Eudemon防火墙开局指导书资料

入方向（inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向；
出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向
Eudemon防火墙开局指导书
华为技术有限公司
版权所有侵权必究
Eudemon防火墙开局指导书文档密级：内部公开修订记录
Eudemon防火墙开局指导书文档密级：内部公开
目录
第1章 Eudemon防火墙产品概述 (1)
1.1 Eudemon 200防火墙 (1)
1.2 Eudemon 500/1000防火墙 (3)
第2章 Eudemon防火墙的特点 (5)
2.1 基于状态的防火墙 (5)
2.2 安全域概念介绍 (6)
2.2.1 防火墙的域 (6)
2.2.2 域间概念 (8)
2.2.3 本地域 (8)
2.3 防火墙工作模式 (9)
2.3.1 防火墙工作模式概述 (9)
2.3.2 路由模式 (9)
2.3.3 透明模式 (9)
2.3.4 混合模式 (10)
2.4 访问控制策略和报文过滤 (11)
2.4.1 访问控制策略的异同 (11)
2.4.2 ACL加速查找 (11)
2.4.3 报文过滤规则的应用 (12)
2.4.4 防火墙缺省动作 (13)
2.5 NAT (13)
2.6 双机热备 (14)
2.6.1 防火墙双机简介 (14)
2.6.2 基于纯VRRP的备份 (15)
2.6.3 基于HRP的备份 (15)
2.6.4 双机热备的注意事项 (16)
第3章 Eudemon防火墙数据准备 (16)
3.1 登录进入防火墙 (16)
3.1.1 搭建配置环境 (16)
3.1.2 配置电缆连接 (17)
3.1.3 设置微机或终端的参数 (17)
3.1.4 防火墙上电 (20)
3.2 版本配套 (20)
3.2.2 查看当前的软件版本 (21)
Eudemon防火墙开局指导书文档密级：内部公开
3.3 软件版本升级 (23)
3.4 配置规划 (25)
3.4.1 网络拓扑图 (25)
3.4.2 系统名 (26)
3.4.3 当地时区 (26)
3.4.4 远程维护登录帐号/口令和Super密码 (26)
3.4.5 区域、接口和IP地址规划 (26)
3.4.6 路由规划 (27)
3.4.7 双机热备规划 (27)
3.4.8 访问策略规划 (28)
3.4.9 地址转换规划 (29)
第4章 Eudemon防火墙配置 (30)
4.1 时间日期和时区配置 (30)
4.2 系统名配置 (31)
4.3 远程维护登录帐号/口令和Super密码配置 (31)
4.3.1 远程维护登录帐号/口令配置 (31)
4.3.2 Super密码配置 (32)
4.4 区域、接口和IP地址配置 (32)
4.4.1 功能需求和组网说明 (32)
4.4.2 数据配置步骤 (32)
4.4.3 测试验证 (34)
4.5 路由配置 (34)
4.5.1 功能需求和组网说明 (34)
4.5.2 数据配置步骤 (34)
4.5.3 测试验证 (34)
4.6 双机热备配置 (35)
4.6.1 功能需求和组网说明 (35)
4.6.2 数据配置步骤 (35)
4.6.3 测试验证 (36)
4.7 访问策略控制配置 (36)
4.7.1 功能需求和组网说明 (36)
4.7.2 数据配置步骤 (37)
4.7.3 测试验证 (38)
4.8地址转换配置配置 (38)
4.8.1 NAT地址转换（地址池方式） (38)
4.8.2 NAT地址转换（easy ip方式） (40)
4.8.3 NAT SERVER应用 (42)
Eudemon防火墙开局指导书文档密级：内部公开第5章 Eudemon防火墙基本维护 (44)
5.1 查看软件版本信息 (44)
5.2 系统配置文件维护 (44)
5.3 查看CPU占用率 (45)
5.4 查看内存占用率 (46)
5.5 查看日志缓冲区信息 (48)
5.6 查看路由表信息 (49)
5.7 查看接口状态 (49)
5.8 查看ARP映射表 (51)
5.9 查看会话表信息 (52)
5.10 收集系统诊断信息 (53)
Eudemon防火墙开局指导书文档密级：内部公开关键词：
Eudemon, 防火墙, 开局指导书
摘要：
本文结合业务与软件产品线工程师开局需要对Eudemon系列防火墙数据准
备给出指导，并对其常见配置进行描述。

满足业务与软件产品常见组网应用
开局配置需求。

本文不详细介绍用到的命令行格式和配置细节，相关信息请参考用户手册中
的说明。

缩略语清单：
VRP 通用路由平台，Versatile Routing Platform
FIC 智能接口模块，Flexible Interface Card
HIC 高速接口模块，High-speed Interface Card
NP 网络处理器，Network Processor
SFP S mall Form-Factor Pluggable
VRRP Virtual Router Redundancy Protocol
VGMP VRRP组管理协议，VRRP Group Management Protocol
HRP 华为公司冗余协议，Huawei Redundancy Protocol
ACL 访问控制列表，Access Control List
参考资料清单：
《31161246-Quidway Eudemon 100&200防火墙操作手册 (V1.01)》
《31190261-Quidway Eudemon 100&200防火墙命令手册 (V1.01) 》
《31161396-Quidway Eudemon 500&1000防火墙操作手册 (V1.00)》
《31190296-Quidway Eudemon 500&1000防火墙命令手册 (V1.00)》
《Eudemon防火墙双机热备专题V1.00-20050926-B1》
第1章Eudemon防火墙产品概述
业务与软件目前主要选型华为Eudemon 200、Eudemon 500和
Eudemon 1000防火墙用于业务组网。

1.1 Eudemon 200防火墙
Eudemon200防火墙为3U标准机箱，机箱上带有Console口、AUX接
口及两个固定的10/100M以太网口，其中AUX口可以帮助用户通过远程
拨号方式登录设备进行故障检查、修改配置等。

机箱上共提供了2个扩
展插槽，用户可以安装FIC（Flexible Interface Card）智能接口模块。

Eudemon200提供了两个电源槽位，可以安装两块交流或两块直流电源
模块，实现双路供电及电源的冗余备份，并支持电源模块/风扇热插拔。

Eudemon200支持的FIC接口模块有：
●1端口十/百兆以太网电接口模块（FW-FIC-1FE）
●2端口十/百兆以太网电接口模块（FW-FIC-2FE）
●1端口百兆以太网多模光接口模块（FW-FIC-1MFX）
●1端口百兆以太网单模光接口模块（FW-FIC-1SFX）
●1端口千兆以太网电接口模块（FW-FIC-1GEUB）
●1端口千兆以太网光接口模块（FW-FIC-1GE-SFP）
Eudemon200防火墙采用中置背板、两面插卡的一体化机箱，可以装入
19英寸标准机柜。

机箱结构和布局介绍如下：
●产品前面板
12435
1. 主控板（RPU ）-slot0
2. FIC 接口模块-slot1
3. FIC 接口模块-slot2
4. 假面板
5. 防静电手腕插孔
图1-1 Eudemon200前面板
Eudemon200防火墙前面板共有3个槽位，如图1-1所示，最上层是主控板插槽（0槽位），中间层是业务接口卡插槽（从左向右依次为1、2槽位）。

产品后面板
184523
67
1. 风扇板
2. 假面板
3. 接地端子
4. 交流电源接口
5. 电源开关
6. 电源模块1（PWR1）
7. 电源模块2（PWR2） 8. 防静电手腕插孔
图1-2 Eudemon200后面板
Eudemon200防火墙后面板以横插布局安装了两块电源模块，如图1-2所示，按1＋1冗余备份方式工作，电源模块分为交流电源模块和直流电源模块两种。

左侧为风扇模块。

电源模块和风扇均支持热插拔。

后面板左下侧有一个防静电手腕插孔，右上侧有接地端子。

1.2 Eudemon 500/1000防火墙
Eudemon 500/1000防火墙采用3U标准机箱，基于模块化结构提供了多
种可选配的HIC（High-speed Interface Card）高速接口模块和FIC
（Flexible Interface Card）智能接口模块。

Eudemon 500/1000防火墙
在设计上秉承华为公司在电信领域的丰富经验，采用全面的备份和安全
技术。

Eudemon 500/1000提供了交流供电、直流供电两种供电方案，并
且支持电源1＋1备份，电源模块及风扇模块支持热插拔，很好地满足了
电信级网络对高可靠性的需求。

Eudemon 500/1000防火墙采用业界主流的NP（Network Processor）
网络处理器技术，提供丰富的业务和强大的安全防范性能。

Eudemon500/1000防火墙的主控部分采用高速PowerPC微处理器和实
时操作系统，以华为公司拥有自主知识产权的VRP（Versatile Routing
Platform）通用路由平台为基础，结合设备和网络管理技术，具备完善的
自身安全防范功能，并提供丰富的业务特性。

安全部分采用高性能网络
处理器进行硬件处理，提供了强大的安全防范、业务加速能力。

Eudemon500和Eudemon1000防火墙具有相同的接口模块，如下所示：
●高速2端口十/百兆以太网电接口模块（FW-HIC-2FE）
●高速4端口十/百兆以太网电接口模块（FW-HIC-4FE）
●高速8端口十/百兆以太网电接口模块（FW-HIC-8FE）
●高速1端口千兆以太网光接口模块（FW-HIC-1GE-SFP）
●高速2端口千兆以太网光接口模块（FW-HIC-2GE-SFP）
Eudemon 500/1000防火墙机箱的外形结构类似，都采用中置背板、两面
插卡的一体化机箱，高度是3U，可以装入19英寸标准机柜。

下面以
Eudemon 1000防火墙的机箱结构和布局为例进行介绍。

●产品前面板
152436
1. 主控板（RPU ）-slot0
2. FIC/HIC 接口模块-slot1
3. FIC/HIC 接口模块-slot2
4. FIC 接口模块-slot3
5. FIC/HIC 接口模块-slot4
6. 防静电手腕插孔 图1-3 Eudemon500/1000防火墙前视图
Eudemon 500/1000防火墙前面板共有5个槽位，如图1-3所示，最上层固定为防火墙处理板插槽（0槽位），槽位1/2/4可以插入HIC 高速接口模块和FIC 智能接口模块，槽位3仅支持FIC 智能接口模块（不建议使用）。

前面板右下侧有一个防静电手腕插孔。

产品后面板
184523
67
1. 风扇板
2. 网络处理板（NPU ）
3. 接地端子
4. 交流电源接口
5. 电源开关
6. 电源模块1（PWR1）
7. 电源模块2（PWR2） 8. 防静电手腕插孔
图1-4 Eudemon500/1000后视图
Eudemon500/1000防火墙后面板包括3个插槽，如图1-4所示，最上层是NP 板插槽，中间层和最下层以横插布局安装了两块电源模块，按1＋1冗余备份方式工作，电源模块分为交流电源模块和直流电源模块两种。

左侧为风扇模块。

电源模块和风扇均支持热插拔。

后面板左下侧有一个防静电手腕插孔，右上侧有接地端子。

第2章 Eudemon防火墙的特点
Eudemon系列防火墙是华为公司推出的网络安全产品的重要组成部分。

作为一个新形态的产品，在防火墙上提出了一些新的概念，这是不同于
以前的路由器产品的，在下面的部分中，对防火墙独有的概念及其相对
于路由器的一些优点做一个描述。

2.1 基于状态的防火墙
Eudemon系列防火墙是华为推出的状态防火墙。

所谓状态防火墙是指防
火墙可以根据通过防火墙的连接的状态动态的作出决定是否允许报文通
过。

像TCP连接的三次握手这种状态属于网络协议的第四层，而FTP控
制命令中有没有传递PASS命令这种状态属于网络的第七层，需要应用
层网关的支持才能处理。

Eudemon系列防火墙就是一款支持应用层网关
的状态防火墙。

举个最简单的例子来说明报文通过防火墙的过程：
●首先报文到达防火墙，防火墙首先检查是否针对这个报文已经有会
话表存在。

●如果有，根据会话表中的信息，在进行必要的处理之后，防火墙将
转发这个报文。

●如果没有找到表项，防火墙会对这个报文进行一系列检查，在诸多
检查都通过之后，防火墙会根据这个报文的特征信息，在防火墙上
建立一对会话表项，以便这个会话的后续报文可以直接通过防火墙。

建立一对表项的目的是为了针对这个会话的反方向的回应报文也可
以顺利的通过防火墙，这样用户就不需要既考虑报文的发送也考虑
报文的回应消息，可以专心设计安全策略。

对于FTP/H323等需要协商数据通道的应用协议，用户只需要配置允许
该协议最基本的控制通道的连通，在这个控制通道上协商出来的所有数
据通道，防火墙都会预先为其建立好通过防火墙的表项。

而以前的包过
滤防火墙，必须用繁杂的ACL来保证这些协议数据通道的连通，还不可
避免的会留下安全漏洞。

2.2 安全域概念介绍
2.2.1 防火墙的域
对于路由器设备，各个接口所连接的网络在安全上可以视为是平等的，
没有明显的内外之分，所以即使进行一定程度的安全检查，也是在接口
上完成的。

这样，一个数据流单方向通过路由器时有可能需要进行两次
安全规则的检查，以便使其符合每个接口上独立的安全定义。

而这种思
路对于防火墙设备来说就不是很合适，防火墙所承担的责任是保护内部
网络不受外部网络上非法行为的伤害，有着明确的内外之分。

当一个数
据流通过防火墙设备的时候，根据其发起方向的不同，所引起的操作是
截然不同的。

由于这种安全级别上的差别，再采用在接口上检查安全策
略的方式已经不适用，可能会造成用户在配置上的混乱。

因此，防火墙提出了安全区域的概念。

一个安全区域是一个或多个接口
的一个组合，具有一个安全级别。

在设备内部，这个安全级别通过一个
0-100的数字来表示，数字越大表示安全级别越高，不存在两个具有相同
安全级别的区。

只有当数据在分属于两个不同安全级别的接口之间流动
的时候，才会激活防火墙的安全规则检查功能。

数据在属于同一个安全
域的不同接口间流动的时候将被直接转发，不会触发ACL等检查。

Eudemon防火墙上保留四个安全区域：
●非受信区（Untrust）：低级的安全区域，其安全优先级为5。

●非军事化区（DMZ）：中度级别的安全区域，其安全优先级为50。

●受信区（Trust）：较高级别的安全区域，其安全优先级为85。

●本地区域（Local）：最高级别的安全区域，其安全优先级为100。

除了本地域，每个区域可以关联一个或多个防火墙接口。

如认为有必要，
用户还可以自行设置新的安全区域并定义其安全优先级别。

最多16个安
全区域。

图2-1安全区示意图
一般情况下，受信区接口连接用户要保护的内部网络，非受信区连接外部网络，非军事化区连接用户向外部提供服务的部分网络。

在以接口为基础进行安全检查的路由器上，进入接口的报文称为inbound 方向，流出接口的报文称为outbound方向，针对每个方向，可以配置一组ACL规则，分别进行检查。

可以看出来，这种方向的判定是以路由器自身为参照物，将路由器看作网络上的一个结点。

而防火墙上的检查是发生在属于不同优先级别的两个接口之间的，我们可以将防火墙理解为一个边界，对于方向的判定是由防火墙所连接的不同网络为基准的。

对于防火墙上任意两个域来说，高安全级别一侧为内，低安全级别一侧为外。

当数据从高安全级别的进入而从低安全级别的接口流出的时候，称之为出方向（Outbound）；反之，当数据从低安全级别的接口进入防火墙而从高安全级别的接口流出的时候，称之为入方向（Inbound）。

举例来说，当数据从属于DMZ的接口进入防火墙，从属于Untrust的接口流出的时候，这个流是出方向的流；而当数据从同样的接口进入防火墙，从属于Trust的接口流出的时候，这个流的方向就变成入方向了。

在每个方向上，我们都可以设置一组ACL，对报文进行安全检查。

一个域可以有一个或多个接口，一个接口只能属于一个域，二者是一对多的关系。

2.2.2 域间概念
任何两个安全域之间存在的关系，我们称之为域间关系。

说明一个域间
的时候可以将两个域的名字放在一起进行描述，比如，Trust-Untrust域
间。

前面描述的数据流的方向性，就是域间关系的一个属性。

在Eudemon
系列防火墙上，绝大多数安全相关的配置都是在域间进行的。

不同于域，域间是不需要显式的创建的，用户每创建一个域，就会自动
地同每一个已经存在的域产生域间关系。

可见，域间关系实际上是一种
全连接的结构。

但是，由于我们为每个域间赋予了入和出两个方向的属
性，域间AB和域间BA实际上是一样的。

因此我们规定，对于全部域间，
只使用高安全级别在前，低安全级别在后这样一种描述形式。

无论用户
输入的顺序如何，在处理的时候，都会对应到这种形式的域间关系下。

也就是说，在配置的时候，只存在Trust-Untrust域间，不存在
Untrust-Trust域间。

2.2.3 本地域
在域的概念中，比较不容易理解的是本地域（Local）。

在其他所有预定
义域和用户创建的域中，都可以使用添加接口的命令。

可以将某个接口
添加到这个域中，之后，同这个接口相连的网络就被赋予了这个域的属
性，我们可以认为这部分网络就是这个域。

要理解的是，这个操作真正
添加到域中的并不是这个接口本身，而是同这个接口相连接的网络，只
是通过添加接口这种形式来表现罢了。

Local域所保护的是防火墙自身，如果允许在Local域下添加接口，根据
前面的说明，这个接口所连接的网络就会被看作同防火墙本身在同一个
安全域中，那么从这个网络发出的针对防火墙的任何访问都是被直接转
发的，这大大降低了对设备的防护，同时从概念上也是无法理解的，因
此在local域下面不能使用添加接口的命令。

任何访问防火墙自身的报文（包括访问接口IP地址和系统IP地址）都被
看作是从入接口所连接的那个域访问本地域的跨域访问，因此会触发相
应域间配置的安全策略检查。

举例来说，防火墙接口Eth0的IP地址为192.168.10.1，子网掩码为24
位，所连接的网络为192.168.10.0，该接口位于防火墙的Trust域。

在此
情况下，从子网192.168.10.0内任意一台主机向192.168.10.1发起连接，
就产生了Trust域到Local域的入方向数据流，要根据Local-Trust域间
配置的ACL和其他安全策略进行过滤，只有在安全策略允许情况下，连
接才能成功。

由于有了本地域，从根本上解决了原来存在的安全控制措施只能针对设
备连接的网络，对设备自身却无法保护的情况。

在实际网络环境中，曾
经发生过针对我们设备进行的telnet攻击，攻击者不停的telnet我们的设
备的接口IP，造成正常的网管无法登录。

只能在相邻设备上屏蔽攻击IP
地址的访问，如果攻击者使用随即变化的IP地址，则根本无法防范。

而
在我们的设备上，可以通过设置ACL规则，规定只允许特定的IP地址的
设备从特定的域访问防火墙，同时还可以启动flood防御等全方位的措施，
充分保护了设备自身的安全。

2.3 防火墙工作模式
2.3.1 防火墙工作模式概述
防火墙引入了称为工作模式的概念，目前防火墙支持路由模式、透明模
式以及混合模式三种工作模式，其中混合模式是为了在透明模式下支持
双机热备份而增加的，基本上可以理解为透明模式加上一个带IP的接口。

业软主推的工作模式是路由模式。

相对应的，NetScreen防火墙有类似的概念，他们提出的模式是路由模式、
NAT模式和透明模式。

我们产品的路由模式就完全包含了NetScreen的
路由和NAT两个概念。

2.3.2 路由模式
可以把路由模式理解为象路由器那样工作。

防火墙每个接口连接一个网
络，防火墙的接口就是所连接子网的网关。

报文在防火墙内首先通过入
接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口
域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的
安全策略进行各种操作。

路由模式下可以使用NAT，双机热备份以及全部的攻击防范功能。

同时，
由于此模式是VRP工作的基本形态，各种应用都比较成熟。

在可能的情
况下，我们推荐使用路由模式进行组网。

2.3.3 透明模式
透明模式的防火墙则可以被看作一台以太网交换机。

防火墙的接口不能
配IP地址，整个设备出于现有的子网内部，对于网络中的其他设备，防
火墙是透明的。

报文转发的出接口，是通过查找桥接的转发表得到的。

在确定域间之后，安全模块的内部仍然使用报文的IP地址进行各种安全
策略的匹配。

为了解决对防火墙的配置问题，在透明模式下存在一个系统IP，用户需
要分配一个当前子网中没有使用的IP地址给防火墙，方便远程管理的使
用。

同时，系统IP还起到了让防火墙能够分辨当前所在子网的作用。

在
路由模式下，防火墙学习ARP表项是各个接口分别学习的，防火墙使用
接口下的IP地址配合子网掩码，为属于自己子网的IP地址创建ARP表
项。

在透明模式下，某些防火墙内部功能还是基于IP地址信息实现的，
不能没有ARP表项。

但由于没有了接口IP地址，对于子网的判断就很困
难，因此，当防火墙工作在透明模式之下，是依据系统IP和对应的子网
掩码来判定是否添加ARP表项的，如果系统IP和掩码配置的不正确，肯
定会造成网络某些应用无法正常使用的问题，必须要注意。

为了防止针
对防火墙的arp flood攻击造成过多的ARP表项，可以通过命令undo
firewall arp-learning enable禁止防火墙动态创建ARP表项，此时为了访
问系统IP，需要手工创建一个静态的ARP表项，访问才能成功。

由于透明模式的防火墙接口没有IP地址，对外表现为一个二层设备，因
此不能支持NAT、IPSEC、路由协议等功能，当防火墙从路由模式切换
到透明模式时，可能有些配置不能再起作用，或者有些动态生成的的信
息（如路由表）需要删除，建议在切换之前手工删除无用的配置信息，
保存当前配置（输入save命令），并且在模式切换之后将系统重启，以
保证无用资源的释放。

透明模式的主要优点是可以不改动已有的网络拓扑结构
透明模式下，NAT、双机热备份以及攻击防范中的IP spoofing功能都不
可用。

由于处理方法的不同，防火墙在透明模式下的转发能力低于在路由模式
下工作的情况。

2.3.4 混合模式
顾名思义，混合模式是指防火墙一部份接口工作在透明模式，另一部分
接口工作在路由模式。

提出混合模式的概念，主要是为了解决防火墙在
纯粹的透明模式下无法使用双机热备份功能的问题。

双机热备份所依赖
的VRRP需要在接口上配置IP地址，而透明模式无法实现这一点。

在混和模式下，每个接口的工作模式是由接口上是否配置了IP地址来区
分的。

如果一个接口不配置IP地址，它就属于透明模式的接口，如果给
它配置了IP地址，它就工作于路由模式。

工作在路由模式下的接口可以
配置VRRP，我们可以通过将真正提供服务的接口设置在透明模式，将
专门用于热备份的接口设置在路由模式的方法来实现对整个设备的状态
热备份。

2.4 访问控制策略和报文过滤
2.4.1 访问控制策略的异同
防火墙最重要的功能之一就是根据访问控制策略来决定是否允许一个数
据流通过。

Eudemon上在ACL的配置方面基本同原有的路由器一致，但
是ACL的类型同路由器稍有不同。

在路由器上，ACL由基本ACL、扩展
ACL和接口ACL三种组成，基本ACL和扩展ACL又分为数字型和命名
型两种。

在防火墙上，接口ACL被取消了，主要原因是颗粒度太粗，而
且难以适应在安全域这个概念下应用。

防火墙也不支持命名型ACL。

防火墙新添加了一个基于MAC地址进行过滤的ACL策略组，这个模块
是随着透明模式引入的。

在防火墙上，只有这个类型的规则组在接口下
应用的，主要是由于MAC地址同防火墙的接口相关的比较紧密。

在接口
下应用基于MAC的ACL规则时，inbound/outbound的概念同路由器下
保持一致，inbound指报文由接口进入防火墙，outbound指报文由接口
离开防火墙。

这同防火墙域间的inbound/outbound概念是完全不一致的，
需要注意。

2.4.2 ACL加速查找
路由器上的ACL规则总数有数量限制。

专门用作网络安全屏障的防火墙
来说规则总数要求远远大于路由器。

在应用中，如果使用路由器线性搜
索算法，在大量规则条件下，报文匹配的性能也会大大的下降。

防火墙
上引入了ACL快速查找算法，将线性搜索变为固定次数匹配。

在规则数
量大的情况下，极大地提高了规则匹配速度。

ACL加速查找对于使用大
量ACL规则的情况下，对于防火墙搜索性能的提升是毋庸置疑的。

防火
墙一旦启动了加速查找功能，NAT、统计、QoS等等多个功能处理效率
都将受益。

但是，ACL快速查找功能对内存的消耗是非常大的。

业务与软件产品使用防火墙对ACL规则数量要求不是很高，不建议启动
ACL加速查找功能。

缺省情况下，防火墙未启动ACL加速查找功能。

2.4.3 报文过滤规则的应用
每条ACL规则虽然跟随了一个permit/deny的动作，但是并不能直接对
报文起到控制作用，只有使用packet-filter命令将这个规则组应用到防火
墙的域间，才能依据配置的规则对报文进行分类、过滤。

路由器的报文过滤规则是应用在接口下面的，每个接口都可以在一入一
出两个方向上各配置一个ACL规则组，分别对进入接口和离开接口的报
文进行过滤。

防火墙在域间的每个方向上也可以配置一个规则组，分别
针对从防火墙内部发起的连接和外部发起的连接。

这两者看起来好像是
一样的，但实际上有着本质的不同，路由器是基于单个报文的过滤，并
没有状态的概念，在设计正反两个ACL规则组的时候必须通盘考虑才能
使一个应用正常通过。

防火墙是基于状态检测的设备，防火墙关心的方
向是流的发起方向，用户要考虑的只是允不允许这个流出去，允不允许
另一个流进来。

允许的数据流出去之后，防火墙会建立起会话表，交互
返回的报文不再匹配报文过滤规则，直接通过匹配会话表通过防火墙。

举例来说，用户希望允许受保护的IP地址190.100.10.10访问位于外部
网络的FTP服务器200.100.10.10，同时希望内部的WWW服务器
190.100.20.10可以为外部的所有用户提供服务，那么在原有的路由器
上，用户需要配置这样的ACL规则组：
[Router] acl number 3001
[Router-acl-adv-3001] rule permit tcp source 190.100.10.10 0
destination 200.100.10.10 0 destination-port eq 21 //允许内网主
机发起FTP连接
[Router-acl-adv-3001] rule permit tcp source 190.100.10.10 0
source-port gt 1024 destination 200.100.10.10 0 // 允许内网主机的FTP
数据通道报文出去
[Router-acl-adv-3001] rule permit tcp source 190.100.20.10 0
source-port eq 80 // 允许WWW服务器的报文出去
[Router-acl-adv-3001] rule deny ip //禁止其他报文的通过
[Router] acl number 3002
[Router-acl-adv-3002] rule permit tcp destination 190.100.20.10 0
destination-port eq 80 //允许外部主机访问内部www服务器
[Router-acl-adv-3002] rule permit tcp source 200.100.10.10 0
source-port 21 destination 190.100.10.10 destination-port gt 1024
//允许外部ftp服务器同内部的控制通道交互报文进入
[Router-acl-adv-3002] rule permit tcp source 200.100.10.10 0
source-port gt 1024 destination 190.100.10.10 //允许外部ftp主机的数
据通道报文进入
[Router-acl-adv-3002] rule deny ip //禁止其他报文的通过。