《华为公司防火墙技术培训基础篇v》ppt课件模板.pptVIP

培训提纲 基础配置 系统管理 网络配置 策略配置 ACL配置 NAT配置 配置举例 策略配置-（缺省策略和明细策略）安全区的定义 Eudemon/USG防火墙缺省保留五个安全区域： 1、虚拟区域Vzone 最低安全级别的安全区域，系统未定义其安全级别，安全级别为0。 2、非受信区域Untrust 低安全级别的安全区域，安全级别为5。 3、非军事化区域DMZ 中等安全级别的安全区域，安全级别为50。 4、受信区域Trust 较高安全级别的安全区域，安全级别为85。 5、本地区域Local 最高安全级别的安全区域，安全级别为100。 策略配置-安全区的创建（自定义） 配置安全区域的安全级别时，需要遵循如下原则： 只能为自定义的安全区域设定安全级别。 安全级别一旦设定，不允许更改。 同一系统中，两个安全区域不允许配置相同的安全级别。 策略配置-安全区的使用 创建区域（如果需要自定义的话） 执行命令add interface interface-type interface-number，配置接口加入安全区域。 配置接口加入安全区域时，需要遵循如下原则： 除Local和Vzone安全区域外，使用其他所有安全区域前，均需手工配置接口加入安全区域。 加入安全区域的接口可以是物理接口，也可以是逻辑接口。 加入一个安全区域的接口数不大于1024。 策略配置-配置域间缺省规则 配置域间缺省包过滤规则，需要进行如下操作。 步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令firewall packet-filter default { permit | deny } { all [ vpn-instance vpn-instance-name ] | interzone [ vpn-instance vpn-instance-name ] zone1 zone2 } [ direction { inbound | outbound } ]，配置域间缺省包过滤规则。 缺省情况下，在防火墙所有安全区域间的所有方向都禁止报文通过。 例如打开untrust和local之间的缺省域间包过滤规则： 策略配置-配置域间明细规则 1. 进入区域间视图 2. 应用已经写好的ACL 3. 确定应用的正确方向 这里可以根据实际需要来配置标准和扩展的ACL，然后应用到区域间的进或出的方向。 从低安全区域流向高安全区域的为outbound，反之为inbound。 培训提纲 基础配置 系统管理 网络配置 策略配置 ACL配置 NAT配置 配置举例 ACL配置-定义 ACL能够通过报文的源地址、目的地址、端口号、上层协议等信息组合定义网络中的数据流，是包过滤、NAT、IPSec（IP Security）、QoS（Qulity of Service）、策略路由等应用的基础。 防火墙通过数字定义和引用ACL。Eudemon防火墙上的ACL分为如下三类： 基本ACL（组号范围为2000～2999）-------标准ACL 高级ACL（组号范围为3000～3999）-------扩展ACL 防火墙ACL（组号范围为5000～5499） 基本ACL配置步骤： 高级ACL配置步骤： ACL配置-匹配顺序 一个ACL组可以由多条包含permit或deny关键字的ACL规则组成。一台防火墙可以包含多个ACL组。 一个报文匹配ACL规则时遵循如下原则： 防火墙ACL比高级ACL优先被匹配，高级ACL比基本ACL优先被匹配。 在防火墙ACL、高级ACL或基本ACL中，acl-number序号小的ACL优先被匹配。 在同一ACL规则组中，rule-id 小的规则被优先匹配。 如果数据流与一条ACL规则匹配成功，将不再继续向下匹配。防火墙将根据该ACL规则的动作，对数据流进行后续操作。 ACL-配置过程 下面以基本ACL规则为例进行说明。对已经存在的ACL规则，所有后期编辑的属性参数都可以叠加到该编号的ACL规则上，没有编辑的部分是不受影响的。例如： # 配置一个ACL规则。 [Eudemon-acl-basic-2001] rule 1 deny source 0 # 编辑相应ACL规则。 [Eudemon-acl-basic-2001] rule 1 permit 此时，ACL规则变为： [Eudemon-acl-basic-2001] rule 1 permit source 0 ACL-注意事项 Eudemon/USG防火墙按照如下规则匹配ACL： 防火墙ACL比高级ACL优先被匹配，高级ACL比基本ACL优先被匹配。 在防火墙ACL、高级ACL或基本ACL中，acl-number序号小的ACL优先被匹配。 在同一ACL规则组中