Quidway防火墙Eudemon1000E开局指导书V11020091025B1.pdf
《Quidway防火墙Eudemon1000E开局指导书V11020091025B1.pdf》由会员分享,可在线阅读,更多相关《Quidway防火墙Eudemon1000E开局指导书V11020091025B1.pdf(48页珍藏版)》请在三一文库上搜索。
1、资料编码 产品名称Quidway 自研以太网交换机 使用对象华为工程师、合作工程师产品版本 编写部门软件服务部 -解决方案部资料版本V100R002 Quidway防火墙 Eudemon1000E 开局指导 书 拟制:孙崧铭日期:2009-09-20 审核:日期: 审核:日期: 批准:日期: 华 为 技 术 有 限 公 司 版权所有侵权必究 修订记录 日期修订版本描述作者 2009-10-25 V1.0 完成孙崧铭 目录 第 1 章 Quidway Eudemon 1000E产品概述 1 1.1 系统介绍 . 1 1.2 组网介绍 . 2 1.3 系统结构介绍 2 第 2 章 Quidway
2、Eudemon 1000E的特点 2 2.1 产品系列 . 3 2.2 产品优点 . 3 2.3 安全域概念介绍 4 2.3.1 防火墙的域 . 4 2.3.2 域间概念 5 2.3.3 本地域 6 2.4 防火墙工作模式 7 2.4.1 防火墙工作模式概述 7 2.4.2 路由模式 7 2.4.3 透明模式 7 2.4.4 混合模式 8 2.5 访问控制策略和报文过滤 8 2.5.1 访问控制策略的异同 8 2.5.2 ACL加速查找 . 9 2.5.3 报文过滤规则的应用 9 2.5.4 防火墙缺省动作 . 10 2.6 双机热备 . 10 2.6.1 VRRP的应用 11 2.6.2 传
3、统 VRRP 在 E1000E 备份实现的不足 12 2.6.3 VGMP备份组 . 13 2.6.4 HRP备份 14 2.6.5 VRRP 、VGMP 和 HRP 之间的协议层次关系. 14 2.7 NAT介绍 . 15 2.7.1 NAT的应用 . 15 2.7.2 NAT与 VRRP 绑定 . 16 第 3 章 Quidway Eudemon 1000E数据准备 16 3.1 初始连接配置 16 3.1.1 通过 Console接口搭建 16 3.1.2 通过 Telnet 方式搭建 . 19 3.1.3 通过 WEB 方式接入设备 21 3.2 设备启动 . 22 3.2.1 设备上
4、电 22 3.2.2 设备启动过程. 23 3.3 版本配套 . 25 3.3.1 查看当前的软件版本 25 3.4 软件版本升级 26 3.5 配置规划 . 27 3.5.1 网络拓扑图 . 28 3.5.2 系统名 28 3.5.3 当地时区 28 3.5.4 远程维护登录帐号/口令和 Super 密码 . 28 3.5.5 区域、接口和IP 地址规划 . 29 3.5.6 路由规划 29 3.5.7 访问策略规划. 29 3.5.8 双机热备规划. 30 3.5.9 链路可达性规划 . 30 3.5.10会话快速备份规划 31 3.5.11 NAT规划 31 3.5.12 NAT 与 V
5、RRP 绑定 . 31 第 4 章 Quidway Eudemon 1000E 配置 . 32 4.1 时间日期和时区配置. 32 4.2 系统名配置 . 32 4.3 远程维护登录帐号/口令和 Super 密码配置 . 33 4.3.1 远程维护登录帐号/口令配置 33 4.3.2 Super密码配置 . 33 4.4 区域、接口和IP 地址配置 33 4.4.1 数据配置步骤. 33 4.4.2 测试验证 34 4.5 路由配置 . 35 4.5.1 缺省路由配置. 35 4.5.2 静态路由配置. 35 4.5.3 动态路由OSPF 配置 . 35 4.5.4 测试验证 36 4.6 访
6、问策略控制配置 36 4.6.1 需求说明 36 4.6.2 数据配置 36 4.6.3 测试验证 37 4.7 双机热备配置 37 4.7.1 VRRP/VGMP配置 37 4.7.2 HRP配置 37 4.7.3 测试验证 38 4.8 链路可达性配置 38 4.8.1 配置方法 38 4.8.2 测试验证 39 4.9 会话快速备份配置 39 4.10 NAT配置 . 39 4.10.1 配置地址池与VRRP 绑定 39 4.10.2 配置内部服务器与VRRP 绑定 . 40 4.10.3 验证测试 40 第 5 章 Quidway Eudemon 1000E基本维护 40 5.1 查看
7、软件版本信息 40 5.2 系统配置文件维护 40 5.3 查看单板、电源、风扇运行状况. 41 5.4 查看 CPU 占用率 41 5.5 查看内存占用率 41 5.6 查看接口流量 41 5.7 查看接口、链路状态. 41 5.8 查看日志缓冲区信息. 42 5.9 查看路由表信息 42 5.10 查看 ARP 映射表 42 5.11 查看会话表信息 42 5.12 收集系统诊断信息 42 关键词: Quidway,防火墙, Eudemon1000E ,开局指导书 摘要: 本文结合业务与软件产品线工程师开局需要对华为Quidway 局域网交换 机数据准备给出指导,并对其常见配置进行描述。满
8、足业务与软件产品 常见组网应用开局配置需求。 缩略语清单: VRP 通用路由平台,Versatile Routing Platform FIC 智能接口模块,Flexible Interface Card HIC 高速接口模块,High-speed Interface Card NP 网络处理器,Network Processor SFP Small Form-Factor Pluggable VRRP Virtual Router Redundancy Protocol VGMP VRRP 组管理协议,VRRP Group Management Protocol HRP 华为公司冗余协议,H
9、uawei Redundancy Protocol ACL 访问控制列表,Access Control List 参考资料清单: Quidway Eudemon 1000E 防火墙产品概述 (V100R002_03) Quidway Eudemon 1000E 防火墙命令参考 (V100R002_01) Quidway Eudemon 1000E 防 火 墙配 置 指 南基 础 配 置 分 册 (V100R002_01) Quidway Eudemon 1000E 防 火 墙配 置 指 南可 靠 性 分 册 (V100R002_03) Quidway Eudemon 1000E 防 火 墙配
10、置 指 南系 统 管 理 分 册 (V100R002_04) 第1章 Quidway Eudemon 1000E产品概述 Eudemon 1000E 防火墙设备,主要面向大中型企业和电信网,通常作用 于被保护区域的入口处,基于访问控制策略提供安全防护。例如:当防 火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和数 据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击。 1.1 系统介绍 Eudemon 1000E设备为 1U标准机箱,机箱上带有console口 4 个光电互 斥固定的 10/100/1000M 以太网口, 支持双 GE 、 4FE插卡供用户灵活配置, 最大
11、支持 8GE 。Eudemon 1000E提供了 2 个电源槽位,可以支持交流或直 流电源模块,实现单路供电及电源的冗余备份,并不支持电源模块/ 风扇 / 多功能接口模块热插拔。 作为新一代高速状态防火墙,Eudemon 1000E为大中小型客户提供了高性 价比的网络安全保障。 1.高安全性 与那些基于通用操作系统的软件防火墙相比较,Eudemon 1000E用专门设 计的多核防火墙硬件平台和具有自主知识产权的安全操作系统,报文处 理和操作系统完全分开,这种无依赖性大大提高了系统安全性。 采用 ASPF状态检测技术,Eudemon 1000E 可对连接过程和有害命令进行 监测,并协同ACL完成
12、包过滤此外,Eudemon 1000E还提供数十种攻击的 防范能力。所有这些都有效地保障了网络的安全。 2.高速处理能力 Eudemon 1000E 采用多核CPU硬件架构以及优化的软件结构,有效保证了 系统性能。 例如, ACL高速算法实现了查找数万条策略的速度和查找数条 速度一样。 3.高可靠性 专门设计的防火墙软件,每一环节均考虑到对各种攻击的防御,通过优 先级调度和流控等手段使得系统具备很好的强壮性。Eudemon 1000E防火 墙支持双机状态热备,发生倒换时不会造成业务中断,支持双机分担处 理,故障发生时能够自动倒换。 4.强大的业务支撑能力 Eudemon 1000E 防火墙提供
13、集成的高速以太网接口,以及丰富的可选配的 多功能广域网接口模块,不仅支持丰富的协议,如 H.323、SIP、FTP (File Transfer Protocol)、 SMTP ( Simple Mail Transfer Protocol)等, 而且还支持对有害命令的检测功能。提供基于算法的高速ACL 查找、静 态和动态黑名单过滤、基于代理技术和反弹技术的SYN Flood防御的流 控等特性。 Eudemon 1000E 防火墙除了具备各种安全防范功能,提供高效的安全保障 能力外,还集成了部分路由功能,如静态路由、 RIP (Routing Information Protocol )和OS
14、PF (Open Shortest Path First)动态路由,使得防火 墙的组网应用更加灵活。Eudemon 1000E 防火墙支持多种工作模式,包括 路由、透明和混合三种模式,其中透明模式无需用户更改原来的网络配 置,直接插入防火墙即可,方便了用户组网。 5.良好的图形化配置和管理能力 提供 WEB 管理界面,能轻松实现管理;提供强大的日志和统计分析功能, 在安全分析和事后追踪等方面提供了有力的帮助。 1.2 组网介绍 Eudemon 1000E 防火墙能够工作在三种模式下:路由模式、透明模式、混 合模式。如果防火墙以第三层对外连接(接口具有IP 地址),则认为防 火墙工作在路由模式下
15、;若防火墙通过第二层对外连接(接口无 IP 地址), 则防火墙工作在透明模式下;若防火墙同时具有工作在路由模式和透明 模式的接口(某些接口具有IP 地址,某些接口无IP 地址),则防火墙 工作在混合模式下。 1.3 系统结构介绍 Eudemon 1000E 防火墙采用模块化设计,整机高度为1U,机箱上带有 console 口 4 个光电互斥固定的10/100/1000M 以太网口, 支持双 GE 、 4FE 插卡供用户灵活配置,最大支持8GE 。 Eudemon 1000E防火墙整机的外形图片如下所示: 第2章 Quidway Eudemon 1000E的特点 在安全防范体系中,防火墙一般作为
16、内部网络和外部网络之间第一道防 线,用以抵御来自外部的绝大多数攻击。 在实际应用中,单一的安全防护技术并不足以构筑一个安全的网络安全 体系,多种技术的综合应用才能够将安全风险控制在尽量小的范围内。 一般而言,安全防范体系具体实施的第一项内容就是在内部网和外部网 之间构筑一道防线,以抵御来自外部的绝大多数攻击。完成这项任务的 网络边防产品就是防火墙。 防火墙主要用于以下目的: 限制用户或信息由一个特定的被严格控制的站点进入。 阻止攻击者接近其他安全防御设施。 限制用户或信息由一个特定的被严格控制的站点离开。 2.1 产品系列 Eudemon 1000E 结合华为公司特有的ASPF (Applic
17、ation Specific Packet Filter)技术,兼具有代理防火墙安全性高、状态防火墙速度快的优点。 Eudemon 1000E采用专门设计的高可靠性硬件系统和具有自主知识产权的 专有操作系统,将高效的包过滤功能、透明的代理服务、基于改进的状 态检测安全技术、丰富的统计分析功能、多种安全保障措施集于一身, 并提供多类型接口和工作模式。 Eudemon 1000E包含 4 款产品,主要性能参数如下: Eudemon 1000E-U2 整机最大吞吐量为2Gbit/s ,最大并发连接数为 160 万条,每秒并发新建连接数为15 万条。 Eudemon 1000E-U3 整机最大吞吐量为
18、4Gbit/s ,最大并发连接数为 160 万条,每秒并发新建连接数为15 万条。 Eudemon 1000E-U5 整机最大吞吐量为6Gbit/s ,最大并发连接数为 200 万条,每秒并发新建连接数为15 万条。 Eudemon 1000E-U6 整机最大吞吐量为6Gbit/s ,最大并发连接数为 200 万条,每秒并发新建连接数为15 万条。 U6 相对 U5在小包处理 能力上有所加强。 2.2 产品优点 作为新一代高速状态防火墙,Eudemon 1000E为中小型客户提供了高性价 比的网络安全保障,具有高安全性、高速处理能力等优点。 1. 高安全性 与基于通用操作系统的软件防火墙相比,
19、Eudemon 1000E 采用专门设计的 防火墙硬件平台和具有自主知识产权的安全操作系统,报文处理和操作 系统完全分开,这种无依赖性提高了系统安全性。 Eudemon 1000E 采用 ASPF状态检测技术,可对连接过程和有害命令进行 监测,并协同ACL完成包过滤。此外,Eudemon 1000E 还提供数十种攻击 的防范能力,有效地保障了网络的安全。 2. 高速处理能力 Eudemon 1000E 采用多核技术提供线速的高性能安全防范和报文处理能 力。 Eudemon 1000E采用高速算法和优化的软件结构,有效保证了系统性能。 例如, ACL高速算法实现了查找数千条策略的速度和查找数条速
20、度一样。 3. 高可靠性 专门设计的防火墙软件,每一环节均考虑到对各种攻击的防御,通过优 先级调度和流控等手段使得系统具备很好的强壮性。Eudemon 1000E支持 双机状态热备,发生倒换时不会造成业务中断。 4. 强大的组网和业务支撑能力 Eudemon 1000E 提供集成的高速以太网接口,不仅支持丰富的协议,如 H.323、FTP (File Transfer Protocol)、 SMTP ( Simple Mail Transfer Protocol ) 等, 还支持对有害命令的检测功能。提供 NAT (Network Address Translation)应用、静态和动态黑名单
21、过滤、基于代理技术的SYN Flood 防御的流控等特性。 Eudemon 1000E除了具备各种安全防范功能,提供高效的安全保障能力外, 还集 成了部分路由能力,如静态路由、 RIP( Routing Information Protocol )和 OSPF (Open Shortest Path First)动态路由, 使得 Eudemon 1000E 的组网应用更加灵活。 Eudemon 1000E 支持多种工作模式,包括路由、透明和混合三种模式。其 中透明模式无需用户更改原来的网络配置,此时的Eudemon 1000E 相当 于网桥,方便了用户组网。 5. 强大的日志和统计分析功能 提
22、供强大的日志和统计分析功能,在安全分析和事后追踪等方面提供了 有力的帮助。 2.3 安全域概念介绍 2.3.1 防火墙的域 对于路由器设备,各个接口所连接的网络在安全上可以视为是平等的, 没有明显的内外之分,所以即使进行一定程度的安全检查,也是在接口 上完成的。这样,一个数据流单方向通过路由器时有可能需要进行两次 安全规则的检查,以便使其符合每个接口上独立的安全定义。而这种思 路对于防火墙设备来说就不是很合适,防火墙所承担的责任是保护内部 网络不受外部网络上非法行为的伤害,有着明确的内外之分。当一个数 据流通过防火墙设备的时候,根据其发起方向的不同,所引起的操作是 截然不同的。由于这种安全级别
23、上的差别,再采用在接口上检查安全策 略的方式已经不适用,可能会造成用户在配置上的混乱。 因此,防火墙提出了安全区域的概念。一个安全区域是一个或多个接口 的一个组合,具有一个安全级别。在设备内部,这个安全级别通过一个 0-100 的数字来表示, 数字越大表示安全级别越高,不存在两个具有相同 安全级别的区。只有当数据在分属于两个不同安全级别的接口之间流动 的时候,才会激活防火墙的安全规则检查功能。数据在属于同一个安全 域的不同接口间流动的时候将被直接转发,不会触发ACL等检查。 Eudemon防火墙上保留四个安全区域: 非受信区( Untrust ):低级的安全区域,其安全优先级为5。 非军事化区
24、( DMZ ):中度级别的安全区域,其安全优先级为50。 受信区( Trust ):较高级别的安全区域,其安全优先级为85。 本地区域( Local ):最高级别的安全区域,其安全优先级为100。 除了本地域,每个区域可以关联一个或多个防火墙接口。如认为有必要, 用户还可以自行设置新的安全区域并定义其安全优先级别。最多16 个安 全区域。 一般情况下,受信区接口连接用户要保护的内部网络,非受信区连接外 部网络,非军事化区连接用户向外部提供服务的部分网络。 在以接口为基础进行安全检查的路由器上,进入接口的报文称为inbound 方向,流出接口的报文称为outbound 方向,针对每个方向,可以配
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Quidway 防火墙 Eudemon1000E 开局 指导书 V11020091025B1
链接地址:https://www.31doc.com/p-5567554.html