华三防火墙透明模式配置实验

华三防火墙透明模式配置实验

一、F1090 防火墙配置

1、系统命名:

<H3C>sys

[H3C]sysname f1090

2、接口模式配置:

[f1090]int range g1/0/1 g1/0/2 g1/0/0

[f1090-if-range]port link-mode bridge

f1090-if-range]quit

作用:将G1/0/0、G1/0/1、G1/0/2三个接口设置为二层桥接模式

3、安全区域划分:

[f1090]security-zone name trust

[f1090-security-zone-Trust]import interface g1/0/1 vlan 1

[f1090-security-zone-Trust]import interface g1/0/2 vlan 1

[f1090-security-zone-Trust]quit

[f1090]security-zone name untrust

[f1090-security-zone-Untrust]import interface g1/0/0 vlan 1

[f1090-security-zone-Untrust]quit

作用:

trust区域:包含G1/0/1和G1/0/2(连接内网设备)

untrust区域:包含G1/0/0(连接R1路由器)

4、安全策略配置:

[f1090]security-policy ip

[f1090-security-policy-ip]rule name TtoU

[f1090-security-policy-ip-0-TtoU]source-zone trust

[f1090-security-policy-ip-0-TtoU]destination-zone untrust

[f1090-security-policy-ip-0-TtoU]action pass

[f1090-security-policy-ip-0-TtoU]quit

[f1090]security-policy ip

[f1090-security-policy-ip]rule name UtoT

[f1090-security-policy-ip-1-UtoT]source-zone untrust

[f1090-security-policy-ip-1-UtoT]destination-zone trust

[f1090-security-policy-ip-1-UtoT]action pass

[f1090-security-policy-ip-1-UtoT]quit

作用:配置双向安全策略

TtoU:允许trust区域到untrust区域的流量

UtoT:允许untrust区域到trust区域的流量

二、R1 路由器配置

R1:<H3C>sys

System View: return to User View with Ctrl+Z.

[H3C]sysname r1

[r1]int g0/0

[r1-GigabitEthernet0/0]ip add 192.168.10.254 24

作用:设置内网网关接口IP为192.168.10.254/24

连通性测试结果分析测试1:R1 → PC-7

[r1-GigabitEthernet0/0]ping 192.168.10.2

Ping 192.168.10.2 (192.168.10.2): 56 data bytes, press CTRL+C to break

56 bytes from 192.168.10.2: icmp_seq=0 ttl=255 time=4.904 ms

56 bytes from 192.168.10.2: icmp_seq=1 ttl=255 time=1.413 ms

56 bytes from 192.168.10.2: icmp_seq=2 ttl=255 time=1.664 ms

56 bytes from 192.168.10.2: icmp_seq=3 ttl=255 time=2.237 ms

56 bytes from 192.168.10.2: icmp_seq=4 ttl=255 time=1

✅ 结果:R1能成功ping通PC-7,延迟正常(1-5ms)

测试2:PC-7 → R1

pc-7:

<PC-7>ping 192.168.10.254

Ping 192.168.10.254 (192.168.10.254): 56 data bytes, press CTRL_C to break

56 bytes from 192.168.10.254: icmp_seq=0 ttl=255 time=1.839 ms

56 bytes from 192.168.10.254: icmp_seq=1 ttl=255 time=2.238 ms

56 bytes from 192.168.10.254: icmp_seq=2 ttl=255 time=1.540 ms

56 bytes from 192.168.10.254: icmp_seq=3 ttl=255 time=1.522

✅ 结果:PC-7能成功ping通网关,双向通信正常

8、配置特点分析

1. 防火墙工作模式

F1090工作在透明模式(二层桥接)

所有接口不配置IP地址,对用户透明

通过安全区域和策略实现访问控制

2. 安全设计

trust区域:内网可信区域(G1/0/1、G1/0/2)

untrust区域:外网非可信区域(G1/0/0)

双向放行策略:允许trust↔untrust区域通信

3. 网络分段

内网网段:192.168.10.0/24

网关地址:192.168.10.254

PC地址:192.168.10.2(可能是静态配置或DHCP分配)

当前状态总结

✅ 已完成配置:

防火墙基础配置 – 接口模式、安全区域、安全策略

路由器网关配置 – 内网接口IP地址

连通性验证 – 双向ping测试成功

�� 待完成配置(根据原始计划):

R1上的DHCP服务 – 为内网主机自动分配IP

R1上的NAT配置 – 实现私网到公网地址转换

R1上的外网接口配置 – 连接ISP网络

R1上的默认路由 – 指向ISP网关

ISP路由器配置 – 模拟公网环境

© 版权声明

相关文章

暂无评论

none
暂无评论...