防火墙混合模式部署
一、网络拓扑
二、需求描述
- 配置GE2和GE3为透明桥接口,分别连接两个区域。透明桥配置IP地址192.168.2.254/24作为两个区域的网关地址。
- 配置GE1为三层路由接口,IP地址为192.168.1.254/24,作为安全区服务器的网关地址。
- 非安全区域之间不允许互相访问。
- 非安全区域只能够访问安全区域服务器的80端口。
实验步骤:
1.配置GE1为三层路由接口,IP地址为192.168.1.254/24,作为安全区服务器的网关地址。
2.配置GE2和GE3为透明桥接口,分别连接两个区域。透明桥配置IP地址192.168.2.254/24作为两个区域的网关地址。
3.配置防火墙策略。
实验截图:
1.配置GE1为三层路由接口,IP地址为192.168.1.254/24,作为安全区服务器的网关地址。
将接口eth1配置为路由模式,并设为网关
2.配置GE2和GE3为透明桥接口,分别连接两个区域。透明桥配置IP地址192.168.2.254/24作为两个区域的网关地址。
将接口eth2配置为透明模式
将接口eth3配置为透明模式
新建桥接口,并将其设为两个非安全区网关
3.配置防火墙策略。
新建地址对象DMZ
新建地址对象UNTRUST1
新建地址对象UNTRUST2
配置安全策略policy1,禁止两个非安全区相互访问
新建一个名为80的基本服务,目的端口80
新建安全策略policy1.1,允许UNTRUST1区访问DMZ区80服务
新建安全策略policy1.2,允许UNTRUST2区访问DMZ区80服务
三、配置目标
结果能实现:
1 非安全区之间不能互相访问
2 非安全区域的用户只能能够访问的安全区域服务器的80端口
实验结果:
非安全区之间不能互相访问
UNTRUST2(192.168.2.200) ping UNTRUST1(192.168.2.100)
非安全区域的用户只能能够访问的安全区域服务器的80端口