V3和V5平台防火墙配置透明模式的比较

V3和V5平台防火墙配置透明模式的比较

H3C SecPath防火墙F100系列及F1000-A、F1000-S、F1000-C均为V3平台的设备，而F1000-E、F5000A、SecBlade II及UTM中的防火墙模块均为V5平台的设备。先描述V3平台防火墙的透明模式的配置。

⑴ V3平台防火墙透明模式的配置

①     组网说明：组网图中需要三台PC, PC1在Trust区域作为Client；PC2处于Untrust区域，其IP地址与PC1在同一网段。G0/0接口和G1/0接口属于同一个桥组Bridge1。软件版本F1658。

② 具体配置：

#使能桥组功能

[H3C]bridge enable

#创建一个桥组

[H3C]bridge 1 enable

#将接口加入到桥组

[H3C]interface gigabitethernet 0/0

[H3C-GigabitEthernet0/0]bridge-set 1

[H3C-GigabitEthernet0/0]interface gigabitethernet 1/0

[H3C-GigabitEthernet1/0]bridge-set 1

[H3C-GigabitEthernet1/0]interface bridge-template 1

[H3C-Bridge-Template1]ip address 192.168.0.254 255.255.255.0

[H3C-zone-trust]add interface bridge-template 1

⑵ V5平台防火墙透明模式的配置

①     组网说明：组网图和V3平台的一样，中间的F1000-A防火墙换成F1000-E防火墙。软件版本R3102p05。

②     具体的配置：

vlan 1

# 创建vlan 100

vlan 100          

# 使接口g0/1工作在二层模式（bridge）

interface GigabitEthernet0/1

port link-mode bridge

    port access vlan 100

#使接口g0/2工作在二层模式（bridge）

interface GigabitEthernet0/2

port link-mode bridge

port access vlan 100

同时还需在web界面将接口加入区域，进入WEB管理界面后，单击“系统管理 > 安全      域管理”，编辑trust安全域，将Ge0/1加入该域。将Ge0/2加入untrust安全域也是同样的操作。然后通过WEB页面配置trust与untrust之间的策略可实现安全过滤。

注意：

通过命令port link-mode bridge/route 或者通过WEB的接口管理可以让端口切换二/三层转发模式，要注意的是每切换一次，端口都要初始化一次，原先端口下的配置及所属安全区域信息全部丢失，需要重新进行配置。