華為防火墻Edumon1000E，配置有四個光電互斥接口，為千兆狀態(tài)防火墻。默認情況下所有區(qū)域之間不允許有流量經過。 本文為Edumon1000E的基本配置，該基本配置適用一般企業(yè)級單機接入情況。 配置一臺防火墻主要包含以下幾個步驟： 1、配置端口IP，并將指定端口加入Untrust/trust/DMZ區(qū)域； 2、配置默認路由指向公網； 3、配置NAT，允許內部用戶通過防火墻進行地址轉換上公網； 4、開放內部服務器的指定端口，允許通過公網訪問指定內部服務器； 5、配置防火墻允許通過ssh 或telnet遠程管理;第一次配置必須使用console口進行配置； 注意：防火墻默認情況下所有區(qū)域之間包過濾規(guī)則為deny all，當出現網絡不通情況時，除檢查相關路由配置外，還要注意是否配置相應的ACL允許數據包通過。 默認情況下無法ping通過防火墻各端口，也是因為沒有相關ACL規(guī)則導致。 [Eudemon]display current-configuration
09:54:21? 2010/04/27
# 增加acl 2001允許內網用戶NAT上Internet
acl number 2001
?rule 0 permit source 172.40.0.0 0.0.255.255
?rule 2 permit source 192.168.0.0 0.0.255.255
# 增加ACL 3001允許通過外網訪問內部服務器指定端口
acl number 3001
?rule 0 permit tcp destination 172.40.1.16 0 destination-port eq 9080
?rule 1 permit tcp destination 172.40.1.16 0 destination-port eq 5631
?rule 2 permit tcp destination 172.40.1.16 0 destination-port eq 5632
?rule 3 permit tcp destination 172.40.1.17 0 destination-port eq 5631
?rule 4 permit tcp destination 172.40.1.17 0 destination-port eq 5632
?rule 5 permit tcp destination 172.40.1.18 0 destination-port eq 5631
?rule 6 permit tcp destination 172.40.1.18 0 destination-port eq 5632
?rule 7 permit tcp destination 172.40.1.16 0 destination-port eq 6129
acl number 3010 //ACL 3010允許公網用戶通過ssh訪問防火墻
?rule 0 permit tcp destination 11.18.13.4 0 destination-port eq ssh
#
?sysname Eudemon
#設置local到trust區(qū)域的默認防火墻包過濾規(guī)則
?firewall packet-filter default permit interzone local trust direction inbound
?firewall packet-filter default permit interzone local trust direction outbound
#配置全局NAT和指定端口映射。
?nat address-group 1 11.18.13.4 11.18.13.4
?nat server zone untrust protocol tcp global 11.18.13.4 9080 inside 172.40.1.16 9080
?nat server zone untrust protocol tcp global 11.18.13.4 5631 inside 172.40.1.16 5631
?nat server zone untrust protocol tcp global 11.18.13.4 5632 inside 172.40.1.16 5632
?nat server zone untrust protocol tcp global 11.18.13.4 5633 inside 172.40.1.17 5631
?nat server zone untrust protocol tcp global 11.18.13.4 5634 inside 172.40.1.17 5632
?nat server zone untrust protocol tcp global 11.18.13.4 5635 inside 172.40.1.18 5631
?nat server zone untrust protocol tcp global 11.18.13.4 5636 inside 172.40.1.18 5632
?nat server zone untrust protocol tcp global 11.18.13.4 6129 inside 172.40.1.16 6129
#
?firewall statistic system enable
#G0/0/0連接到外網，配置IP;
interface GigabitEthernet0/0/0
?description link_to_internet
?ip address 11.18.13.4 255.255.255.0
#G0/0/1連接到內網，配置IP;
interface GigabitEthernet0/0/1
?description Link_to_inside
?ip address 192.168.10.2 255.255.255.0
#
interface GigabitEthernet0/0/2
#
interface GigabitEthernet0/0/3
#
interface NULL0??????????????????????????
#
firewall zone local
?set priority 100
#將G0/0/1加入trust
firewall zone trust
?set priority 85
?add interface GigabitEthernet0/0/1
#將G0/0/0加入untrust
firewall zone untrust
?set priority 5
?add interface GigabitEthernet0/0/0
#
firewall zone dmz
?set priority 50
#
firewall zone vzone
?set priority 0
#應用ACL 3010
firewall interzone local untrust
?packet-filter 3010 inbound
#應用ACL 3001 、ACL 2001、NAT 2001
firewall interzone trust untrust?????????
?packet-filter 3001 inbound
?packet-filter 2001 outbound
?nat outbound 2001 address-group 1
#配置aaa用戶，用于ssh登錄
aaa
?local-user admin password simple admin
?local-user admin service-type web ssh
?authentication-scheme default
#
?authorization-scheme default
#
?accounting-scheme default
#
?domain default
#
#
right-manager server-group
#
?slb
#配置靜態(tài)路由及默認路由
?ip route-static 0.0.0.0 0.0.0.0 11.18.13.1
?ip route-static 172.40.1.0 255.255.255.0 192.168.10.1
?ip route-static 192.168.0.0 255.255.0.0 192.168.10.1
#設置ssh user認證方式
?ssh user admin authentication-type password
#配置vty，設置認證模式為aaa,允許ssh登錄vty
user-interface con 0
user-interface vty 0 4
?authentication-mode aaa
?user privilege level 3
?protocol inbound ssh
#
return

轉載于:https://blog.51cto.com/sysadmin/305328

總結

以上是生活随笔為你收集整理的华为防火墙Edumon1000E配置的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。