Quidway Eudemon 500/1000防火墙操作手册 (入门) 目录 目录 第1章防火墙概述 1.1网络安全概述 .0 1.1.1安全威胁.. .0 1.1.2网络安全服务分类 .. 1.1.3安全服务的实现方法 .1 1.2防火墙概述. .2 1.2.1安全防范体系的第一道防线 防火墙. .. 1.2.2防火墙发展历史 1.3Eudemon产品简介.. .5 1.3.1Eudemon产品系列 .5 1.3.2Eudemon500/1000防火墙简介. ..5 1.3.3Eudemon500/1000防火墙功能特性列表. ..7 第2章Eudemon防火墙配置基础 .. 2.1通过Console接口搭建本地配置环境 ..0 2.1.1通过Console接口搭建... 2.1.2实现设备和Eudemon防火墙互相ping通.. .2 2.1.3实现跨越Eudemon防火增的两个设备互相ping通. .4 2.2通过其他方式搭建配置环境. ..5 2.2.1通过AUX接口搭建 .5 2.2.2通过Telnet方式搭建 .7 2.2.3通过SSH方式搭建.. ..10 2.3命令行接口.. 10 2.3.1命令行级别. .11 2.3.2命令行视图. .11 2.3.3命令行在线帮助. 22 2.3.4命令行错误信息. 22 2.3.5历史命令 2.3.6编辑特性 .23 2.3.7查看特性. .24 2.3.8快捷键 .24 2.4防火墙的基本配置 .27 2.4.1进入和退出系统视图 .27 2.4.2切换语言模式. 27 2.4.3配置防火墙名称. 27
Quidway Eudemon 500/1000防火墙操作手册 (入门) 目录 2.4.4配置系统时钟... .28 2.4.5配置命令级别... 28 2.4.6查看系统状态信息. .29 2.5用户管理.. 29 2.5.1用户管理概述 29 2.5.2用户管理的配置. .31 2.5.3用户登录相关信息的配置 2.5.4典型配置举例... ..34. 2.6用户界面(User-interface) .35 2.6.1用户界面简介. .35 2.6.2进入用户界面视图. 36 2.6.3配置异步接口属性. 37 2.6.4配置终端属性. 2.6.5配置Modem属性. .40 2.6.6 配置重定向功能 .40 2.6.7 配置VTY类型用户界面的呼入呼出限制 .42 2.6.8用户界面的显示和调试. .42 2.7终端服务. ...2 2.7.1 Console接口终端服务. .42 2.7.2AUX接口终端服务. 43 2.7.3Telnet终端服务... .44 2.7.4 SSH终端服务. ...47 第3章 Eudemon防火墙工作模式 .. 3.1防火墙工作模式简介.. .. 3.1.1工作模式介绍... .. 3.1.2路由模式工作过程.. ..2 3.1.3透明模式工作过程. ..2 3.1.4混合模式工作过程. ..6 3.2防火墙路由模式配置. ...6 3.2.1配置防火墙工作在路由模式. ..6 3.2.2配置路由模式其它参数.. .7 3.3防火墙透明模式配置.. ..7 3.3.1配置防火墙工作在透明模式 .7 3.3.2配置地址表项.. .7 3.3.3配置对未知MAC地址的IP报文的处理方式 ..8 3.3.4配置MAC地址转发表的老化时间. 3.4防火墙混合模式配置. ..9 3.4.1配置防火墙工作在混合模式. ..9 3.4.2配置混合模式其它参数.. ...9 3.5防火墙工作模式的切换 ...10 3.6防火墙工作模式的查看和调试 .10 3.7防火墙工作模式典型配置举例... ..10
Quidway Eudemon500/1000防火墙操作手册 (入门) 目录 3.7.1处理未知MAC地址的IP报文. 10 3.7.2透明防火墙连接多个局域网. 11
Quidway Eudemon 500/1000防火境操作手册 (入门) 第1章防火墙概述 第1章防火墙概述 1.1网络安全概述 随着Intermet的迅速发展,越来越多的企业借助网络服务来加速自身的发展,此时, 如何在一个开放的网络应用环境中守卫自身的机密数据、资源及声誉已越来越为人 们所关注.
网络安全已成为网络建设不可或缺的组成部分.
1.1.1安全威胁 目前,Intemet网络上常见的安全威胁大致分为以下几类: 非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式 (非法权限)使用.
例如,攻击者通过猜测帐号和密码的组合,从而进入计 算机系统以非法使用资源.
拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求.
例如,攻击者 短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致 使服务器负荷过重而不能处理合法任务.
信息盗窃:攻击者并不直接入侵目标系统,面是通过窃听网络来获取重要数 据或信息.
数据纂改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重 排序及插入虚假消息等操作,而使数据的一致性被破坏.
1.1.2网络安全服务分类 针对上述的安全威胁而采取的安全防护措施称为安全服务.
一般定义下列几种通用 的安全服务: 可用性服务:保证信总或服务在需要时能够被访问并正常工作.
机密性服务:保证敏感数据或信息不被泄漏或暴露给未授权的实体.
完整性服务:保证数据不以未经授权的方式被改动或破坏.
" 鉴别:提供某个实体身份合法性的保证.
授权:对系统资源的使用实施控制,规定访问者的接入权限等.
Quidway Eudemon 500/1000防火境操作手册 (入门) 第1章防火墙概述 1.1.3安全服务的实现方法 1.加密 加密是将可读的消息转化为不可读形式的加密文本的过程.
加密不仅为用户提供通 信保密,同时也是其他许多安全机制的基础,如认证过程中口令的设计、安全通信 协议的设计及数字签名的设计等均离不开密码机制.
加密方法主要分为三种: 对称密码体制:其特征是用于加密和解密的密钥是一样的,每对用户共享同 一密钥来交换消息,密钥必须是保密的.
典型代表包括:数据加密标准 DES(Data Encryption Standard)、三层数据加密标准3DES(Triple DES)等.
公钥密码体制:相对于对称密码体制,公钥密码体制有两个不同密钥,可将 加密功能和解密功能分开.
一个密钥称为私钥,必须秘密保存:另一个称为 公朝,可被公开分发:典型代表包括DH(Diie- Hellman)、RSA (Rivest Shamir Adleman).
散列函数:用于把一个变长的消息压缩到一个定长的编码字中,成为一个散 列或消息摘要.
散列函数包括MD5(MessageDigest5)、安全散列算法 SHA (Secure Hash Algorithm) .
2.认证 认证通常用于在访间网络前或网络提供服务前来鉴别用户身份的合法性.
认证可以由网络上的每一台设备在本地提供,也可以通过专用的认证服务器来实施.
相比较而言,后者具有更好的灵活性、可控性和可扩展性.
目前,在异构网络环境 中,RADIUS(Remote AccessDial-In User Service,远程访间拨入用户服务)作 为一个开放的标准被广泛用于认证服务.
3.访问控制 访问控制是一种加强授权的方法.
一般分为两种: 基于操作系统的访问控制:访问某计算机系统资源时对用户的指定访问行为 进行授权,可以基于身份、组、规则等配置访问控制策略.
基十网络的接人控制:指对接人网络的权限加以限制.
由于网络的复杂性, 其机制远比基于操作系统的访问控制更为复杂.
一般在发起访问请求者和访 问目标之间的一些中介点上配置实施访问控制组件(例如防火墙),从而实 现基于网络的接入控制.
