配置虛擬防火墻 在設(shè)備上配置VPN實(shí)例,將防火墻從邏輯上劃分為多臺(tái)虛擬防火墻,可以為多個(gè)小型私有網(wǎng)絡(luò)提供獨(dú)立的安全保障。
1、配置VPN實(shí)例劃分虛擬防火墻
2、配置虛擬防火墻的安全特性 檢查配置結(jié)果 配置VPN實(shí)例劃分虛擬防火墻 背景信息 虛擬防火墻通過配置VPN實(shí)例實(shí)現(xiàn),一個(gè)VPN實(shí)例對應(yīng)一個(gè)虛擬防火墻,因此在配置虛擬防火墻功能時(shí),需要先創(chuàng)建VPN實(shí)例,再將接口綁定VPN實(shí)例。具有相同VPN實(shí)例的接口,位于同一個(gè)虛擬防火墻,可獨(dú)立部署安全策略。
操作步驟
執(zhí)行命令system-view,進(jìn)入系統(tǒng)視圖。
執(zhí)行命令ip vpn-instance vpn-instance-name,創(chuàng)建VPN實(shí)例,并進(jìn)入VPN實(shí)例視圖。
(可選)執(zhí)行命令description description-information,記錄VPN實(shí)例的描述信息。
執(zhí)行命令route-distinguisher route-distinguisher,配置VPN實(shí)例的路由標(biāo)識。 創(chuàng)建VPN實(shí)例后,需要為該VPN實(shí)例指定路由標(biāo)識,否則不能進(jìn)行后續(xù)配置。 執(zhí)行
命令interface interface-type interface-number,進(jìn)入接口視圖。
執(zhí)行命令ip binding vpn-instance vpn-instance-name,配置接口綁定VPN實(shí)例。
配置接口時(shí),需要首先配置接口綁定VPN實(shí)例,再配置接口IP地址。
如果順序相反,則最初配置的接口IP地址被刪除,需要重新配置。 執(zhí)行命令ip address ip-address { mask | mask-length }配置接口的IP地址。
配置虛擬防火墻的安全特性 背景信息 配置虛擬防火墻的安全功能,和正常配置防火墻安全功能的步驟相同,每個(gè)虛擬防火墻需要獨(dú)立配置,以滿足不同的防火墻業(yè)務(wù)需求,用戶可以選擇配置如下功能:
配置包過濾防火墻 配置ASPF 配置端口映射 配置防火墻會(huì)話表老化時(shí)間 配置攻擊防范 配置虛擬防火墻的如下功能時(shí),用戶需要指定VPN實(shí)例,根據(jù)指定的VPN實(shí)例,僅對相應(yīng)的虛擬防火墻生效。
配置手工添加黑名單 配置手工添加白名單 配置ICMP flood攻擊防范 配置SYN flood攻擊防范 配置UDP flood攻擊防范
操作步驟 配置虛擬防火墻黑名單 執(zhí)行命令system-view,進(jìn)入系統(tǒng)視圖。 執(zhí)行命令firewall blacklist enable,使能黑名單功能。
執(zhí)行命令firewall blacklist ip-address [ vpn-instance vpn-instance-name ] [ expire-time minutes ],添加黑名單表項(xiàng)。
配置虛擬防火墻白名單 執(zhí)行命令system-view,進(jìn)入系統(tǒng)視圖。 執(zhí)行命令firewall whitelist ip-address [ vpn-instance vpn-instance-name ] [ expire-time minutes ] ,添加白名單表項(xiàng)。 配置ICMP flood攻擊防范 執(zhí)行命令system-view,進(jìn)入系統(tǒng)視圖。
執(zhí)行命令firewall defend icmp-flood enable,使能ICMP Flood攻擊防范功能。
執(zhí)行命令firewall defend icmp-flood { ip ip-address [ vpn-instance vpn-instance-name ] | zone zone-name } [ max-rate rate-value ] ,配置ICMP Flood攻擊防范參數(shù)。
配置SYN flood攻擊防范 執(zhí)行命令system-view,進(jìn)入系統(tǒng)視圖。 執(zhí)行命令firewall defend syn-flood enable,使能SYN Flood攻擊防范。 執(zhí)行命令firewall defend syn-flood { ip ip-address [ vpn-instance vpn-instance-name ] | zone zone-name } [ max-rate rate-value ] [ tcp-proxy { auto | off | on } ],配置SYN Flood攻擊防范參數(shù)。
配置UDP flood攻擊防范 執(zhí)行命令system-view,進(jìn)入系統(tǒng)視圖。 執(zhí)行命令firewall defend udp-flood enable,使能UDP Flood攻擊防范。 執(zhí)行命令firewall defend udp-flood { ip ip-address [ vpn-instance vpn-instance-name ] | zone zone-name } [ max-rate rate-value ],配置UDP Flood攻擊防范參數(shù)。
檢查配置結(jié)果
操作步驟
執(zhí)行display firewall zone [ zone-name ] [ interface | priority ]命令,查看安全域的相關(guān)信息。 執(zhí)行display firewall interzone [ zone-name1 zone-name2 ]命令,查看安全域間的相關(guān)信息。 執(zhí)行display firewall blacklist { all | ip-address [ vpn-instance vpn-instance-name ] | dynamic | static | vpn-instance vpn-instance-name }命令,查看黑名單的相關(guān)信息。
執(zhí)行display firewall whitelist { all | ip-address [ vpn-instance vpn-instance-name ] | vpn-instance vpn-instance-name }命令,查看白名單的相關(guān)信息。 執(zhí)行display firewall defend { flag | { icmp-flood | syn-flood | udp-flood } [ ip [ ip-address [ vpn-instance vpn-instance-name ] ] | zone [ zone-name ] ] | other-attack-type }命令,查看攻擊防范的相關(guān)信息。
