华为防火墙Edumon1000E配置
2024-04-13 00:39:05
华为防火墙Edumon1000E,配置有四个光电互斥接口,为千兆状态防火墙。默认情况下所有区域之间不允许有流量经过。
本文为Edumon1000E的基本配置,该基本配置适用一般企业级单机接入情况。
配置一台防火墙主要包含以下几个步骤:
1、配置端口IP,并将指定端口加入Untrust/trust/DMZ区域;
2、配置默认路由指向公网;
3、配置NAT,允许内部用户通过防火墙进行地址转换上公网;
4、开放内部服务器的指定端口,允许通过公网访问指定内部服务器;
5、配置防火墙允许通过ssh 或telnet远程管理;第一次配置必须使用console口进行配置;
注意:防火墙默认情况下所有区域之间包过滤规则为deny all,当出现网络不通情况时,除检查相关路由配置外,还要注意是否配置相应的ACL允许数据包通过。
默认情况下无法ping通过防火墙各端口,也是因为没有相关ACL规则导致。
[Eudemon]display current-configuration
09:54:21 2010/04/27
# 增加acl 2001允许内网用户NAT上Internet
acl number 2001
rule 0 permit source 172.40.0.0 0.0.255.255
rule 2 permit source 192.168.0.0 0.0.255.255
# 增加ACL 3001允许通过外网访问内部服务器指定端口
acl number 3001
rule 0 permit tcp destination 172.40.1.16 0 destination-port eq 9080
rule 1 permit tcp destination 172.40.1.16 0 destination-port eq 5631
rule 2 permit tcp destination 172.40.1.16 0 destination-port eq 5632
rule 3 permit tcp destination 172.40.1.17 0 destination-port eq 5631
rule 4 permit tcp destination 172.40.1.17 0 destination-port eq 5632
rule 5 permit tcp destination 172.40.1.18 0 destination-port eq 5631
rule 6 permit tcp destination 172.40.1.18 0 destination-port eq 5632
rule 7 permit tcp destination 172.40.1.16 0 destination-port eq 6129
acl number 3010 //ACL 3010允许公网用户通过ssh访问防火墙
rule 0 permit tcp destination 11.18.13.4 0 destination-port eq ssh
#
sysname Eudemon
#设置local到trust区域的默认防火墙包过滤规则
firewall packet-filter default permit interzone local trust direction inbound
firewall packet-filter default permit interzone local trust direction outbound
#配置全局NAT和指定端口映射。
nat address-group 1 11.18.13.4 11.18.13.4
nat server zone untrust protocol tcp global 11.18.13.4 9080 inside 172.40.1.16 9080
nat server zone untrust protocol tcp global 11.18.13.4 5631 inside 172.40.1.16 5631
nat server zone untrust protocol tcp global 11.18.13.4 5632 inside 172.40.1.16 5632
nat server zone untrust protocol tcp global 11.18.13.4 5633 inside 172.40.1.17 5631
nat server zone untrust protocol tcp global 11.18.13.4 5634 inside 172.40.1.17 5632
nat server zone untrust protocol tcp global 11.18.13.4 5635 inside 172.40.1.18 5631
nat server zone untrust protocol tcp global 11.18.13.4 5636 inside 172.40.1.18 5632
nat server zone untrust protocol tcp global 11.18.13.4 6129 inside 172.40.1.16 6129
#
firewall statistic system enable
#G0/0/0连接到外网,配置IP;
interface GigabitEthernet0/0/0
description link_to_internet
ip address 11.18.13.4 255.255.255.0
#G0/0/1连接到内网,配置IP;
interface GigabitEthernet0/0/1
description Link_to_inside
ip address 192.168.10.2 255.255.255.0
#
interface GigabitEthernet0/0/2
#
interface GigabitEthernet0/0/3
#
interface NULL0
#
firewall zone local
set priority 100
#将G0/0/1加入trust
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/1
#将G0/0/0加入untrust
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/0
#
firewall zone dmz
set priority 50
#
firewall zone vzone
set priority 0
#应用ACL 3010
firewall interzone local untrust
packet-filter 3010 inbound
#应用ACL 3001 、ACL 2001、NAT 2001
firewall interzone trust untrust
packet-filter 3001 inbound
packet-filter 2001 outbound
nat outbound 2001 address-group 1
#配置aaa用户,用于ssh登录
aaa
local-user admin password simple admin
local-user admin service-type web ssh
authentication-scheme default
#
authorization-scheme default
#
accounting-scheme default
#
domain default
#
#
right-manager server-group
#
slb
#配置静态路由及默认路由
ip route-static 0.0.0.0 0.0.0.0 11.18.13.1
ip route-static 172.40.1.0 255.255.255.0 192.168.10.1
ip route-static 192.168.0.0 255.255.0.0 192.168.10.1
#设置ssh user认证方式
ssh user admin authentication-type password
#配置vty,设置认证模式为aaa,允许ssh登录vty
user-interface con 0
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound ssh
#
return
09:54:21 2010/04/27
# 增加acl 2001允许内网用户NAT上Internet
acl number 2001
rule 0 permit source 172.40.0.0 0.0.255.255
rule 2 permit source 192.168.0.0 0.0.255.255
# 增加ACL 3001允许通过外网访问内部服务器指定端口
acl number 3001
rule 0 permit tcp destination 172.40.1.16 0 destination-port eq 9080
rule 1 permit tcp destination 172.40.1.16 0 destination-port eq 5631
rule 2 permit tcp destination 172.40.1.16 0 destination-port eq 5632
rule 3 permit tcp destination 172.40.1.17 0 destination-port eq 5631
rule 4 permit tcp destination 172.40.1.17 0 destination-port eq 5632
rule 5 permit tcp destination 172.40.1.18 0 destination-port eq 5631
rule 6 permit tcp destination 172.40.1.18 0 destination-port eq 5632
rule 7 permit tcp destination 172.40.1.16 0 destination-port eq 6129
acl number 3010 //ACL 3010允许公网用户通过ssh访问防火墙
rule 0 permit tcp destination 11.18.13.4 0 destination-port eq ssh
#
sysname Eudemon
#设置local到trust区域的默认防火墙包过滤规则
firewall packet-filter default permit interzone local trust direction inbound
firewall packet-filter default permit interzone local trust direction outbound
#配置全局NAT和指定端口映射。
nat address-group 1 11.18.13.4 11.18.13.4
nat server zone untrust protocol tcp global 11.18.13.4 9080 inside 172.40.1.16 9080
nat server zone untrust protocol tcp global 11.18.13.4 5631 inside 172.40.1.16 5631
nat server zone untrust protocol tcp global 11.18.13.4 5632 inside 172.40.1.16 5632
nat server zone untrust protocol tcp global 11.18.13.4 5633 inside 172.40.1.17 5631
nat server zone untrust protocol tcp global 11.18.13.4 5634 inside 172.40.1.17 5632
nat server zone untrust protocol tcp global 11.18.13.4 5635 inside 172.40.1.18 5631
nat server zone untrust protocol tcp global 11.18.13.4 5636 inside 172.40.1.18 5632
nat server zone untrust protocol tcp global 11.18.13.4 6129 inside 172.40.1.16 6129
#
firewall statistic system enable
#G0/0/0连接到外网,配置IP;
interface GigabitEthernet0/0/0
description link_to_internet
ip address 11.18.13.4 255.255.255.0
#G0/0/1连接到内网,配置IP;
interface GigabitEthernet0/0/1
description Link_to_inside
ip address 192.168.10.2 255.255.255.0
#
interface GigabitEthernet0/0/2
#
interface GigabitEthernet0/0/3
#
interface NULL0
#
firewall zone local
set priority 100
#将G0/0/1加入trust
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/1
#将G0/0/0加入untrust
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/0
#
firewall zone dmz
set priority 50
#
firewall zone vzone
set priority 0
#应用ACL 3010
firewall interzone local untrust
packet-filter 3010 inbound
#应用ACL 3001 、ACL 2001、NAT 2001
firewall interzone trust untrust
packet-filter 3001 inbound
packet-filter 2001 outbound
nat outbound 2001 address-group 1
#配置aaa用户,用于ssh登录
aaa
local-user admin password simple admin
local-user admin service-type web ssh
authentication-scheme default
#
authorization-scheme default
#
accounting-scheme default
#
domain default
#
#
right-manager server-group
#
slb
#配置静态路由及默认路由
ip route-static 0.0.0.0 0.0.0.0 11.18.13.1
ip route-static 172.40.1.0 255.255.255.0 192.168.10.1
ip route-static 192.168.0.0 255.255.0.0 192.168.10.1
#设置ssh user认证方式
ssh user admin authentication-type password
#配置vty,设置认证模式为aaa,允许ssh登录vty
user-interface con 0
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound ssh
#
return
转载于:https://blog.51cto.com/sysadmin/305328
华为防火墙Edumon1000E配置相关推荐
- 华为防火墙NAT配置及简介
华为防火墙NAT策略 一.NAT概述 NAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术. 二.华为防火墙NAT分类 1.NAT No-PAT:类似于Cisco的 ...
- 华为防火墙ftp_华为防火墙如何配置ftp服务器映射到外网
华为防火墙如何配置ftp服务器映射到外网 一. 要求: 公司搭建一台ftp服务器,需要映射到外网,供供应商上传文件. 但公司出口线路只有一条ADSL,IP地址是自动获取,随时会变化. 因此,需要申请一 ...
- 华为防火墙如何配置双出口,特定IP段流量走指定出接口地址上网
环境: 华为USG6311E VRP ® Software, Version 5.170 (USG6300E V600R007C00SPC200) V200R007C00SPC091 电信宽带:拨号 ...
- 华为防火墙,配置双链路接入和IP-LINK,即线路互备模式的配置
之前有粉丝提到,双链路接入没有配置线路互备,是最大的失败,其实笔者是有安排的,循序渐进而已,今天就来讲一下,如何配置两条外网链路的互备,即IP-LINK的配置. 先来看一下拓扑图,根据粉丝建议,把IP ...
- 华为防火墙实战配置教程,太全了
防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出.防火墙是系统的第一道防线,其作用是防止非法用户的进入. 本期我们一起来总结下防火墙的配置,非常全面,以华为为例 ...
- 华为防火墙实战配置教程
防火墙(Firewall)也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)防火墙是位于内部网和外部网之间的 ...
- 华为策略路由加等价路由_华为——防火墙——策略路由配置及思路
华为--策略路由(校园网配置) 作用:通过分析数据报的源地址和目标地址,按照策略规则选择不同的网关,进行数据转发.提供冗余,负载,但是还是单线路的速度.只是提供了不同的方向,并没有进行合并线路. 拓扑 ...
- 华为防火墙NAT配置与策略管理
目录 NAT概述 NAT策略与安全策略 NAT处理报文的流程如下: 安全区域介绍 配置开始 区域访问规则 1.设置trust到untrust区域的NAT策略: 2.防火墙控制策略 3.防火墙配置服务器 ...
- 华为防火墙telnet配置
目标:AR telnet FW 防火墙接口最好不要使用G0/0/0口 配置命令: 登录防火墙 配置防火墙与AR接口IP地址: FW2: int G1/0/0 ip address 192.168.1. ...
最新文章
- matepad和鸿蒙,爆料称华为MatePad 2系列平板有三个版本:预装鸿蒙OS
- Ubuntu 14.04 64位上安装Adobe reader 9.5.5
- oc45--多对象内存管理 优化
- IName 与 IQueryName2
- 滚动视差?CSS 不在话下
- .NET Core + Kubernetes:Service
- linq 解决winForm中控件CheckedListBox操作的问题。(转载)
- linux 只有命令指示,Linux命令行翻页?
- el-input的使用
- Android内存泄漏检测利器:LeakCanary
- 日历报表_在报表中实施不同的日历
- 【Oracle】详解10053事件
- php字符串去重和去空,php去空格
- 1252 :[蓝桥杯2015初赛]奇妙的数字 C/C++
- 【转】JavaScript面向对象程序设计(6): 封装
- 孢子社群:今日推荐人工智能微信群:人脸识别人工智能
- python金融分析小知识(34)——年化收益率、年化波动率以及夏普比率的计算
- OCR识别技术 文档识别的三种形式
- glog使用与说明(转载)
- php视频转mp4软件,3gp mp4视频转换免费软件 3gp如何转mp4
热门文章
- php的cms是什么意思,phpcms是什么
- java 正则匹配_正则表达式真的很强大,可惜你不会写
- python去重保留唯一一个值_Python DataFrame使用drop_duplicates()函数去重(保留重复值,取重复值)...
- ci mysql pdo_CI框架中pdo的使用方法
- 红旗linux修改个人密码,LINUX红旗5.0的用户名和密码!
- 《软件项目管理(第二版)》第 5 章——项目进度和成本管理 重点部分总结
- Java实现多线程售票
- C语言灵魂——算法!
- 可信计算3.0工程初步pdf_查校 | 英国大学工业工程与运筹学专业40个授课硕士+研究Mphil/Phd 项目汇总...
- 奥鹏东师计算机应用基础18,免费在线作业答案奥鹏东师计算机应用基础15秋在线作业1试卷及答案(1)...