HUAWEI+Eudemon1000E+防火墙+典型配置案例
当使用consol口登入Eudemon1000E 防火墙时,如果登入失败退出可能会被锁定,提示:User interface con0 is locked! 锁定的时间默认是10分钟,可以通过对con0 配置修改锁定值。
设置串口console0上所有用户登录鉴权次数为5。锁定时间为1分钟。
system-view
[Eudemon] user-interface console 0
[Eudemon-ui-console0] lock authentication-count 5
[Eudemon-ui-console0] locklock-timeout 1
配置各接口IP地址、网络参数、缺省路由。
Eudemon防火墙连接Trust、DMZ和Untrust三个安全区域,因此需要配置相关连接接口的IP地址、链路层、网络层、路由的参数,从而实现Eudemon网络层与其他设备互通。
配置Eudemon防火墙Ethernet0/0/0接口的IP地址。
[Eudemon] interface ethernet 0/0/0
[Eudemon-Ethernet0/0/0] ip address 10.110.1.11 255.255.255.0
[Eudemon-Ethernet0/0/0] quit
配置Eudemon防火墙Etherent1/0/0接口的IP地址。外网
[Eudemon] interface ethernet 1/0/0
[Eudemon-Ethernet1/0/0] ip address 202.38.160.1 255.255.0.0
[Eudemon-Ethernet1/0/0] quit
配置Eudemon防火墙Etherent2/0/0接口的IP地址。
[Eudemon] interface ethernet 2/0/0
[Eudemon-Ethernet2/0/0] ip address 10.110.5.11 255.255.255.0
[Eudemon-Ethernet2/0/0] quit
配置Eudemon防火墙到达Internet的缺省路由。
[Eudemon] ip route-static 0.0.0.0 0.0.0.0 202.38.160.15 到外网网关
[Eudemon] ip route-static 10.110.1.0 255.255.255.0 10.110.1.2 到三层
第三步:创建或配置安全区域,为安全区域增加隶属接口。
Eudemon防火墙三个Ethernet接口分别连接Trust、DMZ和Untrust三个系统保留的安全区域,因此仅需要为安全区域增加隶属的接口即可。
配置Trust区域包含Ethernet0/0/0接口。
[Eudemon] firewall zone trust
[Eudemon-zone-trust] add interface ethernet 0/0/0
[Eudemon-zone-trust] quit
配置DMZ区域包含Ethernet2/0/0接口。
[Eudemon] firewall zone dmz
[Eudemon-zone-dmz] add interface ethernet 2/0/0
[Eudemon-zone-dmz] quit
配置Untrust区域包含Ethernet1/0/0接口。
[Eudemon] firewall zone untrust
[Eudemon-zone-untrust] add interface ethernet 1/0/0
[Eudemon-zone-untrust] quit
- 简介
NAT地址转换机制是将内部主机IP地址替换为外部地址,提供私有地址与公有地址之间的转换。NAT实现了内部私有网络访问外部Internet网络的功能,有助于减缓可用IP地址空间枯竭的速度,同时屏蔽了内部网络,提高了信息传输的安全性。
Eudemon防火墙通过定义地址池,并用地址池中的地址作为转换后的外部地址来实现多对多地址转换,利用ACL规则来对地址转换进行控制。
- 配置前提
必须已经完成“上面的配置。
- 操作步骤
第一步:配置NAT地址池1,地址范围是202.110.1.241-202.110.1.254。
[Eudemon] nataddress-group 1 202.110.1.241 202.110.1.254 (固定IP的地址段)
第二步:配置ACL规则2010,仅允许Trust区域10.110.1.0/24网段中的任意主机访问其他网络,禁止其它网段主机的对外访问。
[Eudemon] acl number 2010
[Eudemon-acl-basic-2010] rule 0 permit source 10.110.1.0 0.0.0.255
[Eudemon-acl-basic-2010] rule 1 deny any
第三步:在安全区域之间使用配置好的NAT地址池。
进入Trust和Untrust区域间视图,在从Trust区域到Untrust区域的方向上,对符合ACL规则10的数据流进行NAT转换,采用NAT地址池1中的地址。
[Eudemon] firewall interzone trust untrust
[Eudemon-interzone-trust-untrust] nat outbound 2010 address-group 1
- 检验结果
按照上述步骤进行配置后,正常情况下,应达到以下测试结果:
l Trust区域内任意主机10.110.1.1能通过Eudemon防火墙访问外部网络,即能ping通Internet用户202.12.7.7。
l 反方向,Internet用户202.12.7.7不能主动访问Trust区域内主机,即不能ping通Trust区域内的主机10.110.1.1。
配置包过滤
- 简介
包过滤机制主要实现对IP数据包的过滤。对Eudemon需要转发的数据包,先获取数据包的包头信息(上层协议号、源地址、目的地址、源端口、目的端口等),
然后和已定义的ACL规则进行比较,根据比较的结果来决定转发还是丢弃该数据包。
- 配置前提
必须已经完成“第3章 Eudemon的简单配置”中的配置,并确保Eudemon和其他设备互通,并且配置安全区域间的包过滤规则。
- 操作步骤
第一步:根据安全过滤需要,配置各种ACL规则。
创建访问控制列表3101,允许Trust区域内的所有10.110.1.0网段的主机访问外部网和DMZ区域中的服务器,拒绝其他主机访问资源。
[Eudemon] acl number 3101
[Eudemon-acl-adv-3101] rule permit ip source 10.110.1.0 0.0.0.255destination any
[Eudemon-acl-adv-3101] rule deny ip
创建访问控制列表3102,允许Internet中的特定用户(202.12.7.7)从外部访问DMZ区域中的内部服务器(FTP和WWW)。
[Eudemon] acl number 3102
[Eudemon-acl-adv-3102] rule permit ip source 202.12.7.7 0 destination10.110.5.100 0
[Eudemon-acl-adv-3102] rule permit ip source 202.12.7.7 0 destination10.110.5.101 0
[Eudemon-acl-adv-3102] rule deny ip
第二步:在安全区域之间应用配置好的ACL规则。
进入Trust和Untrust区域间,并在从Trust区域到Untrust区域的方向上应用ACL规则3101,即出方向。
[Eudemon] firewall interzone trust untrust
[Eudemon-Interzone-trust-untrust] packet-filter 3101 outbound
进入Trust和DMZ区域间,并在从Trust区域到DMZ区域的方向上应用ACL规则3101,即出方向。
[Eudemon] firewall interzone trust dmz
[Eudemon-Interzone-trust-dmz] packet-filter 3101 outbound
进入Untrust和DMZ区域间,并在从Untrust区域到DMZ区域的方向上应用ACL规则3102,即入方向。
[Eudemon] firewall interzone untrust dmz
[Eudemon-Interzone-dmz-untrust] packet-filter 3102 inbound
- 检验结果
按照上述步骤进行配置后,正常情况下,应达到以下测试结果:
l Trust区域内主机能正常通过FTP或WWW方式访问DMZ区域中的服务器,并能访问Untrust区域内的任意主机。
l DMZ区域内的服务器不能随意访问Trust和Untrust区域中的主机。
l Untrust区域中的特定主机能访问DMZ区域中的指定服务器外,但是无法访问该区域内的其他服务器。
l Untrust区域内的其他主机都不能访问DMZ区域和Trust区域。
HUAWEI+Eudemon1000E+防火墙+典型配置案例相关推荐
- 思科防火墙ASA配置案例
思科防火墙ASA配置案例 拓扑图 要求:通过思科防火墙ASA使用内网用户可以访问外网与DMZ中的服务器,DMZ中的服务器可以发布到网络中,供外网用户访问 一.思科模拟防火墙的使用 因为我们没有真实的设 ...
- 华为Eudemon系列防火墙典型配置!
目前还没有,不过可以参考配置手册,里面讲的很详细.以下列出部分Eudemon 200的常用***防范知识以及常见的配置给你简单参考!需要了解更详细的内容(包括其他Eudemon 100等产品)就去看手 ...
- 动态路由 华三nat 静态路由_史上最详细H3C路由器NAT典型配置案例
NAT 典型配置举例 内网用户通过 NAT 地址访问外网(静态地址转换) 1. 组网需求 内部网络用户使用外网地址访问 Internet . 2. 组网图 图 1-5 静态地址转换典型配置组网图 3. ...
- 艾泰转发规则虚拟服务器,艾泰HiPER 510典型配置案例详解
[IT168 资讯]伴随互联网的普及,出现了很多提供宽带上网的的出租屋,这些出租屋网络规模一般并不大,尤其是10台至20台电脑规模的出租屋居多.因为网络规模较小,所以不会考虑投入大量的资金来购买昂贵的 ...
- 无线控制器 dhcp服务器,H3C无线控制器典型配置案例集(V5)-6W113
本文介绍了在WLAN接入中使用本地Portal认证特性的典型配置举例. 2 配置前提 本文档不严格与具体软.硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准 ...
- h3c无线认证服务器,H3C无线控制器典型配置案例集(V5)-6W113
本文介绍了AC PSK特性的典型配置举例. 2 配置前提 本文档不严格与具体软.硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准. 本文档假设您已了解WLA ...
- 第29节 天融信Topgate防火墙基础配置案例
防火墙配置目录 1 实验拓扑图及实验要求 1.1 网络拓扑图 1.2 实验1:验证防火墙的区域隔离及策略编写 1.3 实验2:做源转换SNAT 1.4 实验3:目标转换DNAT 1.5 实验4:应用层 ...
- 内网服务器防火墙作用,防火墙内网用户通过公网域名访问内部服务器典型配置案例集...
1)防火墙开启ALG DNS功能. 核心交换机配置: 核心交换机上配置PC和服务器的网关,缺省路由指向防火墙,具体配置略. 防火墙配置: 1.在接口G0/0.G0/1.G0/2上配置相应的地址,正确配 ...
- HUAWEI USG6000系列 NGFW Module V100R001 典型配置案例
https://support.huawei.com/enterprise/zh/doc/DOC1000047742?section=j00d 转载于:https://www.cnblogs.com/ ...
最新文章
- A Convolutional Neural Network for Modelling Sentences阅读笔记
- SAP 电商云 Spartacus UI 的 slot,position 和 Component
- LQ训练营(C++)学习笔记_栈与递归
- Spring中的用到的设计模式大全
- HTML绿色风格农业科技公司网站源码
- 降低成本,提高生产力—8句话讲清RPA的部署 1
- 平衡查找树C语言程序,C语言数据结构之平衡二叉树(AVL树)实现方法示例
- 计算最小公倍数LCM
- IDL编程实现拟合树的圆心代码
- 基于STM32的DS1302时钟模块驱动程序
- Photoshop cc 2019 破解教程
- JDK7官方下载地址
- “已取消到该网页的导航” chm文件无法显示错误 解决方法
- 软件打开文件夹后闪退
- dsp图像处理Prewitt算子边缘检测
- Qt调用7z实现压缩和解压缩
- tomcat8.5集群修改端口,发生临时 dns 错误,请尝试刷新页面
- onclick事件在苹果手机上失效
- Maven 之 settings.xml 文件详解
- 如何成为一个全能的机器人工程师
热门文章
- matlab微分方程求法,matlab微分方程的求解的方法ppt课件
- U3D客户端框架之 音效管理器 与 Fmod介绍安装导入Unity
- caged系统pdf_基因的功能冗余-生态学杂志.PDF
- 应急指挥调度系统之指挥中心是由什么构成的
- python入门习题(3)
- python set转为list_如何将一个集合转换成python中的列表?(How to convert a set to a list in python?)...
- 正面词语(摘自《重塑心灵》)
- H5页面调起高德地图APP/百度地图APP
- Typora基础设置、MarkDown语法
- 从微信企业邮箱登录入口收发邮件,让工作效率提升数倍