#原创分享#透明部署防火墙

透明部署防火墙

理由：透明部署模式下，AF作为二层设备使用，不改变原有网络结构。
这次采用的是上网管控场景防护包括以下功能：漏洞攻击防护、僵尸网络、内容安全（Web、文件、邮件）
网络结构如下：

配置思路
一、接口/区域配置。
二、路由配置（设备自身通信使用）
三、应用控制策略配置
1、配置物理接口区域，新增二层untrust和二层trust两个区域。
网络-接口/区域--区域，转发类型勾选二层区域，增加接口eth1，确定。

2、二层trust步骤一样，这里就不在赘述。最后结果如下图：

3、接口配置
网络配置---接口/区域---物理接口，eth1类型透明，所属区域二层untrust,l链接类型Trunk



4、eth2如下图

5、eth3类型为路由，基本属性为允许PING，配置静态IP地址。

提示：静态ip地址192.168.6.222/24，内网用户可以通过该ip登录设备界面，设备使用该地址上网，更新规则库.
6、路由配置
网络配置-路由-静态路由。目的地址0.0.0.0、子网掩码为0.0.0.0，下一跳IP地址为192.168.16.1 接口eth3

注意!  度量值：默认是0，值越小，路由优先级越高.
7、应用控制策略配置
策略－－－访问控制－－－应用控制策略中，
基本信息名称：客户端 服务器
访问者条件：区域二层untrust,地址网络对象全部
被访问者条件：区域二层trust ,地址网络对象全部，服务/应用为预定义服务any
生效条件设置 ：
动作选项为允许，生效时间全天。

8、策略－－－访问控制－－－应用控制策略中，
基本信息名称：服务器 客户端
访问者条件：区域二层trust,地址网络对象全部
被访问者条件：区域二层untrust ,地址网络对象全部，服务/应用为预定义服务any
生效条件设置 ：
动作选项为允许，生效时间全天。

应用 结果：

注意！
透明模式部署，设备中同时存在二层区域和三层区域，在新增策略时，只能是三层区域和三层区域进行放通，二层区域与二层区域数据进行放通，若策略中既添加了二层区域，又选中了三层区域，则该策略放通会不生效。配置默认路由，是让设备自身可以上网，更新规则库

全部到全部，牛

您好，感谢您参与社区原创分享计划6，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，分享奖励将在活动结束后统一安排发放！分享越多，奖励越多，期待您更多的精彩分享哦！:感恩:
关于技术文章的管理流程，请参考：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279

部署内容很详细，具有参考价值

已关注楼主，分享的经验对我很有帮助！

部署过程记录详细，值得参考！

很详细  感谢楼主

any到any，很厉害

感谢分享。