华为Eudemon防火墙NAT配置实例.doc

原创华为Eudemon防火墙NAT配置实例 Post By：2007-7-11 11:35:00 贴一下我公司里防火墙的配置，希望能够起到抛砖引玉的作用。具体外网IP和内网ARP绑定信息已经用“x”替代，请根据实际情况更换。“”后面的部分是我导出配置后添加的注释。防火墙型号为华为Eudemon 200，E0/0/0口为外网接口，E0/0/1口为内网。另外此配置方法也完全适用于华为Secpath系列防火墙，略加改动也可适用于华为AR系列路由器。 -传说中的分隔线- # sysname Eudemon设置主机名# super password level 3 simple xxxxxxxx密码为xxxxxxxx # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound firewall packet-filter default permit interzone trust dmz direction inbound firewall packet-filter default permit interzone trust dmz direction outbound firewall packet-filter default permit interzone dmz untrust direction inbound firewall packet-filter default permit interzone dmz untrust direction outbound设置默认允许所有数据包通过# 青岛IT社区提醒：本地交易 眼见为实，当面验货！不要嫌麻烦！交易地点建议在人多地方，防止抢劫！ QQ:11363600 支持(0)中立(0)反对(0) wanghaoqd小大2楼 个性首页 | QQ | 信息 | 搜索 | 邮箱 | 主页 | 手机号码所在地查询 | 加好友 发短信 蛋白超人 等级：退役版主 帖子：2067 积分：185 威望：5 精华：1 注册：2004-3-24 Post By：2007-7-11 11:35:00 nat address-group 1 x.x.x.x x.x.x.x将分配的公网加入地址池 nat server global x.x.x.x inside nat server global x.x.x.x inside nat server global x.x.x.x inside nat server global x.x.x.x inside nat server global x.x.x.x inside 5将几个公网地址映射到内部服务器 nat alg enable ftp nat alg enable dns nat alg enable icmp nat alg enable netbios undo nat alg enable h323 undo nat alg enable hwcc undo nat alg enable ils undo nat alg enable pptp undo nat alg enable qq undo nat alg enable msn undo nat alg enable user-define undo nat alg enable rtsp firewall permit sub-ip # firewall statistic system enable # interface Aux0 async mode flow link-protocol ppp # interface Ethernet0/0/0 ip address x.x.x.x 48设置外网端口地址，此处为网通分配的内部私有，10.x.x.x # interface Ethernet0/0/1 ip address 设置内网地址，采用/24网络地址 # interface NULL0 # acl number 2000 rule 0 permit source 55ACL 2000，目的是只允许/24的地址出外网 rule 1 deny # acl number 3001 rule 0 deny udp destination-port eq 445 rule 1 deny udp destination-port eq netbios-ns rule 2 deny udp destination-port eq netbios-dgm rule 3 deny udp destination-port eq netbios-ssn rule 4 deny udp destination-port eq 1434 rule 5 deny tcp destination-port eq 135 rule 6 deny tcp destination-port eq 139 rule 7 deny tcp destination-port eq 389 rule 8 deny tcp destination-port eq 445 rule 9 deny tcp destination-port eq 636 rule 10 deny tcp destination-port eq 1025 rule 11 deny tcp destination-port eq 1503 rule 12 deny tcp destination-port eq 3268 rule 13 deny tcp destination-port eq 3269 rule 14 deny tcp destination-port eq 4444 rule 15 deny tcp destination-port eq 5554 rule 16 deny tcp destination-port eq 5800 rule 17 deny tcp destination-port eq 5900 rule 18 deny tcp destination-port eq 9996 rule 19 deny tcp destination-port eq 6667 ACL 3001，关闭常见蠕虫病毒使用的端口# firewall zone local set priority 100 QQ:11363600 支持(0)中立(0)反对(0) wanghaoqd小大3楼 个性首页 | QQ | 信息 | 搜索 | 邮箱 | 主页 | 手机号码所在地查询 | 加好友 发短信 蛋白超人 等级：退役版主 帖子：2067 积分：185 威望：5 精华：1 注册：2004-3-24 Post By：2007-7-11 11:36:00 # firewall zone trust set priority 85 add interface Ethernet0/0/1将E0/0/1口加入TRUST区 # firewall zone untrust set priority 5 add interface Ethernet0/0/0 将E0/0/0口加入UNTRUST区# firewall zone dmz set priority 50 # firewall interzone local trust packet-filter 3001 inbound在LOCAL到TRUST方向应用ACL 3001号# firewall interzone local untrust packet-filter 3001 inbound在LOCAL到UNTRUST方向应用ACL 3001号# firewall interzone local dmz # firewall interzone trust untrust nat outbound 2000 address-group 1 在TRUST到UNTRUST的方向做NAT，使用2000号ACL# firewall interzone trust dmz # firewall interzone dmz untrust # aaa local-user admin password cipher A.5+_KCH)./a!1$HGYA!建立用户admin，密码为密文 local-user admin level 3 用户权限为3（最高级） authentication-scheme default # authorization-scheme default # accounting-scheme default # domain default # # arp static xxxx-xxxx-xxxx做和地址绑定 arp static xxxx-xxxx-xxxx arp static xxxx-xxxx-xxxx arp static xxxx-xxxx-xxxx arp static xxxx-xxxx-xxxx arp static xxxx-xxxx-xxxx 省略许多行. arp static 50 1111-1111-1111 arp static 51 1111-1111-1111 arp static 52 1111-1111-1111 arp static 53 1111-1111-1111 arp static 54 1111-1111-1111把不使用的与不存在的# ip route-static x.x.x.x设置缺省路由，此处地址为网通内部，10.x.x.x # snmp-agent snmp-agent local-engineid 000007DB7F0000010000370D snmp-agent community read xxxxxx snmp-agent community write xxxxxx snmp-agent sys-info version all设置SNMP参数，以使用网管软件来监控 # user-interface con 0 user-interface aux 0 user-interface vty 0 4 authentication-mode aaa设置VTY口的认证模式为AAA# return QQ:11363600 支持(0)中立(0)反对(0) pladin123小大4楼 个性首页 | 信息 | 搜索 | 邮箱 | 主页 | 手机号码所在地查询 | 加好友 发短信 等级：QDIT游民 帖子：238 积分：1309 威望：0 精华：0 注册：2007-3-30 16:04:00 Post By：2007-7-23 13:12:00 楼上的这种方法带宽方面的如何的呢？内网所有都用一个IP，那不是浪费了吗还有我们和美国视频会议的时候，会不会有影响。视频会议的时候是呼叫对方的IP地址，要是像楼上这样是否可行？现在的要求就是视频用IP1，数据用IP2，