Eudemon防火墙.docx
《Eudemon防火墙.docx》由会员分享,可在线阅读,更多相关《Eudemon防火墙.docx(20页珍藏版)》请在冰点文库上搜索。
Eudemon防火墙
资料编码
产品名称
使用对象
工程师/合作单位/客户
产品版本
编写部门
业务与软件技术服务部
资料版本
Eudemon防火墙
上机指导书ISSUE1.0
拟制:
林浩泓
日期:
2005-3-11
审核:
日期:
审核:
日期:
批准:
日期:
华为技术有限公司
版权所有XX
修订记录
日期
修订版本
描述
作者
目录
实验一NAT地址转换(地址池方式)1
1.组网图1
2.系统组网说明1
3.客户机配置1
4.系统数据配置1
5.验证2
6.思考题3
实验二NAT地址转换(easyip方式)4
1.组网图4
2.系统组网说明4
3.客户机配置4
4.系统数据配置4
5.验证5
实验三NATALG应用6
1.组网图6
2.系统组网说明6
3.客户机配置6
4.系统数据配置6
5.验证7
6.思考题8
实验四NATSERVER应用9
1.组网图9
2.系统组网说明9
3.客户机配置9
4.系统数据配置9
5.验证10
实验五ASPF实例11
1.组网图11
2.系统组网说明11
3.客户机配置11
4.系统数据配置11
5.验证12
6.思考题13
实验六用户访问量限制14
1.组网图14
2.系统组网说明14
3.客户机配置14
4.系统数据配置14
5.验证15
6.思考题16
实验七网络攻击防范实例17
1.组网图17
2.系统组网说明17
3.客户机配置17
4.系统数据配置17
5.验证18
实验一NAT地址转换(地址池方式)
1.组网图
2.系统组网说明
(1)PC1接eudemon以太网1端口,属untrust区域,无需设置网关地址;
(2)PC2接eudemon以太网0端口,属trust区域,需设置网关地址;
(3)PC2作为NAT私网客户端可以ping通公网的PC1。
3.客户机配置
(1)PC1:
IP地址202.106.0.2/24;
(2)PC2:
IP地址192.168.0.2/24,网关192.168.0.1。
4.系统数据配置
[Eudemon]interfaceethernet0/0/0
[Eudemon-Ethernet0/0/0]ipaddress192.168.0.1255.255.255.0//配置接口0地址
[Eudemon-Ethernet0/0/0]interfaceethernet0/0/1
[Eudemon-Ethernet0/0/1]ipaddress202.106.0.1255.255.255.0//配置接口1地址
[Eudemon-Ethernet0/0/1]quit
[Eudemon]firewallzonetrust
[Eudemon-zone-trust]addinterfaceethernet0/0/0//将0端口加入trust区域
[Eudemon-zone-trust]firewallzoneuntrust
[Eudemon-zone-untrust]addinterfaceEthernet0/0/1//将1端口加入untrust区域
[Eudemon-zone-untrust]quit
[Eudemon]nataddress-group0202.106.0.10202.106.0.20//配置NAT地址池
[Eudemon]aclnumber1
[Eudemon-acl-basic-1]rule0permitsource192.168.0.00.0.0.255//配置ACL规则用于匹配NAT
[Eudemon]quit
[Eudemon]aclnametestadvanced
[Eudemon]rule0permitipsource192.168.0.00.0.0.255destination202.106.0.00.0.0.255//配置acl允许PC2访问202.106.0网段
[Eudemon]firewallinterzonetrustuntrust
[Eudemon-interzone-trust-untrust]natoutbound1address-group0
//将访问控制列表和地址池关联,允许192.168.0.0/24网段报文进行地址转换
[Eudemon-interzone-trust-untrust]packet-filtertestoutbound//引用ACL规则,并定义引用规则的数据流方向
5.验证
在PC2上pingPC1,可以ping通;
通过查看会话表可以了解nat转换过程,
[Eudemon]displayfirewallsessiontable
icmp:
192.168.0.2:
768[202.106.0.12:
12889]-->202.106.0.2:
768
icmp:
202.106.0.1:
768<--192.168.0.2:
768
icmp:
192.168.0.1:
768<--192.168.0.2:
768
NBTdatagram:
202.106.0.255:
138<--202.106.0.2:
138
6.思考题
问:
PC1与PC2不在同一网段,PC2设置网关,测试业务时PC2发给PC1的ICMP报文,PC1可以收到;但PC1并没有设置网关,PC1的ICMP回应的报文怎么能送给PC2呢?
答:
这是NAT的优越性之一了,可以保证NAT用户的保密性。
对于PC1来说并没有看到有192.168.0.0网段的用户访问它,它只看到了202.106.0.12(参见session表)这个地址,由于和他本身是同一网段地址,所以根本就无需网关了。
实验二NAT地址转换(easyip方式)
7.组网图
8.系统组网说明
(1)PC1接eudemon以太网1端口,属untrust区域,无需设置网关地址;
(2)PC2接eudemon以太网0端口,属trust区域,需设置网关地址;
(3)PC2作为NAT私网客户端可以ping通公网的PC1。
9.客户机配置
(1)PC1:
IP地址202.106.0.2/24;
(2)PC2:
IP地址192.168.0.2/24,网关192.168.0.1。
10.系统数据配置
[Eudemon]interfaceethernet0/0/0
[Eudemon-Ethernet0/0/0]ipaddress192.168.0.1255.255.255.0//配置接口0地址
[Eudemon-Ethernet0/0/0]interfaceethernet0/0/1
[Eudemon-Ethernet0/0/1]ipaddress202.106.0.1255.255.255.0//配置接口1地址
[Eudemon-Ethernet0/0/1]quit
[Eudemon]firewallzonetrust
[Eudemon-zone-trust]addinterfaceethernet0/0/0//将0端口加入trust区域
[Eudemon-zone-trust]firewallzoneuntrust
[Eudemon-zone-untrust]addinterfaceEthernet0/0/1//将1端口加入untrust区域
[Eudemon-zone-untrust]quit
[Eudemon]aclnumber1
[Eudemon-acl-basic-1]rule0permitsource192.168.0.00.0.0.255//配置ACL规则
[Eudemon]quit
[Eudemon]firewallinterzonetrustuntrust
[Eudemon-interzone-trust-untrust]natoutbound1interfaceEthernet0/0/1
//将ACL和接口关联,允许192.168.0.0/24网段报文进行地址转换
[Eudemon-interzone-trust-untrust]packet-filter1outbound//引用ACL规则,根据acl规定报文确定数据流向
11.验证
在PC2上pingPC1,可以ping通;
通过查看会话表可以了解nat转换过程,与第一章内容比较分析,
[Eudemon]displayfirewallsessiontable
icmp:
192.168.0.2:
512[202.106.0.1:
12889]-->202.106.0.2:
512
icmp:
192.168.0.2:
512[202.106.0.1:
12888]-->202.106.0.2:
512
实验三NATALG应用
12.组网图
13.系统组网说明
(1)PC1接eudemon以太网1端口,无需设置网关地址;
(2)PC2接eudemon以太网0端口,需设置网关地址;
(3)PC1安装ftpserver软件,作为ftp服务器;
(4)NAT使用easyip方式;
(5)将natalg功能关闭,FTP登陆PC1,可以正常登陆但无法正常使用ftp业务;
(6)将natalg功能开启,再次FTPPC1,可以正常登陆并使用各种ftp业务;
14.客户机配置
(1)PC1:
IP地址202.106.0.2/24;
(2)PC2:
IP地址192.168.0.2/24,网关192.168.0.1,安装ftpserver软件并正确设置。
15.系统数据配置
[Eudemon]interfaceethernet0/0/0
[Eudemon-Ethernet0/0/0]ipaddress192.168.0.1255.255.255.0//配置接口0地址
[Eudemon-Ethernet0/0/0]interfaceethernet0/0/1
[Eudemon-Ethernet0/0/1]ipaddress202.106.0.1255.255.255.0//配置接口1地址
[Eudemon-Ethernet0/0/1]quit
[Eudemon]firewallzonetrust
[Eudemon-zone-trust]addinterfaceethernet0/0/0//将0端口加入trust区域
[Eudemon-zone-trust]firewallzoneuntrust
[Eudemon-zone-untrust]addinterfaceEthernet0/0/1//将1端口加入untrust区域
[Eudemon-zone-untrust]quit
[Eudemon]aclnumber1
[Eudemon-acl-basic-1]rule0permitsource192.168.0.00.0.0.255//配置ACL规则
[Eudemon]quit
[Eudemon]firewallinterzonetrustuntrust
[Eudemon-interzone-trust-untrust]natoutbound1interfaceEthernet0/0/1
//将ACL和接口关联,允许192.168.0.0/24网段报文进行地址转换
[Eudemon-interzone-trust-untrust]packet-filter1outbound//引用ACL规则,根据acl规定报文确定数据流向
[Eudemon]undonatalgenableftp//取消alg功能
16.验证
在PC2上ftp202.106.0.2可以登陆PC1,但是无法正常使用ftp业务;
执行[Eudemon]natalgenableftp后,ftp业务全部正常。
注:
系统缺省natalgenable。
17.思考题
问:
为何natalg必须打开才能正常使用FTP业务,又为何natalg关闭却只能登陆FTPSERVER而不能正常使用FTP业务呢?
答:
有些情况下FTP协议交互信息的时候IP地址与端口信息是在数据包里面的,而不是在包头。
普通的NAT只能查询包头的信息,而ALG是特定的应用协议的转换代理,它和NAT交互以建立状态,使用NAT的状态信息来改变封装在IP报文数据部分中的特定数据,所以natalg必须打开;FTP协议要用到两个TCP连接,一个是命令链路,用来在FTP客户端与服务器之间传递命令;另一个是数据链路,用来上传或下载数据。
有时命令链路是正常的,但数据链路不可用,很多情况是与alg功能有关系的,需要在开局过程中注意。
实验四NATSERVER应用
18.组网图
19.系统组网说明
(1)PC1接eudemon以太网1端口,无需设置网关地址;
(2)PC2接eudemon以太网0端口,需设置网关地址;
(3)PC2安装ftpserver软件,作为ftp服务器;
(4)NAT配置可以使用地址池或者easyip方式,这里使用地址池方式;
(5)设置eudemonNATSERVER地址并与PC2IP地址建立绑定关系;
(6)在PC1上ftpeudemonSERVER地址,可以登陆PC2。
20.客户机配置
(1)PC1:
IP地址202.106.0.2/24;
(2)PC2:
IP地址192.168.0.2/24,网关192.168.0.1,安装ftpserver软件并正确设置。
21.系统数据配置
[Eudemon]interfaceethernet0/0/0
[Eudemon-Ethernet0/0/0]ipaddress192.168.0.1255.255.255.0//配置接口0地址
[Eudemon-Ethernet0/0/0]interfaceethernet0/0/1
[Eudemon-Ethernet0/0/1]ipaddress202.106.0.1255.255.255.0//配置接口1地址
[Eudemon-Ethernet0/0/1]quit
[Eudemon]firewallzonetrust
[Eudemon-zone-trust]addinterfaceethernet0/0/0//将0端口加入trust区域
[Eudemon-zone-trust]firewallzoneuntrust
[Eudemon-zone-untrust]addinterfaceEthernet0/0/1//将1端口加入untrust区域
[Eudemon-zone-untrust]quit
[Eudemon]aclnumber2
[Eudemon-acl-basic-2]rulepermitsource202.106.0.00.0.0.255
[Eudemon-interzone-trust-untrust]packet-filter2inbound
[Eudemon]natserverprotocoltcpglobal202.106.0.100ftpinside192.168.0.2ftp
//将内部ftp服务器192.168.0.2对外公布地址设置为202.106.0.100
22.验证
在PC1上ftp202.106.0.100可以登陆PC2,并可正常运行FTP业务;
查看会话表项,
[Eudemon]displayfirewallsessiontable
FTP:
192.168.0.2:
21[202.106.0.100:
21]<--202.106.0.2:
1034
NBTdatagram:
202.106.0.255:
138<--202.106.0.2:
138
实验五ASPF实例
23.组网图
24.系统组网说明
(1)PC1接eudemon以太网1端口,
(2)PC2接eudemon以太网0端口,
(3)PC1安装ftpserver软件,作为ftp服务器;
(4)使用IE浏览器缺省配置或DOS下使用命令行FTPX.X.X.X作为客户端,在PC2上ftpPC1地址,可以登陆PC1;
25.客户机配置
(1)PC1:
IP地址202.106.0.2/24;网关202.106.0.1,安装ftpserver软件并正确设置;
(2)PC2:
IP地址192.168.0.2/24,网关192.168.0.1。
26.系统数据配置
[Eudemon]interfaceethernet0/0/0
[Eudemon-Ethernet0/0/0]ipaddress192.168.0.1255.255.255.0//配置接口0地址
[Eudemon-Ethernet0/0/0]interfaceethernet0/0/1
[Eudemon-Ethernet0/0/1]ipaddress202.106.0.1255.255.255.0//配置接口1地址
[Eudemon-Ethernet0/0/1]quit
[Eudemon]firewallzonetrust
[Eudemon-zone-trust]addinterfaceethernet0/0/0//将0端口加入trust区域
[Eudemon-zone-trust]firewallzoneuntrust
[Eudemon-zone-untrust]addinterfaceEthernet0/0/1//将1端口加入untrust区域
[Eudemon-zone-untrust]quit
[Eudemon]firewallsessionaging-timeftp3000//配置ASPF检测策略,定义FTP协议的session老化时间为3000秒
[Eudemon]firewallpacket-filterdefaultpermitinterzonetrustuntrustdirectionoutbound
//配置Trust和Untrust区域间出方向包过滤缺省动作为允许
[Eudemon]firewallinterzonetrustuntrust
[Eudemon-interzone-trust-untrust]detectftp//配置在Trust和Untrust区域间上应用ASPF策略
27.验证
(1)使用IE浏览器缺省配置或DOS下使用命令行FTPX.X.X.X作为客户端,在PC2上ftpPC1地址,可以登陆PC1;
(2)打开DEBUG开关debugfirewallaspfftp,terminaldebugging,terminalmonitor,再次FTP登陆SERVER可以看到信息
*0.12510245-SEC-8-ASPF:
[192.168.0.2:
1144->202.106.0.2:
21]:
FTP:
Statuschangeto
FTP_WAIT_USER_ACK
*0.12510360-SEC-8-ASPF:
[192.168.0.2:
1144<-202.106.0.2:
21]:
FTP:
Statuschangeto
FTP_USER_LOGGED
*0.12520696-SEC-8-ASPF:
[192.168.0.2:
1144->202.106.0.2:
21]:
FTP:
Statuschangeto
FTP_WAIT_PASSWD_ACK
*0.12520810-SEC-8-ASPF:
[192.168.0.2:
1144<-202.106.0.2:
21]:
FTP:
Statuschangeto
FTP_CONXN_UP
(3)使用[Eudemon-interzone-trust-untrust]undodetectftp,再重新FTPPC1,仍然可以正常登陆,但是无法正常使用业务。
28.思考题
问:
为何要使用IE浏览器缺省配置或DOS下使用命令行FTPX.X.X.X作为客户端登陆才能验证ASPF?
答:
大部分FTP客户端默认使用PASV方式。
IE默认使用PORT方式,我们需要使用PORT方式来验证ASPF业务,因为如果用PASV方式登录FTP服务器,在建立数据链路的时候,是由客户端向服务器发送连接请求,没有问题。
如果用PORT方式登录FTP服务器,建立数据链路的时候,是由服务器向客户端发送连接请求,此时连接请求会被防火墙拦截,但我们通过打开ASPF可以解决这个问题。
实验六用户访问量限制
29.组网图
30.系统组网说明
(1)PC1接eudemon以太网1端口,
(2)PC2接eudemon以太网0端口,
(3)PC1安装ftpserver软件,作为ftp服务器;
(4)PC2启用多个FTP连接同时登陆PC1,并操作FTP业务;
31.客户机配置
(1)PC1:
IP地址202.106.0.2/24;网关202.106.0.1;
(2)PC2:
IP地址192.168.0.2/24,网关192.168.0.1,安装ftpserver软件并设置至少允许3个用户登陆。
32.系统数据配置
[Eudemon]interfaceethernet0/0/0
[Eudemon-Ethernet0/0/0]ipaddress192.168.0.1255.255.255.0//配置接口0地址
[Eudemon-Ethernet0/0/0]interfaceethernet0/0/1
[Eudemon-Ethernet0/0/1]ipaddress202.106.0.1255.255.255.0//配置接口1地址
[Eudemon-Ethernet0/0/1]quit
[Eudemon]firewallzonetrust
[Eudemon-zone-trust]ad
升级会员 