AR路由器配置虚拟防火墙功能

配置虚拟防火墙

在设备上配置VPN实例，将防火墙从逻辑上划分为多台虚拟防火墙，可以为多个小型私有网络提供独立的安全保障路由器配置 。

1、配置VPN实例划分虚拟防火墙

2、配置虚拟防火墙的安全特性

检查配置结果

配置VPN实例划分虚拟防火墙

背景信息

虚拟防火墙通过配置VPN实例实现，一个VPN实例对应一个虚拟防火墙，因此在配置虚拟防火墙功能时，需要先创建VPN实例，再将接口绑定VPN实例路由器配置 。具有相同VPN实例的接口，位于同一个虚拟防火墙，可独立部署安全策略。

操作步骤

执行命令system-view，进入系统视图路由器配置 。

执行命令ip vpn-instance vpn-instance-name，创建VPN实例，并进入VPN实例视图路由器配置 。

（可选）执行命令description description-information，记录VPN实例的描述信息路由器配置 。

执行命令route-distinguisher route-distinguisher，配置VPN实例的路由标识路由器配置 。

创建VPN实例后，需要为该VPN实例指定路由标识，否则不能进行后续配置路由器配置 。

执行命令interface interface-type interface-number，进入接口视图路由器配置 。

执行命令ip binding vpn-instance vpn-instance-name，配置接口绑定VPN实例路由器配置 。

配置接口时，需要首先配置接口绑定VPN实例，再配置接口IP地址路由器配置 。如果顺序相反，则最初配置的接口IP地址被删除，需要重新配置。

执行命令ip address ip-address { mask | mask-length }配置接口的IP地址路由器配置 。

配置虚拟防火墙的安全特性

背景信息

配置虚拟防火墙的安全功能路由器配置 ，和正常配置防火墙安全功能的步骤相同，每个虚拟防火墙需要独立配置，以满足不同的防火墙业务需求，用户可以选择配置如下功能：

配置包过滤防火墙

配置ASPF

配置端口映射

配置防火墙会话表老化时间

配置攻击防范

配置虚拟防火墙的如下功能时，用户需要指定VPN实例，根据指定的VPN实例，仅对相应的虚拟防火墙生效路由器配置 。

配置手工添加黑名单

配置手工添加白名单

配置ICMP flood攻击防范

配置SYN flood攻击防范

配置UDP flood攻击防范

操作步骤

配置虚拟防火墙黑名单

执行命令system-view，进入系统视图路由器配置 。

执行命令firewall blacklist enable，使能黑名单功能路由器配置 。

执行命令firewall blacklist ip-address [ vpn-instance vpn-instance-name ] [ expire-time minutes ]，添加黑名单表项路由器配置 。

配置虚拟防火墙白名单

执行命令system-view，进入系统视图路由器配置 。

执行命令firewall whitelist ip-address [ vpn-instance vpn-instance-name ] [ expire-time minutes ] ，添加白名单表项路由器配置 。

配置ICMP flood攻击防范

执行命令system-view，进入系统视图路由器配置 。

执行命令firewall defend icmp-flood enable，使能ICMP Flood攻击防范功能路由器配置 。

执行命令firewall defend icmp-flood { ip ip-address [ vpn-instance vpn-instance-name ] | zone zone-name } [ max-rate rate-value ] ，配置ICMP Flood攻击防范参数路由器配置 。

配置SYN flood攻击防范

执行命令system-view，进入系统视图路由器配置 。

执行命令firewall defend syn-flood enable，使能SYN Flood攻击防范路由器配置 。

执行命令firewall defend syn-flood { ip ip-address [ vpn-instance vpn-instance-name ] | zone zone-name } [ max-rate rate-value ] [ tcp-proxy { auto | off | on } ]，配置SYN Flood攻击防范参数路由器配置 。

配置UDP flood攻击防范

执行命令system-view，进入系统视图路由器配置 。

执行命令firewall defend udp-flood enable，使能UDP Flood攻击防范路由器配置 。

执行命令firewall defend udp-flood { ip ip-address [ vpn-instance vpn-instance-name ] | zone zone-name } [ max-rate rate-value ]，配置UDP Flood攻击防范参数路由器配置 。

检查配置结果

操作步骤

执行display firewall zone [ zone-name ] [ interface | priority ]命令，查看安全域的相关信息路由器配置 。

执行display firewall interzone [ zone-name1 zone-name2 ]命令，查看安全域间的相关信息路由器配置 。

执行display firewall blacklist { all | ip-address [ vpn-instance vpn-instance-name ] | dynamic | static | vpn-instance vpn-instance-name }命令，查看黑名单的相关信息路由器配置 。

执行display firewall whitelist { all | ip-address [ vpn-instance vpn-instance-name ] | vpn-instance vpn-instance-name }命令，查看白名单的相关信息路由器配置 。

执行display firewall defend { flag | { icmp-flood | syn-flood | udp-flood } [ ip [ ip-address [ vpn-instance vpn-instance-name ] ] | zone [ zone-name ] ] | other-attack-type }命令，查看攻击防范的相关信息路由器配置 。