华为防火墙操作手册-入门

Quidway Eudemon 500/1000 防火墙 操作手册 （入门） 目 录

目 录

第1章 防火墙概述 ................................................................................................................1-1

1.1 网络安全概述............................................................................................................. 1-1

1.1.1 安全威胁 ......................................................................................................... 1-1 1.1.2 网络安全服务分类 ............................................................................................ 1-1 1.1.3 安全服务的实现方法 ......................................................................................... 1-2 1.2 防火墙概述 ................................................................................................................ 1-4

1.2.1 安全防范体系的第一道防线——防火墙 .............................................................. 1-4 1.2.2 防火墙发展历史 ............................................................................................... 1-4 1.3 Eudemon产品简介 .................................................................................................... 1-6

1.3.1 Eudemon产品系列 .......................................................................................... 1-6 1.3.2 Eudemon500/1000防火墙简介 ......................................................................... 1-6 1.3.3 Eudemon500/1000防火墙功能特性列表 ............................................................ 1-8

第2章 Eudemon防火墙配置基础 .........................................................................................2-1

2.1 通过Console接口搭建本地配置环境........................................................................... 2-1

2.1.1 通过Console接口搭建 ..................................................................................... 2-1 2.1.2 实现设备和Eudemon防火墙互相ping通 .......................................................... 2-4 2.1.3 实现跨越Eudemon防火墙的两个设备互相ping通 ............................................. 2-5 2.2 通过其他方式搭建配置环境......................................................................................... 2-6

2.2.1 通过AUX接口搭建 .......................................................................................... 2-7 2.2.2 通过Telnet方式搭建 ........................................................................................ 2-9 2.2.3 通过SSH方式搭建 ........................................................................................ 2-11 2.3 命令行接口 .............................................................................................................. 2-12

2.3.1 命令行级别 .................................................................................................... 2-12 2.3.2 命令行视图 .................................................................................................... 2-13 2.3.3 命令行在线帮助 ............................................................................................. 2-24 2.3.4 命令行错误信息 ............................................................................................. 2-25 2.3.5 历史命令 ....................................................................................................... 2-26 2.3.6 编辑特性 ....................................................................................................... 2-26 2.3.7 查看特性 ....................................................................................................... 2-27 2.3.8 快捷键 ........................................................................................................... 2-27 2.4 防火墙的基本配置 .................................................................................................... 2-30

2.4.1 进入和退出系统视图 ....................................................................................... 2-30 2.4.2 切换语言模式 ................................................................................................. 2-30 2.4.3 配置防火墙名称 ............................................................................................. 2-31 2.4.4 配置系统时钟 ................................................................................................. 2-31

i

Quidway Eudemon 500/1000 防火墙 操作手册 （入门） 目 录

2.4.5 配置命令级别 ................................................................................................. 2-31 2.4.6 查看系统状态信息 .......................................................................................... 2-32 2.5 用户管理 ................................................................................................................. 2-33

2.5.1 用户管理概述 ................................................................................................. 2-33 2.5.2 用户管理的配置 ............................................................................................. 2-34 2.5.3 用户登录相关信息的配置 ................................................................................ 2-37 2.5.4 典型配置举例 ................................................................................................. 2-38 2.6 用户界面（User-interface）...................................................................................... 2-38

2.6.1 用户界面简介 ................................................................................................. 2-38 2.6.2 进入用户界面视图 .......................................................................................... 2-40 2.6.3 配置异步接口属性 .......................................................................................... 2-40 2.6.4 配置终端属性 ................................................................................................. 2-42 2.6.5 配置Modem属性 .......................................................................................... 2-43 2.6.6 配置重定向功能 ............................................................................................. 2-44 2.6.7 配置VTY类型用户界面的呼入呼出限制........................................................... 2-46 2.6.8 用户界面的显示和调试 ................................................................................... 2-46 2.7 终端服务 ................................................................................................................. 2-46

2.7.1 Console接口终端服务 .................................................................................... 2-46 2.7.2 AUX接口终端服务 ......................................................................................... 2-47 2.7.3 Telnet终端服务 ............................................................................................. 2-47 2.7.4 SSH终端服务 ................................................................................................ 2-50

第3章 Eudemon防火墙工作模式 .........................................................................................3-1

3.1 防火墙工作模式简介................................................................................................... 3-1

3.1.1 工作模式介绍 ................................................................................................... 3-1 3.1.2 路由模式工作过程 ............................................................................................ 3-3 3.1.3 透明模式工作过程 ............................................................................................ 3-3 3.1.4 混合模式工作过程 ............................................................................................ 3-7 3.2 防火墙路由模式配置................................................................................................... 3-8

3.2.1 配置防火墙工作在路由模式 ............................................................................... 3-8 3.2.2 配置路由模式其它参数 ..................................................................................... 3-8 3.3 防火墙透明模式配置................................................................................................... 3-8

3.3.1 配置防火墙工作在透明模式 ............................................................................... 3-9 3.3.2 配置地址表项 ................................................................................................... 3-9 3.3.3 配置对未知MAC地址的IP报文的处理方式 ....................................................... 3-9 3.3.4 配置MAC地址转发表的老化时间 .................................................................... 3-10 3.4 防火墙混合模式配置................................................................................................. 3-10

3.4.1 配置防火墙工作在混合模式 ............................................................................. 3-10 3.4.2 配置混合模式其它参数 ................................................................................... 3-11 3.5 防火墙工作模式的切换 ............................................................................................. 3-11 3.6 防火墙工作模式的查看和调试 ................................................................................... 3-11

ii

Quidway Eudemon 500/1000 防火墙 操作手册 （入门） 目 录

3.7 防火墙工作模式典型配置举例 ................................................................................... 3-12

3.7.1 处理未知MAC地址的IP报文 ......................................................................... 3-12 3.7.2 透明防火墙连接多个局域网 ............................................................................. 3-12

iii

Quidway Eudemon 500/1000 防火墙 操作手册 （入门） 第1章 防火墙概述

第1章 防火墙概述

1.1 网络安全概述

随着Internet的迅速发展，越来越多的企业借助网络服务来加速自身的发展，此时，如何在一个开放的网络应用环境中守卫自身的机密数据、资源及声誉已越来越为人们所关注。网络安全已成为网络建设不可或缺的组成部分。

1.1.1 安全威胁

目前，Internet网络上常见的安全威胁大致分为以下几类：

?

非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。例如，攻击者通过猜测帐号和密码的组合，从而进入计算机系统以非法使用资源。

?

拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。

?

信息盗窃：攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。

?

数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作，而使数据的一致性被破坏。

1.1.2 网络安全服务分类

针对上述的安全威胁而采取的安全防护措施称为安全服务。一般定义下列几种通用的安全服务：

? ? ? ? ?

可用性服务：保证信息或服务在需要时能够被访问并正常工作。 机密性服务：保证敏感数据或信息不被泄漏或暴露给未授权的实体。 完整性服务：保证数据不以未经授权的方式被改动或破坏。 鉴别：提供某个实体身份合法性的保证。

授权：对系统资源的使用实施控制，规定访问者的接入权限等。

1-1

Quidway Eudemon 500/1000 防火墙 操作手册 （入门） 第1章 防火墙概述

1.1.3 安全服务的实现方法

1. 加密

加密是将可读的消息转化为不可读形式的加密文本的过程。加密不仅为用户提供通信保密，同时也是其他许多安全机制的基础，如认证过程中口令的设计、安全通信协议的设计及数字签名的设计等均离不开密码机制。 加密方法主要分为三种：

?

对称密码体制：其特征是用于加密和解密的密钥是一样的，每对用户共享同一密钥来交换消息，密钥必须是保密的。典型代表包括：数据加密标准DES

Quidway Eudemon 500/1000 防火墙 操作手册 （入门） 第2章 Eudemon防火墙配置基础

图2-2 新建连接

图2-3 选择实际连接使用的微机串口

第三步：选择实际连接时使用的微机上的RS-232串口，配置终端通信参数为9600波特、8位数据位、1位停止位、无校验、无流控，并选择终端仿真类型为VT100，如下图所示：

2-2

Quidway Eudemon 500/1000 防火墙 操作手册 （入门） 第2章 Eudemon防火墙配置基础

图2-4 端口通信参数配置

图2-5 选择终端仿真类型

2-3

Quidway Eudemon 500/1000 防火墙 操作手册 （入门） 第2章 Eudemon防火墙配置基础

第四步：Eudemon防火墙上电自检，系统自动进行配置，自检结束后提示用户键入回车，直到出现命令行提示符（如）。

第五步：键入命令，配置Eudemon防火墙或查看Eudemon防火墙运行状态，需要联机帮助时可以随时键入“?”，关于具体命令的使用请参考后续章节。 ? 说明：

通过Console接口配置Eudemon防火墙，通常无需配置认证。如果配置了本地认证，请一定配置对应的本地用户名和口令，否则会导致无法从Console接口进入配置界面的情况发生。

2.1.2 实现设备和Eudemon防火墙互相ping通

配置思路：首先实现从某设备ping通Eudemon防火墙，再实现从Eudemon防火墙ping通该设备，操作步骤如下：

第一步：微机（PC机或终端）通过RS-232串口连接Eudemon防火墙Console接口，Eudemon防火墙Ethernet1/0/0接口通过LAN与Router设备连接。组网如下图所示：

ping操作ConsoleLocal 区域Untrust 区域PCRS-232串口EudemonEth1/0/010.1.1.110.1.1.254Router

图2-6 实现ping通Eudemon防火墙的组网

第二步：配置Ethernet 1/0/0的IP地址，并将该接口加入到Untrust区域。

[Eudemon] interface ethernet 1/0/0

[Eudemon-Ethernet1/0/0] ip address 10.1.1.1 24 [Eudemon-Ethernet1/0/0] quit [Eudemon] firewall zone untrust

[Eudemon-zone-untrust] add interface ethernet 1/0/0

第三步：配置ACL规则，允许从Router到Eudemon方向的ICMP报文通过。

system-view [Eudemon] acl number 3101

[Eudemon-acl-adv-3101] rule permit icmp source 10.1.1.254 0 destination 10.1.1.1 0

2-4

Quidway Eudemon 500/1000 防火墙 操作手册 （入门） 第2章 Eudemon防火墙配置基础

第四步：在Untrust和Local区域间的入方向上配置包过滤规则。

[Eudemon] firewall interzone untrust local

[Eudemon-interzone-local-untrust] packet-filter 3101 inbound

注意：

防火墙缺省禁止任何报文通过。用户需要允许防火墙的某安全域间缺省允许报文通过，或配置域间包过滤规则。否则防火墙将不可用。

第五步：从Router向Eudemon防火墙Ethernet1/0/0接口发起ping操作，可以通达。但是，反向ping操作不通。

第六步：配置ACL规则允许从Eudemon到Router的ICMP报文通过，并配置Local和Untrust区域间出方向上的包过滤规则。

[Eudemon] acl 3101

[Eudemon-acl-adv-3101] rule permit icmp source 10.1.1.1 0 destination 10.1.1.254 0

[Eudemon-acl-adv-3101] quit

[Eudemon] firewall interzone local untrust

[Eudemon-interzone-local-untrust] packet-filter 3101 outbound

? 说明：

防火墙的安全域间的一个方向上仅能配置一条包过滤规则。

第七步：从Eudemon防火墙向Router发起ping操作，可以通达。

2.1.3 实现跨越Eudemon防火墙的两个设备互相ping通

配置思路：首先实现从其他设备分别和Eudemon防火墙之间能互相ping通，然后再实现这两个设备之间能跨越Eudemon而互相ping通，操作步骤如下： 第一步：微机（PC机或终端）通过RS-232串口连接Eudemon防火墙Console接口，Eudemon防火墙Ethernet1/0/0通过LAN与Router设备连接，Eudemon的Ethernet2/0/0接口通过LAN与某服务器连接。组网如下图所示：

2-5

Quidway Eudemon 500/1000 防火墙 操作手册 （入门） Server第2章 Eudemon防火墙配置基础

DMZ 区域10.2.2.254ping操作Eth2/0/010.2.2.1ConsoleUntrust 区域PCRS-232串口EudemonEth1/0/010.1.1.1Router10.1.1.254

图2-7 实现跨越Eudemon防火墙的两个设备互相ping通的组网

第二步：首先参考“2.1.2 实现设备和Eudemon防火墙互相ping通”中的操作步骤，分别实现Router和Eudemon之间互相ping通，及Server与Eudemon之间互相ping通（Router隶属Untrust区域，Server隶属DMZ区域）。

第三步：通过Console接口配置新ACL规则，允许从Router与Server之间的ICMP报文及返回报文通过。

system-view [Eudemon] acl number 3105

[Eudemon-acl-adv-3105] rule permit icmp source 10.1.1.254 0 destination 10.2.2.254 0

[Eudemon-acl-adv-3105] rule permit icmp source 10.2.2.254 0 destination 10.1.1.254 0

第四步：在Untrust和DMZ区域之间的出/入方向上分别应用该ACL规则。

[Eudemon] firewall interzone untrust dmz

[Eudemon-interzone-dmz-untrust] packet-filter 3105 inbound [Eudemon-interzone-dmz-untrust] packet-filter 3105 outbound

第五步：从Router向Server发起ping操作可以通达。反向从Server向Router发起ping操作也能通达。

2.2 通过其他方式搭建配置环境

为了更方便的配置Eudemon防火墙，系统支持用户进行本地与远程配置。搭建配置环境可通过以下几种方法实现，针对每种配置环境有对应的终端服务特性，具体内容请参见本章中的“终端服务”部分。

?

通过AUX接口搭建本地或远程配置环境

2-6

Quidway Eudemon 500/1000 防火墙 操作手册 （入门） ? ?

第2章 Eudemon防火墙配置基础

通过Telnet方式搭建本地或远程配置环境 通过SSH方式搭建本地或远程配置环境

2.2.1 通过AUX接口搭建

AUX接口也称为辅助接口（auxiliary）或备份接口，可以像Console接口一样提供本地配置功能，配置环境搭建请参见上节“2.1.1 通过Console接口搭建”描述，仅需要将RS-232电缆连接到Eudemon防火墙的AUX接口即可。此外，还能以异步方式外接Modem连接到PSTN网络，提供远程配置支持。环境搭建步骤如下描述：

第一步：在微机串口和Eudemon防火墙AUX口上分别挂接Modem设备，通过Modem拨号方式与Eudemon防火墙的AUX接口连接，搭建远程配置环境，如下图所示：

电话线AUX接口PSTNPCModemRS-232串口ModemEudemon

图2-8 搭建远程配置环境

第二步：在Eudemon防火墙的AUX接口上，对连接的Modem进行相应初始化及配置。例如配置一个用户拨号进入，用户名为auxuser，口令为auxpwd，服务类型为terminal类型。

[Eudemon] aaa

[Eudemon-aaa] local-user auxuser password simple auxpwd [Eudemon-aaa] local-user auxuser service-type terminal

第三步：配置从AUX接口登录用户的级别为3，采用aaa认证方式。

[Eudemon] user-interface aux 0

[Eudemon-ui-aux0] authentication-mode aaa [Eudemon-ui-aux0] user privilege level 3

第四步：配置与AUX接口连接的Modem设备支持双向呼叫、自动应答，且连接超时时间不受限制。

[Eudemon-ui-aux0] idle-timeout 0 0 [Eudemon-ui-aux0] modem both

[Eudemon-ui-aux0] modem timer answer 60

2-7

Quidway Eudemon 500/1000 防火墙 操作手册 （入门） 第2章 Eudemon防火墙配置基础

本文来源：https://www.bwwdw.com/article/j13f.html