1、防火墻issue1.0業(yè)務(wù)與軟件技術(shù)服務(wù)部集成產(chǎn)品部業(yè)務(wù)與軟件技術(shù)服務(wù)部集成產(chǎn)品部學(xué)習(xí)目標學(xué)習(xí)目標l了解防火墻的概念l熟悉eudemon防火墻產(chǎn)品l能夠?qū)udemon防火墻進行規(guī)劃和配置學(xué)習(xí)完本課程，您應(yīng)該能夠：內(nèi)容內(nèi)容l防火墻概念防火墻概念leudemon防火墻介紹防火墻介紹leudemon防火墻配置步驟防火墻配置步驟leudemon防火墻的維護防火墻的維護l防火墻的常見組網(wǎng)方式防火墻的常見組網(wǎng)方式防火墻的概念防火墻的概念 隨著internet的日益普及，許多l(xiāng)an（內(nèi)部網(wǎng)絡(luò)）已經(jīng)直接可以接入internet網(wǎng)絡(luò)，這種開放式的網(wǎng)絡(luò)同時帶來了許多不安全的隱患。在開放網(wǎng)絡(luò)式的網(wǎng)絡(luò)上，我們的周圍

2、存在著許多不能信任的計算機（包括在一個lan之間），這些計算機對我們私有的一些敏感信息造成了很大的威脅。 在大廈的構(gòu)造，防火墻被設(shè)計用來防止火從大廈的一部分傳播到大廈的另外一部分。我們所涉及的防火墻服務(wù)具有類似的目的：“防止internet的危險傳播到你的內(nèi)部網(wǎng)絡(luò)”。 現(xiàn)代的防火墻體系不應(yīng)該只是一個“入口的屏障”，防火墻應(yīng)該是幾個網(wǎng)絡(luò)的接入控制點，所有經(jīng)過被防火墻保護的網(wǎng)絡(luò)的數(shù)據(jù)流都應(yīng)該首先經(jīng)過防火墻，形成一個信息進入的關(guān)口，因此防火墻不但可以保護內(nèi)部網(wǎng)絡(luò)在internet中的安全，同時可以保護若干主機在一個內(nèi)部網(wǎng)絡(luò)中的安全。在每一個被防火墻分割的網(wǎng)絡(luò)中，所有的計算機之間是被認為“可信任的”，

3、它們之間的通信可以不受防火墻的干涉。而在各個被防火墻分割的網(wǎng)絡(luò)之間，必須按照防火墻規(guī)定的“策略”進行互相的訪問。防火墻的概念防火墻的概念簡單的說，防火墻是保護一個網(wǎng)絡(luò)免受“不信任”的網(wǎng)絡(luò)的攻擊，但是同時還必須允許兩個網(wǎng)絡(luò)之間可以進行合法的通信。防火墻應(yīng)該具有如下基本特征：經(jīng)過防火墻保護的網(wǎng)絡(luò)之間的通信必須都經(jīng)過防火墻。只有經(jīng)過各種配置的策略驗證過的合法數(shù)據(jù)包才可以通過防火墻。防火墻本身必須具有很強的抗攻擊、滲透能力。防火墻可以保護內(nèi)部網(wǎng)絡(luò)的安全，可以使受保護的網(wǎng)絡(luò)避免遭到外部網(wǎng)絡(luò)的攻擊。硬件防火墻應(yīng)該可以支持若干個網(wǎng)絡(luò)接口，這些接口都是lan接口（如ethernet、token ring、fd

4、di），這些接口用來連接幾個網(wǎng)絡(luò)。在這些網(wǎng)絡(luò)中進行的連接都必須經(jīng)過硬件防火墻，防火墻來控制這些連接，對連接進行驗證、過濾。連接不受信連接不受信網(wǎng)絡(luò)區(qū)域網(wǎng)絡(luò)區(qū)域連接受信網(wǎng)連接受信網(wǎng)絡(luò)區(qū)域絡(luò)區(qū)域在連接受信網(wǎng)絡(luò)區(qū)域和非受信網(wǎng)絡(luò)區(qū)域之間的在連接受信網(wǎng)絡(luò)區(qū)域和非受信網(wǎng)絡(luò)區(qū)域之間的區(qū)域，一般稱為區(qū)域，一般稱為dmz。防火墻和路由器的差異防火墻和路由器的差異a的報文如何能最快的到的報文如何能最快的到b？ 網(wǎng)絡(luò)網(wǎng)絡(luò)a如何和網(wǎng)絡(luò)如何和網(wǎng)絡(luò)b互聯(lián)互通？過來一個報文立刻轉(zhuǎn)發(fā)一個報文。互聯(lián)互通？過來一個報文立刻轉(zhuǎn)發(fā)一個報文。網(wǎng)絡(luò)a網(wǎng)絡(luò)b交流路由信息交流路由信息這個訪問是否允許到這個訪問是否允許到b？這個？這個tcp連

5、接是合法連接嗎？這個訪問是否是一個攻擊行為？連接是合法連接嗎？這個訪問是否是一個攻擊行為？路由器的特點：路由器的特點：保證互聯(lián)互通。保證互聯(lián)互通。按照最長匹配算法逐包轉(zhuǎn)發(fā)。按照最長匹配算法逐包轉(zhuǎn)發(fā)。路由協(xié)議是核心特性。路由協(xié)議是核心特性。防火墻的特點：防火墻的特點：邏輯子網(wǎng)之間的訪問控制，關(guān)注邊界安全邏輯子網(wǎng)之間的訪問控制，關(guān)注邊界安全基于連接的轉(zhuǎn)發(fā)特性。基于連接的轉(zhuǎn)發(fā)特性。安全防范是防火墻的核心特性。安全防范是防火墻的核心特性。由于防火墻具有基于連接監(jiān)控的特性，因此防火墻對業(yè)務(wù)支持具有非常強的優(yōu)勢。而路由器基于由于防火墻具有基于連接監(jiān)控的特性，因此防火墻對業(yè)務(wù)支持具有非常強的優(yōu)勢。而路由器基

6、于逐包轉(zhuǎn)發(fā)的特點，因此路由器設(shè)備不適合做非常復(fù)雜的業(yè)務(wù)，復(fù)雜的業(yè)務(wù)對路由器的性能消耗比逐包轉(zhuǎn)發(fā)的特點，因此路由器設(shè)備不適合做非常復(fù)雜的業(yè)務(wù)，復(fù)雜的業(yè)務(wù)對路由器的性能消耗比較大。防火墻支持的接口不如路由器豐富，支持的路由協(xié)議不如路由器豐富，因此防火墻不適合較大。防火墻支持的接口不如路由器豐富，支持的路由協(xié)議不如路由器豐富，因此防火墻不適合做為互聯(lián)互通的轉(zhuǎn)發(fā)設(shè)備。防火墻適合做為企業(yè)、內(nèi)部局域網(wǎng)的出口設(shè)備，支持高速、安全、豐做為互聯(lián)互通的轉(zhuǎn)發(fā)設(shè)備。防火墻適合做為企業(yè)、內(nèi)部局域網(wǎng)的出口設(shè)備，支持高速、安全、豐富的業(yè)務(wù)特性。富的業(yè)務(wù)特性。防火墻的分類防火墻的分類按照防火墻實現(xiàn)的方式，一般把防火墻分為如下

7、幾類： 包過濾防火墻(packet filtering) 包過濾利用定義的特定規(guī)則過濾數(shù)據(jù)包，防火墻直接獲得數(shù)據(jù)包的ip源地址、目的地址、tcp/ udp的源端口、和tcp/udp的目的端口。利用以上的部分或者全部的信息按照規(guī)則進行比較，過濾通過防火墻的數(shù)據(jù)包。規(guī)則的定義就是按照ip數(shù)據(jù)包的特點定義的，可以充分利用上述的四個條件定義通過防火墻數(shù)據(jù)包的條件。 包過濾防火墻簡單，但是缺乏靈活性。另外包過濾防火墻每包需要都進行策略檢查，策略過多會導(dǎo)致性能急劇下降。 代理型防火墻（application gateway） 代理型防火墻使得防火墻做為一個訪問的中間節(jié)點，對client來說防火墻是一個se

8、rver，對server來說防火墻是一個client。代理型防火墻安全性較高，但是開發(fā)代價很大。對每一種應(yīng)用開發(fā)一個對應(yīng)的代理服務(wù)是很難做到的，因此代理型防火墻不能支持很豐富的業(yè)務(wù)，只能針對某些應(yīng)用提供代理支持。 狀態(tài)檢測防火墻 狀態(tài)檢測是一種高級通信過濾。它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。對于所有連接，每一個連接狀態(tài)信息都將被aspf維護并用于動態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。現(xiàn)在防火墻的主流產(chǎn)品為狀態(tài)檢測防火墻。狀態(tài)檢測技術(shù)狀態(tài)檢測技術(shù)用戶a初始化一個telnet會話用戶a的telnet會話返回報文被允許其它telnet報文被阻塞創(chuàng)建session表項狀態(tài)防火

9、墻通過檢測基于狀態(tài)防火墻通過檢測基于tcp/udp連接的連接狀態(tài)，來動態(tài)的決定報文是否可以連接的連接狀態(tài)，來動態(tài)的決定報文是否可以通過防火墻。在狀態(tài)防火墻中，會維護著一個通過防火墻。在狀態(tài)防火墻中，會維護著一個session表項，通過表項，通過session表項就表項就可以決定哪些連接是合法訪問，哪些是非法訪問。可以決定哪些連接是合法訪問，哪些是非法訪問。防火墻的硬件發(fā)展防火墻的硬件發(fā)展防火墻的硬件發(fā)展過程：1、一般是直接安裝在pc上的一套軟件，基于pc提供基本的安全防護，此時防火墻基本上就是一個應(yīng)用軟件。代表產(chǎn)品有checkpoint公司的防火墻產(chǎn)品。2、采用pc硬件結(jié)構(gòu)，基于linux等開

10、發(fā)源代碼的操作系統(tǒng)內(nèi)核，開發(fā)了安全防護的一些基本特性構(gòu)成硬件防火墻產(chǎn)品形態(tài)。國內(nèi)大部分防火墻產(chǎn)品都是采用這種方式開發(fā)。從外觀上面看，該種防火墻是一個硬件防火墻產(chǎn)品，但是其軟件、硬件和第一種防火墻產(chǎn)品從硬件上面說沒有本質(zhì)區(qū)別。代表產(chǎn)品有天融信公司的防火墻產(chǎn)品3、采用獨立設(shè)計的硬件結(jié)構(gòu)，在cpu、電源、風(fēng)扇、pci總線設(shè)計、擴展插卡等方面優(yōu)化結(jié)構(gòu)，保證防火墻產(chǎn)品可以得到最優(yōu)的處理性能。代表產(chǎn)品有華為公司的eudemon 200產(chǎn)品、netscreen 204等防火墻產(chǎn)品。4、由于純軟件設(shè)計的防火墻產(chǎn)品在流量很大的地方逐步成為瓶頸，基于網(wǎng)絡(luò)處理器（np）的業(yè)務(wù)加速模式的防火墻產(chǎn)品開始出現(xiàn)。通過網(wǎng)絡(luò)處

11、理器的高性能，使得防火墻產(chǎn)品可以達到1g線速的處理能力。代表產(chǎn)品有華為公司的eudemon 1000產(chǎn)品。內(nèi)容內(nèi)容l防火墻概念防火墻概念leudemon防火墻介紹防火墻介紹leudemon防火墻配置步驟防火墻配置步驟leudemon防火墻的維護防火墻的維護l防火墻的常見組網(wǎng)方式防火墻的常見組網(wǎng)方式eudemon防火墻介紹防火墻介紹eudemon防火墻介紹防火墻的介紹安全區(qū)域工作模式控制列表應(yīng)用訪問策略aspf黑名單nat地址轉(zhuǎn)換雙機工作方式 vrrp組hrp攻擊防范一夫當關(guān)，萬夫莫開華為公司華為公司eudemon防火墻防火墻華為公司系列硬件防火墻產(chǎn)品，涵蓋了從低端數(shù)兆到高端千兆級別，卓華為公司

12、系列硬件防火墻產(chǎn)品，涵蓋了從低端數(shù)兆到高端千兆級別，卓越的性能和先進的安全體系架構(gòu)為用戶提供了強大的安全保障越的性能和先進的安全體系架構(gòu)為用戶提供了強大的安全保障eudemon 1000/500eudemon 200eudemon 100華為公司華為公司eudemon系列防火墻系列防火墻eudemon 100l 定位于中小規(guī)模網(wǎng)絡(luò)l 吞吐率：100mbpsl 并發(fā)連接數(shù)：200,000條l 新建連接率：5,000條/秒l 支持4個fe接口eudemon 200l 定位于中等規(guī)模網(wǎng)絡(luò)l 吞吐率：400mbpsl 并發(fā)連接數(shù)：500,000條l 新建連接率：10,000條/秒eudemon 100

13、0/500l 定位于中大規(guī)模網(wǎng)絡(luò)l 吞吐率：3gbpsl 并發(fā)連接數(shù)：800,000條l 新建連接率：100,000條/秒 專用硬件系統(tǒng)專用硬件系統(tǒng) 專用軟件系統(tǒng)專用軟件系統(tǒng) 高可靠高可靠 高安全高安全 高性能高性能 完備的防止流量攻擊功能完備的防止流量攻擊功能 強大的組網(wǎng)和業(yè)務(wù)支撐能力強大的組網(wǎng)和業(yè)務(wù)支撐能力 安全方便的管理系統(tǒng)安全方便的管理系統(tǒng)eudemon 防火墻主要特點防火墻主要特點e100e200e1000接口數(shù)量接口數(shù)量自帶自帶2個個10/100m以以太網(wǎng)口，另有太網(wǎng)口，另有2個擴個擴展接口插槽展接口插槽自帶自帶2個個10/100m以太以太網(wǎng)口。網(wǎng)口。,2個擴展接口插槽個擴展接口插

14、槽自帶自帶2個個10/100m以以太網(wǎng)口。太網(wǎng)口。4個擴展接個擴展接口插槽口插槽接口類型接口類型10/100m以太網(wǎng)以太網(wǎng)10/100m以太網(wǎng)，以太網(wǎng)，e1、atm接口接口fe/ge口，口，e1、atm、pos等接口等接口支持加密標準支持加密標準des,3des, aes,國密辦算法國密辦算法des,3des, aes,國密辦算法國密辦算法des,3des, aes,國密辦算法國密辦算法加密速度加密速度(3des)80m100m300m支持的認證類型支持的認證類型radiusradiusradiuseudemon防火墻基本規(guī)格防火墻基本規(guī)格e100e200e1000靜態(tài)靜態(tài)acl支持支持支 持

15、 ， 支 持 高 速支 持 ， 支 持 高 速acl算法；算法；3k條條支持，支持高速支持，支持高速acl算算法；法；20k條條支持，支持高速支持，支持高速acl算算法，法，100k條條提供基于時間的提供基于時間的acl訪問訪問控制控制支持支持支持支持支持支持傳輸層傳輸層proxy代理代理支持支持支持支持支持支持activex、java applet過過濾濾 支持支持支持支持支持支持支持的抗攻擊類型支持的抗攻擊類型支持抵抗支持抵抗syn floodsyn flood、icmp floodicmp flood、udp floodudp flood、winnukewinnuke、landland、

16、smurfsmurf、fragglefraggle等數(shù)十種攻擊等數(shù)十種攻擊支持的應(yīng)用狀態(tài)檢測支持的應(yīng)用狀態(tài)檢測對對tcp、udp、分片報文、分片報文、ftp、smtp、rtsp、h.323、sip、http等進行應(yīng)用等進行應(yīng)用狀態(tài)檢測狀態(tài)檢測ip和和mac地址綁定地址綁定支持支持支持支持支持支持eudemon防火墻基本規(guī)格防火墻基本規(guī)格e100e200e1000提供對提供對smtp,ftp等協(xié)議的應(yīng)用層有等協(xié)議的應(yīng)用層有害命令檢測和防御。害命令檢測和防御。支持支持支持支持支持支持nat主要支持主要支持algftp、pptp、dns、nbt（netbios over tcp）、）、ils（int

17、ernet locator service）、）、icmp、h.323、sip等協(xié)議等等協(xié)議等支持支持qos和帶寬管理和帶寬管理支持支持支持支持支持支持支持負載均衡支持負載均衡支持支持支持支持支持支持支持工作模式支持工作模式nat,路由，透明路由，透明nat,路由，透明路由，透明nat,路由，透明路由，透明失敗恢復(fù)特性失敗恢復(fù)特性雙機狀態(tài)熱備；多雙機狀態(tài)熱備；多機均衡，自動倒換；機均衡，自動倒換；雙機狀態(tài)熱備；多雙機狀態(tài)熱備；多機均衡，自動倒換；機均衡，自動倒換；雙機狀態(tài)熱備；多雙機狀態(tài)熱備；多機均衡，自動倒換；機均衡，自動倒換；eudemon防火墻基本規(guī)格防火墻基本規(guī)格e100e200e10

18、00動態(tài)路由動態(tài)路由支持支持rip、ospf支持支持rip、ospf支持支持rip、ospf支持支持snmp監(jiān)控和配置監(jiān)控和配置支持支持支持支持支持支持管理方式管理方式gui,cligui,cligui,cli集中管理多個防火墻集中管理多個防火墻支持支持支持支持支持支持日志日志支持二進制和支持二進制和syslog格格式式支 持 二 進 制 和支 持 二 進 制 和syslog格式格式支 持 二 進 制 和支 持 二 進 制 和syslog格式格式日志可設(shè)定輸出信息日志可設(shè)定輸出信息所有發(fā)起連接，流量，各所有發(fā)起連接，流量，各種詳細統(tǒng)計如分類丟棄報種詳細統(tǒng)計如分類丟棄報文等文等所有發(fā)起連接，流量

19、，所有發(fā)起連接，流量，各種統(tǒng)計如分類丟棄各種統(tǒng)計如分類丟棄報文等報文等所有發(fā)起連接，流量，所有發(fā)起連接，流量，各種統(tǒng)計如分類丟棄各種統(tǒng)計如分類丟棄報文等報文等eudemon防火墻基本規(guī)格防火墻基本規(guī)格防火墻的安全區(qū)域防火墻的安全區(qū)域l防火墻的內(nèi)部劃分為多個區(qū)域，所有的轉(zhuǎn)發(fā)接口都唯一的屬于防火墻的內(nèi)部劃分為多個區(qū)域，所有的轉(zhuǎn)發(fā)接口都唯一的屬于某個區(qū)域某個區(qū)域local區(qū)域trust區(qū)域dmz區(qū)域untrust區(qū)域接口1接口2接口3接口4防火墻的安全區(qū)域防火墻的安全區(qū)域l路由器的安全規(guī)則定義在接口上，而防火墻的安全路由器的安全規(guī)則定義在接口上，而防火墻的安全規(guī)則定義在安全區(qū)域之間規(guī)則定義在安全區(qū)域

20、之間不允許來自的數(shù)據(jù)報從這個接口出去local區(qū)域trust區(qū)域dmz區(qū)域untrust區(qū)域接口1接口2接口3接口4禁止所有從dmz區(qū)域的數(shù)據(jù)報轉(zhuǎn)發(fā)到untrust區(qū)域防火墻的安全區(qū)域防火墻的安全區(qū)域leudemon防火墻上保留四個安全區(qū)域：非受信區(qū)（untrust）：低級的安全區(qū)域，其安全優(yōu)先級為5。非軍事化區(qū)（dmz）：中度級別的安全區(qū)域，其安全優(yōu)先級為50。受信區(qū)（trust）：較高級別的安全區(qū)域，其安全優(yōu)先級為85。本地區(qū)域（local）：最高級別的安全區(qū)域，其安全優(yōu)先級為100。l此外，如認為有必要，用戶還可以自行設(shè)置新的安全區(qū)域并定義其安全優(yōu)先級別。最多16個安全區(qū)

21、域。防火墻的安全區(qū)域防火墻的安全區(qū)域l域間的數(shù)據(jù)流分兩個方向：入方向（inbound）：數(shù)據(jù)由低級別的安全區(qū)域向高級別的安全區(qū)域傳輸?shù)姆较颍怀龇较颍╫utbound）：數(shù)據(jù)由高級別的安全區(qū)域向低級別的安全區(qū)域傳輸?shù)姆较颉ocal區(qū)域trust區(qū)域dmz區(qū)域untrust區(qū)域接口1接口2接口3接口4inoutinoutinoutinout防火墻的安全區(qū)域防火墻的安全區(qū)域本域內(nèi)不同接口間不過濾直接轉(zhuǎn)發(fā)進、出接口相同的報文被丟棄接口沒有加入域之前不能轉(zhuǎn)發(fā)包文local區(qū)域trust區(qū)域dmz區(qū)域untrust區(qū)域接口1接口2接口3接口4inoutinoutinoutinout防火墻的安全區(qū)域防火墻

22、的安全區(qū)域ethernet外部網(wǎng)絡(luò)etherneteudemon( local )serverservertrustuntrustdmzethernet0/0/0ethernet1/0/0ethernet2/0/0內(nèi)部網(wǎng)絡(luò)防火墻的模式防火墻的模式l路由模式路由模式l透明模式透明模式l混合模式混合模式防火墻的路由模式防火墻的路由模式l可以把路由模式理解為象路由器那樣工作。防火墻每個接口連可以把路由模式理解為象路由器那樣工作。防火墻每個接口連接一個網(wǎng)絡(luò)，防火墻的接口就是所連接子網(wǎng)的網(wǎng)關(guān)。報文在防接一個網(wǎng)絡(luò)，防火墻的接口就是所連接子網(wǎng)的網(wǎng)關(guān)。報文在防火墻內(nèi)首先通過入接口信息找到進入域信息，然后通過查

23、找轉(zhuǎn)火墻內(nèi)首先通過入接口信息找到進入域信息，然后通過查找轉(zhuǎn)發(fā)表，根據(jù)出接口找到出口域，再根據(jù)這兩個域確定域間關(guān)系，發(fā)表，根據(jù)出接口找到出口域，再根據(jù)這兩個域確定域間關(guān)系，然后使用配置在這個域間關(guān)系上的安全策略進行各種操作。然后使用配置在這個域間關(guān)系上的安全策略進行各種操作。防火墻的透明模式防火墻的透明模式l透明模式的防火墻則可以被看作一臺以太網(wǎng)交換機。防火墻的接口不能配ip地址，整個設(shè)備出于現(xiàn)有的子網(wǎng)內(nèi)部，對于網(wǎng)絡(luò)中的其他設(shè)備，防火墻是透明的。報文轉(zhuǎn)發(fā)的出接口，是通過查找橋接的轉(zhuǎn)發(fā)表得到的。在確定域間之后，安全模塊的內(nèi)部仍然使用報文的ip地址進行各種安全策略的匹配。防火墻的混合模式防火墻的混合

24、模式l混合模式是指防火墻一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是為了解決防火墻在純粹的透明模式下無法使用雙機熱備份功能的問題。雙機熱備份所依賴的vrrp需要在接口上配置ip地址，而透明模式無法實現(xiàn)這一點。狀態(tài)防火墻處理過程狀態(tài)防火墻處理過程ipip包過濾技術(shù)介紹包過濾技術(shù)介紹l對防火墻需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息，然后和設(shè)定的規(guī)則進行比較，根據(jù)比較的結(jié)果對數(shù)據(jù)包進行轉(zhuǎn)發(fā)或者丟棄。而實現(xiàn)包過濾的核心技術(shù)是訪問控制列表。rinternet公司總部內(nèi)部網(wǎng)絡(luò)未授權(quán)用戶辦事處訪問控制列表是什么？訪問控制列表是什么？l一個一個ip數(shù)據(jù)包如下圖所示（圖中數(shù)據(jù)包如下

25、圖所示（圖中ip所承載的上層協(xié)議所承載的上層協(xié)議為為tcp）：）：ip報頭報頭tcp報頭報頭數(shù)據(jù)數(shù)據(jù)協(xié)議號協(xié)議號源地址源地址目的地址目的地址源端口源端口目的端口目的端口對于tcp來說，這5個元素組成了一個tcp相關(guān)，訪問控制列表就是利用這些元素定義的規(guī)則如何標識訪問控制列表？如何標識訪問控制列表？l利用數(shù)字標識訪問控制列表l利用數(shù)字范圍標識訪問控制列表的種類列表的種類列表的種類數(shù)字標識的范圍數(shù)字標識的范圍ip standard list199,2000-2999ip extended list100199,3000-3999 700799范圍的acl是基于mac地址的訪問控制列表標準訪問控制列

26、表標準訪問控制列表l標準訪問控制列表只使用源地址描述數(shù)據(jù)，表明是允許還是拒絕。從/24來的數(shù)據(jù)包可以通過！從/24來的數(shù)據(jù)包不能通過！路由器標準訪問控制列表的配置標準訪問控制列表的配置l配置標準訪問列表的命令格式如下：acl acl-number match-order config | auto rule normal | special permit | deny source source-addr source-wildcard | any 怎樣利用 ip 地址 和 反掩碼wildcard-mask 來表示一個網(wǎng)段?訪問控制列表的組合訪問

27、控制列表的組合l一條訪問列表可以由多條規(guī)則組成,對于這些規(guī)則，有兩種匹配順序：auto和config指定匹配該規(guī)則時按用戶的配置順序 。l規(guī)則沖突時，若匹配順序為auto（深度優(yōu)先），描述的地址范圍越小的規(guī)則，將會優(yōu)先考慮。深度的判斷要依靠通配比較位和ip地址結(jié)合比較 access-list 4 deny 55 access-list 4 permit 55 兩條規(guī)則結(jié)合則表示禁止一個大網(wǎng)段 （）上的主機但允許其中的一小部分主 機（）的訪問。l規(guī)則沖突時，若匹配順序為co

28、nfig，先配置的規(guī)則會被優(yōu)先考慮。擴展訪問控制列表擴展訪問控制列表l擴展訪問控制列表使用除源地址外更多的信息描述數(shù)據(jù)包，表明是允許還是拒絕。從/24來的,到0的，使用tcp協(xié)議，利用http訪問的數(shù)據(jù)包可以通過！路由器擴展訪問控制列表的配置命令擴展訪問控制列表的配置命令l配置tcp/udp協(xié)議的擴展訪問列表：rule normal | special permit | deny tcp | udp source source-addr source-wildcard | any source-port operator port1 port2

29、destination dest-addr dest- wildcard | any destination-port operator port1 port2 loggingl配置icmp協(xié)議的擴展訪問列表：rule normal | special permit | deny icmp source source-addr source-wildcard | any destination dest-addr dest- wildcard | any icmp-type icmp-type icmp-code loggingl配置其它協(xié)議的擴展訪問列表：rule normal | spec

30、ial permit | deny ip | ospf | igmp | gre source source-addr source-wildcard | any destination dest-addr dest- wildcard | any logging擴展訪問控制列表操作符的含義擴展訪問控制列表操作符的含義操作符及語法意義equal portnumber等于端口號 portnumbergreater-than portnumber大于端口號portnumberless-than portnumber小于端口號portnumbernot-equal portnumber不等于端口號p

31、ortnumber rangeportnumber1 portnumber2介于端口號portnumber1 和portnumber2之間在區(qū)域間應(yīng)用訪問控制列表在區(qū)域間應(yīng)用訪問控制列表例子：創(chuàng)建編號為102的訪問控制列表。eudemon acl number 102# 配置acl規(guī)則，允許特定用戶從外部網(wǎng)訪問內(nèi)部服務(wù)器。eudemon-acl-adv-102 rule permit tcp source 0 destination 0eudemon-acl-adv-102 rule permit tcp source 0 de

32、stination 0eudemon-acl-adv-102 rule permit tcp source 0 destination 0上述配置已經(jīng)完成了acl的創(chuàng)建。下面的配置是在包過濾應(yīng)用中引用acl，相關(guān)命令的具體解釋請見相關(guān)章節(jié)的描述。# 將acl規(guī)則101作用于trust區(qū)域到untrust區(qū)域間的出方向。eudemon-interzone-trust-untrust packet-filter 101 outbound# 將acl規(guī)則102作用于untrust區(qū)域到trust區(qū)域間的入方向。eudemon-inte

33、rzone-trust-untrust packet-filter 102 inbound# 在trust區(qū)域和untrust區(qū)域之間使能ftp協(xié)議的應(yīng)用協(xié)議檢測。eudemon-interzone-trust-untrust detect ftpaspflaspf（application specific packet filter）是針對應(yīng)用層的包過濾，即基于狀態(tài)的報文過濾。它和普通的靜態(tài)防火墻協(xié)同工作，以便于實施內(nèi)部網(wǎng)絡(luò)的安全策略。aspf能夠檢測試圖通過防火墻的應(yīng)用層協(xié)議會話信息，阻止不符合規(guī)則的數(shù)據(jù)報文穿過。l為保護網(wǎng)絡(luò)安全，基于acl規(guī)則的包過濾可以在網(wǎng)絡(luò)層和傳輸層檢測數(shù)據(jù)包，防止

34、非法入侵。aspf能夠檢測應(yīng)用層協(xié)議的信息，并對應(yīng)用的流量進行監(jiān)控。aspflaspf能夠監(jiān)測ftp、http、smtp、rstp、h.323、tcp、udp的流量dos（denial of service，拒絕服務(wù)）的檢測和防范。java blocking（java阻斷）保護網(wǎng)絡(luò)不受有害java applets的破壞。activex blocking（activex阻斷）保護網(wǎng)絡(luò)不受有害activex的破壞。支持端口到應(yīng)用的映射，為基于應(yīng)用層協(xié)議的服務(wù)指定非通用端口。增強的會話日志功能。可以對所有的連接進行記錄，包括連接時間、源地址、目的地址、使用端口和傳輸字節(jié)數(shù)等信息。aspf配置舉例配置

35、舉例ethernetethernet1/0/0server host 1trustuntrustetherneteudemonethernet2/0/0aspf配置舉例配置舉例eudemon firewall session aging-time ftp 3000eudemon firewall session aging-time http 3000eudemon acl number 101eudemon-acl-adv-101 rule deny ipeudemon acl number 10eudemon-acl-

36、basic-10 rule deny source 1 eudemon-acl-basic-10 rule permit source anyeudemon firewall packet-filter default permit interzone trust untrust direction outboundeudemon firewall interzone trust untrusteudemon-interzone-trust-untrust packet-filter 101 inboundeudemon-interzone-trust-untrus

37、t detect ftpeudemon-interzone-trust-untrust detect httpeudemon-interzone-trust-untrust detect java-blocking 10黑名單黑名單l黑名單，指根據(jù)報文的源ip地址進行過濾的一種方式。同基于acl的包過濾功能相比，由于黑名單進行匹配的域非常簡單，可以以很高的速度實現(xiàn)報文的過濾，從而有效地將特定ip地址發(fā)送來的報文屏蔽。黑名單最主要的一個特色是可以由eudemon防火墻動態(tài)地進行添加或刪除，當防火墻中根據(jù)報文的行為特征察覺到特定ip地址的攻擊企圖之后，通過主動修改黑名單列表從而將該ip地址發(fā)送的報

38、文過濾掉。因此，黑名單是防火墻一個重要的安全特性。黑名單黑名單l黑名單的創(chuàng)建黑名單的創(chuàng)建undo firewall blacklist item sour-addr timeout minutes l黑名單的使能黑名單的使能undo firewall blacklist enablel黑名單的報文過濾類型和范圍的設(shè)置黑名單的報文過濾類型和范圍的設(shè)置 firewall blacklist filter-type icmp | tcp | udp | others range blacklist | global 黑名單配置舉例黑名單配置舉例l服務(wù)器和客戶機分別位于防火墻trust區(qū)域和untru

39、st區(qū)域中，現(xiàn)要在100分鐘內(nèi)過濾掉客戶機發(fā)送的所有icmp報文。eudemon服務(wù)器pc黑名單配置舉例黑名單配置舉例leudemon firewall blacklist item 0 timeout 100leudemon firewall blacklist packet-filter icmp range globalleudemon firewall blacklist enable地址轉(zhuǎn)換地址轉(zhuǎn)換lnat（network address translation，地址轉(zhuǎn)換）是將ip數(shù)據(jù)報報頭中的ip地址轉(zhuǎn)換為

40、另一個ip地址的過程。在實際應(yīng)用中，nat主要用于實現(xiàn)私有網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的功能。l私有網(wǎng)絡(luò)一般使用私有地址，rfc1918為私有、內(nèi)部的使用留出了三個ip地址塊，如下：a類：55（/8）b類：55（/12）c類：55（/16）l上述三個范圍內(nèi)的地址不會在因特網(wǎng)上被分配，因而可以不必向isp或注冊中心申請而在公司或企業(yè)內(nèi)部自由使用。l路由器可以在接口上配置地址轉(zhuǎn)換，eudemon防火墻是在區(qū)域之間實現(xiàn)地轉(zhuǎn)換

41、 多對多地址轉(zhuǎn)換多對多地址轉(zhuǎn)換eudemon防火墻是通過定義地址池來實現(xiàn)多對多地址轉(zhuǎn)換，同時利用訪問控制列表來對地址轉(zhuǎn)換進行控制的。地址池：用于地址轉(zhuǎn)換的一些公有ip地址的集合。用戶應(yīng)根據(jù)自己擁有的合法ip地址數(shù)目、內(nèi)部網(wǎng)絡(luò)主機數(shù)目以及實際應(yīng)用情況，配置恰當?shù)牡刂烦亍５刂忿D(zhuǎn)換的過程中，將會從地址池中挑選一個地址做為轉(zhuǎn)換后的源地址。利用訪問控制列表限制地址轉(zhuǎn)換：只有滿足訪問控制列表條件的數(shù)據(jù)報文才可以進行地址轉(zhuǎn)換。這可以有效地控制地址轉(zhuǎn)換的使用范圍，使特定主機能夠有權(quán)訪問internet。多對多地址轉(zhuǎn)換多對多地址轉(zhuǎn)換eudemon防火墻上配置多對多地址轉(zhuǎn)換的步驟如下在系統(tǒng)視圖下定義一個可以根據(jù)需

42、要進行分配的nat地址池nat address-group group-number start-addr end-addr其中，group-number是標識這個地址池的編號，start-addr end-addr是地址池的起始和結(jié)束ip地址。 在系統(tǒng)視圖和acl視圖下定義一個訪問控制列表在系統(tǒng)視圖下定義訪問控制列表acl number acl-number match-order config | auto 在acl視圖下定義訪問控制規(guī)則rule rule-id permit | deny source sour-addr sour-wildcard | any time-range ti

43、me-name logging 在域間視圖下將訪問控制列表和nat地址池關(guān)聯(lián)nat outbound acl-number address-group group-number nat server配置配置 在實際應(yīng)用中，可能需要提供給外部一個訪問內(nèi)部主機的機會，如提供給外部一個www的服務(wù)器，或是一臺ftp服務(wù)器。使用nat可以靈活地添加內(nèi)部服務(wù)器，通過配置內(nèi)部服務(wù)器，可將相應(yīng)的外部地址、端口等映射到內(nèi)部的服務(wù)器上，提供了外部網(wǎng)絡(luò)可訪問內(nèi)部服務(wù)器的功能。 nat server protocol pro-type global global-addr global-port1 global-p

44、ort2 inside host-addr host-addr2 host-port nat server global global-addr inside host-addr easy ip配置配置easy ip的概念很簡單，當進行地址轉(zhuǎn)換時，直接使用接口的公有ip地址作為轉(zhuǎn)換后的源地址。同樣它也利用訪問控制列表控制哪些內(nèi)部地址可以進行地址轉(zhuǎn)換。 nat outbound acl-number interface interface-name 應(yīng)用級網(wǎng)關(guān)應(yīng)用級網(wǎng)關(guān)algnat只能對ip報文的頭部地址和tcp/udp頭部的端口信息進行轉(zhuǎn)換。對于一些特殊協(xié)議，例如icmp、ftp等，它們報文的

45、數(shù)據(jù)部分可能包含ip地址或端口信息，這些內(nèi)容不能被nat有效的轉(zhuǎn)換，這就可能導(dǎo)致問題。 例如，一個使用內(nèi)部ip地址的ftp服務(wù)器可能在和外部網(wǎng)絡(luò)主機建立會話的過程中需要將自己的ip地址發(fā)送給對方。而這個地址信息是放到ip報文的數(shù)據(jù)部分，nat無法對它進行轉(zhuǎn)換。當外部網(wǎng)絡(luò)主機接收了這個私有地址并使用它，這時ftp服務(wù)器將表現(xiàn)為不可達。 解決這些特殊協(xié)議的nat轉(zhuǎn)換問題的方法就是在nat實現(xiàn)中使用alg（application level gateway，應(yīng)用級網(wǎng)關(guān)）功能。alg是特定的應(yīng)用協(xié)議的轉(zhuǎn)換代理，它和nat交互以建立狀態(tài)，使用nat的狀態(tài)信息來改變封裝在ip報文數(shù)據(jù)部分中的特定數(shù)據(jù)，并完

46、成其他必需的工作以使應(yīng)用協(xié)議可以跨越不同范圍運行。 在系統(tǒng)視圖下執(zhí)行下列命令則使能了相應(yīng)協(xié)議的alg功能nat alg enable ftp | h323 | icmp | ras 在域間視圖下為應(yīng)用層協(xié)議配置aspf檢測detect protocoleudemon雙機熱備雙機熱備什么是雙機熱備？所謂雙機熱備其實是雙機狀態(tài)備份，當兩臺防火墻，在確定主從防火墻后，由主防火墻進行業(yè)務(wù)的轉(zhuǎn)發(fā)，而從防火墻處于監(jiān)控狀態(tài)，同時主防火墻會定時向從防火墻發(fā)送狀態(tài)信息和需要備份的信息，當主防火墻出現(xiàn)故障后，從防火墻會及時接替主防火墻上的業(yè)務(wù)運行。eudemonamastereudemonbbackuptrust

47、區(qū)域dmz區(qū)域untrust區(qū)域pcpc(1)(2)(3)(4)(7)會話表項server(5)(6)(8)實際連線報文流徑雙機熱備的實現(xiàn)和原理雙機熱備的實現(xiàn)和原理實現(xiàn)雙機熱備的基本步驟：1.在接口上配置vrrp（虛擬路由器冗余協(xié)議）備份組，來發(fā)現(xiàn)防火墻的故障情況；2.將vrrp備份組加入到vgmp（ vrrp組管理協(xié)議）中，以實現(xiàn)對vrrp管理組的統(tǒng)一管理；3.使能hrp（華為冗余協(xié)議），實現(xiàn)雙機情況下的信息備份。雙機熱備的基本原理：兩臺防火墻形成雙機熱備，兩臺防火墻之間通過vrrp的hello報文協(xié)商主備關(guān)系，根據(jù)vgmp的優(yōu)先級和接口的ip從而確定防火墻的master和slave關(guān)系，并

48、且master防火墻會通過hrp協(xié)議定時向slave傳送備份信息（命令行備份信息和動態(tài)備份信息），當master防火墻出現(xiàn)故障時，主備關(guān)系發(fā)生轉(zhuǎn)換，業(yè)務(wù)會平滑切換，不會影響這個業(yè)務(wù)的進行。注意：對于雙機熱備目前只支持兩臺設(shè)置進行備份，不支持多臺設(shè)備進行備份。但對于只使用vrrp的組網(wǎng)可以支持多臺設(shè)備進行冗余備份雙機熱備注意事項雙機熱備注意事項在雙機熱備組網(wǎng)中，需要注意的幾個問題：1. 對于雙機熱備目前只支持兩臺設(shè)置進行備份，不支持多臺設(shè)備進行備 份。但對于只使用vrrp的組網(wǎng)可以支持多臺設(shè)備進行冗余備份；2. 由于雙機熱備中具有備份機制可以備份動態(tài)信息和命令，因此要求進行雙機熱備的兩臺設(shè)備板卡

49、的位置，以及接口卡的類型都要求相同，否則會出現(xiàn)主防火墻備份過去的信息，與從防火墻根本就無法進行搭配使用，如出現(xiàn)主備狀態(tài)切換就會導(dǎo)致業(yè)務(wù)出問題。3. 進行雙機熱備的兩臺防火墻中的配置文件最好為初始配置或保證兩臺設(shè)備配置相同，以免由于先前的配置而導(dǎo)致業(yè)務(wù)問題。雙機熱備應(yīng)用協(xié)議雙機熱備應(yīng)用協(xié)議1vrrp（virtual router redundancy protocol）虛擬路由器冗余協(xié)議vrrp（virtual router redundancy protocol）作為一種容錯協(xié)議，適用于支持組播或廣播的局域網(wǎng)（如以太網(wǎng)等），通過一組路由設(shè)備共用一個虛擬的ip來達到提供一個虛擬網(wǎng)關(guān)的目的 。 v

50、rrp在防火墻應(yīng)用的缺陷在防火墻應(yīng)用的缺陷每個備份組的每個備份組的vrrpvrrp是單獨工作的，并且每個是單獨工作的，并且每個vrrpvrrp狀態(tài)相對獨立，因此無狀態(tài)相對獨立，因此無法保證同一防火墻上各接口的法保證同一防火墻上各接口的vrrpvrrp狀態(tài)都為主用或都為備用，可能會導(dǎo)狀態(tài)都為主用或都為備用，可能會導(dǎo)致業(yè)務(wù)中斷。致業(yè)務(wù)中斷。由于由于eudemoneudemon是狀態(tài)防火墻，對于各安全區(qū)域之間的每個動態(tài)生成的五是狀態(tài)防火墻，對于各安全區(qū)域之間的每個動態(tài)生成的五元組的會話連接，元組的會話連接，eudemoneudemon都有一個會話表項與之對應(yīng)，只有命中該會話都有一個會話表項與之對應(yīng)，

51、只有命中該會話表項的后續(xù)報文（包括返回報文）才能夠通過表項的后續(xù)報文（包括返回報文）才能夠通過eudemoneudemon防火墻，這就要求防火墻，這就要求某會話的進路徑、出路徑必須一致，因此某會話的進路徑、出路徑必須一致，因此vrrpvrrp無法保證主從防火墻的這無法保證主從防火墻的這種會話連接一致，當出現(xiàn)切換后會出現(xiàn)業(yè)務(wù)中斷。種會話連接一致，當出現(xiàn)切換后會出現(xiàn)業(yè)務(wù)中斷。雙機熱備應(yīng)用協(xié)議雙機熱備應(yīng)用協(xié)議雙機熱備應(yīng)用的協(xié)議二二. vgmp（ vrrp group management protocol ）vrrp組管理協(xié)議 為了確保各vrrp備份組之間通路狀態(tài)一致性，需要配置vrrp管理組，由管

52、理組統(tǒng)一管理各獨立運行的vrrp備份組，從而實現(xiàn)各備份組之間的互通。以防止可能導(dǎo)致的vrrp狀態(tài)不一致現(xiàn)象的發(fā)生。從而實現(xiàn)對多個vrrp備份組（虛擬路由器）的狀態(tài)一致性管理、搶占管理和通道管理。也許會問vrrp下有接口監(jiān)視命令不是可以實現(xiàn)設(shè)備的狀態(tài)統(tǒng)一嗎？lvrrp下的track接口監(jiān)視命令，的確可以達到實現(xiàn)設(shè)備的狀態(tài)統(tǒng)一，但是如果接口較多的情況下，配置就會很繁瑣，同時很容易出錯。l接口監(jiān)視命令只能實現(xiàn)對其他接口狀態(tài)的監(jiān)控已達到vrrp的狀態(tài)統(tǒng)一，但是vrrp是獨立工作的，當由于搶占設(shè)備中一個vrrp狀態(tài)發(fā)生變化后，監(jiān)控命令是無法使所有的vrrp狀態(tài)都進行變化的。eudemonamastere

53、udemonbbackuptrust區(qū)域dmz區(qū)域untrust區(qū)域a1a2a4a3b2b1b4b3a1-s-b1a2-s-b2a4-b4a3-s-b3實際連線數(shù)據(jù)通道a1、a2、a3分別為eudemona的接口b1、b2、b3分別為eudemonb的接口s代表lan switch雙機熱備應(yīng)用協(xié)議雙機熱備應(yīng)用協(xié)議狀態(tài)一致性管理狀態(tài)一致性管理各備份組的主各備份組的主/備狀態(tài)變化都需要通知其所屬的備狀態(tài)變化都需要通知其所屬的vrrp管理組，由管理組，由vrrp管理組決定是否允許管理組決定是否允許vrrp備份組進行主備份組進行主/備狀態(tài)切換。備狀態(tài)切換。 搶占管理搶占管理 無論各無論各vrrp備份組

54、內(nèi)備份組內(nèi)eudemon防火墻設(shè)備是否使能了搶占功能，搶防火墻設(shè)備是否使能了搶占功能，搶占行為發(fā)生與否必須由占行為發(fā)生與否必須由vrrp管理組統(tǒng)一決定管理組統(tǒng)一決定。 通道管理通道管理 所謂通道管理，是為了提供傳輸所謂通道管理，是為了提供傳輸vgmp報文、報文、vgmp相關(guān)承載報文、相關(guān)承載報文、vrrp狀態(tài)報文的可靠通路而提出的，這是相對正常業(yè)務(wù)流的業(yè)務(wù)通道狀態(tài)報文的可靠通路而提出的，這是相對正常業(yè)務(wù)流的業(yè)務(wù)通道而言的。而言的。 2. vgmp提供的功能提供的功能雙機熱備應(yīng)用協(xié)議雙機熱備應(yīng)用協(xié)議三三. hrp（huawei redundancy protocol ）華為冗余協(xié)議）華為冗余協(xié)議

55、hrp協(xié)議是承載在協(xié)議是承載在vgmp報文上進行傳輸?shù)模趫笪纳线M行傳輸?shù)模趍aster和和backup防火墻設(shè)防火墻設(shè)備之間備份關(guān)鍵配置命令和會話表狀態(tài)信息，特別是會話表項。備之間備份關(guān)鍵配置命令和會話表狀態(tài)信息，特別是會話表項。eudemonamastereudemonbbackuptrust區(qū)域dmz區(qū)域untrust區(qū)域pcpc(1)(2)(3)(4)(7)會話表項server(5)(6)(8)雙機熱備應(yīng)用協(xié)議雙機熱備應(yīng)用協(xié)議防火墻應(yīng)用狀態(tài)的可靠性備份：l動態(tài)生成的黑名單l防火墻生成的會話表表項lservermap表項lno-pat表項雙機熱備應(yīng)用協(xié)議雙機熱備應(yīng)用協(xié)議防火墻配置命令的

56、備份：lacl包過濾命令的配置l攻擊防范命令的配置l地址綁定命令的配置l黑名單命令的啟用以及手工添加黑名單用戶和對黑名單命令的刪除操作l日志命令lnat命令的配置l統(tǒng)計命令的配置l域的命令的配置，包括新域的設(shè)定，域內(nèi)添加的接口和優(yōu)先級的設(shè)置laspf（應(yīng)用層包過濾防火墻）的命令配置l清除會話表項命令（reset firewall session table)和清除配置的命令（undo xxx）注意：1.在批處理手工備份時，對于undo和reset命令是無法進行備份的。2. 除以上命令行可以備份外，其他命令無法備份。如路由命令等，需要主從防火墻同時配置。雙機熱備應(yīng)用協(xié)議雙機熱備應(yīng)用協(xié)議攻擊類型簡

57、介攻擊類型簡介l單報文攻擊攻擊類型簡介攻擊類型簡介l分片報文攻擊分片報文攻擊l拒絕服務(wù)類攻擊拒絕服務(wù)類攻擊l掃描掃描內(nèi)容內(nèi)容l防火墻概念防火墻概念leudemon防火墻介紹防火墻介紹leudemon防火墻配置步驟防火墻配置步驟leudemon防火墻的維護防火墻的維護l防火墻的常見組網(wǎng)方式防火墻的常見組網(wǎng)方式eudemon防火墻配置步驟防火墻配置步驟leudemon防火墻配置步驟防火墻組網(wǎng)規(guī)劃配置接口ip地址配置域把接口劃分到域配置vrrp（雙機）配置vrrp組配置hrp驗證雙機配置配置地址轉(zhuǎn)換配置acl在域間應(yīng)用acl校驗業(yè)務(wù)配置防火墻組網(wǎng)規(guī)劃防火墻組網(wǎng)規(guī)劃l防火墻組網(wǎng)規(guī)劃組網(wǎng)拓樸圖（具體到網(wǎng)

58、絡(luò)設(shè)備物理端口的分配和連接）ip地址的分配（具體到網(wǎng)絡(luò)設(shè)備所有ip地址的分配）防火墻上的區(qū)域劃分防火墻的地址映射關(guān)系防火墻需要開放的策略配置配置ip地址地址l配置ip地址，把各接口的ip地址配置好# 配置防火墻接口ethernet 0/0/0。eudemon interface ethernet 0/0/0eudemon-ethernet0/0/0 ip address eudemon-ethernet0/0/0 quitl如為雙機，需要在接口下配置vrrp eudemonint eth 0/0/0 eudemon-ethernet0/0/0

59、ip address # 在接口eth0/0/0下配置vrrp備份組1，注意虛擬ip需要和接口地址同一網(wǎng)段 eudemon-ethernet0/0/0vrrp vrid 1 virtual-ip eudemon-ethernet0/0/0interface ethernet 0/0/1 eudemon-ethernet0/0/1ip address # 在接口eth0/0/1下配置vrrp備份組2注意：在接口下配置注意：在接口下配置vrrp時，不要配置時，不要配置

60、vrrp優(yōu)先級優(yōu)先級配置區(qū)域配置區(qū)域l配置區(qū)域，并把區(qū)域優(yōu)先級配置好（采用缺省區(qū)域則不用）#配置區(qū)域dmz。eudemon firewall zone name dmz1eudemon-zone-dmz1 set priority 70把接口加入到區(qū)域中把接口加入到區(qū)域中l(wèi)把相應(yīng)的接口加入到相應(yīng)的區(qū)域中去# 配置接口ethernet 1/0/0加入防火墻dmz域。eudemon firewall zone dmzeudemon-zone-dmz add interface ethernet 1/0/0eudemon-zone-dmz quit 配置配置vrrp組組l # 創(chuàng)建vrrp管理組1，