Netscreen 防火墙透明模式配置案例

最新推荐文章于 2024-05-06 16:19:33 发布
最新推荐文章于 2024-05-06 16:19:33 发布
阅读量2.8k 收藏
点赞数
分类专栏: 网络安全

防火墙的透明模式即防火墙内网和外网不设三层IP地址,不做路由或者地址转换,只有设置管理IP

一般在现有复杂网络添加防火墙时采用。接口为透明模式时,NetScreen设备过滤通过防火墙的封包,而不会修改 IP 封包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分,而NetScreen 设备的作用更像是Layer 2(第 2 层)交换机或桥接器。在透明模式下,接口的 IP 地址被设置为 0.0.0.0,使得 NetScreen 设备对于用户来说是可视或透明的。

实例:透明模式
Netscreen 25
ethent0 V1Trust zone IP0.0.0.0/0
ethent3 V1Untrust zone IP0.0.0.0/0
gateway:192.168.10.253
LAN:192.168.10.0/24
FTP 服务器:192.168.10.250/24
邮件服务器:192.168.10.249/24
VLAN1 IP:192.168.10.252/24 端口 5555

透明模式的 NetScreen 设备保护的单独 LAN 的基本配置。策略允许 V1-Trust 区段中所有主机的外向信息流、邮件服务器的内向 SMTP 服务,以及 FTP 服务器的内向 FTP-Get 服务。为了提高管理信息流的安全性,将 WebUI 管理的 HTTP 端口号从 80 改为5555,将 CLI 管理的 Telnet 端口号从 23改为 5555。使用 VLAN1IP 地址192.168.10.252/24 来管理V1-Trust 安全区段的设备。也可配置到外部路由器的缺省路由(于 192.168.10.253 处),以便 NetScreen 设备能向其发送出站 VPN 信息流。V1-Trust 区段中所有设备的缺省网关也是 192.168.10.253。)

Web界面模式
管理设置和接口
1. Network > Interfaces > Edit(对于 VLAN1 接口):输入以下内容,然后单击 OK
IP Address/Netmask: 192.168.10.252/24
Management Services: WebUI, Telnet (选择)
Other Services: Ping(选择)
2. Configuration > Admin > Management:在“HTTPPort”字段中,键入 5555,然后单击 Apply
3. Network > Interfaces > Edit(对于 ethernet1):输入以下内容,然后单击 OK
Zone Name: V1-Trust
IP Address/Netmask: 0.0.0.0/0
4. Network > Interfaces > Edit(对于 ethernet3):输入以下内容,然后单击 OK
Zone Name: V1-Untrust
IP Address/Netmask: 0.0.0.0/0
5. Network > Interfaces > Edit(对于 v1-trust):选择以下内容,然后单击 OK
Management Services: WebUI, Telnet
Other Services: Ping

路由
6. Network > Routing > Routing Table > trust-vr New:输入以下内容,然后单击 OK
Network Address/Netmask: 0.0.0.0/0
Gateway: (选择)
Interface: vlan1(trust-vr)
Gateway IP Address: 192.168.10.253
Metric: 1

地址
7. Objects > Addresses > List > New:输入以下内容,然后单击 OK
Address Name: Mail Server
IP Address/Domain Name: IP/Netmask: 192.168.10.249/32
Zone: Trust
8. Objects > Addresses > List > New:输入以下内容,然后单击 OK
Address Name: FTP Server
IP Address/Domain Name: IP/Netmask: 192.168.10.250/32
Zone: Trust

策略
9. Policies > (From: Trust, To: Untrust) > New:输入以下内容,然后单击 OK
Source Address:
Address Book: (选择) , Any
Destination Address:
Address Book: (选择) , Any
Service: Any
Action: Permit
10. Policies > (From: Untrust, To: Trust) > New:输入以下内容,然后单击 OK
Source Address:
Address Book: (选择) , Any
Destination Address:
Address Book: (选择) , Mail Server
Service: Mail
Action: Permit
11. Policies > (From: Untrust, To: Trust) > New:输入以下内容,然后单击 OK
Source Address:
Address Book: (选择) , Any
Destination Address:
Address Book: (选择) , FTP Server
Service: FTP-Get
Action: Permit

命令行模式:

set interface vlan1 ip192.168.10.252/24
set interface vlan1 manage web
set interface vlan1 manage telnet
set interface vlan1 manage ping

set admin port 5555
set interface eth1 zone V1-Trust
set interface eth3 zone V1-Untrust

set interface eth1 manage web
set interface eth1 manage telnet
set interface eth1 manage ping

set set route  0.0.0.0/0interface vlan1 gateway 192.168.10.253 metric 1

set address trust mail-server192.168.10.249/32
set address trust ftp-server 192.168.10.250/32 

set policy from trust to untrustany any any permit

set policy from untrust to trustany mail-server mail permit

set policy from untrust to trustany ftp-server ftp-get permit


转自:http://wenku.baidu.com/view/2cfd59105f0e7cd1842536f6.html


alongwilliam
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
奇安信_网神防火墙_透明模式部署
呦菜呦爱玩的博客
03-24 9611
客户网络中新增加一台防火墙,客户要求不改变网络原有架构,现提供2种部署方案 1. 镜像旁挂:交换机做镜像,将原本流量复制一份,引入防火墙,可以查看威胁流量,但是对威胁的限制较弱 2. 透明桥:将防火墙串入网络,运用桥接口,将出入流量捆绑为一个桥,不用修改原网络的IP 客户选择使用透明模式部署 ## 拓扑图 ![在这里插入图片描述](https://img-blog.csdnimg.cn/8d77601268874662a56b82f06383f4a9.png) ## 配置 ## 1. 登录web控制台
F10X0/F50X0系列防火墙透明部署案例
m0_60797416的博客
04-24 946
1 配置需求或说明1.1适用的产品系列本案例适用于如F1080、F1070、F5040、F5020等F10X0、F50X0系列的防火墙。 注:本案例是在F1000-C-G2的Version 7.1.064, Release 9323P1801版本上进行配置和验证的。 1.2配置需求及实现的效果如下组网图所示,需要在原有的网络中增加防火墙来提高网络安全性,但又不想对原有网络配置进行变动,防火墙采用透明模式部署;其中GigabitEthernet 1/0/1接口接原有路由器的下联口,GigabitE...
防火墙的两种组网模式:三层路由网关模式、二层透明网桥模式
最新发布
网络技术联盟站
05-06 2293
在三层路由网关模式中,防火墙配置为网络的三层路由网关,与原有的路由器相比,它不仅能够实现路由功能,还具备了防火墙的安全防护能力。通过这种模式防火墙能够在网络中充当数据包的传输节点,负责对数据包进行路由和安全检查,从而保障网络的安全性。在二层透明网桥模式中,防火墙作为二层透明网桥接入网络,不会改变原有的网络结构,同时可以与路由模式共存。在这种模式下,防火墙会学习网络中的MAC地址,并根据预设的安全策略对数据包进行转发或丢弃,实现网络安全防护。
防火墙透明模式下虚拟系统配置实例
永远是少年
07-29 3773
今天继续给大家介绍华为USG6000系列防火墙配置。本文使用华为eNSP模拟器,实现了华为防火墙透明模式下基于VLAN对虚拟系统的划分。 阅读本文,您需要有一定的华为防火墙基础知识,如果您对此还存在困惑,欢迎查阅我博客内的其他文章,相信您一定会有所收获。 文章链接: 防火墙虚拟化技术详解(上) 防火墙虚拟化技术详解(下) 防火墙虚拟系统资源分配配置实例 防火墙虚拟系统互访配置实例 一、实验拓扑及要求 实验拓扑如上所示,现在要求防火墙配置透明模式,并且根据公司部门的VLAN划分,配置虚拟系统。并配置实现
华三防火墙透明模式典型组网配置实例
qq_51235445的博客
11-13 6281
华三防火墙透明模式典型组网配置实例
实战 | F1060防火墙透明模式典型组网配置案例(trunk)
qq_40907977的博客
05-23 4751
转载来源 :实战 | F1060防火墙透明模式典型组网配置案例(trunk) :https://mp.weixin.qq.com/s/DMLpuY9i34Kuytq0myKMTQ 组网及说明 组网说明: 本案例采用H3C HCL模拟器的F1060防火墙来模拟防火墙透明模式典型组网配置。为了实现PC之间相互PING通,因此需要在SW1、R1之间通过路由指向来实现路由可达。F1060处在R1、SW1之间,所以将F1060配置透明模式,采用trunk的方式为R1、SW1透传业务。 配置步骤 1、按照网络拓扑图
NETSCREEN防火墙ZONE SCREEN配置说明.docx
10-11
NETSCREEN防火墙ZONE SCREEN配置说明.docx
防火墙NetScreen_5GT透明模式配置指引
03-14
防火墙采用1台NetScreen 5GT(以下简称5GT),5GT将与其连接的网络设备分为V1-Trust和V1-Untrust两个安全区段,其物理端口配置透明模式下运行,并定义各端口为中继端口,实现5GT允许与其连接的交换机接收、发送...
Netscreen防火墙简单配置实例.pdf
11-01
Netscreen防火墙简单配置实例.pdf
NetScreen防火墙设备管理中文配置手册
08-10
Netscreen防火墙是一种高性能的硬件防火墙,与其它的硬件防火墙相比有本质的区别。其它的硬件防火墙实际上是运行在PC平台上的一个软件防火墙,而Netscreen防火墙则是由ASIC芯片来执行防火墙的策略和数据加解密,因此...
juniperNetscreen防火墙策略路由配置.docx
02-05
juniperNetscreen防火墙策略路由配置.docx
防火墙典型配置案例
10-29
华为防火墙配置案例 包括路由模式透明模式、旁路模式配置
天融信的实验—防火墙
02-24
网络卫士防火墙系统配置案例(3.3.005)\天融信的实验—防火墙
防火墙透明模式配置
04-24
透明模式防火墙配置防火墙配置命令
Juniper Netscreen 防火墙培训 透明模式
12-10
Juniper Netscreen 防火墙培训
netscreen 防火墙常用命令
06-20
Juniper Netscreen 常用防火墙命令,非常实用,很多防火墙基础功能命令
USG防火墙透明模式配置
A soul tortured by desire
08-20 8803
实验要求: 某公司网络是有2个三层交换,现需要在三层交换与出口路由器之间加一个USG防火墙,为了方便配置,想采用透明模式配置防火墙,并将其加入现网,仅仅当做纯粹的防火墙使用; 实验目的: 观察防火墙透明模式与二层交换机的区别 实验思路: 1、PC、子网划分及2层交换(配置在此省略) 2、三层交换之间分别用USG防火墙和傻瓜交换机配置,测试它们的区别; 3、三层交换机直接内接口为虚拟接口vlanif,之间是FW时是vlanif300,之间是傻瓜交换机时是vlanif301,通过ospf实现三..
防火墙透明模式透明代理
08-17 1161
防火墙透明模式透明代理 随着防火墙技术的发展,安全性高、操作简便、界面友好的防火墙逐渐成为市场热点。在这   种情况下,可以大大简化防火墙设置、提高安全性能的透明模式透明代理就成为衡量产品   性能的重要指标。于是在推荐产品的过程中,很多厂商往往会介绍自己的产品实现了透明模   式和透明代理。那么究竟什么是透明模式透明代理呢?他们之间又有何关系呢?下面我们   将做具体分析。      
防火墙原理及部署方式(以天融信为例)
2302_78334155的博客
08-19 5106
可以看见中间丢失了一个数据包,就是在主机防火墙出错时,将数据备份给备机防火墙时丢失了一个数据包,但后续有能连接上了,说明备机防火墙发挥作用,此时时备机防火墙在发挥作用。DMZ ,一旦DMZ区域被敌人攻破,由于DMZ区域为隔离区域,不会进一步殃及破坏inside区域,所以设 置DMZ区域是为了保护inside区域。高级应用防火墙(NGFW防火墙/DPI防火墙)(目前主流防火墙)(2-5层, 2-7层)在inside区不断ping outside区,将从机防火墙连接上网络,主机防火墙断开网络。
Juniper SRX防火墙配置指南:从Netscreen到JUNOS迁移详解
本文是一份关于Juniper SRX防火墙的简明配置手册,主要针对已经熟悉Netscreen防火墙的ScreenOS操作系统的工程师。SRX系列防火墙基于Juniper公司的JUNOS操作系统,这是一种电信级的网络操作系统,特点是转发与控制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值