华为Eudemon防火墙-详细配置

配置各接口IP地址、网络参数、缺省路由。Eudemon防火墙连接Trust、DMZ和Untrust三个安全区域，因此需要配置相关连接接口的IP地址、链路层、网络层、路由的参数，从而实现Eudemon网络层与其他设备互通。#配置Eudemon防火墙Ethernet0/0/0接口的IP地址。[Eudemon]interfaceethernet0/0/0[Eudemon-Ethernet0/0/0]ipaddress10.110.1.11255.255.255.0[Eudemon-Ethernet0/0/0]quit#配置Eudemon防火墙Etherent1/0/0接口的IP地址。外网[Eudemon]interfaceethernet1/0/0[Eudemon-Ethernet1/0/0]ipaddress202.38.160.1255.255.0.0[Eudemon-Ethernet1/0/0]quit#配置Eudemon防火墙Etherent2/0/0接口的IP地址。[Eudemon]interfaceethernet2/0/0[Eudemon-Ethernet2/0/0]ipaddress10.110.5.11255.255.255.0[Eudemon-Ethernet2/0/0]quit#配置Eudemon防火墙到达Internet的缺省路由。[Eudemon]iproute-static0.0.0.00.0.0.0202.38.160.15到外网网关[Eudemon]iproute-static10.110.1.0255.255.255.010.110.1.2到三层第三步：创建或配置安全区域，为安全区域增加隶属接口。Eudemon防火墙三个Ethernet接口分别连接Trust、DMZ和Untrust三个系统保留的安全区域，因此仅需要为安全区域增加隶属的接口即可。#配置Trust区域包含Ethernet0/0/0接口。[Eudemon]firewallzonetrust[Eudemon-zone-trust]addinterfaceethernet0/0/0[Eudemon-zone-trust]quit#配置DMZ区域包含Ethernet2/0/0接口。[Eudemon]firewallzonedmz[Eudemon-zone-dmz]addinterfaceethernet2/0/0[Eudemon-zone-dmz]quit#配置Untrust区域包含Ethernet1/0/0接口。[Eudemon]firewallzoneuntrust[Eudemon-zone-untrust]addinterfaceethernet1/0/0[Eudemon-zone-untrust]quit1.简介NAT地址转换机制是将内部主机IP地址替换为外部地址，提供私有地址与公有地址之间的转换。NAT实现了内部私有网络访问外部Internet网络的功能，有助于减缓可用IP地址空间枯竭的速度，同时屏蔽了内部网络，提高了信息传输的安全性。Eudemon防火墙通过定义地址池，并用地址池中的地址作为转换后的外部地址来实现多对多地址转换，利用ACL规则来对地址转换进行控制。2.配置前提必须已经完成“上面的配置。3.操作步骤第一步：配置NAT地址池1，地址范围是202.110.1.241-202.110.1.254。[Eudemon]nataddress-group1202.110.1.241202.110.1.254（固定IP的地址段）第二步：配置ACL规则2010，仅允许Trust区域10.110.1.0/24网段中的任意主机访问其他网络，禁止其它网段主机的对外访问。[Eudemon]aclnumber2010[Eudemon-acl-basic-2010]rule0permitsource10.110.1.00.0.0.255[Eudemon-acl-basic-2010]rule1denyany第三步：在安全区域之间使用配置好的NAT地址池。#进入Trust和Untrust区域间视图，在从Trust区域到Untrust区域的方向上，对符合ACL规则10的数据流进行NAT转换，采用NAT地址池1中的地址。[Eudemon]firewallinterzonetrustuntrust[Eudemon-interzone-trust-untrust]natoutbound2010address-group14.检验结果按照上述步骤进行配置后，正常情况下，应达到以下测试结果：lTrust区域内任意主机10.110.1.1能通过Eudemon防火墙访问外部网络，即能ping通Internet用户202.12.7.7。l反方向，Internet用户202.12.7.7不能主动访问Trust区域内主机，即不能ping通Trust区域内的主机10.110.1.1。配置包过滤1.简介包过滤机制主要实现对IP数据包的过滤。对Eudemon需要转发的数据包，先获取数据包的包头信息（上层协议号、源地址、目的地址、源端口、目的端口等），然后和已定义的ACL规则进行比较，根据比较的结果来决定转发还是丢弃该数据包。2.配置前提必须已经完成“第3章Eudemon的简单配置”中的配置，并确保Eudemon和其他设备互通，并且配置安全区域间的包过滤规则。3.操作步骤第一步：根据安全过滤需要，配置各种ACL规则。#创建访问控制列表3101，允许Trust区域内的所有10.110.1.0网段的主机访问外部网和DMZ区域中的服务器，拒绝其他主机访问资源。[Eudemon]aclnumber3101[Eudemon-acl-adv-3101]rulepermitipsource10.110.1.00.0.0.255destinationany[Eudemon-acl-adv-3101]ruledenyip#创建访问控制列表3102，允许Internet中的特定用户（202.12.7.7）从外部访问DMZ区域中的内部服务器（FTP和）。[Eudemon]aclnumber3102[Eudemon-acl-adv-3102]rulepermitipsource202.12.7.70destination10.110.5.1000[Eudemon-acl-adv-3102]rulepermitipsource202.12.7.70destination10.110.5.1010[Eudemon-acl-adv-3102]ruledenyip第二步：在安全区域之间应用配置好的ACL规则。#进入Trust和Untrust区域间，并在从Trust区域到Untrust区域的方向上应用ACL规则3101，即出方向。[Eudemon]firewallinterzonetrustuntrust[Eudemon-Interzone-trust-untrust]packet-filter3101outbound#进入Trust和DMZ区域间，并在从Trust区域到DMZ区域的方向上应用ACL规则3101，即出方向。[Eudemon]firewallinterzonetrustdmz[Eudemon-Interzone-trust-dmz]packet-filter3101outbound#进入Untrust和DMZ区域间，并在从Untrust区域到DMZ区域的方向上应用ACL规则3102，即入方向。[Eudemon]firewallinterzoneuntrustdmz[Eudemon-Interzone-dmz-untrust]packet-filter3102inbound4.检验结果按照上述步骤进行配置后，正常情况下，应达到以下测试结果：lTrust区域内主机能正常通过FTP或区域中的服务器，并能访问Untrust区域内的任意主机。lDMZ区域内的服务器不能随意访问Trust和Untrust区域中的主机。lUntrust区域中的特定主机能访问DMZ区域中的指定服务器外，但是无法访问该区域内的其他服务器。lUntrust区域内的其他主机都不能访问DMZ区域和Trust区域。