<返回更多

AR路由器配置虚拟防火墙功能

2022-08-30  今日头条  丹鱼先生
加入收藏

配置虚拟防火墙 在设备上配置VPN实例,将防火墙从逻辑上划分为多台虚拟防火墙,可以为多个小型私有网络提供独立的安全保障。

1、配置VPN实例划分虚拟防火墙

2、配置虚拟防火墙的安全特性 检查配置结果 配置VPN实例划分虚拟防火墙 背景信息 虚拟防火墙通过配置VPN实例实现,一个VPN实例对应一个虚拟防火墙,因此在配置虚拟防火墙功能时,需要先创建VPN实例,再将接口绑定VPN实例。具有相同VPN实例的接口,位于同一个虚拟防火墙,可独立部署安全策略。

操作步骤

执行命令system-view,进入系统视图。

执行命令ip vpn-instance vpn-instance-name,创建VPN实例,并进入VPN实例视图。

(可选)执行命令description description-information,记录VPN实例的描述信息。

执行命令route-distinguisher route-distinguisher,配置VPN实例的路由标识。 创建VPN实例后,需要为该VPN实例指定路由标识,否则不能进行后续配置。 执行

命令interface interface-type interface-number,进入接口视图。

执行命令ip binding vpn-instance vpn-instance-name,配置接口绑定VPN实例。

配置接口时,需要首先配置接口绑定VPN实例,再配置接口IP地址。

如果顺序相反,则最初配置的接口IP地址被删除,需要重新配置。 执行命令ip address ip-address { mask | mask-length }配置接口的IP地址。

配置虚拟防火墙的安全特性 背景信息 配置虚拟防火墙的安全功能,和正常配置防火墙安全功能的步骤相同,每个虚拟防火墙需要独立配置,以满足不同的防火墙业务需求,用户可以选择配置如下功能:

配置包过滤防火墙 配置ASPF 配置端口映射 配置防火墙会话表老化时间 配置攻击防范 配置虚拟防火墙的如下功能时,用户需要指定VPN实例,根据指定的VPN实例,仅对相应的虚拟防火墙生效。

配置手工添加黑名单 配置手工添加白名单 配置ICMP flood攻击防范 配置SYN flood攻击防范 配置UDP flood攻击防范

操作步骤 配置虚拟防火墙黑名单 执行命令system-view,进入系统视图。 执行命令firewall blacklist enable,使能黑名单功能。

执行命令firewall blacklist ip-address [ vpn-instance vpn-instance-name ] [ expire-time minutes ],添加黑名单表项。

配置虚拟防火墙白名单 执行命令system-view,进入系统视图。 执行命令firewall whitelist ip-address [ vpn-instance vpn-instance-name ] [ expire-time minutes ] ,添加白名单表项。 配置ICMP flood攻击防范 执行命令system-view,进入系统视图。

执行命令firewall defend icmp-flood enable,使能ICMP Flood攻击防范功能。

执行命令firewall defend icmp-flood { ip ip-address [ vpn-instance vpn-instance-name ] | zone zone-name } [ max-rate rate-value ] ,配置ICMP Flood攻击防范参数。

配置SYN flood攻击防范 执行命令system-view,进入系统视图。 执行命令firewall defend syn-flood enable,使能SYN Flood攻击防范。 执行命令firewall defend syn-flood { ip ip-address [ vpn-instance vpn-instance-name ] | zone zone-name } [ max-rate rate-value ] [ tcp-proxy { auto | off | on } ],配置SYN Flood攻击防范参数。

配置UDP flood攻击防范 执行命令system-view,进入系统视图。 执行命令firewall defend udp-flood enable,使能UDP Flood攻击防范。 执行命令firewall defend udp-flood { ip ip-address [ vpn-instance vpn-instance-name ] | zone zone-name } [ max-rate rate-value ],配置UDP Flood攻击防范参数。

检查配置结果

操作步骤

执行display firewall zone [ zone-name ] [ interface | priority ]命令,查看安全域的相关信息。 执行display firewall interzone [ zone-name1 zone-name2 ]命令,查看安全域间的相关信息。 执行display firewall blacklist { all | ip-address [ vpn-instance vpn-instance-name ] | dynamic | static | vpn-instance vpn-instance-name }命令,查看黑名单的相关信息。

执行display firewall whitelist { all | ip-address [ vpn-instance vpn-instance-name ] | vpn-instance vpn-instance-name }命令,查看白名单的相关信息。 执行display firewall defend { flag | { icmp-flood | syn-flood | udp-flood } [ ip [ ip-address [ vpn-instance vpn-instance-name ] ] | zone [ zone-name ] ] | other-attack-type }命令,查看攻击防范的相关信息。

声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多资讯 >>>