华为-数据业务防火墙基础培训胶片.ppt

《华为-数据业务防火墙基础培训胶片.ppt》由会员分享，可在线阅读，更多相关《华为-数据业务防火墙基础培训胶片.ppt（67页珍藏版）》请在三一办公上搜索。

1、06.April 2006,防火墙基础,Version 4.0,Page 1,数据业务局点的网络安全，依赖于防火墙的良好配置。防火墙也是数据业务局点不可缺少的组网设备。每一位数据业务工程师，必须理解防火墙的运行机理，掌握防火墙的常用配置方法。,Page 2,参考资料,Page 3,学习目标,理解防火墙的基本概念熟悉Eudemon防火墙产品能够对Eudemon防火墙进行规划和配置,学习完本课程，您应该能够：,Page 4,3G数据业务典型组网,No7/Signal Gw,SMS C,MMSC,GMLC,IMPS,m STREAM,UM,MDSP,WISG,WIN,Internet,Corpora

2、teNetwork,Router,Firewall,Core LANSwitch,Edge LANSwitch,HA Link,WAN Link,FW1,S6506,S3528 x 2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,PTT,S3528x2,No7/Signal Gw,GE Link,FC/SCSI Link,100m/FE Link,E1 Link,FW2,AAA,S3528x2,FW3,FW4,3GCore Network,NMS/OSS,S3528 x 2,GGSN,OAM,S3528,OAM

3、 Desktop,Antivirus,Backup,FW5,FW6,Page 5,防火墙在MMSC局点中的位置,2Eudemon 200,报表服务器IBM X235,MMS PortalSUN V440,OMCServerIBM X235,2QuidwayS6506交换机,2F5 BIGIP 2400负载均衡器,CMNET,数据库和计费服务器SUN V440双机,MMSC Cluster（5SUN V440双机）,BOSS,BOSS,Quidway AR28路由器,QuidwayAR28路由器,预统计和报表数据库服务器IBM X445,网管接口机SUN V440,MCAS内容适配服务器4HP

4、DL 360 G3,Page 6,防火墙概念Eudemon防火墙介绍Eudemon防火墙配置步骤,Page 7,防火墙的概念,随着Internet的日益普及，许多LAN（内部网络）已经可以直接接入Internet网络，这种开放式的网络同时带来了许多不安全的隐患。在开放网络式的网络上，我们的周围存在着许多不能信任的计算机，这些计算机对我们私有的一些敏感信息造成了很大的威胁。在大厦的构造中，防火墙被设计用来防止火从大厦的一部分传播蔓延到大厦的另外一部分。我们所涉及的防火墙服务具有类似的目的：“防止Internet的危险传播到你的内部网络”。现代的防火墙体系不应该只是一个“入口的屏障”，防火墙应该是

5、几个网络的接入控制点，所有经过被防火墙保护的网络的数据流都应该首先经过防火墙，形成一个信息进入的关口，因此防火墙不但可以保护内部网络在Internet中的安全，同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络中，所有的计算机之间是被认为“可信任的”，它们之间的通信可以不受防火墙的干涉；而在各个被防火墙分割的网络之间，必须按照防火墙规定的“策略”进行互相的访问。,Page 8,防火墙的概念,简单的说，防火墙是保护一个网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征：经过防火墙保护的网络之间的通信必须都经过防火墙。只

6、有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、抗渗透能力。防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口，这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙，防火墙来控制这些连接，对连接进行验证、过滤,。,Page 9,防火墙和路由器的差异,路由器的特点：保证互联互通。按照最长匹配算法逐包转发。路由协议是核心特性。,防火墙的特点：逻辑子网之间的访问控制，关注边界安全。基于连接的转发特性。安全防范是核心特性。,由于防火墙具有基于连接监控的特性，因此防火墙对业务支持具有非常强的

7、优势。而路由器基于逐包转发的特点，因此路由器设备不适合做非常复杂的业务，复杂的业务对路由器的性能消耗比较大。防火墙支持的接口不如路由器丰富，支持的路由协议不如路由器丰富，因此防火墙不适合做为互联互通的转发设备。防火墙适合做为企业、内部局域网的出口设备，支持高速、安全、丰富的业务特性。,Page 10,防火墙概念Eudemon防火墙介绍Eudemon防火墙配置步骤,Page 11,一夫当关，万夫莫开,华为公司Eudemon防火墙,Page 12,华为公司硬件防火墙系列产品，涵盖了从低端数兆到高端千兆级别，卓越的性能和先进的安全体系架构为用户提供了强大的安全保障。,Eudemon 1000/500

8、,Eudemon 200,Eudemon 100,华为公司Eudemon系列防火墙,Page 13,Eudemon 防火墙主要特点,专用硬件系统 专用软件系统 高可靠 高安全 高性能 完备的防止流量攻击功能 强大的组网和业务支撑能力 安全方便的管理系统,Page 14,防火墙的安全区域,防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域。,Local区域,Trust区域,DMZ区域,UnTrust区域,接口1,接口2,接口3,接口4,Page 15,防火墙的安全区域,路由器的安全规则定义在接口上，而防火墙的安全规则定义在安全区域之间。,不允许来自的数据报从这个接口出去,Local区

9、域,Trust区域,DMZ区域,UnTrust区域,接口1,接口2,接口3,接口4,禁止所有从DMZ区域的数据报转发到UnTrust区域,Page 16,防火墙的安全区域,Eudemon防火墙上保留四个安全区域：非受信区（Untrust）：低级别的安全区域，其安全优先级为5。非军事化区（DMZ）：中度级别的安全区域，其安全优先级为50。受信区（Trust）：较高级别的安全区域，其安全优先级为85。本地区域（Local）：最高级别的安全区域，其安全优先级为100。此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。最多可有16个安全区域。,Page 17,防火墙的安全区域,域

10、间的数据流分两个方向：入方向（inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向；出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。,Local区域,Trust区域,DMZ区域,UnTrust区域,接口1,接口2,接口3,接口4,In,Out,In,Out,Out,In,Out,In,Page 18,防火墙的安全区域,本域内不同接口间不过滤直接转发进、出接口相同的报文被丢弃接口没有加入域之前不能转发包文,Local区域,Trust区域,DMZ区域,UnTrust区域,接口1,接口2,接口3,接口4,In,Out,In,Out,Out,In,Out

11、,In,Page 19,防火墙的安全区域,Page 20,防火墙的模式,路由模式透明模式混合模式,Page 21,防火墙的路由模式,可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。,Page 22,防火墙的透明模式,透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址，整个设备处于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通

12、过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。,Page 23,防火墙的混合模式,混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址，而透明模式无法实现这一点。,Page 24,状态检测防火墙的处理过程,Page 25,IP包过滤技术介绍,对防火墙需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表

13、。,Internet,公司总部,内部网络,未授权用户,办事处,Page 26,访问控制列表是什么？,一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）：,Page 27,如何标识访问控制列表？,利用数字标识访问控制列表利用数字范围标识访问控制列表的种类,700799范围的ACL是基于以太网帧头的访问控制列表,Page 28,基本访问控制列表,标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。,路由器,Page 29,基本访问控制列表的配置,配置基本访问列表的命令格式如下：acl acl-number match-order config|auto rule permit|de

14、ny source source-addr source-wildcard|any,怎样利用 IP 地址 和 反掩码wildcard-mask 来表示一个网段?,Page 30,访问控制列表的组合,一条访问列表可以由多条规则组成。对于这些规则，有两种匹配顺序：auto和config指定匹配该规则时按用户的配置顺序。规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较access-list 4 deny 202.38.0.0 0.0.255.255 access-list 4 permit 202.38.160.0 0

15、.0.0.255 两条规则结合则表示禁止一个大网段（）上的主机但允许其中的一小部分主 机（）的访问。规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。,Page 31,增强访问控制列表,增强访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。,路由器,Page 32,增强访问控制列表的配置命令,配置TCP/UDP协议的增强访问列表：rule ID of acl rule permit|deny tcp|udp source source-addr source-wildcard|any source-port operator port1 port2 destin

16、ation dest-addr dest-wildcard|any destination-port operator port1 port2 logging配置ICMP协议的增强访问列表：rule ID of acl rule permit|deny icmp source source-addr source-wildcard|any destination dest-addr dest-wildcard|any icmp-type icmp-type icmp-code logging配置其它协议的增强访问列表：rule ID of acl rule permit|deny ip|osp

17、f|igmp|gre source source-addr source-wildcard|any destination dest-addr dest-wildcard|any logging,Page 33,增强访问控制列表操作符的含义,Page 34,举例：在区域间应用访问控制列表,#创建编号为3001的访问控制列表：Eudemon acl number 3001#配置ACL规则，允许特定用户从外部网访问内部的三台服务器：Eudemon-acl-adv-3001 rule permit tcp source 202.39.2.3 0 destination 129.38.1.1 0Eud

18、emon-acl-adv-3001 rule permit tcp source 202.39.2.3 0 destination 129.38.1.2 0Eudemon-acl-adv-3001 rule permit tcp source 202.39.2.3 0 destination 129.38.1.3 0上述配置已经完成了ACL的创建。下面的配置是在包过滤应用中引用ACL，相关命令的详细解释请见命令手册的描述。#将ACL规则3001作用于Untrust 区域到Trust区域间的入方向。Eudemon-Interzone-trust-untrust packet-filter 300

19、1 inbound,Page 35,ASPF,为保护网络安全，基于ACL规则的包过滤可以在 网络层 和 传输层 检测数据包，防止非法入侵。ASPF能够检测应用层协议的信息，并对应用的流量进行监控。ASPF（Application Specific Packet Filter）是针对应用层的包过滤，也是基于状态的报文过滤。ASPF能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文通过。,Page 36,ASPF,ASPF能够监测FTP、HTTP、SMTP、RSTP、H.323、TCP、UDP的流量DoS（Denial of Service，拒绝服务）的检测和防范。Java Bl

20、ocking（Java阻断）保护网络不受有害Java Applets的破坏。Activex Blocking（Activex阻断）保护网络不受有害Activex的破坏。支持端口到应用的映射，为基于应用层协议的服务指定非通用端口。增强的会话日志功能。可以对所有的连接进行记录，包括连接时间、源地址、目的地址、使用端口和传输字节数等信息。,Page 37,ASPF配置举例,要求：如果该报文是从Trust区域向Untrust区域发起FTP和HTTP连接的返回报文，则允许其通过防火墙再进入Trust区域，其他报文被禁止；并且，此ASPF检测策略能够过滤掉来自外部网络服务器的HTTP报文中的Java Ap

21、plets。本例可以应用在本地用户需要访问远程网络服务的情况下。,Page 38,ASPF配置举例,Eudemon firewall session aging-time ftp 3000Eudemon firewall session aging-time http 3000Eudemon acl number 3001Eudemon-acl-adv-3001 rule deny ipEudemon acl number 2001Eudemon-acl-basic-2001 rule permit source anyEudemon firewall packet-filter defaul

22、t permit interzone trust untrust direction outbound（配置Trust和Untrust区域间出方向包过滤缺省动作为允许）Eudemon firewall interzone trust untrustEudemon-interzone-trust-untrust packet-filter 3001 inboundEudemon-interzone-trust-untrust detect ftpEudemon-interzone-trust-untrust detect httpEudemon-interzone-trust-untrust d

23、etect java-blocking 2001,Page 39,地址转换,NAT（Network Address Translation，地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要用于实现私有网络访问外部网络的功能。私有网络一般使用私有地址，RFC1918为私有、内部的应用留出了三个IP地址池，如下：A类：（）B类：（）C类：（）上述三个范围内的地址不会在Internet上被分配，因而可以不必向ISP或注册中心申请而在公司或企业内部自由使用。路由器可以在接口上配置地址转换，Eudemon防火墙是在区域之间实现地址转换。,Page 40,多对多

24、地址转换,Eudemon防火墙是通过定义地址池来实现多对多地址转换，同时利用访问控制列表来对地址转换进行控制的。地址池：用于地址转换的一些公有IP地址的集合。用户应根据自己拥有的合法IP地址数目、内部网络主机数目以及实际应用情况，配置恰当的地址池。地址转换的过程中，将会从地址池中挑选一个地址做为转换后的源地址。利用访问控制列表限制地址转换：只有满足访问控制列表条件的数据报文才可以进行地址转换。这可以有效地控制地址转换的使用范围，使特定主机才有权限访问Internet。,Page 41,多对多地址转换,Eudemon防火墙上配置多对多地址转换的步骤如下：在系统视图下定义一个可以根据需要进行分配的

25、NAT地址池 nat address-group group-number start-addr end-addr 其中，group-number是标识这个地址池的编号，start-addr 和 end-addr是地址池的起始和结束IP地址。在系统视图和ACL视图下定义一个访问控制列表 在系统视图下定义访问控制列表：acl number acl-number match-order config|auto 在ACL视图下定义访问控制规则：rule rule-id permit|deny source sour-addr sour-wildcard|any time-range time-nam

26、e logging 在域间视图下将访问控制列表和NAT地址池关联：nat outbound acl-number address-group group-number,Page 42,Nat Server配置,在实际应用中，可能需要提供给外部一个访问内部主机的机会，如提供给外部一个WWW的服务器，或是一台FTP服务器。使用NAT可以灵活地添加内部服务器，通过配置内部服务器，可将相应的外部地址、端口等映射到内部的服务器上，提供了外部网络可访问内部服务器的功能。nat server protocol protocol-type global global-addr global-port insi

27、de host-addr host-port nat server global global-addr inside host-addr,Page 43,Easy IP配置,Easy IP的概念很简单，当进行地址转换时，直接使用接口的公有IP地址作为转换后的源地址。同样它也利用访问控制列表控制哪些内部地址可以进行地址转换。在域间视图下执行：nat outbound acl-number interface interface-name,Page 44,应用级网关ALG,NAT只能对IP报文的头部地址和TCP/UDP头部的端口信息进行转换。对于一些特殊协议，例如ICMP、FTP等，它们报文的数

28、据部分可能包含IP地址或端口信息，这些内容不能被NAT有效的转换，这就可能导致问题。例如，一个使用内部IP地址的FTP服务器可能在和外部网络主机建立会话的过程中需要将自己的IP地址发送给对方。而这个地址信息是放到IP报文的数据部分，NAT无法对它进行转换。当外部网络主机接收了这个私有地址并使用它，这时FTP服务器将表现为不可达。解决这些特殊协议的NAT转换问题的方法就是在NAT实现中使用ALG（Application Level Gateway，应用级网关）功能。ALG是特定的应用协议的转换代理，它和NAT交互以建立状态信息，使用NAT的状态信息来改变封装在IP报文数据部分中的特定数据，并完成

29、其他必需的工作以使应用协议可以跨越不同范围运行。在系统视图下执行下列命令则使能了相应协议的ALG功能 nat alg enable dns|ftp|h323|icmp|qq|msn 在域间视图下为应用层协议配置ASPF检测 detect protocol,Page 45,Eudemon双机热备,什么是双机热备？所谓双机热备其实是双机状态备份。当两台防火墙，在确定主从防火墙后，由主防火墙进行业务的转发，而从防火墙处于监控状态，同时主防火墙会定时向从防火墙发送状态信息和需要备份的信息；当主防火墙出现故障后，从防火墙会及时接替主防火墙上的业务运行。,Page 46,双机热备的实现和原理,实现双机热备

30、的基本步骤：在接口上配置VRRP（虚拟路由器冗余协议）备份组，来发现防火墙的故障情况；将VRRP备份组加入到VGMP（VRRP组管理协议）中，以实现对VRRP管理组的统一管理；使能HRP（华为冗余协议），实现双机情况下的信息备份。双机热备的基本原理：两台防火墙形成双机热备，两台防火墙之间通过VRRP的hello报文协商主备关系，根据VGMP的优先级和接口的IP确定防火墙的master和slave关系，并且master防火墙会通过HRP协议定时向slave传送备份信息（命令行备份信息和动态备份信息）；当master防火墙出现故障时，主备关系发生转换，业务会平滑切换，不会影响这个业务的进行。,Pa

31、ge 47,双机热备注意事项,在双机热备组网中，需要注意的几个问题：1.对于双机热备目前只支持两台设备进行备份，不支持多台设备进行备份。但对于只使用VRRP（即没有使用HRP同步协议）的组网可以支持多台设备进行冗余备份；2.由于双机热备中具有备份机制可以备份动态信息和命令，因此要求进行双机热备的两台设备板卡的位置和类型都要求相同，否则会出现主防火墙备份过去的信息，与从防火墙根本就无法进行搭配使用，如出现主备状态切换就会导致业务出问题。3.进行双机热备的两台防火墙中的配置文件最好为初始配置或保证两台设备配置相同，以免由于先前的配置而导致业务问题。,Page 48,双机热备应用协议,VRRP（Vi

32、rtual Router Redundancy Protocol）虚拟路由器冗余协议VRRP（Virtual Router Redundancy Protocol）作为一种容错协议，适用于支持组播或广播的局域网（如以太网等），通过一组路由设备共用一个虚拟的IP来达到提供一个虚拟网关的目的。,Page 49,双机热备应用协议,VRRP在防火墙应用的缺陷每个备份组的VRRP是单独工作的，并且每个VRRP状态相对独立，因此无法保证同一防火墙上各接口的VRRP状态都为主用或都为备用，可能会导致业务中断。由于Eudemon是状态防火墙，对于各安全区域之间的每个动态生成的五元组的会话连接，Eudemon都

33、有一个会话表项与之对应，只有命中该会话表项的后续报文（包括返回报文）才能够通过Eudemon防火墙，这就要求某会话的进路径、出路径必须一致，因此VRRP无法保证主从防火墙的这种会话连接一致，当出现切换后会出现业务中断。,Page 50,双机热备应用的协议,VGMP（VRRP Group Management Protocol）VRRP组管理协议为了确保各VRRP备份组之间通路状态一致性，需要配置VRRP管理组，由管理组统一管理各独立运行的VRRP备份组，从而实现各备份组之间的互通，以防止可能导致的VRRP状态不一致现象的发生，从而实现对多个VRRP备份组（虚拟路由器）的状态一致性管理、抢占管理

34、和通道管理。也许会问VRRP下有接口监视命令不是可以实现设备的状态统一吗？VRRP下的track接口监视命令，的确可以达到实现设备的状态统一；但是，如果接口较多的情况下，配置就会很繁琐，同时很容易出错。接口监视命令只能实现对其他接口状态的监控以达到VRRP的状态统一，但是VRRP是独立工作的，当由于抢占设备中一个VRRP状态发生变化后，监控命令是无法使所有的VRRP状态都进行变化的。,Page 51,双机热备应用协议,Page 52,双机热备应用协议,VGMP提供的功能状态一致性管理各备份组的主/备状态变化都需要通知其所属的VRRP管理组，由VRRP管理组决定是否允许VRRP备份组进行主/备状

35、态切换。抢占管理 无论各VRRP备份组内Eudemon防火墙设备是否使能了抢占功能，抢占行为发生与否必须由VRRP管理组统一决定。通道管理 所谓通道管理，是为了提供传输VGMP报文、VGMP相关承载报文、VRRP状态报文的可靠通路而提出的，这是相对正常业务流的业务通道而言的。,Page 53,双机热备应用协议,HRP（Huawei Redundancy Protocol）华为冗余协议HRP协议是承载在VGMP报文上进行传输的，在Master和Backup防火墙设备之间备份关键配置命令和会话表状态信息，特别是会话表项。,Page 54,双机热备应用协议,防火墙应用状态的可靠性备份：动态生成的黑名

36、单防火墙生成的会话表表项SERVERMAP表项NO-PAT表项,Page 55,双机热备应用协议,防火墙配置命令的备份：ACL包过滤命令的配置攻击防范命令的配置地址绑定命令的配置黑名单命令的启用以及手工添加黑名单用户和对黑名单命令的删除操作日志命令NAT命令的配置统计命令的配置域的命令的配置，包括新域的设定，域内添加的接口和优先级的设置ASPF（应用层包过滤防火墙）的命令配置清除会话表项命令（reset firewall session table)和清除配置的命令（undo XXX）注意：1.在批处理手工备份时，对于undo和reset命令是无法进行备份的。2.除以上命令行可以备份外，其他命

37、令无法备份。如路由命令等，需要主从防火墙同时配置。,Page 56,防火墙概念Eudemon防火墙介绍Eudemon防火墙配置步骤,Page 57,Eudemon防火墙配置步骤,防火墙组网规划配置接口IP地址配置域把接口划分到域双机情况下，配置VRRP双机情况下，配置VGMP双机情况下，配置HRP双机情况下，验证双机配置配置地址转换配置ACL在域间应用ACL校验业务配置,Page 58,防火墙组网规划,防火墙组网规划组网拓朴图（具体到网络设备物理端口的分配和连接）IP地址的分配（具体到网络设备所有IP地址的分配）防火墙上的区域划分防火墙的地址映射关系防火墙需要开放的策略,Page 59,配置接

38、口IP地址,#配置防火墙接口Ethernet 0/0/0的IP地址：Eudemon interface ethernet 0/0/0Eudemon-Ethernet0/0/0 ip address 192.168.1.1 255.255.255.0 Eudemon-Ethernet0/0/0 quit#如为双机，需要在接口下配置vrrp。如在接口eth0/0/0下配置VRRP备份组1，注意虚拟IP需要和接口地址同一网段：Eudemon-ethernet0/0/0vrrp vrid 1 virtual-ip 192.168.1.4 Eudemon-ethernet0/0/0interface e

39、thernet 0/0/1 此下继续在接口eth0/0/1下配置VRRP备份组2，并配置虚拟IP,Page 60,配置区域,配置区域，并把区域优先级配置好（采用缺省区域则不用）#配置区域dmz。Eudemon firewall zone name dmz1 Eudemon-zone-dmz1 set priority 70,Page 61,把接口加入到区域中,把相应的接口加入到相应的区域中去#配置接口Ethernet 1/0/0加入防火墙DMZ域。Eudemon firewall zone dmz Eudemon-zone-dmz add interface ethernet 1/0/0 Eu

40、demon-zone-dmz quit,Page 62,配置VRRP组管理,#创建VRRP管理组1，将所有的VRRP备份组添加到管理组中进行统一管理 Eudemonvrrp-group 1 使能VRRP管理组，只有使能了VGMP，才能对VRRP进行统一管理 Eudemon-vrrpgroup-1vrrp enable#将备份组1、2加入VRRP管理组1中，并指定两条数据通道，分别以ethernet 0/0/0 和ethernet 0/0/1 作为两条通道的端点 Eudemon-vrrpgroup-1add interface ethernet 0/0/0 vrrp vrid 1 data Eu

41、demon-vrrpgroup-1add interface ethernet 0/0/1 vrrp vrid 2 data配置transfer-only参数的通道的状态变化不会影响VGMP的优先级从而导致状态切换 Eudemon-vrrpgroup-1add interface ethernet 2/0/0 vrrp vrid 3 data transfer-only#启用VRRP管理组的自动抢占功能，抢占延时采用默认时间为0秒 Eudemon-vrrpgroup-1vrrp-group preedom,Page 63,配置HRP,当防火墙不配置VGMP的优先级时，默认优先级为100。当配置

42、优先级时应注意VGMP优先级的递减算法：递减后的优先级优先级优先级/16，当主防火墙出故障时，递减后的优先级应比slave防火墙的优先级低，才可进行主备状态切换，否则出故障的防火墙仍然为主状态，从而导致业务会中断。例如，以下配置递减后的优先级为105105/1698，因此slave防火墙比该优先级大。Eudemon-vrrpgroup-1vrrp-group priority 105 Eudemon-vrrpgroup-1quit#使能HRP功能，当使能HRP功能后会在Eudemon前显示HRP_M，从防火墙上会显示HRP_S，默认是自动实时备份。Eudemonhrp enable 以上为主防

43、火墙的配置，从防火墙的配置基本上与主防火墙的配置相同，只需要改变接口的IP地址即可。,Page 64,配置NAT和ACL，应用ACL,配置地址转换Eudemon nat server protocol tcp global 202.169.10.10 www inside 192.168.20.10 www配置ACL Eudemon acl name tod advancedEudemon-acl-adv-tod rule permit tcp destination 192.168.20.10 0 应用ACLEudemon firewall interzone dmz untrustEudemon-interzone-dmz-untrust packet-filter tod inbound,Page 65,校验防火墙配置,校验双机状态 检查双机切换对于业务是否有影响校验配置同步情况 检查主备机的配置是否可自动同步，可以通过比较配置来实现校验业务是否正常测试业务是否正常,Version 2.0,