防火墙相关概念及技术介绍

防火墙相关概念及技术介绍一、防火墙应用场景二、防火墙基本概念三、防火墙工作原理二、防火墙基本概念1、防火墙和路由器的区别2、防火墙的分类3、防火墙的功能、性能指标4、防火墙基本概念——安全区域（Zone）5、防火墙工作模式A的报文如何能最快的到B？网络A如何和网络B互联互通？过来一个报文立刻转发一个报文。网络A网络B交流路由信息这个访问是否允许到B？这个TCP连接是合法连接吗？这个访问是否是一个攻击行为？路由器的特点：保证互联互通。按照最长匹配算法逐包转发。路由协议是核心特性。防火墙的特点：逻辑子网之间的访问控制，关注边界安全基于连接的转发特性。安全防范是防火墙的核心特性。

由于防火墙具有基于连接监控的特性，因此防火墙对业务支持具有非常强的优势。而路由器基于逐包转发的特点，因此路由器设备不适合做非常复杂的业务，复杂的业务对路由器的性能消耗比较大。防火墙支持的接口不如路由器丰富，支持的路由协议不如路由器丰富，因此防火墙不适合做为互联互通的转发设备。防火墙适合做为企业、内部局域网的出口设备，支持高速、安全、丰富的业务特性。1、防火墙和路由器的区别按照防火墙实现的方式，一般把防火墙分为如下几类：包过滤防火墙(PacketFiltering)

包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的IP源地址、目的地址、TCP/UDP的源端口、和TCP/UDP的目的端口。包过滤防火墙简单，但是缺乏灵活性，对一些动态协商端口没有办法设置规则。另外包过滤防火墙每包需要都进行策略检查，策略过多会导致性能急剧下降。代理型防火墙（applicationgateway）

代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火墙是一个Server，对Server来说防火墙是一个Client。代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持。状态检测防火墙

状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。按硬件结构：x86、NP网络处理器（NetworkProcessor）和ASIC专用集成电路（ASIC）电信级硬件防火墙2、防火墙的分类3、防火墙的功能、性能指标功能指标

1、访问控制：根据数据包的源/目的IP地址、源/目的端口、协议、流量、时间等参数对数据包进行访问控制。

2、地址转换：源地址转换(SNAT)、目的地址转换(DNAT)、双向地址转换(IP映射)。

3、静态路由/策略路由：静态路由：给予目的地址的路由选择。策略路由：基于源地址和目的地址的策略路由选择。

4、工作模式：路由模式、网桥模式(交换/透明模式)、混杂模式(路由+网桥模式并存)5、接入支持：防火墙接口类型一般有GBIC、以太网接口等；接入支持静态IP设置、DHCP、PPOE(比如ADSL接入)等。

6、VPN：分为点到端传输模式(PPTP协议)和端到端隧道模式(IPSec、IPIP、GRE隧道)，支持DES、3DE、Blowfish、AES、Cast128、Twofish等加密算法，支持MD5、SHA-1认证算法；VPN功能支持NAT穿越。

7、IP/MAC绑定：IP地址与MAC地址绑定，防止IP盗用，防止内网机器有意/无意抢占关键服务器IP。

8、DHCP：内置DHCPServer为网络中计算机动态分配IP地址；DHCPRelay的支持能为防火墙不同端口的DHCPServer和计算机之间动态分配IP地址。9、虚拟防火墙：在一台物理防火墙设备上提供多个逻辑上完全独立的虚拟防火墙，每个虚拟防火墙为一个特定的用户群提供安全服务。10、应用代理：HTTP、FTP、SMTP等协议应用代理，大多数内容过滤通过应用代理实现。

11、流量控制：流量控制，流量优先级，带宽允许条件下的优先保障关键业务带宽。

12、防攻击：防止各类TCP、UDP端口扫描，源路由攻击，IP碎片包攻击，DOS、DDOS攻击，蠕虫病毒以及其他网络攻击行为。13、内置IDS：内置IDS模块，加强防火墙的防攻击能力。

14、内置防病毒模块：内置防病毒模块，在网关级进行病毒防护。

15、内置安全评估模块：内置安全评估模块，对网络中的计算机、网络设备等进行漏洞扫描，做出安全评估分析，提供安全建议，计时弥补网络中存在的安全隐患。

16、安全产品联动：防火墙与其他安全产品比如IDS、Scanner、防病毒等的联动功能。

17、链路备份/双机热备：在可靠性要求高的环境中，防火墙的多端口的链路备份以及双机热备功能提供了一个较好的解决方案。

18、配置文件上传/下载：配置文件的备份/恢复功能。

19、SNMP：支持SNMP协议，方便网络管理员对防火墙状态进行监控管理。

20、负载均衡：分为链路负载均衡和服务器负载均衡。

21、日志审计：日志存储、备份、查询、过滤、分析统计报表等。

22、入侵响应：日志记录、消息框报警、邮件报警、声音报警、发送SNMPTrap信息、手机短信报警。性能指标吞吐量并发连接数最大连接速率：即每秒新建连接数延迟：延迟是指防火墙转发数据包的延迟时间丢包率平均无故障时间1、吞吐量：吞吐量是指防火墙在不丢包的情况下能够达到的最大包转发速率。吞吐量越大，说明防火墙数据处理能力越强。其测试方法是：在测试中以一定速率发送一定数量的帧，并计算待测设备传输的帧，如果发送的帧与接收的帧数量相等，那么就将发送速率提高并重新测试；如果接收帧少于发送帧则降低发送速率重新测试，直至得出最终结果。吞吐量测试结果以比特/秒或字节/秒表示。

2、并发连接数：并发连接数是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。影响并发连接数条目的主要因素是内存容量，其次是CPU频率及其他硬件。以每个并发连接表项占用300B计算，1000个并发连接将占用300B×1000×8bit/B≈2.3Mb内存空间，10000个并发连接将占用23Mb内存空间，100000个并发连接将占用230Mb内存空间，而如果真的试图实现1000000个并发连接的话2）并发连接数的增大应当充分考虑CPU的处理能力，CPU的主要任务是把网络上的流量从一个网段尽可能快速地转发到另外一个网段上，并且在转发过程中对此流量按照一定的访问控制策略进行许可检查、流量统计和访问审计等操作，这都要求防火墙对并发连接表中的相应表项进行不断的更新读写操作。如果不顾CPU的实际处理能力而贸然增大系统的并发连接表，势必影响防火墙对连接请求的处理延迟，造成某些连接超时，让更多的连接报文被重发，进而导致更多的连接超时，最后形成雪崩效应，致使整个防火墙系统崩溃。那么，这个产品就需要提供2.24Gb内存空间！3)在实际中选型的时候要考虑终端用户的数量，以便计算出所需要的最大连接数。以每个用户需要10.5个并发连接来计算，一个中小型企业网络（1000个信息点以下，容纳4个C类地址空间）大概需要10.5×1000=10500个并发连接，因此支持20000～30000最大并发连接的防火墙设备便可以满足需求；大型的企事业单位网络（比如信息点数在1000～10000之间）大概会需要105000个并发连接，所以支持100000～120000最大并发连接的防火墙就可以满足企业的实际需要;而对于大型电信运营商和ISP来说，电信级的千兆防火墙（支持120000～200000个并发连接）则是恰当的选择。为较低需求而采用高端的防火墙设备将造成用户投资的浪费，同样为较高的客户需求而采用低端设备将无法达到预计的性能指标。

3、最大连接速率：即每秒新建连接数，是指在指定时间(比如1秒)内防火墙能成功建立的最大连接数目(主要和CPU的处理性能有直接关系，其他硬件其次)。

4、延迟：延迟是指防火墙转发数据包的延迟时间，延迟越低，防火墙数据处理速度越快。

5、丢包率：丢包率是指在正常稳定网络状态下，应该被转发由于缺少资源而没有被转发的数据包占全部数据包的百分比。较低的丢包率，意味着防火墙在强大的负载压力下，能够稳定地工作，以适应各种网络的复杂应用和较大数据流量对处理性能的高要求。

6、平均无故障时间：平均无故障时间(MTBF)是指防火墙连续无故障正常运行的平均时间。CiscoFirewall–WhatisIt?AdaptiveSecurityAppliance(ASA自适应安全设备)–hardenedfirewallappliance,proprietaryOS,mayhaveexpansionslotsforservicemodules,ormaybeintegratedintomainboard.Ethernetandfiberportsonbox.‒doesnotrunIOSbuthasasimilarlookandfeelFireWallServicesModule(FWSM)–linecardinCatalyst6500thatprovidesfirewallservices(EoS/EoLAnnouncedFeb2012)ASASM–NextGenlinecardforCatalyst6500,nophysicalinterfaces,runsASAcodeimage(unlikeFWSMabove)ASA1000VVirtual/CloudFirewall–Virtualization-edgeASAthatrunswithNexus1000vandastandardASAcodebase–discussedbutnotdetailedinthissessionIOSDevicerunningafirewallfeaturesetinsoftware(IOS-FW)–configurationisinIOS-notcoveredinthissession参数CiscoASA5510CiscoASA5520CiscoASA5540用户数/节点数无限制无限制无限制带宽吞吐率高达300Mbps高达450Mbps高达650Mbps3DES/AESIPSecVPN吞吐率（安全过滤带宽）高达170Mbps高达225Mbps高达325MbpsIPSecVPN对50/150*300/750*500/2,000*/5,000*WebVPN对50/150*300/750*500/1,250*/2,500*最大连接数量32,000/64,000*130,000280,000最大连接数量/秒6,0009,00020,000集成单元3+1个快速以太网口4个千兆以太网口4个千兆以太网口高可用性支援主用/备用*主用/主用和主用/备用主用/主用和主用/备用SSM扩展插槽1个1个1个ASA5500系列性能参数Page16华为安全网关产品系列Eudemon

200Eudemon

100EEudemon

500Eudemon

1000小型企业、远程办公中小型企业华为电信级硬件防火墙，从桌面式终端设备到高端千兆级别，以卓越的性能和先进的安全体系架构为网络提供强大的安全保障。NP架构Eudemon

300NP架构中型企业NP架构Eudemon

200S大中型企业大型企业,运营商大型数据中心USG3040USG3030USG50Eudemon

8080Eudemon

8040城域网流量清洗NP架构Page17防火墙参数列表USG50Eudemon100E/200SEudemon200USG3030/3040Eudemon300Eudemon500/1000应用小型企业分支机构中小型企业中小型企业大中型企业大中型企业大型企事业单位和数据中心大包吞吐量100M260M/500M400M1G/1.5G1G2G/4G小包性能4M40M40M>40M400500/960新建连接数3K条/秒2万条/秒2万条/秒2万条/秒10万条/秒10万条/秒并发连接数10万50万50万50/100万50万50万ACLrule数量30002000020000300005000050000IPSEC连接数642K2K2K6K6KL2TP连接数646k6K6K12K12KVPN性能(bps)50M200M200M400M/600M1G1G可靠性－双机热备双电源双风扇双机热备双电源双机热备双电源双风扇双机热备，BYPASS卡双电源双风扇双机热备支持BYPASS卡P2P监控不支持支持支持不支持支持支持虚拟防火墙不支持不支持不支持不支持支持<=100个支持<=100个与Secospace联动不支持支持支持不支持4000用户10K/20K用户Page18主要协议和业务特性主要规格Eudemon8000Eudemon1000注Eudemon200注USG3000USG50OSPFYesYesYesYesNOBGPYesYesNONONOPIM-SM/IGMPNONOYesNONO静态组播NOYesNONONOIPSECNOYesYesYesYesLNSNOYesYesYesNOLAC/隧道交换NONOYesYesYesGRENONOYesYesYesURL过滤NONOYesNONOCANOYesYesNONODVPNNOYesYesNONOLicenseYesYesNONONOP2P控制NOYes*Yes*NONO虚拟防火墙YesYesNONONONAT下一版本YesYesYesYes双机热备下一版本YesYesYesNO注：注：此处Eudemon1000指E1000/500/300系列；E200指E200/E200S/E100E系列，下一页同Page19主要攻击防范特性主要规格Eudemon8000Eudemon1000Eudemon200USG3000USG50httpflood攻击防范YesYesNONONOtcp全连接攻击防范YesYesNONONOdnsflood攻击防范YesYesNONONOARP攻击NOYesNONONOYesTCPProxy功能YesYesYesYesYes基于源ip探测的SYNFlood防御YesNONONONO对指定主机的SYNFlood防范YesYesYesYesYes对指定安全域的所有主机进行SYNFlood攻击防范YesYesYesYesYes对指定入接口的报文的目的主机进行SYNFlood攻击防范YesYesYesNOYes基于模式匹配的UDPFlood防御YesYesYesNONO对指定的主机进行UDPFlood攻击防范YesYesYesYesYes对指定安全域的主机进行UDPFlood攻击防范YesYesYesYesYes对指定入接口的报文的目的主机进行UDPFlood攻击防范YesYesYesNOYes基于流做UDPFlood攻击防范YesYesYesNOYes对指定入接口的报文的目的主机进行ICMPFlood攻击防范YesYesYesNOYes基于流做ICMPFlood攻击防范YesYesYesNONO4、防火墙基本概念—安全区域（Zone）防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域域（Zone）是防火墙上引入的一个重要的逻辑概念；通过将接口加入域并在安全区域之间启动安全检查（称为安全策略），从而对流经不同安全区域的信息流进行安全过滤。常用的安全检查主要包括基于ACL和应用层状态的检查Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4华为产品维护资料21防火墙的安全区域域间的数据流分两个方向：入方向（inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向；出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutoutinInOut防火墙基本概念－－域间（InterZone）域间（InterZone）：防火墙在引入域概念的同时也引入了域间概念；任何不同的安全域之间形成域间关系，Eudemon防火墙上大部分规则都是配置在域间上，为了便于描述同时引入了域间方向的概念：inbound：报文从低优先级区域进入高优先级区域为入方向；outbound：报文从高优先级区域进入低优先级区域为出方向；说明：安全策略只能应用在安全区域之间（即配置在域间），从而对分属不同安全区域的接口之间的信息流根据配置的安全策略进行安全检查。一个安全域间的某个方向上只能配置一条域间包过滤规则。防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。如果防火墙以第三层对外连接（接口具有IP地址），则认为防火墙工作在路由模式下；若防火墙通过第二层对外连接（接口无IP地址），则防火墙工作在透明模式下；若防火墙同时具有工作在路由模式和透明模式的接口（某些接口具有IP地址，某些接口无IP地址），则防火墙工作在混合模式下。下面分别进行介绍：路由模式透明模式混合模式5、防火墙工作模式（Mode）当Eudemon防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别配置成不同网段的IP地址，重新规划原有的网络拓扑，此时相当于一台路由器（如下图所示）。采用路由模式时，可以完成ACL包过滤、ASPF动态过滤、NAT转换等功能。然而，路由模式需要对网络拓扑进行修改防火墙基本概念－－路由模式（Mode）如果Eudemon防火墙采用透明模式进行工作，只需在网络中像放置网桥（bridge）一样插入该Eudemon防火墙设备即可，无需修改任何已有的配置；此时防火墙就象一个交换机一样工作如下图所示，该工作模式在现网改造的时候很容易部署，不过目前Eudemon防火墙还不支持STP，因此如果存在网络二层环路的情况下需要慎重部署；另外Eudemon500/1000防火墙在透明模式下还有一个独特功能，可以提供透明模式下的Nat，该功能目前只有我们防火墙能提供；防火墙基本概念－－透明模式（Mode）如果Eudemon防火墙既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口无IP地址），则防火墙工作在混合模式下，这种工作模式基本上是透明模式和路由模式的混合，目前只用于透明模式下提供双机热备的特殊应用中，别的环境下不建议使用。其工作方式如下图所示：防火墙基本概念－－混合模式（Mode）Page27三、防火墙工作原理1、状态检测技术ASPF2、会话（SESSION,CONN)3、NAT（NetworkAddressTranslation，地址转换）4、访问控制列表（ACL）动态创建和删除过滤规则监视通信过程中的报文丰富的ASPF功能保证开展业务时安全性得到保证。ASPF（ApplicationSpecificPacketFilter）增强VRP平台上的防火墙功能，提供针对应用层的报文过滤功能，类似于Cisco基于报文上下文状态的访问控制技术（Context-basedAccessControl,CBAC）。ASPF是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。ASPF不仅能够根据连接的状态对报文进行过滤还能够对应用层报文的内容加以检测，以对一部分攻击加以检测和防范。1、状态检测技术主要技术检测每一个应用层的会话，并创建一个状态表和一个临时访问控制表。一个会话可以认为是一个TCP连接。状态表项维护了一次会话中某一时刻会话所处的状态，用于匹配后续的发送报文，并检测会话状态的转换是否正确。状态表在检测到第一个外发报文时创建（对于TCP，检测到SYN报文）。临时访问控制表项在创建状态表项的时候同时创建，会话结束后删除，相当于一个扩展ACL的permit项。它用于匹配一个会话中的所有应答报文。对于处于半开连接状态的会话（TCPSYN），还创建半开连接表项。2、会话（Session）会话 会话是状态防火墙的基础，每一个通过防火墙的会话都会在防火墙上建立一个会话表项，以五元组（源目的IP地址、源目的端口、协议号）为Key值；通过建立动态的会话表来可以提供高优先级域更高的安全性，即如下图所示高优先级域可以主动访问低优先级域，反之则不能够；防火墙通过会话表还能提供许多新的功能，如加速转发，基于流的等价路由，应用层流控等。Eudemon200防火墙对于一个流只建立一个Session表，而Eudemon1000会建立2个。会话（Session）相关命令查看会话表项

[Eudemon]displayfirewallsessiontable删除会话表项

<Eudemon>resetfirewallsessiontable配置会话表老化时间

[Eudemon]firewallsessionaging-timesyn20

注：有了动态创建的会话表后，会话表就成为了一个资源，为避免资源耗尽防火墙上的会话表都有老化时间，根据应用的不同可以单独设定；在指定的时间内没有报文通过的话会话表就会被老化掉，该机制在一些特殊的长连接应用中得注意EUDEMON防火墙报文处理华为产品维护资料33防火墙数据报安全匹配的顺序NAT服务器域间的ACL规则域间的ASPF域间的NAT域间的缺省规则数据报

源主机发送一个含有SYN标记的初始数据包，ASA收到后，先查路由表，看是否能够到达目的地。然后根据转换规则将源地址转换为outside的地址_0。如果转换完成，那么ASA就会为该连接创建一个转换槽。

所有的会话信息都会被写入状态表中，并且ASA会随机产生一个TCP序列号，此时该连接的状态显示的是初始（halfopen）状态。

在防火墙将该连接和安全策略匹配后，决定是否进一步处理。如果符合安全策略，则ASA就使用转换首先我们看一下TCP的三次握手中间插入防火墙后的情况：后的地址和新的随即序列号改写数据包，然后转发。

目的地收到SYN连接请求后，就发送一个SYNACK作为响应。

ASA验证SYNACK包，将ACK号和随机产生的序列号做比较，同时也会验证连接槽中的连接信息，然后将目的地址转换为原来的地址，将序列号转换为原来的序列号，并加1，然后发送出去。任何没有严格匹配的数据包都会被丢弃

源收到响应后，通过发送一个ACK来完成连接的建立。（注意，ACK号不会在穿过防火墙的时候做随机修改），然后防火墙的状态表标识连接为activeestablished。

然而，ASA处理UDP连接和处理TCP连接却截然不一样：1.源初始化一个UDP连接，ASA收到后根据路由表做相应的转换后，在状态表中生成状态信息，然后转发出去。2.返回的流量会和连接信息进行比较，匹配的话就允许返回流量进入，然后重置超时计时器。在计时器超时之前，符合该连接的流量都可以被转发。3.任何从低安全级别到高安全级别的流量都必须匹配一个安全策略，否则连接将被丢弃。最后注意，ASA的所有安全策略都是应用到状态连接中，因此要首先生成一个连接表，然后才会比较安全策略等内容。ASPF基本工作原理－－单通道协议单通道协议处理标准的TCP应用：例如SMTP，HTTP。

C>SYN>S创建Session/TACLC<SYN/ACK<S.C>ACK>S.

更新Session/匹配TACL

检测应用层状态转换

.C<>FIN<>S.C<>FIN/ACK<>S删除Session/TACL对于UDP应用：检测到第一个报文认为发起连接，检测到第一个返回报文认为连接建立,Session/TACL的删除取决于空闲超时。FTPserverFTPclientftp指令和应答控制通道连接数据通道连接port指令例：FTP报文处理数据通道由控制通道协商建立影响状态机的指令：USERPASSQUITPORTPASV检查接口上的外发IP报文，确认为基于TCP的FTP报文检查端口号确认连接为控制连接，

建立返回报文的临时ACL和状态表检查FTP控制连接报文，解析FTP

指令，根据指令更新状态表，如果包含数据通道建立指令，则创建另外的数据连接的临时ACL，对于数据连接，不进行状态检测对返回报文作根据协议类型做相应匹配检查，检查将根据相应协议的状态表和临时ACL决定报文是否允许通过ASPF基本工作原理－－多通道协议多通道协议多通道协议是指某个应用在进行通讯或提供服务时需要建立两个以上的会话（通道），其中有一个控制通道，其他的通道是根据控制通道中双方协商的信息动态创建的，一般我们称之为数据通道或子通道；多通道协议在防火墙应用以及NAT设备的应用中需要特殊处理，因为数据通道的端口是不固定的（协商出来的）其报文方向也是不固定的多通道协议的典型应用

这种典型应用有很多，最典型的是ftp，其他的一般都如很音频和视频通讯有关如：H.323（包括T.120、RAS、Q.931和H.245等）、SIP、MGCP，此外许多实时聊天通讯软件也是多通道协议的，如MSN，QQ，ICQ等防火墙基本概念－－服务表项（ServerMap）ServerMap

防火墙设备和Nat设备在进行多通道协议通讯时需要支持的功能，即需要动态建立多通道协议中数据通道的包过滤规则和Nat转换规则——ServerMap表项，这样数据通道报文才能正常通过防火墙或者进行正确的Nat转换，这才能保证多通道协议业务的正常。ServerMap的实质

ServerMap表项本质上是一个三元组表项，五元组表项过于严格，导致多通道协议不能通过防火墙，因为多通道协议在没有子通道报文通过的时候，并不知道完整的5元组信息，只能预测到3元组信息。

ServerMap表项就是用在NATALG、ASPF当中，满足多通道协议通过防火墙设计的一个数据结构。3、NATNAT（NetworkAddressTranslation，地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程

AutoNATrequirestheobjectconfigurationandtheNATconfigurationiscontainedwithin

asa(config)#objectnetworkinside-net

asa(config)#subnet

asa(config)#nat(inside,outside)dynamicinterface

NowaddastaticNATtranslationtotranslateaserverat01to01:

asa(config)#objectnetworkbig-server

asa(config)#host01

asa(config)#nat(inside,outside)static01Page42防火墙组网基础－出口网络典型组网RADIUS服务器日志服务器内部网络/24对外FTP服务器对外邮件服务器对外WEB服务器DMZ区Internet防火墙通过防火墙将网络分隔成为：内部网络部分、Internet部分、DMZ部分。网络各部分之间的相互访问都将受到不同的安全策略控制。防火墙是一些逻辑子网的通信控制点，具有网络隔离特性，通过防火墙连接的逻辑网络具有不对等特性（子网A可以访问B，但是子网B不能访问A）。同时提供NAT服务NatPool0-0Eth0/0/0/24Eth0/0/1/264/26Eth1/0/05/26#1、配置接口地址并加入域[Eudemon]interfaceethernet1/0/0[Eudemon-Ethernet1/0/0]ipaddress526[Eudemon]firewallzoneDMZ[Eudemon-zone-untrust]addinterfaceethernet1/0/0…#2、配置包过滤ACL规则[Eudemon]Acl2000[Eudemon]rulepermit#3、配置Nat地址池[Eudemon]nataddress-group100#4、配置地址池Nat所需ACL规则[Eudemon]Acl3000[Eudemon]rulepermitipsource-address55//注配置反掩码#5、配置域间包过滤规则[Eudemon]firewallinterzonetrustuntrust[Eudemon-interzone-trust-untrust]packet-filter2000outbound#6、配置域间Nat规则[Eudemon-interzone-trust-untrust]natoutbound3000address-group1…注：1）配置Nat的时候E200/E100可以配置EasyIP，但是E500/E1000目前不支持EasyIP的配置2）如果需要支持某些特殊的多通道协议需要打开相关的NatalgPage44ASPF/NATAlg的配置ASPF/NAT的配置相对简单，不同的是ASPFALG的配置需要在域间配置可以加ACL限制，而NATALG的配置是在系统模式下的全局配置，如下所示＃配置ASPF相关ALG[Eudemon]firewallinterzonetrustuntrust[Eudemon-interzone-trust-untrust]detectftp[Eudemon-interzone-trust-untrust]detecthttp[Eudemon-interzone-trust-untrust]detectjava-blocking2010inbound＃配置NAT相关ALG[Eudemon]natalgenableftpASPF/NAT配置注意事项1）在配置nat后一般情况下使能了NatAlg的时候还需要使能相应的AspfAlg；2）通常情况下不要打开无用的Alg，因为这会影响系统性能；3）有些