Cisco Secure Firewall 200 Threat Defense 入门:本地管理网络上的防火墙管理中心

PDF

配置接口

Want to summarize with AI?

Log in

了解如何配置 Secure Firewall 200 接口,包括分配内部和外部区域,以及为路由部署设置 IP 地址。


使用 防火墙设备管理器 而不是 CLI 进行初始设置时,系统会预配置以下接口:

  • 以太网 1/1 - outside,IP 地址来自 DHCP、IPv6 自动配置

  • VLAN1 - inside,192.168.95.1/24

  • 默认路由 - 通过外部接口上的 DHCP 获取

如果在向 注册之前在 防火墙设备管理器 中执行其他特定于接口的配置,则会保留该配置。

如果使用 CLI 进行初始设置,则无需对设备进行预配置。

在两种情况下,您都需要在注册设备后执行其他接口配置。要进行 CLI 初始设置,必须为内部交换机端口添加 VLAN1 接口。其他配置包括根据需要将交换机端口转换为防火墙接口、将接口分配给安全区域以及更改 IP 地址。

以下示例配置了一个含静态地址的路由模式内部接口 (VLAN1),以及一个使用 DHCP 的路由模式外部接口(以太网 1/1)。它还会为内部 Web 服务器添加一个 DMZ 接口。

过程

1.

选择设备 (Devices) > 设备管理 (Device Management),然后点击设备的编辑 (编辑图标)

2.

点击接口 (Interfaces)

Figure 1. 接口
接口 (Interfaces)
3.

如果使用 CLI 进行初始设置,请启用交换机端口。

  1. 点击交换机端口的 编辑 (编辑图标)

    Figure 2. 启用交换机端口
    启用交换机端口
  2. 选中启用复选框以启用此接口。

  3. (可选) 更改 VLAN ID;默认值为 1。接下来,您将添加一个 VLAN 接口来匹配此 ID。

  4. 点击确定

4.

添加(或编辑)内部 VLAN 接口。

  1. 点击添加接口 (Add Interfaces) > VLAN 接口 (VLAN Interface);如果此接口已存在,请点击该接口的 编辑 (编辑图标)

    Figure 3. 添加 VLAN 接口
    添加 VLAN 接口
  2. 安全区域 (Security Zone) 下拉列表中选择一个现有的内部安全区域,或者点击新建 (New) 添加一个新的安全区域。

    例如,添加一个名为 inside_zone 的区域。您可以根据区域或组应用安全策略。

    如果 VLAN1 已预配置,则其余字段为可选。

  3. 输入长度最大为 48 个字符的名称 (Name)

    例如,将接口命名为 inside

  4. 选中启用 (Enabled) 复选框。

  5. 模式 (Mode) 保留为无 (None)

  6. VLAN ID 设置为 1

    默认情况下,所有交换机端口都设置为 VLAN 1;如果在此处选择不同的 VLAN ID,还需要编辑每个交换机端口,使其位于新 VLAN ID 所对应的 VLAN 上。

    保存接口后,无法更改 VLAN ID;VLAN ID 既是使用的 VLAN 标记,也是您的配置中的接口 ID。

  7. 点击 IPv4 和/或 IPv6 选项卡。

    • IPv4 - 从下拉列表中选择使用静态 IP (Use Static IP),然后以斜杠表示法输入 IP 地址和子网掩码。

      例如,输入 192.168.1.56/24

      Figure 4. 设置内部 IP 地址
      设置内部 IP 地址
    • IPv6 - 为无状态自动配置选中自动配置 (Autoconfiguration) 复选框。

  8. 点击确定

5.

点击要用于外部的以太网 1/1 的 编辑 (编辑图标)

系统将显示一般 (General) 窗格。

Figure 5. 常规
常规
  1. 安全区域 (Security Zone) 下拉列表中选择一个现有的外部安全区域,或者点击新建 (New) 添加一个新的安全区域。

    例如,添加一个名为 outside_zone 的区域。

    如果 VLAN1 已预配置,则其余字段为可选。

  2. 输入长度最大为 48 个字符的 Name

    例如,将接口命名为 outside

  3. 选中启用 (Enabled) 复选框。

  4. 模式 (Mode) 保留为无 (None)

  5. 点击 IPv4 和/或 IPv6 选项卡。

    • IPv4 - 选择使用 DHCP (Use DHCP),然后配置以下选填参数:

      • 使用 DHCP 获取默认路由 (Obtain default route using DHCP) - 从 DHCP 服务器获取默认路由。

      • DHCP 路由指标 (DHCP route metric) - 分配到所获悉路由的管理距离,介于 1 和 255 之间。获悉的路由的默认管理距离为 1。

      Figure 6. 设置外部 IP 地址
      设置外部 IP 地址
    • IPv6 - 为无状态自动配置选中自动配置 (Autoconfiguration) 复选框。

  6. 点击确定

6.

例如,配置 DMZ 接口以托管 Web 服务器。

  1. 点击 SwitchPort 列中的滑块,禁用要用于 DMZ 的交换机端口的交换机端口模式(滑块已禁用)。

  2. 点击接口的 编辑 (编辑图标)

  3. 安全区域 (Security Zone) 下拉列表中选择一个现有的 DMZ 安全区域,或者点击新建 (New) 添加一个新的安全区域。

    例如,添加一个名为 dmz_zone 的区域。

  4. 输入长度最大为 48 个字符的名称 (Name)

    例如,将接口命名为 dmz

  5. 选中启用 (Enabled) 复选框。

  6. 模式 (Mode) 保留为无 (None)

  7. 点击 IPv4 和/或 IPv6 选项卡并配置所需的 IP 地址。

  8. 点击确定

7.

点击保存