eudemon200防火墙综合配置指导.docVIP

Eudemon 200防火墙综合实验指导书Eudemon 200防火墙综合实验指导书? 说明：(为了配合理论课程讲解，更清晰、更全面地了解Eudemon防火墙的配置步骤，本实验指导书围绕一个具体组网需求进行分析，并提供详细的操作步骤。1.1? 实验内容：1. 结合防火墙基本原理与应用环境，分析具体应用需求；2. 灵活配置防火墙各种特性，满足应用需求；1.2? 实验目的：1. 进一步熟悉防火墙基本原理；2. 掌握防火墙典型组网应用环境；3. 熟练掌握防火墙基本配置和应用，掌握基本故障排除技巧；1.3? 实验环境：?1.4? 实验网络分析与规划1.4.1? 总体应用需求某公司对现有办公网络进行改造，总体要求是：重新规划网络拓扑结构后，公司内部网络采用私有IP地址，并和外界实现隔离，通过采取各种安全措施从而防范来自Internet的恶意攻击，同时控制内部网络对外界的随意访问，并且要求记录详细的日志信息。公司对外提供WWW、FTP服务，要求外部网络特定用户可以访问内部服务器，内部网络大多数PC机都可以访问外部网络，并要求服务器的安全性应不受威胁。1.4.2? 网络需求的初步分析目前，该公司拥有数十台办公PC机，并在不久的将来可能会扩充到几倍以上。另外，该公司还拥有数台服务器，提供WWW、FTP等服务。公司内部网络比较安全，自身很少存在安全隐患；安全威胁主要来自外网。为了满足安全性考虑，可以在内部网络到外部网络的出口处部署Eudemon防火墙设备，分别通过3个以太网接口连接内部办公区网络、服务器区网络、外部网络。根据该公司对网络规划的需求，通过分析，可以从以下几个方面满足该公司对网络安全性的要求：表1-1 实现需求的措施需求分类??? 解决方法基本安全防护??? 根据安全区域划分机制，将内部办公网络划分在Trust区，将各种服务器划分在DMZ区，将外部网络规划到Untrust区。地址转换??? 内部Trust、DMZ区域都采用私有网段地址，通过NAT机制访问外部网络。同时外部网络也通过NAT方式访问内部服务器。报文过滤??? 通过灵活应用ACL规则，从而在安全区域之间根据需要过滤各种报文，实现包过滤、状态防火墙防范多种攻击??? 启动黑名单功能，并防范常见的地址扫描攻击。日志输出??? 结合华为日志服务器记录日志信息，提供日志查询功能。1.4.3? 规划组网的地址信息根据该公司的组网需求和对应的网络拓扑图，规划的网络信息如下表所示：表1-2 收集组网的数据信息所属区域??? 拓扑单元??? 收集信息描述Trust区??? 内部网络主机??? 内部网段地址：/24??? 日志服务器??? IP地址：05/24??? Eudemon接口Ethernet0/0/0??? IP地址：1/24DMZ区??? FTP服务器??? IP地址：00/24??? WWW服务器??? IP地址：01/24??? Eudemon接口Ethernet2/0/0??? IP地址：1/24Untrust区??? 黑客PC用户??? IP地址：/24??? 合法PC用户??? IP地址：/24??? 到Internet的出口路由器的接口??? IP地址：5/24??? Eudemon接口Ethernet1/0/0??? IP地址：/241.5? 基本网络参数的配置1. 简介Eudemon防火墙属于网络安全设备，因此首先应该确保Eudemon在网络层与其他设备能互通，并具备基本安全保障功能。本节配置是进行更深入安全配置的前提条件，是必须配置的。基本安全防护的参数包括工作模式、接口IP地址、网络参数、路由协议、安全区域、接口和安全区域的隶属关系等。2. 配置前提在进行具体配置之前，请再次了解网络拓扑结构，明确整个组网情况，和相关网络信息。根据该公司的网络拓扑结构图，在各位置部署设备并正确连接。假设Eudemon防火墙的软件版本正确，则搭建Eudemon防火墙的本地配置环境，即通过Console接口进行配置。3. 操作步骤第一步：配置Eudemon工作模式。由于公司重新规划网络拓扑结构，新增加Eudemon防火墙位于内部网络和外部网络之间，且连接各安全区域的Eudemon接口具备不同网段的IP地址，因此Eudemon工作在路由模式下，相当于一台路由器。# 配置Eudemon工作在路由模式下。[Eudemon] firewall mode route第二步：配置各接口IP地址、网络参数、缺省路由。Eudemon防火墙连接Trust、DMZ和Untrust三个安全区域，因此需要配置相关连接接口的IP地址、链路层、网络层、路由的参数，从而实现Eudemon网络层与其