最近接手一个小项目,非常简单可以说就是割接了吧,上架一台友商的防火墙。
因为之前都没有怎么接触过其它品牌的防火墙设备,总体来说套路都是一样的,好吧,开干!
根据操作手册的指示开始登防火墙web控制台吧,好家伙没想到这么简单的一个操作费了九牛二虎之力。由于现场环境拓扑是这样的:
其实非常简单,出口路由器和核心交换机都是当作傻瓜设备来使用,没有配置任何VLAN等二三层的高级业务。所以这种模式下如果部署防火墙最佳的方式就是串联在路由器和核心交换机之间,然后配置防火墙模式为透明模式当作网桥。思路就是这样但却卡在了web控制台门口……
为了方便使用管理PC来操作这台防护墙,我便拿根网线先旁挂在了交换机上,PC端添加第二个和防火墙管理口同段的IP地址,访问说明手册的控制台地址……
结果这个地址访问反复测试都无法登陆,被我破拿出了Znmap :
具体的使用方法我就不多说了,然后通过它找到了这个梦寐以求的端口号:8889!多么的奇葩!
接下来又是用户名密码和说明手册的不符了,实在不想吐槽了,打400吧。
这些前提工作做好了之后,开始配置防火墙。
透明模式相对简单,设置端口为透明模式,给自动创建的默认网桥brg_0分配个与DHCP域同网段的IP地址方便后期管理(需要勾选【用于管理】)。看下策略是否any-any全部放通,确认没问题了,割接上架吧。
把防火墙串联到路由器和核心交换机之间后,同样用管理PC访问网桥的管理地址进行测试,结果发现能行,很完美。
接下来【应用防护】配置勾选各种XXXFlood,确定-保存。
突然发现管理PC终端无法DHCP无法获取IP地址了,好吧很无奈只能硬着头皮点一点看一看,最后在网桥的选项中勾选了【DHCP中继】问题奇迹般的好了!!!
至于这个疑问一直留在脑海里,咨询过400说是因为开启了【应用防护】中的洪水攻击防护才导致的DHCP广播被屏蔽。不知道是否是这个原因,各位有没有答案可以下面留言告我哈!非常感谢! | 
发表于 2018-10-30 17:23
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
