Eudemon200防火墙操作指导书20040323(15)
发布时间:2021-06-08
发布时间:2021-06-08
经典防火墙的操作指导书
destination 190.100.10.10 —— 允许外部ftp主机的数据通道报文进入
[Router-acl-adv-in] rule deny ip —— 禁止其他报文的通过
然后,用户需要选择将这两个规则应用到路由器哪个接口上,同时还要注意在相对应的接口上设置缺省动作为允许,还要使能防火墙功能。这还仅仅是配置两个接口下互通的情况,如果路由器上组网复杂,有多个接口通信,不能简单地在接口上配置允许的缺省动作的话,那么配置一个相对安全的规则组还要考虑更多的东西。
然而,在我们的防火墙上,配置上述安全策略就简单得多,假设用户的内部网络位于防火墙的受信域,外部网络位于非受信域,那么:
[Eudemon-acl-adv-out] rule permit tcp source 190.100.10.10 0 destination 200.100.10.10 0 destination-port eq 21 [Eudemon-acl-adv-out] rule deny ip
[Eudemon-acl-adv-in] rule permit tcp destination 200.100.20.10 0 destination-port eq 80 [Eudemon-acl-adv-in] rule deny ip
[Eudemon-interzone-trust-untrust] detect ftp —— 进行ftp协议的应用层解析
[Eudemon-interzone-trust-untrust] packet-filter in inbound
[Eudemon-interzone-trust-untrust] packet-filter out outbound
如上就完成全部所需配置和应用。
2.4.4 防火墙缺省动作
当报文通过的域间没有配置ACL规则,或者在所配置的ACL规则组中没有找到符合的规则时,对于报文的处理就要靠防火墙设定在这个域间的缺省动作来决定了。在路由器上,防火墙的缺省动作只有一个全局的变量,决定了对没有规则的报文是允许通过还是丢弃。但是在防火墙上,每个域间的每个方向都可以分别指定其缺省动作,在系统初始配置时,所有域间所有方向上的缺省动作都是丢弃。
2.5 NAT的相关配置
2.5.1 NAT配置的异同
NAT功能是防火墙上又一个主推的功能,在目前的网络应用状况下,基本上每个将防火墙作为网关的组网情况下都会涉及到NAT功能的使用,NAT功能的配置同路由器下基本保持了一致,主要的不同有以下几点:
NAT Server命令变为全局配置
NAT outbound命令的引用位置由接口下改变到了域间
在使用easy ip的时候,命令行所指定的出接口必须处于该域间安全级别比较低的一侧。因此
上一篇:9.2一元一次不等式(第3课时)
下一篇:公司部门中英文缩写