当前位置:首页 > 华为防火墙操作手册-入门
Quidway Eudemon 500/1000 防火墙 操作手册 (入门)
[Eudemon] acl number 3101
第2章 Eudemon防火墙配置基础
[Eudemon-acl-adv-3101] rule permit icmp source 10.1.1.254 0 destination 10.1.1.1 0
第四步:在Untrust和Local区域间的入方向上配置包过滤规则。
[Eudemon] firewall interzone untrust local
[Eudemon-interzone-local-untrust] packet-filter 3101 inbound
注意:
防火墙缺省禁止任何报文通过。用户需要允许防火墙的某安全域间缺省允许报文通过,或配置域间包过滤规则。否则防火墙将不可用。
第五步:从Router向Eudemon防火墙Ethernet1/0/0接口发起ping操作,可以通达。但是,反向ping操作不通。
第六步:配置ACL规则允许从Eudemon到Router的ICMP报文通过,并配置Local和Untrust区域间出方向上的包过滤规则。
[Eudemon] acl 3101
[Eudemon-acl-adv-3101] rule permit icmp source 10.1.1.1 0 destination 10.1.1.254 0
[Eudemon-acl-adv-3101] quit
[Eudemon] firewall interzone local untrust
[Eudemon-interzone-local-untrust] packet-filter 3101 outbound
? 说明:
防火墙的安全域间的一个方向上仅能配置一条包过滤规则。
第七步:从Eudemon防火墙向Router发起ping操作,可以通达。
2.1.3 实现跨越Eudemon防火墙的两个设备互相ping通
配置思路:首先实现从其他设备分别和Eudemon防火墙之间能互相ping通,然后再实现这两个设备之间能跨越Eudemon而互相ping通,操作步骤如下: 第一步:微机(PC机或终端)通过RS-232串口连接Eudemon防火墙Console接口,Eudemon防火墙Ethernet1/0/0通过LAN与Router设备连接,Eudemon的Ethernet2/0/0接口通过LAN与某服务器连接。组网如下图所示:
2-5
Quidway Eudemon 500/1000 防火墙 操作手册 (入门)
Server第2章 Eudemon防火墙配置基础
DMZ 区域10.2.2.254ping操作Eth2/0/010.2.2.1ConsoleUntrust 区域PCRS-232串口EudemonEth1/0/010.1.1.1Router10.1.1.254
图2-7 实现跨越Eudemon防火墙的两个设备互相ping通的组网
第二步:首先参考“2.1.2 实现设备和Eudemon防火墙互相ping通”中的操作步骤,分别实现Router和Eudemon之间互相ping通,及Server与Eudemon之间互相ping通(Router隶属Untrust区域,Server隶属DMZ区域)。
第三步:通过Console接口配置新ACL规则,允许从Router与Server之间的ICMP报文及返回报文通过。
[Eudemon-acl-adv-3105] rule permit icmp source 10.1.1.254 0 destination 10.2.2.254 0
[Eudemon-acl-adv-3105] rule permit icmp source 10.2.2.254 0 destination 10.1.1.254 0
第四步:在Untrust和DMZ区域之间的出/入方向上分别应用该ACL规则。
[Eudemon] firewall interzone untrust dmz
[Eudemon-interzone-dmz-untrust] packet-filter 3105 inbound [Eudemon-interzone-dmz-untrust] packet-filter 3105 outbound
第五步:从Router向Server发起ping操作可以通达。反向从Server向Router发起ping操作也能通达。
2.2 通过其他方式搭建配置环境
为了更方便的配置Eudemon防火墙,系统支持用户进行本地与远程配置。搭建配置环境可通过以下几种方法实现,针对每种配置环境有对应的终端服务特性,具体内容请参见本章中的“终端服务”部分。
?
通过AUX接口搭建本地或远程配置环境
2-6
Quidway Eudemon 500/1000 防火墙 操作手册 (入门)
? ?
第2章 Eudemon防火墙配置基础
通过Telnet方式搭建本地或远程配置环境 通过SSH方式搭建本地或远程配置环境
2.2.1 通过AUX接口搭建
AUX接口也称为辅助接口(auxiliary)或备份接口,可以像Console接口一样提供本地配置功能,配置环境搭建请参见上节“2.1.1 通过Console接口搭建”描述,仅需要将RS-232电缆连接到Eudemon防火墙的AUX接口即可。此外,还能以异步方式外接Modem连接到PSTN网络,提供远程配置支持。环境搭建步骤如下描述:
第一步:在微机串口和Eudemon防火墙AUX口上分别挂接Modem设备,通过Modem拨号方式与Eudemon防火墙的AUX接口连接,搭建远程配置环境,如下图所示:
电话线AUX接口PSTNPCModemRS-232串口ModemEudemon
图2-8 搭建远程配置环境
第二步:在Eudemon防火墙的AUX接口上,对连接的Modem进行相应初始化及配置。例如配置一个用户拨号进入,用户名为auxuser,口令为auxpwd,服务类型为terminal类型。
[Eudemon] aaa
[Eudemon-aaa] local-user auxuser password simple auxpwd [Eudemon-aaa] local-user auxuser service-type terminal
第三步:配置从AUX接口登录用户的级别为3,采用aaa认证方式。
[Eudemon] user-interface aux 0
[Eudemon-ui-aux0] authentication-mode aaa [Eudemon-ui-aux0] user privilege level 3
第四步:配置与AUX接口连接的Modem设备支持双向呼叫、自动应答,且连接超时时间不受限制。
[Eudemon-ui-aux0] idle-timeout 0 0 [Eudemon-ui-aux0] modem both
[Eudemon-ui-aux0] modem timer answer 60
2-7
Quidway Eudemon 500/1000 防火墙 操作手册 (入门)
第2章 Eudemon防火墙配置基础
第五步:配置AUX接口采用流方式工作。
[Eudemon] interface aux 0 [Eudemon-Aux0] async mode flow
第六步:在PC机处打开终端仿真程序(如Windows 9X的Hyperterm超级终端等),选择Modem作为连接时的设备,输入电话号码(如12345678),建立连接,如下图所示:
图2-9 配置拨号号码和连接设备
图2-10 在远地微机上启动拨号
第七步:在弹出的远端终端仿真程序界面上输入用户名和口令(如用户名auxuser,口令auxpwd),验证通过后界面中出现命令行提示符(如
2-8
本文作者:...共分享92篇相关文档
