命令手册-安全防范.pdf

《命令手册-安全防范.pdf》由会员分享，可在线阅读，更多相关《命令手册-安全防范.pdf（159页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、目 录第 1 章 安全区域配置命令.1-11.1 安全区域配置命令.1-11.1.1 add interface.1-11.1.2 display interzone.1 -21.1.3 display zone.1-21.1.4 firewall interzone.1 -31.1.5 firewall zone.1-41.1.6 set priority.1-5第 2 章 ACL基础配置命令.2-12.1 访问控制列表配置命令.2-12.1.1 acl.2-12.1.2 display acl.2-22.1.3 reset acl counter.2-42.1.4 rule.2-42.1.

2、5 display time-range.2-82.1.6 time-range.2-9第 3 章 安全策略配置命令.3-13.1 包过滤防火墙配置命令.3-13.1.1 debugging firewall packet-filter.3-13.1.2 display firewall packet-filter default.3-23.1.3 firewall packet-filter default.3-33.1.4 packet-filter.3-43.2 状态防火墙配置命令.3-43.2.1 debugging firewall aspf.3-43.2.2 detect.3-53

3、.2.3 display firewall session.3-63.2.4 firewall session aging-time.3-93.2.5 reset firewall session table.3-103.3 黑名单配置命令.3-113.3.1 debugging firewall blacklist.3-113.3.2 display firewall blacklist.3-113.3.3 firewall blacklist.3-123.4 MAC和 IP地址绑定配置命令.3-133.4.1 debugging firewall mac-binding.3-133.4.2

4、 display firewall mac-binding.3-143.4.3 firewall mac-binding.3-153.5 端口识别配置命令.3-163.5.1 display port-mapping.3-163.5.2 port-mapping第4章NAT配置命令.4.1 NAT配置命令.4.1.1 debugging nat.4.1.2 display nat.4.1.3 nat address-group4.1.4 nat outbound.4.1.5 nat server.4.1.6 nat alg.第5章 攻击防范配置命令.6111123571,-3-44444444

5、5.1攻击防范配置命令5.1.1 debugging firewall defend.5.1.2 display firewall defend flag5.1.3 firewall defend fraggle.5.1.4 firewall defend icmp-flood.5.1.5 firewall defend icmp-flood enable5.1.6 firewall defend icmp-redirect.5.1.7 firewall defend icmp-unreachable5.1.8 firewall defend ip-fragment.5.1.9 firewal

6、l defend ip-spoofing.5.1.10 firewal5.1.11 firewaldefend ip-sweepdefend land.5.1.12 firewal5.1.13 firewal5.1.14 firewal5.1.15 firewaldefend large-icmp.defend ping-of-deathdefend port-scan.defend route-record.5.1.16 firewal defend smurf5.1.17 firewall defend source-route5.1.18 firewal5.1.19 firewal5.1

7、.20 firewal5.1.21 firewal5.1.22 firewaldefend syn-flood.defend syn-flood enabledefend tcp-flag.defend teardrop.defend tracert.5.1.23 firewal5.1.24 firewal5.1.25 firewaldefend udp-flood.defend udp-flood enabledefend winnuke.第6章IDS联动配置命令.6.1 IDS联动配置命令.6.1.1 debugging firewall ids.6.1.2 display firewal

8、l ids.6.1.3 firewall ids authentication type6.1.4 firewall ids enable.6.1.5 firewall ids port.6.1.6 firewall ids server.111223455667899011234556788155-5-5-5-5-5-5-5-5-5-5-5-5-5-5-15-15-15-15-15-15-15-15-15-15-15-611112345-6666666第 7 章 报文统计配置命令.7-17.1 报文统计配置命令.7-17.1.1 display firewall statistic.7-17

9、.1.2 firewall statistics system connect-number.7-27.1.3 firewall statistics system enable.7-37.1.4 firewall statistics system flow-percent.7-37.1.5 reset statistics.7-57.1.6 reset statistics firewall.7-57.1.7 statistics connect-number.7-67.1.8 statistics connect-speed.7-77.1.9 statistics enable.7-9第

10、 8 章 AAA及 RADIUS协议配置命令.8-18.1 AAA及 RADIUS协议配置命令.8-18.1.1 aaa accounting-scheme optional.8-18.1.2 aaa accounting-scheme ppp.8-28.1.3 aaa authentication-scheme local-first.8-38.1.4 aaa authentication-scheme login.8-48.1.5 aaa authentication-scheme ppp.8-68.1.6 aaa enable.8-78.1.7 debugging aaa event.8

11、-88.1.8 debugging aaa primitive.8-98.1.9 debugging radius packet.8-98.1.10 display aaa user.8-108.1.11 display local-user.8-118.1.12 dnis-map accounting.8-128.1.13 dnis-map authentication.8-138.1.14 dnis-map enable.8-148.1.15 dns primary.8-158.1.16 dns secondary.8-158.1.17 ip pool.8-168.1.18 isp acc

12、ounting.8-178.1.19 isp authentication.8-188.1.20 isp domain.8-198.1.21 isp ip address.8-198.1.22 local-user callback-nocheck.8-208.1.23 local-user callback-number.8-218.1.24 local-user call-number.8-218.1.25 local-user ftp-directory.8-228.1.26 local-user level.8-238.1.27 local-user password.8-248.1.

13、28 local-user service-type.8-258.1.29 radius appoint-authentication.8-268.1.30 radius retry.8-278.1.31 radius server.8-288.1.32 radius shared-key.8-308.1.33 radius timer quiet.8-308.1.34 radius timer realtime-accounting.8-318.1.35 radius timer response-timeout.8-328.1.36 radius-server template.8-338

14、.1.37 remote address.8-33第 9 章 IPSec和 IKE配置命令.9-19.1 IPSec配置命令.9-19.1.1 ah authentication-algorithm.9-19.1.2 debugging ipsec.9-29.1.3 display ipsec policy.9-29.1.4 display ipsec policy-template.9-49.1.5 display ipsec proposal.9-69.1.6 display ipsec sa.9-79.1.7 display ipsec statistics.9-109.1.8 enca

15、psulation-mode.9-119.1.9 esp authentication-algorithm.9-129.1.10 esp encryption-algorithm.9-139.1.11 ipsec policy（接口视图）.9-149.1.12 ipsec policy（系统视图）.9-149.1.13 ipsec policy-template.9-169.1.14 ipsec proposal.9-179.1.15 ipsec sa global-duration.9-189.1.16 pfs.9-199.1.17 proposal.9-199.1.18 reset ips

16、ec sa.9-209.1.19 reset ipsec statistics.9-229.1.20 sa authentication-hex.9-229.1.21 sa duration.9-249.1.22 sa encryption-hex.9-259.1.23 sa spi.9-279.1.24 sa string-key.9-289.1.25 security acl.9-299.1.26 transform.9-309.1.27 tunnel local.9-319.1.28 tunnel remote.9-329.2 IKE配置命令.9-339.2.1 authenticati

17、on-algorithm.9-339.2.2 authentication-method.9-349.2.3 debugging ike.9-349.2.4 dh.9-359.2.5 display ike pre-shared-key.9-369.2.6 display ike proposal.9-379.2.7 display ike sa.9-389.2.8 encryption-algorithm.9-399.2.9 ike pre-shared-key.9-409.2.10 ike proposal.9-419.2.11 ike sa keepalive-timer interva

18、l.9-429.2.12 ike sa keepalive-timer timeout.9-429.2.13 reset ike sa.9-439.2.14 sa duration.9-45Quidway Eudemon系 列 防 火 墙 命令手册（安全防范）第1章 安全区域配置命令第1章安全区域配置命令1.1 安全区域配置命令1.1.1 add interface【命令】add interface interface-name interface-numberundo add interface interface-name interface-number【视图】安全区域视图【参数】int

19、erface-name：接口 名称。interface-number：接口 编号。【描述】命 令add interface用来添加隶属于安全区域的接口，命 令undo addinterface用来删除隶属于安全区域的接口。除了 Local区域以外，所有其他安全区域使用时需要分别与防火墙的特定接口相关联，即需要将接口加入到区域。该接口既可以是物理接口，也可以是逻辑接口。可多次使用该命令为安全区域指定多个接口，一个安全区域所能够支持的接口数量为32。相关配置可参考命令firewall zone、display zone。【举例】#进入Trust区域视图，并添加接口 Ethernet 0/0/0隶属

20、于Trust区域。Eudemon firewall zone trustEudemon-zone-trust add interface ethernet 0/0/01-1第 1 章 安全区域配置命令Quidway Eudemon系列防火墙命令手册（安全防范）1.1.2 display interzone【命令】display interzone zone-name!zone-name2【视图】所有视图【参数】zone-name 1：安全区域名称。zone-name2：安全区域名称。【描述】命令display interzone用来显示两个安全区域的域间安全策略的配置信息。当不指定两个安全区域

21、的名称时则显示所有域间的相关信息。相关配置可参考命令 firewall interzone、display zoneo【举例】#显示Trust和 DMZ的域间安全策略的配置信息。Eudemon display interzone trust dmzinterzone trust DMZpacket-filter 11 inbounddetect ftp该命令显示了域间安全策略的配置信息，如上所示，该域间已经配置了以ACL11为规则的入方向上的包过滤策略，同时对FTP协议进行了 ASPF的有状态过滤策略。1.1.3 display zone【命令】display zone zone-name i

22、nterface|priority【视图】所有视图1-2Quidway Eudemon系列防 火 墙 命 令手册（安全防范）第1章 安全区域配置命令【参数】zone-name：安全区域名称。interface：显示隶属于安全区域的接口。priority：显示安全区域的安全优先级。【描述】命令display zone用来显示安全区域的配置信息，包括隶属于安全优先级、隶属于安全区域的接口等。当不指定安全区域名称时则显示所有区域相关配置信息。当不指定interface和 priority关键字时，显示所有配置信息。相关配置可参考命令 firewall zone、add interface 和 set

23、 priority0【举例】#显 示 DMZ区域的配置信息。Eudemon display zone dmzDMZinterface of the zone is:Ethernet 3/0/0priority is 50如上所示，该命令显示了隶属于DMZ区的接口为Ethernet 3/0/0,DMZ区的安全优先级为50。1.1.4 firewall interzone【命令】firewall interzone zone-name1 zone-name2【视图】系统视图【参数】zone-name1 ：安全区域名称。1-3第 1 章 安全区域配置命令Quidway Eudemon系列防火墙命令手

24、册（安全防范）zone-name2：安全区域名称。【描述】命令firewall interzone用来进入域间视图，使用quit命令可以退出域间视图。为设置不同的安全策略，第一步就是要进入域间视图。zone-camel和 zoe-came2可以为任意顺序，与两个区域的安全优先级没有关系。进入域间视图后，命令提示符中，安全优先级高的区域名称在前，安全优先级低的区域名称在后。系统支持的最大域间数目为256。相关配置可参考命令display interzone【举例】#进入Trust和 DMZ的域间视图。Eudemon firewall interzone turst dmzEudemon-inte

25、rzone-trust-DMZ1.1.5 firewall zone【命令】firewall zone name zone-nameundo firewall zone name zone-name【视图】系统视图【参数】name.-当创建一个新的安全区域或删除一个安全区域时，使用该关键字。zone-name：安全区域名称。可取的字符集为:A Z、a z、0 9、。名称对大小写不敏感，最大长度为31个字符。【描述】1-4Quidway Eudemon系列防 火 墙 命 令手册（安全防范）第1章 安全区域配置命令命令firewall zone用来创建新的安全区域并进入安全区域视图或进入已有安全区

26、域视图，使用quit命令可以退出安全区域视图。命令undo firewall zonename zone-name用来删除已创建的安全区域。系统缺省保留四个安全区域：本地区域（Local）、受信区域（Trust）、非军事 化 区（DMZ）和非受信区域（Untrust）,这四个区域无需创建也不能删除。创建新的安全区域或删除已建立的安全区域时，需要使用nam e关键字；进入保留的或已建立的安全区域视图时则不需要使用该关键字。删除安全区域时，将删除对该安全区域的所有配置。相关配置可参考命令 display zone、set priority 和 add interfacec【举例】#创建一个名为us

27、erzone的安全区域并进入该安全区域视图。Eudemon firewall zone name userzoneEudemon-zone-userzone#进入Trust安全区域视图。Eudemon firewall zone trustEudemon-zone-trust1.1.6 set priority【命令】set priority security-priority【视图】安全区域视图【参数】security-priority：安全优先级。取值范围从11 0 0,数值越大优先级别越高。【描述】命令set priority用来安全区域的安全优先级。只有用户创建的安全区域才能配置安全优

28、先级。而系统缺省保留四个安全区域：本地区域（Local）、受信区域（Trust）、非军事化区（DMZ）和非受信区 域（Untrust）,它们的安全优先级分别是100、85、50和 5,不可以重新配置。1-5第 1 章 安全区域配置命令Quidway Eudemon系列防火墙命令手册（安全防范）同一系统中，两个安全区域不允许配置相同的安全优先级。对某安全区域，如果没有使用该命令设置安全优先级，则其安全优先级为0。相关配置可参考命令display zone、firewall zone。【举 例】#设置名为userzone的安全区域的优先级为60。Eudemon firewall zone name

29、 userzoneEudemon-zone-userzone set proirity 601-6第2章 ACL基础配置命令Quidway Eudemon系列防火墙命令手册（安全防范）第2章 ACL基础配置命令2.1 访问控制列表配置命令2.1.1 acl【命令】acl number ad-number match-order config|auto /namead-name basic|advanced|ethernetframe match-order config|auto|accelerate enable undo acl number acl-number name ad-name

30、/all|accelerateenable【视图】系统视图【参数】number acl-number；定义个数字型的ACL（访问控制列表）。访问控制列表的序号为1199、700799之间的数字。序 号 199范围的ACL是基本的访问控制列表，1001 9 9 范 围 的 A C L是高级的访问控制列表，序号700799范围的ACL是基于MAC地址的访问控制列表。name acl-name-定义一个名字型的ACL,ac/-name表 示 ACL名字，字符串长度为132个字符。basic：定义一个基本ACL。advanced：定义一个高级ACL。ethernetframe：定义一个基于MAC地址的

31、ACL。match-order：指定规则的配置顺序。config：指定匹配该规则时按用户的配置顺序。auto：指定匹配该规则时系统自动排序（按“深度优先”的顺序）。all：所有的ACL。2-1第2 章 ACL基础配置命令Quidway Eudemon系列防火墙命令手册（安全防范）accelerate enable：使能ACL加速查找功能。【描述】命令acl用于创建个访问控制列表并进入ACL视图或者使能ACL加速查找功能，命令undo acl用于删除访问控制列表或者关闭ACL加速查找功能。一个访问控制列表是由permit或 deny语句组成的一系列的规则列表，若干个规则列表构成一个访问控制列表。

32、在配置访问控制列表的规则之前，首先需要创建一个访问控制列表。创建一个访问控制列表，需要指定如下参数：是数字型的ACL还是名字型的ACL。如果是名字型的A C L,还需要指定AC L的用途类型。如果该名字型的ACL已存在，则直接进入此ACL视图。访问控制列表的匹配顺序，该参数是一个可选参数，默认情况下匹配顺序为config（配置顺序）。【举例】#创建一个序号为10的 ACLoEudemon acl number 10Eudemon-acl-basic-10#创建一个名字为test的高级ACL。Eudemon acl name test advancedEudemon-acl-adv-test#使

33、能ACL快速查找功能。Eudemon acl accelerate enable#关闭ACL快速查找功能。Eudemon undo acl accelerate enable2.1.2 display acl【命令】display acl all|number acl-number|name ad-name/accelerate【视图】所有视图2-2Quidway Eudemon系 列 防 火 墙 命令手册（安全防范）第2 章 ACL基础配置命令【参数】all：所有的ACL。number acl-number：定义一个数字型的ACL（访问控制列表）。访问控制列表的序号为1199、700799之

34、间的数字。序 号 199范围的ACL是基本的访问控制列表，100199范 围 的 A C L 是高级的访问控制列表，序号700799范围的ACL是基于MAC地址的访问控制列表。name acl-name：定义一个名字型的ACL,ac/-came表 示 ACL名字，字符串长度为132 个字符。accelerate：ACL快速查找运行情况。【描述】命令display acl用来显示配置的访问控制列表的规则或者访问控制列表快速查找功能的运行情况。【举例】#显示A C L1的规则的内容。Eudemon-acl-basic-1 display acl 1Basic acl 1,2 rules,rule

35、1 permit(0 times matched)rule 2 permit source 1.1.1.1 0(0 times matched)#显示ACL 100的规则的内容。display acl 100Advanced ACL 100,3 rules,rule 0 permit icmp(2 times matched)rule 1 permit ip source 1.1.1.1 0 destination 2.2.2.2 0(0 times matched)rule 2 permit tcp source 10.110.0.0 0.0.255.255(0 times matched)

36、#显示ACL快速查找的运行情况。display acl accelerateacl accelerate is enabledNOTE:UTD means Up to date,OTD means Out of dateACL groups marked with ACCELERATE UTD are enabled for fast search,usualmethod for othersID ACCELERATE STATUS20 ACCELERATE UTD100 ACCELERATE OOD2-3Quidway Eudemon系列防火墙命令手册(安全防范)第2 章 ACL基础配置命令

37、101 UNACCELERATE UTDFinancial ACCELERATE UTD2.1.3 reset acl counter【命令】reset acl counter all/acl-number/ad-name【视图】用户视图【参数】acl-number；用数字表示的ACL,序号为1199、700799之间的数字。序 号199范围的ACL是基本的访问控制列表，100199范围的ACL是高级的访问控制列表，序 号700799范围的ACL是基于MAC地址的访问控制列表。acl-name；用名字表示的AC L,字符串长度为132个字符。all：所有的ACL。【描述】命令reset acl

38、 counter用来清除ACL访问规则计数器的统计信息。【举例】#清除ACL访问规则计数器的统计信息。reset acl counter 12.1.4 rule【命令】(1)增加/删除一个基本访问控制列表的规则rule rule-id permit|deny source sour-addr sour-wildcard any time-range time-name logging undo rule rule-id source time-range logging(2)增加/删除个高级访问控制列表的规则2-4Quidway Eudemon系列防火墙命令手册(安全防范)第2章 ACL基础配

39、置命令rule rule-id permit|deny protocol source sour-addr sour-wildcard|any destination dest-addr dest-mask any source-portoperator portl port2 destination-port operator portl port2 icmp-type icmp-type icmp-code icmp-message precedenceprecedence tos tos time-range time-name logging undo rule rule-id sou

40、rce destination source-port destination-port icmp-type precedence tos time-range logging(3)增加一个基于MAC地址的访问控制列表规则rule rule-id permit|deny type type-code type-wildcard IsapIsap-code Isap-wildcard source-mac sour-addr sour-wildcard dest-mac dest-addr dest-wildcard undo rule rule-id【视图】第 1 组命令在基本ACL视图第 2

41、 组命令在高级ACL视图第 3 组命令在基于MAC地址的ACL视图【参数】使用命令rule为 ACL增加一个规则的时候，参数说明如下：rule-id：可选参数，ACL的规则编号，范围为019999。当指定了编号，如果与编号对应的规则已经存在，则会在旧的定义的基础上叠加新定义的规则，相当于编辑一个已经存在的规则。如果与编号对应的规则不存在，则使用指定的编号创建一个新的规则。如果不指定编号，表示增加一个新规则，系统自动会为这个规则分配一个编号。deny：表示拒绝符合条件的数据包。permit：表示允许符合条件的数据包。protocol：用名字或数字表示的IP承载的协议类型。数字范围为1255；用名

42、字表示时,可以选取：gre、icmp、igmp、ip、ipinip、ospf、tcp、udpsource sour-addr sour-wildcard：可选参数，指定ACL规则的源地址信息。如果不配置，表示报文的任何源地址都匹配。sour-addr是数据包的源地址，点分十进制表示；或用“any”代表源地址0 0 0.0,通配符255.255.255.255。sour-wildcard是源地址通配符，点分十进制表示。2-5Quidway Eudemon系列防火墙命令手册（安全防范）第2 章 ACL基础配置命令destination dest-addr dest-wildcard：可选参数，指定

43、ACL规则的目的地址信息。如果不配置，表示报文的任何目的地址都匹配。dest-addr是数据包的目的地址，点分十进制表示；或 用“any”代表目的地址0.0.0.0,通配符255.255.255.255o desf-w/7dcard是目的地址通配符，点分十进制表示；或用“any”代表目的地址0 0 0.0,通配符255.255.255.255。icmp-type icmp-type icmp-code icmp-message ：可选参数，指定 ICMP报文的类型和消息码信息，仅仅在报文协议是ICM P的情况下有效。如果不配置，表示任何ICMP类型的报文都匹配。/cmp-type是 ICMP包

44、可以依据ICMP的消息类型进行过滤。取值为0255的数字。bmp-code是依据ICMP的消息类型进行过滤的ICMP包也可以依据消息码进行过滤。取值为。255的数字。icmp-message是 ICMP包可以依据ICMP消息类型名字或ICMP消息类型和码的名字进行过滤。source-port：可选参数，指 定 UDP或者TCP报文的源端口信息，仅仅在规则指定的协议号是TCP或 者 UDP有效。如果不指定，表 示 TCP/UDP报文的任何源端口信息都匹配。destination-port：可选参数，指定UDP或者TCP报文的目的端口信息，仅仅在规则指定的协议号是TCP或 者 UDP有效。如果不指

45、定，表示TCP/UDP报文的任何目的端口信息都匹配。operatorportl port2：可选参数。比较源或者目的地址的端口号的操作符，名字及意义如下：It（小于），gt（大于），eq（等于），neq（不等于），range（在范围内）。只有range需要两个端口号做操作数，其他的只需要一个端口号做操作数。portl、port2-.可选参数。TCP或 UDP的端口号，用名字或数字表示，数字的取值范围为065535。precedence precedence：可选参数，数据包可以依据优先级字段进行过滤。取值为。7 的数字，或名字。tos fos：可选参数，数据包可以依据服务类型字段进行过滤。取

46、值 为 015的数字，或名字。logging：可选参数，是否对符合条件的数据包做日志.H志内容包括访问控制列表规则的序号，数据包通过或被丢弃，IP承载的上层协议类型，源/目的地址，源/目的端口号，数据包的数目。time-range time-name：这条访问控制列表规则在该时间段内有效。type type-code type-wildcard：用来匹配传输报文的协议类型，type-code为一个十六进制数，格式为xxxx。fype-w/7dcard为协议类型的通配符（掩码）。2-6Quidway Eudemon系 列 防 火 墙 命令手册（安全防范）第2 章 ACL基础配置命令Isap Is

47、ap-code Isap-wildcard：用来匹配接口上报文的封装格式，Isap-code为一1b十六进制数，格式为xxxx。/sap-w/7dcard为协议类型的通配符（掩码）source-mac sour-address sour-wildcard：用来匹配一个数据帧的源地址，sour-address 为数据帧的源 MAC 地址，格式为 xxxx-xxxx-xxxx Trust、Untrust区域。zone2：第二个安全区域的名字，可以是DMZ、Local、Trust.Untrust区域。【视图】用户视图【描述】命 令 debugging firewall packet-filter用来

48、打开防火墙包过滤调试信息开关，命令undo debugging firewall packet-filter用来关闭防火墙包过滤调试信息开关。缺省情况关闭防火墙全部调试信息开关。3-1Quidway Eudemon系列防火墙命令手册（安全防范）第 3 章安全策略配置命令注意，所 有 debugging都对性能有很大的影响，因此，正常运行时请关闭debugging 开关。相关配置可参考命令display debugging.【举例】#打开有关UDP包过滤的调试信息。dedugging firewall packet-filter udp3.1.2 display firewall packet-

49、filter default【命令】display firwall packet-filter default all|interzone zonel zone2【视图】所有视图【参数】all：显示全部安全区域间包过滤缺省动作。interzone：显示特定安全区域间包过滤缺省动作。zonel：第一个安全区域的名字，可以是DMZ、Local、Trust、Untrust。zone2：第二个安全区域的名字，可以是DMZ、Local、Trust,Untrust。【描述】命令display firewall packet-filter default用来显示防火墙缺省动作。【举例】#显示全部安全区域间的

50、防火墙缺省动作。Eudemon display firewall packet-filter default allFirewall default packet-filter action is:local-trust:Inbound Deny,Outbound Denylocal-untrust:Inbound Deny,Outbound Denylocal-DMZ:Inbound Deny,Outbound Denytrust-untrust:Inbound Deny,Outbound Denytrust-DMZ:Inbound Deny,Outbound DenyDMZ-untrust