配置虚拟防火墙 在设备上配置VPN实例,将防火墙从逻辑上划分为多台虚拟防火墙,可以为多个小型私有网络提供独立的安全保障。
1、配置VPN实例划分虚拟防火墙
2、配置虚拟防火墙的安全特性 检查配置结果 配置VPN实例划分虚拟防火墙 背景信息 虚拟防火墙通过配置VPN实例实现,一个VPN实例对应一个虚拟防火墙,因此在配置虚拟防火墙功能时,需要先创建VPN实例,再将接口绑定VPN实例。具有相同VPN实例的接口,位于同一个虚拟防火墙,可独立部署安全策略。
操作步骤
执行命令system-view,进入系统视图。
执行命令ip vpn-instance vpn-instance-name,创建VPN实例,并进入VPN实例视图。
(可选)执行命令description description-information,记录VPN实例的描述信息。
执行命令route-distinguisher route-distinguisher,配置VPN实例的路由标识。 创建VPN实例后,需要为该VPN实例指定路由标识,否则不能进行后续配置。 执行
命令interface interface-type interface-number,进入接口视图。
执行命令ip binding vpn-instance vpn-instance-name,配置接口绑定VPN实例。
配置接口时,需要首先配置接口绑定VPN实例,再配置接口IP地址。
如果顺序相反,则最初配置的接口IP地址被删除,需要重新配置。 执行命令ip address ip-address { mask | mask-length }配置接口的IP地址。
配置虚拟防火墙的安全特性 背景信息 配置虚拟防火墙的安全功能,和正常配置防火墙安全功能的步骤相同,每个虚拟防火墙需要独立配置,以满足不同的防火墙业务需求,用户可以选择配置如下功能:
配置包过滤防火墙 配置ASPF 配置端口映射 配置防火墙会话表老化时间 配置攻击防范 配置虚拟防火墙的如下功能时,用户需要指定VPN实例,根据指定的VPN实例,仅对相应的虚拟防火墙生效。
配置手工添加黑名单 配置手工添加白名单 配置ICMP flood攻击防范 配置SYN flood攻击防范 配置UDP flood攻击防范
操作步骤 配置虚拟防火墙黑名单 执行命令system-view,进入系统视图。 执行命令firewall blacklist enable,使能黑名单功能。
执行命令firewall blacklist ip-address [ vpn-instance vpn-instance-name ] [ expire-time minutes ],添加黑名单表项。
配置虚拟防火墙白名单 执行命令system-view,进入系统视图。 执行命令firewall whitelist ip-address [ vpn-instance vpn-instance-name ] [ expire-time minutes ] ,添加白名单表项。 配置ICMP flood攻击防范 执行命令system-view,进入系统视图。
执行命令firewall defend icmp-flood enable,使能ICMP Flood攻击防范功能。
执行命令firewall defend icmp-flood { ip ip-address [ vpn-instance vpn-instance-name ] | zone zone-name } [ max-rate rate-value ] ,配置ICMP Flood攻击防范参数。
配置SYN flood攻击防范 执行命令system-view,进入系统视图。 执行命令firewall defend syn-flood enable,使能SYN Flood攻击防范。 执行命令firewall defend syn-flood { ip ip-address [ vpn-instance vpn-instance-name ] | zone zone-name } [ max-rate rate-value ] [ tcp-proxy { auto | off | on } ],配置SYN Flood攻击防范参数。
配置UDP flood攻击防范 执行命令system-view,进入系统视图。 执行命令firewall defend udp-flood enable,使能UDP Flood攻击防范。 执行命令firewall defend udp-flood { ip ip-address [ vpn-instance vpn-instance-name ] | zone zone-name } [ max-rate rate-value ],配置UDP Flood攻击防范参数。
检查配置结果
操作步骤
执行display firewall zone [ zone-name ] [ interface | priority ]命令,查看安全域的相关信息。 执行display firewall interzone [ zone-name1 zone-name2 ]命令,查看安全域间的相关信息。 执行display firewall blacklist { all | ip-address [ vpn-instance vpn-instance-name ] | dynamic | static | vpn-instance vpn-instance-name }命令,查看黑名单的相关信息。
执行display firewall whitelist { all | ip-address [ vpn-instance vpn-instance-name ] | vpn-instance vpn-instance-name }命令,查看白名单的相关信息。 执行display firewall defend { flag | { icmp-flood | syn-flood | udp-flood } [ ip [ ip-address [ vpn-instance vpn-instance-name ] ] | zone [ zone-name ] ] | other-attack-type }命令,查看攻击防范的相关信息。
