配置操作手册
H3C SECPATH F1800-A 防火墙 操作手册 (V1.01)
01-操作手册-入门
01-操作手册-入门
第1章 防火墙概述
网络安全概述& 1-1
网络安全服务分类& 1-1
安全服务的实现方法
防火墙概述
安全防范体系的第一道防线――防火墙
防火墙发展历史& 1-4
SecPath 产品简介
SecPath F1800-A 防火墙简介
SecPath F1800-A 防火墙功能特性列表
第2章 SecPath 防火墙配置基础
通过Console接口搭建本地配置环境
通过Console接口搭建
实现设备和SecPath 防火墙互相ping通
实现跨越SecPath防火墙的两个设备互相ping通
通过其他方式搭建配置环境
通过AUX接口搭建
通过Telnet方式搭建
通过SSH方式搭建
命令行接口
命令行级别
命令行视图
命令行在线帮助& 2-23
命令行错误信息& 2-23
防火墙的基本配置& 2-28
进入和退出系统视图
切换语言模式& 2-29
配置防火墙名称& 2-29
配置系统时钟& 2-29
配置命令级别& 2-30
查看系统状态信息& 2-30
用户管理概述& 2-31
用户管理的配置& 2-32
用户登录相关信息的配置
典型配置举例& 2-36
用户界面（User-interface）
用户界面简介& 2-37
进入用户界面视图& 2-38
配置异步接口属性& 2-39
配置终端属性& 2-40
配置Modem属性
配置重定向功能& 2-43
配置VTY类型用户界面的呼入呼出限制
用户界面的显示和调试
Console接口终端服务
AUX接口终端服务
Telnet终端服务
SSH终端服务& 2-48
第3章 SecPath防火墙工作模式
防火墙工作模式简介
工作模式介绍& 3-1
路由模式工作过程& 3-3
透明模式工作过程& 3-3
混合模式工作过程& 3-8
防火墙路由模式配置
配置防火墙工作在路由模式
配置路由模式其它参数
防火墙透明模式配置
配置防火墙工作在透明模式
配置地址表项& 3-9
配置对未知MAC地址的IP报文的处理方式
配置MAC地址转发表的老化时间
防火墙混合模式配置
配置防火墙工作在混合模式
配置混合模式其它参数
防火墙工作模式的查看和调试
防火墙工作模式典型配置举例
处理未知MAC地址的IP报文
透明防火墙连接多个局域网
防火墙概述
网络安全概述
随着Internet的迅速发展，越来越多的企业借助网络服务来加速自身的发展，此时，如何在一个开放的网络应用环境中守卫自身的机密数据、资源及声誉已越来越为人们所关注。网络安全已成为网络建设不可或缺的组成部分。
目前，Internet网络上常见的安全威胁大致分为以下几类：
l非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。例如，攻击者通过猜测帐号和密码的组合，从而进入计算机系统以非法使用资源。
l拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。
l信息盗窃：攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。
l数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作，而使数据的一致性被破坏。
网络安全服务分类
针对上述的安全威胁而采取的安全防护措施称为安全服务。一般定义下列几种通用的安全服务：
l可用性服务：保证信息或服务在需要时能够被访问并正常工作。
l机密性服务：保证敏感数据或信息不被泄漏或暴露给未授权的实体。
l完整性服务：保证数据不以未经授权的方式被改动或破坏。
l鉴别：提供某个实体身份合法性的保证。
l授权：对系统资源的使用实施控制，规定访问者的接入权限等。
安全服务的实现方法
加密是将可读的消息转化为不可读形式的加密文本的过程。加密不仅为用户提供通信保密，同时也是其他许多安全机制的基础，如认证过程中口令的设计、安全通信协议的设计及数字签名的设计等均离不开密码机制。
加密方法主要分为三种：
l对称密码体制：其特征是用于加密和解密的密钥是一样的，每对用户共享同一密钥来交换消息，密钥必须是保密的。典型代表包括：数据加密标准DES（Data Encryption Standard）、三层数据加密标准3DES（Triple DES）等。
l公钥密码体制：相对于对称密码体制，公钥密码体制有两个不同密钥，可将加密功能和解密功能分开。一个密钥称为私钥，必须秘密保存；另一个称为公钥，可被公开分发。典型代表包括DH（Diffie-Hellman）、RSA（Rivest，Shamir，Adleman）。
l散列函数：用于把一个变长的消息压缩到一个定长的编码字中，成为一个散列或消息摘要。散列函数包括MD5（Message Digest 5）、安全散列算法SHA（Secure Hash Algorithm）。
认证通常用于在访问网络前或网络提供服务前来鉴别用户身份的合法性。
认证可以由网络上的每一台设备在本地提供，也可以通过专用的认证服务器来实施。相比较而言，后者具有更好的灵活性、可控性和可扩展性。目前，在异构网络环境中，RADIUS（Remote
Access Dial-In User Service，远程访问拨入用户服务）作为一个开放的标准被广泛用于认证服务。
3. 访问控制
访问控制是一种加强授权的方法。一般分为两种：
l基于操作系统的访问控制：访问某计算机系统资源时对用户的指定访问行为进行授权，可以基于身份、组、规则等配置访问控制策略。
l基于网络的接入控制：指对接入网络的权限加以限制。由于网络的复杂性，其机制远比基于操作系统的访问控制更为复杂。一般在发起访问请求者和访问目标之间的一些中介点上配置实施访问控制组件（例如防火墙），从而实现基于网络的接入控制。
4. 安全协议
网络的安全协议是网络安全的重要内容。在此，我们从TCP/IP的分层模型角度来介绍目前广泛使用的安全协议。
应用层安全
它提供从一台主机上的应用程序通过网络到另一台主机上的应用程序的端到端的安全性。应用层安全机制必须根据具体应用而定，其安全协议是应用协议的补充，因此，不存在通用的应用层安全协议。
例如，SSH（Secure
Shell，安全外壳）协议可以建立安全的远程登录会话和使用通道连接其他TCP应用程序。
传输层安全
它提供基于同一台主机进程之间、或不同主机上进程之间的安全服务。传输层安全机制建立在传输层IPC（进程间通信）界面和应用程序两端的安全性基础上。
在传输层中提供安全服务的想法便是强化它的IPC界面，如BSD套接（socket）等，具体做法包括双端实体的认证、数据加密密钥的交换等。按照这个思路，出现了建立在可靠传输服务基础上的安全套接层协议SSL（Secure
Socket Layer）。SSL
v3主要包含以下两个协议：SSL记录协议及SSL握手协议。
网络层安全
假使上层协议没有实现安全性保障，通过对网络层报文进行保护，用户信息也能够自动从网络层提供的安全性中受益，因此，IP安全是整个TCP/IP安全的基础，是Internet安全的核心。
目前，网络层最重要的安全协议是IPSec（IP
Security Protocol）。IPSec是一系列网络安全协议的总称，其中包括安全协议、加密协议等，可为通讯双方提供访问控制、无连接的完整性、数据源认证、反重放、加密以及对数据流分类加密等服务。
数据链路层安全
提供的是点到点的安全性，如在一个点到点链路或帧中继的永久虚链路上提供安全性。链路层安全的主要实现方法是在连接链路的每一端使用专用设备完成加密和解密。
防火墙概述
安全防范体系的第一道防线――防火墙
在实际应用中，单一的安全防护技术并不足以构筑一个安全的网络安全体系，多种技术的综合应用才能够将安全风险控制在尽量小的范围内。一般而言，安全防范体系具体实施的第一项内容就是在内部网和外部网之间构筑一道防线，以抵御来自外部的绝大多数攻击，完成这项任务的网络边防产品我们称其为防火墙。
类似于建筑大厦中用于防止火灾蔓延的隔断墙，Internet防火墙是一个或一组实施访问控制策略的系统，它监控可信任网络（相当于内部网络）和不可信任网络（相当于外部网络）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。防火墙主要服务于以下目的：
l限制用户或信息由一个特定的被严格控制的站点进入；
l阻止攻击者接近其他安全防御设施；
l限制用户或信息由一个特定的被严格控制的站点离开。
防火墙通常作用于被保护区域的入口处，基于访问控制策略提供安全防护。例如：当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和数据免遭来自外部网络的非法访问（未授权或未验证的访问）或恶意攻击；当防火墙位于组织内部相对开放的网段或比较敏感的网段（如保存敏感或专有数据的网络部分）的连接处时，可以根据需要过滤对敏感数据的访问（即使该访问是来自组织内部）。
防火墙发展历史
防火墙技术的发展历史大致经历了以下几个过程。
1. 第一代防火墙――包过滤防火墙
包过滤指在网络层对每一个数据包进行检查，根据配置的安全策略来转发或拒绝数据包。
包过滤防火墙的基本原理是：通过配置ACL（Access
Control List，访问控制列表）实施数据包的过滤。实施过滤主要是基于数据包中的源/目的IP地址、源/目的端口号、IP标识和报文传递的方向等信息。
第一代防火墙的设计简单，非常易于实现，而且价格便宜，但其缺点不容忽视，主要表现在：
l随着ACL复杂度和长度的增加，其过滤性能成指数下降趋势；
l静态的ACL规则难以适应动态的安全要求；
l包过滤不检查会话状态也不分析数据，即不能对用户级别进行过滤，这容易让黑客蒙混过关。例如，攻击者可以使用假冒地址进行欺骗，通过把自己主机IP地址设成一个合法主机IP地址，就能很轻易地通过报文过滤器。
2. 第二代防火墙――代理防火墙
代理服务作用于网络的应用层，其实质是把内部网络和外部网络用户之间直接进行的业务由代理接管。代理检查来自用户的请求，认证通过后，该防火墙将代表客户与真正的服务器建立连接，转发客户请求，并将真正服务器返回的响应回送给客户。
代理防火墙能够完全控制网络信息的交换，控制会话过程，具有较高的安全性，但其缺点同样突出，主要表现在：
l软件实现限制了处理速度，易于遭受拒绝服务攻击；
l需要针对每一种协议开发应用层代理，升级很困难。
3. 第三代防火墙――状态防火墙
状态分析技术是包过滤技术的扩展（非正式的也可称为“动态包过滤”）。基于连接状态的包过滤在进行数据包的检查时，将每个数据包看成是独立单元的同时，还要考虑前后报文的历史关联性。
基本原理简述如下：
l状态防火墙使用各种状态表来追踪激活的TCP（Transmission
Control Protocol）会话和UDP（User
Datagram Protocol）伪会话（在处理基于UDP协议包时为UDP建立虚拟连接，以对UDP连接过程进行状态监控的会话过程），由ACL表来决定哪些会话允许建立，只有与被允许会话相关联的数据包才被转发。
l状态防火墙在网络层截获数据包，然后从各应用层提取出安全策略所需要的状态信息，并保存到动态状态表中，通过分析这些状态表和与该数据包有关的后续连接请求来做出恰当决定。
从外部网络向内看，状态防火墙更像一个代理系统（任何外部服务请求都来自于同一主机），而由内部网络向外看，状态防火墙则像一个包过滤系统（内部用户认为他们直接与外部网交互）。
状态防火墙具有以下优点：
l速度快。状态防火墙对数据包进行ACL检查的同时，可以将包连接状态记录下来，后续包则无需再通过ACL检查，只需根据状态表对新收到的报文进行连接记录检查即可。检查通过后，该连接状态记录将被刷新，从而避免重复检查具有相同连接状态的包。连接状态表里的记录可以随意排列，这点与记录固定排列的ACL不同，于是状态防火墙可采用诸如二叉树或哈希（hash）等算法进行快速搜索，提高了系统的传输效率。
l安全性较高。连接状态清单是动态管理的，会话完成时防火墙上所创建的临时返回报文入口随即关闭，这保障了内部网络的实时安全。同时，状态防火墙采用实时连接状态监控技术，通过在状态表中识别诸如应答响应等连接状态因素，增强了系统的安全性。
1.3& SecPath 产品简介
防火墙简介
H3C公司的SecPath F1800-A硬件防火墙产品是一种改进型的状态防火墙，它结合H3C公司特有的ASPF（Application
Specific Packet Filter）技术，兼具代理防火墙安全性高、状态防火墙速度快的优点。
F1800-A 防火墙采用专门设计的高可靠性硬件系统和具有自主知识产权的专有操作系统，将高效的包过滤功能、透明的代理服务、基于改进的状态检测安全技术、丰富的统计分析功能、多种安全保障措施集于一身，提供多类型接口和工作模式。
作为新一代高速状态防火墙，SecPath F1800-A为大中型客户提供了高性价比的网络安全保障。
1. 高安全性
与那些基于通用操作系统的软件防火墙相比较，SecPath F1800-A采用专门设计的防火墙硬件平台和具有自主知识产权的安全操作系统，报文处理和操作系统完全分开，这种无依赖性大大提高了系统安全性。
采用ASPF状态检测技术，SecPath F1800-A可对连接过程和有害命令进行监测，并协同ACL完成包过滤。此外，SecPath F1800-A还提供数十种攻击的防范能力。所有这些都有效地保障了网络的安全。
2. 高速处理能力
F1800-A 防火墙定位于大中型企业和行业用户，通过采用NP（Network
Processor）技术提供线速的高性能安全防范和报文处理能力。
3. 高可靠性
专门设计的防火墙软件，每一环节均考虑到对各种攻击的防御，通过优先级调度和流控等手段使得系统具备很好的强壮性。SecPath F1800-A 防火墙支持双机状态热备，发生倒换时不会造成业务中断，支持多机分担处理，故障发生时能够自动倒换。
4. 强大的组网和业务支撑能力
F1800-A 防火墙提供集成的高速以太网接口，不仅支持丰富的协议，如H.323、FTP（File Transfer Protocol）、SMTP（Simple Mail Transfer Protocol）等，而且还支持对有害命令的检测功能。提供NAT（Network Address Translation）应用、静态和动态黑名单过滤、基于代理技术的SYN Flood防御的流控等特性。
F1800-A 防火墙除了具备各种安全防范功能，提供高效的安全保障能力外，还集成了部分路由能力，如静态路由、RIP（Routing
Information Protocol）和OSPF（Open
Shortest Path First）动态路由，使得防火墙的组网应用更加灵活。
5. 强大的日志和统计分析功能
提供强大的日志和统计分析功能，在安全分析和事后追踪等方面提供了有力的帮助。
防火墙功能特性列表
防火墙功能特性列表
防火墙配置基础
通过Console接口搭建本地配置环境
通过Console接口搭建
用户能够通过Console接口对SecPath防火墙进行本地配置。这是一种可靠的配置维护方式。当防火墙初次上电、与外部网络连接中断或出现其他异常情况时，则可以采用这种方式配置防火墙。
第一步：建立本地配置环境。将微机（PC机或终端）的串口通过标准RS-232电缆与SecPath防火墙的Console接口连接，如下图所示。
图2-1 通过Console口搭建本地配置环境
第二步：在微机上运行终端仿真程序（如Windows 9X的Hyperterm超级终端等），建立新连接，如下图所示：
图2-3 选择实际连接使用的微机串口
第三步：选择实际连接时使用的微机上的RS-232串口，配置终端通信参数为9600波特、8位数据位、1位停止位、无校验、无流控，并选择终端仿真类型为VT100，如下图所示：
端口通信参数配置
图2-5 选择终端仿真类型
第四步：SecPath
防火墙上电自检，系统自动进行配置，自检结束后提示用户键入回车，直到出现命令行提示符（如&SecPath&）。
第五步：键入命令，配置SecPath
防火墙或查看SecPath 防火墙运行状态，需要联机帮助时可以随时键入“?”，关于具体命令的使用请参考后续章节。
通过Console接口配置SecPath 防火墙，通常无需配置认证。如果配置了本地认证，请一定配置对应的本地用户名和口令，否则会导致无法从Console接口进入配置界面的情况发生。
实现设备和SecPath 防火墙互相ping通
配置思路：首先实现从某设备ping通SecPath
防火墙，再实现从SecPath 防火墙ping通该设备，操作步骤如下：
第一步：微机（PC机或终端）通过RS-232串口连接SecPath 防火墙Console接口，SecPath 防火墙SecPath 1/0/0接口通过LAN与Router设备连接。组网如下图所示：
实现ping通SecPath 防火墙的组网
第二步：从用户视图进入系统视图，通过Console接口配置相应ACL规则，允许从Router到SecPath
方向的ICMP报文通过。
system-view
acl number 3101
[SecPath-acl-adv-3101]
rule permit icmp source 10.1.1.254 0 destination 10.1.1.1 0
第三步：假设Router设备隶属Untrust区域，配置接口Ethernet1/0/0的IP地址，并将该接口加入Untrust区域。
interface ethernet 1/0/0
[SecPath-Ethernet1/0/0]
ip address 10.1.1.1 255.255.255.0
firewall zone untrust
[SecPath-zone-untrust]
add interface ethernet 1/0/0
第四步：在Untrust和Local区域之间的入方向上应用ACL规则。
firewall interzone untrust local
[SecPath-interzone-local-untrust]
packet-filter 3101 inbound
第五步：从Router向SecPath防火墙Ethernet1/0/0接口发起ping操作，可以通达。但是，反向ping操作不通。
第六步：为了能从SecPath防火墙ping通Router，需配置ACL规则允许从SecPath到Router的ICMP报文通过，并在区域间出方向上应用ACL规则，涉及的两条命令如下。
[SecPath-acl-adv-3101]
rule permit icmp source 10.1.1.1 0 destination 10.1.1.254 0
[SecPath-interzone-local-untrust]
packet-filter 3101 outbound
第七步：从SecPath防火墙向Router发起ping操作，可以通达。
实现跨越SecPath防火墙的两个设备互相ping通
配置思路：首先实现从其他设备分别和SecPath防火墙之间能互相ping通，然后再实现这两个设备之间能跨越SecPath而互相ping通，操作步骤如下：
第一步：微机（PC机或终端）通过RS-232串口连接SecPath防火墙Console接口，SecPath防火墙Ethernet1/0/0通过LAN与Router设备连接，SecPath的Ethernet2/0/0接口通过LAN与某服务器连接。组网如下图所示：
图2-7 实现跨越SecPath防火墙的两个设备互相ping通的组网
第二步：首先参考<a
href="#_Ref.1.2&
实现设备和SecPath 防火墙互相ping通中的操作步骤，分别实现Router和SecPath之间互相ping通，及Server与SecPath之间互相ping通（Router隶属Untrust区域，Server隶属DMZ区域）。
第三步：通过Console接口配置新ACL规则，允许从Router与Server之间的ICMP报文及返回报文通过。
system-view
acl number 3105
[SecPath-acl-adv-3105]
rule permit icmp source 10.1.1.254 0 destination 10.2.2.254 0
[SecPath-acl-adv-3105]
rule permit icmp source 10.2.2.254 0 destination 10.1.1.254 0
第四步：在Untrust和DMZ区域之间的出/入方向上分别应用该ACL规则。
firewall interzone untrust dmz
[SecPath-interzone-dmz-untrust]
packet-filter 3105 inbound
[SecPath-interzone-dmz-untrust]
packet-filter 3105 outbound
第五步：从Router向Server发起ping操作可以通达。反向从Server向Router发起ping操作也能通达。
2.2& 通过其他方式搭建配置环境
为了更方便的配置SecPath防火墙，系统支持用户进行本地与远程配置。搭建配置环境可通过以下几种方法实现，针对每种配置环境有对应的终端服务特性，具体内容请参见本章中的“终端服务”部分。
l通过AUX接口搭建本地或远程配置环境
l通过Telnet方式搭建本地或远程配置环境
l通过SSH方式搭建本地或远程配置环境
通过AUX接口搭建
AUX接口也称为辅助接口（auxiliary）或备份接口，可以像Console接口一样提供本地配置功能，配置环境搭建请参见上节<a
href="#_Ref.1.1&
通过Console接口搭建描述，仅需要将RS-232电缆连接到SecPath防火墙的AUX接口即可。此外，还能以异步方式外接Modem连接到PSTN网络，提供远程配置支持。环境搭建步骤如下描述：
第一步：在微机串口和SecPath防火墙AUX口上分别挂接Modem设备，通过Modem拨号方式与SecPath防火墙的AUX接口连接，搭建远程配置环境，如下图所示：
搭建远程配置环境
第二步：在SecPath防火墙的AUX接口上，对连接的Modem进行相应初始化及配置。例如配置一个用户拨号进入，用户名为auxuser，口令为auxpwd，服务类型为terminal类型。
[SecPath-aaa]
local-user auxuser password simple auxpwd
[SecPath-aaa]
local-user auxuser service-type terminal
第三步：配置从AUX接口登录用户的级别为3，采用本地aaa认证方式。
user-interface aux 0
[SecPath-ui-aux0]
authentication-mode aaa
[SecPath-ui-aux0]
user privilege level 3
第四步：配置与AUX接口连接的Modem设备支持双向呼叫、自动应答，且连接超时时间不受限制。
[SecPath-ui-aux0]
idle-timeout 0 0
[SecPath-ui-aux0]
modem both
[SecPath-ui-aux0]
modem timer answer 60
第五步：配置AUX接口采用流方式工作。
interface aux 0
[SecPath-Aux0]
async mode flow
第六步：在PC机处打开终端仿真程序（如Windows 9X的Hyperterm超级终端等），选择Modem作为连接时的设备，输入电话号码（如），建立连接，如下图所示：
&配置拨号号码和连接设备
&在远地微机上启动拨号
第七步：在弹出的远端终端仿真程序界面上输入用户名和口令（如用户名auxuser，口令auxpwd），验证通过后界面中出现命令行提示符（如&SecPath&）。
此时可以键入命令，查看SecPath防火墙运行状态，或对SecPath防火墙进行配置，需要帮助可以随时键入“?”，关于具体的操作请参考以后各章节。
通过Telnet方式搭建
当配置终端与SecPath防火墙之间有可达路由时，可以用Telnet方式通过局域网或广域网登录到SecPath防火墙，然后对SecPath防火墙进行配置。即必须预先进行如下配置，才能采用Telnet方式搭建环境。
1. 采用Telnet方式前的配置准备
第一步：微机（PC机或终端）通过RS-232串口连接SecPath防火墙Console接口，SecPath防火墙Ethernet1/0/0连接到Internet，Internet中某远端PC机作为Telnet Client设备。
第二步：参照<a
href="#_Ref.1.2&
实现设备和SecPath 防火墙互相ping通中的描述，实现远端PC（Telnet客户端）能ping通SecPath。
第三步：通过Console接口配置Telnet登录用户名/口令。
[SecPath-aaa]
local-user telnetuser password simple telnetpwd
[SecPath-aaa]
local-user telnetuser service-type telnet
第四步：通过Console接口配置本地AAA认证，及Telnet登录认证（即VTY虚拟线认证）。
[SecPath-aaa]
authentication-scheme telnetuser
[SecPath-aaa-authen-telnetuser]
authentication-mode local radius
[SecPath-aaa-authen-telnetuser]
[SecPath-aaa]
user-interface vty 0 4
[SecPath-ui-vty0-4]
authentication-mode aaa
第五步：通过Console接口配置ACL规则，允许从远端PC到SecPath防火墙的Telnet报文通过，并在Untrust和Local区域间入方向应用ACL规则。
acl number 3101
[SecPath-acl-adv-3101]
rule permit tcp source 30.3.3.3 0 destination 10.1.1.1 0
[SecPath-acl-adv-3101]
firewall interzone untrust local
[SecPath-interzone-local-untrust]
packet-filter 3101 inbound
第六步：通过Console接口配置Telnet登录用户级别切换口令，即切换到管理级（3级）的口令为superpwd。
super password level 3 simple superpwd
2. 建立Telnet连接
第一步：建立本地配置环境，只需将微机以太网口通过局域网与SecPath防火墙的以太网口连接，也可以通过HUB或以太网交换机实现网络层互通，如下图所示：
通过局域网搭建本地配置环境
如果建立远程配置环境，需要将微机和SecPath防火墙通过广域网连接，如下图所示：
通过广域网搭建远程配置环境
第二步：在微机上运行Telnet程序，键入SecPath防火墙以太网口IP地址（或在远端微机上键入SecPath防火墙广域网口IP地址），与SecPath防火墙建立连接，如果出现“Too many users!”的提示，则请稍候再连。如下图所示：
运行Telnet程序
第三步：Telnet界面上显示如下信息，输入用户名telnetuser，口令telnetpwd，然后出现命令行提示符（如&SecPath&）。
*********************************************************
*&&&&&&&&&
All rights reserved
()&&&&&&&&&&&&&
Without the owner's prior written consent,&&&&&&
decompiling or reverse-engineering shall be allowed.*
*********************************************************
authentication
Username:telnetuser
Password:*********
Note：The max number of VTY users is 5,and the current number of VTY users
on line is 1.
&SecPath&&&&&&&&&&&&&&&
主机名为远程连接的SecPath防火墙主机名或SecPath防火墙IP地址。
第四步：键入命令，配置SecPath防火墙或查看SecPath防火墙运行状态，需要联机帮助可以随时键入“?”，关于具体的命令请参考后续各章节。
通过Telnet方式配置SecPath防火墙过程中，请不要轻易改变SecPath防火墙上此Telnet连接的IP地址，否则Telnet连接将断开。如果必须修改IP地址，请通过Console口或AUX接口修改，以后则可以再通过Telnet方式与新IP地址建立连接。
通过SSH方式搭建
SSH是Secure
Shell（安全外壳）的简称，用户通过一个不能保证安全的网络环境远程登录到SecPath防火墙时，SSH特性可以提供安全的信息保障和强大的认证功能，以保护SecPath防火墙不受诸如IP地址欺诈、明文密码截取等等攻击。搭建配置环境的方法和Telnet方式相似。
第一步：建立本地配置环境，只需将微机以太网口通过局域网与SecPath防火墙的以太网口连接，也可以通过HUB或以太网交换机实现网络层互通；如果建立远程配置环境，需要将微机和SecPath防火墙通过广域网连接。
第二步：在微机上运行Telnet程序，并配置其终端类型为VT100，键入SecPath防火墙以太网口IP地址（或在远端微机上键入SecPath防火墙广域网口IP地址），与SecPath防火墙建立连接。
第三步：在SecPath防火墙上配置SSH参数，具体请参见本章中的“终端服务”部分中的SSH终端服务。
2.3& 命令行接口
系统向用户提供一系列配置命令以及命令行接口，用户通过该接口可以配置和管理SecPath防火墙。命令行接口有如下特性：
l通过Console口进行本地配置
l通过AUX口进行本地或远程配置
l通过Telnet、SSH进行本地或远程配置
l提供User-interface视图，管理各种终端用户的特定配置
l命令分级保护，不同级别的用户只能执行相应级别的命令
l通过本地、AAA验证方式，确保系统的安全
l提供联机帮助，用户可以随时键入“?”获得相关信息
l提供网络测试命令，如tracert、ping等，迅速诊断网络是否正常
l提供种类丰富、内容详尽的调试信息，帮助诊断网络故障
l提供FTP服务，方便用户上载、下载文件
l提供类似Doskey的功能，可以执行某条历史命令
l命令行解释器提供不完全匹配和上下文关联等多种智能命令解析方法，最大可能地方便用户的输入
命令行级别
系统命令行采用分级保护方式，命令行划分为参观级、监控级、配置级、管理级4个级别，简介如下：
表2-1 命令行级别
同时对登录用户划分等级，分为4级，分别与命令级别对应，即不同级别的用户登录后，只能使用等于或低于自己级别的命令。
为了防止未授权用户的非法侵入，在从低级别用户切换到高级别用户时，要进行用户身份验证。为了保密，用户键入的口令在屏幕上不查看，如果三次以内输入正确的口令，则切换到高级别用户，否则保持原用户级别不变。
命令行视图
所谓视图，就是执行命令串的场合或空间环境。SecPath防火墙中视图采用分层结构，从用户视图可以进入系统视图和FTP客户端视图，并在系统视图下可以进入各种功能视图（除FTP客户端视图外），在各功能视图中还可以进入子功能视图。
1. 系统维护相关视图
视图结构关系如下图所示：
图2-14 系统维护相关视图关系
各视图的功能描述、进入命令、进入后提示符、退出命令、退出后提示符等信息如下表格列出：
表2-2 用户视图
表2-3 系统视图
表2-4 用户界面视图
表2-5 FTP客户端视图
表2-6 RSA公共密钥视图
表2-7 RSA公共密钥编辑视图
2. 网络互连相关视图
视图结构关系如下图所示：
网络互连相关视图关系
各视图的功能描述、进入命令、进入后提示符、退出命令、退出后提示符等信息如下表格列出：
表2-8 基本接口视图
表2-9 RIP视图
表2-10 OSPF视图
在配置OSPF协议的参数信息之前，首先要在系统视图下配置路由器的ID。否则无法对OSPF协议的参数信息进行配置。
表2-12 BGP视图
3. AAA认证相关视图
视图结构关系如下图所示：
认证相关视图关系
各视图的功能描述、进入命令、进入后提示符、退出命令、退出后提示符等信息如下表格列出：
认证/授权/计费方案视图
记录方案视图
4. 安全相关视图
视图结构关系如下图所示：
安全相关视图关系
各视图的功能描述、进入命令、进入后提示符、退出命令、退出后提示符等信息如下表格列出：
表2-19 ACL视图
表2-20 防火墙区域视图
表2-21 防火墙域间视图
表2-22 IPSec提议视图
表2-23 IPSec安全策略视图
表2-24 IPSec安全策略模板视图
表2-25 IKE提议视图
5. VPN/QoS其他视图
视图结构关系如下图所示：
相关视图关系
各视图的功能描述、进入命令、进入后提示符、退出命令、退出后提示符等信息如下表格列出：
流行为视图
命令行在线帮助
通过巧妙的使用“?”，可以获取各种在线帮助信息，分别描述如下：
表2-29 命令行在线帮助
输入命令的某个关键字的前几个字母，按下&tab&键，可以查看出完整的关键字，前提是这几个字母可以唯一标示出该关键字，不会与这个命令的其它关键字混淆。
命令行错误信息
所有用户键入的命令，如果通过语法检查则正确执行，否则向用户报告错误信息，常见错误信息参见下表：
命令行常见错误信息表
命令行接口提供类似Doskey功能，将用户键入的历史命令自动保存，用户可以随时调用命令行接口保存的历史命令，并重复执行。在缺省状态下，命令行接口为每个用户最多可以保存10条历史命令。操作如下表所示：
请在所有视图下执行下列命令、使用如下按键来访问最近输入的命令。
查看历史命令
用光标键对历史命令进行访问，在Windows 3.X的Terminal和Telnet下都是有效的，但对于Windows 9X的超级终端，↑光标键会无效，这是由于Windows 9x的超级终端对这个键作了不同解释所致，这时可以用组合键&Ctrl+P&来代替↑光标键达到同样目的。
命令行接口提供了基本的命令编辑功能，支持多行编辑，每条命令的最大长度为256个字符，如下表所示：
编辑功能表
在一次查看信息超过一屏时，提供了暂停功能，这时用户可以有三种选择：
查看功能表
2.3.8& 快捷键
快捷键（也称为热键）是执行某一命令行或某种功能的一种快捷输入。系统中的快捷键一共可以分成两类：一类是系统快捷键，另一类是用户自定义的快捷键。
1. 系统快捷键
系统快捷键是系统中固定代表确定命令行的热键，这些快捷键是不能由用户更改的，具体快捷键及其代表的命令如下表：
系统快捷键
2. 自定义快捷键
自定义快捷键是提供给用户的、可以自由定义的快捷键，共有5个。其中包括：CTRL_G、CTRL_L、CTRL_O、CTRL_T、CTRL_U。用户可以根据自己的需要将这5个快捷键与任意命令进行关联，当键入快捷键时，系统将自动执行它所对应的命令。
缺省情况下，系统给CTRL_G、CTRL_L、CTRL_O三个快捷键指定了默认值，其它快捷键默认值为空。分别为：
自定义快捷键
3. 使用快捷键
l在任何允许输入命令的地方都可以键入快捷键，系统执行时，会将该快捷键对应的命令显示在屏幕上，如同输入了完整的命令一样。
l如果用户已经输入了命令的一部分，但是还没有键入回车以确认，此时键入快捷键将会把以前输入的字符全部清空，并将该快捷键对应的命令显示在屏幕上，效果与用户删除所有的输入，然后重新敲入完整的命令一样。
l快捷键的执行与命令一样，也会将命令原形记录在命令缓冲区和日志中以备问题定位和查询。
快捷键的功能可能受用户所用的终端影响，例如用户终端本身自定义的快捷键与路由器系统中的快捷键功能发生冲突，此时如果用户键入快捷键将会被终端程序截获而不能执行它所对应的命令行。
请在系统视图下进行下列配置。
定义快捷键
4. 查看快捷键
请在所有视图下执行下列命令。
查看快捷键
查看快捷键
display hotkey
hotkey命令的查看分成三类：第一类是已经定义的自定义快捷键；第二类是还未定义的可自定义快捷键，查看为“NULL”；第三类是系统快捷键。
2.4& 防火墙的基本配置
进入和退出系统视图
在从Console口登录到SecPath防火墙后，即进入用户视图，此时屏幕查看的提示符是&
SecPath &。进入和退出系统视图，可以使用如下的操作。
进入和退出系统视图
命令quit的功能是返回上一层视图，在用户视图下执行quit命令就会退出系统。return命令的功能也可以用组合键&Ctrl+Z&完成。
2.4.2& 切换语言模式
SecPath防火墙提供中、英文帮助信息，并可以在中英文之间切换。
请在用户视图下使用下面的操作。
切换语言模式
缺省情况下，系统以英文模式（english）进行查看。
2.4.3& 配置防火墙名称
防火墙名称出现在命令提示符中，用户可以根据需要更改防火墙名称。
请在系统视图下进行下面的操作。
配置防火墙名称
缺省情况下，系统名称为SecPath。
2.4.4& 配置系统时钟
为了保证与其他设备协调工作，需要准确配置系统的时间。SecPath防火墙支持时区和夏时制的配置。
请在用户视图下进行下面的操作。
配置系统时钟
配置命令级别
所有命令分为参观、监控、配置、管理4个级别，标识为0～3。系统管理员可以根据需要指定命令的级别及其所在视图。
请在系统视图下进行下列配置。
命令优先级的配置
所有的命令都有默认的视图和优先级，一般不需要用户进行重新配置。
2.4.6& 查看系统状态信息
利用display命令可以收集系统状态信息，根据功能可以划分为以下几类：
l查看系统配置信息的命令
l查看系统运行状态的命令
l查看系统统计信息的命令
有关各协议和各种接口的display命令请参见相关章节。下面只介绍一些有关系统的display命令。
请在所有视图下进行下列操作。
查看系统状态信息
在系统出现故障或日常维护时，为了便于问题定位，需要收集很多的信息，但相应的display命令很多，很难一次把信息收集全，这时可以使用display diagnostic-information命令进行系统当前各个模块的运行信息收集。
2.5& 用户管理
用户管理概述
第一次启动SecPath防火墙时，防火墙没有配置用户口令。在不需要口令的情况下，只要将计算机通过Console口与SecPath防火墙连接，任何用户可以对SecPath防火墙进行配置；如果SecPath防火墙的AUX接口安装了Modem，任何远端用户可以通过拨号网络访问SecPath防火墙；如果配置了接口IP地址，任何远端用户可能使用Telnet登录到SecPath防火墙；任何远端用户还可能与SecPath防火墙建立PPP连接从而访问网络。这些显然对网络是不安全的。为此需要为SecPath防火墙创建用户，并为用户配置口令，对用户进行管理。
从用户所获得的服务来划分，可以将SecPath防火墙的用户划分为：
l超级终端用户：通过Console口或AUX接口登录到SecPath防火墙。
lTelnet用户：使用Telnet命令登录到SecPath防火墙。
lFTP用户：与SecPath防火墙建立FTP连接进行文件传输。
lPPP用户：与SecPath防火墙建立PPP连接（例如拨号等），从而访问网络。
一个用户可能同时获得几种服务，这样只需一个用户便可以执行多种功能。
用户的优先级
Telnet用户和超级终端用户登录到SecPath防火墙后，可以对SecPath防火墙进行管理。系统对这些用户进行分级管理，用户的优先级分为0～3级。
用户需要从各种接口登录到SecPath防火墙，可以对从各接口登录的用户配置缺省的优先级，也可以单独为某个用户配置优先级。接口用户缺省的优先级和为用户特别配置的优先级中较大者是用户所获得的优先级。
对用户的验证
在配置用户后，用户登录SecPath防火墙时，系统会对用户的身份进行验证。对用户的验证有3种方式：不验证、Password验证、AAA验证。
不验证即不需用户名和口令，就可登录SecPath防火墙。为安全起见，不验证是不可取的。Password验证只需口令，不需用户名，可以获得一定的安全性。AAA验证需要用户提供用户名和口令，目前包括AAA本地验证和AAA服务器验证，AAA服务器验证又包括基于RADIUS（Remote Authentication Dial In
User Service）协议和HWTACACS协议，一般用于对PPP用户的验证。对Telnet用户和超级终端用户一般采用AAA的本地验证。AAA配置请参考本手册安全防范中的“认证、授权与计费”的相关内容。
4. 规划防火墙的用户
可以根据需要规划SecPath防火墙的用户。通常，SecPath防火墙至少需要创建一个超级终端用户。如果需要从远端登录到SecPath防火墙，则需配置一个Telnet用户。为了让远端用户向SecPath防火墙加载或下载文件，可以配置FTP用户。为了让用户通过与SecPath防火墙建立PPP连接来访问网络，则需要配置PPP用户。
这里主要介绍如何配置Telnet用户和超级终端用户，包括配置用户管理、配置用户登录相关信息。FTP用户的配置请参考本手册系统管理中的“FTP配置”的相关内容。PPP用户的配置请参考本手册安全防范中“认证、授权与计费”的内容。
用户管理的配置
配置用户包括用户验证的配置、用户优先级的配置。用户验证的作用是使合法用户能登录并使用SecPath防火墙，非法用户因不能通过验证所以不能使用SecPath防火墙。
用户优先级与命令优先级的关系是：用户使用的命令的优先级必须小于或等于用户的优先级。用户优先级和命令优先级同样都分为0～3，共4级。用户优先级的配置使用户具有不同的优先级，从而可以使用不同优先级的命令。
用户管理的配置包括：
l配置验证方式
l配置端口的缺省用户优先级
l创建用户并配置优先级
配置验证方式
当用户从视图所指的用户界面登录到SecPath防火墙时，该操作配置所需的验证方法。关键字none表示不验证用户身份。关键字password表示验证不需用户名，只需口令字。关键字aaa表示进行AAA验证，此时需要配置AAA参数，有关AAA的具体配置请参见安全防范中的AAA章节中的描述。
请在用户界面视图下进行下列配置。
使能/关闭终端验证
配置进行终端验证
authentication-mode { aaa | password }
配置不进行终端验证
authentication-mode none
VTY类型的用户界面缺省为password方式验证，其它类型用户界面缺省不进行终端验证。配置Telnet用户和超级终端用户时，通常选择关键字aaa进行AAA验证。
(1)本地Password验证：
请在用户界面视图下进行下列配置。
配置本地验证的口令
# 在user-interface vty 0上如下配置，则用户从user-interface vty 0登录时，需要输入口令H3C才能登录成功。
[SecPath-ui-vty0]
authentication-mode password
[SecPath-ui-vty0]
set authentication password simple H3C
本地AAA验证：
# 假设登录用户为Telnet用户，用户名为telnetuser，口令为telnetpwd。要求只进行本地AAA验证。
user-interface vty 0
[SecPath-ui-vty0]
authentication-mode aaa
[SecPath-ui-vty0]
[SecPath-aaa]
local-user telnetuser password simple telnetpwd
[SecPath-aaa]
local-user telnetuser service-type telnet
[SecPath-aaa]
authentication-scheme telnetuser
[SecPath-aaa-authen-telnetuser]
authentication-mode local
AAA服务器验证：
# 假设登录用户为FTP用户，用户名为ftpuser，口令为ftppwd。要求只采用RADIUS服务器进行AAA验证。
user-interface vty 0
[SecPath-ui-vty0]
authentication-mode aaa
[SecPath-ui-vty0]
[SecPath-aaa]
local-user ftpuser password simple ftppwd
[SecPath-aaa]
local-user ftpuser service-type ftp
[SecPath-aaa]
authentication-scheme ftpuser
[SecPath-aaa-authen-ftpuser]
authentication-mode radius
[SecPath-ui-vty0]
authentication-mode none
2. 配置端口缺省的用户优先级
请在用户界面视图下进行下列配置。
表2-46 配置用户的优先级
缺省情况下，Console接口对应的优先级为3，其它用户界面对应的优先级为0。
3. 创建用户并配置优先级
如果对用户进行AAA本地验证，则需要创建本地用户。
请在AAA视图下进行下列配置。
表2-47 配置用户优先级
参数local-user为用户名，参数password为用户的口令，参数level代表用户的优先级，其范围是0～3。simple表示查看用户时以明文查看口令密码，cipher表示查看用户时以密文查看口令。
用户登录SecPath防火墙时，其所能访问的命令级别取决于自身优先级与用户界面对应优先级的配置，如果两种优先级同时配置，则根据用户优先级对应的权限访问系统。例如：用户Tom优先级是3，而VTY 0用户界面配置的登录用户对应优先级为1，则Tom从VTY 0登录系统时，可以访问3级及以下的命令；如果用户Tom没有配置优先级，则从VTY 0登录系统时，只能访问1级及以下的命令。
用户登录相关信息的配置
1. 配置标题文本
标题文本是用户在连接到SecPath防火墙、进行登录验证以及开始交互配置时系统显示的一段提示信息。
请在系统视图下进行下面的操作。
表2-48 配置标题文本
2. 配置切换用户级别的口令
如果用户以较低级别的身份登录到SecPath防火墙后，需要切换到较高级别的用户身份上进行操作，需要输入用户级别的口令。该口令需要事先配置。
请在系统视图下进行如下操作。
表2-49 配置切换用户级别的口令
3. 切换用户级别
要从较低级别用户切换到较高级别的用户，需要输入正确的口令。
请在用户视图下进行如下操作。
表2-50 切换用户级别
4. 锁定用户界面
在用户需要暂时离开操作终端时，为防止未授权的用户操作该终端界面，可以锁定用户界面，锁定用户界面时，需要输入口令并确认口令。在解除锁定时，只有输入正确的口令才能操作用户界面。
请在用户视图下进行下列操作。
表2-51 锁定用户界面
典型配置举例
有关用户管理、用户登录相关配置，请参见2.2.2& 通过Telnet方式搭建中的描述。
2.6& 用户界面（User-interface）
用户界面简介
用户界面概述
用户界面（User-interface）视图是系统提供的与接口视图平行的一种新的视图，用来配置和管理所有异步且交互方式下的物理接口和逻辑接口的配置数据，从而达到统一管理各种用户配置的目的。
目前系统支持的配置方式和对应的用户界面包括：
表2-52 配置方式和用户界面
用户界面的编号
用户界面的编号有两种方式：绝对编号方式和相对编号方式。
绝对编号方式
系统的用户界面共分3类，并按照一定的先后顺序排列：
分别是控制台接口（Console）、辅助接口（AUX）、虚拟接口（VTY）三种类型。控制台和辅助接口分别只有一个； VTY类型的用户界面可能有多个，而每种类型的多个用户界面内部又按照顺序排列。绝对编号的起始编号是0，依次类推。绝对编号可以唯一的指定一个用户界面或一组用户界面。
举例说明：系统中有Console、AUX、VTY三种用户接口，其中VTY类型的接口有5个。那么系统中的绝对编号如下表所示：
表2-53 绝对编号示例
相对编号方式
相对编号方式的形式是：用户界面类型＋编号。此编号是每种类型的用户界面的内部编号。此种编号方式只能唯一指定某种类型的用户界面中的一个或一组，而不能跨类型操作。相对编号方式遵守的规则如下：
l控制台的编号：console 0；
l辅助线的编号：aux 0；
l虚拟线的编号：第一条为VTY 0，第二条为VTY 1，依次类推。
用户界面配置包括：
l进入User-interface视图
l配置异步接口属性
l配置终端属性
l配置Modem属性
l配置重定向功能
l配置VTY类型用户界面的呼入呼出限制
2.6.2& 进入用户界面视图
在系统视图下，键入相应的命令即进入相应的用户界面视图。可以进入单一用户界面视图对一个User-interface进行配置，也可以进入多条用户界面视图同时配置多条User-interface。
在用户界面视图下，可以配置和管理各个异步口的属性，包括：
l异步属性：速率、流控方式、校验、停止位、数据位。
l终端属性配置：使能终端服务功能、终端用户超时断开设定、配置终端屏幕的一屏长度、验证配置、配置历史命令缓冲区大小。
l优先级配置：配置通过用户界面登录系统的用户的优先级等。
lModem属性配置：Modem和脚本配置。
l重定向功能。
请在系统视图下进行下列配置。
表2-54 进入用户界面视图
2.6.3& 配置异步接口属性
在用户界面视图下，可以配置其异步属性。这些配置命令都只有工作在异步交互方式下才有效。
1. 配置传输速率
请在用户界面视图下进行下列配置。
表2-55 配置传输速率
缺省情况下，异步串口传输速率为9600bps。
2. 配置流控方式
请在用户界面视图下进行下列配置。
表2-56 配置流控方式
配置流控方式
flow-control { none | software | hardware }
恢复流控方式为缺省方式
undo flow-control
缺省情况下，终端线流控方式为none，即不进行流控。
3. 配置校验位
请在用户界面视图下进行下列配置。
表2-57 配置校验位
配置校验位
parity { none
| even | odd | mark | space }
配置校验位为缺省值
undo parity
缺省情况下，校验采用none，即不进行校验。
4. 配置停止位
请在用户界面视图下进行下列配置。
表2-58 配置停止位
缺省情况下，停止位是1。
5. 配置数据位
请在用户界面视图下进行下列配置。
表2-59 配置数据位
缺省情况下，数据位是8位。
2.6.4& 配置终端属性
1. 启动终端服务功能
请在用户界面视图下进行下列配置。
表2-60 启动终端服务功能
缺省情况下，所有用户界面上都启动了终端服务功能。
需要对undo shell命令做几点限制，如下：
l如果只存在Console接口不存在AUX接口，则Console接口不支持该命令；
l如果只存在AUX接口不存在Console接口，则AUX接口不支持该命令；
l如果同时存在Console接口和AUX接口，那么Console接口不支持而AUX接口支持该命令；
l对其他类型的用户界面不做限制。
2. 终端用户超时断开设定
请在用户界面视图下进行下列配置。
表2-61 配置终端用户超时断连功能
缺省情况下，启动了终端用户定时断连功能，时间为10分钟。也就是说，如果10分钟没有操作，此终端线路自动断开。您可以配置idle-timeout 0 0，即关闭定时断连功能。
3. 配置终端屏幕的一屏长度
请在用户界面视图下进行下列配置。
表2-62 配置终端屏幕的一屏长度
缺省情况下，终端屏幕满屏长度为24行。screen-length
0表示关闭分屏功能。undo screen-length表示恢复缺省配置。
4. 配置历史命令缓冲区大小
请在用户界面视图下进行下列配置。
表2-63 配置历史命令缓冲区大小
缺省情况下，历史缓冲区大小（size-value）为10，意味着缺省可存放10条历史命令。
2.6.5& 配置Modem属性
AUX接口通过Modem设备拨入，通过用户界面视图可管理和配置Modem设备的有关参数，相关配置命令只对AUX口及异步方式工作的串口有效。
请在用户界面视图下进行下列配置。
缺省情况下，允许Modem呼入和呼出，Modem采用手工应答，等待超时时间为30秒。
2.6.6& 配置重定向功能
1. 消息传递
请在用户视图下进行下列配置。
表2-65 配置消息传递
缺省情况下，未配置消息传递。
2. 自动执行命令
auto-execute
command命令使用时有如下的限制：
l如果SecPath防火墙上只有一个Console口或只有一个AUX口，那么这个口将不支持auto-execute command。
l如果SecPath防火墙上有一个Console口和一个AUX口（共两个口）则Console口不支持auto-execute command，AUX口支持auto-execute command。
l对其他类型的接口不做限制。
用户在登录时自动执行某条在该终端上用auto-execute command配置好的命令，命令执行结束后自动断开用户线。通常的用法是在终端用auto-execute command配置Telnet命令，使用户自动连接到指定的主机。
例如，用户登录后需要自动执行telnet命令从而登录到目的主机，则在用户界面视图下执行auto-execute command命令，参数为telnet 10.110.100.1。则用户下次重新登录时将自动执行telnet 10.110.100.1命令。
请在用户界面视图下进行下列配置。
表2-66 配置自动执行命令
缺省情况下，未配置自动执行命令。
使用该命令将导致不能通过该终端线对本系统进行常规配置，需谨慎使用。
在配置auto-execute command命令并保存配置（执行save操作）之前，要确保可以通过其他手段登录系统以去掉此配置。
3. 使能AUX端口重定向功能
例如，在AUX用户界面上执行redirect命令后，将使能该用户界面的重定向功能。
请在用户界面视图下进行下列配置。
表2-67 使能AUX端口重定向功能
缺省情况下，系统不支持重定向功能。
配置VTY类型用户界面的呼入呼出限制
该配置任务通过引用ACL控制列表，对VTY（Telnet）类型的用户界面的呼入呼出权限进行限制。
请在用户界面视图下进行下列配置。
表2-68 配置VTY类型用户界面的呼入呼出限制
缺省情况下，不对呼入呼出进行限制。
2.6.8& 用户界面的显示和调试
命令查看用户界面的运行情况，查看信息验证配置的效果。在用户视图下执行debugging命令可对用户界面进行调试。
请在所有视图下进行下列操作。
表2-69 用户界面的查看和调试
接口终端服务
Console接口终端服务特性参见下表：
表2-70 Console接口终端服务特性
本地不回显
二进制传输协议
接口终端服务
AUX接口终端服务特性参见下表：
接口终端服务特性
本地不回显
与SecPath防火墙接口配置一致，缺省为9600bps
与SecPath防火墙接口配置一致，缺省为8位
与SecPath防火墙接口配置一致，缺省无
与SecPath防火墙接口配置一致，缺省为1位
与SecPath防火墙接口配置一致，缺省无
在微机上运行的终端程序需按上表配置参数，其中波特率、数据位、奇偶校验及流控等参数要与相应SecPath防火墙AUX接口的配置一致。
Telnet协议在TCP/IP协议族中属于应用层协议，通过网络提供远程登录和虚拟终端功能。SecPath防火墙系统提供的Telnet服务包括：
Server终端服务配置
用户在微机上运行Telnet客户端程序，登录到SecPath防火墙上，对SecPath防火墙进行配置管理，如下图所示：
图2-19 提供Telnet Server服务
SecPath防火墙系统的Telnet服务特性参见下表：
终端服务特性
Client终端服务配置
提供Telnet Client服务，用户在微机上通过终端仿真程序或Telnet程序建立与SecPath防火墙的连接，之后输入Telnet命令再登录其它SecPath防火墙，对其进行配置管理，如下图所示：
图2-20 提供Telnet Client服务
为了防止未授权用户的非法侵入，如果在一定时间内没有接收到终端用户的输入，则断开与用户的连接，终端用户缺省的定时断开时间为10分钟。在相应的用户界面视图下，用户可以进行idle-timeout 0 0配置关闭该功能，关闭该功能后，终端用户将不被断开。
请在用户视图下进行下列配置。
表2-73 建立Telnet连接
缺省情况下，超时时间为10分钟。
3. Telnet查看和调试
在完成上述配置后，在所有视图下执行display命令可以查看配置后Telnet的运行情况，查看信息验证配置的效果。在用户视图下，执行debugging命令可对Telnet进行调试。
表2-74 Telnet连接的查看和调试
users命令只能查看与SecPath防火墙建立连接的Telnet客户通过哪个接口，如果要查看与SecPath防火墙建立连接的Telnet服务器IP地址，则需要执行display tcp 命令，其中端口号为23的TCP连接均为Telnet连接，包括Telnet客户和Telnet服务器连接。
4. Telnet服务的快捷键
在Telnet连接过程中，可以使用快捷键来中断连接。如下图所示：
快捷键使用示意图
终端运行Telnet客户端程序登录到SecPath_A，然后再Telnet连接到SecPath_B，再Telnet连接到SecPath_C成级连结构，此时SecPath_A是SecPath_B的Client，SecPath_B是SecPath_C的Client，以此结构简单的说明快捷键的用法：
表2-75 Telnet快捷键
5. Telnet登录防火墙的注意事项
当以Telnet登录防火墙时，如果用户连续三次输错密码，则系统将客户端IP地址列入黑名单，并配置其在黑名单中驻留10分钟。即如果防火墙的黑名单功能开启，在10分钟内将不再允许用户使用该客户端IP地址登录防火墙；若防火墙的黑名单功能关闭，则无此限制。
有关黑名单的功能，请参考“安全防范”的相关章节。
1. SSH简介
在成功搭建本地或远程SSH通道后，可以配置如下SSH终端服务参数，从而确保安全的配置环境。SSH客户端主要为用户与支持SSH Server的SecPath防火墙、UNIX主机等建立SSH连接。SecPath防火墙可以接受多个SSH客户的连接。
整个通讯过程中，SSH服务器端与客户端经历如下五个阶段：版本号协商阶段、密钥算法协商阶段、认证方法协商阶段、会话请求阶段、交互会话阶段，完成实现SSH的认证安全连接。
2. SSH配置
SSH的配置包括：
l配置用户界面支持的协议
l创建/删除本地RSA密钥对
l配置SSH用户的验证方式
l配置服务器密钥的更新时间
l配置SSH认证超时时间
l配置SSH验证重试次数
l进入RSA公共密钥视图
l进入RSA公共密钥编辑视图、编辑密钥
l配置SSH用户的RSA公共密钥
配置用户界面支持的协议
指定所在的用户界面支持的协议，缺省为Telnet和SSH。如果使能SSH的情况下本机RSA密钥没有配置，则仍然不能通过SSH方式进行登录。配置结果在下次登录时生效。
如果在该用户界面上配置的支持协议是SSH，为确保登录成功，务必使用authentication-mode命令配置相应的验证方式为local或scheme default（采用AAA验证）；若验证方式为password和none，则命令protocol inbound ssh配置结果将失败。反之亦然，如果某用户界面已经配置成支持SSH协议，则在此用户界面上的验证方式就不能配置为password和none方式。
请在VTY类型的用户界面视图下进行下列配置。
表2-76 配置用户界面支持的协议
缺省情况下，支持所有的协议（参数all）。
创建/删除本地RSA密钥对
该配置任务用来产生本地服务器密钥对和主机密钥对，如果此时已经有了RSA密钥，系统提示是否替换原有密钥。产生的密钥对的命名方式分别为：
lSecPath防火墙名称 + “server”
lSecPath防火墙名称 + “host”
服务器密钥和主机密钥的位数相差至少128位，服务器密钥和主机密钥的最小长度为512位，最大长度为2048位。
请在系统视图下进行下列配置。
表2-77 创建/删除本地RSA密钥对
缺省情况下，未创建本地RSA密钥对。
成功完成SSH登录的首要操作是：配置并产生本地RSA密钥对。请您在进行其它SSH配置之前，一定记得完成rsa local-key-pair create配置，生成本地密钥对。此命令只需执行一遍，SecPath防火墙重启后不必再次执行。
配置SSH用户的验证方式
该配置任务用来为SSH用户指定验证方式。对于新的用户，必须指定验证方式，否则无法登录。新建一个SSH用户的方法，请您参考安全防范部分之“认证、授权与计费”章节中的local-user命令的应用。新配置的验证方式在下次登录时生效。
请在系统视图下进行下列配置。
表2-78 配置SSH用户的验证方式
缺省情况下，未配置登录方式，用户无法登录。
配置服务器密钥的更新时间
该配置任务用来配置服务器密钥的定时更新时间，更大限度地保证您的SSH连接的安全性。
请在系统视图下进行下列配置。
表2-79 配置服务器密钥的更新时间
缺省情况下，未配置服务器密钥的更新时间，即不更新。
配置SSH认证超时时间
该配置任务用来配置SSH的认证超时时间。
请在系统视图下进行下列配置。
表2-80 配置SSH认证超时时间
缺省情况下，系统认证超时时间为60秒。
配置SSH验证重试次数
该配置任务用来配置SSH用户请求连接的验证重试次数，防止恶意猜测等非法行为。
请在系统视图下进行下列配置。
表2-81 配置SSH验证重试次数
缺省情况下，系统的SSH验证重试次数为3。
进入RSA公共密钥视图
该配置任务用来进入RSA公共密钥视图，对客户端的公共密钥进行配置。此时的客户端密钥是由支持SSH1.5的客户端软件随机生成的。
请在系统视图下进行下列配置。
表2-82 进入RSA公共密钥视图
进入RSA公共密钥编辑视图、编辑密钥
该配置任务用来进入RSA公共密钥编辑视图，输入由客户端软件生成的RSA公共密钥数据。在对公共密钥进行编辑前，一定要在系统视图下，使用rsa peer-public-key key-name命令指定一个密钥名称。在输入密钥数据时，字符之间可以有空格，也可以按回车&Enter&键继续输入数据，所配置的公共密钥必须是按公共密钥格式编码的十六进制字符串。
请在RSA公共密钥视图下进行public-key-code-begin配置，在RSA公共密钥编辑视图下进行public-key-code-end配置。
表2-83 进入RSA公共密钥编辑视图、编辑密钥
配置SSH用户的RSA公共密钥
该配置任务用来为SSH用户分配一个已经存在的公共密钥。
请在系统视图下进行下列配置。
表2-84 配置SSH用户的RSA公共密钥
缺省情况下，未配置SSH用户的RSA公共密钥。
查看和调试
在所有视图下执行display命令查看SSH的运行情况，查看信息验证配置的效果。在用户视图下执行debugging命令可对SSH进行调试。
表2-85 SSH查看和调试
配置终端（SSH Client）与SecPath防火墙建立本地连接，终端上运行支持SSH1.5的客户端软件，这样更大限度的保证数据信息交换的安全。
本地配置组网图
根据登录验证方式不同分别介绍配置步骤，但开始任何一种配置之前，首先要执行如下操作：
rsa local-key-pair create
如果此前已完成生成本地密钥对的配置，可以略过此项操作。
# 用户登录验证方式为password。
user-interface vty 0 4
[SecPath-ui-vty0-4]
authentication-mode aaa
[SecPath-ui-vty0-4]
protocol inbound ssh
[SecPath-ui-vty0-4]
ssh user client001 authentication-type password
[SecPath-aaa]
local-user client001 password simple H3C
[SecPath-aaa]
authentication-scheme client001
[SecPath-aaa-authen-client001]
authentication-mode local
SSH的验证超时时间、重试次数以及服务器密钥更新时间可以采取系统默认值，这些配置完成以后，您就可以在其它与SecPath防火墙连接的终端上，运行支持SSH1.5的客户端软件，以用户名client001，密码H3C，访问SecPath防火墙了。
# 用户登录验证方式为RSA。
user-interface vty 0 4
[SecPath-ui-vty0-4]
authentication-mode aaa
[SecPath-ui-vty0-4]
protocol inbound ssh
[SecPath-ui-vty0-4]
[SecPath-aaa]
local-user client002 password simple H3C
[SecPath-aaa]
authentication-scheme client002
[SecPath-aaa-authen-client002]
authentication-mode local
ssh user client002 authentication-type RSA
这时您需要在支持SSH1.5的客户端软件上，随机产生RSA密钥对，在下述步骤中，将RSA公钥传送到服务器端。
rsa peer-public-key quidway002
[SecPath-rsa-public-key]
public-key-code begin
[SecPath-rsa-key-code]
739A291ABDA704F5D93DC8FDF84C427463
[SecPath-rsa-key-code]
DF178C55FAD47D913
[SecPath-rsa-key-code]
D7EDF9CED2B30BD1F52D045DE4
[SecPath-rsa-key-code]
E135523CCD74CAC61F8E58C452B2F3F2DA0DC
[SecPath-rsa-key-code]
C48E7BDDB69F3CBB0A
[SecPath-rsa-key-code]
BB2FC1ACF3EC8F828D55A36F1CDDC4BB
[SecPath-rsa-key-code]
public-key-code end
[SecPath-rsa-public-key]
peer-public-key end
ssh user client002 assign rsa-key key002
这时您可以在保留有RSA私钥的终端上运行支持SSH1.5的客户端软件，进行相应的配置，即可建立SSH连接了。
防火墙工作模式
3.1& 防火墙工作模式简介
3.1.1& 工作模式介绍
目前，SecPath防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。如果防火墙以第三层对外连接（接口具有IP地址），则认为防火墙工作在路由模式下；若防火墙通过第二层对外连接（接口无IP地址），则防火墙工作在透明模式下；若防火墙同时具有工作在路由模式和透明模式的接口（某些接口具有IP地址，某些接口无IP地址），则防火墙工作在混合模式下。下面分别进行介绍：
1. 路由模式
当SecPath防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别配置成不同网段的IP地址，重新规划原有的网络拓扑，此时相当于一台路由器。如下图所示，SecPath防火墙的Trust区域接口与公司内部网络相连，Untrust区域接口与外部网络相连。值得注意的是，Trust区域接口和Untrust区域接口分别处于两个不同的子网中。
图3-1 路由模式组网图
采用路由模式时，可以完成ACL包过滤、ASPF动态过滤、NAT转换等功能。然而，路由模式需要对网络拓扑进行修改（内部网络用户需要更改网关、路由器需要更改路由配置等），这是一件相当费事的工作，因此在使用该模式时需权衡利弊。
2. 透明模式
如果SecPath防火墙采用透明模式进行工作，则可以避免改变拓扑结构造成的麻烦，此时防火墙对于子网用户和路由器来说是完全透明的。也就是说，用户完全感觉不到防火墙的存在。
采用透明模式时，只需在网络中像放置网桥（bridge）一样插入该SecPath防火墙设备即可，无需修改任何已有的配置。与路由模式相同，IP报文同样经过相关的过滤检查（但是IP报文中的源或目的地址不会改变），内部网络用户依旧受到防火墙的保护。防火墙透明模式的典型组网方式如下：
图3-2 透明模式组网图
如上图所示，SecPath防火墙的Trust区域接口与公司内部网络相连，Untrust区域接口与外部网络相连，需要注意的是内部网络和外部网络必须处于同一个子网。
3. 混合模式
如果SecPath防火墙既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口无IP地址），则防火墙工作在混合模式下。混合模式主要用于透明模式作双机备份的情况，此时启动VRRP（Virtual
Router Redundancy Protocol，虚拟路由冗余协议）功能的接口需要配置IP地址，其它接口不配置IP地址。防火墙混合模式的典型组网方式如下：
图3-3 混合模式组网图
如上图所示，主/备SecPath防火墙的Trust区域接口与公司内部网络相连，Untrust区域接口与外部网络相连，主/备SecPath防火墙之间通过HUB或LAN Switch实现互相连接，并运行VRRP协议进行备份。需要注意的是内部网络和外部网络必须处于同一个子网。
3.1.2& 路由模式工作过程
SecPath防火墙工作在路由模式下，此时所有接口都配置IP地址，各接口所在的安全区域是三层区域，不同三层区域相关的接口连接的外部用户属于不同的子网。
当报文在三层区域的接口间进行转发时，根据报文的IP地址来查找路由表，此时SecPath防火墙表现为一个路由器。但是，SecPath防火墙与路由器存在不同，SecPath防火墙中IP报文还需要送到上层进行相关过滤等处理，通过检查会话表或ACL规则以确定是否允许该报文通过。此外，还要完成其它防攻击检查。路由模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。
3.1.3& 透明模式工作过程
SecPath防火墙工作在透明模式（也可以称为桥模式）下，此时所有接口都不能配置IP地址，接口所在的安全区域是二层区域，和二层区域相关接口连接的外部用户同属一个子网。
当报文在二层区域的接口间进行转发时，需要根据报文的MAC地址来寻找出接口，此时SecPath防火墙表现为一个透明网桥。但是，SecPath防火墙与网桥存在不同，SecPath防火墙中IP报文还需要送到上层进行相关过滤等处理，通过检查会话表或ACL规则以确定是否允许该报文通过。此外，还要完成其它防攻击检查。透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。
工作在透明模式下的SecPath防火墙在数据链路层连接局域网（LAN），网络终端用户无需为连接网络而对设备进行特别配置，就像LAN Switch进行网络连接。透明模式工作过程分为如下几个阶段：
1. 获取地址表过程
采用透明模式，防火墙依据MAC地址表进行转发，地址表由MAC地址和接口两部分组成，透明模式防火墙必须获取MAC地址和接口的对应关系。
广播消息包
透明模式防火墙与物理网段相连时，会监测该物理网段上的所有以太网帧，一旦监测到某个接口上节点发来的以太网帧，就提取出该帧的源MAC地址，并将该MAC地址与接收该帧的接口之间的对应关系加入到MAC地址表中，如下图所示：
图3-4 广播消息包
A、B、C和D四个工作站分布在两个局域网中，以太网段1与透明模式防火墙接口1相连，以太网段2与接口2相连。某一时刻，当工作站A向工作站B发送以太网帧时，透明模式防火墙和工作站B都将收到这个帧。
反向学习工作站A的MAC地址和端口对应关系
透明模式防火墙收到这个以太网帧后，就知道工作站A与透明模式防火墙接口1相连（因为从接口1收到了该帧），于是工作站A的MAC地址与透明模式防火墙接口1之间的对应关系就被加入到MAC地址表中。如下图所示：
图3-5 反向学习工作站A的MAC地址和端口对应关系
反向学习工作站B的MAC地址和端口对应关系
当工作站B对工作站A的以太网帧作出响应后，透明模式防火墙也能监测到工作站B回应的以太网帧，并知道工作站B也是与透明模式防火墙接口1相连的（因为从接口1收到了该帧），于是工作站B的MAC地址与透明模式防火墙接口1之间的对应关系也被加入到MAC地址表中。如下图所示：
图3-6 反向学习工作站B的MAC地址和端口对应关系
反向学习过程一直进行，直到所有MAC地址与接口的对应关系（本例中为工作站A、B、C和D），都会被透明模式防火墙获取（假设所有的工作站都在使用中）。
2. 转发和过滤
在链路层，透明模式防火墙根据下列三种情况对数据帧作出转发或不转发（即过滤）处理：
查找地址表成功后的转发处理
若工作站A向工作站C发送以太网帧，透明模式防火墙通过查找地址表知道工作站C与接口2对应，则将该帧从接口2转发。如下图所示：
图3-7 查找地址表成功后的转发处理
需要注意的是：当透明模式防火墙在某接口接收到广播帧或多播帧时，向其它接口进行转发。
查找地址表成功后的不转发（过滤）处理
若工作站A向工作站B发送以太网帧，因工作站B与工作站A在同一个物理网段上，透明模式防火墙对此帧进行过滤，不转发该帧。
图3-8 查找地址表成功后的不转发（过滤）处理
查找地址表失败后的转发处理
若工作站A向工作站C发送以太网帧，而在地址表中未找到关于工作站C的MAC地址与接口的对应关系，透明模式防火墙会如何处理呢？透明模式防火墙会把这个发往未知目的MAC地址的帧向除发送该帧的源接口外的其它所有接口进行转发。在这种情况下，透明模式防火墙充当的实际上是集线器的角色，确保没有使信息停止传送。如下图所示：
图3-9 查找地址表失败后的转发处理
3.1.4& 混合模式工作过程
SecPath防火墙工作在混合透明模式下，此时部分接口配置IP地址，部分接口不能配置IP地址。配置IP地址的接口所在的安全区域是三层区域，接口上启动VRRP功能，用于双机热备份；而未配置IP地址的接口所在的安全区域是二层区域，和二层区域相关接口连接的外部用户同属一个子网。
当报文在二层区域的接口间进行转发时，转发过程与透明模式的工作过程完全相同。请参见3.1.3& 透明模式工作过程中的描述。当防火墙进行双机热备份时，转发过程类似路由模式的工作过程，请参见3.1.2& 路由模式工作过程中的描述。
防火墙路由模式配置
防火墙路由模式的配置包括：
l配置防火墙工作在路由模式
l配置路由模式其它参数
配置防火墙工作在路由模式
请在系统视图下进行下列配置。
配置防火墙工作在路由模式
缺省情况下，防火墙工作在路由模式（route）下。
配置路由模式其它参数
当SecPath防火墙工作在路由模式时，相当于一台路由器，可以按照配置路由器的方式进行防火墙路由配置，从而实现网络互连并提供上层增强业务。具体配置请参见本手册链路层协议、网络协议、路由协议等章节。
防火墙透明模式配置
防火墙透明模式的配置包括：
l配置防火墙工作在透明模式
l配置地址表项
l配置对未知MAC地址的IP报文的处理方式
l配置MAC地址转发表的老化时间
配置防火墙工作在透明模式
请在系统视图下进行下列配置。
表3-2 配置防火墙工作在透明模式
缺省情况下，防火墙工作在路由模式（route）下。
3.3.2& 配置地址表项
请在系统视图下进行下列配置。
配置地址表项
配置地址表项
mac-address { static | blackhole } mac-address { interface
interface-type interface-number } vlan vlan-id
删除地址表项
undo mac-address
mac-address vlan vlan-id
undo mac-address { dynamic | static | all& | vlan vlan-id
缺省情况下，没有配置地址表项。
配置对未知MAC地址的IP报文的处理方式
当工作在透明模式下的SecPath防火墙接收到未知目的MAC地址的IP报文时，即不能根据目的MAC地址找到出接口，则SecPath防火墙根据配置情况可以用三种方式进行处理：
l直接丢弃该未知目的MAC地址的IP报文。
l在除接收到该报文的接口外的其它所有接口（接口必须属于某一安全区域）上广播ARP请求报文，并且丢弃原来的未知MAC地址的IP报文。收到ARP响应报文后，保存MAC地址和接口的对应关系。
l将此未知MAC地址的IP报文在除接收接口外的其它所有接口（接口必须属于某一安全区域）上发送，待收到响应报文后，则保存其MAC地址信息，后续报文将使用该MAC地址进行转发。
请在系统视图下进行下列配置。
表3-4 配置对未知MAC地址报文的处理方式
缺省情况下，对IP报文按照flood方式进行处理。
配置MAC地址转发表的老化时间
动态地址表的老化时间是指在该表项从地址表中删除之前的生存时间，老化时间由老化定时器控制，若该定时器超时，就将该表项从地址表中删除。
请在系统视图下进行下列配置。
表3-5 配置MAC地址转发表的老化时间
缺省情况下，MAC地址转发表的老化时间为20分钟。
3.4& 防火墙混合模式配置
防火墙混合模式的配置包括：
l配置防火墙工作在混合模式
l配置混合模式其它参数
3.4.1& 配置防火墙工作在混合模式
请在系统视图下进行下列配置。
表3-6 配置防火墙工作在混合模式
缺省情况下，防火墙工作在路由模式（route）下。
3.4.2& 配置混合模式其它参数
当SecPath防火墙工作在混合模式时，主要用于透明模式下的双机热备份应用。当使用混合模式的两台防火墙做双机热备份时，具备IP地址的端口应该配置VRRP功能特性，具体请参见本手册的可靠性的“双机热备份”一章，其余接口请参见透明模式下的相关配置进行。
防火墙工作模式的查看和调试
请在所有视图下执行display命令查看防火墙工作模式的运行情况，查看信息验证配置的效果。
表3-7 工作模式的查看和调试
3.6& 防火墙工作模式典型配置举例
3.6.1& 处理未知MAC地址的IP报文
1. 组网需求
SecPath放火墙工作在透明模式下，通过Telnet方式对防火墙进行配置管理。对于未知MAC地址的IP报文，处理方式是在除接收接口外的其它所有接口上进行转发。
图3-10 处理未知MAC地址的IP报文
3. 配置步骤
# 配置防火墙的当前工作模式为透明模式。
firewall mode transparent
# 配置防火墙透明模式下对未知MAC地址的IP报文的处理方式为在除接收接口外的其它所有接口上进行转发。
firewall unknown-mac unicast flood
3.6.2& 透明防火墙连接多个局域网
1. 组网需求
大厦某楼层的以太网段LAN1中有若干PC机及服务器，同一大厦另一楼层以太网段LAN2也有数台PC机及服务器，需要用SecPath防火墙将两个局域网连接。
图3-11 透明模式组网图
3. 配置步骤
# 配置防火墙的当前工作模式为透明模式。
firewall mode transparent
# 配置防火墙转发表的老化时间为300秒。
firewall transparent-mode mac-aging-time 300
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!}