当使用consol口登入Eudemon1000E 防火墙时，如果登入失败退出可能会被锁定，提示：User interface con0 is locked! 锁定的时间默认是10分钟，可以通过对con0 配置修改锁定值。

system-view [Eudemon] user-interface console 0 [Eudemon-ui-console0] lock authentication-count 5 [Eudemon-ui-console0] locklock-timeout 1

配置各接口IP地址、网络参数、缺省路由。

Eudemon防火墙连接Trust、DMZ和Untrust三个安全区域，因此需要配置相关连接接口的IP地址、链路层、网络层、路由的参数，从而实现Eudemon网络层与其他设备互通。

[Eudemon] interface ethernet 0/0/0

[Eudemon-Ethernet0/0/0] ip address 10.110.1.11 255.255.255.0

[Eudemon-Ethernet0/0/0] quit

[Eudemon] interface ethernet 1/0/0

[Eudemon-Ethernet1/0/0] ip address 202.38.160.1 255.255.0.0

[Eudemon-Ethernet1/0/0] quit

[Eudemon] interface ethernet 2/0/0

[Eudemon-Ethernet2/0/0] ip address 10.110.5.11 255.255.255.0

[Eudemon-Ethernet2/0/0] quit

[Eudemon] ip route-static 0.0.0.0 0.0.0.0 202.38.160.15 到外网网关

[Eudemon] ip route-static 10.110.1.0 255.255.255.0 10.110.1.2 到三层

第三步：创建或配置安全区域，为安全区域增加隶属接口。

Eudemon防火墙三个Ethernet接口分别连接Trust、DMZ和Untrust三个系统保留的安全区域，因此仅需要为安全区域增加隶属的接口即可。

[Eudemon] firewall zone trust

[Eudemon-zone-trust] add interface ethernet 0/0/0

[Eudemon-zone-trust] quit

[Eudemon] firewall zone dmz

[Eudemon-zone-dmz] add interface ethernet 2/0/0

[Eudemon-zone-dmz] quit

[Eudemon] firewall zone untrust

[Eudemon-zone-untrust] add interface ethernet 1/0/0

[Eudemon-zone-untrust] quit

NAT地址转换机制是将内部主机IP地址替换为外部地址，提供私有地址与公有地址之间的转换。NAT实现了内部私有网络访问外部Internet网络的功能，有助于减缓可用IP地址空间枯竭的速度，同时屏蔽了内部网络，提高了信息传输的安全性。

Eudemon防火墙通过定义地址池，并用地址池中的地址作为转换后的外部地址来实现多对多地址转换，利用ACL规则来对地址转换进行控制。

必须已经完成“上面的配置。

第一步：配置NAT地址池1，地址范围是202.110.1.241-202.110.1.254。

[Eudemon] nataddress-group 1 202.110.1.241 202.110.1.254 （固定IP的地址段）

第二步：配置ACL规则2010，仅允许Trust区域10.110.1.0/24网段中的任意主机访问其他网络，禁止其它网段主机的对外访问。

[Eudemon] acl number 2010

[Eudemon-acl-basic-2010] rule 0 permit source 10.110.1.0 0.0.0.255

[Eudemon-acl-basic-2010] rule 1 deny any

第三步：在安全区域之间使用配置好的NAT地址池。

[Eudemon] firewall interzone trust untrust

[Eudemon-interzone-trust-untrust] nat outbound 2010 address-group 1

按照上述步骤进行配置后，正常情况下，应达到以下测试结果：

l Trust区域内任意主机10.110.1.1能通过Eudemon防火墙访问外部网络，即能ping通Internet用户202.12.7.7。

l 反方向，Internet用户202.12.7.7不能主动访问Trust区域内主机，即不能ping通Trust区域内的主机10.110.1.1。

配置包过滤

包过滤机制主要实现对IP数据包的过滤。对Eudemon需要转发的数据包，先获取数据包的包头信息（上层协议号、源地址、目的地址、源端口、目的端口等），

然后和已定义的ACL规则进行比较，根据比较的结果来决定转发还是丢弃该数据包。

必须已经完成“第3章 Eudemon的简单配置”中的配置，并确保Eudemon和其他设备互通，并且配置安全区域间的包过滤规则。

第一步：根据安全过滤需要，配置各种ACL规则。

[Eudemon] acl number 3101

[Eudemon-acl-adv-3101] rule permit ip source 10.110.1.0 0.0.0.255destination any

[Eudemon-acl-adv-3101] rule deny ip

[Eudemon] acl number 3102

[Eudemon-acl-adv-3102] rule permit ip source 202.12.7.7 0 destination10.110.5.100 0

[Eudemon-acl-adv-3102] rule permit ip source 202.12.7.7 0 destination10.110.5.101 0

[Eudemon-acl-adv-3102] rule deny ip

第二步：在安全区域之间应用配置好的ACL规则。

[Eudemon] firewall interzone trust untrust

[Eudemon-Interzone-trust-untrust] packet-filter 3101 outbound

[Eudemon] firewall interzone trust dmz

[Eudemon-Interzone-trust-dmz] packet-filter 3101 outbound

[Eudemon] firewall interzone untrust dmz

[Eudemon-Interzone-dmz-untrust] packet-filter 3102 inbound

按照上述步骤进行配置后，正常情况下，应达到以下测试结果：

l Trust区域内主机能正常通过FTP或WWW方式访问DMZ区域中的服务器，并能访问Untrust区域内的任意主机。

l DMZ区域内的服务器不能随意访问Trust和Untrust区域中的主机。

l Untrust区域中的特定主机能访问DMZ区域中的指定服务器外，但是无法访问该区域内的其他服务器。

l Untrust区域内的其他主机都不能访问DMZ区域和Trust区域。