|
透明部署防火墙
理由:透明部署模式下,AF作为二层设备使用,不改变原有网络结构。
这次采用的是上网管控场景防护包括以下功能:漏洞攻击防护、僵尸网络、内容安全(Web、文件、邮件)
网络结构如下:
配置思路
一、接口/区域配置。
二、路由配置(设备自身通信使用)
三、应用控制策略配置
1、配置物理接口区域,新增二层untrust和二层trust两个区域。
网络-接口/区域--区域,转发类型勾选二层区域,增加接口eth1,确定。
2、二层trust步骤一样,这里就不在赘述。最后结果如下图:
2
3、接口配置
网络配置---接口/区域---物理接口,eth1类型透明,所属区域二层untrust,l链接类型Trunk
4、eth2如下图
5、eth3类型为路由,基本属性为允许PING,配置静态IP地址。
提示:静态ip地址192.168.6.222/24,内网用户可以通过该ip登录设备界面,设备使用该地址上网,更新规则库.
6、路由配置
网络配置-路由-静态路由。目的地址0.0.0.0、子网掩码为0.0.0.0,下一跳IP地址为192.168.16.1 接口eth3
5
注意! 度量值:默认是0,值越小,路由优先级越高.
7、应用控制策略配置
策略---访问控制---应用控制策略中,
基本信息名称:客户端 服务器
访问者条件:区域二层untrust,地址网络对象全部
被访问者条件:区域二层trust ,地址网络对象全部,服务/应用为预定义服务any
生效条件设置 :
动作选项为允许,生效时间全天。
8、策略---访问控制---应用控制策略中,
基本信息名称:服务器 客户端
访问者条件:区域二层trust,地址网络对象全部
被访问者条件:区域二层untrust ,地址网络对象全部,服务/应用为预定义服务any
生效条件设置 :
动作选项为允许,生效时间全天。
应用 结果:
注意!
透明模式部署,设备中同时存在二层区域和三层区域,在新增策略时,只能是三层区域和三层区域进行放通,二层区域与二层区域数据进行放通,若策略中既添加了二层区域,又选中了三层区域,则该策略放通会不生效。配置默认路由,是让设备自身可以上网,更新规则库
|
楼主
发表于 2020-1-12 21:50
发表于 2020-1-14 19:16
工程师1级 
