eudemon200防火墙综合配置指导.docx
- 文档编号:17116466
- 上传时间:2023-07-22
- 格式:DOCX
- 页数:19
- 大小:24.08KB
eudemon200防火墙综合配置指导.docx
《eudemon200防火墙综合配置指导.docx》由会员分享,可在线阅读,更多相关《eudemon200防火墙综合配置指导.docx(19页珍藏版)》请在冰点文库上搜索。
eudemon200防火墙综合配置指导
Eudemon200防火墙综合实验指导书
Eudemon200防火墙综合实验指导书
说明:
&
为了配合理论课程讲解,更清晰、更全面地了解Eudemon防火墙的配置步骤,本实验指导书围绕一个具体组网需求进行分析,并提供详细的操作步骤。
1.1 实验内容:
1.结合防火墙基本原理与应用环境,分析具体应用需求;
2.灵活配置防火墙各种特性,满足应用需求;
1.2 实验目的:
1.进一步熟悉防火墙基本原理;
2.掌握防火墙典型组网应用环境;
3.熟练掌握防火墙基本配置和应用,掌握基本故障排除技巧;
1.3 实验环境:
1.4 实验网络分析与规划
1.4.1 总体应用需求
某公司对现有办公网络进行改造,总体要求是:
重新规划网络拓扑结构后,公司内部网络采用私有IP地址,并和外界实现隔离,通过采取各种安全措施从而防范来自Internet的恶意攻击,同时控制内部网络对外界的随意访问,并且要求记录详细的日志信息。
公司对外提供WWW、FTP服务,要求外部网络特定用户可以访问内部服务器,内部网络大多数PC机都可以访问外部网络,并要求服务器的安全性应不受威胁。
1.4.2 网络需求的初步分析
目前,该公司拥有数十台办公PC机,并在不久的将来可能会扩充到几倍以上。
另外,该公司还拥有数台服务器,提供WWW、FTP等服务。
公司内部网络比较安全,自身很少存在安全隐患;安全威胁主要来自外网。
为了满足安全性考虑,可以在内部网络到外部网络的出口处部署Eudemon防火墙设备,分别通过3个以太网接口连接内部办公区网络、服务器区网络、外部网络。
根据该公司对网络规划的需求,通过分析,可以从以下几个方面满足该公司对网络安全性的要求:
表1-1实现需求的措施
需求分类 解决方法
基本安全防护 根据安全区域划分机制,将内部办公网络划分在Trust区,将各种服务器划分在DMZ区,将外部网络规划到Untrust区。
地址转换 内部Trust、DMZ区域都采用私有网段地址,通过NAT机制访问外部网络。
同时外部网络也通过NAT方式访问内部服务器。
报文过滤 通过灵活应用ACL规则,从而在安全区域之间根据需要过滤各种报文,实现包过滤、状态防火墙
防范多种攻击 启动黑名单功能,并防范常见的地址扫描攻击。
日志输出 结合华为日志服务器记录日志信息,提供日志查询功能。
1.4.3 规划组网的地址信息
根据该公司的组网需求和对应的网络拓扑图,规划的网络信息如下表所示:
表1-2收集组网的数据信息
所属区域 拓扑单元 收集信息描述
Trust区 内部网络主机 内部网段地址:
10.110.1.0/24
日志服务器 IP地址:
10.110.1.105/24
Eudemon接口Ethernet0/0/0 IP地址:
10.110.1.11/24
DMZ区 FTP服务器 IP地址:
10.110.5.100/24
WWW服务器 IP地址:
10.110.5.101/24
Eudemon接口Ethernet2/0/0 IP地址:
10.110.5.11/24
Untrust区 黑客PC用户 IP地址:
202.39.2.3/24
合法PC用户 IP地址:
202.12.7.7/24
到Internet的出口路由器的接口 IP地址:
202.38.160.15/24
Eudemon接口Ethernet1/0/0 IP地址:
202.38.160.1/24
1.5 基本网络参数的配置
1.简介
Eudemon防火墙属于网络安全设备,因此首先应该确保Eudemon在网络层与其他设备能互通,并具备基本安全保障功能。
本节配置是进行更深入安全配置的前提条件,是必须配置的。
基本安全防护的参数包括工作模式、接口IP地址、网络参数、路由协议、安全区域、接口和安全区域的隶属关系等。
2.配置前提
在进行具体配置之前,请再次了解网络拓扑结构,明确整个组网情况,和相关网络信息。
根据该公司的网络拓扑结构图,在各位置部署设备并正确连接。
假设Eudemon防火墙的软件版本正确,则搭建Eudemon防火墙的本地配置环境,即通过Console接口进行配置。
3.操作步骤
第一步:
配置Eudemon工作模式。
由于公司重新规划网络拓扑结构,新增加Eudemon防火墙位于内部网络和外部网络之间,且连接各安全区域的Eudemon接口具备不同网段的IP地址,因此Eudemon工作在路由模式下,相当于一台路由器。
#配置Eudemon工作在路由模式下。
[Eudemon]firewallmoderoute
第二步:
配置各接口IP地址、网络参数、缺省路由。
Eudemon防火墙连接Trust、DMZ和Untrust三个安全区域,因此需要配置相关连接接口的IP地址、链路层、网络层、路由的参数,从而实现Eudemon网络层与其他设备互通。
#配置Eudemon防火墙Ethernet0/0/0接口的IP地址。
[Eudemon]interfaceethernet0/0/0
[Eudemon-Ethernet0/0/0]ipaddress10.110.1.11255.255.255.0
[Eudemon-Ethernet0/0/0]quit
#配置Eudemon防火墙Etherent1/0/0接口的IP地址。
[Eudemon]interfaceethernet1/0/0
[Eudemon-Ethernet1/0/0]ipaddress202.38.160.1255.255.0.0
[Eudemon-Ethernet1/0/0]quit
#配置Eudemon防火墙Etherent2/0/0接口的IP地址。
[Eudemon]interfaceethernet2/0/0
[Eudemon-Ethernet2/0/0]ipaddress10.110.5.11255.255.255.0
[Eudemon-Ethernet2/0/0]quit
#配置Eudemon防火墙到达Internet的缺省路由。
[Eudemon]iproute-static0.0.0.00.0.0.0202.38.160.15
说明:
&
Ethernet接口上缺省封装的链路层协议为Ethernet_II,因此不需要手工执行命令来配置封装协议。
第三步:
创建或配置安全区域,为安全区域增加隶属接口。
Eudemon防火墙三个Ethernet接口分别连接Trust、DMZ和Untrust三个系统保留的安全区域,因此仅需要为安全区域增加隶属的接口即可。
#配置Trust区域包含Ethernet0/0/0接口。
[Eudemon]firewallzonetrust
[Eudemon-zone-trust]addinterfaceethernet0/0/0
[Eudemon-zone-trust]quit
#配置DMZ区域包含Ethernet2/0/0接口。
[Eudemon]firewallzonedmz
[Eudemon-zone-dmz]addinterfaceethernet2/0/0
[Eudemon-zone-dmz]quit
#配置Untrust区域包含Ethernet1/0/0接口。
[Eudemon]firewallzoneuntrust
[Eudemon-zone-untrust]addinterfaceethernet1/0/0
[Eudemon-zone-untrust]quit
说明:
&
如果采用自定义安全区域,除了以上配置外,还需要为安全区域配置对应的安全级别。
需要注意的是,两个安全区域不能具有相同的安全级别。
4.检验结果
请继续完成NAT、内部服务器配置,然后验证配置结果。
1.6 地址转换的配置
说明:
&
(1)需要确保Eudemon出口路由器Router上没有配置到达Trust和DMZ区域的任何路由信息,否则NAT、内部服务器功能没有意义。
(2)地址转换只能被配置在安全区域的出方向,即对从高优先级区域发往低优先级区域的报文进行地址转换。
1.6.1 配置NAT
1.简介
NAT地址转换机制是将内部主机IP地址替换为外部地址,提供私有地址与公有地址之间的转换。
NAT实现了内部私有网络访问外部Internet网络的功能,有助于减缓可用IP地址空间枯竭的速度,同时屏蔽了内部网络,提高了信息传输的安全性。
Eudemon防火墙通过定义地址池,并用地址池中的地址作为转换后的外部地址来实现多对多地址转换,利用ACL规则来对地址转换进行控制。
2.配置前提
必须已经完成0
基本网络参数中的配置。
3.操作步骤
第一步:
配置NAT地址池1,地址范围是202.110.1.241-202.110.1.254。
[Eudemon]nataddress-group1202.110.1.241202.110.1.254
第二步:
配置ACL规则10,仅允许Trust区域10.110.1.0/24网段中的任意主机访问其他网络,禁止其它网段主机的对外访问。
[Eudemon]aclnumber10
[Eudemon-acl-basic-10]rule0permitsource10.110.1.00.0.0.255
[Eudemon-acl-basic-10]rule1denyany
第三步:
在安全区域之间使用配置好的NAT地址池。
#进入Trust和Untrust区域间视图,在从Trust区域到Untrust区域的方向上,对符合ACL规则10的数据流进行NAT转换,采用NAT地址池1中的地址。
[Eudemon]firewallinterzonetrustuntrust
[Eudemon-interzone-trust-untrust]natoutbound10address-group1
4.检验结果
按照上述步骤进行配置后,正常情况下,应达到以下测试结果:
Trust区域内任意主机10.110.1.1能通过Eudemon防火墙访问外部网络,即能ping通Internet用户202.12.7.7。
l
反方向,Internet用户202.12.7.7不能主动访问Trust区域内主机,即不能ping通Trust区域内的主机10.110.1.1。
l
1.6.2 配置内部服务器
1.简介
Eudemon防火墙借助NAT功能将DMZ区域中某服务器私有IP地址转换为公网IP和对应的端口,从而对外提供内部服务器功能。
当Internet中某用户通过Eudemon防火墙访问“公开”的服务器(坐落在DMZ区域)时,Eudemon将请求报文内的公有地址转换为私有地址;反方向,Eudemon将内部服务器回应报文的私有源地址信息转换为公有的源地址信息。
2.配置前提
必须已经完成0
基本网络参数中的配置,确保Eudemon在网络层和其他设备互通,并且安全区域间具备基本包过滤能力。
3.操作步骤
第一步:
配置内部WWW服务器(地址为10.110.5.101,端口为8080),对外服务的公开地址为202.110.1.241,端口为80。
[Eudemon]natserverprotocoltcpglobal202.110.1.24180inside10.110.5.1018080
第二步:
配置内部FTP服务器(地址为10.110.5.100),对外服务的公开地址同样为202.110.1.241,端口FTP缺省端口。
[Eudemon]natserverprotocoltcpglobal202.110.1.241ftpinside10.110.5.100ftp
4.检验结果
按照上述步骤进行配置后,正常情况下,应达到以下测试结果:
Internet用户202.12.7.7能够对Http:
//202.110.1.241:
80地址,以WWW方式访问内部WWW服务器。
l
该Internet用户还能从202.110.1.241地址的21端口得到FTP服务。
l
1.7 报文过滤的配置
说明:
&
为了有效控制网络中交互信息的安全性,通过分析报文的包头信息或应用层信息,并和定义好的ACL规则进行比较,从而拒绝报文头不符合要求的报文,仅允许通过合法的报文。
下面介绍包过滤、状态防火墙两种机制。
1.7.1 配置包过滤
1.简介
包过滤机制主要实现对IP数据包的过滤。
对Eudemon需要转发的数据包,先获取数据包的包头信息(上层协议号、源地址、目的地址、源端口、目的端口等),然后和已定义的ACL规则进行比较,根据比较的结果来决定转发还是丢弃该数据包。
2.配置前提
必须已经完成0
基本网络参数中的配置,确保Eudemon在网络层和其他设备互通,并且安全区域间具备基本包过滤能力。
3.操作步骤
第一步:
根据安全过滤需要,配置各种ACL规则。
#创建访问控制列表101,允许Trust区域内的所有10.110.1.0网段的主机访问外部网和DMZ区域中的服务器,拒绝其他主机访问资源。
[Eudemon]aclnumber101
[Eudemon-acl-adv-101]rulepermitipsource10.110.1.00.0.0.255destinationany
[Eudemon-acl-adv-101]ruledenyip
#创建访问控制列表102,允许Internet中的特定用户(202.12.7.7)从外部访问DMZ区域中的内部服务器(FTP和WWW)。
[Eudemon]aclnumber102
[Eudemon-acl-adv-102]rulepermitipsource202.12.7.70destination10.110.5.1000
[Eudemon-acl-adv-102]rulepermitipsource202.12.7.70destination10.110.5.1010
[Eudemon-acl-adv-102]ruledenyip
第二步:
在安全区域之间应用配置好的ACL规则。
#进入Trust和Untrust区域间,并在从Trust区域到Untrust区域的方向上应用ACL规则101,即出方向。
[Eudemon]firewallinterzonetrustuntrust
[Eudemon-Interzone-trust-untrust]packet-filter101outbound
#进入Trust和DMZ区域间,并在从Trust区域到DMZ区域的方向上应用ACL规则101,即出方向。
[Eudemon]firewallinterzonetrustdmz
[Eudemon-Interzone-trust-dmz]packet-filter101outbound
#进入Untrust和Trust区域间,并在从Untrust区域到Trust区域的方向上应用ACL规则102,即入方向。
[Eudemon]firewallinterzoneuntrusttrust
[Eudemon-Interzone-trust-untrust]packet-filter102inbound
4.检验结果
按照上述步骤进行配置后,正常情况下,应达到以下测试结果:
Trust区域内主机能正常通过FTP或WWW方式访问DMZ区域中的服务器,并能访问Untrust区域内的任意主机。
l
DMZ区域内的服务器不能随意访问Trust和Untrust区域中的主机。
l
Untrust区域中的特定主机能访问DMZ区域中的指定服务器外,但是无法访问该区域内的其他服务其。
l
Untrust区域内的其他主机都不能访问DMZ区域和Trust区域。
l
1.7.2 配置状态防火墙
1.简介
状态防火墙ASPF(ApplicationSpecificPacketFilter)是针对应用层的包过滤,基于状态的报文过滤。
ASPF检测企图通过防火墙的应用层协议会话信息,维护会话的状态,阻止不符合规则的报文入侵,Eudemon防火墙通常监测的流量包括FTP、HTTP、TCP、UDP等。
2.配置前提
必须已经完成1.5 基本网络参数的配置中的配置,确保Eudemon在网络层和其他设备互通,并且安全区域间具备基本包过滤能力。
3.操作步骤
第一步:
根据ASPF安全过滤需要,配置ACL规则。
#配置ACL规则101,禁止从Untrust区域到Trust区域的所有报文。
[Eudemon]aclnumber101
[Eudemon-acl-adv-101]ruledenyip
#创建访问控制列表10,拒绝来自Internet网络中用户202.39.2.3的报文。
[Eudemon]aclnumber10
[Eudemon-acl-basic-10]rulepermitsourceany
[Eudemon-acl-basic-10]ruledenysource202.39.2.30.0.0.0
第二步:
配置安全区域之间的缺省包过滤规则,即缺省时允许Trust和Untrust区域间出方向上报文随意通过。
[Eudemon]firewallpacket-filterdefaultpermitinterzonetrustuntrustdirectionoutbound
第三步:
在安全区域之间应用配置好的ACL规则。
在从Untrust到Trust区域的方向上应用ACL规则101,即入方向。
[Eudemon]firewallinterzonetrustuntrust
[Eudemon-interzone-trust-untrust]packet-filter101inbound
第四步:
配置监控FTP和HTTP报文,拒绝来自Internet网络中用户202.39.2.3的HTTP报文中的JavaApplets,仅允许FTP和HTTP报文及返回报文通过。
[Eudemon-interzone-trust-untrust]detectftp
[Eudemon-interzone-trust-untrust]detecthttp
[Eudemon-interzone-trust-untrust]detectjava-blocking10
4.检验结果
按照上述步骤进行配置后,正常情况下,应达到以下测试结果:
对于从Untrust区域流到Trust区域的所有报文,除了从Trust区域向Untrust区域发起FTP和HTTP连接的返回报文能通过Eudemon外,其他报文都被禁止;l
来自Internet中用户202.39.2.3的HTTP报文的JavaApplets将无法通过Eudemon防火墙。
l
1.8 防范各种攻击的配置
说明:
&
过滤报文方式可以屏蔽不合要求的报文,但是某些恶意主机可能会采取IP地址欺骗手段,从而成为漏网之鱼。
为了防止并及时屏蔽这种恶意主机的安全威胁,可以采用黑名单和防范地址扫描攻击的功能,下面分别介绍。
1.8.1 配置黑名单
1.简介
顾名思义,黑名单就是被严格监控,并被屏蔽的源IP地址列表。
在Eudemon防火墙中,可以手工添加静态黑名单,并且也可以由系统动态添加黑名单表项,即当Eudemon发现特定IP地址发来的报文对网络有安全隐患时,就主动将该地址添加到黑名单列表中,从而确保始终屏蔽从该特殊IP地址发来的报文。
静态黑名单永远存在,不会老化;而动态黑名单表项会定期老化。
2.配置前提
必须已经完成1.5 基本网络参数的配置中的配置,确保Eudemon在网络层和其他设备互通,并且安全区域间具备基本包过滤能力。
3.操作步骤
第一步:
将特定主机(例如黑客主机202.39.2.3)静态添加到黑名单列表中。
[Eudemon]firewallblacklist202.39.2.3
第二步:
使能黑名单功能,系统根据报文是否有安全隐患而动态添加黑名单。
。
[Eudemon]firewallblacklistenable
第三步:
过滤被加入黑名单的IP地址所发出来的ICMP和UDP报文,防范大流量的ICMP、UDP报文攻击。
[Eudemon]firewallblacklistfilter-typeicmp
[Eudemon]firewallblacklistfilter-typeudp
4.检验结果
按照上述步骤进行配置后,正常情况下,Internet网络中的黑客202.39.2.3无法借助ICMP和UDP报文对Eudemon内部网络造成攻击。
1.8.2 配置防范地址扫描攻击
1.简介
通常,在网络中存在很多地址扫描窥探行为(即高频率连续向网络发送ping包)探测目标地址和端口,从而猎寻预攻击的目标系统或相关服务。
另外,某些主机感染冲击波病毒后会连续发送目的IP地址不断变化的报文,通过启动Eudemon防火墙反地址扫描功能,能自动检测出这些窥探和病毒。
2.配置前提
必须已经完成1.5 基本网络参数的配置中的配置,确保Eudemon在网络层和其他设备互通,并且安全区域间具备基本包过滤能力。
3.操作步骤
#使能防范地址扫描窥探攻击功能,并将攻击源IP加入黑名单,设定其在黑名单内的保持时间为5分钟。
[Eudemon]firewalldefendip-sweepblacklist-timeout5
4.检验结果
按照上述步骤进行配置后,正常情况下,从外部网络的PC(例如202.12.7.7)向内部网络某主机连续发送ping报文(速率超过4000次/秒),使用displayfirewallblacklistitem命令观察黑名单列表,其中应包括表项202.12.7.7。
1.9 日志输出的配置
华为日志服务器系统是华为公司专门为Eudemon系列防火墙设备量身定制的软件,适用于Eudemon系列防火墙的所有机型。
华为日志服务器通过接收Eudemon防火墙等网络安全设备的日志,为用户提供便捷的日志浏览和查询功能,并对日志进行分析。
日志服务器系统按照功能分为前台管理、后台进程两部分。
前台管理提供数据库配置、日志相关配置、日志分类查询等操作。
后台进程包括日志收集进程、监视进程两种。
Eudemon防火墙和华为日志服务器之间的交互信息如下:
Eudemon防火墙向日志服务器主机发送各种日志信息。
l
在日志服务器的上,用户可以进行数据库配置、日志相关配置等操作,并查询各种日志信息。
l
为了让华为日志服务器正常记录日志信息,需要确保Eudemon防火墙和华为日志服务器的配置信息一致。
下面详细介绍:
1.9.1 配置Eudemon的日志参数
第一步:
开启信息中心。
[Eudemon]info-centerenable
第二步:
配置信息中心的日志主机地址为10
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- eudemon200 防火墙 综合 配置 指导