配置各接口 IP 地址、网络参数、缺省路由。 Eudemon 防火墙连接 Trust、DMZ 和 Untrust 三个安全区域，因此需要配置相关连接接口的 IP 地址、链路层、网络层、路由的参数，从而实现 Eudemon 网络层与其他设备互通。 # 配置 Eudemon 防火墙 Ethernet0/0/0 接口的 IP 地址。 [Eudemon] interface ethernet 0/0/0 [Eudemon-Ethernet0/0/0] ip address 10.110.1.11 255.255.255.0 [Eudemon-Ethernet0/0/0] quit # 配置 Eudemon 防火墙 Etherent1/0/0 接口的 IP 地址。 外网 [Eudemon] interface ethernet 1/0/0 [Eudemon-Ethernet1/0/0] ip address 202.38.160.1 255.255.0.0 [Eudemon-Ethernet1/0/0] quit # 配置 Eudemon 防火墙 Etherent2/0/0 接口的 IP 地址。 [Eudemon] interface ethernet 2/0/0 [Eudemon-Ethernet2/0/0] ip address 10.110.5.11 255.255.255.0 [Eudemon-Ethernet2/0/0] quit # 配置 Eudemon 防火墙到达 Internet 的缺省路由。 [Eudemon] ip route-static 0.0.0.0 0.0.0.0 202.38.160.15 到外网网关 [Eudemon] ip route-static 10.110.1.0 255.255.255.0 10.110.1.2 到三层 第三步：创建或配置安全区域，为安全区域增加隶属接口。 Eudemon 防火墙三个 Ethernet 接口分别连接 Trust、DMZ 和 Untrust 三个系统保留的安全区 域，因此仅需要为安全区域增加隶属的接口即可。 # 配置 Trust 区域包含 Ethernet0/0/0 接口。 [Eudemon] firewall zone trust [Eudemon-zone-trust] add interface ethernet 0/0/0 [Eudemon-zone-trust] quit # 配置 DMZ 区域包含 Ethernet2/0/0 接口。 [Eudemon] firewall zone dmz [Eudemon-zone-dmz] add interface ethernet 2/0/0 [Eudemon-zone-dmz] quit # 配置 Untrust 区域包含 Ethernet1/0/0 接口。 [Eudemon] firewall zone untrust [Eudemon-zone-untrust] add interface ethernet 1/0/0 [Eudemon-zone-untrust] quit 1. 简介 NAT 地址转换机制是将内部主机 IP 地址替换为外部地址，提供私有地址与公有地址之间的 转换。NAT 实现了内部私有网络访问外部 Internet 网络的功能，有助于减缓可用 IP 地址空 间枯竭的速度，同时屏蔽了内部网络，提高了信息传输的安全性。 Eudemon 防火墙通过定义地址池，并用地址池中的地址作为转换后的外部地址来实现多对 多地址转换，利用 ACL 规则来对地址转换进行控制。 

2. 配置前提 必须已经完成“上面的配置。 3. 操作步骤 第一步：配置 NAT 地址池 1，地址范围是 202.110.1.241-202.110.1.254。 [Eudemon] nat address-group 1 202.110.1.241 202.110.1.254 （固定 IP 的地址段） 第二步：配置 ACL 规则 2010，仅允许 Trust 区域 10.110.1.0/24 网段中的任意主机访问其他 网络，禁止其它网段主机的对外访问。 [Eudemon] acl number 2010 [Eudemon-acl-basic-2010] rule 0 permit source 10.110.1.0 0.0.0.255 [Eudemon-acl-basic-2010] rule 1 deny any 第三步：在安全区域之间使用配置好的 NAT 地址池。 # 进入 Trust 和 Untrust 区域间视图，在从 Trust 区域到 Untrust 区域的方向上，对符合 ACL 规则 10 的数据流进行 NAT 转换，采用 NAT 地址池 1 中的地址。 [Eudemon] firewall interzone trust untrust [Eudemon-interzone-trust-untrust] nat outbound 2010 address-group 1 4. 检验结果 按照上述步骤进行配置后，正常情况下，应达到以下测试结果： l Trust 区域内任意主机 10.110.1.1 能通过 Eudemon 防火墙访问外部网络，即能 ping 通 Internet 用户 202.12.7.7。 l 反方向，Internet 用户 202.12.7.7 不能主动访问 Trust 区域内主机，即不能 ping 通 Trust 区 域内的主机 10.110.1.1。 配置包过滤 1. 简介 包过滤机制主要实现对 IP 数据包的过滤。对 Eudemon 需要转发的数据包，先获取数据包的 包头信息（上层协议号、源地址、目的地址、源端口、目的端口等）， 然后和已定义的 ACL 规则进行比较，根据比较的结果来决定转发还是丢弃该数据包。 2. 配置前提 

必须已经完成“第 3 章 Eudemon 的简单配置”中的配置，并确保 Eudemon 和其他设备互通， 并且配置安全区域间的包过滤规则。 3. 操作步骤 第一步：根据安全过滤需要，配置各种 ACL 规则。 # 创建访问控制列表 3101，允许 Trust 区域内的所有 10.110.1.0 网段的主机访问外部网和 DMZ 区域中的服务器，拒绝其他主机访问资源。 [Eudemon] acl number 3101 [Eudemon-acl-adv-3101] rule permit ip source 10.110.1.0 0.0.0.255 destination any [Eudemon-acl-adv-3101] rule deny ip # 创建访问控制列表 3102，允许 Internet 中的特定用户（202.12.7.7）从外部访问 DMZ 区域 中的内部服务器（FTP 和 WWW）。 [Eudemon] acl number 3102 [Eudemon-acl-adv-3102] rule permit ip source 202.12.7.7 0 destination 10.110.5.100 0 [Eudemon-acl-adv-3102] rule permit ip source 202.12.7.7 0 destination 10.110.5.101 0 [Eudemon-acl-adv-3102] rule deny ip 第二步：在安全区域之间应用配置好的 ACL 规则。 # 进入Trust 和 Untrust 区域间，并在从Trust 区域到 Untrust 区域的方向上应用 ACL 规则 3101， 即出方向。 [Eudemon] firewall interzone trust untrust [Eudemon-Interzone-trust-untrust] packet-filter 3101 outbound # 进入 Trust 和 DMZ 区域间，并在从 Trust 区域到 DMZ 区域的方向上应用 ACL 规则 3101， 即出方向。 [Eudemon] firewall interzone trust dmz [Eudemon-Interzone-trust-dmz] packet-filter 3101 outbound # 进入 Untrust 和 DMZ 区域间，并在从 Untrust 区域到 DMZ 区域的方向上应用 ACL 规则 3102，即入方向。 

[Eudemon] firewall interzone untrust dmz [Eudemon-Interzone-dmz-untrust] packet-filter 3102 inbound 4. 检验结果 按照上述步骤进行配置后，正常情况下，应达到以下测试结果： l Trust 区域内主机能正常通过 FTP 或 WWW 方式访问 DMZ 区域中的服务器，并能访问 Untrust 区域内的任意主机。 l DMZ 区域内的服务器不能随意访问 Trust 和 Untrust 区域中的主机。 l Untrust 区域中的特定主机能访问 DMZ 区域中的指定服务器外，但是无法访问该区域内的 其他服务器。 l Untrust 区域内的其他主机都不能访问 DMZ 区域和 Trust 区域。