hc eudemon产品基本功能特性与配置

1、Eudemon产品基本功能特性与配置Page2前 言 本课程旨在介绍Eudemon防火墙工作模式、安全区域概念、ACL以及NAT等常用的基本功能和配置。Page3培训目标 学完本课程后，您应该能：掌握安全区域的概念掌握防火墙的工作模式掌握ACL的作用与基本配置掌握NAT的作用与配置Page4目 录安全区域工作模式ACLNATPage5防火墙的安全区域Local区域100Trust区域85DMZ区域50UnTrust区域5接口2接口3接口4接口1 用户自定义区域Vzone0Page6接口、网络和安全区域关系Eth1/0/0Eth2/0/0inboundoutboundinboundoutboun

2、dEth0/0/0EudemonLocalinboundoutboundinboundoutboundinboundoutboundVzoneTrust内部网络UntrustServerServerDMZ外部网络inboundoutboundPage7安全区域配置 1 创建一个安全区域Eudemon firewall zone name userzone 设置优先级Eudemon-zone-userzone set priority 60 给安全区域添加接口Eudemon-zone-trust add interface GigabitEthernet 0/0/1Page8安全区域配置验证 查

3、看防火墙安全区域配置Eudemondisplay zone usernameusername priority is 60 interface of the zone is (1): GigabitEthernet0/0/1Page9安全区域配置2 system-viewEudemon policy interzone trust untrust outboundEudemon-policy-interzone-trust-untrust-outbound policy 1Eudemon-policy-interzone-trust-untrust-outbound-1 action perm

4、itPage10目 录安全区域工作模式ACLNATPage11路由模式服务器PCPC/24Trust区服务器EudemonPC/2454Untrust区内部网络外部网络Page12透明模式服务器PCPCTrust服务器EudemonPCUntrust/24内部网络外部网络Page13混合模式Eudemon（主）/24Eudemon（备）VRRP/24Trust服务器PC服务器PCPCUntrust内部网络外部网络Page14配置工作模式Eudemonfirewall mode composite EudemonquitrebootEudemondisplay firewall mode fir

5、ewall mode compositePage15目 录安全区域工作模式ACLNATPage16ACL应用 包过滤根据ACL规则决定数据包的丢弃和转发 NAT根据ACL决定哪些报文进行地址转换 IPSec根据ACL决定哪些数据需要保护 Qos采用ACL进行流分类 路由策略根据ACL对路由进行过滤什么是ACL?PermitDenyPage17ACL分类 基本ACL （组号范围为20002999）使用源地址定义数据流 高级ACL （组号范围为30003999）使用源地址、目的地址、源端口号、目的端口号、上层协议号等多种元素组合定义数据流Page18ACL分类acl number acl-numb

6、er rule rule-id permit | deny source sour-address sour-wildcard | any time-range time-name rule rule-id permit | deny protocol source sour-address sour-wildcard | any destination dest-address dest-mask | any source-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-type i

7、cmp-code | icmp-message precedence precedence tos tos time-range time-name Page19ACL应用实例公司外部特定PC公司内部特定PCWANEudemonFTP ServerTelnet Serverwww ServerE1/0/0E0/0/0Page20ACL应用实例配置Eudemon acl number 3101Eudemon-acl-adv-3101 rule permit ip source 0Eudemon-acl-adv-3101 rule permit ip source 0Eudemon-acl-adv

8、-3101 rule permit ip source 0Eudemon-acl-adv-3101 rule permit ip source 0Eudemon-acl-adv-3101 rule deny ipEudemon-acl-adv-3101 quitEudemon acl number 3102Eudemon-acl-adv-3102 rule permit tcp source 0 destination 0Eudemon-acl-adv-3102 rule permit tcp source 0 destination 0Eudemon-acl-adv-3102 rule pe

9、rmit tcp source 0 destination 0Eudemon-Interzone-trust-untrust packet-filter 3101 outboundEudemon-Interzone-trust-untrust packet-filter 3102 inboundPage21目 录安全区域工作模式ACLNATPage22NAT (Network Address Translation) 网络地址转换 NAT是将IP数据报报头中的IP地址转换为另一个IP地址的过程 NAT可以解决以下问题IP地址匮乏节省公有IP地址安全因素屏蔽私有网络企业合并便于网络合并Page2

10、3私有地址和公有地址InternetLAN1LAN2LAN3私有地址范围：-55-55 -55Page24Eudemon NATPC CServer BPC BPC AEudemonE0/0/0E0/0/0TrustUntrust数据报1源 目的 Internet数据报1源 目的 数据报2源 目的 数据报2源 目的 Page25Eudemon NAPTPC CServer BPC BPC AEudemonE0/0/0E0/0/0TrustUntrust数据报2源 源端口 2468Internet数据报2源 源端口 2468数据报3源 源端口 11111数据报3源 源端口 11111数据报4源

11、源端口 11111数据报4源 源端口 22222数据报1源 源端口 1357数据报1源 源端口 1357Page26Eudemon 内部服务器NATMail ServerWeb ServerFTP ServerDMZInternet/26/2400/2401/2402/24E1/0/0E0/0/1Untrust 数据报1源 目的 1数据报1源 目的 01数据报2源 1目的 数据报2源 01 目的 1-01ALG功能Page27Eudemon NAT实现ACL私有地址公有地址EudemonPage28内部服务器NAT组网内部网络/240-001:80-01:80802:1021-02:ftpE0

12、/0/0/24Trust Mail ServerWeb ServerFTP ServerDMZInternet/24/2400/2401/2402/24E1/0/0E0/0/1Untrust Page29出口网络NAT典型配置Eudemon acl 2000Eudemon-acl-basic-2000rule permitEudemon-acl-basic-2000quitEudemon nat address-group 1 0 0Eudemon acl 3000Eudemon-acl-adv-3000 rule permit ip source-address 55 Eudemon fir

13、ewall interzone trust untrustEudemon-interzone-trust-untrust packet-filter 2000 outbound Eudemon-interzone-trust-untrust nat outbound 3000 address-group 1 配置地址池启动地址转换功能并绑定地址池和ACLPage30NAT Server典型配置Eudemon nat server global 0 inside 00Eudemon nat server protocol tcp global 1 80 inside 01 8080Eudemon

14、 nat server protocol tcp global 2 1021 inside 02 ftpEudemon acl 3001Eudemon rule permit ip destination-address 55Eudemon firewall interzone DMZ untrustEudemon-interzone-DMZ-untrust packet-filter 3001 inbound Eudemon-interzone-DMZ-untrust detect ftp配置全局地址与内部服务器地址的映射关系Page31NAT配置验证Eudemon display nat allNAT address-group information: 1: from 0 to 0, reference 1 times Total 1 address-groupsNAT outbound information: interzone-trust-untrust: acl(2000) NAT address-group( 1) Total 1 nat outboundsServer in private network information: zone GlobalAddr GlobalPort