题记：

大多数的或者说是UTM部署的模式有路由模式，网桥模式，混杂模式，配置最核心的也就是写规则，一个好的规则会使得内部网络的性较大的改善，当然如果是UTM可能还会附加上一些其他的安全组件，例如见的最多的就是AV防组件，IPS组件，anti-spam反垃圾邮件组件等，有的还有一些上网行为管理比较薄弱，VPN等组件，本次主要是以启明星辰的USG系列设备的常见部署模式进行配置说明，其他的厂商的防火墙配置内容都是大同小异，掌握一家的其他的自然也就很容易上手，就要善于总结归纳，将有共同点的知识技能归纳，做到一劳多得！！

实验环境：

1、防火墙工作在桥模式。

2、防火墙的eth2 和eth3 加入网桥组1BVI1。网桥组1 配置防火墙管理IP：192.168.0.249/24

3、eth2 接口连接课桌上的网线口如A1-1通过交换机与网络相连，网关为192.168.0.1.

4、eth3 直接与主机相连，主机IP 设为192.168.0.5

实验拓扑：

通过下面的简单操作，用户可以快速地安装配置好一台防火墙，并且，防火墙内部网的机器能够直接访问internet。

网络拓扑如下图所示：

实验步骤如下：

1.进入“网络设置-接口-透明桥”点击“新建”。在桥名称中填入“BVI1”，桥组号中填入“1”，接口列表中选择“eth2”和“eth3”。为便于对防火墙的管理可以将“管理访问”下的选项全部选择。因为“eth2”和“eth3”使用的是桥模式，所以桥的IP 地址和掩码可以不配。因为是透明桥模式，所以配置的IP 和掩码：192.168.0.249/24，是用于管理防火墙的IP，对网络没有什么影响。参数配置完毕后，点击“提交”。点击右上角保存配置。

2.进入“网络设置基本配置缺省网关”点击“新建”添加网关。提交并保存

3.进入“防火墙安全”点击“新建”，配置eth3 到eth2 的“全通”安全策略。源接口选择“eht3”，目的接口选择“eth2”，时间表选择“always”，选择“PERMIT”，

地址名和服务保持默认的“any”。参数配置完毕后点击“提交”

点击“eth3-eth21”查看此安全策略，选择“启用”。之后点击右上角图标保存配置。

4.为保证网络的正常使用，需设置路由。进入“路由静态路由”，点击“新建”，在IP 地址/掩码中填入“0.0.0.0/0.0.0.0”，下一跳填入路由的IP “192.168.0.1”，权重和距离均填“1”即可。参数填完后，点击提交。之后点击右上角图标保存配置。