【正文】 發(fā)送程序的功能自動包含在超級終端中。TFTP協(xié)議一般在UDP的基礎上實現(xiàn)。[ftp] get system第八步：待文件上載完畢后，使用reboot命令重新啟動Eudemon防火墻，升級完成。FTP服務器的驗證和授權配置舉例： 配置FTP用戶名為testuser，口令為huawei（明文），授權工作目錄為flash:/（防火墻文件系統(tǒng)支持的路徑名） 在AAA視圖下，配置FTP用戶的驗證信息。請在系統(tǒng)視圖下進行下列操作。(2) 軟件環(huán)境VPN Manager系統(tǒng)基于iMAP平臺，操作系統(tǒng)支持Windows 2000 Server或Solaris 8系統(tǒng)，數(shù)據(jù)庫支持Sybase0或SQL Server 2000。2. 輸出二進制流日志到日志主機(1) 組網(wǎng)需求防火墻Eudemon以太網(wǎng)口Ethernet0/0/0配置為Trust域，以太網(wǎng)口Ethernet1/0/0配置為Untrust域，以太網(wǎng)口Ethernet1/1/0配置為DMZ區(qū)。2. 配置二進制流日志主機地址和接收端口該命令用來配置接收二進制流日志的日志主機地址和接收端口。amp。 信息中心配置舉例1. 控制臺信息輸出配置舉例 開啟信息系統(tǒng)。 注意：同時有多個Telnet用戶或啞終端用戶時，各個用戶之間共享一些配置參數(shù)，其中包括按模塊過濾配置，中英文選擇，嚴重等級閾值，某一個用戶改變這些配置時，在別的用戶端也有所反映。2. 信息通道的命名請在系統(tǒng)視圖下進行下列配置。請在系統(tǒng)視圖下進行下列配置。下面是應用tracert分析網(wǎng)絡情況的例子。l regularexpression：輸出不匹配指定正則表達式的所有行。請在用戶視圖下進行clock命令的操作。表11 查看防火墻配置操作命令查看防火墻的起始配置display savedconfiguration查看防火墻的當前配置display currentconfiguration查看防火墻的技術信息display diagnosticinformation顯示當前視圖的配置信息display thisamp。 查看防火墻的當前配置和起始配置防火墻上電時，從默認存儲路徑中讀取配置文件進行防火墻的初始化工作，因此該配置文件中的配置稱為起始配置，如果默認存儲路徑中沒有配置文件，則防火墻用缺省參數(shù)初始化。表16 查看啟動使用的文件信息操作命令查看啟動使用的文件信息display startup4. 比較配置文件請在用戶視圖下進行下列操作。l exclude：輸出不匹配指定正則表達式的所有行。執(zhí)行這些過程的目的是記錄每一個ICMP TTL超時消息的源地址，以提供一個IP數(shù)據(jù)包到達目的地所經(jīng)歷的路徑。請在系統(tǒng)視圖下進行下列配置。表116 開啟/關閉信息中心功能操作命令開啟信息中心infocenter enable關閉信息中心undo infocenter enableamp。channelname是要配置的信息通道名。請在用戶視圖下進行下列配置。ps ae | grep syslogd147kill HUP 147進行以上操作后，防火墻的相關信息就可以輸出到相應的日志文件中了。 二進制流日志配置二進制流日志的配置包括：l 使能域間二進制流日志輸出開關l 配置二進制流日志主機地址和接收端口l 配置日志緩存的定期掃描時間間隔1. 使能域間二進制流日志輸出開關該命令用來打開或關閉域間二進制流日志的開關。[Eudemon] infocenter enable[Eudemon] infocenter loghost language english 打開攻擊防范的端口掃描攻擊開關，將攻擊的源地址加入黑名單，老化時間為10分鐘。用戶能夠通過該組件對華為公司以及其他公司的部分產(chǎn)品進行IPSec VPN的配置和維護。請在用戶視圖下進行下列操作，其中execute命令在系統(tǒng)視圖下執(zhí)行操作。2. 配置FTP服務器的驗證和授權FTP服務器的授權信息包含提供給FTP用戶的工作目錄的路徑。第五步：從Eudemon防火墻（FTP Client）向PC機（FTP Server）建立FTP連接，輸入用戶名ftpuser和口令ftppwd。ftp put system第九步：待文件上載完畢后，使用reboot命令重新啟動Eudemon防火墻，升級完成。XModem協(xié)議傳輸由接收程序和發(fā)送程序完成。 XModem協(xié)議配置請在用戶視圖下進行下列操作。TFTP傳輸文件有兩種模式：一種是二進制模式，用于傳輸程序文件；另一種是ASCII碼模式，用于傳輸文本文件。2. Eudemon作為FTP Server的FTP連接舉例amp。請在系統(tǒng)視圖下進行下列配置。Eudemon copy flash：/fl/ flash:/Copy flash：/fl/ to flash:/ ?[Y/N]:y% Copyed file flash：/fl/ flash:/ 顯示當前目錄下的文件信息，可以看到文件已經(jīng)被拷貝至指定目錄下了。 注意：由于VPN Manager不支持多實例，當防火墻配置多實例功能時，VPN Manager將不能使用。[Eudemon] interface Ethernet 0/0/0[EudemonEthernet0/0/0] ip address 配置防火墻接口Etherent 1/0/0。表126 配置日志緩存的定期掃描時間間隔操作命令配置日志緩沖區(qū)的掃描時間間隔firewall { defend | statistic } logtime value恢復日志緩沖區(qū)掃描時間間隔為缺省值undo firewall { defend | statistic } logtime 日志維護的顯示和調(diào)試防火墻首先將生成的日志信息存入日志緩存中，再由防火墻定期掃描該日志緩存，將特定的日志信息按照不同的輸出通道輸出日志信息。對日志內(nèi)容的分析和歸檔，能夠使管理員檢查防火墻的安全漏洞、什么時候有什么人試圖違背安全策略、網(wǎng)絡攻擊的類型，實時的日志記錄還可以用來檢測正在進行的入侵。[Eudemon] infocenter enable ，配置嚴重等級限制為emergencies～informational，輸出語言為英文，允許輸出信息的模塊為PPP和IP，使用UNIX設備Local4。l 在防火墻內(nèi)部分配適當大小的日志緩沖區(qū)，用于記錄信息。通道0～5系統(tǒng)指定了缺省名，如下表：表118 通道的缺省名channelnumber（通道號）channelname（通道名）0console1monitor2loghost3trapbuffer4logbuffer5snmpagent3. 信息嚴重等級（severity）信息中心按信息的嚴重等級或緊急程度劃分為八個等級，在按等級來進行信息過濾時，采用的規(guī)則是：禁止嚴重等級大于所配置閾值的信息輸出。它通過與debug程序的結(jié)合，為網(wǎng)絡管理員和開發(fā)人員監(jiān)控網(wǎng)絡運行情況和診斷網(wǎng)絡故障提供了強有力的支持。 系統(tǒng)調(diào)試功能系統(tǒng)的命令行接口提供了種類豐富的調(diào)試功能，對于防火墻所支持的各種協(xié)議和功能，基本上都提供了相應的調(diào)試功能，可以幫助用戶對錯誤進行診斷和定位。t change the configuration please ip address interface Ethernet1/0/0interface Ethernet1/2/0interface Serial0/1/0/1:1 linkprotocol ppp ip address interface Pos0/0/0interface NULL0當出現(xiàn)分屏提示符“ More ”時，用戶可以手工輸入正則表達式，對待顯示的內(nèi)容進行過濾，在本例中，指定只輸出含有字符串“interface”的行： More +interface 由用戶手工輸入filteringinterface LoopBack0userinterface con 0userinterface vty 0 14Eudemon 系統(tǒng)狀態(tài)信息收集利用display命令可以收集系統(tǒng)狀態(tài)信息，根據(jù)功能可以劃分為以下幾類：l 顯示系統(tǒng)配置信息的命令l 顯示系統(tǒng)運行狀態(tài)的命令有關各協(xié)議和各種接口的display命令請參見相關章節(jié)。在使用正則表達式時，用戶需要根據(jù)一定的規(guī)則構(gòu)建匹配模式，然后將匹配模式與目標對象進行匹配。請在用戶視圖下進行下列操作。空行或注釋行可以是一行或多行。2. 配置下次啟動時的配置文件名請在用戶視圖下進行下列配置。ip$：匹配以字符串“ip”結(jié)束的目標對象。l 最后的統(tǒng)計信息，包括發(fā)送報文數(shù)、接收報文數(shù)、未響應報文百分比和響應時間的最小、最大和平均值。amp。l 每個信息的頭部由固定的部分組成，包括時間戳、信息來源的模塊、信息級別、信息來源的槽號、信息摘要等。level配置信息級別，禁止信息級別大于所配置的severity的信息輸出。 說明：六個輸出方向的配置相互獨立，但首先需要開啟信息中心，配置才會生效。l 在文件名之后不得有多余的空格。Eudemon500/1000只支持二進制流日志。[Eudemon] firewall zone trust[Eudemonzonetrust] add interface Ethernet 0/0/0 配置接口Ethernet 1/0/0加入防火墻Untrust域。[Eudemon] firewall interzone trust untrust[Eudemoninterzonetrustuntrust] packetfilter 2001 inbound [Eudemoninterzonetrustuntrust] packetfilter 2001 outbound [Eudemoninterzonetrustuntrust] session log enable aclnumber 2001 inbound 配置二進制流日志輸出格式，并配置日志主機的IP地址和接收日志端口。 目錄操作文件系統(tǒng)可以創(chuàng)建并刪除目錄，以及顯示當前的工作目錄，顯示指定目錄下的文件或目錄信息。請在系統(tǒng)視圖下進行下列配置。組網(wǎng)如下圖所示：圖28 Eudemon作為FTP Client的組網(wǎng)第二步：在Eudemon防火墻的Flash中。[Eudemonaaa] authenticationscheme ftpuser[Eudemonaaaauthenftpuser] authenticationmode local[Eudemonaaaauthenftpuser] quit[Eudemonaaa] quit[Eudemon] userinterface vty 0[Eudemonuivty0] authenticationmode aaa第六步：從遠端PC機（FTP Client）向Eudemon防火墻（FTP Server）發(fā)起FTP連接。表210 配置訪問控制列表操作命令指定可以訪問TFTP服務器的訪問控制列表tftpserver acl aclnumber刪除配置的訪問控制列表undo tftpserver acl 配置可以訪問TFTP服務器的訪問控制列表號為2001。 使用XModem協(xié)議從AUX口接收文件，接收的文件保存在flash上。Eudemon tftp get hda1:/2. 上傳文件請在用戶視圖下進行下列配置。組網(wǎng)如下圖所示：圖29 Eudemon作為FTP Server的組網(wǎng)第二步：在Eudemon防火墻的Flash中。display ftpuser顯示登錄的FTP用戶的詳細情況。l FTP Client服務，用戶在微機上通過終端仿真程序或Telnet程序建立與防火墻的連接后，可以輸入FTP命令建立與遠程FTP Server的連接并訪問遠程主機上的文件。126Quidway Eudemon 500/1000 防火墻 操作手冊（系統(tǒng)管理）第2章 文件管理第2章 文件管理 文件系統(tǒng) 文件系統(tǒng)簡介文件系統(tǒng)實現(xiàn)的主要功能為管理存儲設備，把文件保存在存儲設備中。[Eudemon] firewall zone trust[Eudemonzonetrust] add interface Ethernet 0/0/0 配置接口Ethernet 1/0/0加入防火墻Untrust域。(2) 組網(wǎng)圖圖128 防火墻日志功能配置組網(wǎng)圖(3) 配置步驟 配置防火墻接口Ethernet 0/0/0。日志種類和日志輸出方式之間的對應關系如下圖所示：圖123 Eudemon上的日志輸出原理在Eudemon防火墻中，攻擊防范、流量監(jiān)控、黑名單和地址綁定產(chǎn)生的日志信息量小，因此采用SysLog方式以文本格式進行輸出。 以超級用戶（root）的身份執(zhí)行以下命令 mkdir /var/log/Quidway touch /var/log/Quidway/information 以超級用戶（root）的身份編輯文件/etc/