文库文档
美文大全
工作总结
工作报告
工作计划
汇报体会
策划方案
材料资料
作文大全
论文大全
求职/简历
礼仪规范
文秘工作
公文资料
道德思想
党团/申请书
演讲稿
发言致辞
企事业工作
合同大全
主页 > 文库 > 教育文库 >

天清汉马USG防火墙(T系列)快速安装指南-v3(3)

2020-02-21 21:02

天清汉马USG防火墙-快速安装指南

4、 进入策略>防火墙>策略,查看策略,勾选策略启用开关,使得配置启用。

5、 进入策略>防火墙>策略配置,查看策略匹配开关开启,默认动作为deny。

北京启明星辰信息技术有限公司

11

天清汉马USG防火墙-快速安装指南

2.2.5 透明桥模式案例2

? 案例描述:

防火墙透明部署在trunk链路下,通过FW设备的报文带vlan tag10和vlan tag20,FW设备需要透传带vlan tag的报文,并且内网用户需要通过防火墙访问外网。

案例拓扑

? 配置步骤:

1、 进入网络>接口>VLAN,新建vlan10,tag为10,将接口ge0/0和ge0/1 UnTagged加入到

vlan10中,点击提交使配置生效。

2、 配置设备管理接口允许SSH或telnet方式访问设备,并使用SSH或telnet方式登陆到设备

管理终端,在配置视图下,输入如下命令。该命令会使得该vlan的接口下允许所有的vlan tag 或untag透传,故配置后不再受步骤1中vlan接口配置的UnTagged或者tagged方式的约束。

FW(config)# vlan 10

FW(config-vlan)# vlan-transparent enable

提示:此配置命令适用于FW需要透传大量vlan时使用,若桥下只需要允许单个VLAN带tag通过,在配置vlan时,将接口tagged方式加入到该vlan中即可。

3、 进入对象>地址对象>地址节点,创建IPV4类型的地址对象内网用户,并将内网网段

192.168.10.0/24和192.168.11.0/24加入到地址对象中。

北京启明星辰信息技术有限公司

12

天清汉马USG防火墙-快速安装指南

4、 进入策略>防火墙>策略,点击新建,地址类型选择IPv4,入接口配置为vlan10,出接口也

配置为vlan10,源地址配置为内网用户,目的地址配置为any,服务为any,时间为always,动作为permit,点击提交使配置生效。

5、 进入策略>防火墙>策略,查看策略,勾选策略启用开关,使得配置启用。

6、 进入策略>防火墙>策略配置,查看策略匹配开关开启,默认动作为deny。

北京启明星辰信息技术有限公司

13

天清汉马USG防火墙-快速安装指南

2.2.6 路由综合案例

? 案例描述:

企业需要通过FW设备进行互联网访问,内网地址网段为192.168.1.0/24,服务器网段为192.168.2.0/24。企业有两条条出口链路分别属于电信、网通,电信的公网地址为13.1.1.1,网关为13.1.1.2;网通的公网地址为14.1.1.1,网关为14.1.1.2。用户具体需求如下:

1、 内网地址访问外网需要进行源NAT转换。

2、 外网地址访问内网服务器需要进行目的NAT转换。

3、 依据组网划分不同的区域,内网属于trust区域,外网属于untrust区域,内网服务器属

于DMZ区域。配置策略允许trust区域访问untrust区域,允许trust和untrust区域访问DMZ区域的http服务,其他访问流量默认拒绝。

4、 若访问的目的地址为电信IP地址,选择电信的链路作为出链路,当电信链路故障以后,选

择网通的链路作为出链路。

5、 若访问的目的地址为网通IP地址,选择网通的链路作为出链路,当网通链路故障以后,选

择电信的链路作为出链路。

6、 若访问的目的地址不属于电信、网通,可以轮询选择出链路,但是内网访问服务器的流量

都不受策略路由控制。

案例拓扑

? 案例配置分析:

1、 设备配置源NAT实现内网访问外网的NAT转换。 2、 设备配置目的NAT实现外网到内网服务器的访问。

3、 配置添加两条默认路由使得内网可以通过路由成功访问到外网。

4、 配置接口加入到不同的安全域,通过配置防火墙策略实现区域之间的互访控制。 5、 配置策略路由实现基于ISP的选路。

6、 地址对象配置添加排除IP,使得内网访问服务器不受策略控制。

北京启明星辰信息技术有限公司

14

天清汉马USG防火墙-快速安装指南

? 配置步骤:

1、 照上述拓扑进行组网,并作基本网络配置,包括VLAN划分,以及IP地址配置。 2、 进入对象>地址对象>地址节点,创建电信地址对象,ISP地址库选择ISP_CT.dat(中国电

信),配置提交。

3、 按照上述方法,分别创建如下地址对象: 电信:包含电信ISP地址库 网通:包含网通ISP地址库

内网地址:成员为所有内网网段:192.168.1.0/24和192.168.2.0/24

外网地址:成员为0.0.0.0/0,同时将内网用户192.168.1.0/24和服务器网段192.168.2.0/24添加到排除地址中。

DNAT电信:成员为内网服务器对外映射的公网地址:13.1.1.10。

4、 进入网络>NAT>NAT规则>源地址转换,点击新建,转换类型为IPV4 to IPV4,源地址选

择内网地址,目标地址为any,服务为any,出接口选择VLAN3,转换后地址为出接口地址,点击提交。

北京启明星辰信息技术有限公司

15


  • 共6页:
  • 上一页
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 下一页
    • 天清汉马USG防火墙(T系列)快速安装指南-v3(3).doc 将本文的Word文档下载到电脑 下载失败或者文档不完整,请联系客服人员解决!
    下载这篇word文档

    下一篇:恰恰教学计划

    相关阅读
    本类排行
    × 注册会员免费下载(下载后可以自由复制和排版)

    马上注册会员

    注:下载文档有可能“只有目录或者内容不全”等情况,请下载之前注意辨别,如果您已付费且无法下载或内容有问题,请联系我们协助你处理。
    微信: QQ: