eudemon系列防火墙维护手册之一-快速入门20xx0420-a

eudemon系列防火墙维护手册之一-快速入门20xx0420-a内容摘要：

以太网口的编号为“槽号 /0/0”，右侧以太网口的编号为“槽号 /0/1”。 如防火墙处理板上的固定以太网口的编号分别为 0/0/0（左）和 0/0/1（右）。 1 槽位以太网接口板 2FE 上的编号为 1/0/0（左）和 1/0/1（右）。 Eudemon500/1000防火墙的外观 介绍 Eudemon500/1000防火墙 机箱的外形结构类似，下面以 Eudemon1000 防火墙的 机箱结构和布局 为例进行 介绍。 1. 产品前 面板 1 52 4 3 6 1. 主控板（ RPU） slot0 2. FIC/HIC接口模块 slot1 3. FIC/HIC接口模块 slot2 4. FIC接口模块 slot3 5. FIC/HIC接口模块 slot4 6. 防静电手腕插孔 图 16 Eudemon500/1000前 面板 Eudemon500/1000 防火墙前面板共有 5 个槽位， 最上层固定为防火墙处理板插槽（ slot0）， 槽位 1/2/4（ slot slot slot4） 可以插入 HIC 高速接口模块和 FIC华为 产品维护资料 Eudemon 系列 防火墙 维护手册 之一 快速入门 错误 !未找到引用源。 错误 !未找到引用源。 16 智能接口模块，槽位 3（ slot3） 仅支持 FIC 智能接口模块。 前面板右下侧有一个防静电手腕插孔。 2. 产品后 面板 18 452 367 1. 风扇板 2. 网络处理板（ NPU） 3. 接地端子 4. 交流电源接口 5. 电源开关 6. 电源模块 1（ PWR1） 7. 电源模块 2（ PWR2） 8. 防静电 手腕插孔 图 17 Eudemon500/1000后 面板 Eudemon500/1000防火墙后面板包括 3个插槽，如 图 17所示，最上层是 NP板插槽，中间层和最下层以横插布局安装了两块电源模块，按 1＋ 1冗余备份方式工作，电源模块分为交流电源模块和直流电源 模块两种。 左侧为风扇模块。 电源模块和风扇均支持热插拔。 后面板左下侧有一个防静电手腕插孔，右上侧有接地端子。 3. 前 /后面板的槽位编号 表 13 Eudemon500/1000前 /后面板槽位编号 前面板槽位 后面板槽位 防火墙处理板 slot0 风扇 网络处理板（ NPU） 业务板 slot1 业务板 slot2 电源 1 业务板 slot3 业务板 slot4 电源 2 4. 以太网接口的编号 主机中，左侧以太网口的编号为“槽号 /0/0”，右侧以太网口的编号为“槽号 /0/1”。 如 ： 防火墙处理板上的固定以太网口的编号分别 为 0/0/0（左）和 0/0/1（右） ， 1槽位 千兆 以太网接口板 2GE上的编号为 1/0/0（左）和 1/0/1（右）。 对于 2FE/4FE/8FE接口模块中的接口，编号为“槽号 /0/接口号”。 其中，接口号为 面板上的丝印 0～ 7。 Quidway Eudemon 系列 防火墙 维护手册 快速入门 第 2 章 配置 Eudemon 的 预备知识 21 第 2章 配置 Eudemon 的 预备知识 Eudemon防火墙配置环境概述 Eudemon 防火墙可以通过其正面板上的 Console 口进行本地配置，具体操作参见 搭建 Eudemon 的现场配置环境 ；此外，还可以通过 其正面板上的 AUX口进行本地 配置， 或 以异步方式外接 Modem连接到 PSTN 网络 进行 远程配置 ； 当 配置终端与 Eudemon 防火墙之间有可达路由 时 ，可以用 Tel 方式通过局域网或广域网登录到 Eudemon防火墙，然后对 Eudemon 防火墙进行配置；在 用户通过一个不能保证安全的网络环境远程登录到 Eudemon 防火墙时， 用户还可以通过 SSH（ Secure Shell）方式对 Eudemon 防火墙进行远程配置 ， SSH 特性可以提供安全的信息保障和强大的认证功能，以保护 Eudemon 防火墙不受诸如 IP 地址欺诈、明文密码截取等等攻击。 对于配置 Eudemon 防火墙的 具体操作注意事项请参考《 Quidway Eudemon 100/200 防火墙 操作手册》或《 Quidway Eudemon 500/1000 防火墙 操作手册》的“入门”部分。 视图和命令的关系 通常，可以通过命令行方式配置、维护 Eudemon防火墙。 要了解命令行配置方式，首先需要清楚什么是视图和命令。 所谓命令，就是用于配置或维护 Eudemon 防火墙的字符串。 而视图，就是执行命令串的场合或空间环境。 命令和视图之间的关系可以通过下图描述： 图 21 命令和视图的关系 Quidway Eudemon 系列 防火墙 维护手册 快速入门 第 2 章 配置 Eudemon 的 预备知识 22 我们都知道中国公民能自由进出中国，但是由于权限原因不能随意出入其他国家。 同样道理，命令行也只能在某些视图下具备执行权限，不同视图下可执行的命令集合是有差别的。 视图层次结构 在 Eudemon 防火墙中，根据特性功能分为若干视图，各视图之间的关系就像一棵“树”，并具有一定层次关系， Eudemon 防火墙中常见视图的关系如下： 用户界面视图系统视图登录FTP 客户端视图以太网接口视图防火墙区域视图防火墙域间视图ACL 视图用户视图 图 22 常用视图层次结构 上图中“箭头”表示从某些视图进入其他视图的方向，如从用户视图进入系统视图，或从系统视图进入接口 、 ACL 等视图，没有箭头关系的视图之间一般不存在直接进入或退出关系。 视图提供的功能 各视图的可配置特性的功能描述、 进入命令、进入后提示符、退出命令、退出后提示符等 如下表所述，粗体参数为关键字，斜体参数为可以选择取值范围的参数： 表 21 视图提供的功能 视图名称 可配置特性的描述 界面提示符号 用户视图 连接到 Eudemon后的第一个视图，该视图下可以 查看 设备 简单运行状态和统计信息。 登录连接 Eudemon 配置该视图下的命令„„ Eudemon quit 连接断开 FTP 客户端 视图 从用户视图进入， 用于FTP 方式升级Eudemon 软件时客户端的参数配置。 Eudemon ftp [ftp] 配置该视图下的命令„„ [ftp] bye Eudemon Quidway Eudemon 系列 防火墙 维护手册 快速入门 第 2 章 配置 Eudemon 的 预备知识 23 视图名称 可配置特性的描述 界面提示符号 系统视图 从用户视图进入，配置基本系统参数，是特性功能配置的入口视图。 Eudemon systemview [Eudemon] 配置该视图下的命令„„ [Eudemon] quit Eudemon 用户界面视图 从系统视图进入， 配置防火墙各用户界面的相关参数，管理相关界面 [Eudemon] userinterface console 0 [Eudemonuiconsole0] 配置该视图下的命令„„ [Eudemonuiconsole0] quit [Eudemon] 以太网接口视图 从系统视图进入，配置以太网接口信息，如IP 地址等。 [Eudemon] interface ether 1/0/0 [EudemonEther1/0/0] 配置该视图下的命令„„ [EudemonEther1/0/0] quit [Eudemon] ACL 视图 从系统视图进入， 配置各种类型的 ACL 规则描述。 [Eudemon] acl number 2020 [Eudemonaclbasic2020] 配置该视图下的命令„„ [Eudemonaclbasic2020] quit [Eudemon] 防火墙区域视图 从系统视图进入， 配置防火墙 各 安全区域的相关参数 [Eudemon] firewall zone trust [Eudemonzonetrust] 配置该视图下的命令„„ [Eudemonzonetrust] quit [Eudemon] 防火墙域间视图 从系统视 图进入， 配置防火墙 各 安全区域间的相关参数 [Eudemon] firewall interzone trust dmz [EudemoninterzonetrustDMZ] 配置该视图下的命令„„ [EudemoninterzonetrustDMZ] quit [Eudemon] 获取帮助信息 在任意视图下，直接键入“。 ”或在某关键词后键入“。 ”符号，可以获取该视图下的所有命令、部分命令的信息。 Quidway Eudemon 系列 防火墙 维护手册 快速入门 第 2 章 配置 Eudemon 的 预备知识 24 ACL概述 ACL（ Access Control List，访问控制列表） 是防火墙 实现数据流控制 的手段之一 ，是防火墙安全策略最基本的规则。 ACL 根据数据包的 源地址、目的地址、端口号、上层协议或其他信息 定义一组数据流， 并 决定 是否 对 该数据流 进行后续操作。 Eudemon 100amp。 200中， ACL 规则分为基本 ACL规则、高级 ACL 规则和基于 MAC地址的 ACL 规则。 Eudemon 500amp。 1000 中， ACL 规则分为基本 ACL 规则、高级ACL 规则和防火墙 ACL 规则。 对于上述四 类 ACL，可以通过数字型方式来标识，即使用数字来表示一个访问控制列表。 当使用数字型的 ACL的时候，访问控制列表的定义和引用是依靠数字的 范围来指定的，如 2020～ 2999范围的数字型 ACL是基本的访问控制列表， 3000～ 3999范围的数字型 ACL 是高级的访问控制列表， 4000～ 4099 是基于 MAC 地址的访问控制列表。 5000～ 5499 范围的数字型 ACL 是防火墙访问控制列表。 1. 配置基本 ACL 基本 ACL 仅使用源地址信息作为定义访问控制列表规则的元素。 进入 基本 ACL 视图，并创建基本 ACL [Eudemon] acl number 2020 [Eudemonaclbasic2020] rule 1 deny source 0 2. 配置高级 ACL 高级 ACL 可以使用数据包的源地址信息、目的地址信息、 IP 承载的协议（例如 TCP的源端口、目的端口， ICMP协议的类型、 code等内容）定义规则。 利用高级 ACL可以定义出比基本 ACL 更准确、丰富和灵活的规则。 进入 高级 ACL 视图，并创建高级 ACL [Eudemon] acl number 3101 [Eudemonacladv3101] rule 1 deny ip source 0 destination 0 3. 配置基于 MAC地址的 ACL 基于以太网 MAC地址的 ACL主要用于 Eudemon防火墙工作在透明模式的应用中，此时 Eudemon 能够根据以太网帧头中的源 MAC地址、目的 MAC地址、类型字段等信息与 ACL 规则进行匹配，从而达到控制二层数据帧的目的。 进入 基于 MAC 地址的 ACL视图，并创建基于 MAC 地址的 ACL [Eudemon] acl number 4001 [Eudemonacletherframe4001]rule 1 permit sourcemac 00481a00907b09 destmac 5109119d5312 Quidway Eudemon 系列 防火墙 维护手册 快速入门 第 2 章 配置 Eudemon 的 预备知识 25 4. 配置防火墙 ACL 防火墙 ACL 用来定义比较简单的规则，仅用于域间过滤规则使用。 进入 防火墙 ACL 视图， 并创 建 防火墙 ACL 规则 [Eudemon] acl number 5010 [Eudemonaclfirewall5010] rule permit tcp source any destination destinationport eq 80 安全区域的概念 安全区域概念是 Eudemon 防火墙 与路由器最明显的区别。 通过在安全区域之间启动安全检查（称为安全策略），从而对流经不同安全区域的信息流进行安全过滤。 常用的安全检查主要包括基于 ACL 和应用层状态的检查。 配置安全区域 网络中不同设备储存信息的重要性千差万别，于是产生了分等级的受保护程度，这样一组具有相同安全级别的设备逻辑群体就构成了一个安全区域。 如下图中，Eudemon 防火墙连接多个安全区域： 图 23 Eudemon的安全区域。