防火墙交换模式配置VIP免费

防火墙交换模式配置www.dcnetworks.com.cn神州数码网络案例描述www.dcnetworks.com.cn神州数码网络2需求陈述防火墙eth6接口和eth7接口配置为透明模式Eth6与eth7同属一个虚拟桥接组，eth6属于l2-trust安全域，eth7属于l2-untrust安全域。允许网段Aping网段B及访问网段B的WEB服务放行网段B至网段A的TCP9988端口为虚拟桥接组vswitch1配置ip地址以便管理防火墙网段A:192.168.1.1-192.168.1.100网段B:192.168.1.101-192.168.1.200网络拓扑Eth6Zone:l2-trustEth7Zone:l2-untrustVswtichif1:192.168.1.254/24神州数码网络3配置步骤接口配置配置虚拟交换机（vswitch）添加对象网络对象服务对象配置安全策略www.dcnetworks.com.cn神州数码网络4接口配置将eth6接口加入二层安全域l2-trustDCFW-1800(config)#interfaceethernet0/6DCFW-1800(config-if-eth0/6)#zonel2-trust添加管理主机DCFW-1800(config)#adminhostanyanywww.dcnetworks.com.cn神州数码网络5配置vswitch将l2-trust安全域绑定到vswitch1上DCFW-1800(config)#zonel2-trustDCFW-1800(config-zone-l2-tru~)#bindvswitch1配置vswitchif1接口DCFW-1800(config)#interfacevswitchif1DCFW-1800(config-if-vsw1)#zonetrustDCFW-1800(config-if-vsw1)#ipaddress192.168.1.254/24DCFW-1800(config-if-vsw1)#managepingDCFW-1800(config-if-vsw1)#managehttps完成上述配置后即可在网段A通过WEBUI使用vswitchif1接口IP进行管理www.dcnetworks.com.cn神州数码网络6外网口配置通WEBUI登陆防火墙对eth7接口进行配置将eth7接口所属安全域类型指定为“二层安全域”将eth7接口划归l2-untrust安全域www.dcnetworks.com.cn物理接口配置为二层安全域时无法配置IP地址对eth0/7接口进行编辑神州数码网络7添加对象为即将建立的安全策略定义地址对象和服务对象定义地址对象•定义网段A(192.168.1.1–192.168.1.100)•定义网段B(192.168.1.101–192.168.1.200)定义服务对象•为网段A访问网段B定义服务对象，其中包括ping和http•为网段B访问网段A定义服务对象，其中只有TCP9988www.dcnetworks.com.cn神州数码网络8定义地址对象定义包含网段A的地址对象net_A在地址薄里“新建”地址对象www.dcnetworks.com.cn把地址对象与它所属的vswitch相关联由于对象不是整个网段所以使用IP范围定义神州数码网络9定义地址对象定义包含网段B的地址对象net_B在地址薄里“新建”地址对象www.dcnetworks.com.cn把地址对象与它所属的vswitch相关联由于对象不是整个网段所以使用IP范围定义神州数码网络10定义服务对象为网段A访问网段B定义服务对象由于包含多个服务，这里定义了一个服务对象组www.dcnetworks.com.cn选中左侧的服务对象推送到右侧的成员组中神州数码网络11定义服务对象为网段B访问网段A定义服务对象由于“预定义”服务对象中不存在该服务，所以需要在“自定义”服务对象中手工定义www.dcnetworks.com.cn这里定义的服务对象是要访问的目的端口，如果端口号只有一个填写最小值即可神州数码网络12配置安全策略添加网段A到网段B的策略在“安全”->“策略”中选择好“源安全域”和“目的安全域”后，新建策略www.dcnetworks.com.cn源地址选择网段A的地址对象目的地址选择网段B的地址对象选择网段A访问网段B的服务对象神州数码网络13配置安全策略添加网段B到网段A的策略在“安全”->“策略”中选择好“源安全域”和“目的安全域”后，新建策略www.dcnetworks.com.cnTheEndwww.dcnetworks.com.cn神州数码网络