【正文】 層，其實質(zhì)是把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)用戶之間直接進行的業(yè)務由代理接管。代理防火墻能夠完全控制網(wǎng)絡(luò)信息的交換，控制會話過程，具有較高的安全性，但其缺點同樣突出，主要表現(xiàn)在：l 軟件實現(xiàn)限制了處理速度，易于遭受拒絕服務攻擊；l 需要針對每一種協(xié)議開發(fā)應用層代理，升級很困難。基于連接狀態(tài)的包過濾在進行數(shù)據(jù)包的檢查時，將每個數(shù)據(jù)包看成是獨立單元的同時，還要考慮前后報文的歷史關(guān)聯(lián)性。l 狀態(tài)防火墻在網(wǎng)絡(luò)層截獲數(shù)據(jù)包，然后從各應用層提取出安全策略所需要的狀態(tài)信息，并保存到動態(tài)狀態(tài)表中，通過分析這些狀態(tài)表和與該數(shù)據(jù)包有關(guān)的后續(xù)連接請求來做出恰當決定。狀態(tài)防火墻具有以下優(yōu)點：l 速度快。檢查通過后，該連接狀態(tài)記錄將被刷新，從而避免重復檢查具有相同連接狀態(tài)的包。l 安全性較高。同時，狀態(tài)防火墻采用實時連接狀態(tài)監(jiān)控技術(shù)，通過在狀態(tài)表中識別諸如應答響應等連接狀態(tài)因素，增強了系統(tǒng)的安全性。Eudemon系列防火墻采用專門設(shè)計的高可靠性硬件系統(tǒng)和具有自主知識產(chǎn)權(quán)的專有操作系統(tǒng)，將高效的包過濾功能、透明的代理服務、基于改進的狀態(tài)檢測安全技術(shù)、豐富的統(tǒng)計分析功能、多種安全保障措施集于一身，提供多類型接口和工作模式。 Eudemon500/1000防火墻簡介作為新一代高速狀態(tài)防火墻，Eudemon500/1000為大中型客戶提供了高性價比的網(wǎng)絡(luò)安全保障。采用ASPF狀態(tài)檢測技術(shù)，Eudemon500/1000可對連接過程和有害命令進行監(jiān)測，并協(xié)同ACL完成包過濾。所有這些都有效地保障了網(wǎng)絡(luò)的安全。3. 高可靠性專門設(shè)計的防火墻軟件，每一環(huán)節(jié)均考慮到對各種攻擊的防御，通過優(yōu)先級調(diào)度和流控等手段使得系統(tǒng)具備很好的強壯性。4. 強大的組網(wǎng)和業(yè)務支撐能力Eudemon500/1000防火墻提供集成的高速以太網(wǎng)接口，不僅支持豐富的協(xié)議，、FTP（File Transfer Protocol）、SMTP（Simple Mail Transfer Protocol）等，而且還支持對有害命令的檢測功能。Eudemon500/1000防火墻除了具備各種安全防范功能，提供高效的安全保障能力外，還集成了部分路由能力，如靜態(tài)路由、RIP（Routing Information Protocol）和OSPF（Open Shortest Path First）動態(tài)路由，使得防火墻的組網(wǎng)應用更加靈活。 Eudemon500/1000防火墻功能特性列表表11 Eudemon500/1000防火墻功能特性列表屬性說明安全防范工作模式l 支持路由模式l 支持透明模式l 支持混合模式包過濾l 支持基本ACL、高級ACL、防火墻ACLl 支持時間段ACLl 支持黑名單、MAC和IP地址綁定l 支持應用層包過濾ASPF、提供狀態(tài)檢測l 提供端口映射機制NATl 地址轉(zhuǎn)換（NAT和NAPT）l 提供內(nèi)部服務器l 支持多種NAT ALG，包括FTP、NBT、RAS、ICMP、防范攻擊l 防范多種DoS攻擊：SYS Flood、ICMP Flood、UDP Flood、WinNuke、ICMP重定向和不可達報文、Land、Smurf和Fraggle等l 防范掃描窺探：包括地址掃描、端口掃描、IP源站選路選項、IP路由記錄選項、ICMP探測報文l 防范其它攻擊：IP SpoofingIDS聯(lián)動l IDS聯(lián)動流量監(jiān)控l 支持基于IP的連接速率和連接數(shù)目限制l 支持承諾訪問速率l 支持實時流量統(tǒng)計分析、攻擊報文統(tǒng)計網(wǎng)絡(luò)互連鏈路層協(xié)議l 支持Ethernetl 支持VLANl 支持PPP、PPPoE IP服務l 支持ARPl 支持靜態(tài)域名解析l 支持DHCP中繼路由l 支持靜態(tài)路由l 支持RIP、OSPF、BGP動態(tài)路由l 支持策略路由l 支持路由策略和路由迭代業(yè)務應用AAAl 支持AAA、RADIUS、HWTACACS協(xié)議l 支持AAA域l 支持本地用戶管理QoSl 支持擁塞管理配置與管理命令行接口l 英文和中文的提示和幫助信息l 命令行分級保護，未授權(quán)用戶無法侵入防火墻l 詳盡的調(diào)試信息，幫助診斷網(wǎng)絡(luò)故障l 提供網(wǎng)絡(luò)測試工具，如tracert、ping命令等，迅速診斷網(wǎng)絡(luò)是否正常系統(tǒng)管理l 支持通過FTP方式上載、下載程序/配置文件l 支持通過TFTP方式上載、下載程序/配置文件l 支持通過XModem方式上載程序文件終端服務l 支持Console、AUX接口終端服務l 支持Telnet、SSH終端服務l 支持Send功能，終端用戶之間進行信息互通維護和可靠性可靠性l 支持VRRPl 支持VGMPl 支持HRP熱備份系統(tǒng)管理l 支持標準網(wǎng)管協(xié)議SNMPv1/v2c/v3系統(tǒng)日志l 配合日志服務器進行日志瀏覽和查詢l 統(tǒng)計輸入和輸出的IP報文、NAT日志、ASPF日志、攻擊防范日志、黑名單日志19Quidway Eudemon 500/1000 防火墻 操作手冊（入門）第2章 Eudemon防火墻配置基礎(chǔ)第2章 Eudemon防火墻配置基礎(chǔ) 通過Console接口搭建本地配置環(huán)境 通過Console接口搭建用戶能夠通過Console接口對Eudemon防火墻進行本地配置。當防火墻初次上電、與外部網(wǎng)絡(luò)連接中斷或出現(xiàn)其他異常情況時，則可以采用這種方式配置防火墻。將微機（PC機或終端）的串口通過標準RS232電纜與Eudemon防火墻的Console接口連接，如下圖所示。第五步：鍵入命令，配置Eudemon防火墻或查看Eudemon防火墻運行狀態(tài)，需要聯(lián)機幫助時可以隨時鍵入“?”，關(guān)于具體命令的使用請參考后續(xù)章節(jié)。 說明：通過Console接口配置Eudemon防火墻，通常無需配置認證。 實現(xiàn)設(shè)備和Eudemon防火墻互相ping通配置思路：首先實現(xiàn)從某設(shè)備ping通Eudemon防火墻，再實現(xiàn)從Eudemon防火墻ping通該設(shè)備，操作步驟如下：第一步：微機（PC機或終端）通過RS232串口連接Eudemon防火墻Console接口，Eudemon防火墻Ethernet1/0/0接口通過LAN與Router設(shè)備連接。[Eudemon] interface ethernet 1/0/0[EudemonEthernet1/0/0] ip address 24[EudemonEthernet1/0/0] quit[Eudemon] firewall zone untrust[Eudemonzoneuntrust] add interface ethernet 1/0/0第三步：配置ACL規(guī)則，允許從Router到Eudemon方向的ICMP報文通過。[Eudemon] firewall interzone untrust local[Eudemoninterzonelocaluntrust] packetfilter 3101 inbound 注意：防火墻缺省禁止任何報文通過。否則防火墻將不可用。但是，反向ping操作不通。[Eudemon] acl 3101[Eudemonacladv3101] rule permit icmp source 0 destination 0[Eudemonacladv3101] quit[Eudemon] firewall interzone local untrust[Eudemoninterzonelocaluntrust] packetfilter 3101 outboundamp。第七步：從Eudemon防火墻向Router發(fā)起ping操作，可以通達。組網(wǎng)如下圖所示：圖27 實現(xiàn)跨越Eudemon防火墻的兩個設(shè)備互相ping通的組網(wǎng)第二步：首先參考“ 實現(xiàn)設(shè)備和Eudemon防火墻互相ping通”中的操作步驟，分別實現(xiàn)Router和Eudemon之間互相ping通，及Server與Eudemon之間互相ping通（Router隸屬Untrust區(qū)域，Server隸屬DMZ區(qū)域）。Eudemon systemview[Eudemon] acl number 3105[Eudemonacladv3105] rule permit icmp source 0 destination 0[Eudemonacladv3105] rule permit icmp source 0 destination 0第四步：在Untrust和DMZ區(qū)域之間的出/入方向上分別應用該ACL規(guī)則。反向從Server向Router發(fā)起ping操作也能通達。搭建配置環(huán)境可通過以下幾種方法實現(xiàn)，針對每種配置環(huán)境有對應的終端服務特性，具體內(nèi)容請參見本章中的“終端服務”部分。此外，還能以異步方式外接Modem連接到PSTN網(wǎng)絡(luò)，提供遠程配置支持。例如配置一個用戶撥號進入，用戶名為auxuser，口令為auxpwd，服務類型為terminal類型。[Eudemon] userinterface aux 0[Eudemonuiaux0] authenticationmode aaa[Eudemonuiaux0] user privilege level 3第四步：配置與AUX接口連接的Modem設(shè)備支持雙向呼叫、自動應答，且連接超時時間不受限制。[Eudemon] interface aux 0[EudemonAux0] async mode flow第六步：在PC機處打開終端仿真程序（如Windows 9X的Hyperterm超級終端等），選擇Modem作為連接時的設(shè)備，輸入電話號碼（如12345678），建立連接，如下圖所示： 圖29 配置撥號號碼和連接設(shè)備 圖210 在遠地微機上啟動撥號第七步：在彈出的遠端終端仿真程序界面上輸入用戶名和口令（如用戶名auxuser，口令auxpwd），驗證通過后界面中出現(xiàn)命令行提示符（如Eudemon）。 通過Telnet方式搭建當配置終端與Eudemon防火墻之間有可達路由時，可以用Telnet方式通過局域網(wǎng)或廣域網(wǎng)登錄到Eudemon防火墻，然后對Eudemon防火墻進行配置。1. 采用Telnet方式前的配置準備第一步：微機（PC機或終端）通過RS232串口連接Eudemon防火墻Console接口，Eudemon防火墻Ethernet1/0/0連接到Internet，Internet中某遠端PC機作為Telnet Client設(shè)備。第三步：通過Console接口配置Telnet登錄用戶名/口令。[Eudemonaaa] authenticationscheme telnetuser[Eudemonaaaauthentelnetuser] authenticationmode local radius[Eudemonaaaauthentelnetuser] quit[Eudemonaaa] quit[Eudemon] userinterface vty 0 4[Eudemonuivty04] authenticationmode aaa第五步：通過Console接口配置ACL規(guī)則，允許從遠端PC到Eudemon防火墻的Telnet報文通過，并在Untrust和Local區(qū)域間入方向應用ACL規(guī)則。[Eudemon] super password level 3 simple superpwd2. 建立Telnet連接第一步：建立本地配置環(huán)境，只需將微機以太網(wǎng)口通過局域網(wǎng)與Eudemon防火墻的以太網(wǎng)口連接，也可以通過HUB或以太網(wǎng)交換機實現(xiàn)網(wǎng)絡(luò)層互通，如下圖所示：圖211 通過局域網(wǎng)搭建本地配置環(huán)境如果建立遠程配置環(huán)境，需要將微機和Eudemon防火墻通過廣域網(wǎng)連接，如下圖所示：圖212 通過廣域網(wǎng)搭建遠程配置環(huán)境第二步：在微機上運行Telnet程序，鍵入Eudemon防火墻以太網(wǎng)口IP地址（或在遠端微機上鍵入Eudemon防火墻廣域網(wǎng)口IP地址），與Eudemon防火墻建立連接，如果出現(xiàn)“Too many users!”的提示，則請稍候再連。********************************************************** All rights reserved (19972004) ** Without the owner39。 說明：主機名為遠程連接的Eudemon防火墻主機名或Eudemon防火墻IP地址。amp。如果必須修改IP地址，請通過Console口或AUX接口修改，以后則可以再通過Telnet方式與新IP地址建立連接。搭建配置環(huán)境的方法和Telnet方式相似。第二步：在微機上運行Telnet程序，并配置其終端類型為VT100，鍵入Eudemon防火墻以太網(wǎng)口IP地址（或在遠端微機上鍵入Eudemon防火墻廣域網(wǎng)口IP地址），與Eudemon防火墻建立連接。 命令行接口系統(tǒng)向用戶提供一系列配置命令以及命令行接口，用戶通過該接口可以配置和管理Eudemon防火墻。1監(jiān)控級用于系統(tǒng)維護、業(yè)務故障診斷等，包括display、debugging命令，該級別命令不允許進行配置文件保存的操作。3管理級關(guān)系到系統(tǒng)基本運行、支撐模塊的命令，包括文件系統(tǒng)、FTP、TFTP、XModem下載、配置文件切換命令、電源控制命令、備板控制命令、用戶管理命令、級別配置命令、系統(tǒng)內(nèi)部參數(shù)配置命令（非協(xié)議規(guī)定、非RFC規(guī)定）等。為了防止未授權(quán)用戶