㈠ 華為透明防火牆的HRP怎麼做
配置思路
1. USG介面GigabitEthernet 0/0/1和GigabitEthernet 0/0/2均工作在交換模式,分別加入不同的安全區域。
2. 在USG上創建VLANif介面,配置管理ip地址為192.168.0.1。
3. 在USG上配置到路由器的默認路由。
4. 在 USG上配置Trust區域和Untrust區域的域間包過濾規則。
操作步驟
1. 在USG上完成以下基本配置。
# 配置GigabitEthernet 0/0/1工作在交換模式。
<USG_A> system-view
[USG_A] interface GigabitEthernet 0/0/1
[USG_A-GigabitEthernet0/0/1] portswitch
[USG_A-GigabitEthernet0/0/1] quit
# 配置GigabitEthernet 0/0/1加入Trust區域。
[USG_A] firewall zone trust
[USG_A-zone-trust] add interface GigabitEthernet 0/0/1
[USG_A-zone-trust] quit
# 配置GigabitEthernet 0/0/2工作在交換模式。
[USG_A] interface GigabitEthernet 0/0/2
[USG_A-GigabitEthernet0/0/2] portswitch
[USG_A-GigabitEthernet0/0/2] quit
# 配置GigabitEthernet 0/0/2加入Untrust區域。
[USG_A] firewall zone untrust
[USG_A-zone-untrust] add interface GigabitEthernet 0/0/2
[USG_A-zone-untrust] quit
2.# 配置USG的管理IP地址。
[USG_A] interface vlianif 1
[USG_A-GigabitEthernet0/0/1] ip address 192.168.0.2 24
[USG_A-GigabitEthernet0/0/1] quit
[USG_A] firewall zone untrust
[USG_A-zone-untrust] add interface vlanif 1
3.# 配置USG到路由器的默認路由。
[USG_A] ip route-static 0.0.0.0 0.0.0.0 192.168.0.1
4.# 默認放開所有區域之間包過濾。
[USG_A]firewall packet-filter default permit all
㈡ 透明防火牆如何網管
解決辦法如下。
處理過程。
將防火牆工作模式改為混合模式,將管理用的設置成= 層埠,這樣可以避免網路中冗餘的二二層鏈路造成業務埠或者管理用埠被block掉的情況。
網線、鏈路、配置都沒有問題,由於網路中冗餘的二層鏈路較多,懷疑可能是生成樹將管理用的網口block了。
輸入display stp bri後,發現劃到管理用VL AN的端C ]的生成樹狀態為BLOCKING。
建議與總結。
建議USG防火牆實施時候,如果以透明模式接入網路,需要帶外網管。可以考慮是用混合模式,這樣避免了生成樹造成業務埠或者管理用埠被block掉的情況。
㈢ 防火牆透明模式的詳細
而與透明模式在稱呼上相似的透明代理,和傳統代理一樣,可以比包過濾更深層次地檢查數據信息,比如FTP包的port命令等。同時它也是一個非常快的代理,從物理上分離了連接,這可以提供更復雜的協議需要,例如帶動態埠分配的H.323,或者一個帶有不同命令埠和數據埠的連接。這樣的通信是包過濾所無法完成的。
防火牆使用透明代理技術,這些代理服務對用戶也是透明的,用戶意識不到防火牆的存在,便可完成內外網路的通訊。當內部用戶需要使用透明代理訪問外部資源時,用戶不需要進行設置,代理伺服器會建立透明的通道,讓用戶直接與外界通信,這樣極大地方便用戶的使用。
一般使用代理伺服器時,每個用戶需要在客戶端程序中指明要使用代理,自行設置Proxy參數(如在瀏覽器中有專門的設置來指明HTTP或FTP等的代理)。而透明代理服務,用戶不需要任何設置就可以使用代理伺服器,簡化了網路的設置過程。以下是透明代理的原理:
假設A為內部網路客戶機,B為外部網路伺服器,C為防火牆。當A對B有連接請求時,TCP連接請求被防火牆截取並加以監控。截取後當發現連接需要使用代理伺服器時,A和C之間首先建立連接,然後防火牆建立相應的代理服務通道與目標B建立連接,由此通過代理伺服器建立A和目標地址B的數據傳輸途徑。從用戶的角度看,A和B的連接是直接的,而實際上A是通過代理伺服器C和B建立連接的。反之,當B對A有連接請求時原理相同。由於這些連接過程是自動的,不需要客戶端手工配置代理伺服器,甚至用戶根本不知道代理伺服器的存在,因而對用戶來說是透明的。
代理伺服器可以做到內外地址的轉換,屏蔽內部網的細節,使非法分子無法探知內部結構。代理伺服器提供特殊的篩選命令,可以禁止用戶使用容易造成攻擊的不安全的命令,從根本上抵禦攻擊。
防火牆使用透明代理技術,還可以使防火牆的服務埠無法探測到,也就無法對防火牆進行攻擊,大大提高了防火牆的安全性與抗攻擊性。透明代理避免了設置或使用中可能出現的錯誤,降低了防火牆使用時固有的安全風險和出錯概率,方便用戶使用。
因此,透明代理與透明模式都可以簡化防火牆的設置,提高系統安全性。但兩者之間也有本質的區別:工作於透明模式的防火牆使用了透明代理的技術,但透明代理並不是透明模式的全部,防火牆在非透明模式中也可以使用透明代理。
㈣ 華為usg6300web透明模式配置
操作步驟:
1.首次登錄Web界面之後,快速向導界面會自動彈出。由於二層接入場景不能通過快速向導配置,請勾選快速向導左下角的「下次登錄不再顯示」,單擊「取消」,關閉快速向導界面。
2.選擇「網路>介面」。
3.在介面列表中單擊「GE1/0/1」按鈕,修改「GE1/0/1」介面的如下參數,其他參數保持默認。
㈤ 網域防火牆怎麼設置兩個網口透明模式相通
網域防火牆設置兩個網口透明模式方式如下:
將管理主機IP設為:10.1.5.200直接連防火牆Fe 1口;通過Fe 1口管理防火牆,將Fe 2口、Fe 3口設為透明模式。
以上方法是防火牆在出廠配置的情況下,也就是,Fe 1口工作在路由模式下,可以用於管理,IP 為:10.1.5.254,同一網段的管理主機IP為:10.1.5.200環境下。
㈥ 如何報防火牆設置為透明模式,具體命令是什麼
pixfirewall(config)#
firewall
transparent
--設置防火牆為透明模式
pixfirewall(config)#
access-list
out-list
extended
permit
icmp
any
any
--設置允許通過所有的協議
pixfirewall(config)#
access-list
out-list
extended
permit
ip
any
any
--設置允許通過所有的IP
pixfirewall(config)#
access-group
out-list
in
interface
outside
--把剛才的訪問列表綁在outside口
pixfirewall(config)#
ip
address
192.1.1.1
255.255.255.0
--設置一個以後配置防火牆的IP
㈦ 華為防火牆 透明模式 怎麼配置策略
這個要開啟防火牆的DPI(簡單的說也就是上網行為管理)功能,你的設備版本是什麼?如果是V100R005SPC500的話,直接升級到V100R005SPC700可以通過WEB配置上網行為管理,非常方便。如果沒辦法升級,就只有命令行了,剛好我有之前配置的一些文檔,你看下: sys 首先進入配置模式 dpi enable 開啟深度包檢測功能 dns proxy enable dns resole dns server x.x.x.x dns server x.x.x.x 配置DNS參數,按照你們當地的地址配置 dpi using default rule-base update server update rule-base remote period 2 q 進入DPI配置,配升級伺服器與升級周期,退出 acl 2000 rule deny source x.x.x.x 0 配置ACL,拒絕源地址(零代表單一主機地址) rule permit quit rule 0 if-match category IM application qq_im packet-filter acl-number 2000 rule 1 if-match category IM application qq_im_http packet-filter acl-number 2000 rule 2 if-match category IM application qq_wireless packet-filter acl-number 2000 rule 3 if-match category p2p application thunder packet-filter acl-number 2000 rule 4 if-match category p2p application thunder_encrypted_data packet-filter acl-number 2000 rule 5 if-match category p2p application thunder_http packet-filter acl-number 2000 配置拒絕協議,引用規則 relation-detection enable whole-packet-search enable 開啟全包檢測功能 q 退出 firewall statistic system enable firewall session link-state check 開啟防火牆會話檢測 q 退出 sa 保存配置 戰斗結束
㈧ 華為secoeay usg2130防火牆接在tplink路由器後需要如何配置 才能上外網,請求詳細步驟
默認情況下防火牆拒絕域間轉發數據包,需要配置防火牆成透明模式,然後設置相應的域間規則。具體方法見隨機手冊、光碟。
默認的登錄地址是192.168.0.1 ,web可以登錄。默認帳號和密碼見隨機手冊。終端的網線連接到設備8個交換埠的任意一個即可。
㈨ 華為防火牆usg2220bsr 放在路由後面怎麼設置
你這里,防火牆可以做透明模式,把上聯口和下聯口都改成交換口,然後給vlan1配置一個地址(這個地址要跟交換機和路由器互聯的地址同一個網段,如果交換機是做傻瓜用的,那麼配置一個和路由器內網口相同段的地址即可),配置這個地址的目的是方便登錄管理
方法如下:
firewall packet-filter default permit all 開啟包過濾
int g 0/0/0
portswitch
int g 0/0/1
portswitch
int vlan 1
ip add x.x.x.x y.y.y.y
firewall zone trust
add int g 0/0/1 這個埠接交換機
firewall zone untrust
add int g 0/0/0 這個埠接路由器
㈩ 請問硬體防火牆如果設置透明模式,wan口和lan口應該怎麼設置
lan口和wan口的配置
路由器的一排網線介面,分為 lan 和 wan .但不是誰生來就是lan口 或者 wan口 .
也沒有誰規定就一個wan口 就只有一個.
網口就是網口, 決定它是 lan口 還是 wan口 ,是由我們自己決定的 .
用這次 openwrt x86的使用, 來講述一下 lan 和 wan 是如何配置的, 怎麼才可以上網, 而防火牆又是什麼 .
圖1. x86路由器及接線圖
這是 x86 的路由器.在刷好 openwrt 的固件後,一開始只有一個口有驅動, 接上網線燈會亮的那個口,就是此刻可以工作的lan口, 把網線的另一端連接電腦, 並且把電腦的IP設為 跟路由器同一網段的ip地址 -->192.168.1.x, 才能進入路由器管理界面 .
圖2. openwrt 管理首頁
在設置好密碼後,就可以用 ssh 進入openwrt操作系統, 用以查看配置項 .
配置項:/etc/config/network
在剛刷好固件後, 這台路由器還不能上網, 需要給路由器配置對應的wan 口.
這里就要提一下上網的原理了 .
任何東西都要有迴路才能成為一個循環 .電池有正負極,電有零線火線,都需要迴路 電流才能流動. 網線也是一樣 .
無論是誰進,誰出, 發生數據交換, 總是需要 lan 和 wan 兩條線.
你可以是 一個 wan作為統一出口,然後搭配很多個lan作為入口.
你也可以 lan1-wan1 作為網路1,lan2-wan2 作為網路2...等等. 這其實就是歸類的意思 .
因為物理網口有5個,你可以按自己的需求進行分配 .在了解了上面的原理後,開始配置網路介面.
進 網路 --> 介面 ,見圖3 . 圖3. 網路介面
從圖上可以看到, 我定義了一個wan口, 和 一個 把剩下口都橋接在一起的lan口 .
下面看看lan口怎麼配置.
點擊 修改. 見圖4 .
圖4 .lan口修改配置圖 .
可以看到,上面一排有 基本設置 高級設置 物理設置 防火牆設置
先看基本設置 要填的參數有 協議 ip地址 等.
作為路由器的lan口,實際上就是你的網關地址,這個地址是固定的,是你訪問路由器的地址,也就是平常使用的192.168.1.1,所以協議設置成 靜態ip .
再看 物理設置. 見圖5.
圖5.網口的物理設置
這里就是我們要配置的物理網口 .可以看到我有6個 物理網口. 現在 我將 我的eth0 綁定到 lan 下, 同一個類別下的網口 都能享有 這個類別的配置. 比如6個口均是綁定到lan 下,那麼lan的配置 對6個網庫均起作用.
在實現了物理口的綁定後,還要設置防火牆. 防火牆其實就是一張黑白名單和上網的許可權控制. 它可以規定 誰能上網, 誰不能上網 .
防火牆 見圖6.
圖6 防火牆配置
防火牆的lan wan規則系統默認已經給了,所以新創建的 lan 還是 wan口 ,只要分配到對應的規則下就可以了 .
以上就是默認lan 口的配置,接下來我們配置wan口.
1.新建介面
2.配置協議
3.綁定物理網口
4.防火牆設置
1.新建介面和配置協議
圖7 .在介面中點擊 添加新介面 .
圖8 .新介面的配置
wan口協議選擇 DHCP, 這樣就能動態分配到上上級路由過來的ip地址 .然後選擇一個需要的物理網口, 點擊提交 .
3.綁定物理網口:
圖9 .綁定物理網口
這一步在上一步已經做了
4. 防火牆設置
防火牆 這里是一套規則, 你也可以自己創建一套規則 .
做完這個,把網線 接在你配置的網口裡面 就能上網了.
圖10. 指定防火牆
第二部分: 橋接 .bridge
下面講怎麼配置lan口 和什麼是橋接.
在宿舍里,為什麼 每個人的電腦網線一插在路由器里就能上網呢? 因為 那是把 剩下的空閑的網口,都橋接在一個lan口下了 .
但是,我這里要先講一下,怎麼再配置一個lan口 和橋接 有什麼區別.
分配到lan口的規則上去.
現在,這個 lan1 口就能上網了.迴路是和lan共用一個 wan口 .當然你可以自己創建一個wan1 組成一個新的網路lan1-wan1.
但是呢,現在這個樣子,它其實是開辟了一個新的網段 .比較復雜,所以下面講什麼是橋接 .
因為不想再創建 lan1, lan2什麼的.我只想其它的網口互通就好了,這里就是橋接, 把所有的 網口 都綁定到lan口上去. 所以,我先把lan1 給刪了.
然後把你勾上橋接選項,把你想連在一起的口都橋接起來
這樣,就不用配置什麼 .2 .3網段了,就是 .1網段.現在,你插在那個lan口 都能上網了. 約定俗成 ,我們把第一個口配成 wan口 後面的口配成 lan 口.