Eudemon+系列防火墙+快速入门+正文.docx

1、Eudemon+系列防火墙+快速入门+正文目 录第1章 产品简介 1-11.1 防火墙产生的背景 1-11.2 Eudemon防火墙的典型应用 1-11.3 Eudemon防火墙的主要特性 1-11.4 Eudemon防火墙的外观和机箱结构 1-21.4.2 前面板视图介绍 1-21.4.3 后面板视图介绍 1-2第2章 与Eudemon有关的相关概念 2-12.1 命令行配置环境 2-12.1.1 视图和命令的关系 2-12.1.2 视图层次结构 2-12.1.3 视图提供的功能 2-22.1.4 获取帮助信息 2-32.2 Eudemon安全体系框架 2-42.2.1 配置安全区域 2-4

2、2.2.2 配置安全区域和接口的关系 2-52.2.3 如何应用安全策略 2-72.2.4 Local区域的应用 2-82.3 远程登录的用户认证 2-92.3.1 了解登录用户的级别 2-92.3.2 配置登录用户认证 2-10第3章 Eudemon的简单配置 3-13.1 搭建Eudemon的现场配置环境 3-13.2 设备和Eudemon防火墙互相ping通 3-23.3 跨越Eudemon防火墙的两个设备互相ping通 3-33.4 Telnet登录到Eudemon防火墙 3-43.5 与Eudemon防火墙建立FTP连接 3-63.5.1 Eudemon作为FTP Client的升级

3、步骤 3-63.5.2 Eudemon作为FTP Server的升级步骤 3-7第4章 实际应用中的Eudemon配置 4-14.1 分析网络拓扑结构 4-14.1.1 总体应用需求 4-14.1.2 网络需求的初步分析 4-14.1.3 绘制网络拓扑图 4-24.1.4 收集组网的数据信息 4-24.2 外围设备的配置 4-34.2.1 配置Trust区域内的设备 4-34.2.2 配置DMZ区域内的设备 4-34.2.3 配置Untrust区域内的设备 4-34.3 基本网络参数的配置 4-44.4 地址转换的配置 4-64.4.1 配置NAT 4-64.4.2 配置内部服务器 4-74.

4、5 报文过滤的配置 4-84.5.1 配置包过滤 4-84.5.2 配置状态防火墙 4-104.6 防范各种攻击的配置 4-114.6.1 配置黑名单 4-114.6.2 配置防范地址扫描攻击 4-124.7 日志输出的配置 4-134.7.1 配置Eudemon的日志参数 4-134.7.2 配置日志服务器 4-134.8 本应用的特殊说明 4-14第5章 常用命令 5-15.1 系统维护命令 5-15.2 用户认证命令 5-15.3 远程登录命令 5-15.4 网络互连和测试命令 5-25.5 安全防范相关命令 5-25.6 日志相关命令 5-3第1章 产品简介1.1 防火墙产生的背景随着

5、Internet的广泛使用，Internet网络中出现了很多安全隐患，严重威胁着正常的信息交互。因此迫切需要在内网和外网之间构筑一道防线，用以抵御来自外部的绝大多数攻击，而防火墙正是完成这项任务的网络边防产品。华为公司推出了自行研制的Quidway Eudemon200防火墙设备，为中小型Intranet提供了高性价比的网络安全解决方案。1.2 Eudemon防火墙的典型应用Eudemon200是新一代高速状态防火墙，提供了增强的报文过滤和安全防范机制，如下为Eudemon防火墙的典型组网：图1-1 Eudemon200防火墙典型组网在公司内部网络出口位置部署Eudemon防火墙，有效防范来自

6、外部网络的恶意攻击，保护内部网络。同时可以有效监控内部用户对外部资源的随意访问。1.3 Eudemon防火墙的主要特性Eudemon防火墙支持的软件功能特性主要包括： 支持多种安全区域 提供基于ACL的过滤、应用层包过滤 提供NAT功能，对外提供内部服务器 提供黑名单功能，防范地址扫描窥探攻击1.4 Eudemon防火墙的外观和机箱结构Eudemon200采用3U标准机箱，下表列出了前后视图及与前后视图对应的各业务板插槽编号，如业务板后的编号“-slot2”。表1-1 Eudemon200前视图、后视图产品前/后面板视图前/后面板视图描述防火墙处理板-slot0业务板-slot1业务板-slo

7、t2-风扇-电源1电源21.4.2 前面板视图介绍从前视图观察，防火墙处理板上配有Console、AUX和2个固定以太网口。Console接口用于本地配置维护，AUX接口用于远程拨号配置维护，以太网接口用于连接各个网络。业务板插槽可以插入1FE或2FE以太网接口卡。 说明：以太网接口的编号规则：左侧编号为“槽号/0/0”、右侧编号为“槽号/0/1”，如防火墙处理板上的固定以太网口编号为0/0/0（左）和0/0/1（右）。2槽位以太网接口板上的编号为2/0/0（左）和2/0/1（右）。1.4.3 后面板视图介绍后视图中，以横插布局安装了两块电源模块，按11冗余备份方式工作。电源模块和风扇框均支持

8、热插拔。左下侧有一个防静电手腕插孔，右上侧有接地端子。 注意：Eudemon安装完毕后，需要仔细检查设备装配是否牢固，周围散热空间是否充分，接地状况是否良好，电源是否匹配，电源线是否连接正确。第2章 与Eudemon有关的相关概念2.1 命令行配置环境目前，可以通过GUI图形化界面、CLI命令行两种方式配置维护Eudemon防火墙，下面仅介绍命令行配置环境。要了解CLI命令行全貌，首先需要清楚什么是视图和命令。2.1.1 视图和命令的关系所谓命令，就是用于配置或维护Eudemon防火墙的字符串。而视图，就是执行命令串的场合或空间环境。命令和视图之间的关系可以通过下图描述：图2-1 命令和视图的

9、关系我们都知道中国公民能自由进出中国，但是由于权限原因不能随意出入其他国家；同样道理，命令行也只能在某些视图下具备执行权限，不同视图下可执行的命令集合是有差别的。2.1.2 视图层次结构在Eudemon防火墙中，根据特性功能分为若干视图，各视图之间的关系就像一棵“树”，Eudemon防火墙中常见视图的关系如下：图2-1 常用视图层次结构上图中“箭头”表示从某些视图进入其他视图的方向，如从用户视图进入系统视图，或从系统视图进入接口、ACL等视图，没有箭头关系的视图之间一般不存在进入或退出关系。2.1.3 视图提供的功能从而进行相关特性的配置，或退出视图。各视图的可配置特性的功能描述如下表所述，粗

10、体参数为关键字，斜体参数为可以选择取值范围的参数：表2-1 视图提供的功能视图名称可配置特性的描述界面提示符号用户视图进入Eudemon配置界面后的第一个视图，该视图下可以查看设备简单运行状态和统计信息。登录连接配置该视图下的命令 quit连接断开FTP客户端视图从用户视图进入，用于FTP方式升级Eudemon软件时客户端的参数配置。 ftp 10.110.24.1ftp配置该视图下的命令ftp bye系统视图从用户视图进入，配置基本系统参数，是特性功能配置的入口视图。 system-viewEudemon配置该视图下的命令Eudemon quit用户界面视图从系统视图进入，配置防火墙各用户界

11、面的相关参数，管理相关界面Eudemon user-interface console 0Eudemon-ui-console0配置该视图下的命令Eudemon-ui-console0 quitEudemon接口视图从系统视图进入，配置以太网接口信息，如IP地址等。Eudemon interface ethernet 1/0/0Eudemon-Ethernet1/0/0配置该视图下的命令Eudemon-Ethernet1/0/0 quitEudemonACL视图从系统视图进入，配置各种类型的ACL规则描述。Eudemon acl number 10Eudemon-acl-basic-10配置该

12、视图下的命令Eudemon-acl-basic-10 quitEudemon防火墙区域视图从系统视图进入，配置防火墙各安全区域的相关参数Eudemon firewall zone trustEudemon-zone-trust配置该视图下的命令Eudemon-zone-trust quitEudemon防火墙域间视图从系统视图进入，配置防火墙各安全区域间的相关参数Eudemon firewall interzone trust dmzEudemon-interzone-trust-DMZ配置该视图下的命令Eudemon-interzone-trust-DMZ quitEudemon2.1.4

13、获取帮助信息在任意视图下，直接键入“？”或在某关键词后键入“？”符号，可以获取该视图下的所有命令、部分命令的信息。2.2 Eudemon安全体系框架与路由器最本质的区别是，Eudemon防火墙引入了安全区域概念，通过在安全区域之间启动安全检查（称为安全策略），从而对流经不同安全区域的信息流进行安全过滤。常用的安全检查主要包括ACL和ASPF检查。2.2.1 配置安全区域网络中不同设备储存信息的重要性千差万别，于是产生了分等级的受保护程度，这样一组具有相同安全级别的设备逻辑群体就构成了一个安全区域。如下图中，Eudemon防火墙连接多个安全区域：图2-1 Eudemon的安全区域Eudemon防

14、火墙上预定以了4个安全区域：本地区域（Local）、受信区域（Trust）、非军事化区域（DMZ）、非受信区域（Untrust），用户根据需要可以自行添加新的安全区域。通常，Eudemon内部处理模块自身所占据的区域就是Local区域，需要保护的内部网络被部署在Trust区域，向外部提供各种服务（如FTP服务器）的网络被部署在DMZ区域，所有外部网络都为Untrust区域。 说明：按照优先级从高到低顺序为Local-Trust-DMZ-Untrust，安全级别分别为100、85、50和5，各安全区域具有互不相同的优先级。最多可以为Eudemon配置16个安全区域。# 配置系统预定义的安全区域（

15、例如trust、local、dmz和untrust），这些区域具有确定的安全级别，无需再行配置。Eudemon firewall zone trustEudemon-zone-trust# 创建新的自定义安全区域，并配置该区域的安全级别为30。Eudemon firewall zone name newzoneEudemon-zone-newzone set priority 302.2.2 配置安全区域和接口的关系只有当数据在两个不同级别的安全区域之间流动时，Eudemon防火墙的安全检查功能才能启动；如果在同一级别的安全区域内流动，Eudemon的安全检查功能是关闭的。1. 安全区域和接口

16、的初始划分Eudemon防火墙通过若干接口（如Ethernet接口）连接各安全区域的设备或网络。在Eudemon内部，为了对各接口之间流动的信息流进行安全检查，必须区分各接口的安全级别，即必须将接口加入到某安全区域中，如下图所示：图2-1 安全区域和接口的关系（1）同一安全区域中可加入多个接口，但是同一接口只能被唯一加入一个安全区域中。如上图所示，接口1和4隶属Untrust区域，接口3和5隶属Trust区域，接口2隶属DMZ区域。上述图中各接口间的信息流动是否会引起安全检查如下表所示（接口间引起安全检查的标注为）：表2-1 接口间信息流动引起安全检查接口1接口2接口3接口4接口5接口1接口2

17、接口3接口4接口5# 配置将接口2加入DMZ区域中（假设接口2为Ethernet1/0/0）。Eudemon firewall zone dmzEudemon-zone-DMZ add interface ethernet 1/0/0 说明：(1) 无需为Local区域添加接口，即Local区域不包含任何接口。(2) 简易判断Ethernet接口编号的方法：用一根网线插入某接口，并立刻从接口拔出，根据配置终端上显示的UP和DOWN信息判断接口编号。2. 重新调整安全区域和接口的划分如果需要Eudemon防火墙对同一安全区域中的信息流动进行安全检查，即为了实现接口1和4之间进行安全检查，则必须将

18、接口1和4划分到两个不同级别的安全区域中，此时需要创建新的自定义安全区域，指定不冲突的安全级别，并将接口4加入该区域中，示意图如下：图2-1 安全区域和接口的关系（2）此时，接口1和接口4之间的信息流动也将引起安全检查。# 配置将接口4加入自定义安全区域中（假设接口4为Ethernet2/0/0）。Eudemon firewall zone name newzoneEudemon-zone-newzone add interface ethernet 2/0/02.2.3 如何应用安全策略 注意：和路由器不同的是，Eudemon防火墙的安全策略应用在安全区域间，而路由器是应用在接口上。Eude

19、mon防火墙内部连接各安全区域的接口具备安全级别，安全区域（或隶属该安全区域的接口）之间的信息流动将引起安全检查，因此需要在安全区域之间定义各种安全策略。为了灵活地实现不同安全区域之间应用策略的不同，策略应用具有方向性。信息从低优先级区域进入高优先级区域为入方向（inbound），反方向为出方向（outbound），Eudemon内部各安全区域之间信息流出/入关系见下表：表2-1 安全区域间的方向性Local域（收）Trust域（收）DMZ域（收）Untrust域（收）Local域（发）OutboundOutboundOutboundTrust域（发）InboundOutboundOutbou

20、ndDMZ域（发）InboundInboundOutboundUntrust域（发）InboundInboundInbound为了更清晰地看到Eudemon防火墙内部的安全策略应用机理，下图采用了放大显示，各接口与相连网络组成了不同优先级别的安全区域。图2-2 Eudemon内部的安全策略应用上图中的带箭头的虚线代表信息在各安全区域（或隶属安全区域的接口）之间流动，箭头旁边的数字代表安全策略，可以在不同方向上应用不同的安全策略。安全策略包括NAT转换、黑名单、攻击防范等，具体配置方法参见4.3 基本安全防护的配置和后续配置。# 在Trust和Untrust区域间出方向（上图中箭头3所示）上应用

21、安全策略（例如ACL101规则）。Eudemon firewall interzone untrust trustEudemon-interzone-trust-untrust packet-filter 101 outbound 说明：安全策略只能应用在安全区域之间，从而对分属不同安全区域的接口之间的信息流根据配置的安全策略进行安全检查。2.2.4 Local区域的应用初次在网络中部署Eudemon防火墙时，通常会使用ping命令测试Eudemon的网络互通性，有时也会通过Telnet远程登录到防火墙进行维护，或通过FTP方式远程为防火墙加载软件。上述这些应用的报文都是发送到Eudemon防

22、火墙的某接口，并交由Eudemon内部模块进行处理，并不被转发，所以这些报文的目的域就是Local域。如下图所示：图2-1 Local区域的应用此时，需要在其他区域（Trust、DMZ、Untrus和自定义区域）和Local区域之间应用安全策略。具体举例请参见3.2 设备和Eudemon防火墙互相ping通、3.4 Telnet登录到Eudemon防火墙、3.5 与Eudemon防火墙建立FTP连接。2.3 远程登录的用户认证Eudemon防火墙提供Telnet和FTP服务，为用户远程配置维护设备提供了可能。为了让远程登录行为更加安全，和Eudemon防火墙建立的Telnet和FTP连接必须经

23、过用户认证过程。2.3.1 了解登录用户的级别通常，Eudemon防火墙至少需要创建一个超级终端用户。如果需要从远端登录到防火墙，则需配置一个Telnet用户。为了让远端用户向Eudemon加载或下载文件，可以配置FTP用户。Telnet用户和超级终端用户登录到Eudemon防火墙后，可以对Eudemon防火墙进行管理。系统对这些用户进行分级管理，用户的优先级分为03级，分别与命令级别对应，即不同级别用户登录后，只能使用等于或低于自己级别的命令，无法越权使用其它高级别命令，从而实现了命令行分级保护机制。命令行的安全级别从低到高划分为参观级、监控级、配置级、管理级，如下表所示：表2-1 命令行级

24、别级别号级别名称级别权限0参观级网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（包括：Telnet客户端、SSH客户端）等，该级别命令不允许进行配置文件保存的操作。1监控级用于系统维护、业务故障诊断等，包括display、debugging命令，该级别命令不允许进行配置文件保存的操作。2配置级业务配置命令，包括安全防范、上层业务、网络互连等配置命令，这些用于向用户提供直接安全和网络服务。3管理级关系到系统基本运行、支撑模块的命令，包括文件系统、FTP、TFTP、XModem下载、配置文件切换命令、电源控制命令、备板控制命令、用户管理命令、级别配置命令、系统内部参数

25、配置命令（非协议规定、非RFC规定）等。配置用户后，当用户登录Eudemon防火墙时，系统会对用户的身份进行验证。对用户的验证有4种方式：不验证、Password验证、本地验证以及AAA RADIUS验证方案验证。2.3.2 配置登录用户认证第一步：启动本地AAA认证功能，并对远程登录采用本地认证，例如配置对Telnet登录采用本地验证，且同时支持5路远程登录（即vty编号从0到4）。Eudemon aaa enableEudemon aaa authentication-scheme login default localEudemon user-interface vty 0 4Eudem

26、on-ui-vty0-4 authentication-mode local第二步：配置采用该登录方式的用户优先级别（缺省为参观级），例如配置为监控级（1级）。Eudemon-ui-vty0-4 user privilege level 1第三步：创建本地认证的登录用户名/口令、登录类型，例如配置用户名/口令分别为telnetuser和telnetpwd，通过Telnet方式登录。Eudemon local-user telnetuser password simple telnetpwdEudemon local-user telnetuser service-type telnet第四步：

27、配置登录用户级别切换的口令，例如配置切换到管理级（3级）的口令为superpwd。Eudemon super password level 3 simple superpwd 说明：上述配置步骤中vty0表示第一个VTY类型的用户界面。在Eudemon防火墙中，用户界面（User-interface）提供了所有异步且交互方式下的物理接口和逻辑接口的配置视图，从而达到统一管理各种用户配置的目的。编号规则如下：Console接口对应的用户界面编号为console0，AUX接口对应的用户界面为aux0，Telnet连接等虚拟连接对应的用户界面编号分别为vty0、vty1第3章 Eudemon的简单配

28、置基于Eudemon防火墙的安全机制，为了实现安全防护功能，在配置安全特性时需要关注以下原则： 接口和外接网络在网络层互通 将接口归属到不同的安全区域中 在各区域间应用各种安全策略3.1 搭建Eudemon的现场配置环境第一步：将微机（PC机或终端）的串口通过标准RS-232电缆与Eudemon防火墙的Console接口连接，如下图所示。图3-1 通过Console口搭建本地配置环境第二步：在微机上运行终端仿真程序（如Windows 9X的Hyperterm超级终端等），选择实际连接时使用的微机上的RS-232串口，配置终端通信参数为9600波特、8位数据位、1位停止位、无校验、无流控，并选择

29、终端仿真类型为VT100。第三步：Eudemon防火墙上电，设备自检后提示用户键入键，出现命令行提示符，显示信息如下：Press Ctrl+B to enter Boot Menu. 0line Con 0 is available.Press ENTER to get started.第四步：在系统视图下具体配置命令，可以配置Eudemon防火墙特性或查看防火墙运行状态，需要联机帮助时可以随时键入“?”，关于具体命令的使用请参考后续章节。 说明：除了通过Console接口配置维护Eudemon防火墙外，还可以通过AUX接口、Telnet方式进行本地或远程配置，具体操作步骤参见5.2 远程配置

30、维护。3.2 设备和Eudemon防火墙互相ping通配置思路：首先实现从某设备ping通Eudemon防火墙，再实现从Eudemon防火墙ping通该设备，操作步骤如下：第一步：微机（PC机或终端）通过RS-232串口连接Eudemon防火墙Console接口，Eudemon防火墙Ethernet1/0/0接口通过LAN与Router设备连接。组网如下图所示：图3-1 实现ping通Eudemon防火墙的组网第二步：从用户视图进入系统视图，通过Console接口配置相应ACL规则，允许从Router到Eudemon方向的ICMP报文及返回报文通过。 system-viewEudemon acl number 101