1、实验 5 UTM 二三层转发配置实验 .5-15.1 实验内容与目标 .5-15.2 实验组网图 5-15.3 背景需求 5-15.4 实验设备与版本 .5-25.5 实验过程 5-2实验任务一:配置防火墙工作在透明模式 .5-2实验任务二:配置防火墙工作在路由模式 .5-4实验任务二:配置防火墙工作在混合模式 .5-105.6 实验中的命令列表 .5-15实验 5 UTM 二三层转发配置实验0实验 5 UTM 二三层转发配置实验5.1 实验内容与目标完成本实验,您应该能够: 了解 UTM 转发模式的简单原理 掌握 UTM 转发模式的配置方法 掌握 UTM 转发模式的常用配置命令5.2 实验组
2、网图C o n s o l e 口串口图 5-1 实验组网图5.3 背景需求缺省情况下,防火墙工作在路由模式下,路由模式就是路由器工作模式,防火墙相当于具有保护功能的路由器。此外,防火墙还提供了透明模式,类似于在网络中像放置了一个网桥(BridGE),无需修改任何已有的配置。但是,防火墙透明模式与网桥存在不同,防火墙接收到的 IP 报文还需要送到上层进行相关过滤等处理,通过检查会话表或 ACL 规则以确定是否允许该报文通过;此外,还要完成其它防攻击检查。透明模式的防火墙支持 ACL 规则检查、ASPF 状态过滤、防攻击检查、流量监控等功能。当防火墙工作在透明模式(也可以称为桥接模式)下时,所有
3、接口都不能配置 IP 地址,接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时,需要根据报文的 MAC 地址来寻找出接口,此时防火墙表现为一个透明网桥。工作在透明模式下的防火墙在数据链路层连接局域网(LAN),网络终端用户无需为连接网络而对设备进行特别配置,就像使用以太网交换机一样进行网络连接。实验 5 UTM 二三层转发配置实验1SecPath 防火墙支持透明桥组,并同时支持路由和桥接功能。桥组路由功能提供了一种结合路由和桥接的转发方法。对于指定的协议数据,如果是在桥组端口之间进行通讯,则进行桥接转发;如果是需要与非桥组组内的网络进
4、行通讯,则可以进行网络协议的路由转发。5.4 实验设备与版本主机:2 台线缆:若干UTM:H3C SecPath U200-A,Version 5.20, Beta 51125.5 实验过程实验任务一:配置防火墙工作在透明模式P C 1P C 2图 5-1 透明模式转发组网图组网要求说明:如图:PC1 和 PC2 分别连在 UTM200-S 防火墙的 GE0/1 和 GE0/2 接口上,其 IP 地址分别为 10.0.0.1/24 和 10.0.0.2/24,需要通过 UTM200-S 实现互通。步骤一:命令行配置命令行配置如下:#vlan 1#interface GigabitEtherne
5、t0/1port link-mode bridge#interface GigabitEthernet0/2port link-mode bridge# 实验 5 UTM 二三层转发配置实验2步骤二:web 相关配置web 相关配置如下: 进入 WEB 管理界面后,单击 “设备管理”“安全域”,编辑 trust 安全域,将 GE0/1加入该域:同样的操作,将 GE0/2 加入 untrust 安全域;然后通过 WEB页面配置 trust 与 untrust 之间的策略可实现安全过滤。实验任务二:配置防火墙工作在路由模式P C 1P C 2G E 0 / 22 0 0 . 0 . 0 . 1 /
6、 2 4G E 0 / 11 0 0 . 0 . 0 . 1 / 2 4实验 5 UTM 二三层转发配置实验3图 5-2 路由模式转发组网组网要求说明:如图:PC1 和 PC2 分别连在 F1000-E 防火墙的 GE0/1 和 GE0/2 接口上,其 IP 地址分别为 100.0.0.2/24 和 200.0.0.2/24,需要通过 UTM200-S 实现互通。UTM200-S 防火墙的GE0/1 和 GE0/2 的接口 IP 分别为 100.0.0.1/24 和 200.0.0.1/24。步骤一:接口配置在 页面点击接口后面对应的编辑按钮 ,配置接口 GE0/1 的 IP 地址,相同方法配
7、置 GE0/2 接口的 IP 地址为 200.0.0.1/24。在 页面,创建 ACL 2000。ACL 2000 的规则作如下设置,点击“确定”实验 5 UTM 二三层转发配置实验4步骤二:安全域相关配置web 相关配置如下: 将接口 GE0/1 和 GE0/2 分别添加到 Trust 和 Untrust 域实验 5 UTM 二三层转发配置实验5步骤三:NAT 配置在 页面,单击“新建”按钮,在 GE0/2 接口上,配置 NAT Outbound Easy-ip/PAT。步骤四:NATServer 配置在 GE0/2 接口上,配置 NAT Server(以 HTTP 协议为例)在 web 页
8、面,单击“新建”按钮,实验 5 UTM 二三层转发配置实验6步骤五:地址组和域间策略配置配置从 Untrust 域到 Trust 域的面向对象 ACL,允许外网用户访问 Trust 区的 Web 服务器。在 页面,单击“新建”按钮,增加地址对象,点击“添加”-“确定”按钮。在 页面,单击“新建”按钮,增加地址组对象,把前面新建的地址对象 WebServerAddr 加入地址组对象 WebServerGroup。实验 5 UTM 二三层转发配置实验7在 页面,单击“新建”按钮,增加服务对象。在 页面,单击“新建”按钮,增加服务组对象,把前面新建的服务对象 WebService 加入到服务组对象
9、WebServiceGroup 中去。实验 5 UTM 二三层转发配置实验8在 页面,单击“新建”按钮。新建访问控制列表规则,选择源地址为 any_address,目的地址为地址组对象WebServerGroup,服务组对象为 WebServiceGroup。实验 5 UTM 二三层转发配置实验9实验任务二:配置防火墙工作在混合模式G E 0 / 12 0 . 0 . 0 . 1 / 2 4T r u s tU n t r u s tP C 1P C 2V l a n i n t e r f a c e 1 01 0 . 0 . 0 . 1 / 2 4G E 0 / 2P C 3G E 0 /
10、 3D M Z组网要求说明:如图:PC1 ,PC2 和 PC3 分别连在 UTM200-S 防火墙的 GE0/1,GE0/2 和 GE0/3 接口上。PC2 和 PC3 在一个网段 10.0.0.0/24,其 IP 地址分别为 10.0.0.2/24 和10.0.0.3/24;PC1 的地址是 20.0.0.2/24,需要通过 UTM200-S 实现互通。UTM200-S 防火墙实验 5 UTM 二三层转发配置实验10GE0/1 的接口 IP 为 20.0.0.1/24,GE0/2 和 GE0/3 所在 VLAN 的 vlan-interface 的接口 IP 为10.0.0.1/24。GE0
11、/2 和 GE0/3 接口工作在二层模式下,加入 vlan 10,vlan 10 的三层终结为 vlan-interface 10, GE0/1 接口工作在三层模式下。步骤一:命令行下配置基本配置如下:#vlan 10#interface Vlan-interface10ip address 10.0.0.1 255.255.255.0# interface GigabitEthernet0/1port link-mode routeip address 20.0.0.1 255.0.0.0#interface GigabitEthernet0/2port link-mode bridGEpo
12、rt access vlan 10#interface GigabitEthernet0/3port link-mode bridGEport access vlan 10步骤二:web 相关配置web 相关配置如下:A. 设置 GE0/1 的接口地址在“ ”页面点击 GE0/1 后面的编辑按钮,设置 GE0/1 接口的地址如下。实验 5 UTM 二三层转发配置实验11B. 设置接口为二层模式在“ ”页面点击 GE0/2 和 GE0/3 接口后面的编辑按钮 ,将接口设置为二层模式,点击“确定”。C. 创建 vlan 10在“ ”页面点击“新建”按钮,创建 vlan 10。实验 5 UTM 二三
13、层转发配置实验12D. 将 GE0/2 和 GE0/3 接口加入 vlan 10在“ ”页面点击 vlan 10 后面的编辑按钮 。将 GE0/2 和 GE0/3 接口设置为 vlan 10 成员。如果设置为 vlan 10 的 Tagged 成员,接口将修改为 Hybrid 口。E. 创建 vlan interface 10在“ ”页面,点击“新建”按钮,创建 Vlan-interface10 。实验 5 UTM 二三层转发配置实验13F. 把接口加入安全域把 GE0/2 接口加入 trust 域,GE0/3 接口加入 DMZ 域,GE0/1 接口加入 untrust 域,Vlan-inte
14、rface10 加入 trust 域。G. 域间策略根据实际组网需要按照前面的步骤添加 untrust 域到 trust 域,untrust 域到 dmz 域,dmz域到 trust 域的域间策略。实验 5 UTM 二三层转发配置实验145.6 实验中的命令列表操作视图 操作命令 操作说明接口视图 port link-mode bridge 以太网接口可工作在二层模式(bridGE)接口视图 port access vlan 设置所属 Vlan系统视图 acl number 2000 定义 ACL 过滤模板接口视图 port link-mode route 以太网接口可工作在三层模式(route)接口视图 ip address 添加接口 IP接口视图 port link-mode route/bridge 以太网接口可工作在三层/二层模式(route/bridGE)
