防火墙透明模式典型配置举例

ITMOP.COM透明模式典型配置指导HangzhouHuawei-3ComTechnologyCo.,Ltd.杭州华为3Com技术有限公司Allrightsreserved版权所有侵权必究防火墙透明模式特性典型配置指导目录2006-01-21版权所有，侵权必究第i页目录1特性介绍...................................................................................................................................12特性的优点...............................................................................................................................13使用指南...................................................................................................................................13.1使用场合....................................................................................................................................13.2配置步骤....................................................................................................................................13.2.1配置透明模式.................................................................................................................23.2.2配置以太网帧头过滤规则...............................................................................................23.2.3配置tcp-proxy.................................................................................................................33.3注意事项....................................................................................................................................33.4举例...........................................................................................................................................33.4.1组网需求........................................................................................................................33.4.2组网图............................................................................................................................43.4.3配置...............................................................................................................................43.4.4验证结果........................................................................................................................63.4.5故障排除........................................................................................................................94关键命令...................................................................................................................................94.1firewallmode.............................................................................................................................94.2firewallpacket-filterdefault.....................................................................................................104.3firewallzone............................................................................................................................104.4addinterface...........................................................................................................................115相关资料.................................................................................................................................11防火墙透明模式特性典型配置指导正文2006-01-21版权所有，侵权必究第1页关键词：透明模式（transparent-mode）以太网帧头过滤（ethernet-frame-filter）TCP代理（tcp-proxy）摘要：本文简单描述防火墙透明模式的特点，详细描述了防火墙透明模式的配置方法，以及在透明模式下几个典型模块的应用配置，给出了防火墙透明模式基本配置方案1特性介绍防火墙透明模式，类似于在网络中像放置了一个网桥（Bridge），无需修改任何已有的配置。但是，防火墙透明模式与网桥存在不同，防火墙接收到的IP报文还需要送到上层进行相关过滤等处理，通过检查会话表或ACL规则以确定是否允许该报文通过；此外，还要完成其它防攻击检查。透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。当防火墙工作在透明模式（也可以称为桥接模式）下时，所有接口都不能配置IP地址，接口所在的安全区域是二层区域，和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时，需要根据报文的MAC地址来寻找出接口，此时防火墙表现为一个透明网桥。工作在透明模式下的防火墙在数据链路层连接局域网（LAN），网络终端用户无需为连接网络而对设备进行特别配置，就像使用以太网交换机一样进行网络连接。2特性的优点防火墙采用透明模式进行工作，则可以避免改变拓扑结构造成的麻烦，此时防火墙对于子网用户和路由器来说是完全透明的，也就是说，用户完全感觉不到防火墙的存在，类似于在网络中像放置了一个网桥，无需修改任何已有的配置。3使用指南3.1使用场合适用于用户不想改变现有网络拓扑和配置，而需要增加防火墙功能的组网情况3.2配置步骤本例中的透明模式典型配置举例，还包括了只能应用于透明模式下的以太网帧头过滤（ACL4000~4999）功能，防止syn-flood攻击的tcp代理功能。防火墙透明模式特性典型配置指导正文2006-01-21版权所有，侵权必究第2页3.2.1配置透明模式透明模式主要配置如下：1）配置防火墙工作在透明模式2）配置防火墙包过滤缺省处理方式为permit3）配置未知mac地址报文的处理方式（可选）4）配置防火墙系统地址（可选）5）配置防火墙ARP学习功能（可选）6）配置mac地址转发表老化时间（可选）7）配置透明模式可以转发的报文类型（可选）操作视图操作命令操作说明系统视图[Quidway]firewallmodetransparent配置防火墙工作在透明模式系统视图[Quidway]firewallpacket-filterdefault{permit|deny}配置防火墙包过滤缺省处理方式系统视图[Quidway]firewallunknown-macflood配置未知mac报文的处理方式为flood系统视图[Quidway]firewallsystem-ipip-addressmask配置透明模式系统地址系统视图[Quidway]firewallarp-learningenable配置防火墙arp学习功能系统视图[Quidway]firewalltransparent-modeaging-timeseconds配置mac表项老化时间系统视图[Quidway]firewalltransparent-modetransmit{ipx|dlsw|bpdu}配置防火墙允许通过的报文类型3.2.2配置以太网帧头过滤规则以太网帧头过滤规则主要配置如下：1）配置访问控制列表4000～49992）配置过滤规则3）在接口应用以太网帧头过滤规则操作视图操作命令操作说明系统视图[Quidway]aclnumberacl-number创建acl规则ACL视图[Quidway-acl-ethernetframe-4000]rule[rule-id]{deny|permit}[typetype-codetype-mask|lsaplsap-codelsap-mask][source-macsour-addrsour-mask][dest-macdest-addrdest-增加过滤规则防火墙透明模式特性典型配置指导正文2006-01-21版权所有，侵权必究第3页mask][time-rangetime-name][logging]接口视图[Quidway-Ethernet0/0]firewallethernet-frame-filteracl-number{inbound|outbound}在接口应用以太网帧头过滤规则3.2.3配置tcp-proxy透明模式tcp-proxy配置如下：1）对要进行syn-flood攻击保护的安全区域或者目的ip地址，配置tcp-proxy操作视图操作命令操作说明系统视图[Quidway]firewalltcp-proxy{ipip-address|zonezone-name}