港湾内置防火墙板ESP-FW配置案例.docVIP

范例及说明： 每在6808上正常配置一个vlan，整机就会向ESP-FW下达控制命令，在ESP-FW上创建一个虚拟接口，名字叫做higig0.x,其中x=刚才创建的vlan的vid,比如在6808上执行一条命令interface vlan user tag 1000,然后到ESP-FW中看配置（write ter）,会发现ESP-FW中多了一个higig0.1000的接口。和普通盒式防火墙不同，ESP-FW的最小控制单位是vlan,也就是某一个higig0.x的接口，而不是某个具体的接口，防火墙的那些限制级、保护级和dmz区也不是以某个端口，而是以某个／些vlan的形式从属于他们。 做一个带有ESP-FW板卡的６８０８配置的时候，整体的配置思路是这样的： 第一：首先做６８０８的普通配置，这时就当ESP-FW不存在，只进行常规配置，比如配置vlan/ip/router等。 第二：常规配置完毕后根据整体网络的情况进行防火墙配置的数据规划。根据vlan的性质不同如连接外网的，或者连接内部网络的，或者连接服务器区的等等情况，进行数据规划，这部分和普通盒式防火墙基本类似只不过是基于vlan进行划分。比如常规来讲，我们确认整机的uplink-vlan一般属于外网口，将归属于限制级区域。而那些连接内部网络的vlan一般将归属于保护级区域。连接专用服务器的那部分vlan一般将归属于控制级区域，也就是dmz区。初步的规划出来后，我们需要进一步考虑单纯区域划分是否满足我们的全部需要，当然一般是不能满足的，这就需要我们通过一些在具体区域生效的acl来进一步完善功能。这又冒出了一个小问题――――系统默认的几个安全级别比如受限级、保护级、控制级等在引用后不能加配acl，当必须配置acl来完善功能的时候，我们就需要首先手工创建几个安全区域，比如我们可以创建“lan”、“wan”、“dmz”3个安全区域，并分别引用“保护级（protected）”、“受限级（restricted）”、“控制级（controlled）”的默认属性，用我们手工创建的这几个区域来分配vlan，并在这些区域上引用acl就没有问题了。要把具体的vlan加入防火墙需要首先整机启用防火墙功能（servers firewall enable）,然后在整机的vlan配置模式下把具体单个vlan加入防火墙（join fitewall）,不要忘了创建一个virtual—firewall接口并配置一个用户肯定用不到的地址，比如54/30，这是作为整机将来所有没有加入防火墙的vlan和防火墙进行数据交互时用到的，创建了这个接口，防火墙上会出现一个higig0.0的接口，数据和这个接口一致。做到这一步，６８整机模式下的配置就完成了。 第三：开始进行对ESP-FW单板的配置，在整机配置下输入sesson firewall 　x　进入防火墙单板配置模式（注意退出时回到整机配置模式的命令是ctrl+z,不要一直用exit,不灵的，退到天明也退不出来），x=防火墙所在槽位号。在这里创建我们前面规划部分提到的几个安全区域，security-policy restricted wan-------------引用restricete模板创建wan区域 security-policy controlled dmz-------------引用 controlled模板创建dmz区域 security-policy protected lan--------------引用 protected模板创建 lan 区域 安全区域创建完毕后就要引用他们了，在防火墙单板配置模式下进入接口配置模式-----interface higig0.x(不用解释了吧)，这个vlan在之前已经被我们在整机的vlan配置模式中join firewall了，现在再引用区域--- ip security-policy dmz。在每一个已经加入防火墙保护的vlan都引用不同的安全区域，完成这一步以后，业务配置大体完工了，默认的规则下，高安全级别的区域向低安全级别的区域发送报文就没什么问题了。我们要telnet防火墙怎么办？telnet具体的接口地址就行了，可这样直接到的是6808呀，没错，防火墙的telnet端口不再是23了，为了和设备整机区分，这个端口被改成了20023，telnet防火墙的时候，别忘了在命令后边加上端口的参数---20023呀。什么，你还是telnet不上，呵呵，忘记了，防火墙本地我们还没有添加安全域呢，创建一个名字叫做local的安全域，把这个安全域的安全级别调到最高，启用自适应安全过滤，这些命令如下： security-policy protected local ip security-level 99 e