防火墙透明模式典型配置举例.pdf

防火墙透明模式典型配置举例.pdf

《防火墙透明模式典型配置举例.pdf》由会员分享，可在线阅读，更多相关《防火墙透明模式典型配置举例.pdf（13页珍藏版）》请在冰豆网上搜索。

ITMOP.COM透明模式典型配置指导HangzhouHuawei-3ComTechnologyCo.,Ltd.杭州华为3Com技术有限公司Allrightsreserved版权所有侵权必究防火墙透明模式特性典型配置指导目录2006-01-21版权所有，侵权必究第i页目录1特性介绍.12特性的优点.13使用指南.13.1使用场合.13.2配置步骤.13.2.1配置透明模式.23.2.2配置以太网帧头过滤规则.23.2.3配置tcp-proxy.33.3注意事项.33.4举例.33.4.1组网需求.33.4.2组网图.43.4.3配置.43.4.4验证结果.63.4.5故障排除.94关键命令.94.1firewallmode.94.2firewallpacket-filterdefault.104.3firewallzone.104.4addinterface.115相关资料.11防火墙透明模式特性典型配置指导正文2006-01-21版权所有，侵权必究第1页关键词：

透明模式（关键词：

透明模式（transparent-mode）以太网帧头过滤（以太网帧头过滤（ethernet-frame-filter）TCP代理（代理（tcp-proxy）摘摘要：

本文简单描述防火墙透明模式的特点，详细描述了防火墙透明模式的配置方法，以及在透明模式下几个典型模块的应用配置，给出了防火墙透明模式基本配置方案要：

本文简单描述防火墙透明模式的特点，详细描述了防火墙透明模式的配置方法，以及在透明模式下几个典型模块的应用配置，给出了防火墙透明模式基本配置方案1特性介绍特性介绍防火墙透明模式，类似于在网络中像放置了一个网桥（Bridge），无需修改任何已有的配置。

但是，防火墙透明模式与网桥存在不同，防火墙接收到的IP报文还需要送到上层进行相关过滤等处理，通过检查会话表或ACL规则以确定是否允许该报文通过；此外，还要完成其它防攻击检查。

透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。

当防火墙工作在透明模式（也可以称为桥接模式）下时，所有接口都不能配置IP地址，接口所在的安全区域是二层区域，和二层区域相关接口连接的外部用户同属一个子网。

当报文在二层区域的接口间进行转发时，需要根据报文的MAC地址来寻找出接口，此时防火墙表现为一个透明网桥。

工作在透明模式下的防火墙在数据链路层连接局域网（LAN），网络终端用户无需为连接网络而对设备进行特别配置，就像使用以太网交换机一样进行网络连接。

2特性的优点特性的优点防火墙采用透明模式进行工作，则可以避免改变拓扑结构造成的麻烦，此时防火墙对于子网用户和路由器来说是完全透明的，也就是说，用户完全感觉不到防火墙的存在，类似于在网络中像放置了一个网桥，无需修改任何已有的配置。

3使用指南使用指南3.1使用场合适用于用户不想改变现有网络拓扑和配置，而需要增加防火墙功能的组网情况3.2配置步骤本例中的透明模式典型配置举例，还包括了只能应用于透明模式下的以太网帧头过滤（ACL40004999）功能，防止syn-flood攻击的tcp代理功能。

防火墙透明模式特性典型配置指导正文2006-01-21版权所有，侵权必究第2页3.2.1配置透明模式透明模式主要配置如下：

1）配置防火墙工作在透明模式2）配置防火墙包过滤缺省处理方式为permit3）配置未知mac地址报文的处理方式（可选）4）配置防火墙系统地址（可选）5）配置防火墙ARP学习功能（可选）6）配置mac地址转发表老化时间（可选）7）配置透明模式可以转发的报文类型（可选）操作视图操作命令操作说明系统视图Quidwayfirewallmodetransparent配置防火墙工作在透明模式系统视图Quidwayfirewallpacket-filterdefaultpermit|deny配置防火墙包过滤缺省处理方式系统视图Quidwayfirewallunknown-macflood配置未知mac报文的处理方式为flood系统视图Quidwayfirewallsystem-ipip-addressmask配置透明模式系统地址系统视图Quidwayfirewallarp-learningenable配置防火墙arp学习功能系统视图Quidwayfirewalltransparent-modeaging-timeseconds配置mac表项老化时间系统视图Quidwayfirewalltransparent-modetransmitipx|dlsw|bpdu配置防火墙允许通过的报文类型3.2.2配置以太网帧头过滤规则以太网帧头过滤规则主要配置如下：

1）配置访问控制列表400049992）配置过滤规则3）在接口应用以太网帧头过滤规则操作视图操作命令操作说明系统视图Quidwayaclnumberacl-number创建acl规则ACL视图Quidway-acl-ethernetframe-4000rulerule-iddeny|permittypetype-codetype-mask|lsaplsap-codelsap-masksource-macsour-addrsour-maskdest-macdest-addrdest-增加过滤规则防火墙透明模式特性典型配置指导正文2006-01-21版权所有，侵权必究第3页masktime-rangetime-namelogging接口视图Quidway-Ethernet0/0firewallethernet-frame-filteracl-numberinbound|outbound在接口应用以太网帧头过滤规则3.2.3配置tcp-proxy透明模式tcp-proxy配置如下：

1）对要进行syn-flood攻击保护的安全区域或者目的ip地址，配置tcp-proxy操作视图操作命令操作说明系统视图Quidwayfirewalltcp-proxyipip-address|zonezone-name对安全区域或ip地址使能tcp代理3.3注意事项1）由于syn-flood攻击是比较普遍的攻击，tcp-proxy是防御这种攻击有效的手段，因此作为推荐加入透明模式典型组网配置中。

2）以太网帧头过滤，只能在透明模式下生效。

3.4举例3.4.1组网需求防火墙使用安全区域的概念来表示与其相连接的网络，一般情况下：

?

Local区域代表防火墙本地系统；?

Trust代表用户网络中的私有网络；?

Untrst代表公共网络或不安全的网络，如Internet；?

DMZ（DemilitarizedZone，非军事区域）区域是一个相对独立的区域。

在一个网络中，某些主机需要对外提供服务，如FTP服务器和邮件服务器等。

为更好提供优质服务，同时又有效保护内部网络的安全，将这些对外提供服务的主机与内部网络进行隔离，放入DMZ区域中，有针对性地对内部网络中的设备和这些提供对外服务的主机应用不同的防火墙策略，可以在提供友好的对外服务的同时，最大限度地保护了内部网络。

因此，按照如上规则组网。

组网满足如下需求：

1）内网trust区域、外网untrust区域和内网服务器DMZ区域之间可以互相访问；2）外网、内网对于DMZ区服务器的访问，防火墙可以实现tcp代理；3）以太网帧头过滤只是介绍功能极其简单配置，具体过滤条件，请参照现场真实条件设置。

带格式的:

带格式的:

项目符号和编号防火墙透明模式特性典型配置指导正文2006-01-21版权所有，侵权必究第4页3.4.2组网图图1透明模式典型组网图3.4.3配置1.使用的版本QuidwaydisplayversionCopyrightNotice:

Allrightsreserved（Jan182006）.Withouttheownerspriorwrittenconsent,nodecompilingnorreverse-engineeringshallbeallowed.HuaweiVersatileRoutingPlatformSoftwareVRPsoftware,Version3.40,Release0008Copyright（c）1998-2005HuaweiTech.Co.,Ltd.Allrightsreserved.QuidwaySecPath500Fuptimeis0week,1day,1hour,23minutesCPUtype:

MipsBCM1125H400MHz内网服务器：

DMZZone内网：

TrustZone外网：

untrustZone10.1.1.1/2410.1.1.3/2410.1.1.2/24G0/0G0/1G1/0防火墙透明模式特性典型配置指导正文2006-01-21版权所有，侵权必究第5页512MbytesDDRSDRAMMemory16MbytesFlashMemoryPcbVersion:

2.0LogicVersion:

1.0BootROMVersion:

1.10SLOT02GBE（Hardware）2.0,（Driver）1.0,（Cpld）1.0SLOT12GBE（Hardware）2.0,（Driver）1.0,（Cpld）1.0SLOT2NDEC（Hardware）2.0,（Driver）3.3,（Cpld）1.0SLOT31FE（Hardware）2.0,（Driver）2.0,（Cpld）0.0QuidwayvrbdRoutingPlatformSoftwareVersionSecPath500F8042V100R002B04D011（COMWAREV300R002B40D003）,RELEASESOFTWARECompiledJan18200614:

05:

50byxiedong2.配置防火墙当前视图配置命令简单说明Quidwayfirewallmodetransparent设置设备工作在透明模式Quidwayfirewallzonetrust进入trust安全区域视图Quidway-zone-trustaddinterfaceGigabitEthernet0/1将接口g0/1加入trust区域Quidwayfirewallzoneuntrust进入untrust安全区域视图Quidway-zone-untrustaddinterfaceGigabitEthernet0/0将接口g0/0加入untrust区域QuidwayfirewallzoneDMZ进入DMZ安全区域视图Quidway-zone-dmzaddinterfaceGigabitEthernet1/0将接口g1/0加入DMZ区域Quidwayfirewallpacket-filterdefaultpermit设置防火墙包过滤缺省方式为peimitQuidwayfirewallunknown-macflood设置对未知mac地址的报文采用flood方式处理Quidwayaclnumber4000创建访问控制列表4000Quidway-acl-ethernetframe-4000rulepermit创建访问规则（允许任何mac地址）Qu