【正文】 戶的訪問。請?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。Eudemon copy flash:/第三步：配置ACL規(guī)則，允許從Eudemon防火墻到遠(yuǎn)端PC（FTP Server）的FTP報(bào)文通過，并在Untrust和Local區(qū)域間的出方向上應(yīng)用ACL規(guī)則。2. Eudemon作為FTP Server的FTP連接舉例amp。C:\WINDOWS\Desktop ftp Connected to .220 FTP service ready.User (:(none)): ftpuser331 Password required for ftpuser.Password:******230 User logged in.第七步：在遠(yuǎn)端PC機(jī)上，配置采用二進(jìn)制傳輸格式，并使用get命令將VRP軟件下載到PC機(jī)進(jìn)行備份。TFTP傳輸文件有兩種模式：一種是二進(jìn)制模式，用于傳輸程序文件；另一種是ASCII碼模式，用于傳輸文本文件。[Eudemon] tftpserver acl 2001 XModem協(xié)議配置 XModem協(xié)議簡介XModem協(xié)議是一種文件傳輸協(xié)議，因其簡單性和較好的性能而被廣泛應(yīng)用。 XModem協(xié)議配置請?jiān)谟脩粢晥D下進(jìn)行下列操作。對已經(jīng)存在的同名文件，覆蓋前會(huì)給出提示信息。XModem協(xié)議傳輸由接收程序和發(fā)送程序完成。表28 用TFTP下載文件操作命令用TFTP下載文件tftp get sourcefilename [ destinationfilename ] 。ftp put system第九步：待文件上載完畢后，使用reboot命令重新啟動(dòng)Eudemon防火墻，升級完成。配置思路：首先在Eudemon防火墻上配置允許FTP報(bào)文通過的ACL規(guī)則等相關(guān)信息，并參照本手冊“入門”部分“ 實(shí)現(xiàn)設(shè)備和Eudemon防火墻互相ping通”的描述實(shí)現(xiàn)PC和Eudemon之間互相ping通，然后啟動(dòng)Eudemon防火墻的FTP Server功能，操作步驟如下：第一步：微機(jī)（PC機(jī)或終端）通過RS232串口連接Eudemon防火墻Console接口，Eudemon防火墻Ethernet1/0/0連接到Internet，遠(yuǎn)端PC機(jī)也連接到Internet。第五步：從Eudemon防火墻（FTP Client）向PC機(jī)（FTP Server）建立FTP連接，輸入用戶名ftpuser和口令ftppwd。表27 FTP服務(wù)器的顯示和調(diào)試命令操作命令查看FTP服務(wù)器display ftpserver查看登錄的FTP用戶display ftpuserdisplay ftpserver命令顯示當(dāng)前FTP服務(wù)器的配置情況，包括FTP服務(wù)器支持的最大用戶數(shù)和超時(shí)斷連時(shí)間。2. 配置FTP服務(wù)器的驗(yàn)證和授權(quán)FTP服務(wù)器的授權(quán)信息包含提供給FTP用戶的工作目錄的路徑。系統(tǒng)提供的FTP服務(wù)包括：l FTP Server服務(wù)，用戶可以運(yùn)行FTP客戶端程序登錄到防火墻上，訪問防火墻上的文件。請?jiān)谟脩粢晥D下進(jìn)行下列操作，其中execute命令在系統(tǒng)視圖下執(zhí)行操作。此處不再贅述。用戶能夠通過該組件對華為公司以及其他公司的部分產(chǎn)品進(jìn)行IPSec VPN的配置和維護(hù)。[Eudemon] interface Ethernet 2/0/0[EudemonEthernet2/0/0] ip address 配置接口Ethernet 0/0/0加入防火墻Trust域。[Eudemon] infocenter enable[Eudemon] infocenter loghost language english 打開攻擊防范的端口掃描攻擊開關(guān)，將攻擊的源地址加入黑名單，老化時(shí)間為10分鐘。表127 日志維護(hù)的顯示和調(diào)試操作命令顯示攻擊防范日志緩存的定期掃描時(shí)間display firewall logtime defend顯示統(tǒng)計(jì)日志緩存的定期掃描時(shí)間display firewall logtime statistic 日志典型配置舉例1. 輸出攻擊防范日志到日志主機(jī)(1) 組網(wǎng)需求防火墻Eudemon以太網(wǎng)口Ethernet0/0/0配置為Trust域，以太網(wǎng)口E1/0/0配置為Untrust域，以太網(wǎng)口Ethernet2/0/0配置為DMZ區(qū)。 二進(jìn)制流日志配置二進(jìn)制流日志的配置包括：l 使能域間二進(jìn)制流日志輸出開關(guān)l 配置二進(jìn)制流日志主機(jī)地址和接收端口l 配置日志緩存的定期掃描時(shí)間間隔1. 使能域間二進(jìn)制流日志輸出開關(guān)該命令用來打開或關(guān)閉域間二進(jìn)制流日志的開關(guān)。Eudemon防火墻能夠輸出以下幾種日志信息：l 接口UP/DOWN信息l 用戶登錄/退出日志l 命令配置日志l NAT/ASPF日志l 攻擊防范日志l 流量監(jiān)控日志l 黑名單日志l 地址綁定日志2. Eudemon上的日志輸出原理對于上述這些日志，根據(jù)日志輸出方式的不同可以分為二進(jìn)制流日志、Syslog日志兩種。ps ae | grep syslogd147kill HUP 147進(jìn)行以上操作后，防火墻的相關(guān)信息就可以輸出到相應(yīng)的日志文件中了。下面以SunOS ，其它廠商UNIX操作系統(tǒng)上的配置操作基本與之相同。請?jiān)谟脩粢晥D下進(jìn)行下列配置。l 在防火墻內(nèi)部分配適當(dāng)大小的告警緩沖區(qū)，用于記錄信息。channelname是要配置的信息通道名。因此，當(dāng)配置嚴(yán)重等級閾值為debugging時(shí)，所有的信息都會(huì)輸出。表116 開啟/關(guān)閉信息中心功能操作命令開啟信息中心infocenter enable關(guān)閉信息中心undo infocenter enableamp。l 信息按重要性劃分為八種等級，可按等級進(jìn)行信息過濾。請?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。l 屏幕輸出開關(guān)，控制是否在某個(gè)用戶屏幕上輸出調(diào)試信息。執(zhí)行這些過程的目的是記錄每一個(gè)ICMP TTL超時(shí)消息的源地址，以提供一個(gè)IP數(shù)據(jù)包到達(dá)目的地所經(jīng)歷的路徑。請?jiān)谒幸晥D下進(jìn)行下列操作。l exclude：輸出不匹配指定正則表達(dá)式的所有行。為幫助用戶靈活地構(gòu)建匹配模式，正則表達(dá)式提供了一些具有特殊含義的專用字符，也稱為“元字符”（metacharacter），用來規(guī)定其它字符在目標(biāo)對象中的出現(xiàn)模式。表16 查看啟動(dòng)使用的文件信息操作命令查看啟動(dòng)使用的文件信息display startup4. 比較配置文件請?jiān)谟脩粢晥D下進(jìn)行下列操作。l 發(fā)現(xiàn)配置文件遭到破壞，如加載了錯(cuò)誤的配置文件。 查看防火墻的當(dāng)前配置和起始配置防火墻上電時(shí)，從默認(rèn)存儲(chǔ)路徑中讀取配置文件進(jìn)行防火墻的初始化工作，因此該配置文件中的配置稱為起始配置，如果默認(rèn)存儲(chǔ)路徑中沒有配置文件，則防火墻用缺省參數(shù)初始化。l 為了節(jié)省空間，只保存非缺省的參數(shù)（各配置參數(shù)的缺省值請?jiān)斠娨院蟾髡鹿?jié)）。表11 查看防火墻配置操作命令查看防火墻的起始配置display savedconfiguration查看防火墻的當(dāng)前配置display currentconfiguration查看防火墻的技術(shù)信息display diagnosticinformation顯示當(dāng)前視圖的配置信息display thisamp。表13 擦除存儲(chǔ)設(shè)備中的配置文件操作命令擦除配置文件reset savedconfiguration 配置文件使用1. 配置下次啟動(dòng)時(shí)的系統(tǒng)軟件文件名請?jiān)谟脩粢晥D下進(jìn)行下列配置。請?jiān)谟脩粢晥D下進(jìn)行clock命令的操作。匹配連續(xù)出現(xiàn)的次數(shù)為n～m次。l regularexpression：輸出不匹配指定正則表達(dá)式的所有行。表111 ping命令操作命令支持IP協(xié)議pingping [ a ] [ c count ] [ d ] [ h ttl_value ] [ i {interfacetype interfacenumber } ] [ ip ] [ n ] [ p pattern ] [ q ] [ r ] [ s packetsize ] [ t timeout ] [ tos tos ] [ v ] [ vpninstance vpninstancename ] host各選項(xiàng)及參數(shù)意義詳見命令參考手冊ping命令章節(jié)。下面是應(yīng)用tracert分析網(wǎng)絡(luò)情況的例子。打開顯示終端的操作請參見“ 顯示終端的配置”。請?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。l 系統(tǒng)由眾多的協(xié)議模塊、單板驅(qū)動(dòng)程序、配置模塊構(gòu)成，信息可按來源模塊進(jìn)行劃分，可按模塊進(jìn)行信息過濾。2. 信息通道的命名請?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。表120 定義信息通道的內(nèi)容操作命令向信息通道中添加記錄infocenter source { modulename | default } { channel { channelnumber | channelname} } [ log { state { on | off } | level severity }* | trap { state { on | off } | level severity } * | debug { state { on | off } | level severity }* ]*刪除信息通道中的記錄undo infocenter source { modulename | default } { channel { channelnumber | channelname }modulename是模塊名。 注意：同時(shí)有多個(gè)Telnet用戶或啞終端用戶時(shí)，各個(gè)用戶之間共享一些配置參數(shù)，其中包括按模塊過濾配置，中英文選擇，嚴(yán)重等級閾值，某一個(gè)用戶改變這些配置時(shí)，在別的用戶端也有所反映。請?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。 信息中心配置舉例1. 控制臺(tái)信息輸出配置舉例 開啟信息系統(tǒng)。 說明：在編輯/etc/：l 注釋只允許獨(dú)立成行，并以字符開頭。amp。相反，NAT/ASPF產(chǎn)生的日志信息量很大，因此對于這種類型的流提供了一種“二進(jìn)制”輸出方式，直接輸出到日志服務(wù)器上以便對日志進(jìn)行存儲(chǔ)和分析，無需Eudemon上的信息中心模塊的參與。2. 配置二進(jìn)制流日志主機(jī)地址和接收端口該命令用來配置接收二進(jìn)制流日志的日志主機(jī)地址和接收端口。[Eudemon] interface Ethernet 1/0/0[EudemonEthernet1/0/0] ip address 配置防火墻接口Etherent 2/0/0。2. 輸出二進(jìn)制流日志到日志主機(jī)(1) 組網(wǎng)需求防火墻Eudemon以太網(wǎng)口Ethernet0/0/0配置為Trust域，以太網(wǎng)口Ethernet1/0/0配置為Untrust域，以太網(wǎng)口Ethernet1/1/0配置為DMZ區(qū)。[Eudemon] firewall zone dmz[Eudemonzonedmz] add interface Ethernet 2/0/0 配置ACL規(guī)則。(2) 軟件環(huán)境VPN Manager系統(tǒng)基于iMAP平臺(tái)，操作系統(tǒng)支持Windows 2000 Server或Solaris 8系統(tǒng)，數(shù)據(jù)庫支持Sybase0或SQL Server 2000。文件系統(tǒng)是指對存儲(chǔ)設(shè)備中的文件、目錄的管理，包括創(chuàng)建文件系統(tǒng)，創(chuàng)建、刪除、修改、更名文件和目錄，以及顯示文件的內(nèi)容，請?jiān)谟脩粢晥D下執(zhí)行。請?jiān)谙到y(tǒng)視圖下進(jìn)行下列操作。用戶作為FTP客戶端與遠(yuǎn)程服務(wù)器連接，并鍵入FTP客戶端的命令來進(jìn)行相應(yīng)的操作，例如：建立、刪除目錄等。FTP服務(wù)器的驗(yàn)證和授權(quán)配置舉例： 配置FTP用戶名為testuser，口令為huawei（明文），授權(quán)工作目錄為flash:/（防火墻文件系統(tǒng)支持的路徑名） 在AAA視圖下，配置FTP用戶的驗(yàn)證信息。 說明：如果從遠(yuǎn)端PC機(jī)對Eudemon防火墻進(jìn)行升級，且PC機(jī)沒有經(jīng)過NAT地址轉(zhuǎn)換，則可以將Eudemon防火墻作為FTP Client完成軟件升級，此時(shí)配置比較簡單。[ftp] get system第八步：待文件上載完畢后，使用reboot命令重新啟動(dòng)Eudemon防火墻，升級完成。Eudemon systemview[Eudemon] acl number 3101[Eudemonacladv3101] rule permit tcp source 0 destination 0[Eudemon] firewall interzone untrust local[Eudemoninterzonelocaluntrust] packetfilter 3101 inbound第四步：使能FTP服務(wù)，并配置FTP登錄用戶名/口令和FTP文檔存儲(chǔ)路徑。TFTP協(xié)議一般在UDP的基礎(chǔ)上實(shí)現(xiàn)。Eudemon tftp put flash:/ 3. 配置相應(yīng)的訪問控制列表該配置任務(wù)用來配置TFTP服務(wù)器訪問控制列表，即與acl命令配置的訪問控制列表相關(guān)聯(lián)，實(shí)現(xiàn)對遠(yuǎn)端TFTP服務(wù)器地址的訪問控制。發(fā)送程序的功能自動(dòng)包含在超級終端中。211Quidway Eudemon 500/1000 防火墻 操作手冊（系統(tǒng)管理）第3章 NTP配置第3章 NTP配置 NTP協(xié)議簡介網(wǎng)絡(luò)時(shí)間協(xié)議（Network Time Protocol，簡稱NTP）是用來在整個(gè)網(wǎng)