华为Eudemon防火墙配置命令

1、标准访问列表的配置命令格式
acl acl-number [ match-order config | auto ]
rule { normal | special }{ permit | deny } [source source-addr source-wildcard | any ]

(1)配置TCP/UDP协议的扩展访问列表：
rule { normal | special }{ permit | deny } { tcp | udp } [source source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ] [destination-port operator port1 [ port2 ] ] [logging]
(2)配置ICMP协议的扩展访问列表：
rule { normal | special }{ permit | deny } icmp [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [icmp-type icmp-type icmp-code] [logging]
(3)配置其它协议的扩展访问列表：
rule { normal | special }{ permit | deny } { ip | ospf | igmp | gre } [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [logging]
其中operator操作符有：
equal portnumber (=portnumber)
greater-than portnumber (>=portnumber)
less-than portnumber (<=portnumber)
not-equal portnumber (<>portnumber)
range portnumber1 portnumber2 (portnumber1> and
例:创建编号为102的访问控制列表。
[Eudemon] acl number 102
# 配置ACL规则，允许特定用户从外部网访问内部服务器。
[Eudemon-acl-adv-102] rule permit tcp source 202.39.2.3 0 destination 129.38.1.1 0
[Eudemon-acl-adv-102] rule permit tcp source 202.39.2.3 0 destination 129.38.1.2 0
[Eudemon-acl-adv-102] rule permit tcp source 202.39.2.3 0 destination 129.38.1.3 0
上述配置已经完成了ACL的创建。下面的配置是在包过滤应用中引用ACL，相关命令的具体解释请见相关章节的描述。
# 将ACL规则101作用于Trust区域到Untrust区域间的出方向。
[Eudemon-Interzone-trust-untrust] packet-filter 101 outbound
# 将ACL规则102作用于unTrust区域到trust区域间的入方向。
[Eudemon-Interzone-trust-untrust] packet-filter 102 inbound
# 在Trust区域和Untrust区域之间使能FTP协议的应用协议检测。
[Eudemon-Interzone-trust-untrust] detect ftp

2、ASPF配置例子
[Eudemon] firewall session aging-time ftp 3000
[Eudemon] firewall session aging-time http 3000
[Eudemon] acl number 101
[Eudemon-acl-adv-101] rule deny ip
[Eudemon] acl number 10
[Eudemon-acl-basic-10] rule deny source 2.2.2.11 0.0.0.0
[Eudemon-acl-basic-10] rule permit source any
[Eudemon] firewall packet-filter default permit interzone trust untrust direction outbound
[Eudemon] firewall interzone trust untrust
[Eudemon-interzone-trust-untrust] packet-filter 101 inbound
[Eudemon-interzone-trust-untrust] detect ftp
[Eudemon-interzone-trust-untrust] detect http
[Eudemon-interzone-trust-untrust] detect java-blocking 10

3、黑名单例子
外网机器202.169.168.10通过防火墙到内网服务器192.168.10.1，现要求在100分钟内过滤掉外网机发送的所有ICMP报文，则配置如下：
[Eudemon] firewall blacklist

item 202.169.168.10 timeout 100
[Eudemon] firewall blacklist packet-filter icmp range global
[Eudemon] firewall blacklist enable

4、多对多地址转换NAT
(1)在系统视图下定义一个可以根据需要进行分配的NAT地址池
nat address-group group-number start-addr end-addr
其中，group-number是标识这个地址池的编号，start-addr end-addr是地址池的起始和结束IP地址。
(2)在系统视图和ACL视图下定义一个访问控制列表
在系统视图下定义访问控制列表
acl number acl-number [ match-order { config | auto } ]
在ACL视图下定义访问控制规则
rule [ rule-id ] { permit | deny } [ source sour-addr sour-wildcard | any ] [ time-range time-name ] [ logging ]
(3)在域间视图下将访问控制列表和NAT地址池关联
nat outbound acl-number address-group group-number

5、Nat Server配置——在内部提供一台机器供外部Http或者Ftp
实际是将外部地址、端口映射到内部服务器上
nat server protocol pro-type global global-addr [ global-port1 [ global-port2 ] ] inside host-addr [ host-addr2 host-port ]
nat server global global-addr inside host-addr

6、Easy IP配置
nat outbound acl-number interface interface-name

7、应用级网关ALG
解决NAT只能对IP报文头部地址和TCP/UDP头部端口进行信息转换问题，因为如ICMP/FTP协议报文数据部分包含了IP地址和端口信息，则：
(1)在系统视图下执行下列命令则使能了相应协议的ALG功能
nat alg enable { ftp | h323 | icmp | ras }
(2)在域间视图下为应用层协议配置ASPF检测
detect protocol

8、Eudemon防火墙配置步骤
(1)防火墙组网规划
组网拓朴图（具体到网络设备物理端口的分配和连接）;IP地址的分配（具体到网络设备所有IP地址的分配）;防火墙上的区域划分;防火墙的地址映射关系;防火墙需要开放的策略;

(2)配置接口IP地址
配置IP地址，把各接口的IP地址配置好
# 配置防火墙接口Ethernet 0/0/0。
[Eudemon] interface ethernet 0/0/0
[Eudemon-Ethernet0/0/0] ip address 192.168.1.1 255.255.255.0
[Eudemon-Ethernet0/0/0] quit
如为双机，需要在接口下配置vrrp
　[Eudemon]int eth 0/0/0
[Eudemon-ethernet0/0/0]ip address 192.168.10.1 255.255.255.0
# 在接口eth0/0/0下配置VRRP备份组1，注意虚拟IP需要和接口地址同一网段
[Eudemon-ethernet0/0/0]vrrp vrid 1 virtual-ip 192.168.10.4
[Eudemon-ethernet0/0/0]interface ethernet 0/0/1
[Eudemon-ethernet0/0/1]ip address 192.168.3.1 255.255.255.0
# 在接口eth0/0/1下配置VRRP备份组2
注意：在接口下配置vrrp时，不要配置vrrp优先级

(3)配置域
#配置区域dmz。
[Eudemon] firewall zone name dmz1
[Eudemon-zone-dmz1] set priority 70

(4)把接口划分到域
# 配置接口Ethernet 1/0/0加入防火墙DMZ域。
[Eudemon] firewall zone dmz
[Eudemon-zone-dmz] add interface ethernet 1/0/0
[Eudemon-zon

e-dmz] quit

(5)配置VRRP（双机）
# 创建VRRP管理组1，将所有的VRRP备份组添加到管理组中进行统一管理
[Eudemon]vrrp-group 1
# 在VGMP组中将虚拟路由加入，并且VGMP会按照配置的范围进行自动排序，如下面的配置当执行display current可以看到 add interface ethernet 2/0/0 vrrp vrid 3 data transfer-only 为第一条，vrrp1和vrrp2分别为1、2条。
[Eudemon-vrrpgroup-1]add interface ethernet 0/0/0 vrrp vrid 1 data
[Eudemon-vrrpgroup-1]add interface ethernet 0/0/1 vrrp vrid 2 data
＃配置transfer-only参数的通道会作为首选通道，并且该通道不会状态的变化 不会影响VGMP优先级的变化而引起状态切换
[Eudemon-vrrpgroup-1]add interface ethernet 2/0/0 vrrp vrid 3 data transfer- only
＃使能VRRP管理组，只有使能了VGMP，才能对VRRP进行统一管理
[Eudemon-vrrpgroup-1]vrrp enable
# 启用VRRP管理组的自动抢占功能，抢占延时采用默认时间为0秒
[Eudemon-vrrpgroup-1]vrrp preedom

(6)配置VRRP组
＃当防火墙不配置VGMP的优先级时，默认优先级为100。当配置优先级应注意VGMP优先级的递减算法：递减后的优先级＝优先级－优先级/16，当主防火墙出故障时，递减后的优先级应比slave防火墙的优先级低，才可进行主备状态切换，否则出故障的防火墙仍然为主状态，从而导致业务会中断。例如以下配置递减后的优先级为105－105/16＝98，因此slave防火墙应比该优先级大。
[Eudemon-vrrpgroup-1]vrrp priority 105
[Eudemon-vrrpgroup-1]quit
再配从防火墙的功能

(7)配置HRP
# 使能HRP功能，当使能HRP功能后会在[Eudemon]前显示HRP_M，从防火墙上会显示HRP_S，默认是自动实时备份。
[Eudemon]hrp enable
以上为主防火墙的配置，从防火墙的配置基本上与主防火墙的配置相同，只需要改
变接口的IP地址即可。

(8)验证双机配置
(9)配置地址转换
[Eudemon] nat server protocol tcp global 202.169.10.10 www inside 192.168.20.10 www

(10)配置ACL
Eudemon] acl name tod advanced
[Eudemon-acl-adv-tod] rule permit tcp destination 192.168.20.10 0 //acl使用内网地址

(11)在域间应用ACL
[Eudemon] firewall interzone dmz untrust
[Eudemon-interzone-dmz-untrust] packet-filter tod inbound

(12)校验业务配置
校验双机状态：检查双机切换对于业务是否有影响　
校验配置同步情况：检查主备机的配置是否同步的，可以通过比较配置来实现
校验业务是否正常：测试业务是否正常

8、防火墙的维护命令
(1)display diagnostic-information 收集防火墙的所有信息，用于提交支持人员分析所用
(2)display firewall session table v 此命令用于查看防火墙连接信息表
(3)Debug 命令
把debug的输出显示到当前telnet或console窗口方式：同时使用terminal debuging和termainl monitor这两个命令(在线业务禁

止使用)
有 Debug nat packet
firewall packet-filter all interzone untrust trust
debugging ip icmp 调试通过的ping包
Debugging ip packet调试所有的IP数据包