Eudemon+系列防火墙+快速入门+正文.docx
《Eudemon+系列防火墙+快速入门+正文.docx》由会员分享,可在线阅读,更多相关《Eudemon+系列防火墙+快速入门+正文.docx(47页珍藏版)》请在冰豆网上搜索。
Eudemon+系列防火墙+快速入门+正文
目录
第1章产品简介1-1
1.1防火墙产生的背景1-1
1.2Eudemon防火墙的典型应用1-1
1.3Eudemon防火墙的主要特性1-1
1.4Eudemon防火墙的外观和机箱结构1-2
1.4.2前面板视图介绍1-2
1.4.3后面板视图介绍1-2
第2章与Eudemon有关的相关概念2-1
2.1命令行配置环境2-1
2.1.1视图和命令的关系2-1
2.1.2视图层次结构2-1
2.1.3视图提供的功能2-2
2.1.4获取帮助信息2-3
2.2Eudemon安全体系框架2-4
2.2.1配置安全区域2-4
2.2.2配置安全区域和接口的关系2-5
2.2.3如何应用安全策略2-7
2.2.4Local区域的应用2-8
2.3远程登录的用户认证2-9
2.3.1了解登录用户的级别2-9
2.3.2配置登录用户认证2-10
第3章Eudemon的简单配置3-1
3.1搭建Eudemon的现场配置环境3-1
3.2设备和Eudemon防火墙互相ping通3-2
3.3跨越Eudemon防火墙的两个设备互相ping通3-3
3.4Telnet登录到Eudemon防火墙3-4
3.5与Eudemon防火墙建立FTP连接3-6
3.5.1Eudemon作为FTPClient的升级步骤3-6
3.5.2Eudemon作为FTPServer的升级步骤3-7
第4章实际应用中的Eudemon配置4-1
4.1分析网络拓扑结构4-1
4.1.1总体应用需求4-1
4.1.2网络需求的初步分析4-1
4.1.3绘制网络拓扑图4-2
4.1.4收集组网的数据信息4-2
4.2外围设备的配置4-3
4.2.1配置Trust区域内的设备4-3
4.2.2配置DMZ区域内的设备4-3
4.2.3配置Untrust区域内的设备4-3
4.3基本网络参数的配置4-4
4.4地址转换的配置4-6
4.4.1配置NAT4-6
4.4.2配置内部服务器4-7
4.5报文过滤的配置4-8
4.5.1配置包过滤4-8
4.5.2配置状态防火墙4-10
4.6防范各种攻击的配置4-11
4.6.1配置黑名单4-11
4.6.2配置防范地址扫描攻击4-12
4.7日志输出的配置4-13
4.7.1配置Eudemon的日志参数4-13
4.7.2配置日志服务器4-13
4.8本应用的特殊说明4-14
第5章常用命令5-1
5.1系统维护命令5-1
5.2用户认证命令5-1
5.3远程登录命令5-1
5.4网络互连和测试命令5-2
5.5安全防范相关命令5-2
5.6日志相关命令5-3
第1章产品简介
1.1防火墙产生的背景
随着Internet的广泛使用,Internet网络中出现了很多安全隐患,严重威胁着正常的信息交互。
因此迫切需要在内网和外网之间构筑一道防线,用以抵御来自外部的绝大多数攻击,而防火墙正是完成这项任务的网络边防产品。
华为公司推出了自行研制的QuidwayEudemon200防火墙设备,为中小型Intranet提供了高性价比的网络安全解决方案。
1.2Eudemon防火墙的典型应用
Eudemon200是新一代高速状态防火墙,提供了增强的报文过滤和安全防范机制,如下为Eudemon防火墙的典型组网:
图1-1Eudemon200防火墙典型组网
在公司内部网络出口位置部署Eudemon防火墙,有效防范来自外部网络的恶意攻击,保护内部网络。
同时可以有效监控内部用户对外部资源的随意访问。
1.3Eudemon防火墙的主要特性
Eudemon防火墙支持的软件功能特性主要包括:
●支持多种安全区域
●提供基于ACL的过滤、应用层包过滤
●提供NAT功能,对外提供内部服务器
●提供黑名单功能,防范地址扫描窥探攻击
1.4Eudemon防火墙的外观和机箱结构
Eudemon200采用3U标准机箱,下表列出了前后视图及与前后视图对应的各业务板插槽编号,如业务板后的编号“-slot2”。
表1-1Eudemon200前视图、后视图
产品前/后面板视图
前/后面板视图描述
防火墙处理板-slot0
业务板-slot1
业务板-slot2
-
风扇
-
电源1
电源2
1.4.2前面板视图介绍
从前视图观察,防火墙处理板上配有Console、AUX和2个固定以太网口。
Console接口用于本地配置维护,AUX接口用于远程拨号配置维护,以太网接口用于连接各个网络。
业务板插槽可以插入1FE或2FE以太网接口卡。
说明:
以太网接口的编号规则:
左侧编号为“槽号/0/0”、右侧编号为“槽号/0/1”,如防火墙处理板上的固定以太网口编号为0/0/0(左)和0/0/1(右)。
2槽位以太网接口板上的编号为2/0/0(左)和2/0/1(右)。
1.4.3后面板视图介绍
后视图中,以横插布局安装了两块电源模块,按1+1冗余备份方式工作。
电源模块和风扇框均支持热插拔。
左下侧有一个防静电手腕插孔,右上侧有接地端子。
注意:
Eudemon安装完毕后,需要仔细检查设备装配是否牢固,周围散热空间是否充分,接地状况是否良好,电源是否匹配,电源线是否连接正确。
第2章与Eudemon有关的相关概念
2.1命令行配置环境
目前,可以通过GUI图形化界面、CLI命令行两种方式配置维护Eudemon防火墙,下面仅介绍命令行配置环境。
要了解CLI命令行全貌,首先需要清楚什么是视图和命令。
2.1.1视图和命令的关系
所谓命令,就是用于配置或维护Eudemon防火墙的字符串。
而视图,就是执行命令串的场合或空间环境。
命令和视图之间的关系可以通过下图描述:
图2-1命令和视图的关系
我们都知道中国公民能自由进出中国,但是由于权限原因不能随意出入其他国家;同样道理,命令行也只能在某些视图下具备执行权限,不同视图下可执行的命令集合是有差别的。
2.1.2视图层次结构
在Eudemon防火墙中,根据特性功能分为若干视图,各视图之间的关系就像一棵“树”,Eudemon防火墙中常见视图的关系如下:
图2-1常用视图层次结构
上图中“箭头”表示从某些视图进入其他视图的方向,如从用户视图进入系统视图,或从系统视图进入接口、ACL等视图,没有箭头关系的视图之间一般不存在进入或退出关系。
2.1.3视图提供的功能
从而进行相关特性的配置,或退出视图。
各视图的可配置特性的功能描述如下表所述,粗体参数为关键字,斜体参数为可以选择取值范围的参数:
表2-1视图提供的功能
视图名称
可配置特性的描述
界面提示符号
用户视图
进入Eudemon配置界面后的第一个视图,该视图下可以查看设备简单运行状态和统计信息。
登录连接
配置该视图下的命令……
quit
连接断开
FTP客户端视图
从用户视图进入,用于FTP方式升级Eudemon软件时客户端的参数配置。
ftp10.110.24.1
[ftp]
配置该视图下的命令……
[ftp]bye
系统视图
从用户视图进入,配置基本系统参数,是特性功能配置的入口视图。
system-view
[Eudemon]
配置该视图下的命令……
[Eudemon]quit
用户界面视图
从系统视图进入,配置防火墙各用户界面的相关参数,管理相关界面
[Eudemon]user-interfaceconsole0
[Eudemon-ui-console0]
配置该视图下的命令……
[Eudemon-ui-console0]quit
[Eudemon]
接口视图
从系统视图进入,配置以太网接口信息,如IP地址等。
[Eudemon]interfaceethernet1/0/0
[Eudemon-Ethernet1/0/0]
配置该视图下的命令……
[Eudemon-Ethernet1/0/0]quit
[Eudemon]
ACL视图
从系统视图进入,配置各种类型的ACL规则描述。
[Eudemon]aclnumber10
[Eudemon-acl-basic-10]
配置该视图下的命令……
[Eudemon-acl-basic-10]quit
[Eudemon]
防火墙区域视图
从系统视图进入,配置防火墙各安全区域的相关参数
[Eudemon]firewallzonetrust
[Eudemon-zone-trust]
配置该视图下的命令……
[Eudemon-zone-trust]quit
[Eudemon]
防火墙域间视图
从系统视图进入,配置防火墙各安全区域间的相关参数
[Eudemon]firewallinterzonetrustdmz
[Eudemon-interzone-trust-DMZ]
配置该视图下的命令……
[Eudemon-interzone-trust-DMZ]quit
[Eudemon]
2.1.4获取帮助信息
在任意视图下,直接键入“?
”或在某关键词后键入“?
”符号,可以获取该视图下的所有命令、部分命令的信息。
2.2Eudemon安全体系框架
与路由器最本质的区别是,Eudemon防火墙引入了安全区域概念,通过在安全区域之间启动安全检查(称为安全策略),从而对流经不同安全区域的信息流进行安全过滤。
常用的安全检查主要包括ACL和ASPF检查。
2.2.1配置安全区域
网络中不同设备储存信息的重要性千差万别,于是产生了分等级的受保护程度,这样一组具有相同安全级别的设备逻辑群体就构成了一个安全区域。
如下图中,Eudemon防火墙连接多个安全区域:
图2-1Eudemon的安全区域
Eudemon防火墙上预定以了4个安全区域:
本地区域(Local)、受信区域(Trust)、非军事化区域(DMZ)、非受信区域(Untrust),用户根据需要可以自行添加新的安全区域。
通常,Eudemon内部处理模块自身所占据的区域就是Local区域,需要保护的内部网络被部署在Trust区域,向外部提供各种服务(如FTP服务器)的网络被部署在DMZ区域,所有外部网络都为Untrust区域。
说明:
按照优先级从高到低顺序为Local->Trust->DMZ->Untrust,安全级别分别为100、85、50和5,各安全区域具有互不相同的优先级。
最多可以为Eudemon配置16个安全区域。
#配置系统预定义的安全区域(例如trust、local、dmz和untrust),这些区域具有确定的安全级别,无需再行配置。
[Eudemon]firewallzonetrust
[Eudemon-zone-trust]
#创建新的自定义安全区域,并配置该区域的安全级别为30。
[Eudemon]firewallzonenamenewzone
[Eudemon-zone-newzone]setpriority30
2.2.2配置安全区域和接口的关系
只有当数据在两个不同级别的安全区域之间流动时,Eudemon防火墙的安全检查功能才能启动;如果在同一级别的安全区域内流动,Eudemon的安全检查功能是关闭的。
1.安全区域和接口的初始划分
Eudemon防火墙通过若干接口(如Ethernet接口)连接各安全区域的设备或网络。
在Eudemon内部,为了对各接口之间流动的信息流进行安全检查,必须区分各接口的安全级别,即必须将接口加入到某安全区域中,如下图所示:
图2-1安全区域和接口的关系
(1)
同一安全区域中可加入多个接口,但是同一接口只能被唯一加入一个安全区域中。
如上图所示,接口1和4隶属Untrust区域,接口3和5隶属Trust区域,接口2隶属DMZ区域。
上述图中各接口间的信息流动是否会引起安全检查如下表所示(接口间引起安全检查的标注为★):
表2-1接口间信息流动引起安全检查
接口1
接口2
接口3
接口4
接口5
接口1
★
★
★
接口2
★
★
★
★
接口3
★
★
★
接口4
★
★
★
接口5
★
★
★
#配置将接口2加入DMZ区域中(假设接口2为Ethernet1/0/0)。
[Eudemon]firewallzonedmz
[Eudemon-zone-DMZ]addinterfaceethernet1/0/0
说明:
(1)无需为Local区域添加接口,即Local区域不包含任何接口。
(2)简易判断Ethernet接口编号的方法:
用一根网线插入某接口,并立刻从接口拔出,根据配置终端上显示的UP和DOWN信息判断接口编号。
2.重新调整安全区域和接口的划分
如果需要Eudemon防火墙对同一安全区域中的信息流动进行安全检查,即为了实现接口1和4之间进行安全检查,则必须将接口1和4划分到两个不同级别的安全区域中,此时需要创建新的自定义安全区域,指定不冲突的安全级别,并将接口4加入该区域中,示意图如下:
图2-1安全区域和接口的关系
(2)
此时,接口1和接口4之间的信息流动也将引起安全检查。
#配置将接口4加入自定义安全区域中(假设接口4为Ethernet2/0/0)。
[Eudemon]firewallzonenamenewzone
[Eudemon-zone-newzone]addinterfaceethernet2/0/0
2.2.3如何应用安全策略
注意:
和路由器不同的是,Eudemon防火墙的安全策略应用在安全区域间,而路由器是应用在接口上。
Eudemon防火墙内部连接各安全区域的接口具备安全级别,安全区域(或隶属该安全区域的接口)之间的信息流动将引起安全检查,因此需要在安全区域之间定义各种安全策略。
为了灵活地实现不同安全区域之间应用策略的不同,策略应用具有方向性。
信息从低优先级区域进入高优先级区域为入方向(inbound),反方向为出方向(outbound),Eudemon内部各安全区域之间信息流出/入关系见下表:
表2-1安全区域间的方向性
Local域(收)
Trust域(收)
DMZ域(收)
Untrust域(收)
Local域(发)
Outbound
Outbound
Outbound
Trust域(发)
Inbound
Outbound
Outbound
DMZ域(发)
Inbound
Inbound
Outbound
Untrust域(发)
Inbound
Inbound
Inbound
为了更清晰地看到Eudemon防火墙内部的安全策略应用机理,下图采用了放大显示,各接口与相连网络组成了不同优先级别的安全区域。
图2-2Eudemon内部的安全策略应用
上图中的带箭头的虚线代表信息在各安全区域(或隶属安全区域的接口)之间流动,箭头旁边的数字代表安全策略,可以在不同方向上应用不同的安全策略。
安全策略包括NAT转换、黑名单、攻击防范等,具体配置方法参见4.3基本安全防护的配置和后续配置。
#在Trust和Untrust区域间出方向(上图中箭头3所示)上应用安全策略(例如ACL101规则)。
[Eudemon]firewallinterzoneuntrusttrust
[Eudemon-interzone-trust-untrust]packet-filter101outbound
说明:
安全策略只能应用在安全区域之间,从而对分属不同安全区域的接口之间的信息流根据配置的安全策略进行安全检查。
2.2.4Local区域的应用
初次在网络中部署Eudemon防火墙时,通常会使用ping命令测试Eudemon的网络互通性,有时也会通过Telnet远程登录到防火墙进行维护,或通过FTP方式远程为防火墙加载软件。
上述这些应用的报文都是发送到Eudemon防火墙的某接口,并交由Eudemon内部模块进行处理,并不被转发,所以这些报文的目的域就是Local域。
如下图所示:
图2-1Local区域的应用
此时,需要在其他区域(Trust、DMZ、Untrus和自定义区域)和Local区域之间应用安全策略。
具体举例请参见3.2设备和Eudemon防火墙互相ping通、3.4Telnet登录到Eudemon防火墙、3.5与Eudemon防火墙建立FTP连接。
2.3远程登录的用户认证
Eudemon防火墙提供Telnet和FTP服务,为用户远程配置维护设备提供了可能。
为了让远程登录行为更加安全,和Eudemon防火墙建立的Telnet和FTP连接必须经过用户认证过程。
2.3.1了解登录用户的级别
通常,Eudemon防火墙至少需要创建一个超级终端用户。
如果需要从远端登录到防火墙,则需配置一个Telnet用户。
为了让远端用户向Eudemon加载或下载文件,可以配置FTP用户。
Telnet用户和超级终端用户登录到Eudemon防火墙后,可以对Eudemon防火墙进行管理。
系统对这些用户进行分级管理,用户的优先级分为0~3级,分别与命令级别对应,即不同级别用户登录后,只能使用等于或低于自己级别的命令,无法越权使用其它高级别命令,从而实现了命令行分级保护机制。
命令行的安全级别从低到高划分为参观级、监控级、配置级、管理级,如下表所示:
表2-1命令行级别
级别号
级别名称
级别权限
0
参观级
网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(包括:
Telnet客户端、SSH客户端)等,该级别命令不允许进行配置文件保存的操作。
1
监控级
用于系统维护、业务故障诊断等,包括display、debugging命令,该级别命令不允许进行配置文件保存的操作。
2
配置级
业务配置命令,包括安全防范、上层业务、网络互连等配置命令,这些用于向用户提供直接安全和网络服务。
3
管理级
关系到系统基本运行、支撑模块的命令,包括文件系统、FTP、TFTP、XModem下载、配置文件切换命令、电源控制命令、备板控制命令、用户管理命令、级别配置命令、系统内部参数配置命令(非协议规定、非RFC规定)等。
配置用户后,当用户登录Eudemon防火墙时,系统会对用户的身份进行验证。
对用户的验证有4种方式:
不验证、Password验证、本地验证以及AAARADIUS验证方案验证。
2.3.2配置登录用户认证
第一步:
启动本地AAA认证功能,并对远程登录采用本地认证,例如配置对Telnet登录采用本地验证,且同时支持5路远程登录(即vty编号从0到4)。
[Eudemon]aaaenable
[Eudemon]aaaauthentication-schemelogindefaultlocal
[Eudemon]user-interfacevty04
[Eudemon-ui-vty0-4]authentication-modelocal
第二步:
配置采用该登录方式的用户优先级别(缺省为参观级),例如配置为监控级(1级)。
[Eudemon-ui-vty0-4]userprivilegelevel1
第三步:
创建本地认证的登录用户名/口令、登录类型,例如配置用户名/口令分别为telnetuser和telnetpwd,通过Telnet方式登录。
[Eudemon]local-usertelnetuserpasswordsimpletelnetpwd
[Eudemon]local-usertelnetuserservice-typetelnet
第四步:
配置登录用户级别切换的口令,例如配置切换到管理级(3级)的口令为superpwd。
[Eudemon]superpasswordlevel3simplesuperpwd
说明:
上述配置步骤中vty0表示第一个VTY类型的用户界面。
在Eudemon防火墙中,用户界面(User-interface)提供了所有异步且交互方式下的物理接口和逻辑接口的配置视图,从而达到统一管理各种用户配置的目的。
编号规则如下:
Console接口对应的用户界面编号为console0,AUX接口对应的用户界面为aux0,Telnet连接等虚拟连接对应的用户界面编号分别为vty0、vty1……
第3章Eudemon的简单配置
基于Eudemon防火墙的安全机制,为了实现安全防护功能,在配置安全特性时需要关注以下原则:
●接口和外接网络在网络层互通
●将接口归属到不同的安全区域中
●在各区域间应用各种安全策略
3.1搭建Eudemon的现场配置环境
第一步:
将微机(PC机或终端)的串口通过标准RS-232电缆与Eudemon防火墙的Console接口连接,如下图所示。
图3-1通过Console口搭建本地配置环境
第二步:
在微机上运行终端仿真程序(如Windows9X的Hyperterm超级终端等),选择实际连接时使用的微机上的RS-232串口,配置终端通信参数为9600波特、8位数据位、1位停止位、无校验、无流控,并选择终端仿真类型为VT100。
第三步:
Eudemon防火墙上电,设备自检后提示用户键入键,出现命令行提示符,显示信息如下:
PressCtrl+BtoenterBootMenu...0
lineCon0isavailable.
PressENTERtogetstarted.
第四步:
在系统视图下具体配置命令,可以配置Eudemon防火墙特性或查看防火墙运行状态,需要联机帮助时可以随时键入“?
”,关于具体命令的使用请参考后续章节。
说明:
除了通过Console接口配置维护Eudemon防火墙外,还可以通过AUX接口、Telnet方式进行本地或远程配置,具体操作步骤参见5.2远程配置维护。
3.2设备和Eudemon防火墙互相ping通
配置思路:
首先实现从某设备ping通Eudemon防火墙,再实现从Eudemon防火墙ping通该设备,操作步骤如下:
第一步:
微机(PC机或终端)通过RS-232串口连接Eudemon防火墙Console接口,Eudemon防火墙Ethernet1/0/0接口通过LAN与Router设备连接。
组网如下图所示:
图3-1实现ping通Eudemon防火墙的组网
第二步:
从用户视图进入系统视图,通过Console接口配置相应ACL规则,允许从Router到Eudemon方向的ICMP报文及返回报文通过。
system-view
[Eudemon]aclnumber101