Eudemon防火墙基本配置
1. 简介
Eudemon防火墙属于网络安全设备,因此首先应该确保Eudemon在网络层与其他设备能互通,并具备基本安全保障功能。本节配置是进行更深入安全配 置的前提条件,是必须配置的。
基本安全防护的参数包括工作模式、接口IP地址、网络参数、路由协议、安全区域、接口和安全区域的隶属关系等。
2. 配置前提
在进行具体配置之前,请再次了解网络拓扑结构,明确整个组网情况,和相关网络信息。根据该公司的网络拓扑结构图,在各位置部署设备并正确连接。假设 Eudemon防火墙的软件版本正确,则搭建Eudemon防火墙的本地配置环境,即通过Console接口进行配置。
3. 操作步骤
第一步 :配置Eudemon工作模式。
由于公司重新规划网络拓扑结构,新增加Eudemon防火墙位于内部网络和外部网络之间,且连接各安全区域的Eudemon接口具备不同网段的IP地址, 因此Eudemon工作在路由模式下,相当于一台路由器。
# 配置Eudemon工作在路由模式下。
[Eudemon] firewall mode route
第二步 :配置各接口IP地址、网络参数、缺省路由。
Eudemon防火墙连接Trust、DMZ和Untrust三个安全区域,因此需要配置相关连接接口的IP地址、链路层、网络层、路由的参数,从而实现 Eudemon网络层与其他设备互通。
# 配置Eudemon防火墙Ethernet0/0/0接口的IP地址。
[Eudemon] interface ethernet 0/0/0
[Eudemon-Ethernet0/0/0] ip address 10.110.1.11 255.255.255.0
[Eudemon-Ethernet0/0/0] quit
# 配置Eudemon防火墙Etherent1/0/0接口的IP地址。
[Eudemon] interface ethernet 1/0/0
[Eudemon-Ethernet1/0/0] ip address 202.38.160.1 255.255.0.0
[Eudemon-Ethernet1/0/0] quit
# 配置Eudemon防火墙Etherent2/0/0接口的IP地址。
[Eudemon] interface ethernet 2/0/0
[Eudemon-Ethernet2/0/0] ip address 10.110.5.11 255.255.255.0
[Eudemon-Ethernet2/0/0] quit
# 配置Eudemon防火墙到达Internet的缺省路由。
[Eudemon] ip route -static 0.0.0.0 0.0.0.0 202.38.160.15
& 说明:
Ethernet接口上缺省封装的链路层协议为Ethernet_II,因此不需要手工执行命令来配置封装协议。
第三步 :创建或配置安全区域,为安全区域增加隶属接口。
Eudemon防火墙三个Ethernet接口分别连接Trust、DMZ和Untrust三个系统保留的安全区域,因此仅需要为安全区域增加隶属的接口 即可。
# 配置Trust区域包含Ethernet0/0/0接口。
[Eudemon] firewall zone trust
[Eudemon-zone-trust] add interface ethernet 0/0/0
[Eudemon-zone-trust] quit
# 配置DMZ区域包含Ethernet2/0/0接口。
[Eudemon] firewall zone dmz
[Eudemon-zone-dmz] add interface ethernet 2/0/0
[Eudemon-zone-dmz] quit
# 配置Untrust区域包含Ethernet1/0/0接口。
[Eudemon] firewall zone untrust
[Eudemon-zone-untrust] add interface ethernet 1/0/0
[Eudemon-zone-untrust] quit
Eudemon防火墙属于网络安全设备,因此首先应该确保Eudemon在网络层与其他设备能互通,并具备基本安全保障功能。本节配置是进行更深入安全配 置的前提条件,是必须配置的。
基本安全防护的参数包括工作模式、接口IP地址、网络参数、路由协议、安全区域、接口和安全区域的隶属关系等。
2. 配置前提
在进行具体配置之前,请再次了解网络拓扑结构,明确整个组网情况,和相关网络信息。根据该公司的网络拓扑结构图,在各位置部署设备并正确连接。假设 Eudemon防火墙的软件版本正确,则搭建Eudemon防火墙的本地配置环境,即通过Console接口进行配置。
3. 操作步骤
第一步 :配置Eudemon工作模式。
由于公司重新规划网络拓扑结构,新增加Eudemon防火墙位于内部网络和外部网络之间,且连接各安全区域的Eudemon接口具备不同网段的IP地址, 因此Eudemon工作在路由模式下,相当于一台路由器。
# 配置Eudemon工作在路由模式下。
[Eudemon] firewall mode route
第二步 :配置各接口IP地址、网络参数、缺省路由。
Eudemon防火墙连接Trust、DMZ和Untrust三个安全区域,因此需要配置相关连接接口的IP地址、链路层、网络层、路由的参数,从而实现 Eudemon网络层与其他设备互通。
# 配置Eudemon防火墙Ethernet0/0/0接口的IP地址。
[Eudemon] interface ethernet 0/0/0
[Eudemon-Ethernet0/0/0] ip address 10.110.1.11 255.255.255.0
[Eudemon-Ethernet0/0/0] quit
# 配置Eudemon防火墙Etherent1/0/0接口的IP地址。
[Eudemon] interface ethernet 1/0/0
[Eudemon-Ethernet1/0/0] ip address 202.38.160.1 255.255.0.0
[Eudemon-Ethernet1/0/0] quit
# 配置Eudemon防火墙Etherent2/0/0接口的IP地址。
[Eudemon] interface ethernet 2/0/0
[Eudemon-Ethernet2/0/0] ip address 10.110.5.11 255.255.255.0
[Eudemon-Ethernet2/0/0] quit
# 配置Eudemon防火墙到达Internet的缺省路由。
[Eudemon] ip route -static 0.0.0.0 0.0.0.0 202.38.160.15
& 说明:
Ethernet接口上缺省封装的链路层协议为Ethernet_II,因此不需要手工执行命令来配置封装协议。
第三步 :创建或配置安全区域,为安全区域增加隶属接口。
Eudemon防火墙三个Ethernet接口分别连接Trust、DMZ和Untrust三个系统保留的安全区域,因此仅需要为安全区域增加隶属的接口 即可。
# 配置Trust区域包含Ethernet0/0/0接口。
[Eudemon] firewall zone trust
[Eudemon-zone-trust] add interface ethernet 0/0/0
[Eudemon-zone-trust] quit
# 配置DMZ区域包含Ethernet2/0/0接口。
[Eudemon] firewall zone dmz
[Eudemon-zone-dmz] add interface ethernet 2/0/0
[Eudemon-zone-dmz] quit
# 配置Untrust区域包含Ethernet1/0/0接口。
[Eudemon] firewall zone untrust
[Eudemon-zone-untrust] add interface ethernet 1/0/0
[Eudemon-zone-untrust] quit
1. 简介
NAT地址转换机制是将内部主机IP地址替换为外部地址,提供私有地址与公有地址之间的转换。NAT实现了内部私有网络访问外部Internet网络的功 能,有助于减缓可用IP地址空间枯竭的速度,同时屏蔽了内部网络,提高了信息传输的安全性。
Eudemon防火墙通过定义地址池,并用地址池中的地址作为转换后的外部地址来实现多对多地址转换,利用ACL规则来对地址转换进行控制。
2. 配置前提
必须已经完成“上面的配置。
3. 操作步骤
第一步:配置NAT地址池1,地址范围是202.110.1.241-202.110.1.254。
[Eudemon] nat address-group 1 202.110.1.241 202.110.1.254
第二步:配置ACL规则10,仅允许Trust区域10.110.1.0/24网段中的任意主机访问其他网络,禁止其它网段主机的对外访问。
[Eudemon] acl number 2010
[Eudemon-acl-basic-2010] rule 0 permit source 10.110.1.0 0.0.0.255
[Eudemon-acl-basic-2010] rule 1 deny any
第三步:在安全区域之间使用配置好的NAT地址池。
# 进入Trust和Untrust区域间视图,在从Trust区域到Untrust区域的方向上,对符合ACL规则10的数据流进行NAT转换,采用NAT 地址池1中的地址。
[Eudemon] firewall interzone trust untrust
[Eudemon-interzone-trust-untrust] nat outbound 10 address-group 1
4. 检验结果
按照上述步骤进行配置后,正常情况下,应达到以下测试结果:
l Trust区域内任意主机10.110.1.1能通过Eudemon防火墙访问外部网络,即能ping通Internet用户202.12.7.7。
l 反方向,Internet用户202.12.7.7不能主动访问Trust区域内主机,即不能ping通Trust区域内的主机10.110.1.1。
NAT地址转换机制是将内部主机IP地址替换为外部地址,提供私有地址与公有地址之间的转换。NAT实现了内部私有网络访问外部Internet网络的功 能,有助于减缓可用IP地址空间枯竭的速度,同时屏蔽了内部网络,提高了信息传输的安全性。
Eudemon防火墙通过定义地址池,并用地址池中的地址作为转换后的外部地址来实现多对多地址转换,利用ACL规则来对地址转换进行控制。
2. 配置前提
必须已经完成“上面的配置。
3. 操作步骤
第一步:配置NAT地址池1,地址范围是202.110.1.241-202.110.1.254。
[Eudemon] nat address-group 1 202.110.1.241 202.110.1.254
第二步:配置ACL规则10,仅允许Trust区域10.110.1.0/24网段中的任意主机访问其他网络,禁止其它网段主机的对外访问。
[Eudemon] acl number 2010
[Eudemon-acl-basic-2010] rule 0 permit source 10.110.1.0 0.0.0.255
[Eudemon-acl-basic-2010] rule 1 deny any
第三步:在安全区域之间使用配置好的NAT地址池。
# 进入Trust和Untrust区域间视图,在从Trust区域到Untrust区域的方向上,对符合ACL规则10的数据流进行NAT转换,采用NAT 地址池1中的地址。
[Eudemon] firewall interzone trust untrust
[Eudemon-interzone-trust-untrust] nat outbound 10 address-group 1
4. 检验结果
按照上述步骤进行配置后,正常情况下,应达到以下测试结果:
l Trust区域内任意主机10.110.1.1能通过Eudemon防火墙访问外部网络,即能ping通Internet用户202.12.7.7。
l 反方向,Internet用户202.12.7.7不能主动访问Trust区域内主机,即不能ping通Trust区域内的主机10.110.1.1。
配置包过滤
1. 简介
包过滤机制主要实现对IP数据包的过滤。对Eudemon需要转发的数据包,先获取数据包的包头信息(上层协议号、源地址、目的地址、源端口、目的端口 等),然后和已定义的ACL规则进行比较,根据比较的结果来决定转发还是丢弃该数据包。
2. 配置前提
必须已经完成“第3章 Eudemon的简单配置”中的配置,并确保Eudemon和其他设备互通,并且配置安全区域间的包过滤规则。
3. 操作步骤
第一步:根据安全过滤需要,配置各种ACL规则。
# 创建访问控制列表3101,允许Trust区域内的所有10.110.1.0网段的主机访问外部网和DMZ区域中的服务器,拒绝其他主机访问资源。
[Eudemon] acl number 3101
[Eudemon-acl-adv-3101] rule permit ip source 10.110.1.0 0.0.0.255 destination any
[Eudemon-acl-adv-3101] rule deny ip
# 创建访问控制列表3102,允许Internet中的特定用户(202.12.7.7)从外部访问DMZ区域中的内部服务器(FTP和WWW)。
[Eudemon] acl number 3102
[Eudemon-acl-adv-3102] rule permit ip source 202.12.7.7 0 destination 10.110.5.100 0
[Eudemon-acl-adv-3102] rule permit ip source 202.12.7.7 0 destination 10.110.5.101 0
[Eudemon-acl-adv-3102] rule deny ip
第二步:在安全区域之间应用配置好的ACL规则。
# 进入Trust和Untrust区域间,并在从Trust区域到Untrust区域的方向上应用ACL规则3101,即出方向。
[Eudemon] firewall interzone trust untrust
[Eudemon-Interzone-trust-untrust] packet-filter 3101 outbound
# 进入Trust和DMZ区域间,并在从Trust区域到DMZ区域的方向上应用ACL规则101,即出方向。
[Eudemon] firewall interzone trust dmz
[Eudemon-Interzone-trust-dmz] packet-filter 3101 outbound
# 进入Untrust和DMZ区域间,并在从Untrust区域到DMZ区域的方向上应用ACL规则3102,即入方向。
[Eudemon] firewall interzone untrust trust
[Eudemon-Interzone-dmz-untrust] packet-filter 3102 inbound
4. 检验结果
按照上述步骤进行配置后,正常情况下,应达到以下测试结果:
l Trust区域内主机能正常通过FTP或WWW方式访问DMZ区域中的服务器,并能访问Untrust区域内的任意主机。
l DMZ区域内的服务器不能随意访问Trust和Untrust区域中的主机。
l Untrust区域中的特定主机能访问DMZ区域中的指定服务器外,但是无法访问该区域内的其他服务器。
l Untrust区域内的其他主机都不能访问DMZ区域和Trust区域。
1. 简介
包过滤机制主要实现对IP数据包的过滤。对Eudemon需要转发的数据包,先获取数据包的包头信息(上层协议号、源地址、目的地址、源端口、目的端口 等),然后和已定义的ACL规则进行比较,根据比较的结果来决定转发还是丢弃该数据包。
2. 配置前提
必须已经完成“第3章 Eudemon的简单配置”中的配置,并确保Eudemon和其他设备互通,并且配置安全区域间的包过滤规则。
3. 操作步骤
第一步:根据安全过滤需要,配置各种ACL规则。
# 创建访问控制列表3101,允许Trust区域内的所有10.110.1.0网段的主机访问外部网和DMZ区域中的服务器,拒绝其他主机访问资源。
[Eudemon] acl number 3101
[Eudemon-acl-adv-3101] rule permit ip source 10.110.1.0 0.0.0.255 destination any
[Eudemon-acl-adv-3101] rule deny ip
# 创建访问控制列表3102,允许Internet中的特定用户(202.12.7.7)从外部访问DMZ区域中的内部服务器(FTP和WWW)。
[Eudemon] acl number 3102
[Eudemon-acl-adv-3102] rule permit ip source 202.12.7.7 0 destination 10.110.5.100 0
[Eudemon-acl-adv-3102] rule permit ip source 202.12.7.7 0 destination 10.110.5.101 0
[Eudemon-acl-adv-3102] rule deny ip
第二步:在安全区域之间应用配置好的ACL规则。
# 进入Trust和Untrust区域间,并在从Trust区域到Untrust区域的方向上应用ACL规则3101,即出方向。
[Eudemon] firewall interzone trust untrust
[Eudemon-Interzone-trust-untrust] packet-filter 3101 outbound
# 进入Trust和DMZ区域间,并在从Trust区域到DMZ区域的方向上应用ACL规则101,即出方向。
[Eudemon] firewall interzone trust dmz
[Eudemon-Interzone-trust-dmz] packet-filter 3101 outbound
# 进入Untrust和DMZ区域间,并在从Untrust区域到DMZ区域的方向上应用ACL规则3102,即入方向。
[Eudemon] firewall interzone untrust trust
[Eudemon-Interzone-dmz-untrust] packet-filter 3102 inbound
4. 检验结果
按照上述步骤进行配置后,正常情况下,应达到以下测试结果:
l Trust区域内主机能正常通过FTP或WWW方式访问DMZ区域中的服务器,并能访问Untrust区域内的任意主机。
l DMZ区域内的服务器不能随意访问Trust和Untrust区域中的主机。
l Untrust区域中的特定主机能访问DMZ区域中的指定服务器外,但是无法访问该区域内的其他服务器。
l Untrust区域内的其他主机都不能访问DMZ区域和Trust区域。
747
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
