防火墙的透明模式

防火墙的透明模式

1. 透明模式的部署环境：

a. 快速部署在当前的三层网络中

b. 网络结构不允许重新设计的时候

c. 同一个网段不受策略的限制

d. 想要增加同一个网段安全性的时候

2. 透明模式的L2的Zone

a.系统预定义的：

vl-untrust

v1-trust

vl-dmz

b. 用户可以自行定义L2的Zone

set zone name L2-cjclub L2

3. VLAN接口

a. vlan接口和区段包含的主机在同一个区段

b. 支持管理IP

c. 物理接口来作ARP的响应

4. 区段默认的管理功能：

v1-trust : 所有的

vl-dmz: ping

vl-untrust : None

L2-用户自定义的： None

* 透明模式需要经过两个过滤（1. 物理接口的服务过滤 2. VLAN1接口服务的过滤）

5. 透明模式的配置：

a. 需要建立一个L2的Zone（使用系统默认的V1二层Zone)

set zone name l2-cjclub l2

b. 指定物理接口放入二层的Zone

set interface untrust zone l2-cjclub

set interface untrust zone v1-untrust

& 确保接口没有IP，不属于任何的Zone（属于Null Zone）

c. 配置VLAN1的接口IP用做管理

set interface vlan1 ip 10.1.1.1/24

d. 选择VLAN接口的广播模式：

默认：Flooding（泛洪）

当收到的数据包的目的MAC不在MAC缓存中，将该数据除了incoming端口以外发送出去

ARP/Trace-Route

如果MAC地址表没有条目，将泛洪ARP Query 包（更加安全，不用泛洪原始的数据包）

set interface vlan1 broadcast arp

e. 配置VLAN1的服务

set interface vlan1 manage ping

set interface vlan1 manage telnet

set interface vlan1 manage web

透明模式常用的查看命令：

　　a. get interface

b. get arp

c. get mac-learn

手工静态指定IP地址: set mac 001c257e84e2 interface trust vlan1

d. get session

不需要做NAT，主要做过滤和保护×××的流量