21Eudemon防火墻產(chǎn)品基本功能特性與配置_第1頁
21Eudemon防火墻產(chǎn)品基本功能特性與配置_第2頁
21Eudemon防火墻產(chǎn)品基本功能特性與配置_第3頁
21Eudemon防火墻產(chǎn)品基本功能特性與配置_第4頁
21Eudemon防火墻產(chǎn)品基本功能特性與配置_第5頁
已閱讀5頁,還剩67頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

1、修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEDS002002EudemonALL1.00Eudemon防火墻產(chǎn)品基本功能特性與配置1前 言本膠片介紹了Eudemon系列產(chǎn)品主要的安全技術和安全特性,以及各安全特性在Eudemon產(chǎn)品上的配置。包括如:防火墻區(qū)域,防火墻工作模式,ASPF技術,NAT技術以及一些擴展技術。培訓目標學完本課程后,您應該能:掌握Eudemon產(chǎn)品的主要安全技術和安全特性掌握各安全特性在Eudemon上的配置目 錄防火墻的基本概念防火墻關鍵技術防火墻基本功能防火墻擴展功能目 錄1. 防火墻的基本概念1.1 安全區(qū)域1.2 防火墻工作模式1.3 會話防火墻的安全區(qū)域

2、Local區(qū)域100Trust區(qū)域85DMZ區(qū)域50UnTrust區(qū)域5接口2接口3接口4接口1 用戶自定義區(qū)域Vzone0接口、網(wǎng)絡和安全區(qū)域關系Eth1/0/0Eth2/0/0inboundoutboundinboundoutboundEth0/0/0EudemonLocalinboundoutboundinboundoutboundinboundoutboundVzoneTrust內(nèi)部網(wǎng)絡UntrustServerServerDMZ外部網(wǎng)絡inboundoutbound.安全區(qū)域配置 1創(chuàng)建一個安全區(qū)域Eudemon firewall zone name userzone設置優(yōu)先級Eud

3、emon-zone-userzone set priority 60給安全區(qū)域添加接口Eudemon-zone-trust add interface Ethernet 0/0/1安全區(qū)域配置驗證查看防火墻安全區(qū)域配置Eudemondisplay zone usernameusername priority is 60 interface of the zone is (1): Ethernet0/0/1安全區(qū)域配置2創(chuàng)建安全ACLEudemonacl 3000Eudemon-acl-adv-3000 rule permit ip在域間下發(fā)ACLEudemon firewall interzo

4、ne trust untrustEudemon-interzone-trust-untrustpacket-filter 3000 inbound目 錄1. 防火墻的基本概念1.1 安全區(qū)域1.2 防火墻工作模式1.3 會話防火墻的三種工作模式路由模式透明模式混合模式路由模式外部網(wǎng)絡服務器PCPC/24Trust區(qū)服務器EudemonPC/2454內(nèi)部網(wǎng)絡Untrust區(qū)透明模式服務器PCPCTrust區(qū)服務器EudemonPCUntrust區(qū)/24混合模式Eudemon(主)/24內(nèi)部網(wǎng)絡Eudemon(備)VRRP/24Trust區(qū)服務器PC服務器PCPCUntrust區(qū)外部網(wǎng)絡工作模式配

5、置命令配置防火墻工作模式Eudemonfirewall mode composite Eudemonquit需要重新啟動防火墻reboot查看防火墻的工作模式Eudemondisplay firewall mode firewall mode composite目 錄1. 防火墻的基本概念1.1 安全區(qū)域1.2 防火墻工作模式1.3 會話會話(Session)Eudemon防火墻是狀態(tài)防火墻,采用會話表維持通信狀態(tài)。會話表包括五個元素:源IP地址、源端口、目的IP地址、目的端口和協(xié)議號(如果支持虛擬防火墻的話還有一個VPN-ID)。當防火墻收到報文后,根據(jù)上述五個元素查詢會話表,并根據(jù)具體情況

6、進行如下操作:條件操作報文的五元組匹配會話表轉發(fā)該報文報文的五元組不匹配會話表域間規(guī)則允許通過轉發(fā)該報文,并創(chuàng)建會話表表項域間規(guī)則不允許通過丟棄該報文會話會話相關命令查看防火墻的Session信息Eudemondisplay firewall session table verbose icmp (vpn: public - public) zone: local - intra tag: 0 x3588 State: 0 x0 ttl: 00:00:20 left: 00:00:04 Id: 141c2d38 SlvId: 16406388 Interface: G0/0/1 Nexthop

7、: Mac: 00-0f-e2-61-05-83:43996-:43996 reset firewall session table會話相關命令查看防火墻的Session aging-timeEudemon display firewall session aging-timetcp protocol timeout: 1200udp protocol timeout: 120icmp protocol timeout: 20.Eudemon firewall session aging-time icmp 15防火墻長連接會話配置ACL,用于控制需要長連接會話的數(shù)據(jù)流Eudemon acl

8、3001Eudemon-acl-adv-3001 rule permit ip source 0設置長連接的老化時間Eudemon firewall long-link aging-time 2在域間應用長連接Eudemon firewall interzone trust untrustEudemon-interzone-trust-untrust firewall long-link 3001 inboundEudemondisplay firewall session table verbose FTP, tag: 80000301 ttl: 02:00:- left: 01:58:-

9、Addr: 02000093 :21 public) :2048-:43 icmp, (vpn: public - public) :2048-:43 icmp, (vpn: public - public) :2048-:43 FTP, (vpn: public - public) :21:21 public) :21:21 public) :21:21 public) :21:21 public) :21:21-+:1235Current Total Sessions : 8目 錄4. 防火墻擴展功能4.1 負載均衡4.2 虛擬防火墻虛擬防火墻Vfw3Vfw2Vfw1Rfw在Eudemon

10、上創(chuàng)建邏輯上的虛擬防火墻(Virtual-firewall, Vfw),能夠提供防火墻的出租業(yè)務,實現(xiàn)子網(wǎng)隔離和解決地址重疊的問題。每個虛擬防火墻都是VPN實例(VPN-Instance)、安全實例和配置實例的綜合體,能夠為虛擬防火墻用戶提供私有的路由轉發(fā)平面、安全服務和配置管理平面。 虛擬防火墻Eudemon防火墻支持虛擬防火墻特性每個虛擬防火墻均可以獨立支持Local、TRUST、UNTRUST、DMZ、VZONE 5個安全區(qū)域,接口靈活劃分和分配。系統(tǒng)資源獨立分配,提供獨立的安全業(yè)務、NAT多實例、VPN多實例特性。.根防火墻 Root FW一臺Eudemon物理防火墻虛擬防火墻 Vir

11、tual FWVZONETrustVPN-1DMZUnTrustTrustVPN-100DMZUnTrust.Eudemon虛擬防火墻區(qū)域ServerServerTrustUntrustDMZEth1/0/0內(nèi)部網(wǎng)絡Eth0/0/0inboundoutboundinboundoutboundoutboundinboundEudemonLocalVzoneInternetEth2/0/0虛擬防火墻組網(wǎng)實例Ethernet1/0/1/24PC2PC1Ethernet2/0/0/24Ethernet1/0/0/24EudemonPC3/24VPN: vpna虛擬防火墻配置接口Eudemonip vp

12、n-instance vpna vpn-id 1Eudemon-vpn-vpnaroute-distinguisher 100:1Eudemonint Ethernet 1/0/0Eudemon-Ethernet1/0/0ip binding vpn-instance vpnaEudemon-Ethernet1/0/0 ip address Eudemonint Ethernet 1/0/1Eudemon-Ethernet1/0/1ip binding vpn-instance vpnaEudemon-Ethernet1/0/1 ip address 虛擬防火墻配置安全策略Eudemon ac

13、l number 2000 vpn-instance vpnaEudemon-acl-basic-2000rule permitEudemonfirewall interzone vpn-instance vpna trust untrustEudemon-interzone-trust-untrust-vpnapacket-filter 2000 inboundEudemon-interzone-trust-untrust-vpnapacket-filter 2000 outbound跨VPN實例訪問配置Eudemon nat address-group 1 vpn-instance vpnaEudemon firewall interzone vpn-instance vpna trust vzoneEudemon-interzone-trust-

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論