03-FIREWALL透明防火墙配置举例
本章节下载 (106.56 KB)
当防火墙工作在透明模式(也可以称为桥接模式)下时,所有接口都不能配置IP地址,接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时,需要根据报文的MAC地址来寻找出接口,此时SecBlade表现为一个透明网桥。
软件版本:S9500-CMW310-R1628版本及以后升级版本(R2126及以上版本不支持)
硬件版本:LSB1FW8DB0、LSB1FW8DB0
l Firewall在缺省默认情况下不转发任何报文,需要执行命令firewall packet-filter default permit使其默认转发;
l 存在多块FW单板时,不同单板上security-vlan的不能相同。
如图4-1所示,防火墙工作在透明模式下,并且使用基于MAC地址的访问控制列表允许Trust Zone中的主机访问DMZ Zone和Untrust Zone中的资源,并且使用黑名单阻止Untrust Zone中的主机PC_B发送的所有报文。其中主机PC_A的MAC地址为000f-1f7e-fec5,PC_B的IP地址为10.0.0.50。
图4-1 Firewall透明防火墙典型组网图
# 添加内网VLAN 10,外网VLAN 50和DMZ VLAN 60。
<S9500> system-view
[S9500] vlan 10
[S9500-vlan10] port E2/1/1
[S9500] vlan 50
[S9500-vlan50] port E2/1/2
[S9500] vlan 60
[S9500-vlan60] port E2/1/3
# 配置SecBlade模块,设置这三个VLAN为安全VLAN。
[S9500] secblade module test
[S9500-secblade-test] security-vlan 10 50 60
[S9500-secblade-test] map to slot 4
# 进入SecBlade视图,配置子接口,并且把子接口加入相应的区域(缺省用户名和密码为SecBlade,区分大小写)。
<S9500> secblade slot 4
user:SecBlade
password:SecBlade
<SecBlade_FW> system-view
# SecBlade视图下配置防火墙工作模式为透明模式,把接口加入相应的区域。
[SecBlade_FW] firewall mode transparent
[SecBlade_FW] interface GigabitEthernet 0/0.10
[SecBlade_FW -GigabitEthernet0/0.10] vlan-type dot1q vid 10
[SecBlade_FW] interface g0/0.50
[SecBlade_FW-GigabitEthernet0/0.50] vlan-type dot1q vid 50
[SecBlade_FW] interface GigabitEthernet 0/0.60
[SecBlade_FW-GigabitEthernet0/0.60] vlan-type dot1q vid 60
[SecBlade_FW] firewall zone trust
[SecBlade_FW-zone-trust] add interface GigabitEthernet 0/0.10
[SecBlade_FW] firewall zone untrust
[SecBlade_FW-zone-untrust] add interface GigabitEthernet 0/0.50
[SecBlade_FW] firewall zone DMZ
[SecBlade_FW-zone- DMZ] add interface GigabitEthernet 0/0.60
# SecBlade视图下配置黑名单以及ACL。
[SecBlade_FW] acl number 4000
[SecBlade_FW-acl-ethernetframe-4000] rule permit source-mac 000f-1f7e-fec5 0000-0000-0000
[SecBlade_FW] interface GigabitEthernet 0/0.50
[SecBlade_FW-GigabitEthernet0/0.50] firewal ethernet-frame-filter 4000 outbound
[SecBlade_FW] interface GigabitEthernet 0/0.60
[SecBlade_FW-GigabitEthernet0/0.60] firewal ethernet-frame-filter 4000 outbound
[SecBlade_FW] firewall blacklist item 10.0.0.50 timeout 60
[SecBlade_FW] firewall blacklist enable
#
vlan 10
#
vlan 50
#
vlan 60
#
interface Ethernet2/1/1
port access vlan 10
#
interface Ethernet2/1/2
port access vlan 50
#
interface Ethernet2/1/3
port access vlan 60
#
secblade module test
security-vlan 10 50 60
map to slot 4
# 进入SecBlade视图(缺省用户名和密码为SecBlade,区分大小写)。
secblade slot 4
user:SecBlade
password:SecBlade
system
# 配置防火墙工作模式。
firewall mode transparent
# 配置子接口以及区域。
interface GigabitEthernet 0/0.10
vlan-type dot1q vid 10
quit
interface g0/0.50
vlan-type dot1q vid 50
quit
interface GigabitEthernet 0/0.60
vlan-type dot1q vid 60
quit
firewall zone trust
add interface GigabitEthernet 0/0.10
quit
firewall zone untrust
add interface GigabitEthernet 0/0.50
quit
firewall zone DMZ
add interface GigabitEthernet 0/0.60
quit
# 配置基于MAC地址的ACL规则。
acl number 4000
rule permit source-mac 000f-1f7e-fec5 0000-0000-0000
quit
# 配置包过滤。
interface GigabitEthernet 0/0.50
firewal ethernet-frame-filter 4000 outbound
interface GigabitEthernet 0/0.60
firewal ethernet-frame-filter 4000 outbound
# 配置PC_B地址到黑名单表项中。
firewall blacklist 10.0.0.50 timeout 60
# 使能黑名单功能。
firewall blacklist enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!