Eudemon200防火墙操作指导书20040323(18)

经典防火墙的操作指导书

1、 在接口上配置好VRRP用于监视接口状态，接口模式下输入命令：vrrp vrid id virtual-ip

ipaddr; 并配置好相关属性

2、 把需要管理的vrrp加入到vgmp中，在系统视图下输入 vrrp group id 则进入vgmp的配置模

式，在vgmp的配置模式下输入命令：add interface Ethernet 0/0/0 vrid id,则将该vrrp加入到了vgmp中，配置好其他属性并使能该vgmp

3、 使能hrp功能，在系统视图下输入命令：hrp enable

这样一个基于hrp的双机热备便配置完成了。

2.7.4 双机热备的注意事项

1、 纯vrrp备份的应用中，如果出现了状态不一致的情况需要手工调整，以保证vrrp的状态一

致性；

2、 在配置vgmp的时候，配置好了vgmp时还需要单独使能该vgmp才可以应用，这是和vrrp配

置不一致的地方，一定要注意；

3、 在纯vrrp备份的应用中，也可以配置vgmp管理来维护vrrp的一致性，不必使能hrp，不过

需要注意的是无论是hrp还是vgmp协议都是华为的私有协议，其中vgmp协议对vrrp进行了扩展，hrp协议数据目前只能承载在vgmp协议上；

4、 为保证数据安全性以及系统得稳定性、在配置vgmp的时候需要指定vgmp用来通讯的vrrp

（在添加vrrp的时候可以指定为数据通道属性）；

5、 为保证双机热备的稳定工作，防止出现震荡，推荐在配置VGMP的时候， 主备的优先级

要配的不一致，主防火墙的优先级要高；

6、 由于采用vrrp协议监视接口，因此在双机热备的应用中只能采用以太网口的组网方式，目

前双机热备不支持wan口的备份；

7、 由于vrrp协议是工作在以太网上的，如果网络繁忙则会影响到vrrp的通讯、进而影响到状

态和应用的稳定性，因此在网络流量大的组网应用中推荐使用专门的通道来传输双机热备数据

2.8 防火墙的自动配置

2.8.1 防火墙同IDS联动

Eudemon200防火墙可以通IDS设备联动，IDS设备发现了攻击行为可以向防火墙发送控制报文，改变防火墙上设置的过滤规则，阻拦发起攻击的报文。目前防火墙能够接受联动驱动的模块为黑名单，IDS可以将一个IP地址插入黑名单，如果黑名单过滤功能使能没，那么在设定的时间内，从这个IP发出的经过防火墙的报文就会被丢弃。

防火墙目前支持“启明星辰”的入侵检测系统，二者通信可以使用他们公司的一套机制