华为Eudemon防火墙NAT配置实例

合集下载

Eudemon系列防火墙

Eudemon系列防火墙

强大的 抗攻击 能力
支持多样的配 置和认证方式
Eudemon
电信级 可靠性
防火墙
丰富业务特性 优良的 支持多种 业务可 VPN和加密 扩充性 算法 高速 NAT , 支持多种 接口和工 支持丰富 的ALG 作模式
20
基于改进的状态检测安全技术
包过滤防火墙:
早期防火墙就是简单的包过滤防火墙,只支持静态

强大的认证系统,可支持本地和Radius认证服务器认证。
和防火墙配套的日志系统管理也支持严格的用户认证,日志数据库加密存储。

14
Eudemon防火墙基本规格
E100
接口数量 自 带 2 个 10/100M 以太网口,另有 2 个扩展接口插槽 接口类型 10/100M以太网
E200
自 带 2 个 10/100M 以太网口。, 2个扩展接口插槽 10/100M 以太网, E1、ATM接口
RTSP、H.323、SIP、HTTP等应用进行状态检测。

支持端口到应用映射,隐藏内部知名端口。 支持丰富的NAT应用,利用NAT方式组网可进一步提高安全性。 11

Eudemon防火墙主要特点
高性能:

采用华为3Com专利技术,提供业界领先的ACL高速算法,性能与ACL数目无关。 高端防火墙采用了网络处理器,达到3G线速。

产品开发采用IPD和CMM流程,最大程度保证产品质量可靠。
路由备份功能。 支持双机状态热备。


高安全:

专门为防火墙设计的硬件结构。
具有自主知识产权的安全操作系统。 内置IDS功能,对网上几十种攻击进行检测和防范。具有与IDS联动功能,通 过与IDS配合防御不断出现的新的攻击方式。

Eudemon8000E 产品文档 V300R001_10 省干网旁挂NAT组网场景

Eudemon8000E 产品文档 V300R001_10 省干网旁挂NAT组网场景

省干网旁挂NAT组网场景目录5.2.2 省干网旁挂NAT组网场景5.2.2.1 组网需求5.2.2.2 业务规划5.2.2.3 配置流程5.2.2.4 配置步骤5.2.2.5 结果验证5.2.2.6 配置脚本5.2.2 省干网旁挂NAT组网场景∙组网需求∙业务规划∙配置流程∙配置步骤∙结果验证∙配置脚本父主题:典型配置案例5.2.2.1 组网需求背景介绍随着Y运营商各个省公司城域网建设的完成,Y运营商的客户发展策略重点都转移到了宽带业务上。

但是Y运营商的公网IP地址较少,阻碍了宽带业务的发展。

在这种情况下,Y运营商提出了在省骨干网出口的核心路由器上旁挂防火墙设备进行NAT地址转换的方案。

除专线用户和IDC用户外,其他用户都使用私网地址进行NAT转换访问公网,以满足宽带业务的发展需求。

Y运营商的省公司城域网简化示意图如图1所示。

图1 省公司城域网示意图在现有网络中增加防火墙设备后的示意图如图2所示,本案例中,防火墙设备采用Eudemon8000E。

图2 增加防火墙设备后省公司城域网示意图对Eudemon8000E的要求如下:∙每台Eudemon8000E通过4条10GE链路分别与两台省核心路由器相连,确保链路的可靠性。

∙两台Eudemon8000E开启双机热备功能,采用主备备份方式,增强组网的可靠性。

∙两台Eudemon8000E之间使用4条1GE链路互连,将这4条1GE链路捆绑为Eth-Trunk链路,既可以提高双机热备功能的可靠性,又可以增加备份通道的带宽。

∙两台Eudemon8000E与省核心路由器之间运行OSPF协议,OSPF与HRP协议联动,用来控制流量的转发路径。

业务分析下面分别在链路正常和链路发生故障两种情况下,对地市城域网发送至外网、以及外网发送至地市城域网的流量转发路径进行分析。

链路正常时,地市城域网发送至外网的流量(上行流量)转发路径如图3所示。

该情况下流量转发路径说明:∙两台Eudemon8000E形成主备方式的双机热备,Eudemon8000E_A为主用防火墙,Eudemon8000E_B为备用防火墙。

华为Eudemon配置文档

华为Eudemon配置文档

华为Eudemon配置文档Eudemon防火墙的双机热备份需要三个协议的支持:VRRP(Virtual Router Redundancy Protocol)是由RFC2338定义的一种容错协议,通过实现物理设备和逻辑设备的分离,实现在多个出口网关之间进行选路。

VGMP(VRRP Group Management Protocol)是华为公司为防止VRRP状态不一致现象的发生,在VRRP的基础上自主开发出的扩展协议。

该协议负责统一管理加入其中的各备份组VRRP的状态。

HRP(Huawei Redundancy Protocol)协议用来进行防火墙的动态状态数据的实时备份。

此配置文档适用于不支持VGMP的Eudemon系统版本,该系统默认有master 和slave两个管理组,master用于管理主防火墙VRRP备份组,slave用于管理备防火墙VRRP备份组,主要区别体现在它们的优先级上。

一、Eudemon双机配置的二个步骤如下:1、接口划分和VRRP备份组配置[Eudemon]firewall zone trust[Eudemon-zone-untrust] add interface GigabitEthernet0/0/0[Eudemon]firewall zone untrust[Eudemon-zone-untrust] add interface GigabitEthernet5/0/0[Eudemon]firewall zone dmz[Eudemon-zone-dmz] add interface GigabitEthernet0/0/1[Eudemon-zone-dmz] add interface GigabitEthernet6/0/0注:Eudemon防火墙默认有四个区域,local(本机)、untrust(连接外网)、trust (连接内网)、dmz(中立区),安全级别系数分别是100、5、85、50,这四个默认区域不能删除,也不能修改安全级别系数;并且四个区域默认是不允许所有IP 进行互访的。

移动防火墙安全配置规范-华为

移动防火墙安全配置规范-华为

防火墙安全配置规范要求内容使能aaa认证或password或local认证,不要使用authentication-mode none 操作指南1、参考配置操作user-interface con 0authentication-mode aaa2、补充操作说明无。

检测方法1、判定条件用配置中没有的用户名去登录,结果是不能登录2、检测操作display current-configuration | begin con 03、补充说明缺省用户名口令是 eudemon eudemon。

要求内容使能aaa认证或password或local认证,不要使用authentication-mode none 操作指南1、参考配置操作user-interface aux 0authentication-mode aaa2、补充操作说明无。

检测方法1、判定条件用配置中没有的用户名去登录,结果是不能登录2、检测操作display current-configuration | begin aux 03、补充说明缺省不验证。

要求内容使能aaa认证或password或local认证,不要使用authentication-mode none 对登录用用户网段做acl限制建议使用SSH方式登录。

防火墙ssh只支持1.5的版本,不支持2.0的版本。

操作指南1、参考配置操作user-interface vty 0 4acl 3000 inboundprotocol inbound sshauthentication-mode aaa2、补充操作说明无。

检测方法1、判定条件用配置中没有的用户名去登录,结果是不能登录,在不允许的网段无法登录,2、检测操作display current-configuration | begin vty3、补充说明无。

要求内容尽可能不要配置域间的缺省规则,特别的不要配置firewall packet-filter default permit all尽可能在域间应用包过滤规则本例就是配置firewall packet-filter default permit all的显示结果。

华为Eudemon1000双机配置

华为Eudemon1000双机配置

双机热备配置举例目录1双机热备配置举例1.1 配置主备备份方式下的双机热备1.2 配置负载分担方式上下行设备是路由器的双机热备1.3配置负载分担方式下业务接口工作在交换模式的双机热备1.4 配置主备备份方式下VRRP 和OSPF 结合的双机热备1.5 配置主备备份方式下OSPF 与NAT 结合的双机热备1双机热备配置举例通过配置双机热备功能,可以确保主用设备出现故障时能由备份设备平滑地接替工作。

配置主备备份方式下的双机热备Eudemon 作为安全设备部署在业务节点上,上下行设备均是交换机,实现主备备份的双机热备份组网。

配置负载分担方式上下行设备是路由器的双机热备Eudemon 作为安全设备部署在业务节点上,上下行设备均是路由器,实现负载分担的双机热备份组网。

配置负载分担方式下业务接口工作在交换模式的双机热备Eudemon 上下行设备均是路由器,主备设备的业务接口工作在交换模式下,在上下行路由器之间透传OSPF 协议,同时对业务流量提供安全过滤功能。

配置主备备份方式下VRRP和OSPF结合的双机热备主备设备与路由器运行OSPF协议,与交换机运行VRRP , 实现主备备份的双机热备份组网。

配置主备备份方式下OSPF与NAT结合的双机热备主备设备与路由器及下行设备GGSN设备运行OSPF协议,在设备上配置NAT功能,实现主备备份的双机热备份组网。

父主题:典型配置案例1.1配置主备备份方式下的双机热备Eudemon作为安全设备部署在业务节点上,上下行设备均是交换机,实现主备备份的双机热备份组网。

组网需求Eudemon作为安全设备被部署在业务节点上。

其中上下行设备均是交换机,Eudemon_A、Eudemon_B分别充当主用设备和备用设备。

网络规划如下:•内部网络通过路巾器与Eudemon_A、Eudemon_B 的GigabitEthernet 0/0/2接口相连,部署在Trust区域。

•外部网络通过路由器与Eudemon_A、Eudemon_B 的GigabitEthernet 0/0/1接口相连,部署在Untrust区域。

华为Eudemon防火墙NAT配置实例

华为Eudemon防火墙NAT配置实例

[原创]华为Eudemon防火墙NAT配置实例Post By:2007-7-11 11:35:00贴一下我公司里防火墙的配置,希望能够起到抛砖引玉的作用。

具体外网IP和内网ARP绑定信息已经用“x”替代,请根据实际情况更换。

“//”后面的部分是我导出配置后添加的注释。

防火墙型号为华为Eudemon 200,E0/0/0口为外网接口,E0/0/1口为内网。

另外此配置方法也完全适用于华为Secpath系列防火墙,略加改动也可适用于华为AR系列路由器。

------------------------------------------传说中的分隔线------------------------------------------#sysname Eudemon//设置主机名#super password level 3 simple xxxxxxxx//Super密码为xxxxxxxx #firewall packet-filter default permit interzone local trust direction inboundfirewall packet-filter default permit interzone local trust direction outboundfirewall packet-filter default permit interzone local untrust direction inboundfirewall packet-filter default permit interzone local untrust direction outboundfirewall packet-filter default permit interzone local dmz direction inboundfirewall packet-filter default permit interzone local dmz direction outboundfirewall packet-filter default permit interzone trust untrust direction inboundfirewall packet-filter default permit interzone trust untrust direction outboundfirewall packet-filter default permit interzone trust dmz direction inboundfirewall packet-filter default permit interzone trust dmz direction outboundfirewall packet-filter default permit interzone dmz untrust direction inboundfirewall packet-filter default permit interzone dmz untrust direction outbound//设置默认允许所有数据包通过#青岛IT社区提醒:本地交易眼见为实,当面验货!不要嫌麻烦!交易地点建议在人多地方,防止抢劫!QQ:支持(0) 中立(0) 反对(0)wanghaoqd 小大 2楼个性首页| QQ| 信息| 搜索| 邮箱| 主页| 手机号码所在地查询|加好友发短信蛋白超人等级:退役版主帖子:206 7积分:185 威望:5精华:1 注册:2004-3-24Post By:2007-7-11 11:35:00nat address-group 1 //将ISP分配的公网IP加入地址池1nat server global insidenat server global insidenat server global insidenat server global insidenat server global inside //将几个公网IP地址映射到内部服务器nat alg enable ftpnat alg enable dnsnat alg enable icmpnat alg enable netbiosundo nat alg enable h323undo nat alg enable hwccundo nat alg enable ilsundo nat alg enable pptpundo nat alg enable qqundo nat alg enable msnundo nat alg enable user-defineundo nat alg enable rtspfirewall permit sub-ip#firewall statistic system enable#interface Aux0async mode flowlink-protocol ppp#interface Ethernet0/0/0ip address //设置外网端口IP地址,此处为网通分配的内部私有IP,#interface Ethernet0/0/1ip address //设置内网IP地址,采用#interface NULL0#acl number 2000rule 0 permit source //ACL 2000,目的是只允许rule 1 deny#acl number 3001rule 0 deny udp destination-port eq 445rule 1 deny udp destination-port eq netbios-nsrule 2 deny udp destination-port eq netbios-dgmrule 3 deny udp destination-port eq netbios-ssnrule 4 deny udp destination-port eq 1434rule 5 deny tcp destination-port eq 135rule 6 deny tcp destination-port eq 139rule 7 deny tcp destination-port eq 389rule 8 deny tcp destination-port eq 445rule 9 deny tcp destination-port eq 636rule 10 deny tcp destination-port eq 1025rule 11 deny tcp destination-port eq 1503rule 12 deny tcp destination-port eq 3268rule 13 deny tcp destination-port eq 3269rule 14 deny tcp destination-port eq 4444rule 15 deny tcp destination-port eq 5554rule 16 deny tcp destination-port eq 5800rule 17 deny tcp destination-port eq 5900rule 18 deny tcp destination-port eq 9996rule 19 deny tcp destination-port eq 6667//ACL 300 1,关闭常见蠕虫病毒使用的端口#firewall zone localset priority 100QQ:支持(0) 中立(0) 反对(0)wanghaoqd 小大 3楼个性首页| QQ| 信息| 搜索| 邮箱| 主页| 手机号码所在地查询|加好友发短信蛋白超人等级:退役版主帖子:206 7积分:185 威望:5精华:1 注册:2004-3-24Post By:2007-7-11 11:36:00#firewall zone trustset priority 85add interface Ethernet0/0/1//将E0/ 0/1口加入TRUST区#firewall zone untrustset priority 5add interface Ethernet0/0/0 //将E0/0/0口加入UN TRUST区#firewall zone dmzset priority 50#firewall interzone local trustpacket-filter 3001 inbound//在LO CAL到TRUST方向应用ACL 3001号#firewall interzone local untrustpacket-filter 3001 inbound//在LO CAL到UNTRUST方向应用ACL 3001号#firewall interzone local dmz#firewall interzone trust untrustnat outbound 2000 address-group 1 //在TRUST到U NTRUST的方向做NAT,使用2000号ACL#firewall interzone trust dmz#firewall interzone dmz untrust#aaalocal-user admin password cipher A^.5<+_KCH)./a!1$H@GYA!!//建立用户admin,密码为密文local-user admin level 3 //用户权限为3(最高级)authentication-scheme default#authorization-scheme default#accounting-scheme default#domain default##arp static xxxx-xxxx-xxxx//做IP和MAC地址绑定arp static xxxx-xxxx-xxxxarp static xxxx-xxxx-xxxxarp static xxxx-xxxx-xxxxarp static xxxx-xxxx-xxxxarp static xxxx-xxxx-xxxx…………………………//省略许多行......arp static 1111-1111-1111arp static 1111-1111-1111arp static 1111-1111-1111arp static 1111-1111-1111arp static 1111-1111-1111//把不使用的IP与不存在的#ip route-static //设置缺省路由,此处IP地址为网通内部IP,#snmp-agentsnmp-agent local-engineid 000007DB7F00000Dsnmp-agent community read xxxxxxsnmp-agent community write xxxxxxsnmp-agent sys-info version all//设置SNMP参数,以使用网管软件来监控#user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode aaa//设置VTY口的认证模式为AAA#returnQQ:支持(0) 中立(0) 反对(0) pladin123小大 4楼个性首页| 信息| 搜索| 邮箱| 主页| 手机号码所在地查询|加好友发短信等级:QDIT游民帖子:23 8积分:1309 威望:0 精华:0 注册:2007-3-30 16:0 4:00Post By:2007-7-23 13:12:00楼上的这种方法带宽方面的如何的呢?内网所有都用一个IP,那不是浪费了吗还有我们和美国视频会议的时候,会不会有影响。

华为防火墙NAT配置命令

华为防火墙NAT配置命令

私网用户通过NAPT方式访问Internet(备注:在这种环境中,外网只能ping通外网口,公网没有写入到内网的路由,所以前提是内网只能ping通外网口,但走不到外网口以外的网络,做了NAT之后,内网可以通外网任何网络,但是外网只能ping到本地内网的外网口。

)本例通过配置NAPT功能,实现对少量公网IP地址的复用,保证公司员工可以正常访问Internet。

组网需求如图1所示,某公司内部网络通过USG9000与Internet相连,USG9000作为公司内网的出口网关。

由于该公司拥有的公网IP地址较少(202.169.1.21~202.169.1.25),所以需要利用USG9000的NAPT功能复用公网IP地址,保证员工可以正常访问Internet。

图1 配置私网用户通过NAPT方式访问Internet组网图配置思路1.完成设备的基础配置,包括配置接口的IP地址,并将接口加入安全区域。

2.配置安全策略,允许私网指定网段访问Internet。

3.配置NAT地址池和NAT策略,对指定流量进行NAT转换,使私网用户可以使用公网IP地址访问Internet。

4.配置黑洞路由,防止产生路由环路。

操作步骤1.配置USG9000的接口IP地址,并将接口加入安全区域。

# 配置接口GigabitEthernet 1/0/1的IP地址。

<USG9000> system-view[USG9000] interface GigabitEthernet 1/0/1[USG9000-GigabitEthernet1/0/1] ip address 10.1.1.10 24[USG9000-GigabitEthernet1/0/1] quit# 配置接口GigabitEthernet 1/0/2的IP地址。

[USG9000] interface GigabitEthernet 1/0/2[USG9000-GigabitEthernet1/0/2] ip address 202.169.1.1 24[USG9000-GigabitEthernet1/0/2] quit# 将接口GigabitEthernet 1/0/1加入Trust区域。

华为Eudemon一道门防火墙

华为Eudemon一道门防火墙

配置路由模式下负载分担的双机热备份两台Eudemon和4台路由器之间运行OSPF协议Eudemon上下行业务端口加入到同一个link-group管理组,在链路故障时候能加快路由收敛。

Eudemon的双机热备份功能基于VRRP实现,Eudemon的HRP备份链路上配置两个VRRP 组分别加入VGMP管理组的Master管理组和Slave管理组,组成负载分担网络。

PC0所在LAN为受保护区域,Eudemon的GE0/0/1端口连接,部署在Trust区域。

外部网络和Eudemon的GE0/0/3相连,部署在Untrust区域。

两台Eudemon之间互联的HRP备份通道接口GE0/0/2部署在DMZ区域。

其中DMZ区域对应的VRRP组虚拟地址分别为10.100.50.5和10.100.50.6步骤1配置Eudemon A。

<Eudemon> system-view[Eudemon] interface gigabitethernet 0/0/1[Eudemon-GigabitEthernet 0/0/0] ip address 10.100.10.2 24[Eudemon-GigabitEthernet 0/0/0] quit[Eudemon] interface gigabitethernet 0/0/2[Eudemon-GigabitEthernet 0/0/1] ip address 10.100.50.2 24[Eudemon-GigabitEthernet 0/0/1] quit[Eudemon] interface gigabitethernet 0/0/3[Eudemon-GigabitEthernet 0/0/2] ip address 10.100.30.2 24[Eudemon-GigabitEthernet 0/0/2] quit[Eudemon] firewall zone trust[Eudemon-zone-trust] add interface gigabitethernet 0/0/1[Eudemon-zone-trust] quit[Eudemon] firewall zone dmz[Eudemon-zone-dmz] add interface gigabitethernet 0/0/2[Eudemon-zone-dmz] quit[Eudemon] firewall zone untrust[Eudemon-zone-untrust] add interface gigabitethernet 0/0/3[Eudemon-zone-untrust] quit[Eudemon] interface gigabitethernet 0/0/1[Eudemon-GigabitEthernet 0/0/0] link-group 1[Eudemon-GigabitEthernet 0/0/0] quit[Eudemon] interface gigabitethernet 0/0/3[Eudemon-GigabitEthernet 0/0/1] link-group 1[Eudemon-GigabitEthernet 0/0/1] quit# 配置统一安全网关的缺省过滤规则。

Eudemon防火墙上机指导书

Eudemon防火墙上机指导书

EUDEMON防火墙上机指导书目录第1章实验一 NAT地址转换(地址池方式) (iii)1.1 组网图 (iii)1.2 系统组网说明 (iv)1.3 客户机配置 (iv)1.4 系统数据配置 (iv)1.5 验证 (v)1.6 思考题 (v)第2章实验二 NAT地址转换(easy ip方式) (vi)2.1 组网图 (vi)2.2 系统组网说明 (vi)2.3 客户机配置 (vi)2.4 系统数据配置 (vi)2.5 验证 (vii)第3章实验三 NAT ALG应用 (viii)3.1 组网图 (viii)3.2 系统组网说明 (viii)3.3 客户机配置 (viii)3.4 系统数据配置 (ix)3.5 验证 (x)3.6 思考题 (x)第4章实验四 NAT SERVER应用 (xi)4.1 组网图 (xi)4.2 系统组网说明 (xi)4.3 客户机配置 (xi)4.4 系统数据配置 (xii)4.5 验证 (xii)第5章实验五 ASPF实例 (xiii)5.1 组网图 (xiii)5.2 系统组网说明 (xiii)5.3 客户机配置 (xiii)5.4 系统数据配置 (xiv)5.5 验证 (xiv)5.6 思考题 (xv)第6章 实验六 用户访问量限制 (xvi)6.1 组网图 (xvi)6.2 系统组网说明 (xvi)6.3 客户机配置 (xvi)6.4 系统数据配置 (xvi)6.5 验证 (xvii)6.6 思考题 (xviii)第7章 实验七 网络攻击防范实例 (xix)7.1 组网图 (xix)7.2 系统组网说明 (xix)7.3 客户机配置 (xix)7.4 系统数据配置 (xix)7.5 验证 (xx)实验一 NAT 地址转换(地址池方式)1.1 组网图PC2:192.168.0.21.2 系统组网说明(1)PC1接eudemon以太网1端口,属untrust区域,无需设置网关地址;(2)PC2接eudemon以太网0端口,属trust区域,需设置网关地址;(3)PC2作为NAT私网客户端可以ping通公网的PC1。

华为Eudemon防火墙配置命令

华为Eudemon防火墙配置命令

华为Eudemon防火墙配置命令The standard access list configuration command formatAcl acl - number [match - order config | auto]Rule {normal | special} {permit | deny} [source sour-addr sour-wildcard | any](1) configure the extended access list for the TCP/UDP protocol:Rule {normal | special} {permit | deny} {TCP | udp} [source source - addr source - wildcard | any] [source - the port operator port1 [port2]] [destination dest - addr dest - wildcard | any] [destination - port operator port1 [port2]] [logging](2) the expanded access list for configuring the ICMP protocol:Rule {normal | special} {permit | deny} icmp [source source - addr source - wildcard | any] [destination dest - addr dest - wildcard | any] [icmp -type icmp -type icmp p-code] [logging](3) extend access lists for other protocols:Rule {normal | special} {permit | deny}} {IP | ospf igmp | | gre [source source - addr source - wildcard | any] [destination dest - addr dest - wildcard | any] [logging]The operator operator has:Equal portnumber (= portnumber)Greater than portnumber (> = portnumber)Less than portnumber (< = portnumber)Not equal portnumber (< > portnumber)Range portnumber1 portnumber2 (portnumber1 > and < portnumber2)Example: create a list of access controls numbering 102.[Eudemon] acl number 102# configure the ACL rule to allow specific users to access the internal server from the external network.The above configuration has completed the creation of the ACL. The following configuration is a reference to the ACL in the packet filtering application, and the details of the relevant commands are described in the relevant section.# # will apply ACL rule 101 to the area between the Trust area and the Untrust area.[Eudemon - interzon-trust-untrust] packet - filter 101# 1: the ACL rule 102 ACTS in the direction of the trust zone between the unTrust area and the unTrust area.[Eudemon - interzon-trust-untrust] -filter 102The application protocol for an FTP protocol between the Trust area and Untrust area is detected.[Eudemon - interzon-trust-untrust] detect FTP2, ASPF configuration example[Eudemon] firewall session aging - time FTP 3000[Eudemon] firewall session aging - time HTTP 3000[Eudemon] acl number 101[Eudemon - acls] rule deny IPEudemon acl number 10[Eudemon - acls] rule permit source any[Eudemon] the firewall packet - filter default permit interzone trust untrust direction outbound[Eudemon] firewall interzone trust untrust[Eudemon - interzon-trust-untrust] packet - filter 101 [Eudemon - interzon-trust-untrust] detect FTP[Eudemon - interzon-trust-untrust] detect HTTP[Eudemon - interzons-untrust] detect java-blocking 10 Blacklist examples[Eudemon] the firewall of the firewall -- filter icmp range global/ Eudemon firewall blacklist enableMultiple address translation NAT(1) define a NAT address pool that can be allocated based on the need in the system viewNAT addres-group groups-number start-addrThe group - number is the number that identifies the address pool, and the start - addr end-addr is the start and end IPaddress of the address pool.(2) define an access control list under the system view and the ACL viewDefine the access control list in the system viewAcls number acls - number [match - order {config: | auto}]Define access control rules in the ACL viewRule [rule - id] {permit | deny} [source sour-addrsour-wildcard | any] [logging] [logging](3) the access control list is associated with the NAT address pool in the domain viewNAT outbound acl - number addres-group group - numberNat Server configuration - internally provides a machine for external Http or FtpThe actual is to map external addresses and ports to internal serversNAT server protocol pro - type global global-addr [global port1]NAT server global global - addr inside host - addr6, Easy IP configurationNAT outbound acacl - number interface interface - nameApplication level gateway ALGSolutions to the IP packet header address of NAT only to exchange information and TCP/UDP port head problem, because such as ICMP/FTP protocol packet data section contains the IP address and port information, are:(1) the following commands are executed under the system view, enabling the ALG function of the corresponding protocolNAT alg enable {FTP | h323 | icmp | ras}(2) the ASPF test is configured for the application layer protocol in the domain viewDetect protocolThe Eudemon firewall configuration step(1) firewall planningNetwork topology diagram (specific to network equipment physical port allocation and connection); The allocation of IP addresses (the allocation of all IP addresses to network devices); The division of the area on the firewall; Address mapping of the firewall; Firewalls require open policies;(2) configure the interface IP addressConfigure the IP address and configure the IP address of each interface# configure firewall interface Ethernet 0/0/0.[Eudemon] interface Ethernet 0/0/0[Eudemon - ethernet0/0/0] quitFor a dual machine, you need to configure VRRP under the interface[Eudemon] int eth 0/0/0The VRRP backup group 1 is configured in the interface eth0/0/0, and notice that the virtual IP needs to be in the same network segment as the interface address[Eudemon - ethernet0/0/0] interface Ethernet 0/0/1The VRRP backup group 2 is configured in the interface eth0/0/1Note: when configuring VRRP under the interface, do not configure the VRRP priority(3) the configuration domain# configure the area DMZ.[Eudemon] firewall zone name dmz1[Eudemon - zone - dmz1] set priority 70(4) divide the interfaces into domains# configure interface Ethernet 1/0/0 to join the firewall DMZ domain./ Eudemon firewall zone the DMZ[Eudemon - zone - DMZ] add interface Ethernet 1/0/0[Eudemon - zone - the DMZ] the quit(5) configure VRRP (dual machine)# create VRRP management group 1 and add all VRRP backup groups to the management group for unified managementEudemon VRRP - group 1# virtual routing in VGMP group to join, and VGMP will automatically sort according to the scope of the configuration,the following configuration when performing display current as you can see the add interface Ethernet 2/0/0 VRRP vrid 3 data transfer - only for the first article, vrrp1 and vrrp2 article 1, 2, respectively.[Eudemon - vrrpgroup - 1] add interface Ethernet 0/0/0, vrid 1 data[Eudemon - vrrpgroup - 1] add interface Ethernet 0/0/1 VRRP 2 dataThe channel that configures the transfer-only parameter will be the preferred channel, and the change in the channel will not affect the change of the VGMP priority and cause the state switch[Eudemon - vrrpgroup - 1] add interface Ethernet 2/0/0, vrid 3 data transfer - only# enables the VRRP management team to manage VRRP only if the VGMP is enabled[Eudemon vrrpgroup - 1] VRRP enable# # enable the automatic preemption of the VRRP management group to preempt the delay by using the default time of 0 seconds[Eudemon vrrpgroup - 1] VRRP preedom(6) configuration VRRP groupThe default priority is 100 when the firewall does not configure VGMP priority. VGMP should be paid attention to when configuring priority priority descending algorithm: priority = priority after the decline - priority / 16, when the firewall is out of order, after the decline of priority should be lower precedence than the slave of the firewall, can only bemain/standby state switch, otherwise the failure state of firewall is still primarily, resulting in business will continue. For example, the following configuration is decremented with a priority of 105-105/16 = 98, so the slave firewall should be larger than that.[Eudemon - vrrpgroup - 1] VRRP priority 105The quit [Eudemon vrrpgroup - 1]Rematch the functionality from the firewall(7) configuration HRP# enable HRP functionality, which will display HRP_M in front of [Eudemon] before [Eudemon], which will display HRP_S from the firewall, and the default is automatic real-time backup.[Eudemon] HRP enableThe configuration of the above major firewall, the configuration from the firewall basically is the same as the main firewall configuration, only needs to changeThe IP address of the change interface.Verify the dual machine configuration(9) configure the address translation(10) configured ACLEudemon] acl name Tod advanced(11) apply acls in the domain[Eudemon] firewall interzone DMZ untrust[eu-interzone - the dmz-untrust] packet - filter Tod inbound(12) check the business configurationCheck the state of two machines: check whether thedouble-machine switch has any effect on the businessCheck configuration synchronization: check that the configuration of the main standby machine is synchronized and can be implemented by comparing configurationsVerify business is normal: test business is normalFirewall maintenance commands(1) the display diagnostic information collects all the information from the firewall for the submission of support staff analysis(2) the display firewall session table v this command is used to view the firewall connection information table(3) the Debug commandDisplay the output of debug to the current Telnet or console window: both the terminal debuging and the termainl monitor command (the online business is banned)There are the Debug NAT packetFirewall packet - filter all interzone untrust trustDebugging IP icmp debugged pingsDebugging IP packet Debugging all IP packets。

华为防火墙配置使用手册

华为防火墙配置使用手册

华为防火墙配置使用手册【实用版】目录1.华为防火墙概述2.华为防火墙的基本配置3.华为防火墙的 IP 地址编址4.华为防火墙的访问控制列表(ACL)配置5.华为防火墙的 NAT 地址转换应用控制协议配置6.华为防火墙的实战配置案例正文华为防火墙作为一款重要的网络安全设备,被广泛应用于各种网络环境中。

本文将详细介绍华为防火墙的基本配置过程,包括 IP 地址编址、访问控制列表(ACL)配置以及 NAT 地址转换应用控制协议配置等方面的内容。

一、华为防火墙概述华为防火墙是一款高性能、多功能的网络安全设备,可以有效防止外部网络攻击,保护内部网络的安全。

华为防火墙支持多种网络协议,如 IP、TCP、UDP 等,同时支持访问控制列表(ACL)、NAT 地址转换等高级功能。

二、华为防火墙的基本配置在使用华为防火墙之前,首先需要对其进行基本配置,包括设备名称、管理 IP 地址等。

具体操作如下:1.登录华为防火墙的 Web 管理界面,输入设备的默认管理 IP 地址和用户名。

2.在管理界面中,找到“系统配置”菜单,进入后修改设备名称和管理 IP 地址。

三、华为防火墙的 IP 地址编址华为防火墙的 IP 地址编址主要包括内部网络接口和外部网络接口的配置。

内部网络接口连接内部网络设备,外部网络接口连接外部网络设备。

具体操作如下:1.登录华为防火墙的 Web 管理界面,找到“接口配置”菜单。

2.修改内部网络接口和外部网络接口的 IP 地址和子网掩码。

3.配置路由协议,如 OSPF、BGP 等,使华为防火墙能够正确转发数据包。

四、华为防火墙的访问控制列表(ACL)配置访问控制列表(ACL)是华为防火墙的重要功能之一,可以实现对网络流量的精细控制。

具体操作如下:1.登录华为防火墙的 Web 管理界面,找到“安全策略”菜单。

2.创建访问控制列表,设置列表名称和规则。

3.将访问控制列表应用于需要控制的接口,如内部网络接口或外部网络接口。

华为Eudemon防火墙-详细配置

华为Eudemon防火墙-详细配置

华为Eudemon防火墙-详细配置配置各接口IP地址、网络参数、缺省路由。

Eudemon防火墙连接Trust、DMZ和Untrust三个安全区域,因此需要配置相关连接接口的IP地址、链路层、网络层、路由的参数,从而实现Eudemon网络层与其他设备互通。

# 配置Eudemon防火墙Ethernet0/0/0接口的IP地址。

[Eudemon] interface ethernet 0/0/0[Eudemon-Ethernet0/0/0] ip address 10.110.1.11 255.255.255.0[Eudemon-Ethernet0/0/0] quit# 配置Eudemon防火墙Etherent1/0/0接口的IP地址。

外网[Eudemon] interface ethernet 1/0/0[Eudemon-Ethernet1/0/0] ip address 202.38.160.1 255.255.0.0[Eudemon-Ethernet1/0/0] quit# 配置Eudemon防火墙Etherent2/0/0接口的IP地址。

[Eudemon] interface ethernet 2/0/0[Eudemon-Ethernet2/0/0] ip address 10.110.5.11 255.255.255.0[Eudemon-Ethernet2/0/0] quit# 配置Eudemon防火墙到达Internet的缺省路由。

[Eudemon] ip route-static 0.0.0.0 0.0.0.0 202.38.160.15 到外网网关[Eudemon] ip route-static 10.110.1.0 255.255.255.0 10.110.1.2 到三层第三步:创建或配置安全区域,为安全区域增加隶属接口。

Eudemon防火墙三个Ethernet接口分别连接Trust、DMZ和Untrust三个系统保留的安全区域,因此仅需要为安全区域增加隶属的接口即可。

Eudemon防火墙双机热备业务特性与配置

Eudemon防火墙双机热备业务特性与配置

Eudemon防火墙双机热备业务特性与配置Eudemon防火墙是华为公司推出的一款高性能、高可靠性的网络安全设备。

在网络架构中,防火墙是非常重要的部分,其主要作用是监控和控制数据流量,保护网络安全。

而双机热备技术则是防火墙设备中的一项重要功能,能够在主设备故障的情况下,自动进行切换,保障网络的连续性和可靠性。

Eudemon防火墙的双机热备技术具有以下几个特性:1、高可用性:双机热备技术使得主备设备之间的状态保持实时同步,当主设备发生故障时,备设备可以立即接管主设备的工作,保证网络的持续运行。

2、高性能:双机热备技术采用硬件加速和负载均衡技术,可以将数据流量均匀地分发到主备设备上进行处理,提高防火墙的处理能力和响应速度。

3、灵活的部署方式:双机热备技术支持主备设备的本地部署和远程部署,可以根据实际情况进行选择,灵活满足不同网络环境的需求。

4、恢复能力强:双机热备技术具备自动切换和自动恢复功能,当主设备恢复正常运行时,能够自动将工作从备设备切换回主设备,实现系统的自动恢复和平滑过渡。

5、稳定可靠:双机热备技术采用了多种冗余设计,包括硬件冗余、软件冗余和数据冗余等,可以有效地提高防火墙的稳定性和可靠性,有效避免单点故障的发生。

对于Eudemon防火墙双机热备的配置,可以按照以下步骤进行:1、设备连接和初始化:将主备设备之间进行物理连接,确保两者之间的网络畅通,然后进行设备的初始化配置,包括设置IP地址、子网掩码、网关等,以及进行设备的授权和许可证的导入。

2、主备设备的信息同步:在主备设备之间进行信息同步,包括配置文件、路由表、状态信息等。

这是保证主备设备之间能够实时同步状态的基础。

3、配置双机热备功能:在主设备上开启双机热备功能,并设置备设备的优先级,配置主备设备的心跳检测参数,以便能够实时监测主备设备的状态。

4、测试和验证:在配置完成后,进行测试和验证,包括主备设备之间的切换测试、数据流量的负载均衡测试等,确保双机热备功能的正常运行和可靠性。

Eudemon防火墙配置NATServer双出口举例

Eudemon防火墙配置NATServer双出口举例

配置NAT Server双出口举例本例给出一个同时接入两个运营商网络的企业配置内部服务器的案例。

这个企业从每个运营商处都获取到了一个公网IP地址,为了保证所有用户的访问速度,需要让不同运营商的用户通过访问相应的运营商的IP来访问公司提供的服务,而不需要经过运营商之间的中转。

组网需求如图1所示,某公司内部网络通过Eudemon与两个运营商网络连接。

公司内网有一台FTP Server同时对两个运营商网络提供服务器,其真实IP 是10.1.1.2。

ISP1网络中的用户可以通过1.1.1.2访问FTP Server,ISP2网络中的用户可以通过2.2.2.2访问FTP Server。

要实现这一需求,只要将两个运营商网络划入不同的安全区域,使用nat server的zone参数对不同的安全区域发布不同的公网IP即可。

图1 配置多对一的内部服务器组网图项目数据备注操作步骤1. 创建安全区域。

2. <Eudemon>system-view3. [Eudemon] firewall zone name ISP14. [Eudemon-zone-isp1] set priority 105. [Eudemon-zone-isp1] quit6. [Eudemon] firewall zone name ISP27. [Eudemon-zone-isp2] set priority 208. [Eudemon-zone-isp2] quit9. 配置各接口的IP地址,并将其加入安全区域。

10. [Eudemon] interface GigabitEthernet 0/0/311. [Eudemon-GigabitEthernet0/0/3] ip address 10.1.1.1 2412. [Eudemon-GigabitEthernet0/0/3] quit13. [Eudemon] interface GigabitEthernet 0/0/414. [Eudemon-GigabitEthernet0/0/4] ip address 1.1.1.1 2415. [Eudemon-GigabitEthernet0/0/4] quit16. [Eudemon] interface GigabitEthernet 0/0/517. [Eudemon-GigabitEthernet0/0/5] ip address 2.2.2.1 2418. [Eudemon-GigabitEthernet0/0/5] quit19. [Eudemon] firewall zone dmz20. [Eudemon-zone-dmz] add interface GigabitEthernet 0/0/321. [Eudemon-zone-dmz] quit22. [Eudemon] firewall zone ISP123. [Eudemon-zone-isp1] add interface GigabitEthernet 0/0/424. [Eudemon-zone-isp1] quit25. [Eudemon] firewall zone ISP226. [Eudemon-zone-isp2] add interface GigabitEthernet 0/0/527. [Eudemon-zone-isp2] quit28. 配置域间包过滤,以保证网络基本通信正常。

华为防火墙Edumon1000E配置

华为防火墙Edumon1000E配置

华为防火墙Edumon1000E配置华为防火墙Edumon1000E,配置有四个光电互斥接口,为千兆状态防火墙。

默认情况下所有区域之间不允许有流量经过。

本文为Edumon1000E的基本配置,该基本配置适用一般企业级单机接入情况。

配置一台防火墙主要包含以下几个步骤:1、配置端口IP,并将指定端口加入Untrust/trust/DMZ区域;2、配置默认路由指向公网;3、配置NAT,允许内部用户通过防火墙进行地址转换上公网;4、开放内部服务器的指定端口,允许通过公网访问指定内部服务器;5、配置防火墙允许通过ssh 或telnet远程管理;第一次配置必须使用console口进行配置;注意:防火墙默认情况下所有区域之间包过滤规则为deny all,当出现网络不通情况时,除检查相关路由配置外,还要注意是否配置相应的ACL允许数据包通过。

默认情况下无法ping通过防火墙各端口,也是因为没有相关ACL规则导致。

[Eudemon]display current-configuration09:54:21 2010/04/27# 增加acl 2001允许内网用户NAT上Internetacl number 2001rule 0 permit source 172.40.0.0 0.0.255.255rule 2 permit source 192.168.0.0 0.0.255.255# 增加ACL 3001允许通过外网访问内部服务器指定端口acl number 3001rule 0 permit tcp destination 172.40.1.16 0 destination-port eq 9080rule 1 permit tcp destination 172.40.1.16 0 destination-port eq 5631rule 2 permit tcp destination 172.40.1.16 0 destination-port eq 5632rule 3 permit tcp destination 172.40.1.17 0 destination-port eq 5631rule 4 permit tcp destination 172.40.1.17 0 destination-port eq 5632rule 5 permit tcp destination 172.40.1.18 0 destination-port eq 5631rule 6 permit tcp destination 172.40.1.18 0 destination-port eq 5632rule 7 permit tcp destination 172.40.1.16 0 destination-port eq 6129acl number 3010 //ACL 3010允许公网用户通过ssh访问防火墙rule 0 permit tcp destination 11.18.13.4 0 destination-port eq ssh#sysname Eudemon#设置local到trust区域的默认防火墙包过滤规则firewall packet-filter default permit interzone local trust direction inboundfirewall packet-filter default permit interzone local trust direction outbound#配置全局NAT和指定端口映射。

华为E1000设备NAT配置案例

华为E1000设备NAT配置案例

华为防火墙配置案例(E1000)在内网部署好应用服务器提供给外网用户访问,而且也只能是被动的接收外网访问(例如web服务器,ftp服务器),服务器本身是不能访问互联网。

简单拓扑:一、IP分布1、内网服务器IP:192.168.37.205内网服务器提供的端口:222、防火墙版本HRP_M<HSX-FW-2.PT.HB_ZXCN2_E1000-3>display version19:36:34 2018/03/21Huawei Versatile Routing Platform SoftwareSoftware Version: Eudemon 1000E V100R002C01SPC200 (VRP (R) Software, Version 3.30)Copyright (C) 2008-2010 Huawei Technologies Co., Ltd.Quidway Eudemon1000E-U6 uptime is 326 weeks, 0 day, 19 hours, 24 minutesPatch: V100R002C01SPH201RPU's Version Information:2048M bytes SDRAM64M bytes FLASH128K bytes NVRAMPCB Version : VER.BRPE Logic Version : 005BSmall BootROM Version : 026 Apr 22 2010Big BootROM Version : 042 Oct 14 2010Slot1:2GE (PCB)VER.A (Software)000 (Logic)000 (Board)SUP1E2GESlot2:2GE (PCB)VER.A (Software)000 (Logic)000 (Board)SUP1E2GE3、防火墙NAT,这里使用公网IP:x.x.x.x3322端口映射<> 192.168.37.205 22,这样当你访问公网IP的3322端口时其实就是访问内网IP的22端口nat server protocol tcp global x.x.x.x 3322 inside 192.168.37.205 224、设置好NAT之后还需设置进入规则,默认是拒绝所有访问的。

华为Eudemon1000E-F系列AI防火墙(盒式)说明书

华为Eudemon1000E-F系列AI防火墙(盒式)说明书

华为Eudemon1000E-F系列AI防火墙(盒式)数字化浪潮正在席卷全球,广泛的连接、爆炸式增长的数据以及蓬勃发展的智能应用正在深刻改变人类的生活和工作方式,运营商业务的数字化和云服务化推动着网络的变革,同时也给网络安全带来了更大的挑战:威胁增多,未知威胁变异加快且隐蔽度高;用户对安全业务需求逐渐增长,性能和时延成为瓶颈;海量的安全策略和日志,威胁处置和运维耗时巨大。

防火墙作为网络边界的“第一道门”是当前安全防护的首选,然而传统防火墙通常只能基于签名实现威胁的分析和阻断,该方法对未知威胁无有效的处置方法,同时威胁的实效依赖运维人员的专业度。

这种单点、被动、事中防御的方式已经不能有效的解决未知威胁攻击,对于隐匿于加密流量中的威胁更是难以有效的识别。

终端接入城域&回传核心骨干&关口局云业务产品图华为Eudemon1000E-F35/Eudemon1000E-F55/Eudemon1000E-F85华为Eudemon1000E-F125华为Eudemon1000E-F205华为Eudemon1000E-F15/Eudemon1000E-F25华为推出Eudemon1000E-F系列AI防火墙,通过全新软硬件架构,打造具备智能防御、卓越性能、极简运维三大关键能力的新一代AI防火墙,有效应对挑战。

Eudemon1000E-F系列使用智能技术赋能边界防御,精准阻断已知和未知威胁;内置多个安全专用加速引擎有效提升转发、内容安全检测、IPSec等关键业务处理性能;通过安全运维平台实现防火墙、入侵防御、抗DDoS等多类安全产品的统一管理和运维,降低安全运维OPEX。

华为HiSecEngine Eudemon1000E-F系列AI防火墙(盒式)华为HiSecEngine Eudemon1000E-F 系列AI 防火墙(盒式)10-3产品亮点•全新软硬件架构,大幅提升防火墙业务处理能力卓越性能•网络边缘威胁实时处置,未知威胁检测准确率高达99%以上智能防御•控制器统一纳管,基于业务部署与变更策略,安全运维OPEX 降低80%以上极简运维智能防御Eudemon1000E-F 系列AI 防火墙提供应用识别、入侵防御(IPS )、反病毒和URL 过滤等内容安全相关的功能,有效保证内网服务器和用户免受威胁的侵害。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

[原创]华为Eudemon防火墙NAT配置实例Post By:2007-7-11 11:35:00
贴一下我公司里防火墙的配置,希望能够起到抛砖引玉的作用。

具体外网IP和内网ARP绑定信息已经用“x”替代,请根据实际情况更换。

“//”后面的部分是我导出配置后添加的注释。

防火墙型号为华为Eudemon 200,E0/0/0口为外网接口,E0/0/1口为内网。

另外此配置方法也完全适用于华为Secpath系列防火墙,略加改动也可适用于华为AR系列路由器。

------------------------------------------传说中的分隔线------------------------------------------
#
sysname Eudemon//设置主机名
#
super password level 3 simple xxxxxxxx//Super密码为xxxxxxxx #
firewall packet-filter default permit interzone local trust direction inbound
firewall packet-filter default permit interzone local trust direction outbound
firewall packet-filter default permit interzone local untrust direction inbound
firewall packet-filter default permit interzone local untrust direction outbound
firewall packet-filter default permit interzone local dmz direction inbound
firewall packet-filter default permit interzone local dmz direction outbound
firewall packet-filter default permit interzone trust untrust direction inbound
firewall packet-filter default permit interzone trust untrust direction outbound
firewall packet-filter default permit interzone trust dmz direction inbound
firewall packet-filter default permit interzone trust dmz direction outbound
firewall packet-filter default permit interzone dmz untrust direction inbound
firewall packet-filter default permit interzone dmz untrust direction outbound//设置默认允许所有数据包通过
#
青岛IT社区提醒:本地交易眼见为实,当面验货!不要嫌麻烦!交易地点建议在人多地方,防止抢劫!
QQ:
支持(0) 中立(0) 反对(0)
wanghaoqd 小大 2楼个性首页| QQ| 信息| 搜索| 邮箱| 主页| 手机号码所在地查询|
加好友发短信
蛋白超人
等级:退役版主帖子:206 7积分:185 威望:5精华:1 注册:2004-3-24
Post By:2007-7-11 11:35:00
nat address-group 1 //将ISP分配的公网IP加入地址池1
nat server global inside
nat server global inside
nat server global inside
nat server global inside
nat server global inside //将几个公网IP地址映射到内部服务器
nat alg enable ftp
nat alg enable dns
nat alg enable icmp
nat alg enable netbios
undo nat alg enable h323
undo nat alg enable hwcc
undo nat alg enable ils
undo nat alg enable pptp
undo nat alg enable qq
undo nat alg enable msn
undo nat alg enable user-define
undo nat alg enable rtsp
firewall permit sub-ip
#
firewall statistic system enable
#
interface Aux0
async mode flow
link-protocol ppp
#
interface Ethernet0/0/0
ip address //设置外网端口IP地址,此处为网通分配的内部私有IP,
#
interface Ethernet0/0/1
ip address //设置内网IP地址,采用
#
interface NULL0
#
acl number 2000
rule 0 permit source //ACL 2000,目的是只允许
rule 1 deny
#
acl number 3001
rule 0 deny udp destination-port eq 445
rule 1 deny udp destination-port eq netbios-ns
rule 2 deny udp destination-port eq netbios-dgm
rule 3 deny udp destination-port eq netbios-ssn
rule 4 deny udp destination-port eq 1434
rule 5 deny tcp destination-port eq 135
rule 6 deny tcp destination-port eq 139
rule 7 deny tcp destination-port eq 389。

相关文档
最新文档