华为Eudemon防火墙-详细配置

1、精选优质文档-倾情为你奉上精选优质文档-倾情为你奉上专心-专注-专业专心-专注-专业精选优质文档-倾情为你奉上专心-专注-专业配置各接口IP地址、网络参数、缺省路由。Eudemon防火墙连接Trust、DMZ和Untrust三个安全区域，因此需要配置相关连接接口的IP地址、链路层、网络层、路由的参数，从而实现Eudemon网络层与其他设备互通。# 配置Eudemon防火墙Ethernet0/0/0接口的IP地址。Eudemon interface ethernet 0/0/0Eudemon-Ethernet0/0/0 ip address 1 Eudemon-Ethernet0/0/0 qui

2、t# 配置Eudemon防火墙Etherent1/0/0接口的IP地址。 外网Eudemon interface ethernet 1/0/0Eudemon-Ethernet1/0/0 ip address Eudemon-Ethernet1/0/0 quit# 配置Eudemon防火墙Etherent2/0/0接口的IP地址。Eudemon interface ethernet 2/0/0Eudemon-Ethernet2/0/0 ip address 1 Eudemon-Ethernet2/0/0 quit# 配置Eudemon防火墙到达Internet的缺省路由。Eudemon ip r

3、oute-static 5 到外网网关Eudemon ip route-static 到三层第三步：创建或配置安全区域，为安全区域增加隶属接口。Eudemon防火墙三个Ethernet接口分别连接Trust、DMZ和Untrust三个系统保留的安全区域，因此仅需要为安全区域增加隶属的接口即可。# 配置Trust区域包含Ethernet0/0/0接口。Eudemon firewall zone trustEudemon-zone-trust add interface ethernet 0/0/0Eudemon-zone-trust quit# 配置DMZ区域包含Ethernet2/0/0接口。

4、Eudemon firewall zone dmzEudemon-zone-dmz add interface ethernet 2/0/0Eudemon-zone-dmz quit# 配置Untrust区域包含Ethernet1/0/0接口。Eudemon firewall zone untrustEudemon-zone-untrust add interface ethernet 1/0/0Eudemon-zone-untrust quit1. 简介NAT地址转换机制是将内部主机IP地址替换为外部地址，提供私有地址与公有地址之间的转换。NAT实现了内部私有网络访问外部Internet网络

5、的功能，有助于减缓可用IP地址空间枯竭的速度，同时屏蔽了内部网络，提高了信息传输的安全性。Eudemon防火墙通过定义地址池，并用地址池中的地址作为转换后的外部地址来实现多对多地址转换，利用ACL规则来对地址转换进行控制。2. 配置前提必须已经完成“上面的配置。3. 操作步骤第一步：配置NAT地址池1，地址范围是41-54。Eudemon nat address-group 1 41 54 （固定IP的地址段）第二步：配置ACL规则2010，仅允许Trust区域/24网段中的任意主机访问其他网络，禁止其它网段主机的对外访问。Eudemon acl number 2010Eudemon-acl-

6、basic-2010 rule 0 permit source 55Eudemon-acl-basic-2010 rule 1 deny any第三步：在安全区域之间使用配置好的NAT地址池。# 进入Trust和Untrust区域间视图，在从Trust区域到Untrust区域的方向上，对符合ACL规则10的数据流进行NAT转换，采用NAT地址池1中的地址。Eudemon firewall interzone trust untrustEudemon-interzone-trust-untrust nat outbound 2010 address-group 14. 检验结果按照上述步骤进行配

7、置后，正常情况下，应达到以下测试结果：l Trust区域内任意主机能通过Eudemon防火墙访问外部网络，即能ping通Internet用户。l 反方向，Internet用户不能主动访问Trust区域内主机，即不能ping通Trust区域内的主机。配置包过滤1. 简介包过滤机制主要实现对IP数据包的过滤。对Eudemon需要转发的数据包，先获取数据包的包头信息（上层协议号、源地址、目的地址、源端口、目的端口等），然后和已定义的ACL规则进行比较，根据比较的结果来决定转发还是丢弃该数据包。2. 配置前提必须已经完成“第3章 Eudemon的简单配置”中的配置，并确保Eudemon和其他设备互通，

8、并且配置安全区域间的包过滤规则。3. 操作步骤第一步：根据安全过滤需要，配置各种ACL规则。# 创建访问控制列表3101，允许Trust区域内的所有网段的主机访问外部网和DMZ区域中的服务器，拒绝其他主机访问资源。Eudemon acl number 3101Eudemon-acl-adv-3101 rule permit ip source 55 destination anyEudemon-acl-adv-3101 rule deny ip# 创建访问控制列表3102，允许Internet中的特定用户（）从外部访问DMZ区域中的内部服务器（FTP和WWW）。Eudemon acl numb

9、er 3102Eudemon-acl-adv-3102 rule permit ip source 0 destination 00 0Eudemon-acl-adv-3102 rule permit ip source 0 destination 01 0Eudemon-acl-adv-3102 rule deny ip第二步：在安全区域之间应用配置好的ACL规则。# 进入Trust和Untrust区域间，并在从Trust区域到Untrust区域的方向上应用ACL规则3101，即出方向。Eudemon firewall interzone trust untrustEudemon-Inter

10、zone-trust-untrust packet-filter 3101 outbound# 进入Trust和DMZ区域间，并在从Trust区域到DMZ区域的方向上应用ACL规则3101，即出方向。Eudemon firewall interzone trust dmzEudemon-Interzone-trust-dmz packet-filter 3101 outbound# 进入Untrust和DMZ区域间，并在从Untrust区域到DMZ区域的方向上应用ACL规则3102，即入方向。Eudemon firewall interzone untrust dmzEudemon-Interzone-dmz-untrust packet-filter 3102 inbound4. 检验结果按照上述步骤进行配置后，正常情况下，应达到以下测试结果：l Trust区域内主机能正常通过FTP或