防火牆介面怎麼配置

1. 邊界防火牆與內部防火牆配置

1. 邊界防火牆的配置:由於網路邊界處已經配備的防火牆可能不支持TOPSEC聯動協議，因此將此防火牆更換掉用於其他網路部分，根據網路具體流量情況，採用型號為NGFW4000，支持TOPSEC聯動協議，標准配置三介面的防火牆，其最大並發連接數將近60萬個，其中兩個介面分別接外網和內網兩個網段，第三個口可以作為預留。

2. 內網保護伺服器群防火牆的配置:資源信息伺服器群是整個網路數據保護的關鍵，因此必須在其級聯的P33交換機與核心交換機P550R處配備。 台能夠支持TOPSEC聯動協議的、高性能天融信網路衛土防火牆4000系統。用於對內部伺服器其最大並發連接數達到60萬個，一個介面接核心交換機，一個介面接級聯交換機，另一個介面作為預留介面，從而實現對內部伺服器群的訪問控制保護。

2. 防火牆怎麼配置

在使用防火牆之前，需要對防火牆進行一些必要的初始化配置。出廠配置的防火牆需要根據實際使用場景和組網來配置管理IP、登陸方式、用戶名/密碼等。下面以我配置的華為USG防火牆為例，說明一下拿到出廠的防火牆之後應該怎麼配置。
1. 設備配置連接
一般首次登陸，我們使用的是Console口登陸。只需要使用串口網線連接防火牆和PC，使用串口連接工具即可。從串口登陸到防火牆之後，可以配置用戶，密碼，登陸方式等。這些配置在後面有記錄。
直接使用一根網線連接PC和設備的管理口。管理口是在設備面板上一個寫著MGMT的一個網口，一般默認配置了IP，如192.168.0.1/24。我們在對端PC上配置同網段的IP，如192.168.0.10/24，我們就可以通過PC上的telnet客戶端登陸到防火牆設備上。
登陸到設備之後，默認是在防火牆的用戶視圖下。可以使用system-view進入系統視圖，interface GigabitEthernet 0/0/0進入介面視圖，diagnose進入診斷視圖，security-policy進入安全策略視圖，firewall zone trust進入trust安全區域視圖，aaa進入aaa視圖等。
2. Telnet配置
配置VTY界面：
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound all
配置aaa用戶：
manager-user admin
password cipher admin@123
service-type telnet
level 15
使能telnet服務：
telnet server enable
3. ftp配置
在aaa里配置：
manager-user admin
password cipher admin@123
service-type ftp
level 15
ftp-directory cfcard:/
使能ftp服務：
ftp server enable
4. SFTP配置
配置VTY界面：
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound ssh
配置aaa用戶：
manager-user admin
password cipher admin@123
service-type ftp ssh
level 15
ftp-directory cfcard:/
使能sftp服務：
sftp server enable
配置Password認證方式 ：
ssh user admin authentication-type password
ssh user admin service-type sftp
ssh user admin sftp-directory cfcard:/
5. SNMP配置
SNMPv1、SNMPv2c：
snmp-agent community write Admin@123
snmp-agent sys-info version v1 v2c
SNMPv3：
snmp-agent sys-info version v3
snmp-agent group v3 admingroup authentication read-view iso write-view iso notify-view iso
snmp-agent mib-view included iso iso
snmp-agent usm-user v3 admin
snmp-agent usm-user v3 admin group admingroup
snmp-agent usm-user v3 admin authentication-mode sha cipher Admin@123
6. Web配置
配置aaa用戶：
manager-user admin
password cipher admin@123
service-type web
level 15
使能web服務：
web-manager enable
配置完Web之後，其他配置就可以登陸到Web頁面進行可視化配置了。

3. 在防火牆設置中，通常有幾種方式可以進行有效的設置

防火牆在實際的部署過程中主要有三種模式可供選擇，這三種模式分別是：
① 基於TCP/IP協議三層的NAT模式;
② 基於TCP/IP協議三層的路由模式;
③ 基於二層協議的透明模式。
1、NAT模式
當Juniper防火牆入口介面(「內網埠」)處於NAT模式時，防火牆將通往 Untrust 區(外網或者公網)的IP
數據包包頭中的兩個組件進行轉換：源 IP 地址和源埠號。
防火牆使用 Untrust 區(外網或者公網)介面的 IP 地址替換始發端主機的源 IP 地址;同時使用由防火牆生成的任意埠號替換源埠號。
NAT模式應用的環境特徵：
注冊IP地址(公網IP地址)的數量不足;
內部網路使用大量的非注冊IP地址(私網IP
地址)需要合法訪問Internet;
內部網路中有需要外顯並對外提供服務的伺服器。
2、Route-路由模式
當Juniper防火牆介面配置為路由模式時，防火牆在不同安全區間(例如：Trust/Utrust/DMZ)轉發信息流時IP
數據包包頭中的源地址和埠號保持不變(除非明確採用了地址翻譯策略)。 與NAT模式下不同，防火牆介面都處於路由模式時，防火牆不會自動實施地址翻譯;
與透明模式下不同，當防火牆介面都處於路由模式時，其所有介面都處於不同的子網中。
路由模式應用的環境特徵：
防火牆完全在內網中部署應用;
NAT模式下的所有環境;
需要復雜的地址翻譯。
3、透明模式
當Juniper防火牆介面處於「透明」模式時，防火牆將過濾通過的IP數據包，但不會修改
IP數據包包頭中的任何信息。防火牆的作用更像是處於同一VLAN的2 層交換機或者橋接器，防火牆對於用戶來說是透明的。
透明模式是一種保護內部網路從不可信源接收信息流的方便手段。使用透明模式有以下優點：
不需要修改現有網路規劃及配置;
不需要實施地址翻譯;
可以允許動態路由協議、Vlan trunking的數據包通過。

4. 請問硬體防火牆如果設置透明模式，wan口和lan口應該怎麼設置

lan口和wan口的配置

路由器的一排網線介面,分為 lan 和 wan .但不是誰生來就是lan口 或者 wan口 .

也沒有誰規定就一個wan口 就只有一個.

網口就是網口, 決定它是 lan口 還是 wan口 ,是由我們自己決定的 .

用這次 openwrt x86的使用, 來講述一下 lan 和 wan 是如何配置的, 怎麼才可以上網, 而防火牆又是什麼 .

圖1. x86路由器及接線圖

這是 x86 的路由器.在刷好 openwrt 的固件後,一開始只有一個口有驅動, 接上網線燈會亮的那個口,就是此刻可以工作的lan口, 把網線的另一端連接電腦, 並且把電腦的IP設為 跟路由器同一網段的ip地址 -->192.168.1.x, 才能進入路由器管理界面 .

圖2. openwrt 管理首頁

在設置好密碼後,就可以用 ssh 進入openwrt操作系統, 用以查看配置項 .

配置項:/etc/config/network

在剛刷好固件後, 這台路由器還不能上網, 需要給路由器配置對應的wan 口.

這里就要提一下上網的原理了 .

任何東西都要有迴路才能成為一個循環 .電池有正負極,電有零線火線,都需要迴路 電流才能流動. 網線也是一樣 .

無論是誰進,誰出, 發生數據交換, 總是需要 lan 和 wan 兩條線.

你可以是 一個 wan作為統一出口,然後搭配很多個lan作為入口.

你也可以 lan1-wan1 作為網路1,lan2-wan2 作為網路2...等等. 這其實就是歸類的意思 .

因為物理網口有5個,你可以按自己的需求進行分配 .在了解了上面的原理後,開始配置網路介面.

進 網路 --> 介面 ,見圖3 . 圖3. 網路介面

從圖上可以看到, 我定義了一個wan口, 和 一個 把剩下口都橋接在一起的lan口 .

下面看看lan口怎麼配置.

點擊 修改. 見圖4 .

圖4 .lan口修改配置圖 .

可以看到,上面一排有 基本設置 高級設置 物理設置 防火牆設置

先看基本設置 要填的參數有 協議 ip地址 等.

作為路由器的lan口,實際上就是你的網關地址,這個地址是固定的,是你訪問路由器的地址,也就是平常使用的192.168.1.1,所以協議設置成 靜態ip .

再看 物理設置. 見圖5.

圖5.網口的物理設置

這里就是我們要配置的物理網口 .可以看到我有6個 物理網口. 現在 我將 我的eth0 綁定到 lan 下, 同一個類別下的網口 都能享有 這個類別的配置. 比如6個口均是綁定到lan 下,那麼lan的配置 對6個網庫均起作用.

在實現了物理口的綁定後,還要設置防火牆. 防火牆其實就是一張黑白名單和上網的許可權控制. 它可以規定 誰能上網, 誰不能上網 .

防火牆 見圖6.

圖6 防火牆配置

防火牆的lan wan規則系統默認已經給了,所以新創建的 lan 還是 wan口 ,只要分配到對應的規則下就可以了 .

以上就是默認lan 口的配置,接下來我們配置wan口.

1.新建介面

2.配置協議

3.綁定物理網口

4.防火牆設置

1.新建介面和配置協議

圖7 .在介面中點擊 添加新介面 .

圖8 .新介面的配置

wan口協議選擇 DHCP, 這樣就能動態分配到上上級路由過來的ip地址 .然後選擇一個需要的物理網口, 點擊提交 .

3.綁定物理網口:

圖9 .綁定物理網口

這一步在上一步已經做了

4. 防火牆設置

防火牆 這里是一套規則, 你也可以自己創建一套規則 .

做完這個,把網線 接在你配置的網口裡面 就能上網了.

圖10. 指定防火牆

第二部分: 橋接 .bridge

下面講怎麼配置lan口 和什麼是橋接.

在宿舍里,為什麼 每個人的電腦網線一插在路由器里就能上網呢? 因為 那是把 剩下的空閑的網口,都橋接在一個lan口下了 .

但是,我這里要先講一下,怎麼再配置一個lan口 和橋接 有什麼區別.

分配到lan口的規則上去.

現在,這個 lan1 口就能上網了.迴路是和lan共用一個 wan口 .當然你可以自己創建一個wan1 組成一個新的網路lan1-wan1.

但是呢,現在這個樣子,它其實是開辟了一個新的網段 .比較復雜,所以下面講什麼是橋接 .

因為不想再創建 lan1, lan2什麼的.我只想其它的網口互通就好了,這里就是橋接, 把所有的 網口 都綁定到lan口上去. 所以,我先把lan1 給刪了.

然後把你勾上橋接選項,把你想連在一起的口都橋接起來

這樣,就不用配置什麼 .2 .3網段了,就是 .1網段.現在,你插在那個lan口 都能上網了. 約定俗成 ,我們把第一個口配成 wan口 後面的口配成 lan 口.

5. 1.防火牆如何在介面下設置管理地址

命令進入介面配置地址，開啟服務，劃到區域裡面，網頁到介面下管理打勾，分到管理區

6. 如何配置防火牆

1、nameif

設置介面名稱，並指定安全級別，安全級別取值范圍為1～100，數字越大安全級別越高。
使用命令：

PIX525(config)#

PIX525(config)#

PIX525(config)#nameifethernet2dmzsecurity50

2、interface

配置以太口工作狀態，常見狀態有：auto、100full、shutdown。

auto：設置網卡工作在自適應狀態。

100full：設置網卡工作在100Mbit/s，全雙工狀態。

shutdown：設置網卡介面關閉，否則為激活。

命令：

PIX525(config)#interfaceethernet0auto

PIX525(config)#interfaceethernet1100full

PIX525(config)#

3、ipaddress

配置網路介面的IP地址
4、global

指定公網地址范圍：定義地址池。

Global命令的配置語法：

global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]

其中：

(if_name)：表示外網介面名稱，一般為outside。

nat_id：建立的地址池標識(nat要引用)。

ip_address-ip_address：表示一段ip地址范圍。

[netmarkglobal_mask]：表示全局ip地址的網路掩碼。
5、nat

地址轉換命令，將內網的私有ip轉換為外網公網ip。
6、route

route命令定義靜態路由。

語法：

route(if_name)00gateway_ip[metric]
7、static

配置靜態IP地址翻譯，使內部地址與外部地址一一對應。

語法：

static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address
8、conit

管道conit命令用來設置允許數據從低安全級別的介面流向具有較高安全級別的介面。
語法：

conitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
9、訪問控制列表ACL

訪問控制列表的命令與couit命令類似
10、偵聽命令fixup

作用是啟用或禁止一個服務或協議，

通過指定埠設置PIX防火牆要偵聽listen服務的埠。
11、telnet

當從外部介面要telnet到PIX防火牆時，telnet數據流需要用vpn隧道ipsec提供保護或

在PIX上配置SSH，然後用SSHclient從外部到PIX防火牆。
12、顯示命令：

showinterface；查看埠狀態。

showstatic；查看靜態地址映射。

showip；查看介面ip地址。

showconfig；查看配置信息。

showrun；顯示當前配置信息。

writeterminal；將當前配置信息寫到終端。

showcpuusage；顯示CPU利用率，排查故障時常用。

showtraffic；查看流量。

showblocks；顯示攔截的數據包。

showmem；顯示內存

13、DHCP服務

PIX具有DHCP服務功能。

7. 華為防火牆6300配置教程

咨詢記錄 · 回答於2021-10-22

8. H3C防火牆怎麼設置

1、首先我們進入H3C防火牆界面，接著進入WEB將介面改為二層模式，