 auto #下面两句配置内外端口的安全级别 nameif ethernet0 outside security0 nameif ethernet1 inside security100 #配置防火墙的用户信息 enable password pix515 hostname pix515 domain-name domain #下面几句配置内外网卡的ip地址 ip address inside 192.168.4.1 255.255.255.0 ip address outside 公网ip 公网ip子网掩码global (outside) 1 interface nat (inside) 1 192.168.4.0 255.255.255.0 0 0
#下面两句将定义转发公网ip的ssh和www服务到192.168.4.2 static (inside,outside) tcp 公网ip www 192.168.4.2 www netmask 255.255.255.255 0 0 static (inside,outside) tcp 公网ip ssh 192.168.4.2 ssh netmask 255.255.255.255 0 0 #下面两句将定义外部允许访问内部主机的服务 conduit permit tcp host 公网ip eq www any conduit permit tcp host 公网ip eq ssh 信任ip 255.255.255.255 #允许内部服务器telnet pix telnet 192.168.4.2 255.255.255.0 inside #下面这句允许ping conduit permit icmp any any #下面这句路由网关 route outside 0.0.0.0 0.0.0.0 公网ip网关 1 #保存配置 write memory 部署防火墙的步骤二步骤一:安装程序时 许多程序在安装时都要求关闭防火墙(如wps office 2003)。有些程序虽然并未直接明示,但若不及时关闭,就有可能造成安装失败,比如弹出“读取错误”、“安装*.exe出错”等信息,或者干脆死机,或者安装上去之后不能正常使用。笔者在安装金山影霸、office xp等程序时已经屡经验证。
SonicWALL HA配置 用户需求: 设备实现双机热备,当主设备故障,备用设备自动接管,保证网络受到的影响最小化。 网络连接如下图所示: SonicWALL HA是Active/Passive方式的HA,配置界面相当简单,所有配置只需要在主设备上配置,备用设备会自动同步主设备的配置。配置主设备时,不要打开备用设备电源,待主设备配置完毕之后,连接好物理线路,打开备用设备电源,备用设备自动与主设备同步全部的配置信息。 注意:备用设备要和主设备采用同样的操作系统版本号。如果备用设备启用UTM的功能,那么备用设备要提前注册,拿到全部的UTM的授权。主设备的UTM License不会同步到备用设备。 1.进入主设备的管理界面 https://192.168.168.168, 默认的LAN口IP地址,用户名是 admin, 密码password
2.进入Network->Interfaces界面,配置X1口(WAN),X0口(LAN)的IP 地址。这里X1口是WAN口,IP 地址218.247.156.9, 这个地址将成为HA发生切换之后WAN口的虚拟地址,从WAN外部通过218.247.156.9能访问到当前工作的设备,即如果主设备宕机,那么通过这个地址访问到的是备用设备。 X0 口IP地址用默认的 192.168.168.168. 这个地址将成为HA发生切换之后LAN口的虚拟地址,从LAN内部通过192.168.168.168能访问到当前工作的设备,即 如果主设备宕机,那么通过这个地址访问到的是备用设备。 3.进入Hardware Failover->Setting 界面,选中Enable Hardware Failover激活HA配置,点右上角的Apply按钮使HA生效。如果希望主设备恢复后立刻切换回到主设备工作,那么选中Enable Preempt Mode,点右上角的Apply按钮使之 生效.
路由模式_简介 设备以路由模式部署时,AC的工作方式与路由器相当,具备基本的路由转发及NAT功能。一般在客户还没有相应的网关设备,需要将AC做网关使用时,建议以路由模式部署。 路由模式下支持AC所有的功能。 如果需要使用NAT、VPN、DHCP等功能时,AC必须以路由模式部署,其它工作模式不支持实现这些功能。 路由模式_部署指导 首选需要了解用户的实际需求,以下几种情况必须使用路由模式部署: 1、用户必须要用到AC的VPN、NAT(代理上网和端口映射)、DHCP这几个功能。 2、用户在新规划建设的网络中来部署AC,想把AC当作一台网关设备部署在网络出口处。 3、用户网络中已有防火墙或者路由器了,但出于某方面的原因想用AC替换掉原有的防火墙或者路由器并代理内网用户上网。 路由模式_基本配置思路 1、网口配置:确定设备外网口及地址信息,如果是固定IP,则填写运营商给的IP地址及网关;如果是ADSL
拔号上网,则填写运营商给的拔号账号和密码;确定内网口的IP地址信息; 2、确定内网是否为多网段网络环境,如果是的话需要添加相应的回包路由,将到内网各网段的数据回指给设备下接的三层设备。 3、用户是否需要通过AC设备上网,如果是的话,需要设置代理上网规则,填写需要代理上网的内网网段。 网桥模式_简介 设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部署AC时,对客户来说AC就是个透明的设备,如果因为AC自身的原因而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。 网桥模式部署时AC不支持NAT(代理上网和端口映射)、VPN、DHCP功能,除此之外AC的其它功能如URL 过滤、流控等均可实现。 网桥模式部署时AC支持硬件bypass功能(其它模式部署均没有硬件bypass)。 网桥模式_2种类型 1、网桥多网口:网桥多网口是指设备只做一个网桥,
防火墙选型参考 大多数人也许不明白,普通会话数会有几千到几十万不等,那么是不是内网中的机器数量跟会话数有直接联系呢?想到这里,其实答案马上就能出来了。举例说明,一个并发会话数代表一台机器打开的一个窗口或者一个页面。那么内网中一台机器同时开很多页面,并且聊天工具或者网络游戏同时进行着,那么这一台机器占用的会话数就会有几十到几百不等。内网中同时在线的机器数量越多,需要的会话数就越多。所以,根据防火墙的型号不同,型号越大,并发会话数就会越多。 在一些防火墙中还有另外一个概念,那就是每秒新建会话数。假设在第一时间,已经占用了防火墙的全部会话数,在下一秒,就要等待防火墙处理完之前不需要的会话数才能让需要的人继续使用剩余的会话数。那么这个每秒新增会话数就很重要了。如果每秒新增会话数不够的话,剩下的人就要等待有新的会话数出来。那么就会体现为上网速度很慢。了解了这一情况,选购者就不会承担这个防火墙导致网速变慢的黑锅了。 性能 防火墙的性能对于一个防火墙来说是至关重要的,它决定了每秒钟可能通过防火墙的最大数据流量,以bps为单位。从几十兆到几百兆不等,千兆防火墙还会达到几个G的性能。关于性能的比较,参看防火墙的彩页介绍就可以比较的出来,比较明了。 工作模式 目前市面上的防火墙都会具备三种不同的工作模式,路由模式、NA T模式还有透明模式。 透明模式时,防火墙过滤通过防火墙的封包,而不会修改数据包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer 2(第2层)交换机或桥接器。在透明模式下,接口的IP地址被设置为0.0.0.0,防火墙对于用户来说是可视或"透明"的。 处于"网络地址转换(NA T)"模式下时,防火墙的作用与Layer 3(第3层)交换机(或路由器)相似,将绑定到外网区段的IP封包包头中的两个组件进行转换:其源IP地址和源端口号。防火墙用目的地区段接口的IP地址替换发送封包的主机的源IP地址。另外,它用另一个防火墙生成的任意端口号替换源端口号。 路由模式时,防火墙在不同区段间转发信息流时不执行NA T;即,当信息流穿过防火墙时,IP封包包头中的源地址和端口号保持不变。与NAT不同,不需要为了允许入站会话到达主机而建立路由模式接口的映射和虚拟IP地址。与透明模式不同,内网区段中的接口和外网区段中的接口在不同的子网中。 管理界面 管理一个防火墙的方法一般来说是两种:图形化界面(GUI)和命令行界面(CLI)。 图形界面最常见的方式是通过web方式(包括http和https)和java等程序编写的界面进行远程管理;命令行界面一般是通过console口或者telnet/ssh进行远程管理。 接口 防火墙的接口也分为以太网口(10M)、快速以太网口(10/100M)、千兆以太网口(光纤接口)三种类型。防火墙一般都预先设有具有内网口、外网口和DMZ区接口和默认规则,有的防火墙也预留了其它接口用于用户自定义其它的独立保护区域。防火墙上的RS232 Console口主要用于初始化防火墙时的进行基本的配置或用于系统维护。另外有的防火墙还有可能提供PCMCIA插槽、IDS镜像口、高可用性接口(HA)等,这些是根据防火墙的功能来决定的。 策略设置 防火墙提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点,因此可以筛选并引导所有通过执行策略组列表(区段间策略、内部区段策略和全局策略)产生的信息流。 策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全区段流到另一个安全区段的信息流。可以决定哪些用户和信息能进入和离开,以及它们进入和离开的时间和地点。 简单的说,防火墙应该具有灵活的策略设置,针对源和目的IP地址、网络服务以及时间几个方面实施不同的安全策略。 内容过滤
SonicWALL 防火墙配置NA T Loopback 本文适用于:涉及到的 Sonicwall 防火墙 Gen5 TZ系列: TZ 100/W, TZ 200/W, TZ 210/Wireless Gen4: PRO系列: PRO 5060, PRO 4100, PRO 4060,PRO 3060, PRO 2040, PRO 1260 Gen4: TZ系列: TZ 190/W, TZ 180/W, TZ 170/W/SP/SP Wireless 固件/软件版本:所有SonicOS增强版版本 服务: NAT Policy, Firewall Access Rules, Firewall Services 功能与应用 NAT Loopback 功能使内网中的 PC 能通过域名方式来 HTTP/SMTP/POP3/Ping 内网中的服务器而不需要使用到内部 DNS 解析,解决了一些企业没有内部 DNS 服务器的问题。此外,Internet 上的 PC 能通过域名方式 HTTP/SMTP/POP3/Ping 方式访问内网的服务
器。 1.设置 LAN = 172.16.9.251,255.255.255.0 2.设置 WAN = 203.169.154.29,255.255.255.224 网关 = 203.169.154.1,255.255.255.224,如下图:
3.进入 Network->Address Objects 页面,配置 2 个地址对象
4.接下来,我们需要创建一个包含 HTTP、SMTP、POP3 以及 ping 等服务的服务组,增加 ping 的目的是仅作为临时示范用途,实际中一般不使用 5.进入 Firewall->Services 页面,点击 Custom Services 按钮,点击 Add Group添加一个服务组,如图所示:
《防火墙实用技术》模拟测试题一(案例分析题) 试题一 阅读以下说明,回答问题1至问题6,将解答填入答题纸对应的解答栏内。(15分) 【说明】某公司的两个部门均采用Windows 2003的NAT功能共享宽带连接访问Internet,其网络结构和相关参数如图2-1所示。ISP为该公司分配的公网IP地址段为202.117.12.32/29。 【问题1】(2分)在Windows 2003中,(1)不能实现NAT功能。 A. 终端服务管理器 B. Internet连接共享 C. 路由和远程访问
【问题2】(4分)在图2-2所示的窗口中,为部门B的服务器2配置“路由和远程访问”功能,新增eth0和eth1上的网络连接。eth0上的网络连接应该选中图2-3中的(2)选项进行配置, eth1上的网络连接应该选中图2-3中的(3)选项进行配置。 (2)、(3)备选答案: A.专用接口连接到专用网络B.公用接口连接到InternetC.仅基本防火墙 【问题3】(2分)部门B中主机PC1的默认网关地址应配置为(4)才能访问Internet。 【问题4】(2分)在部门B的服务器2中,如果将ISP分配的可用公网IP地址添加到地址池(如图2-4所示),那么服务器1收到来自部门B的数据包的源地址可能是(5)。如果部门B中两台不同PC机同时发往公网的两个数据包的源地址相同,则它们通过相互区分。
【问题5】(2分)在服务器2的eth1上启用基本防火墙,如果希望将202.117.12.38固定分配给IP为地址192.168.2.10的FTP服务器,且使得公网中主机可以访问部门B中的FTP图服务,应该在2-4和图2-5所示的对话框中如何配置? 【问题6】(3分)为了实现部门A和部门B中主机互相通信,在服务器1和服务器2上都运行了“路由和远程访问”服务,在图2-6所示的对话框中,两台服务器的静态路由信息应配置为:
S o n i c W A L L防火墙标准版配置 SonicWall标准版网络向导配置............................................................................................................. SonicWall标准版规则向导配置............................................................................................................. SonicWall标准版一般规则向导配置..................................................................................................... SonicWall标准版服务器规则向导配置................................................................................................. SonicWall标准版一般规则直接配置..................................................................................................... SonicWall标准版服务器1对1 NAT配置............................................................................................. SonicWall标准版透明模式配置............................................................................................................. SonicWall标准版网络向导配置 首次接触SonicWALL防火墙设备,我们将电源接上,并开启电源开关,将X0口和你的电脑相连(注:请用交叉线),SonicWALL防火墙默认的IP地址为,我们也可以通过setuptool.exe 这个小工具探知SonicWALL防火墙的IP地址。如图所示: 当网线和电源等都连接好之后,我们设置一下本机的IP地址,以便和SonicWALL防火墙处于同一个网段。如图所示: 设置好IP地址后,我们在IE浏览器的地址栏输入SonicWALL防火墙的IP地址, 点next,提示我们是否修改管理员密码, 暂时不修改,点next,提示我们修改防火墙的时区,我们选择中国的时区。 点next,提示我们设置WAN口的地址获取类型,这时候,我们需要和ISP相联系,并选择相关的类型,这里以静态地址为例: 我们点next,输入相关的信息,IP地址、掩码、网关、DNS服务器等,如果不知道此处该如何设置,请和你的ISP联系。 点next,提示我们设置LAN口的IP和掩码,我们根据自己的规划和网络的实际情况设置,此处我没有修改。 点next,防火墙询问我们在LAN口是否开启DHCP server的功能,并是否是默认的网段,我们可根据实际情况做调整,决定开始或关闭,以及网段地址等,如下图: 点next,防火墙将把前面做的设置做一个摘要,以便我们再一次确认是否设置正确,如果有和实际不符的地方,可以点back返回进行修改。按照我们前面的设置,防火墙开启了NAT模式——即在LAN内的PC访问WAN外的互连网时,将转换其IP地址为WAN口地址。 点apply,设置生效。并需要重起防火墙,点restart重起。 当把配置做好以后,我们将防火墙的X1口接到ISP进来的网线上,将X0口接到内网交换机上。这时,我们可以找一个内网的机器,测试是否可以访问外网: SonicWall标准版规则向导配置 SonicWall标准版一般规则向导配置 当我们做如上的配置后,此时的策略是默认允许内网的所有机器可以任意的访问外网,为了符合公司的安全策略,我们如果要相关的安全策略,限制一些访问的协议。通常有两种做法:一种是先限制所有的协议,在逐步开放需要访问的协议;另一种是先开放所有的协议,在逐步禁止不能访问的协议。 我们以第二种方式为例。选择firewall, 我们可以点右上角的rule wizard,也可以直接点add,以使用规则向导为例: 点next,我们选择规则类型,public server rule我们在DMZ或者LAN有服务器,需要对外发布,——即允许来自WAN口的PC可以访问我们的服务器而做的端口映射。而general rule则是前面强调的针对LAN或DMZ区访问外网的权限控制。我们以此为例,选择general rule。