Eudemon 防火墙基本配置

推荐原创

webmaster@wk 2010-10-11 17:15:43 ©著作权

©著作权归作者所有：来自51CTO博客作者webmaster@wk的原创作品，谢绝转载，否则将追究法律责任

今天好无聊。工作没有开张，也不知道做些啥，好久没有来我的博客了。今天上来一看。啊。10个月没有更新了。今天来更新一下。这篇文章内容其实也是别人逼我写的。我就顺便贴在自家的墙上吧。

以前用的全部都是CISCO 设备。对华为防火墙设备还是有点陌生，接到命令要搭建“双线路+主备防火墙”，本次的重点不是讲双线路，重点将在做双线路之前要保障防火墙能和internet互连，即是基本配置。本次使用的设备是EUDEMON 200。

1. 简介
Eudemon防火墙属于网络安全设备，因此首先应该确保Eudemon在网络层与其他设备能互通，并具备基本安全保障功能。本节配置是进行更深入安全配置的前提条件，是必须配置的。
基本安全防护的参数包括工作模式、接口IP地址、网络参数、路由协议、安全区域、接口和安全区域的隶属关系等。
2. 配置前提
在进行具体配置之前，请再次了解网络拓扑结构，明确整个组网情况，和相关网络信息。根据该公司的网络拓扑结构图，在各位置部署设备并正确连接。假设Eudemon防火墙的软件版本正确，则搭建Eudemon防火墙的本地配置环境，即通过Console接口进行配置。
3. 操作步骤
第一步：配置Eudemon工作模式。
# 配置Eudemon工作在路由模式下。
[Eudemon] firewall mode route
第二步：配置各接口IP地址、网络参数、缺省路由。
Eudemon防火墙连接Trust、DMZ和Untrust三个安全区域，因此需要配置相关连接接口的IP地址、链路层、网络层、路由的参数，从而实现Eudemon网络层与其他设备互通。
# 配置Eudemon防火墙Ethernet0/0/0接口的IP地址。
[Eudemon] interface ethernet 0/0/0
[Eudemon-Ethernet0/0/0] ip address 10.110.1.11 255.255.255.0
[Eudemon-Ethernet0/0/0] quit
# 配置Eudemon防火墙Etherent1/0/0接口的internet IP地址。
[Eudemon] interface ethernet 1/0/0
[Eudemon-Ethernet1/0/0] ip address 202.38.160.1 255.255.0.0
[Eudemon-Ethernet1/0/0] quit
# 配置Eudemon防火墙Etherent2/0/0接口的IP地址。
[Eudemon] interface ethernet 2/0/0
[Eudemon-Ethernet2/0/0] ip address 10.110.5.11 255.255.255.0
[Eudemon-Ethernet2/0/0] quit
# 配置Eudemon防火墙到达Internet的缺省路由。
[Eudemon] ip route-static 0.0.0.0 0.0.0.0 202.38.160.15

& 说明：

Ethernet接口上缺省封装的链路层协议为Ethernet_II，因此不需要手工执行命令来配置封装协议。

第三步：创建或配置安全区域，为安全区域增加隶属接口。
Eudemon防火墙三个Ethernet接口分别连接Trust、DMZ和Untrust三个系统保留的安全区域，因此仅需要为安全区域增加隶属的接口即可。
# 配置Trust区域包含Ethernet0/0/0接口。
[Eudemon] firewall zone trust
[Eudemon-zone-trust] add interface ethernet 0/0/0
[Eudemon-zone-trust] quit
# 配置DMZ区域包含Ethernet2/0/0接口。
[Eudemon] firewall zone dmz
[Eudemon-zone-dmz] add interface ethernet 2/0/0
[Eudemon-zone-dmz] quit
# 配置Untrust区域包含Ethernet1/0/0接口。
[Eudemon] firewall zone untrust
[Eudemon-zone-untrust] add interface ethernet 1/0/0
[Eudemon-zone-untrust] quit

第四步：安全区域包过滤规则
#必须要定义ACL
[Eudemon] acl number 3001
[Eudemon] rule 0 permit ip source IP destination any
#在安全区域之间应用配置好的ACL规则
[Eudemon] firewall interzone trust untrust
[Eudemon] nat outbound 3001 address-group 1

第五步：允许防火墙的包过滤
[Eudemon] firewall packet-filter default permit interzone local trust direction inbound
[Eudemon] firewall packet-filter default permit interzone local trust direction outbound
[Eudemon] firewall packet-filter default permit interzone local untrust direction inbound
[Eudemon] firewall packet-filter default permit interzone local untrust direction outbound
[Eudemon] firewall packet-filter default permit interzone trust untrust direction inbound
[Eudemon] firewall packet-filter default permit interzone trust untrust direction outbound

此次配置eudemon小有感受。总结：功课做的再多，还是要实践一下好。开始配置之前我查看了一下资料，很多资料都写到第四步，就说基本配置OK，能与INTERNET互连。但是，我在configuration 200的时候是怎么也不通。后来配置了第五步防火墙的包过滤，就OK。