华为Eudemon防火墙-详细配置.docVIP

配置各接口IP地址、网络参数、缺省路由。 Eudemon防火墙连接Trust、DMZ和Untrust三个安全区域，因此需要配置相关连接接口的IP地址、链路层、网络层、路由的参数，从而实现Eudemon网络层与其他设备互通。 # 配置Eudemon防火墙Ethernet0/0/0接口的IP地址。 [Eudemon] interface ethernet 0/0/0 [Eudemon-Ethernet0/0/0] ip address 1 [Eudemon-Ethernet0/0/0] quit # 配置Eudemon防火墙Etherent1/0/0接口的IP地址。 外网 [Eudemon] interface ethernet 1/0/0 [Eudemon-Ethernet1/0/0] ip address [Eudemon-Ethernet1/0/0] quit # 配置Eudemon防火墙Etherent2/0/0接口的IP地址。 [Eudemon] interface ethernet 2/0/0 [Eudemon-Ethernet2/0/0] ip address 1 [Eudemon-Ethernet2/0/0] quit # 配置Eudemon防火墙到达Internet的缺省路由。 [Eudemon] ip route-static 5 到外网网关 [Eudemon] ip route-static 到三层 第三步：创建或配置安全区域，为安全区域增加隶属接口。 Eudemon防火墙三个Ethernet接口分别连接Trust、DMZ和Untrust三个系统保留的安全区域，因此仅需要为安全区域增加隶属的接口即可。 # 配置Trust区域包含Ethernet0/0/0接口。 [Eudemon] firewall zone trust [Eudemon-zone-trust] add interface ethernet 0/0/0 [Eudemon-zone-trust] quit # 配置DMZ区域包含Ethernet2/0/0接口。 [Eudemon] firewall zone dmz [Eudemon-zone-dmz] add interface ethernet 2/0/0 [Eudemon-zone-dmz] quit # 配置Untrust区域包含Ethernet1/0/0接口。 [Eudemon] firewall zone untrust [Eudemon-zone-untrust] add interface ethernet 1/0/0 [Eudemon-zone-untrust] quit 1. 简介 NAT地址转换机制是将内部主机IP地址替换为外部地址，提供私有地址与公有地址之间的转换。NAT实现了内部私有网络访问外部Internet网络的功能，有助于减缓可用IP地址空间枯竭的速度，同时屏蔽了内部网络，提高了信息传输的安全性。 Eudemon防火墙通过定义地址池，并用地址池中的地址作为转换后的外部地址来实现多对多地址转换，利用ACL规则来对地址转换进行控制。 2. 配置前提 必须已经完成“上面的配置。 3. 操作步骤 第一步：配置NAT地址池1，地址范围是41-54。 [Eudemon] nat address-group 1 41 54 （固定IP的地址段） 第二步：配置ACL规则2010，仅允许Trust区域/24网段中的任意主机访问其他网络，禁止其它网段主机的对外访问。 [Eudemon] acl number 2010 [Eudemon-acl-basic-2010] rule 0 permit source 55 [Eudemon-acl-basic-2010] rule 1 deny any 第三步：在安全区域之间使用配置好的NAT地址池。 # 进入Trust和Untrust区域间视图，在从Trust区域到Untrust区域的方向上，对符合ACL规则10的数据流进行NAT转换，采用NAT地址池1中的地址。 [Eudemon] firewall interzone trust untrust [Eudemon-interzone-trust-untrust] nat outbound 2010 address-group 1 4. 检验结果 按照上述步骤进行配置后，正常情况下，应达到以下测试结果： l Trust区域内任意主机能通过Eudemon防火墙访问外部网络，即能ping通Internet用户。 l 反方向，Internet用户不能主动访问Trust区域内主机，即不能ping通Trust区域内的主机。 配置包过滤 1. 简介 包过滤机制主要实现对IP数据