admin 管理员组

文章数量: 887021

奇安信

奇安信_防火墙部署_透明桥模式

  • 一、预备知识
  • 二、项目场景
  • 三、拓扑图
  • 四、基本部署配置
    • 1. 登录web控制台
    • 2.连通性配置
    • 3.可信主机配置
    • 4.授权导入
    • 5.特征库升级
    • 6.安全配置文件
  • 五、透明桥配置
    • 1. 创建桥
    • 2. 端口绑定桥
    • 3. 创建桥端口
  • 六、结语

一、预备知识

安全设备接入网络部署方式

二、项目场景

客户网络中新增加一台防火墙,客户要求不改变网络原有架构,现提供2种部署方案

  1. 镜像旁挂:交换机做镜像,将原本流量复制一份,引入防火墙,可以查看威胁流量,但是对威胁的限制较弱
  2. 透明桥:将防火墙串入网络,运用桥接口,将出入流量捆绑为一个桥,不用修改原网络的IP

客户选择使用透明桥模式部署

三、拓扑图

四、基本部署配置

1. 登录web控制台

控制台默认地址:
配置PC地址:10.0.0.44(必须是这个地址)

账号类型默认用户名默认密码
系统管理员sysadminsysadmin@123
安全保密管理员secadminsecadmin@123
审计员auditadminauditadmin@123

(不同版本防火墙,默认账号密码可能不同,联系400获取)

2.连通性配置

在sec账号下,点击网络配置,接口,开启 ping功能
(pc ping 防火墙可通,保障测试连通性)

3.可信主机配置

在sec账号下,点击系统配置,设备管理,管理主机,将启用关闭
(默认有个可信主机地址是10.0.0.44,也就是刚刚PC配置的地址,这边可信主机默认是开启的,如果不关闭的话,仅添加了的可信IP才可以访问web控制台。关闭后,其他设备也可以访问控制台。)

4.授权导入

在sys账号下,点击系统配置,许可证,导入许可证
(若没导入,配置完成后,设备配置无法生效)

5.特征库升级

在sys账号下,点击系统配置,升级管理,特征库升级,选择手动升级或者自动升级

6.安全配置文件

1.在sec账号下,点击对象配置,安全配置文件,反病毒,添加,名称测试,将动作改为日志
(这里用户只要求防火墙监测到流量威胁,所以将阻断改为日志,记录威胁流量,不对威胁进行阻断限制,配置视用户要求而定。)

2. 在sec账号下,点击对象配置,安全配置文件,漏洞防护,添加,名称测试,将动作改为日志

3. 在sec账号下,点击对象配置,安全配置文件,防间谍软件,添加,名称测试,将动作改为日志

4. 在sec账号下,点击对象配置,安全配置文件,URL过滤,添加,名称测试,将动作改为日志
5. 在sec账号下,点击对象配置,安全配置文件组,添加,名称测试,将刚刚配置的反病毒,漏洞防护,防间谍,url过滤绑定为一个组

6.在sec账号下,点击策略配置,安全策略配置,添加,名称测试,全部允许any,any。高级配置,安全配置组绑定测试。

五、透明桥配置

1. 创建桥

在sec账号下,点击网络配置,桥,点击添加,配置桥ID1

2. 端口绑定桥

在sec账号下,点击网络配置,接口,点击ge1(外网)、ge2(内网),端口模式改为bridge,设置桥为1

3. 创建桥端口

在sec账号下,点击网络配置,接口,点击添加桥接口,配置IP地址192.168.2.254(用作远程管理),根据客户需求开启对应的管理功能


六、结语

至此,配置完成,远程PC可管理控制台192.168.2.254

本文标签: 奇安信