【正文】 作命令文件系統(tǒng)的提示方式file prompt { alert | quiet } 文件系統(tǒng)使用舉例 顯示當前目錄下的文件信息，其中fl為flash：/目錄下的子目錄。請在用戶視圖下進行下列操作，其中execute命令在系統(tǒng)視圖下執(zhí)行操作。請注意文件全名最多支持48字節(jié)，硬盤可支持49字節(jié)，超長文件名將導(dǎo)致您不能正常進行文件系統(tǒng)操作。此處不再贅述。表128 VPN Manager系統(tǒng)運行平臺軟件要求服務(wù)器UNIX平臺Solaris 8 + Windows平臺Windows 2000 Server + SQL Server 2000客戶端Windows 2000 Professional + Internet / 3. VPN Manager提供的服務(wù)VPN Manager能夠在以下幾個方面為VPN業(yè)務(wù)提供便利的服務(wù)：l 資源（包括網(wǎng)絡(luò)、設(shè)備、接口等）的增加、修改和刪除；l 業(yè)務(wù)的規(guī)劃、部署、審計、自動發(fā)現(xiàn)；l 任務(wù)的定制、調(diào)度和日志；l 網(wǎng)絡(luò)性能/故障監(jiān)控。用戶能夠通過該組件對華為公司以及其他公司的部分產(chǎn)品進行IPSec VPN的配置和維護。[Eudemon] acl number 2001[Eudemonaclbasic2001] rule 0 permit 進入域間模式，配置在域間應(yīng)用ACL規(guī)則2001，并打開ACL對應(yīng)的流日志開關(guān)。[Eudemon] interface Ethernet 2/0/0[EudemonEthernet2/0/0] ip address 配置接口Ethernet 0/0/0加入防火墻Trust域。(2) 組網(wǎng)圖同上圖。[Eudemon] infocenter enable[Eudemon] infocenter loghost language english 打開攻擊防范的端口掃描攻擊開關(guān)，將攻擊的源地址加入黑名單，老化時間為10分鐘。[Eudemon] interface Ethernet 2/0/0[EudemonEthernet2/0/0] ip address 配置接口Ethernet 0/0/0加入防火墻Trust域。表127 日志維護的顯示和調(diào)試操作命令顯示攻擊防范日志緩存的定期掃描時間display firewall logtime defend顯示統(tǒng)計日志緩存的定期掃描時間display firewall logtime statistic 日志典型配置舉例1. 輸出攻擊防范日志到日志主機(1) 組網(wǎng)需求防火墻Eudemon以太網(wǎng)口Ethernet0/0/0配置為Trust域，以太網(wǎng)口E1/0/0配置為Untrust域，以太網(wǎng)口Ethernet2/0/0配置為DMZ區(qū)。請在系統(tǒng)視圖下進行下列配置。 二進制流日志配置二進制流日志的配置包括：l 使能域間二進制流日志輸出開關(guān)l 配置二進制流日志主機地址和接收端口l 配置日志緩存的定期掃描時間間隔1. 使能域間二進制流日志輸出開關(guān)該命令用來打開或關(guān)閉域間二進制流日志的開關(guān)。相比較而言，二進制流日志的傳輸效率高于Syslog。Eudemon防火墻能夠輸出以下幾種日志信息：l 接口UP/DOWN信息l 用戶登錄/退出日志l 命令配置日志l NAT/ASPF日志l 攻擊防范日志l 流量監(jiān)控日志l 黑名單日志l 地址綁定日志2. Eudemon上的日志輸出原理對于上述這些日志，根據(jù)日志輸出方式的不同可以分為二進制流日志、Syslog日志兩種。 說明：綜合配置設(shè)備名稱（facility），嚴重等級閾值（severity），模塊名稱（filter），可以進行相當細致的分類，達到信息篩選的目的。ps ae | grep syslogd147kill HUP 147進行以上操作后，防火墻的相關(guān)信息就可以輸出到相應(yīng)的日志文件中了。l 選擇/動作組合之間必須以一個制表符分隔，而不能輸入空格。下面以SunOS ，其它廠商UNIX操作系統(tǒng)上的配置操作基本與之相同。[Eudemon] infocenter enable 配置控制臺日志輸出，允許PPP模塊的日志輸出，嚴重等級限制為emergencies～debugging。請在用戶視圖下進行下列配置。表121 輸出信息操作命令向Console方向輸出信息infocenter console channel { channelnumber | channelname }向Telnet終端或啞終端輸出信息infocenter monitor channel { channelnumber | channelname }向SNMP輸出信息infocenter snmp channel { channelnumber | channelname }配置日志緩沖區(qū)的大小，配置向日志緩沖區(qū)輸出信息的通道infocenter logbuffer [ channel { channelnumber | channelname } | size buffersize ] *關(guān)閉日志緩沖區(qū)或恢復(fù)默認值undo infocenter logbuffer [ channel | size ]配置向日志主機輸出信息的信息通道以及其它參數(shù)infocenter loghost [ channel { channelnumber | channelname } | facility localnumber | language { chinese | english } ] *取消向日志主機輸出信息undo infocenter loghost 配置告警緩沖區(qū)的大小，配置向告警緩沖區(qū)輸出信息的通道infocenter trapbuffer [ channel { channelnumber | channelname } | size buffersize ] *關(guān)閉告警緩沖區(qū)或恢復(fù)默認值undo infocenter trapbuffer [ channel | size ]目前，系統(tǒng)對每個輸出方向缺省分配一個信息通道，它們是輸出方向 信息通道號 缺省的信息通道名控制臺 0 console監(jiān)視終端 1 monitor日志主機 2 loghost告警緩沖區(qū) 3 trapbuffer日志緩沖區(qū) 4 logbuffersnmp 5 snmpagentamp。l 在防火墻內(nèi)部分配適當大小的告警緩沖區(qū)，用于記錄信息。5. 信息的輸出目前，防火墻主體軟件的信息中心可以在六個方向輸出各種信息：l 通過Console口向本地控制臺輸出信息。channelname是要配置的信息通道名。default代表信息通道中的缺省記錄。因此，當配置嚴重等級閾值為debugging時，所有的信息都會輸出。表117 信息通道的命名操作命令將編號為channelnumber的信息通道命名為channelnameinfocenter channel channelnumber name channelnamechannelnumber是通道號，取值為0～9，即系統(tǒng)有10個通道。表116 開啟/關(guān)閉信息中心功能操作命令開啟信息中心infocenter enable關(guān)閉信息中心undo infocenter enableamp。l 信息在輸出時可以進行中英文選擇。l 信息按重要性劃分為八種等級，可按等級進行信息過濾。表115 補丁軟件升級的顯示操作命令顯示防火墻的補丁信息display patchinformation 信息中心功能 信息中心簡介信息中心是防火墻主體軟件中不可或缺的一部分，它作為防火墻的信息樞紐而存在。請在系統(tǒng)視圖下進行下列配置。表113 調(diào)試開關(guān)的打開、關(guān)閉和顯示操作命令打開協(xié)議調(diào)試開關(guān)debugging { all | modulename [ debugoption1 ] [ debugoption2 ] …} 關(guān)閉協(xié)議調(diào)試開關(guān)undo debugging { all | modulename [ debugoption1 ] [ debugoption2 ] … }顯示已經(jīng)打開的調(diào)試開關(guān)display debugging [ interface { interfacetype interfacenumber } ] [ modulename ]具體調(diào)試命令的使用和調(diào)試信息的格式介紹參見相關(guān)章節(jié)。l 屏幕輸出開關(guān)，控制是否在某個用戶屏幕上輸出調(diào)試信息。Eudemon tracert traceroute to (), 30 hops max, 56 byte packet1 () 19 ms 19 ms 0 ms2 () 39 ms 39 ms 19 ms3 () 39 ms 40 ms 39 ms4 () 39 ms 39 ms 39 ms5 () 40 ms 59 ms 59 ms6 () 59 ms 59 ms 59 ms7 () 99 ms 99 ms 80 ms8 () 139 ms 239 ms 319 ms9 () 220 ms 199 ms 199 ms10 () 239 ms 239 ms 239 ms從上面結(jié)果可以看出從源主機到目的地都經(jīng)過了哪些網(wǎng)關(guān)，這對于網(wǎng)絡(luò)分析是非常有用的。執(zhí)行這些過程的目的是記錄每一個ICMP TTL超時消息的源地址，以提供一個IP數(shù)據(jù)包到達目的地所經(jīng)歷的路徑。命令執(zhí)行結(jié)果輸出包括：l 對每一ping報文的響應(yīng)情況，如果超時到仍沒有收到響應(yīng)報文，則輸出“Request time out”，否則顯示響應(yīng)報文中數(shù)據(jù)字節(jié)數(shù)、報文序號、TTL和響應(yīng)時間等。請在所有視圖下進行下列操作。l +regularexpression：只輸出匹配指定正則表達式的所有行。l exclude：輸出不匹配指定正則表達式的所有行。使用時注意，逗號與n和m之間不能有空格例如：^ip：匹配以字符串“ip”開始的目標對象。為幫助用戶靈活地構(gòu)建匹配模式，正則表達式提供了一些具有特殊含義的專用字符，也稱為“元字符”（metacharacter），用來規(guī)定其它字符在目標對象中的出現(xiàn)模式。表18 系統(tǒng)基本配置及管理操作命令配置防火墻名稱sysname sysname配置系統(tǒng)時鐘clock datetime HH:MM:SS YYYY/MM/DD 正則表達式的使用1. 正則表達式的介紹正則表達式是一種可用于模式匹配和替換的工具，它的功能強大，使用也很靈活。表16 查看啟動使用的文件信息操作命令查看啟動使用的文件信息display startup4. 比較配置文件請在用戶視圖下進行下列操作。表14 配置下次啟動時的系統(tǒng)軟件文件名操作命令配置下次啟動時的系統(tǒng)軟件文件名startup systemsoftware sysfile缺省情況下，配置主控板下次啟動時使用的系統(tǒng)軟件文件名。l 發(fā)現(xiàn)配置文件遭到破壞，如加載了錯誤的配置文件。 說明：配置文件的顯示格式與保存格式相同。 查看防火墻的當前配置和起始配置防火墻上電時，從默認存儲路徑中讀取配置文件進行防火墻的初始化工作，因此該配置文件中的配置稱為起始配置，如果默認存儲路徑中沒有配置文件，則防火墻用缺省參數(shù)初始化。l 命令的組織以命令視圖為基本框架，同一命令視圖的命令組織在一起，形成一節(jié)，節(jié)與節(jié)之間通常用空行或注釋行隔開（以開始的為注釋行）。l 為了節(jié)省空間，只保存非缺省的參數(shù)（各配置參數(shù)的缺省值請詳見以后各章節(jié)）。l 以return為結(jié)束。表11 查看防火墻配置操作命令查看防火墻的起始配置display savedconfiguration查看防火墻的當前配置display currentconfiguration查看防火墻的技術(shù)信息display diagnosticinformation顯示當前視圖的配置信息display thisamp。表12 保存當前配置操作命令保存當前配置save 擦除配置文件用reset savedconfiguration命令可以擦除防火墻當前存儲設(shè)備中的配置文件，配置文件被擦除后，防火墻下次上電將采用缺省的配置參數(shù)進行初始化，在以下幾種情況時，需要擦除存儲設(shè)備中的配置文件：l 在防火墻軟件升級之后，可能會引起防火墻軟件和配置文件不匹配。表13 擦除存儲設(shè)備中的配置文件操作命令擦除配置文件reset savedconfiguration 配置文件使用1. 配置下次啟動時的系統(tǒng)軟件文件名請在用戶視圖下進行下列配置。3. 查看啟動使用的文件信息在完成上述配置后，在所有視圖下執(zhí)行display命令可以顯示配置文件的運行情況，通過查看顯示信息驗證配置的效果。請在用戶視圖下進行clock命令的操作。最簡單的正則表達式不包含任何元字符，例如，可以規(guī)定一個正則表達式hello，它只匹配字