usg採用此組網接入上下行網路,無須改變原有網路的拓撲結構,也不需要重新分配額外的業務位址。
組網需求
usg作為安全裝置被部署在業務節點上,上行裝置是路由器,下行裝置為交換機,業務介面工作在交換模式下。
組網圖如
圖1所示,網路規劃如下:
·內部網路的網段位址為192.168.1.0/24,與usg的gigabitethernet 0/0/1介面相連,部署在trust區域。
·外部網路與usg的gigabitethernet 0/0/2介面相連,部署在untrust區域。
·usg
的管理位址為192.168.1.2/24
圖1業務介面工作在二層,上下行連線交換機的組網圖
配置思路
1.usg
介面gigabitethernet 0/0/1和gigabitethernet 0/0/2均工作在交換模式,分別加入不同的安全區域。
2.在usg上建立vlanif介面,配置管理ip位址為192.168.0.1。
3.在usg上配置到路由器的預設路由。
4.在 usg上配置trust區域和untrust區域的域間包過濾規則。
操作步驟
1.在usg上完成以下基本配置。
#配置gigabitethernet 0/0/1工作在交換模式。
system-view
[usg_a]inte***ce gigabitethernet 0/0/1
[usg_a-gigabitethernet0/0/1]portswitch
[usg_a-gigabitethernet0/0/1]quit
#配置gigabitethernet 0/0/1加入trust區域。
[usg_a]firewall zone trust
[usg_a-zone-trust]add inte***ce gigabitethernet 0/0/1
[usg_a-zone-trust]quit
#配置gigabitethernet 0/0/2工作在交換模式。
[usg_a]inte***ce gigabitethernet 0/0/2
[usg_a-gigabitethernet0/0/2]portswitch
[usg_a-gigabitethernet0/0/2]quit
#配置gigabitethernet 0/0/2加入untrust區域。
[usg_a]firewall zone untrust
[usg_a-zone-untrust]add inte***ce gigabitethernet 0/0/2
[usg_a-zone-untrust]quit
2.#配置usg的管理ip位址。
[usg_a]inte***ce vlianif 1
[usg_a-gigabitethernet0/0/1]ip address 192.168.0.2 24
[usg_a-gigabitethernet0/0/1]quit
[usg_a]firewall zone untrust
[usg_a-zone-untrust]add inte***ce vlanif 1
3.#配置usg到路由器的預設路由。
[usg_a]ip route-static 0.0.0.0 0.0.0.0 192.168.0.1
4.#預設放開所有區域之間包過濾。
[usg_a]firewall packet-filter default permit all
防火牆透明模式
1,特性介紹 防火牆作為一實際存在的物理裝置,其本身也起到路由的作用,所以在為使用者安裝防火牆時,就需要考慮如何改動其原有的網路拓撲結構或修改連線防火牆的路由表,以適應使用者的實際需要,這樣就增加了工作的複雜程度和難度。但如果防火牆採用了透明模式,即採用無ip方式執行,使用者將不必重新設定和修改路由...
防火牆透明模式
1,特性介紹 防火牆作為一實際存在的物理裝置,其本身也起到路由的作用,所以在為使用者安裝防火牆時,就需要考慮如何改動其原有的網路拓撲結構或修改連線防火牆的路由表,以適應使用者的實際需要,這樣就增加了工作的複雜程度和難度。但如果防火牆採用了透明模式,即採用無ip方式執行,使用者將不必重新設定和修改路由...
裝飾模式之半透明裝飾模式
舉個例子 在電影 變形金剛2 中,擎天柱獲得了黑金剛的飛行能力,可以變形成灰機。但是,變形成灰機後的擎天柱還是擎天柱,並不是灰機。所以在定義被裝飾後的擎天柱時,要用變形金剛介面來指定物件,而不能用被裝飾後的型別指定物件。transformer 擎天柱 new 擎天柱 transformer 能變飛機...