【信息网络学习9.10 天融信防火墙透明部署模式(access模式)】

发表于 更新于

实验拓扑

实验要求

  1. 防火墙配置透明access模式,连接保护,同步配置,查看配置是否可以同步

  2. 内网不允许访问外部的445端口并开启日志记录,允许访问web和ftp业务(80、21)

  3. 内网可以远程管理防火墙

  4. 策略做到精细化,保证通信安全

实验步骤

交换机配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
vlan 100
#
vlan 200
#
 stp global enable
#
interface NULL0
#
interface Vlan-interface100
 ip address 10.1.1.2 255.255.255.0
#
interface Vlan-interface200
 ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
 port link-mode bridge
 description INTO_FW
 port access vlan 100
#
interface GigabitEthernet1/0/2
 port link-mode bridge
 description INTO_PC
 port access vlan 200

  ip route-static 0.0.0.0 0 10.1.1.1

路由器配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
interface GigabitEthernet2/0/0
 port link-mode route
 combo enable copper
 ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet2/0/1
 port link-mode route
 combo enable copper
 ip address 100.1.1.1 255.255.255.252
 nat outbound 2000

 ip route-static 0.0.0.0 0 10.1.1.2
#
acl basic 2000
 rule 0 permit source 192.168.1.0 0.0.0.255
#

防火墙配置

配置接口

配置防火墙为透明模式,将接口改为交换模式,划入对应VLAN,并且给vlan配置IP地址,并且配置HA口,这里的心跳口记得要勾选非同步地址(涉及配置接口IP的地方都要配置非同步地址):

配置vlan地址:

配置路由

配置一条默认路由指向网关地址,使得我们可以远程管理防火墙。(这里建议指一条明细路由,指向网络的管理网段):

配置资源

配置对应的主机、范围、子网、地址组等IP资源,方便后续再访问控制中使用,如有自定义服务,这里也一并定义:

  • 地址

  • 区域

配置访问控制

针对业务需求来做访问控制,(这里由于访问控制是按顺序进行匹配,所以明细策略需要放到最上边,大段的策略应该在明细策略下,最后加一条any—>any的全禁止策略):

配置远程管理

最后根据我们远程管理防火墙的方式来开启对应的服务。(开放服务是根据区域来开放的,后边的控制地址这里不建议配置为any,考虑到安全,专人专管或者部门专管,这里的控制地址建议配置成一个主机IP或者一段IP,指的就是哪些IP可以进行管理防火墙):

配置连接保护

  1. 首先开启接口联动组,配置接口上下行接口划入接口联动组,并启用:

  1. 然后在高可用性里配置HA模式为连接保护(双机热备、连接保护、负载均衡),配置心跳地址,并启用:

然后在另一台设备配置高可用性,HA模式配置为连接保护,配置心跳地址,并启用。

  1. 然后我们可以在高可用性的同步操作里可以进行配置同步,可以将本机的配置同步到对端机,也可以将对端机的配置同步到本机:

  1. 我们这里选择本机同步到对端机,在框里提示以下信息则为配置同步成功:

配置日志

日志设置里可以指定日志服务器、选择级别及记录的内容:

日志查看处可以查找相关日志: