【信息网络学习9.10 天融信防火墙透明部署模式(trunk模式)】

发表于 更新于

实验拓扑

实验要求

  1. 防火墙配置透明trunk模式

  2. 禁止访问外部客户端远程桌面连接,可以访问80、21

  3. 内网只允许192.168.1.0段远程管理防火墙

  4. 策略精细化,保证通信安全,并开启日志记录

实验步骤

交换机配置

1
2
3
4
5
6
7
8
9
10
11
vlan 2 to 10
#
interface Vlan-interface1
 ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
 port link-mode route
 ip address 192.168.2.2 255.255.255.0


 ip route-static 0.0.0.0 0 192.168.2.1

路由器配置

1
2
3
4
5
6
7
8
9
10
11
interface GigabitEthernet2/0/0
 port link-mode route
 combo enable copper
 ip address 192.168.2.1 255.255.255.0
#
interface GigabitEthernet2/0/1
 port link-mode route
 combo enable copper
 ip address 222.74.14.12 255.255.255.0

ip route-static 0.0.0.0 0 192.168.2.2

防火墙配置

配置接口

配置防火墙为透明模式,将接口改为交换模式(trunk):

配置vlan地址:

配置路由

配置一条默认路由指向网关地址,使得我们可以远程管理防火墙:

配置资源

配置对应的主机、范围、子网、地址组等IP资源,方便后续再访问控制中使用,如有自定义服务,这里也一并定义:

  • 地址

  • 区域

配置访问控制

针对业务需求来做访问控制,(这里由于访问控制是按顺序进行匹配,所以明细策略需要放到最上边,大段的策略应该在明细策略下,最后加一条any—>any的全禁止策略):

配置远程管理

最后根据我们远程管理防火墙的方式来开启对应的服务。(开放服务是根据区域来开放的,后边的控制地址这里不建议配置为any,考虑到安全,专人专管或者部门专管,这里的控制地址建议配置成一个主机IP或者一段IP,指的就是哪些IP可以进行管理防火墙):

日志查询

最后根据业务需要我们查询下访问控制的日志: