21Eudemon防火墙产品基本功能特性与配置.ppt

修订记录,Eudemon防火墙产品基本功能特性与配置,前言,本胶片介绍了Eudemon系列产品主要的安全技术和安全特性，以及各安全特性在Eudemon产品上的配置。包括如：防火墙区域，防火墙工作模式，ASPF技术，NAT技术以及一些扩展技术。,培训目标,学完本课程后，您应该能：掌握Eudemon产品的主要安全技术和安全特性掌握各安全特性在Eudemon上的配置,目录,防火墙的基本概念防火墙关键技术防火墙基本功能防火墙扩展功能,目录,1.防火墙的基本概念1.1安全区域1.2防火墙工作模式1.3会话,防火墙的安全区域,Local区域100,Trust区域85,DMZ区域50,UnTrust区域5,接口2,接口3,接口4,接口1,用户自定义区域,Vzone0,接口、网络和安全区域关系,安全区域配置1,创建一个安全区域Eudemonfirewallzonenameuserzone设置优先级Eudemon-zone-userzonesetpriority60给安全区域添加接口Eudemon-zone-trustaddinterfaceEthernet0/0/1,安全区域配置验证,查看防火墙安全区域配置Eudemondisplayzoneusernameusernamepriorityis60interfaceofthezoneis(1):Ethernet0/0/1,安全区域配置2,创建安全ACLEudemonacl3000Eudemon-acl-adv-3000rulepermitip在域间下发ACLEudemonfirewallinterzonetrustuntrustEudemon-interzone-trust-untrustpacket-filter3000inbound,目录,1.防火墙的基本概念1.1安全区域1.2防火墙工作模式1.3会话,防火墙的三种工作模式,路由模式透明模式混合模式,路由模式,外部网络,服务器,PC,PC,/24,Trust区,服务器,Eudemon,PC,/24,,54,内部网络,Untrust区,透明模式,混合模式,工作模式配置命令,配置防火墙工作模式EudemonfirewallmodecompositeEudemonquit需要重新启动防火墙reboot,查看防火墙的工作模式Eudemondisplayfirewallmodefirewallmodecomposite,目录,1.防火墙的基本概念1.1安全区域1.2防火墙工作模式1.3会话,会话（Session）Eudemon防火墙是状态防火墙，采用会话表维持通信状态。会话表包括五个元素：源IP地址、源端口、目的IP地址、目的端口和协议号(如果支持虚拟防火墙的话还有一个VPN-ID)。当防火墙收到报文后，根据上述五个元素查询会话表，并根据具体情况进行如下操作：,会话,会话相关命令,查看防火墙的Session信息Eudemondisplayfirewallsessiontableverboseicmp(vpn:public-public)zone:local-intratag:0 x3588State:0 x0ttl:00:00:20left:00:00:04Id:141c2d38SlvId:16406388Interface:G0/0/1Nexthop:Mac:00-0f-e2-61-05-83:43996-:43996,resetfirewallsessiontable,会话相关命令,查看防火墙的Sessionaging-timeEudemondisplayfirewallsessionaging-timetcpprotocoltimeout:1200udpprotocoltimeout:120icmpprotocoltimeout:20.,Eudemonfirewallsessionaging-timeicmp15,防火墙长连接会话,配置ACL，用于控制需要长连接会话的数据流Eudemonacl3001Eudemon-acl-adv-3001rulepermitipsource0设置长连接的老化时间Eudemonfirewalllong-linkaging-time2在域间应用长连接EudemonfirewallinterzonetrustuntrustEudemon-interzone-trust-untrustfirewalllong-link3001inbound,EudemondisplayfirewallsessiontableverboseFTP,tag:80000301ttl:02:00:-left:01:58:-Addr:02000093:21public):2048-:43icmp,(vpn:public-public):2048-:43icmp,(vpn:public-public):2048-:43FTP,(vpn:public-public):2:21public):2:21public):2:21public):2:21public):2:21-+:1235CurrentTotalSessions:8,目录,4.防火墙扩展功能4.1负载均衡4.2虚拟防火墙,虚拟防火墙,Vfw3,Vfw2,Vfw1,Rfw,在Eudemon上创建逻辑上的虚拟防火墙（Virtual-firewall,Vfw），能够提供防火墙的出租业务，实现子网隔离和解决地址重叠的问题。每个虚拟防火墙都是VPN实例（VPN-Instance）、安全实例和配置实例的综合体，能够为虚拟防火墙用户提供私有的路由转发平面、安全服务和配置管理平面。,虚拟防火墙,Eudemon防火墙支持虚拟防火墙特性每个虚拟防火墙均可以独立支持Local、TRUST、UNTRUST、DMZ、VZONE5个安全区域，接口灵活划分和分配。系统资源独立分配，提供独立的安全业务、NAT多实例、VPN多实例特性。,.,根防火墙RootFW,一台Eudemon物理防火墙,虚拟防火墙VirtualFW,VZONE,Trust,VPN-1,DMZ,UnTrust,Trust,VPN-100,DMZ,UnTrust,.,Eudemon,虚拟防火墙区域,Server,Server,Trust,Untrust,DMZ,Eth1/0/0,内部网络,Eth0/0/0,inbound,outbound,inbound,outbound,outbound,inbound,Eudemon,Local,Vzone,Internet,Eth2/0/0,虚拟防火墙组网实例,Ethernet1/0/1,/24,PC2,PC1,Ethernet2/0/0,/24,Ethernet1/0/0,/24,Eudemon,PC3,/24,VPN:vpna,虚拟防火墙配置接口,Eudemonipvpn-instancevpnavpn-id1Eudemon-vpn-vpnaroute-distinguisher100:1EudemonintEthernet1/0/0Eudemon-Ethernet1/0/0ipbindingvpn-instancevpnaEudemon-Ethernet1/0/0ipaddressEudemonintEthernet1/0/1Eudemon-Ethernet1/0/1ipbindingvpn-instancevpnaEudemon-Ethernet1/0/1ipaddress,虚拟防火墙配置安全策略,Eudemonaclnumber2000vpn-instancevpnaEudemon-acl-basic-2000rulepermitEudemonfirewallinterzonevpn-instancevpnatrustuntrustEudemon-interzone-trust-untrust-vpnapacket-filter2000inboundEudemon-interzone-trust-untrust-vpnapacket-filter2000outbound,跨VPN实例访问配置,Eudemonnataddress-group1vpn-instancevpnaEudemonfirewallinterzonevpn-instancevpnatrustvzoneEudemon-interzone-trust-vzone-vpnapac