AR路由器配置虚拟防火墙功能
配置虚拟防火墙
在设备上配置VPN实例,将防火墙从逻辑上划分为多台虚拟防火墙,可以为多个小型私有网络提供独立的安全保障路由器配置 。
1、配置VPN实例划分虚拟防火墙
2、配置虚拟防火墙的安全特性
检查配置结果
配置VPN实例划分虚拟防火墙
背景信息
虚拟防火墙通过配置VPN实例实现,一个VPN实例对应一个虚拟防火墙,因此在配置虚拟防火墙功能时,需要先创建VPN实例,再将接口绑定VPN实例路由器配置 。具有相同VPN实例的接口,位于同一个虚拟防火墙,可独立部署安全策略。
操作步骤
执行命令system-view,进入系统视图路由器配置 。
执行命令ip vpn-instance vpn-instance-name,创建VPN实例,并进入VPN实例视图路由器配置 。
(可选)执行命令description description-information,记录VPN实例的描述信息路由器配置 。
执行命令route-distinguisher route-distinguisher,配置VPN实例的路由标识路由器配置 。
创建VPN实例后,需要为该VPN实例指定路由标识,否则不能进行后续配置路由器配置 。
执行命令interface interface-type interface-number,进入接口视图路由器配置 。
执行命令ip binding vpn-instance vpn-instance-name,配置接口绑定VPN实例路由器配置 。
配置接口时,需要首先配置接口绑定VPN实例,再配置接口IP地址路由器配置 。如果顺序相反,则最初配置的接口IP地址被删除,需要重新配置。
执行命令ip address ip-address { mask | mask-length }配置接口的IP地址路由器配置 。
配置虚拟防火墙的安全特性
背景信息
配置虚拟防火墙的安全功能路由器配置 ,和正常配置防火墙安全功能的步骤相同,每个虚拟防火墙需要独立配置,以满足不同的防火墙业务需求,用户可以选择配置如下功能:
配置包过滤防火墙
配置ASPF
配置端口映射
配置防火墙会话表老化时间
配置攻击防范
配置虚拟防火墙的如下功能时,用户需要指定VPN实例,根据指定的VPN实例,仅对相应的虚拟防火墙生效路由器配置 。
配置手工添加黑名单
配置手工添加白名单
配置ICMP flood攻击防范
配置SYN flood攻击防范
配置UDP flood攻击防范
操作步骤
配置虚拟防火墙黑名单
执行命令system-view,进入系统视图路由器配置 。
执行命令firewall blacklist enable,使能黑名单功能路由器配置 。
执行命令firewall blacklist ip-address [ vpn-instance vpn-instance-name ] [ expire-time minutes ],添加黑名单表项路由器配置 。
配置虚拟防火墙白名单
执行命令system-view,进入系统视图路由器配置 。
执行命令firewall whitelist ip-address [ vpn-instance vpn-instance-name ] [ expire-time minutes ] ,添加白名单表项路由器配置 。
配置ICMP flood攻击防范
执行命令system-view,进入系统视图路由器配置 。
执行命令firewall defend icmp-flood enable,使能ICMP Flood攻击防范功能路由器配置 。
执行命令firewall defend icmp-flood { ip ip-address [ vpn-instance vpn-instance-name ] | zone zone-name } [ max-rate rate-value ] ,配置ICMP Flood攻击防范参数路由器配置 。
配置SYN flood攻击防范
执行命令system-view,进入系统视图路由器配置 。
执行命令firewall defend syn-flood enable,使能SYN Flood攻击防范路由器配置 。
执行命令firewall defend syn-flood { ip ip-address [ vpn-instance vpn-instance-name ] | zone zone-name } [ max-rate rate-value ] [ tcp-proxy { auto | off | on } ],配置SYN Flood攻击防范参数路由器配置 。
配置UDP flood攻击防范
执行命令system-view,进入系统视图路由器配置 。
执行命令firewall defend udp-flood enable,使能UDP Flood攻击防范路由器配置 。
执行命令firewall defend udp-flood { ip ip-address [ vpn-instance vpn-instance-name ] | zone zone-name } [ max-rate rate-value ],配置UDP Flood攻击防范参数路由器配置 。
检查配置结果
操作步骤
执行display firewall zone [ zone-name ] [ interface | priority ]命令,查看安全域的相关信息路由器配置 。
执行display firewall interzone [ zone-name1 zone-name2 ]命令,查看安全域间的相关信息路由器配置 。
执行display firewall blacklist { all | ip-address [ vpn-instance vpn-instance-name ] | dynamic | static | vpn-instance vpn-instance-name }命令,查看黑名单的相关信息路由器配置 。
执行display firewall whitelist { all | ip-address [ vpn-instance vpn-instance-name ] | vpn-instance vpn-instance-name }命令,查看白名单的相关信息路由器配置 。
执行display firewall defend { flag | { icmp-flood | syn-flood | udp-flood } [ ip [ ip-address [ vpn-instance vpn-instance-name ] ] | zone [ zone-name ] ] | other-attack-type }命令,查看攻击防范的相关信息路由器配置 。
爱资源吧版权声明:以上文中内容来自网络,如有侵权请联系删除,谢谢。