配置各接口IP地址、網絡參數、缺省路由。
Eudemon防火牆連接Trust、DMZ和Untrust三個安全區域,因此需要配置相關連接接口的IP地址、鏈路層、網絡層、路由的參數,從而實現Eudemon網絡層與其他設備互通。
# 配置Eudemon防火牆Ethernet0/0/0接口的IP地址。
[Eudemon] interface ethernet 0/0/0
[Eudemon-Ethernet0/0/0] ip address 10.110.1.11 255.255.255.0
[Eudemon-Ethernet0/0/0] quit
# 配置Eudemon防火牆Etherent1/0/0接口的IP地址。外網
[Eudemon] interface ethernet 1/0/0
[Eudemon-Ethernet1/0/0] ip address 202.38.160.1 255.255.0.0
[Eudemon-Ethernet1/0/0] quit
# 配置Eudemon防火牆Etherent2/0/0接口的IP地址。
[Eudemon] interface ethernet 2/0/0
[Eudemon-Ethernet2/0/0] ip address 10.110.5.11 255.255.255.0
[Eudemon-Ethernet2/0/0] quit
# 配置Eudemon防火牆到達Internet的缺省路由。
[Eudemon] ip route-static 0.0.0.0 0.0.0.0 202.38.160.15 到外網網關
[Eudemon] ip route-static 10.110.1.0 255.255.255.0 10.110.1.2 到三層
第三步:創建或配置安全區域,爲安全區域增加隸屬接口。
Eudemon防火牆三個Ethernet接口分別連接Trust、DMZ和Untrust三個系統保留的安全區域,因此僅需要爲安全區域增加隸屬的接口即可。
# 配置Trust區域包含Ethernet0/0/0接口。
[Eudemon] firewall zone trust
[Eudemon-zone-trust] add interface ethernet 0/0/0
[Eudemon-zone-trust] quit
# 配置DMZ區域包含Ethernet2/0/0接口。
[Eudemon] firewall zone dmz
[Eudemon-zone-dmz] add interface ethernet 2/0/0
[Eudemon-zone-dmz] quit
# 配置Untrust區域包含Ethernet1/0/0接口。
[Eudemon] firewall zone untrust
[Eudemon-zone-untrust] add interface ethernet 1/0/0
[Eudemon-zone-untrust] quit
1. 簡介
NAT地址轉換機制是將內部主機IP地址替換爲外部地址,提供私有地址與公有地址之間的轉換。NAT實現了內部私有網絡訪問外部Internet網絡的功能,有助於減緩可用IP地址空間枯竭的速度,同時屏蔽了內部網絡,提高了信息傳輸的安全性。
Eudemon防火牆通過定義地址池,並用地址池中的地址作爲轉換後的外部地址來實現多對多地址轉換,利用ACL規則來對地址轉換進行控制。
2. 配置前提
必須已經完成“上面的配置。
3. 操作步驟
第一步:配置NAT地址池1,地址範圍是202.110.1.241-202.110.1.254。
[Eudemon] nataddress-group 1 202.110.1.241 202.110.1.254 (固定IP的地址段)
第二步:配置ACL規則2010,僅允許Trust區域10.110.1.0/24網段中的任意主機訪問其他網絡,禁止其它網段主機的對外訪問。
[Eudemon] acl number 2010
[Eudemon-acl-basic-2010] rule 0 permit source 10.110.1.0 0.0.0.255
[Eudemon-acl-basic-2010] rule 1 deny any
第三步:在安全區域之間使用配置好的NAT地址池。
# 進入Trust和Untrust區域間視圖,在從Trust區域到Untrust區域的方向上,對符合ACL規則10的數據流進行NAT轉換,採用NAT地址池1中的地址。
[Eudemon] firewall interzone trust untrust
[Eudemon-interzone-trust-untrust] nat outbound 2010 address-group 1
4. 檢驗結果
按照上述步驟進行配置後,正常情況下,應達到以下測試結果:
l Trust區域內任意主機10.110.1.1能通過Eudemon防火牆訪問外部網絡,即能ping通Internet用戶202.12.7.7。
l 反方向,Internet用戶202.12.7.7不能主動訪問Trust區域內主機,即不能ping通Trust區域內的主機10.110.1.1。
配置包過濾
1. 簡介
包過濾機制主要實現對IP數據包的過濾。對Eudemon需要轉發的數據包,先獲取數據包的包頭信息(上層協議號、源地址、目的地址、源端口、目的端口等),
然後和已定義的ACL規則進行比較,根據比較的結果來決定轉發還是丟棄該數據包。
2. 配置前提
必須已經完成“第3章 Eudemon的簡單配置”中的配置,並確保Eudemon和其他設備互通,並且配置安全區域間的包過濾規則。
3. 操作步驟
第一步:根據安全過濾需要,配置各種ACL規則。
# 創建訪問控制列表3101,允許Trust區域內的所有10.110.1.0網段的主機訪問外部網和DMZ區域中的服務器,拒絕其他主機訪問資源。
[Eudemon] acl number 3101
[Eudemon-acl-adv-3101] rule permit ip source 10.110.1.0 0.0.0.255destination any
[Eudemon-acl-adv-3101] rule deny ip
# 創建訪問控制列表3102,允許Internet中的特定用戶(202.12.7.7)從外部訪問DMZ區域中的內部服務器(FTP和WWW)。
[Eudemon] acl number 3102
[Eudemon-acl-adv-3102] rule permit ip source 202.12.7.7 0 destination10.110.5.100 0
[Eudemon-acl-adv-3102] rule permit ip source 202.12.7.7 0 destination10.110.5.101 0
[Eudemon-acl-adv-3102] rule deny ip
第二步:在安全區域之間應用配置好的ACL規則。
# 進入Trust和Untrust區域間,並在從Trust區域到Untrust區域的方向上應用ACL規則3101,即出方向。
[Eudemon] firewall interzone trust untrust
[Eudemon-Interzone-trust-untrust] packet-filter 3101 outbound
# 進入Trust和DMZ區域間,並在從Trust區域到DMZ區域的方向上應用ACL規則3101,即出方向。
[Eudemon] firewall interzone trust dmz
[Eudemon-Interzone-trust-dmz] packet-filter 3101 outbound
# 進入Untrust和DMZ區域間,並在從Untrust區域到DMZ區域的方向上應用ACL規則3102,即入方向。
[Eudemon] firewall interzone untrust dmz
[Eudemon-Interzone-dmz-untrust] packet-filter 3102 inbound
4. 檢驗結果
按照上述步驟進行配置後,正常情況下,應達到以下測試結果:
l Trust區域內主機能正常通過FTP或WWW方式訪問DMZ區域中的服務器,並能訪問Untrust區域內的任意主機。
l DMZ區域內的服務器不能隨意訪問Trust和Untrust區域中的主機。
l Untrust區域中的特定主機能訪問DMZ區域中的指定服務器外,但是無法訪問該區域內的其他服務器。
l Untrust區域內的其他主機都不能訪問DMZ區域和Trust區域。