Quidway防火墙Eudemon1000E开局指导书V1[1].0-20091025-B1.doc

*资料编码产品名称Quidway自研以太网交换机使用对象华为工程师、合作工程师产品版本编写部门软件服务部-解决方案部资料版本V100R002Quidway防火墙 Eudemon1000E 开局指导书拟 制：孙崧铭日 期：2009-09-20审 核：日 期：审 核：日 期：批 准：日 期：华 为 技 术 有 限 公 司版权所有 侵权必究*修订记录日期修订版本描述作者2009-10-25V1.0完成孙崧铭目 录第1章 Quidway Eudemon 1000E产品概述11.1 系统介绍11.2 组网介绍21.3 系统结构介绍2第2章 Quidway Eudemon 1000E的特点32.1 产品系列32.2 产品优点42.3 安全域概念介绍52.3.1 防火墙的域52.3.2 域间概念62.3.3 本地域62.4 防火墙工作模式72.4.1 防火墙工作模式概述72.4.2 路由模式72.4.3 透明模式82.4.4 混合模式92.5 访问控制策略和报文过滤92.5.1 访问控制策略的异同92.5.2 ACL加速查找92.5.3 报文过滤规则的应用102.5.4 防火墙缺省动作112.6 双机热备112.6.1 VRRP的应用122.6.2 传统VRRP在E1000E备份实现的不足132.6.3 VGMP备份组152.6.4 HRP备份152.6.5 VRRP、VGMP和HRP之间的协议层次关系152.7 NAT介绍162.7.1 NAT的应用162.7.2 NAT与VRRP绑定17第3章 Quidway Eudemon 1000E数据准备183.1 初始连接配置183.1.1 通过Console接口搭建183.1.2 通过Telnet方式搭建213.1.3 通过WEB方式接入设备233.2 设备启动243.2.1 设备上电243.2.2 设备启动过程253.3 版本配套283.3.1 查看当前的软件版本283.4 软件版本升级283.5 配置规划303.5.1 网络拓扑图303.5.2 系统名313.5.3 当地时区313.5.4 远程维护登录帐号/口令和Super密码313.5.5 区域、接口和IP地址规划323.5.6 路由规划323.5.7 访问策略规划323.5.8 双机热备规划333.5.9 链路可达性规划333.5.10 会话快速备份规划343.5.11 NAT规划343.5.12 NAT与VRRP绑定34第4章 Quidway Eudemon 1000E 配置354.1 时间日期和时区配置354.2 系统名配置354.3 远程维护登录帐号/口令和Super密码配置364.3.1 远程维护登录帐号/口令配置364.3.2 Super密码配置364.4 区域、接口和IP地址配置374.4.1 数据配置步骤374.4.2 测试验证384.5 路由配置384.5.1 缺省路由配置384.5.2 静态路由配置384.5.3 动态路由OSPF配置394.5.4 测试验证394.6 访问策略控制配置394.6.1 需求说明394.6.2 数据配置404.6.3 测试验证414.7 双机热备配置414.7.1 VRRP/VGMP配置414.7.2 HRP配置414.7.3 测试验证424.8 链路可达性配置424.8.1 配置方法424.8.2 测试验证424.9 会话快速备份配置434.10 NAT配置434.10.1 配置地址池与VRRP绑定434.10.2 配置内部服务器与VRRP绑定444.10.3 验证测试44第5章 Quidway Eudemon 1000E基本维护445.1 查看软件版本信息445.2 系统配置文件维护445.3 查看单板、电源、风扇运行状况455.4 查看CPU占用率455.5 查看内存占用率455.6 查看接口流量455.7 查看接口、链路状态465.8 查看日志缓冲区信息465.9 查看路由表信息465.10 查看ARP映射表465.11 查看会话表信息465.12 收集系统诊断信息46关键词：Quidway，防火墙，Eudemon1000E，开局指导书摘 要：本文结合业务与软件产品线工程师开局需要对华为Quidway局域网交换机数据准备给出指导，并对其常见配置进行描述。满足业务与软件产品常见组网应用开局配置需求。缩略语清单：VRP通用路由平台，Versatile Routing PlatformFIC智能接口模块，Flexible Interface CardHIC高速接口模块，High-speed Interface Card NP网络处理器，Network ProcessorSFPSmall Form-Factor PluggableVRRPVirtual Router Redundancy ProtocolVGMPVRRP组管理协议，VRRP Group Management ProtocolHRP华为公司冗余协议，Huawei Redundancy ProtocolACL访问控制列表，Access Control List参考资料清单：Quidway Eudemon 1000E 防火墙 产品概述(V100R002_03)Quidway Eudemon 1000E 防火墙 命令参考(V100R002_01)Quidway Eudemon 1000E 防火墙 配置指南 基础配置分册(V100R002_01)Quidway Eudemon 1000E 防火墙 配置指南 可靠性分册(V100R002_03)Quidway Eudemon 1000E 防火墙 配置指南 系统管理分册(V100R002_04)第1章 Quidway Eudemon 1000E产品概述Eudemon 1000E 防火墙设备，主要面向大中型企业和电信网，通常作用于被保护区域的入口处，基于访问控制策略提供安全防护。例如：当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和数据免遭来自外部网络的非法访问（未授权或未验证的访问）或恶意攻击。1.1 系统介绍 Eudemon 1000E设备为1U标准机箱，机箱上带有console口4个光电互斥固定的10/100/1000M以太网口，支持双GE、4FE插卡供用户灵活配置，最大支持8GE。Eudemon 1000E提供了2个电源槽位，可以支持交流或直流电源模块，实现单路供电及电源的冗余备份，并不支持电源模块/风扇/多功能接口模块热插拔。作为新一代高速状态防火墙，Eudemon 1000E为大中小型客户提供了高性价比的网络安全保障。1. 高安全性与那些基于通用操作系统的软件防火墙相比较，Eudemon 1000E用专门设计的多核防火墙硬件平台和具有自主知识产权的安全操作系统，报文处理和操作系统完全分开，这种无依赖性大大提高了系统安全性。采用ASPF状态检测技术，Eudemon 1000E可对连接过程和有害命令进行监测，并协同ACL完成包过滤此外，Eudemon 1000E还提供数十种攻击的防范能力。所有这些都有效地保障了网络的安全。2. 高速处理能力Eudemon 1000E采用多核CPU硬件架构以及优化的软件结构，有效保证了系统性能。例如，ACL高速算法实现了查找数万条策略的速度和查找数条速度一样。3. 高可靠性专门设计的防火墙软件，每一环节均考虑到对各种攻击的防御，通过优先级调度和流控等手段使得系统具备很好的强壮性。Eudemon 1000E防火墙支持双机状态热备，发生倒换时不会造成业务中断，支持双机分担处理，故障发生时能够自动倒换。4. 强大的业务支撑能力Eudemon 1000E防火墙提供集成的高速以太网接口，以及丰富的可选配的多功能广域网接口模块，不仅支持丰富的协议，如H.323、SIP、FTP（File Transfer Protocol）、SMTP（Simple Mail Transfer Protocol）等，而且还支持对有害命令的检测功能。提供基于算法的高速ACL查找、静态和动态黑名单过滤、基于代理技术和反弹技术的SYN Flood防御的流控等特性。Eudemon 1000E防火墙除了具备各种安全防范功能，提供高效的安全保障能力外，还集成了部分路由功能，如静态路由、RIP（Routing Information Protocol）和OSPF（Open Shortest Path First）动态路由，使得防火墙的组网应用更加灵活。Eudemon 1000E防火墙支持多种工作模式，包括路由、透明和混合三种模式，其中透明模式无需用户更改原来的网络配置，直接插入防火墙即可，方便了用户组网。5. 良好的图形化配置和管理能力提供WEB管理界面，能轻松实现管理；提供强大的日志和统计分析功能，在安全分析和事后追踪等方面提供了有力的帮助。1.2 组网介绍 Eudemon 1000E防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。如果防火墙以第三层对外连接（接口具有IP地址），则认为防火墙工作在路由模式下；若防火墙通过第二层对外连接（接口无IP地址），则防火墙工作在透明模式下；若防火墙同时具有工作在路由模式和透明模式的接口（某些接口具有IP地址，某些接口无IP地址），则防火墙工作在混合模式下。1.3 系统结构介绍 Eudemon 1000E防火墙采用模块化设计，整机高度为1U，机箱上带有console口4个光电互斥固定的10/100/1000M以太网口，支持双GE、4FE插卡供用户灵活配置，最大支持8GE。 Eudemon 1000E防火墙整机的外形图片如下所示：第2章 Quidway Eudemon 1000E的特点在安全防范体系中，防火墙一般作为内部网络和外部网络之间第一道防线，用以抵御来自外部的绝大多数攻击。在实际应用中，单一的安全防护技术并不足以构筑一个安全的网络安全体系，多种技术的综合应用才能够将安全风险控制在尽量小的范围内。一般而言，安全防范体系具体实施的第一项内容就是在内部网和外部网之间构筑一道防线，以抵御来自外部的绝大多数攻击。完成这项任务的网络边防产品就是防火墙。防火墙主要用于以下目的：l 限制用户或信息由一个特定的被严格控制的站点进入。 l 阻止攻击者接近其他安全防御设施。 l 限制用户或信息由一个特定的被严格控制的站点离开。2.1 产品系列Eudemon 1000E结合华为公司特有的ASPF（Application Specific Packet Filter）技术，兼具有代理防火墙安全性高、状态防火墙速度快的优点。Eudemon 1000E采用专门设计的高可靠性硬件系统和具有自主知识产权的专有操作系统，将高效的包过滤功能、透明的代理服务、基于改进的状态检测安全技术、丰富的统计分析功能、多种安全保障措施集于一身，并提供多类型接口和工作模式。Eudemon 1000E包含4款产品，主要性能参数如下：l Eudemon 1000E-U2整机最大吞吐量为2Gbit/s，最大并发连接数为160万条，每秒并发新建连接数为15万条。 l Eudemon 1000E-U3整机最大吞吐量为4Gbit/s，最大并发连接数为160万条，每秒并发新建连接数为15万条。 l Eudemon 1000E-U5整机最大吞吐量为6Gbit/s，最大并发连接数为200万条，每秒并发新建连接数为15万条。 l Eudemon 1000E-U6整机最大吞吐量为6Gbit/s，最大并发连接数为200万条，每秒并发新建连接数为15万条。 U6相对U5在小包处理能力上有所加强。2.2 产品优点作为新一代高速状态防火墙，Eudemon 1000E为中小型客户提供了高性价比的网络安全保障，具有高安全性、高速处理能力等优点。1. 高安全性与基于通用操作系统的软件防火墙相比，Eudemon 1000E采用专门设计的防火墙硬件平台和具有自主知识产权的安全操作系统，报文处理和操作系统完全分开，这种无依赖性提高了系统安全性。Eudemon 1000E采用ASPF状态检测技术，可对连接过程和有害命令进行监测，并协同ACL完成包过滤。此外，Eudemon 1000E还提供数十种攻击的防范能力，有效地保障了网络的安全。2. 高速处理能力Eudemon 1000E采用多核技术提供线速的高性能安全防范和报文处理能力。Eudemon 1000E采用高速算法和优化的软件结构，有效保证了系统性能。例如，ACL高速算法实现了查找数千条策略的速度和查找数条速度一样。3. 高可靠性专门设计的防火墙软件，每一环节均考虑到对各种攻击的防御，通过优先级调度和流控等手段使得系统具备很好的强壮性。Eudemon 1000E支持双机状态热备，发生倒换时不会造成业务中断。4. 强大的组网和业务支撑能力Eudemon 1000E提供集成的高速以太网接口，不仅支持丰富的协议，如H.323、FTP（File Transfer Protocol）、SMTP（Simple Mail Transfer Protocol）等，还支持对有害命令的检测功能。提供NAT（Network Address Translation）应用、静态和动态黑名单过滤、基于代理技术的SYN Flood防御的流控等特性。Eudemon 1000E除了具备各种安全防范功能，提供高效的安全保障能力外，还集成了部分路由能力，如静态路由、RIP（Routing Information Protocol）和OSPF（Open Shortest Path First）动态路由，使得Eudemon 1000E的组网应用更加灵活。Eudemon 1000E支持多种工作模式，包括路由、透明和混合三种模式。其中透明模式无需用户更改原来的网络配置，此时的Eudemon 1000E相当于网桥，方便了用户组网。5. 强大的日志和统计分析功能提供强大的日志和统计分析功能，在安全分析和事后追踪等方面提供了有力的帮助。2.3 安全域概念介绍2.3.1 防火墙的域对于路由器设备，各个接口所连接的网络在安全上可以视为是平等的，没有明显的内外之分，所以即使进行一定程度的安全检查，也是在接口上完成的。这样，一个数据流单方向通过路由器时有可能需要进行两次安全规则的检查，以便使其符合每个接口上独立的安全定义。而这种思路对于防火墙设备来说就不是很合适，防火墙所承担的责任是保护内部网络不受外部网络上非法行为的伤害，有着明确的内外之分。当一个数据流通过防火墙设备的时候，根据其发起方向的不同，所引起的操作是截然不同的。由于这种安全级别上的差别，再采用在接口上检查安全策略的方式已经不适用，可能会造成用户在配置上的混乱。因此，防火墙提出了安全区域的概念。一个安全区域是一个或多个接口的一个组合，具有一个安全级别。在设备内部，这个安全级别通过一个0-100的数字来表示，数字越大表示安全级别越高，不存在两个具有相同安全级别的区。只有当数据在分属于两个不同安全级别的接口之间流动的时候，才会激活防火墙的安全规则检查功能。数据在属于同一个安全域的不同接口间流动的时候将被直接转发，不会触发ACL等检查。Eudemon防火墙上保留四个安全区域：l 非受信区（Untrust）：低级的安全区域，其安全优先级为5。l 非军事化区（DMZ）：中度级别的安全区域，其安全优先级为50。l 受信区（Trust）：较高级别的安全区域，其安全优先级为85。l 本地区域（Local）：最高级别的安全区域，其安全优先级为100。除了本地域，每个区域可以关联一个或多个防火墙接口。如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。最多16个安全区域。一般情况下，受信区接口连接用户要保护的内部网络，非受信区连接外部网络，非军事化区连接用户向外部提供服务的部分网络。在以接口为基础进行安全检查的路由器上，进入接口的报文称为inbound方向，流出接口的报文称为outbound方向，针对每个方向，可以配置一组ACL规则，分别进行检查。可以看出来，这种方向的判定是以路由器自身为参照物，将路由器看作网络上的一个结点。而防火墙上的检查是发生在属于不同优先级别的两个接口之间的，我们可以将防火墙理解为一个边界，对于方向的判定是由防火墙所连接的不同网络为基准的。对于防火墙上任意两个域来说，高安全级别一侧为内，低安全级别一侧为外。当数据从高安全级别的进入而从低安全级别的接口流出的时候，称之为出方向（Outbound）；反之，当数据从低安全级别的接口进入防火墙而从高安全级别的接口流出的时候，称之为入方向（Inbound）。举例来说，当数据从属于DMZ的接口进入防火墙，从属于Untrust的接口流出的时候，这个流是出方向的流；而当数据从同样的接口进入防火墙，从属于Trust的接口流出的时候，这个流的方向就变成入方向了。在每个方向上，我们都可以设置一组ACL，对报文进行安全检查。一个域可以有一个或多个接口，一个接口只能属于一个域，二者是一对多的关系。2.3.2 域间概念任何两个安全域之间存在的关系，我们称之为域间关系。说明一个域间的时候可以将两个域的名字放在一起进行描述，比如，Trust-Untrust域间。前面描述的数据流的方向性，就是域间关系的一个属性。在Eudemon系列防火墙上，绝大多数安全相关的配置都是在域间进行的。不同于域，域间是不需要显式的创建的，用户每创建一个域，就会自动地同每一个已经存在的域产生域间关系。可见，域间关系实际上是一种全连接的结构。但是，由于我们为每个域间赋予了入和出两个方向的属性，域间AB和域间BA实际上是一样的。因此我们规定，对于全部域间，只使用高安全级别在前，低安全级别在后这样一种描述形式。无论用户输入的顺序如何，在处理的时候，都会对应到这种形式的域间关系下。也就是说，在配置的时候，只存在Trust-Untrust域间，不存在Untrust-Trust域间。2.3.3 本地域在域的概念中，比较不容易理解的是本地域（Local）。在其他所有预定义域和用户创建的域中，都可以使用添加接口的命令。可以将某个接口添加到这个域中，之后，同这个接口相连的网络就被赋予了这个域的属性，我们可以认为这部分网络就是这个域。要理解的是，这个操作真正添加到域中的并不是这个接口本身，而是同这个接口相连接的网络，只是通过添加接口这种形式来表现罢了。Local域所保护的是防火墙自身，如果允许在Local域下添加接口，根据前面的说明，这个接口所连接的网络就会被看作同防火墙本身在同一个安全域中，那么从这个网络发出的针对防火墙的任何访问都是被直接转发的，这大大降低了对设备的防护，同时从概念上也是无法理解的，因此在local域下面不能使用添加接口的命令。任何访问防火墙自身的报文（包括访问接口IP地址和系统IP地址）都被看作是从入接口所连接的那个域访问本地域的跨域访问，因此会触发相应域间配置的安全策略检查。举例来说，防火墙接口Eth0的IP地址为192.168.10.1，子网掩码为24位，所连接的网络为192.168.10.0，该接口位于防火墙的Trust域。在此情况下，从子网192.168.10.0内任意一台主机向192.168.10.1发起连接，就产生了Trust域到Local域的入方向数据流，要根据Local-Trust域间配置的ACL和其他安全策略进行过滤，只有在安全策略允许情况下，连接才能成功。由于有了本地域，从根本上解决了原来存在的安全控制措施只能针对设备连接的网络，对设备自身却无法保护的情况。在实际网络环境中，曾经发生过针对我们设备进行的telnet攻击，攻击者不停的telnet我们的设备的接口IP，造成正常的网管无法登录。只能在相邻设备上屏蔽攻击IP地址的访问，如果攻击者使用随即变化的IP地址，则根本无法防范。而在我们的设备上，可以通过设置ACL规则，规定只允许特定的IP地址的设备从特定的域访问防火墙，同时还可以启动flood防御等全方位的措施，充分保护了设备自身的安全。2.4 防火墙工作模式2.4.1 防火墙工作模式概述防火墙引入了称为工作模式的概念，目前防火墙支持路由模式、透明模式以及混合模式三种工作模式。混合模式是为了在透明模式下支持双机热备份而增加的，基本上可以理解为透明模式加上一个带IP的接口。业软主推的工作模式是路由模式。2.4.2 路由模式可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。路由模式下可以使用NAT，双机热备份以及全部的攻击防范功能。同时，由于此模式是VRP工作的基本形态，各种应用都比较成熟。在可能的情况下，我们推荐使用路由模式进行组网。2.4.3 透明模式透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。为了解决对防火墙的配置问题，在透明模式下存在一个系统IP，用户需要分配一个当前子网中没有使用的IP地址给防火墙，方便远程管理的使用。同时，系统IP还起到了让防火墙能够分辨当前所在子网的作用。在路由模式下，防火墙学习ARP表项是各个接口分别学习的，防火墙使用接口下的IP地址配合子网掩码，为属于自己子网的IP地址创建ARP表项。在透明模式下，某些防火墙内部功能还是基于IP地址信息实现的，不能没有ARP表项。但由于没有了接口IP地址，对于子网的判断就很困难，因此，当防火墙工作在透明模式之下，是依据系统IP和对应的子网掩码来判定是否添加ARP表项的，如果系统IP和掩码配置的不正确，肯定会造成网络某些应用无法正常使用的问题，必须要注意。为了防止针对防火墙的arp flood攻击造成过多的ARP表项，可以通过命令undo firewall arp-learning enable禁止防火墙动态创建ARP表项，此时为了访问系统IP，需要手工创建一个静态的ARP表项，访问才能成功。由于透明模式的防火墙接口没有IP地址，对外表现为一个二层设备，因此不能支持NAT、IPSEC、路由协议等功能，当防火墙从路由模式切换到透明模式时，可能有些配置不能再起作用，或者有些动态生成的的信息（如路由表）需要删除，建议在切换之前手工删除无用的配置信息，保存当前配置（输入save命令），并且在模式切换之后将系统重启，以保证无用资源的释放。透明模式的主要优点是可以不改动已有的网络拓扑结构透明模式下，NAT、双机热备份以及攻击防范中的IP spoofing功能都不可用。由于处理方法的不同，防火墙在透明模式下的转发能力低于在路由模式下工作的情况。2.4.4 混合模式顾名思义，混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址，而透明模式无法实现这一点。在混和模式下，每个接口的工作模式是由接口上是否配置了IP地址来区分的。如果一个接口不配置IP地址，它就属于透明模式的接口，如果给它配置了IP地址，它就工作于路由模式。工作在路由模式下的接口可以配置VRRP，我们可以通过将真正提供服务的接口设置在透明模式，将专门用于热备份的接口设置在路由模式的方法来实现对整个设备的状态热备份。2.5 访问控制策略和报文过滤2.5.1 访问控制策略的异同防火墙最重要的功能之一就是根据访问控制策略来决定是否允许一个数据流通过。Eudemon上在ACL的配置方面基本同原有的路由器一致，但是ACL的类型同路由器稍有不同。在路由器上，ACL由基本ACL、扩展ACL和接口ACL三种组成，基本ACL和扩展ACL又分为数字型和命名型两种。在防火墙上，接口ACL被取消了，主要原因是颗粒度太粗，而且难以适应在安全域这个概念下应用。防火墙也不支持命名型ACL。防火墙新添加了一个基于MAC地址进行过滤的ACL策略组，这个模块是随着透明模式引入的。在防火墙上，只有这个类型的规则组在接口下应用的，主要是由于MAC地址同防火墙的接口相关的比较紧密。在接口下应用基于MAC的ACL规则时，inbound/outbound的概念同路由器下保持一致，inbound指报文由接口进入防火墙，outbound指报文由接口离开防火墙。这同防火墙域间的inbound/outbound概念是完全不一致的，需要注意。2.5.2 ACL加速查找路由器上的ACL规则总数有数量限制。专门用作网络安全屏障的防火墙来说规则总数要求远远大于路由器。在应用中，如果使用路由器线性搜索算法，在大量规则条件下，报文匹配的性能也会大大的下降。防火墙上引入了ACL快速查找算法，将线性搜索变为固定次数匹配。在规则数量大的情况下，极大地提高了规则匹配速度。ACL加速查找对于使用大量ACL规则的情况下，对于防火墙搜索性能的提升是毋庸置疑的。防火墙一旦启动了加速查找功能，NAT、统计、QoS等等多个功能处理效率都将受益。但是，ACL快速查找功能对内存的消耗是非常大的。业务与软件产品使用防火墙对ACL规则数量要求不是很高，不建议启动ACL加速查找功能。缺省情况下，防火墙未启动ACL加速查找功能。2.5.3 报文过滤规则的应用每条ACL规则虽然跟随了一个permit/deny的动作，但是并不能直接对报文起到控制作用，只有使用packet-filter命令将这个规则组应用到防火墙的域间，才能依据配置的规则对报文进行分类、过滤。路由器的报文过滤规则是应用在接口下面的，每个接口都可以在一入一出两个方向上各配置一个ACL规则组，分别对进入接口和离开接口的报文进行过滤。防火墙在域间的每个方向上也可以配置一个规则组，分别针对从防火墙内部发起的连接和外部发起的连接。这两者看起来好像是一样的，但实际上有着本质的不同，路由器是基于单个报文的过滤，并没有状态的概念，在设计正反两个ACL规则组的时候必须通盘考虑才能使一个应用正常通过。防火墙是基于状态检测的设备，防火墙关心的方向是流的发起方向，用户要考虑的只是允不允许这个流出去，允不允许另一个流进来。允许的数据流出去之后，防火墙会建立起会话表，交互返回的报文不再匹配报文过滤规则，直接通过匹配会话表通过防火墙。举例来说，用户希望允许受保护的IP地址190.100.10.10访问位于外部网络的FTP服务器200.100.10.10，同时希望内部的WWW服务器190.100.20.10可以为外部的所有用户提供服务，那么在原有的路由器上，用户需要配置这样的ACL规则组：Router acl number 3001Router-acl-adv-3001 rule permit tcp source 190.100.10.10 0 destination 200.100.10.10 0 destination-port eq 21/允许内网主机发起FTP连接Router-acl-adv-3001 rule permit tcp source 190.100.10.10 0 source-port gt 1024 destination 200.100.10.10 0 / 允许内网主机的FTP数据通道报文出去Router-acl-adv-3001 rule permit tcp source 190.100.20.10 0 source-port eq 80 / 允许WWW服务器的报文出去Router-acl-adv-3001 rule deny ip /禁止其他报文的通过Router acl number 3002Router-acl-adv-3002 rule permit tcp destination 190.100.20.10 0 destination-port eq 80 /允许外部主机访问内部www服务器Router-acl-adv-3002 rule permit tcp source 200.100.10.10 0 source-port 21 destination 190.100.10.10 destination-port gt 1024 /允许外部ftp服务器同内部的控制通道交互报文进入Router-acl-adv-3002 rule permit tcp source 200.100.10.10 0 source-port gt 1024 destination 190.100.10.10 /允许外部ftp主机的数据通道报文进入Router-acl-adv-3002 rule deny ip /禁止其他报文的通过然后，用户需要选择将这两个规则应用到路由器哪个接口上，同时还要注意在相对应的接口上设置缺省动作为允许，还要使能防火墙功能。这还仅仅是配置两个接口下互通的情况，如果路由器上组网复杂，有多个接口通信，不能简单地在接口上配置允许的缺省动作的话，那么配置一个相对安全的规则组还要考虑更多的东西。然而，在我们的防火墙上，配置上述安全策略就简单得多，假设用户的内部网络位于防火墙的受信域，外部网络位于非受信域，那么：Eudemon acl number 3001Eudemon-acl-adv-3001 rule permit tcp source 190.100.10.10 0 destination 200.100.10.10 0 destination-port eq 21Eudemon-acl-adv-3001 rule deny ipEudemon acl unmber 3002 Eudemon-acl-adv-3002 rule permit tcp destination 200.100.20.10 0 destination-port eq 80Eudemon-acl-adv-3002 rule deny ipEudemon firewall interzone trust untrustEudemon-interzone-trust-untrust detect ftp /进行ftp协议的应用层解析Eudemon-interzone-trust-untrust packet-filter in inboundEudemon-interzone-trust-untrust packet-filter out outbound如上就完成全部所需配置和应用。2.5.4 防火墙缺省动作当报文通过的域间没有配置ACL规则，或者在所配置的ACL规则组中没有找到符合的规则时，对于报文的处理就要靠防火墙设定在这个域间的缺省动作来决定了。在路由器的缺省动作只有一个全局的变量，决定了对没有规则的报文是允许通过还是丢弃。但是在防火墙上，每个域间的每个方向都可以分别指定其缺省动作，在系统初始配置时，所有域间所有方向上的缺省动作都是丢弃。2.6 双机热备Eudemon的双机热备份需要三个协议的支持：1. VRRP（Virtual Router Redundancy Protocol）由RFC2338定义的一种容错协议，通过对物理设备和逻辑设备的分离，实现在多个出口网关之间进行选路。2. VGMP（VRRP Group Management Protocol）为防止VRRP状态不一致现象的发生，Eudemon在VRRP的基础上增加了VGMP扩展协议的功能。该协议负责统一管理加入其中的各VRRP备份组的状态。3. HRP（Huawei Redundancy Protocol）对防火墙的动态状态数据和命令信息进行实时备份的协议。2.6.1 VRRP的应用Eudemon 1000E支持VRRP协议，基于虚拟IP地址形成备份组，网络内的主机通过虚拟路由器与其他网络进行不间断的通信。先看以下图示l 路由器RouterA、RouterB、RouterC组成了一个备份组，相当于一台虚拟路由器，虚拟IP地址为10.100.10.1。l 备份组内RouterA充当Master设备，IP地址为10.100.10.2。l RouterB和RouterC都充当Backup设备，IP地址分别为10.100.10.3和10.100.10.4。l 对于VRRP而言，只有Master设备能转发以虚拟IP地址为下一跳的报文。内部网络中的所有主机仅知道该虚拟IP地址10.100.10.1，而并不知道具体的主用（Master）或备用（Backup）设备的IP地址，因此各主机都将缺省路由配置为去往该虚拟IP地址。于是，内部网络中的各主机就通过该备份组与外部网络进行通信。Master路由器VRRP协议模块监视通信接口状态，并通过组播方式向Backup路由器发送通告报文。如果Master路由器的接口或链路出现故障，无法正常发送VRRP通告报文，导致Backup路由器在指定时间内没有收到VRRP通告报文，VRRP协议就会把Backup路由器的VRRP状态变成主用，从而将相关通信切换到新的Master路由器上。如果备份组内的原Master路由器出现故障，备份组内的其它Backup路由器将会根据优先级高低选出一个路由器充当新的Master，继续向网络内的主机提供路由服务。因此，采用VRRP技术实现了内部网络中的主机不间断地与外部网络进行通信，可靠性得到保证。2.6.2 传统VRRP在E1000E备份实现的不足Eudemon 1000E连接多个安全区域，和每个安全区域相关的接口均形成一个备份组，按照传统的VRRP机制，VRRP均为相对独立，且单独工作。由此，无法保证同一Eudemon 1000E上各接口的VRRP状态都为主用或都为