奇安信_防火墙部署_透明桥模式
- 一、预备知识
- 二、项目场景
- 三、拓扑图
- 四、基本部署配置
- 1. 登录web控制台
- 2.连通性配置
- 3.可信主机配置
- 4.授权导入
- 5.特征库升级
- 6.安全配置文件
- 五、透明桥配置
- 1. 创建桥
- 2. 端口绑定桥
- 3. 创建桥端口
- 六、结语
一、预备知识
安全设备接入网络部署方式
二、项目场景
客户网络中新增加一台防火墙,客户要求不改变网络原有架构,现提供2种部署方案
- 镜像旁挂:交换机做镜像,将原本流量复制一份,引入防火墙,可以查看威胁流量,但是对威胁的限制较弱
- 透明桥:将防火墙串入网络,运用桥接口,将出入流量捆绑为一个桥,不用修改原网络的IP
客户选择使用透明桥模式部署
三、拓扑图
四、基本部署配置
1. 登录web控制台
控制台默认地址:https://10.0.0.1
配置PC地址:10.0.0.44(必须是这个地址)
账号类型 | 默认用户名 | 默认密码 |
---|---|---|
系统管理员 | sysadmin | sysadmin@123 |
安全保密管理员 | secadmin | secadmin@123 |
审计员 | auditadmin | auditadmin@123 |
(不同版本防火墙,默认账号密码可能不同,联系400获取)
2.连通性配置
在sec账号下,点击网络配置,接口,开启 ping功能
(pc ping 防火墙可通,保障测试连通性)
3.可信主机配置
在sec账号下,点击系统配置,设备管理,管理主机,将启用关闭
(默认有个可信主机地址是10.0.0.44,也就是刚刚PC配置的地址,这边可信主机默认是开启的,如果不关闭的话,仅添加了的可信IP才可以访问web控制台。关闭后,其他设备也可以访问控制台。)
4.授权导入
在sys账号下,点击系统配置,许可证,导入许可证
(若没导入,配置完成后,设备配置无法生效)
5.特征库升级
在sys账号下,点击系统配置,升级管理,特征库升级,选择手动升级或者自动升级
6.安全配置文件
1.在sec账号下,点击对象配置,安全配置文件,反病毒,添加,名称测试,将动作改为日志
(这里用户只要求防火墙监测到流量威胁,所以将阻断改为日志,记录威胁流量,不对威胁进行阻断限制,配置视用户要求而定。)
2. 在sec账号下,点击对象配置,安全配置文件,漏洞防护,添加,名称测试,将动作改为日志
3. 在sec账号下,点击对象配置,安全配置文件,防间谍软件,添加,名称测试,将动作改为日志
4. 在sec账号下,点击对象配置,安全配置文件,URL过滤,添加,名称测试,将动作改为日志
5. 在sec账号下,点击对象配置,安全配置文件组,添加,名称测试,将刚刚配置的反病毒,漏洞防护,防间谍,url过滤绑定为一个组
6.在sec账号下,点击策略配置,安全策略配置,添加,名称测试,全部允许any,any。高级配置,安全配置组绑定测试。
五、透明桥配置
1. 创建桥
在sec账号下,点击网络配置,桥,点击添加,配置桥ID1
2. 端口绑定桥
在sec账号下,点击网络配置,接口,点击ge1(外网)、ge2(内网),端口模式改为bridge,设置桥为1
3. 创建桥端口
在sec账号下,点击网络配置,接口,点击添加桥接口,配置IP地址192.168.2.254(用作远程管理),根据客户需求开启对应的管理功能
六、结语
至此,配置完成,远程PC可管理控制台192.168.2.254