基于华为防火墙ip link机制的线路检测和切换方案的研究报告和实现
基于ip link机制的
线路检测和保护案的研究和实现
目录
第1章背景 (3)
第2章案概述 .........................................................................................错误!未定义书签。
2.1 负载均衡案.................................................................................错误!未定义书签。
2.2 非负载均衡线路和业务保护案....................................................错误!未定义书签。第3章总结与优化 .. (8)
3.1 总结 (8)
3.2 优化............................................................................................错误!未定义书签。
第1章背景
近年来,随着互联网应用的不断发展,集团客户的业务越来越多的依赖于互联网,由此集团客户对于互联网专线的保障等级要求越来越高。部分重要集团为保障自身业务发展,都开通了多条运营商线路,通过冗余线路保障业务不受某条线路的影响而中断公司整个业务。而关于故障线路的快速检测和线路之间的及时切换,都成为客户关注和急需要解决的问题。
为此,本文作者结合日常工作经验和典型集团客户需求,分析和总结了针对华为防火墙进行双线接入的业务负载均衡和路由保护案。
第2章线路检测和保护案
2.1 Ip link线路检测机制
Ip link检测机制是基于icmp协议的链路可达性检查机制,主要原理是通过icmp协议探测链路上目的地址是否可达,由此判断该链路是否可用。目前主要用在华为Eudemon系统防火墙上,用于检测与防火墙不直接相连的接口或链路状态。
检测流程如下:
Ip link检测流程
链路1
x.x.x.x
1.定义链路1的检测地址x.x.x.x
2.定期ping测试x.x.x.x可达性
3.一旦x.x.x.x的不可达,该链路1的状态即为down
4.一旦x.x.x.x可达,该链路1的状态恢复为up
图1 ip link检测流程
2.2 基于Ip link线路检测和保护案
Ip link线路检测机制一般与多种冗余保护机制相配合,实现线路的监控和保护。
2.2.1 双机热备
当设备工作于双机热备份环境时,IP-Link自动检查后发现链路故障影响主备业务,通过配置VGMP管理组监控IP-Link,设备会对VGMP管理组的优先级进行相关调整,触发主备设备切换,从而保证业务能够持续流通。
图2 双机热备环境下的IP-Link链路可达性检查
如图2所示,当位于Untrust区域路由器接口(IP地址为
202.38.10.2/24)发生故障,启用IP-link链路可达性检查功能后,系
统将会触发主备切换,保证业务正常进行。
2.2.2 虚拟路由器冗余环境
图3 虚拟路由器冗余环境下的IP-Link链路可达性检查
三台设备组成VRRP备份组,如图3所示。配置VRRP监控IP-Link 链路后,当IP-Link监视的链路Down时,会改变管理组的优先级,从而引起主备倒换。
2.2.3 静态路由和策略路由冗余环境
当IP-Link自动检查发现链路故障时,设备会对自身的静态路由进行相应的调整,保证每次用到的链路是最高优先级和链路可达的,以保持业务的持续流通。
图4静态路由环境下的IP-Link链路可达性检查
如图4所示,部网络用户访问Internet的时候有两条静态路由可供选择,其中一条静态路由绑定了IP-Link进行链路可达性检查,当该链路不通的时候流量切换至另一条路由,以保证业务的畅通。
对于策略路由,当IP-Link自动检查发现链路故障时,系统可以触发链路绑定的策略路由失效,这样设备在查找路由时将查找备份的路由,以保持业务的持续流通
2.2.4 静态路由和策略路由冗余环境
图5 DHCP Client环境下的IP-Link链路可达性检查
如图5所示,设备作为出口网关,采用双上行链路。主链路是设备作为DHCP Client获取IP地址,备链路是3G链路。当IP-Link 检查DHCP Server后的链路时,Eudemon会获取网关地址作为下
一跳进行链路检测。如果发现DHCP Server 后的链路故障,则将设备切换到备份链路。
2.3 基于策略路由的典型实现案
需求:双线接入的集团部,要求不同办公区域只能通过相应的线路访问互联网,当该条线路中断时,能自动切换到另一条线路访问互联网。
案:通过策略路由实现不同办公区域只能通过相应的线路访问;通过连接监测机制(ip-link )实现线路中断时的自动切换。
网络拓扑如下:
办公区域
1
办公区域2
10.34.18.0/2410.34.17.0/24
图3 某集团非负载均衡线路和业务保护网络拓扑
实现容:
(1)配置策略:配置策略路由,使办公区域1只能通过移动线路访问,办公区域2只能通过电信线路访问,注:策略路由需配置在trust域的oubound向,由此保证在trust域的出向选择进入相应的运营商域;
(2)两条默认路由保护:配置两条默认路由,1条优选,1条备选,一旦优选的线路中断,该优选默认路由将失效;
(3)启用ip-link监测:通过该机制实时监测策略路由下一条的状态,一旦某个策略的下一条不可达,该策略将失效;
(4)一旦某条线路中断或不可达,该条线路上的策略路由和默认路由将失效,原先通过该线路访问的用户将自动切换到备选线路进行访问。
第3章总结与优化
3.1 总结
通过ip link线路检测并结合相应的冗余保护机制,可灵活实现用户1+1的业务保护案,最大限度保障用户业务正常访问。
华为USG防火墙和H3C三层交换机设备组网配置简述.docx
一.USG6350防火墙 1.根据设置向导配置完毕即可正常上网。 2.增加策略路由-(影响外网端口) 3.增加静态路由(目的是让哪个网段上网) 内网地址的下一跳是三层交换机与防火墙连接的端口地址 4.对指定服务器进行端口映射
5.对指定网段进行限速,保证服务器有可靠的带宽,不至于被其他网段抢占全部带宽。 本项目全部带宽是100M,因为有一个无线网,限定无线网最大占用50M (1)新建一个带宽通道 (2)指定网段应用于带宽通道的策略规则 二、三层交换机-H3C-S5800-32C 现场需求是有办公电脑,服务器、视频服务器,计划分成4个网段,分别为172.26.11.0/172.26.12.0/172.26.13.0/172.26.14.0/ 14段备用。 规划:VLAN100为172.26.10.253 port1-2 与防火墙172.26.10.254 连接 VLAN101为172.26.11.254 port 3-8 与服务器连接 VLAN102为172.26.12.254 port 9-12 与客户机连接 VLAN103为172.26.13.254 port 13-18 与视频服务器连接 VLAN104为172.26.14.254 port 19-24 备用 1.笔记本连接三层交换机配置口,进入命令行配置模式 简述步骤:(1)设备改名创建用户和密码(2)创建VLAN,指定某端口属于这个VLAN (3)指定每个VLAN的网关(4)增加一条路由 2.Sys
Sysname H3C-5800 telnet server enable Local-user admin Password cipher #####(此处#是输入密码) Authorization-attribute level 3 Service-type ssh telnet VLAN 100 Port G1/0/1 TO G1/0/2 Quit Vlan 101 Port g1/0/3 to g1/0/8 Quit VLAN 102 Port G1/0/9 TO G1/0/12 Quit Vlan 103 Port g1/0/13 to g1/0/18 Quit Vlan 104 Port g1/0/19 to g1/0/24 Quit Interface Vlan-interface 100 Ip address 172.26.10.253 255.255.255.0 Quit Interface Vlan-interface 101 Ip address 172.26.11.254 255.255.255.0 Quit Interface Vlan-interface 102 Ip address 172.26.12.254 255.255.255.0 Quit Interface Vlan-interface 103 Ip address 172.26.13.254 255.255.255.0 Quit Interface Vlan-interface 104 Ip address 172.26.14.254 255.255.255.0 Quit Ip route-static 0.0.0.0 0.0.0.0 172.26.10.254 Dhcp enable(开通dhcp) Dhcp server ip-pool 9 Network 172.26.12.0 mask 255.255.255.0 Gateway-list 172.26.12.254 Dns-list 8.8.8.8(根据实际修改) Quit 红色字体为9口开通DHCP,可根据实际需求
华为防火墙NAT配置命令
私网用户通过NAPT方式访问Internet (备注:在这种环境中,外网只能ping通外网口,公网没有写入到内网的路由,所以前提是内网只能ping通外网口,但走不到外网口以外的网络,做了NAT之后,内网可以通外网任何网络,但是外网只能ping到本地内网的外网口。) 本例通过配置NAPT功能,实现对少量公网IP地址的复用,保证公司员工可以正常访问Internet。组网需求 如图1所示,某公司内部网络通过USG9000与Internet相连,USG9000作为公司内网的出口网关。由于该公司拥有的公网IP地址较少(202.169.1.21~202.169.1.25),所以需要利用USG9000的NAPT功能复用公网IP地址,保证员工可以正常访问Internet。 图1 配置私网用户通过NAPT方式访问Internet组网图 配置思路 1.完成设备的基础配置,包括配置接口的IP地址,并将接口加入安全区域。 2.配置安全策略,允许私网指定网段访问Internet。 3.配置NAT地址池和NAT策略,对指定流量进行NAT转换,使私网用户可以使用公网IP 地址访问Internet。 4.配置黑洞路由,防止产生路由环路。
操作步骤 1.配置USG9000的接口IP地址,并将接口加入安全区域。 # 配置接口GigabitEthernet 1/0/1的IP地址。
防火墙操作手册-推荐下载
防火墙操作手册 ----USG6550(V100R001)
1.安装前的准备工作 在安装USG前,请充分了解需要注意的事项和遵循的要求,并准备好安装过程中所需要的工具。 安装注意事项 在安装USG时,不当的操作可能会引起人身伤害或导致USG损坏,请在安装USG前详细阅读本安全注意事项。 检查安装环境 安装USG前,请检查安装环境是否符合要求,以保证USG正常工作并延长使用寿命。 安装工具准备 安装USG过程中需要使用到如下工具,请提前准备好。 2.安装注意事项 1)所有安全注意事项 为保障人身和设备安全,在安装、操作和维护设备时,请遵循设备上标识及手册中说明的所有安全注意事项。 手册中的“注意”、“小心”、“警告”和“危险”事项,并不代表所应遵守的所有安全事项,只作为所有安全注意事项的补充。 2)当地法规和规范
操作设备时,应遵守当地法规和规范。手册中的安全注意事项仅作为当地安全规范的补充。 3)基本安装要求 负责安装维护华为设备的人员,必须先经严格培训,了解各种安全注意事项,掌握正确的操作方法之后,方可安装、操作和维护设备。 只允许有资格和培训过的人员安装、操作和维护设备。 只允许有资格的专业人员拆除安全设施和检修设备。 替换和变更设备或部件(包括软件)必须由华为认证或授权的人员完成。 操作人员应及时向负责人汇报可能导致安全问题的故障或错误。 4)人身安全 禁止在雷雨天气下操作设备和电缆。 为避免电击危险,禁止将安全特低电压(SELV)电路端子连接到通讯网络电压(TNV)电路端子上。 禁止裸眼直视光纤出口,以防止激光束灼伤眼睛。 操作设备前,应穿防静电工作服,佩戴防静电手套和手腕,并去除首饰和手表等易导电物体,以免被电击或灼伤。 如果发生火灾,应撤离建筑物或设备区域并按下火警警铃,或者拨打火警电话。任何情况下,严禁再次进入燃烧的建筑物。
华为EUDEMON200 防火墙操作手册
Eudemon 200防火墙操作指导 本文网址:https://www.360docs.net/doc/834822307.html,/152970 复制 Prepared by 拟制 赵强 Date 日期 2003/09/08 Reviewed by 评审人 Date 日期 Approved by 批准 Date 日期 Authorized by 签发 Date 日期 Huawei Technologies Co., Ltd. 华为技术有限公司 All rights reserved 版权所有侵权必究
(REP01T01 V2.31/ IPD-CMM V2.0 / for internal use only)(REP01T01 V2.31/ IPD-CMM V2.0 / 仅供内部使用) Revision record 修订记录 Date 日期 Revision V ersion 修订 版本 CR ID / Defect ID CR号 Section Number 修改 章节 Change Description 修改描述 Author 作者 2003-09-10 1.00 initial 初稿完成 赵强 Distribution List 分发记录 Copy No. Holder's Name & Role 持有者和角色 Issue Date 分发日期 1 yyyy-mm-dd
Catalog 目录 1 Introduction 简介 (7) 1.1 目的 (7) 1.2 范围 (7) 1.3 发布对象 (7) 2 Eudemon200防火墙的特点 (8) 2.1 基于状态的防火墙 (8) 2.2 安全域概念介绍 (8) 2.2.1 防火墙的域 (8) 2.2.2 域间概念 (10) 2.2.3 本地域(Local) (10) 2.3 防火墙的模式 (11) 2.3.1 概述 (11) 2.3.2 路由模式 (11) 2.3.3
华为防火墙2110调试
防火墙说明文档 一 使用串口转USB加串口转网口组合,网口在防火墙端接入console口,在笔记本电脑中打开CRT选择端口后,链接到防火墙配置 输入dis cu 查看防火墙基本配置,按住空格显示更多配置,查看完后输入sys 进入配置[USG2110]抬头下进行网口配置 输入interface ethernet1/0/0/6 表示进入LAN6口的端口 具体端口表示多少号需要在查询防火墙配置中找到相关端口名称例如1/0/1或者2/0/0等如果该端口没有网线接口使用需要关闭接口 输入shutdown就可以成功关闭端口
然后用一根网线用笔记本接入到LAN1口,LAN1口是进入WEB配置界面的口,通常情况下不要当做通讯接口使用。 在前面查询防火墙配置的时候就能看的WEB界面的IP端口,通常都是192.168.0.1 (不要以下图IP为例) 用户名admin 密码Admin@123 进入之后首先修改密码进入左侧的“系统”——“管理员”——“管理员”点击修改将密码统一改为Fglyc_01 “应用”“返回”
进入左侧的“网络”——安全区域——安全区域点trust的修改按钮 在描述中填入描述例如此防火墙用于一二区就填“安全一区”并将不用的lan 口选中并删除留需要用lan口的和lan7口lan7口用于调试 然后点“应用”、“返回”
同样方法修改untrust区域如果多条链路接口不够用也可以增加lan口到untrust区
再进入左侧“网络”——“接口”-“接口”中修改wan0口 选择“交换”然后修改Access VLAN ID 为2 (lan0和wan0他们为一条通路时,将wan0和lan0都设同样的值就可以,这里设置为2)然后“应用”“返回”
华为USG防火墙运维命令大全
华为USG防火墙运维命令大全 1查会话 使用场合 针对可以建会话的报文,可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。 命令介绍(命令类) display firewall session table [ verbose ] { source { inside X.X.X.X | global X.X.X.X } | destination { inside X.X.X.X | global X.X.X.X } } [ source-vpn-instance { STRING<1-19> | public } | dest-vpn-instance { STRING<1-19> | public } ] [ application { gtp | ftp | h323 | http | hwcc | ras | mgcp | dns | pptp | qq | rtsp | ils | smtp | sip | nbt | stun | rpc | sqlnet | mms } ] [ nat ] [ destination-port INTEGER<1-65535> ] [ long-link ] 使用方法(工具类) 首先确定该五元组是否建会话,对于TCP/UDP/ICMP(ICMP只有echo request和echo reply建会话)/GRE/ESP/AH的报文防火墙会建会话,其它比如SCTP/OSPF/VRRP等报文防火墙不建会话。如果会话已经建立,并且一直有后续报文命中刷新,基本可以排除防火墙的问题,除非碰到来回路径不一致情况,需要关闭状态检测。如果没有对应的五元组会话或者对于不建会话的报文,继续后续排查方法。 Global:表示在做NAT时转换后的IP。 Inside:表示在做NAT时转换前的IP。 使用示例
华为USG防火墙配置完整版
华为U S G防火墙配置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
华为USG2000防火墙配置 USG2000防火墙基本设置: 外观 1个调试口(CONSOLE); 2个以太网口(GE0/0/0和GE0/0/1,电口或者SFP光口任取一); 1个reset按钮(操作不当访问不到防火墙时初始化出厂配置)。 初始配置 GE0/0/0配置为路由接口,IP地址为 防火墙访问IP为,登录用户名admin,密码Admin@123 USG2000防火墙配置过程中注意事项: 接口配置时,不要操作当前连接的端口,否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。
USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口,访问登录防火墙。 登录过程中出现证书错误,点击‘继续浏览此网站’继续。 输入用户名admin密码Admin@123登录防火墙。 登录后,弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式,不适合I区和II区之间,直接点取消。 以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口,在GE0/0/1行最后点配置。 别名设置‘安全II区端口’,选择模式‘交换’,连接类型选择为 ‘access’,点击应用。 3.添加Vlan接口 在接口页面中,点击新加,接口名称设置为‘配置接口’,类型设置为‘VLAN’,VALN ID设置为‘1’,接口成员选择‘GE0/0/1’,连接类型设置为‘静态IP’,IP地址设置为‘’,子网掩码设置为‘’,最后点击应用。如下图所示 4.按照配置GE0/0/1的方法,配置GE0/0/0,将别名设为‘安全I 区端口’。 注意:配置完成后,点击应用后,由于GE0/0/0的IP地址已变更,将无法访问到。 5.关闭所有浏览器页面,然后重新开启浏览器,连接GE0/0/0,访 问。 修改刚添加的‘配置接口’的Vlan端口,将GE0/0/0添加到接口
华为usg2210防火墙配置实例
华为USG防火墙配置
华为USG2000防火墙配置 USG2000防火墙基本设置: 外观 1个调试口(CONSOLE); 2个以太网口(GE0/0/0和GE0/0/1,电口或者SFP光口任取一); 1个reset按钮(操作不当访问不到防火墙时初始化出厂配置)。 初始配置 GE0/0/0配置为路由接口,IP地址为192.168.0.1 防火墙访问IP为192.168.0.1,登录用户名admin,密码Admin@123 USG2000防火墙配置过程中注意事项: 接口配置时,不要操作当前连接的端口,否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。
USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口,访问19 2.168.0.1登录防火墙。 登录过程中出现证书错误,点击‘继续浏览此网站’继续。
输入用户名admin密码Admin@123登录防火墙。 登录后,弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式,不适合I区和II区之间,直接点取消。
以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口,在GE0/0/1行最后点配置。
别名设置‘安全II区端口’,选择模式‘交换’,连接类型选择为‘access’,点击应用。 3.添加Vlan接口 在接口页面中,点击新加,接口名称设置为‘配置接口’,类型设置为‘VLAN’,VALN ID 设置为‘1’,接口成员选择‘GE0/0/1’,连接类型设置为‘静态IP’,IP地址设置为‘192.168.1.100’,子网掩码设置为‘255.255.0.0’,最后点击应用。如下图所示 4.按照配置GE0/0/1的方法,配置GE0/0/0,将别名设为‘安全I区端口’。 注意:配置完成后,点击应用后,由于GE0/0/0的IP地址已变更,将无法访问到192.168.0.1。 5.关闭所有浏览器页面,然后重新开启浏览器,连接GE0/0/0,访问192.168.1.100。 修改刚添加的‘配置接口’的Vlan端口,将GE0/0/0添加到接口成员中。
22-1用户手册(华为USG防火墙)
华为防火墙配置用户手册 防火墙默认的管理接口为g0/0/0,默认的ip地址为192.168.0.1/24,默认g0/0/0接口开启了dhcp server,默认用户名为admin,默认密码为Admin@123 一、配置案例 1.1 拓扑图 GE 0/0/1:10.10.10.1/24 GE 0/0/2:220.10.10.16/24 GE 0/0/3:10.10.11.1/24 WWW服务器:10.10.11.2/24(DMZ区域) FTP服务器:10.10.11.3/24(DMZ区域) 1.2 Telnet配置 配置VTY 的优先级为3,基于密码验证。 # 进入系统视图。
[USG5300-ui-vty0-4] authentication-mode password # 配置验证密码为lantian [USG5300-ui-vty0-4]set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei@123 配置空闲断开连接时间 # 设置超时为30分钟 [USG5300-ui-vty0-4] idle-timeout 30 [USG5300] firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能telnet防火墙。 基于用户名和密码验证 user-interface vty 0 4 authentication-mode aaa aaa local-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!! local-user admin service-type telnet local-user admin level 3 firewall packet-filter default permit interzone untrust local direction inbound 如果不开放trust域到local域的缺省包过滤,那么从内网也不能telnet的防火墙,但是默认情况下已经开放了trust域到local域的缺省包过滤。 1.3 地址配置 内网: 进入GigabitEthernet 0/0/1视图 [USG5300] interface GigabitEthernet 0/0/1 配置GigabitEthernet 0/0/1的IP地址 [USG5300-GigabitEthernet0/0/1] ip address 10.10.10.1 255.255.255.0 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 [USG5300-zone-untrust] quit 外网: 进入GigabitEthernet 0/0/2视图 [USG5300] interface GigabitEthernet 0/0/2 配置GigabitEthernet 0/0/2的IP地址 [USG5300-GigabitEthernet0/0/2] ip address 220.10.10.16 255.255.255.0 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 [USG5300-zone-untrust] quit
华为防火墙USG配置
内网: 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 外网: 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 DMZ: [USG5300] firewall zone dmz [USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit 1.4.1 Trust和Untrust域间:允许内网用户访问公网 policy 1:允许源地址为10.10.10.0/24的网段的报文通过 [USG5300] policy interzone trust untrust outbound [USG5300-policy-interzone-trust-untrust-outbound] policy 1 [USG5300-policy-interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255 [USG5300-policy-interzone-trust-untrust-outbound-1] action permit [USG5300-policy-interzone-trust-untrust-outbound-1] quit 如果是允许所有的内网地址上公网可以用以下命令:
华为防火墙命令
华为路由器和防火墙配置命令总结 一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] (3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。 port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。 icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。 log [可选] 表示如果报文符合条件,需要做日志。
华为防火墙操作手册-入门
目录 第1章防火墙概述 ..................................................................................................................... 1-1 1.1 网络安全概述 ..................................................................................................................... 1-1 1.1.1 安全威胁.................................................................................................................. 1-1 1.1.2 网络安全服务分类 ................................................................................................... 1-1 1.1.3 安全服务的实现方法................................................................................................ 1-2 1.2 防火墙概述......................................................................................................................... 1-4 1.2.1 安全防范体系的第一道防线——防火墙................................................................... 1-4 1.2.2 防火墙发展历史....................................................................................................... 1-4 1.3 Eudemon产品简介............................................................................................................. 1-6 1.3.1 Eudemon产品系列 .................................................................................................. 1-6 1.3.2 Eudemon500/1000防火墙简介................................................................................ 1-6 1.3.3 Eudemon500/1000防火墙功能特性列表 ................................................................. 1-8第2章 Eudemon防火墙配置基础 .............................................................................................. 2-1 2.1 通过Console接口搭建本地配置环境 .................................................................................. 2-1 2.1.1 通过Console接口搭建 ............................................................................................. 2-1 2.1.2 实现设备和Eudemon防火墙互相ping通 .................................................................. 2-4 2.1.3 实现跨越Eudemon防火墙的两个设备互相ping通.................................................... 2-5 2.2 通过其他方式搭建配置环境................................................................................................ 2-6 2.2.1 通过AUX接口搭建 ................................................................................................... 2-7 2.2.2 通过Telnet方式搭建................................................................................................. 2-9 2.2.3 通过SSH方式搭建 ................................................................................................. 2-11 2.3 命令行接口....................................................................................................................... 2-12 2.3.1 命令行级别 ............................................................................................................ 2-12 2.3.2 命令行视图 ............................................................................................................ 2-13 2.3.3 命令行在线帮助..................................................................................................... 2-24 2.3.4 命令行错误信息..................................................................................................... 2-25 2.3.5 历史命令................................................................................................................ 2-26 2.3.6 编辑特性................................................................................................................ 2-26 2.3.7 查看特性................................................................................................................ 2-27 2.3.8 快捷键.................................................................................................................... 2-27 2.4 防火墙的基本配置............................................................................................................ 2-30 2.4.1 进入和退出系统视图.............................................................................................. 2-30 2.4.2 切换语言模式......................................................................................................... 2-30 2.4.3 配置防火墙名称..................................................................................................... 2-31 2.4.4 配置系统时钟......................................................................................................... 2-31
防火墙基础知识与配置
防火墙技术是安全技术中的一个具体体现。防火墙原本是指房屋之间修建的一道墙,用以防止火灾发生时的火势蔓延。我们这里讨论的是硬件防火墙,它是将各种安全技术融合在一起,采用专用的硬件结构,选用高速的CPU、嵌入式的操作系统,支持各种高速接口(LAN接口),用来保护私有网络(计算机)的安全,这样的设备我们称为硬件防火墙。硬件防火墙可以独立于操作系统(HP-UNIX、SUN OS、AIX、NT等)、计算机设备(IBM6000、普通PC等)运行。它用来集中解决网络安全问题,可以适合各种场合,同时能够提供高效率的“过滤”。同时它可以提供包括访问控制、身份验证、数据加密、VPN技术、地址转换等安全特性,用户可以根据自己的网络环境的需要配置复杂的安全策略,阻止一些非法的访问,保护自己的网络安全。 现代的防火墙体系不应该只是一个“入口的屏障”,防火墙应该是几个网络的接入控制点,所有进出被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进出的关口,因此防火墙不但可以保护内部网络在Internet中的安全,同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络内部中,所有的计算机之间是被认为“可信任的”,它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定的“策略”进行访问。
防火墙发展至今已经历经三代,分类方法也各式各样,例如按照形态划分可以分为硬件防火墙及软件防火墙;按照保护对象划分可以分为单机防火墙及网络防火墙等。但总的来说,最主流的划分方法是按照处理方式进行分类。 防火墙按照处理方式可以分为以下三类: 包过滤防火墙 包过滤是指在网络层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是:通过配置访问控制列表(ACL, Access Control List)实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。 包过滤防火墙的设计简单,非常易于实现,而且价格便宜。 包过滤防火墙的缺点主要表现以下几点: 1. 随着ACL 复杂度和长度的增加,其过滤性能呈指数下降趋势。 2. 静态的ACL 规则难以适应动态的安全要求。