【正文】 位到六個(gè)輸出方向上去。在信息中心開啟時(shí)，由于信息分類、輸出的原因，特別是在處理信息較多時(shí)，對(duì)系統(tǒng)性能有一定的影響。通道0～5系統(tǒng)指定了缺省名，如下表：表118 通道的缺省名channelnumber（通道號(hào)）channelname（通道名）0console1monitor2loghost3trapbuffer4logbuffer5snmpagent3. 信息嚴(yán)重等級(jí)（severity）信息中心按信息的嚴(yán)重等級(jí)或緊急程度劃分為八個(gè)等級(jí)，在按等級(jí)來進(jìn)行信息過濾時(shí)，采用的規(guī)則是：禁止嚴(yán)重等級(jí)大于所配置閾值的信息輸出。[Eudemon] infocenter source ip channel snmpagent log level warnings4. 定義信息通道的內(nèi)容請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。severity是信息級(jí)別。當(dāng)某一個(gè)模塊在此通道中沒有明確的配置記錄時(shí)，使用這條缺省的配置記錄。l 在防火墻內(nèi)部分配適當(dāng)大小的日志緩沖區(qū)，用于記錄信息。每個(gè)輸出方向通過配置命令指定所需要的通道，所有信息經(jīng)過指定通道的過濾，發(fā)送到相應(yīng)的輸出方向；可根據(jù)需要配置輸出方向所使用的通道，以及配置通道的過濾信息，完成各類信息的過濾以及重定向。6. 配置發(fā)送日志信息的源地址請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。在undo terminal monitor（顯示終端關(guān)閉）的情況下，相當(dāng)于執(zhí)行undo terminal debugging，undo terminal logging，undo terminal trapping命令，所有的調(diào)試/日志/告警信息在本終端都不顯示；在terminal monitor為打開的情況下，可以分別使用terminal debugging/undo terminal debugging，terminal logging/undo terminal logging，terminal trapping/undo terminal trapping打開或關(guān)閉調(diào)試/日志/告警信息。[Eudemon] infocenter enable ，配置嚴(yán)重等級(jí)限制為emergencies～informational，輸出語言為英文，允許輸出信息的模塊為PPP和IP，使用UNIX設(shè)備Local4。 Quidway configuration messages /var/log/Quidway/informationamp。/etc/ loghost和infocenter loghost facility應(yīng)保持一致，否則日志信息可能無法正確輸出到日志主機(jī)上。日志信息的最低級(jí)別為debugging，配置為debugging將導(dǎo)致所有的日志信息都發(fā)送到日志主機(jī)，對(duì)系統(tǒng)性能可能產(chǎn)生影響，因此，通常情況下不建議用戶將日志信息級(jí)別配置為debugging。對(duì)日志內(nèi)容的分析和歸檔，能夠使管理員檢查防火墻的安全漏洞、什么時(shí)候有什么人試圖違背安全策略、網(wǎng)絡(luò)攻擊的類型，實(shí)時(shí)的日志記錄還可以用來檢測正在進(jìn)行的入侵。這些日志信息必須通過VRP平臺(tái)的信息中心進(jìn)行日志管理和輸出重定向，或者顯示在終端屏幕上，或?qū)ysLog日志發(fā)送給日志主機(jī)進(jìn)行存儲(chǔ)和分析。amp。表124 配置域間二進(jìn)制流日志的輸出開關(guān)操作命令打開域間匹配ACL規(guī)則的二進(jìn)制流日志輸出開關(guān)session log enable aclnumber accesslist { inbound | outbound }關(guān)閉域間的二進(jìn)制流日志輸出開關(guān)undo session log enable { inbound | outbound }缺省情況下，二進(jìn)制流日志開關(guān)為關(guān)閉。表126 配置日志緩存的定期掃描時(shí)間間隔操作命令配置日志緩沖區(qū)的掃描時(shí)間間隔firewall { defend | statistic } logtime value恢復(fù)日志緩沖區(qū)掃描時(shí)間間隔為缺省值undo firewall { defend | statistic } logtime 日志維護(hù)的顯示和調(diào)試防火墻首先將生成的日志信息存入日志緩存中，再由防火墻定期掃描該日志緩存，將特定的日志信息按照不同的輸出通道輸出日志信息。[Eudemon] interface Ethernet 0/0/0[EudemonEthernet0/0/0] ip address 配置防火墻接口Etherent 1/0/0。[Eudemon] firewall zone untrust[Eudemonzoneuntrust] add interface Ethernet 1/0/0 配置接口Ethernet 2/0/0加入防火墻DMZ域。[Eudemon] firewall zone trust[Eudemonzonetrust] statistic enable ip outzone可以從Untrust域的PC機(jī)上利用工具（如nmap）對(duì)Trust域的服務(wù)器進(jìn)行端口掃描，防火墻將PC機(jī)的地址加入黑名單，老化時(shí)間為10分鐘，并立即輸出加入黑名單的日志信息，在攻擊防范的掃描時(shí)間到達(dá)后，輸出UDP端口掃描攻擊的日志信息。[Eudemon] interface Ethernet 0/0/0[EudemonEthernet0/0/0] ip address 配置防火墻接口Etherent 1/0/0。[Eudemon] firewall zone untrust[Eudemonzoneuntrust] add interface Ethernet 1/0/0 配置接口Ethernet 2/0/0加入防火墻DMZ域。[Eudemon] firewall session logtype binary host 9002可以從Untrust域的PC機(jī)上對(duì)Trust的服務(wù)器發(fā)起FTP連接，此時(shí)可以看到防火墻輸出了建立的流日志信息。2. VPN Manager的運(yùn)行環(huán)境(1) 硬件環(huán)境VPN Manager可運(yùn)行于以下兩種硬件平臺(tái)上：l 安裝Windows 2000 Server操作系統(tǒng)的PC機(jī)或PC服務(wù)器上；l 安裝Solaris8操作系統(tǒng)的SUN工作站或小型機(jī)上。 注意：由于VPN Manager不支持多實(shí)例，當(dāng)防火墻配置多實(shí)例功能時(shí)，VPN Manager將不能使用。防火墻目前支持的存儲(chǔ)設(shè)備包括FLASH和硬盤。請(qǐng)?jiān)谟脩粢晥D下進(jìn)行下列操作。表23 存儲(chǔ)設(shè)備操作操作命令格式化存儲(chǔ)設(shè)備format filesystem 文件系統(tǒng)提示方式用戶通過命令可以修改當(dāng)前文件系統(tǒng)的提示方式。Eudemon copy flash：/fl/ flash:/Copy flash：/fl/ to flash:/ ?[Y/N]:y% Copyed file flash：/fl/ flash:/ 顯示當(dāng)前目錄下的文件信息，可以看到文件已經(jīng)被拷貝至指定目錄下了。FTP客戶端作為防火墻系統(tǒng)提供給用戶的一個(gè)附加功能，它沒有任何配置功能，是一個(gè)應(yīng)用模塊。表25 啟動(dòng)FTP服務(wù)器操作命令啟動(dòng)FTP服務(wù)器ftp server enable關(guān)閉FTP服務(wù)器undo ftp serverFTP服務(wù)器可同時(shí)支持多個(gè)用戶的訪問。在防火墻系統(tǒng)中，使用本地驗(yàn)證、AAA提供的驗(yàn)證和授權(quán)服務(wù)，來進(jìn)行FTP用戶的驗(yàn)證和授權(quán)。請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。 FTP連接典型舉例1. Eudemon作為FTP Client的FTP連接舉例amp。Eudemon copy flash:/第三步：配置ACL規(guī)則，允許從Eudemon防火墻到遠(yuǎn)端PC（FTP Server）的FTP報(bào)文通過，并在Untrust和Local區(qū)域間的出方向上應(yīng)用ACL規(guī)則。[ftp] binary[ftp] put system backup第七步：使用get命令把最新VRP軟件從PC機(jī)下載到Eudemon防火墻。2. Eudemon作為FTP Server的FTP連接舉例amp。Eudemon copy flash:/第三步：配置ACL規(guī)則，允許從Eudemon防火墻到遠(yuǎn)端PC（FTP Server）的FTP報(bào)文通過，并在Untrust和Local區(qū)域間的入方向上應(yīng)用ACL規(guī)則。C:\WINDOWS\Desktop ftp Connected to .220 FTP service ready.User (:(none)): ftpuser331 Password required for ftpuser.Password:******230 User logged in.第七步：在遠(yuǎn)端PC機(jī)上，配置采用二進(jìn)制傳輸格式，并使用get命令將VRP軟件下載到PC機(jī)進(jìn)行備份。相對(duì)于另一種文件傳輸協(xié)議FTP，TFTP不具有復(fù)雜的交互存取接口和認(rèn)證控制，適用于客戶機(jī)和服務(wù)器之間不需要復(fù)雜交互的環(huán)境，例如在系統(tǒng)啟動(dòng)時(shí)使用TFTP協(xié)議來獲取系統(tǒng)的內(nèi)存映像。TFTP傳輸文件有兩種模式：一種是二進(jìn)制模式，用于傳輸程序文件；另一種是ASCII碼模式，用于傳輸文本文件。表29 用TFTP上傳文件操作命令用TFTP上傳文件tftp put sourcefilename [ destinationfilename ] 。[Eudemon] tftpserver acl 2001 XModem協(xié)議配置 XModem協(xié)議簡介XModem協(xié)議是一種文件傳輸協(xié)議，因其簡單性和較好的性能而被廣泛應(yīng)用。防火墻的平臺(tái)軟件中提供了XModem接收程序功能，可以應(yīng)用在AUX接口上，支持128字節(jié)大小的數(shù)據(jù)包和CRC校驗(yàn)。 XModem協(xié)議配置請(qǐng)?jiān)谟脩粢晥D下進(jìn)行下列操作。Eudemon xmodem get flash:/在命令行執(zhí)行此命令之后，就可以使用超級(jí)終端的發(fā)送功能發(fā)送文件。對(duì)已經(jīng)存在的同名文件，覆蓋前會(huì)給出提示信息。 注意：僅支持在AUX口上實(shí)現(xiàn)該功能，不支持其它的異步串口。XModem協(xié)議傳輸由接收程序和發(fā)送程序完成。請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。表28 用TFTP下載文件操作命令用TFTP下載文件tftp get sourcefilename [ destinationfilename ] 。TFTP協(xié)議傳輸是由客戶端發(fā)起的。ftp put system第九步：待文件上載完畢后，使用reboot命令重新啟動(dòng)Eudemon防火墻，升級(jí)完成。[Eudemon] ftp server enable[Eudemon] aaa[Eudemonaaa] localuser ftpuser password simple ftppwd[Eudemonaaa] localuser ftpuser servicetype ftp[Eudemonaaa] local ftpuser ftpdirectory flash:/第五步：配置本地AAA認(rèn)證，及FTP登錄認(rèn)證（即VTY虛擬線認(rèn)證）。配置思路：首先在Eudemon防火墻上配置允許FTP報(bào)文通過的ACL規(guī)則等相關(guān)信息，并參照本手冊(cè)“入門”部分“ 實(shí)現(xiàn)設(shè)備和Eudemon防火墻互相ping通”的描述實(shí)現(xiàn)PC和Eudemon之間互相ping通，然后啟動(dòng)Eudemon防火墻的FTP Server功能，操作步驟如下：第一步：微機(jī)（PC機(jī)或終端）通過RS232串口連接Eudemon防火墻Console接口，Eudemon防火墻Ethernet1/0/0連接到Internet，遠(yuǎn)端PC機(jī)也連接到Internet。[ftp] quitEudemon rebootamp。第五步：從Eudemon防火墻（FTP Client）向PC機(jī)（FTP Server）建立FTP連接，輸入用戶名ftpuser和口令ftppwd。配置思路：首先在Eudemon防火墻上配置允許FTP報(bào)文通過的ACL規(guī)則等相關(guān)信息，并參照“ NTP協(xié)議配置”描述實(shí)現(xiàn)PC和Eudemon之間互相ping通，操作步驟如下：第一步：微機(jī)（PC機(jī)或終端）通過RS232串口連接Eudemon防火墻Console接口，Eudemon防火墻Ethernet1/0/0連接到Internet，遠(yuǎn)端PC機(jī)也連接到Internet。表27 FTP服務(wù)器的顯示和調(diào)試命令操作命令查看FTP服務(wù)器display ftpserver查看登錄的FTP用戶display ftpuserdisplay ftpserver命令顯示當(dāng)前FTP服務(wù)器的配置情況，包括FTP服務(wù)器支持的最大用戶數(shù)和超時(shí)斷連時(shí)間。[Eudemon] aaa[Eudemonaaa] localuser testuser password simple Huawei[Eudemonaaa] localuser testuser servicetype ftp 在AAA視圖下，配置FTP用戶的授權(quán)信息。2. 配置FTP服務(wù)器的驗(yàn)證和授權(quán)FTP服務(wù)器的授權(quán)信息包含提供給FTP用戶的工作目錄的路徑。 FTP服務(wù)器配置FTP服務(wù)器配置包括：l 啟動(dòng)FTP服務(wù)器l 配置FTP服務(wù)器的驗(yàn)證和授權(quán)l(xiāng) 配置FTP服務(wù)器的運(yùn)行參數(shù)1. 啟動(dòng)FTP服務(wù)器只有啟動(dòng)FTP服務(wù)器功能，F(xiàn)TP客戶端才能登錄到服務(wù)器上，訪問服務(wù)器上的文件。系統(tǒng)提供的FTP服務(wù)包括：l FTP Server服務(wù)，用戶可以運(yùn)行FTP客戶端程序登錄到防火墻上，訪問防火墻上的文件。表24 配置文件系統(tǒng)提示方式操