㈠ 华为透明防火墙的HRP怎么做
配置思路
1. USG接口GigabitEthernet 0/0/1和GigabitEthernet 0/0/2均工作在交换模式,分别加入不同的安全区域。
2. 在USG上创建VLANif接口,配置管理ip地址为192.168.0.1。
3. 在USG上配置到路由器的默认路由。
4. 在 USG上配置Trust区域和Untrust区域的域间包过滤规则。
操作步骤
1. 在USG上完成以下基本配置。
# 配置GigabitEthernet 0/0/1工作在交换模式。
<USG_A> system-view
[USG_A] interface GigabitEthernet 0/0/1
[USG_A-GigabitEthernet0/0/1] portswitch
[USG_A-GigabitEthernet0/0/1] quit
# 配置GigabitEthernet 0/0/1加入Trust区域。
[USG_A] firewall zone trust
[USG_A-zone-trust] add interface GigabitEthernet 0/0/1
[USG_A-zone-trust] quit
# 配置GigabitEthernet 0/0/2工作在交换模式。
[USG_A] interface GigabitEthernet 0/0/2
[USG_A-GigabitEthernet0/0/2] portswitch
[USG_A-GigabitEthernet0/0/2] quit
# 配置GigabitEthernet 0/0/2加入Untrust区域。
[USG_A] firewall zone untrust
[USG_A-zone-untrust] add interface GigabitEthernet 0/0/2
[USG_A-zone-untrust] quit
2.# 配置USG的管理IP地址。
[USG_A] interface vlianif 1
[USG_A-GigabitEthernet0/0/1] ip address 192.168.0.2 24
[USG_A-GigabitEthernet0/0/1] quit
[USG_A] firewall zone untrust
[USG_A-zone-untrust] add interface vlanif 1
3.# 配置USG到路由器的默认路由。
[USG_A] ip route-static 0.0.0.0 0.0.0.0 192.168.0.1
4.# 默认放开所有区域之间包过滤。
[USG_A]firewall packet-filter default permit all
㈡ 透明防火墙如何网管
解决办法如下。
处理过程。
将防火墙工作模式改为混合模式,将管理用的设置成= 层端口,这样可以避免网络中冗余的二二层链路造成业务端口或者管理用端口被block掉的情况。
网线、链路、配置都没有问题,由于网络中冗余的二层链路较多,怀疑可能是生成树将管理用的网口block了。
输入display stp bri后,发现划到管理用VL AN的端C ]的生成树状态为BLOCKING。
建议与总结。
建议USG防火墙实施时候,如果以透明模式接入网络,需要带外网管。可以考虑是用混合模式,这样避免了生成树造成业务端口或者管理用端口被block掉的情况。
㈢ 防火墙透明模式的详细
而与透明模式在称呼上相似的透明代理,和传统代理一样,可以比包过滤更深层次地检查数据信息,比如FTP包的port命令等。同时它也是一个非常快的代理,从物理上分离了连接,这可以提供更复杂的协议需要,例如带动态端口分配的H.323,或者一个带有不同命令端口和数据端口的连接。这样的通信是包过滤所无法完成的。
防火墙使用透明代理技术,这些代理服务对用户也是透明的,用户意识不到防火墙的存在,便可完成内外网络的通讯。当内部用户需要使用透明代理访问外部资源时,用户不需要进行设置,代理服务器会建立透明的通道,让用户直接与外界通信,这样极大地方便用户的使用。
一般使用代理服务器时,每个用户需要在客户端程序中指明要使用代理,自行设置Proxy参数(如在浏览器中有专门的设置来指明HTTP或FTP等的代理)。而透明代理服务,用户不需要任何设置就可以使用代理服务器,简化了网络的设置过程。以下是透明代理的原理:
假设A为内部网络客户机,B为外部网络服务器,C为防火墙。当A对B有连接请求时,TCP连接请求被防火墙截取并加以监控。截取后当发现连接需要使用代理服务器时,A和C之间首先建立连接,然后防火墙建立相应的代理服务通道与目标B建立连接,由此通过代理服务器建立A和目标地址B的数据传输途径。从用户的角度看,A和B的连接是直接的,而实际上A是通过代理服务器C和B建立连接的。反之,当B对A有连接请求时原理相同。由于这些连接过程是自动的,不需要客户端手工配置代理服务器,甚至用户根本不知道代理服务器的存在,因而对用户来说是透明的。
代理服务器可以做到内外地址的转换,屏蔽内部网的细节,使非法分子无法探知内部结构。代理服务器提供特殊的筛选命令,可以禁止用户使用容易造成攻击的不安全的命令,从根本上抵御攻击。
防火墙使用透明代理技术,还可以使防火墙的服务端口无法探测到,也就无法对防火墙进行攻击,大大提高了防火墙的安全性与抗攻击性。透明代理避免了设置或使用中可能出现的错误,降低了防火墙使用时固有的安全风险和出错概率,方便用户使用。
因此,透明代理与透明模式都可以简化防火墙的设置,提高系统安全性。但两者之间也有本质的区别:工作于透明模式的防火墙使用了透明代理的技术,但透明代理并不是透明模式的全部,防火墙在非透明模式中也可以使用透明代理。
㈣ 华为usg6300web透明模式配置
操作步骤:
1.首次登录Web界面之后,快速向导界面会自动弹出。由于二层接入场景不能通过快速向导配置,请勾选快速向导左下角的“下次登录不再显示”,单击“取消”,关闭快速向导界面。
2.选择“网络>接口”。
3.在接口列表中单击“GE1/0/1”按钮,修改“GE1/0/1”接口的如下参数,其他参数保持默认。
㈤ 网域防火墙怎么设置两个网口透明模式相通
网域防火墙设置两个网口透明模式方式如下:
将管理主机IP设为:10.1.5.200直接连防火墙Fe 1口;通过Fe 1口管理防火墙,将Fe 2口、Fe 3口设为透明模式。
以上方法是防火墙在出厂配置的情况下,也就是,Fe 1口工作在路由模式下,可以用于管理,IP 为:10.1.5.254,同一网段的管理主机IP为:10.1.5.200环境下。
㈥ 如何报防火墙设置为透明模式,具体命令是什么
pixfirewall(config)#
firewall
transparent
--设置防火墙为透明模式
pixfirewall(config)#
access-list
out-list
extended
permit
icmp
any
any
--设置允许通过所有的协议
pixfirewall(config)#
access-list
out-list
extended
permit
ip
any
any
--设置允许通过所有的IP
pixfirewall(config)#
access-group
out-list
in
interface
outside
--把刚才的访问列表绑在outside口
pixfirewall(config)#
ip
address
192.1.1.1
255.255.255.0
--设置一个以后配置防火墙的IP
㈦ 华为防火墙 透明模式 怎么配置策略
这个要开启防火墙的DPI(简单的说也就是上网行为管理)功能,你的设备版本是什么?如果是V100R005SPC500的话,直接升级到V100R005SPC700可以通过WEB配置上网行为管理,非常方便。如果没办法升级,就只有命令行了,刚好我有之前配置的一些文档,你看下: sys 首先进入配置模式 dpi enable 开启深度包检测功能 dns proxy enable dns resole dns server x.x.x.x dns server x.x.x.x 配置DNS参数,按照你们当地的地址配置 dpi using default rule-base update server update rule-base remote period 2 q 进入DPI配置,配升级服务器与升级周期,退出 acl 2000 rule deny source x.x.x.x 0 配置ACL,拒绝源地址(零代表单一主机地址) rule permit quit rule 0 if-match category IM application qq_im packet-filter acl-number 2000 rule 1 if-match category IM application qq_im_http packet-filter acl-number 2000 rule 2 if-match category IM application qq_wireless packet-filter acl-number 2000 rule 3 if-match category p2p application thunder packet-filter acl-number 2000 rule 4 if-match category p2p application thunder_encrypted_data packet-filter acl-number 2000 rule 5 if-match category p2p application thunder_http packet-filter acl-number 2000 配置拒绝协议,引用规则 relation-detection enable whole-packet-search enable 开启全包检测功能 q 退出 firewall statistic system enable firewall session link-state check 开启防火墙会话检测 q 退出 sa 保存配置 战斗结束
㈧ 华为secoeay usg2130防火墙接在tplink路由器后需要如何配置 才能上外网,请求详细步骤
默认情况下防火墙拒绝域间转发数据包,需要配置防火墙成透明模式,然后设置相应的域间规则。具体方法见随机手册、光盘。
默认的登录地址是192.168.0.1 ,web可以登录。默认帐号和密码见随机手册。终端的网线连接到设备8个交换端口的任意一个即可。
㈨ 华为防火墙usg2220bsr 放在路由后面怎么设置
你这里,防火墙可以做透明模式,把上联口和下联口都改成交换口,然后给vlan1配置一个地址(这个地址要跟交换机和路由器互联的地址同一个网段,如果交换机是做傻瓜用的,那么配置一个和路由器内网口相同段的地址即可),配置这个地址的目的是方便登录管理
方法如下:
firewall packet-filter default permit all 开启包过滤
int g 0/0/0
portswitch
int g 0/0/1
portswitch
int vlan 1
ip add x.x.x.x y.y.y.y
firewall zone trust
add int g 0/0/1 这个端口接交换机
firewall zone untrust
add int g 0/0/0 这个端口接路由器
㈩ 请问硬件防火墙如果设置透明模式,wan口和lan口应该怎么设置
lan口和wan口的配置
路由器的一排网线接口,分为 lan 和 wan .但不是谁生来就是lan口 或者 wan口 .
也没有谁规定就一个wan口 就只有一个.
网口就是网口, 决定它是 lan口 还是 wan口 ,是由我们自己决定的 .
用这次 openwrt x86的使用, 来讲述一下 lan 和 wan 是如何配置的, 怎么才可以上网, 而防火墙又是什么 .
图1. x86路由器及接线图
这是 x86 的路由器.在刷好 openwrt 的固件后,一开始只有一个口有驱动, 接上网线灯会亮的那个口,就是此刻可以工作的lan口, 把网线的另一端连接电脑, 并且把电脑的IP设为 跟路由器同一网段的ip地址 -->192.168.1.x, 才能进入路由器管理界面 .
图2. openwrt 管理首页
在设置好密码后,就可以用 ssh 进入openwrt操作系统, 用以查看配置项 .
配置项:/etc/config/network
在刚刷好固件后, 这台路由器还不能上网, 需要给路由器配置对应的wan 口.
这里就要提一下上网的原理了 .
任何东西都要有回路才能成为一个循环 .电池有正负极,电有零线火线,都需要回路 电流才能流动. 网线也是一样 .
无论是谁进,谁出, 发生数据交换, 总是需要 lan 和 wan 两条线.
你可以是 一个 wan作为统一出口,然后搭配很多个lan作为入口.
你也可以 lan1-wan1 作为网络1,lan2-wan2 作为网络2...等等. 这其实就是归类的意思 .
因为物理网口有5个,你可以按自己的需求进行分配 .在了解了上面的原理后,开始配置网络接口.
进 网络 --> 接口 ,见图3 . 图3. 网络接口
从图上可以看到, 我定义了一个wan口, 和 一个 把剩下口都桥接在一起的lan口 .
下面看看lan口怎么配置.
点击 修改. 见图4 .
图4 .lan口修改配置图 .
可以看到,上面一排有 基本设置 高级设置 物理设置 防火墙设置
先看基本设置 要填的参数有 协议 ip地址 等.
作为路由器的lan口,实际上就是你的网关地址,这个地址是固定的,是你访问路由器的地址,也就是平常使用的192.168.1.1,所以协议设置成 静态ip .
再看 物理设置. 见图5.
图5.网口的物理设置
这里就是我们要配置的物理网口 .可以看到我有6个 物理网口. 现在 我将 我的eth0 绑定到 lan 下, 同一个类别下的网口 都能享有 这个类别的配置. 比如6个口均是绑定到lan 下,那么lan的配置 对6个网库均起作用.
在实现了物理口的绑定后,还要设置防火墙. 防火墙其实就是一张黑白名单和上网的权限控制. 它可以规定 谁能上网, 谁不能上网 .
防火墙 见图6.
图6 防火墙配置
防火墙的lan wan规则系统默认已经给了,所以新创建的 lan 还是 wan口 ,只要分配到对应的规则下就可以了 .
以上就是默认lan 口的配置,接下来我们配置wan口.
1.新建接口
2.配置协议
3.绑定物理网口
4.防火墙设置
1.新建接口和配置协议
图7 .在接口中点击 添加新接口 .
图8 .新接口的配置
wan口协议选择 DHCP, 这样就能动态分配到上上级路由过来的ip地址 .然后选择一个需要的物理网口, 点击提交 .
3.绑定物理网口:
图9 .绑定物理网口
这一步在上一步已经做了
4. 防火墙设置
防火墙 这里是一套规则, 你也可以自己创建一套规则 .
做完这个,把网线 接在你配置的网口里面 就能上网了.
图10. 指定防火墙
第二部分: 桥接 .bridge
下面讲怎么配置lan口 和什么是桥接.
在宿舍里,为什么 每个人的电脑网线一插在路由器里就能上网呢? 因为 那是把 剩下的空闲的网口,都桥接在一个lan口下了 .
但是,我这里要先讲一下,怎么再配置一个lan口 和桥接 有什么区别.
分配到lan口的规则上去.
现在,这个 lan1 口就能上网了.回路是和lan共用一个 wan口 .当然你可以自己创建一个wan1 组成一个新的网络lan1-wan1.
但是呢,现在这个样子,它其实是开辟了一个新的网段 .比较复杂,所以下面讲什么是桥接 .
因为不想再创建 lan1, lan2什么的.我只想其它的网口互通就好了,这里就是桥接, 把所有的 网口 都绑定到lan口上去. 所以,我先把lan1 给删了.
然后把你勾上桥接选项,把你想连在一起的口都桥接起来
这样,就不用配置什么 .2 .3网段了,就是 .1网段.现在,你插在那个lan口 都能上网了. 约定俗成 ,我们把第一个口配成 wan口 后面的口配成 lan 口.