Eudemon200防火墙操作指导书20040323(15)

发布时间:2021-06-08

经典防火墙的操作指导书

destination 190.100.10.10 —— 允许外部ftp主机的数据通道报文进入

[Router-acl-adv-in] rule deny ip —— 禁止其他报文的通过

然后,用户需要选择将这两个规则应用到路由器哪个接口上,同时还要注意在相对应的接口上设置缺省动作为允许,还要使能防火墙功能。这还仅仅是配置两个接口下互通的情况,如果路由器上组网复杂,有多个接口通信,不能简单地在接口上配置允许的缺省动作的话,那么配置一个相对安全的规则组还要考虑更多的东西。

然而,在我们的防火墙上,配置上述安全策略就简单得多,假设用户的内部网络位于防火墙的受信域,外部网络位于非受信域,那么:

[Eudemon-acl-adv-out] rule permit tcp source 190.100.10.10 0 destination 200.100.10.10 0 destination-port eq 21 [Eudemon-acl-adv-out] rule deny ip

[Eudemon-acl-adv-in] rule permit tcp destination 200.100.20.10 0 destination-port eq 80 [Eudemon-acl-adv-in] rule deny ip

[Eudemon-interzone-trust-untrust] detect ftp —— 进行ftp协议的应用层解析

[Eudemon-interzone-trust-untrust] packet-filter in inbound

[Eudemon-interzone-trust-untrust] packet-filter out outbound

如上就完成全部所需配置和应用。

2.4.4 防火墙缺省动作

当报文通过的域间没有配置ACL规则,或者在所配置的ACL规则组中没有找到符合的规则时,对于报文的处理就要靠防火墙设定在这个域间的缺省动作来决定了。在路由器上,防火墙的缺省动作只有一个全局的变量,决定了对没有规则的报文是允许通过还是丢弃。但是在防火墙上,每个域间的每个方向都可以分别指定其缺省动作,在系统初始配置时,所有域间所有方向上的缺省动作都是丢弃。

2.5 NAT的相关配置

2.5.1 NAT配置的异同

NAT功能是防火墙上又一个主推的功能,在目前的网络应用状况下,基本上每个将防火墙作为网关的组网情况下都会涉及到NAT功能的使用,NAT功能的配置同路由器下基本保持了一致,主要的不同有以下几点:

NAT Server命令变为全局配置

NAT outbound命令的引用位置由接口下改变到了域间

在使用easy ip的时候,命令行所指定的出接口必须处于该域间安全级别比较低的一侧。因此

Eudemon200防火墙操作指导书20040323(15).doc 将本文的Word文档下载到电脑

精彩图片

热门精选

大家正在看

× 游客快捷下载通道(下载后可以自由复制和排版)

限时特价:7 元/份 原价:20元

支付方式:

开通VIP包月会员 特价:29元/月

注:下载文档有可能“只有目录或者内容不全”等情况,请下载之前注意辨别,如果您已付费且无法下载或内容有问题,请联系我们协助你处理。
微信:fanwen365 QQ:370150219