黑盾防火墙用户手册.doc

1、黑盾防火墙产品使用手册 防 火 墙HEIDUN FIREWALL用户手册福建省海峡信息技术有限公司重 要 声 明 本书为【黑盾防火墙】产品配置使用指导手册，适用于黑盾防火墙系列产品。其内容将随着产品不断升级而改变，恕不另行通知。如有需要，请从福建省海峡信息技术有限公司网站下载本手册最新版本。在法律法规的最大允许范围内，福建省海峡信息技术有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其他任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。在法律法规的最大允许范围内，福建省海峡信息技术有限公司对于您的使用或不能使用本产品而发生的任

2、何损害（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或其他损失），不负任何赔偿责任。 感谢您购买福建省海峡信息技术有限公司研制开发的“黑盾”系列网络安全产品。请在安装本产品之前认真阅读配套的使用手册，当您开始使用黑盾防火墙时，海峡信息认为您已经阅读了本使用手册。 福建省海峡信息技术有限公司福建省福州市湖东路11号4F邮编：350003电话：08659187303706 传真：08659187303709E-mail:siHttp:/版权所有 翻录必究目 录1黑盾防火墙简介61.1系统概述61.1.1基本功能61.1.2系统技术参数71.1.3系统组成81.2用户

3、手册概述81.3产品目录81.4防火墙在线帮助91.5防火墙主页面92部署黑盾防火墙122.1黑盾防火墙网络拓扑规划122.2防火墙的透明模式和路由模式一体化132.3确定网络应用服务和防火墙配置参数133黑盾防火墙的初始安装143.1准备工作143.2把防火墙连接到网络和设备上153.3管理机的要求153.4通过WEB浏览器配置防火墙153.5通过管理机的串口配置防火墙173.5.1串口设置183.5.2管理机的配置183.5.3命令行214防火墙的安全配置264.1系统信息274.1.1版本说明284.1.2系统资源294.1.3当前连接304.1.4ARP缓存314.1.5IP资产管理3

4、24.1.6调试工具324.2系统维护354.2.1配置管理354.2.2系统升级384.2.3系统自动重启394.2.4重启系统394.2.5关闭系统404.2.6重新登录404.3系统设置414.3.1网口配置414.3.2路由配置474.3.3DHCP服务器504.3.4DDNS管理544.3.5DNS配置544.3.6时间设置544.3.7网络参数554.3.8管理员设置564.3.9管理主机614.3.10网络通信日志634.3.11应用日志644.3.12链路备份654.4IP包转换664.4.1源地址转换674.4.2目标地址转换704.4.3负载平衡744.4.4FWMARK设

5、置774.4.5TOS设置774.5访问控制794.5.1帧过滤规则804.5.2过滤规则824.5.3FTP高级过滤864.5.4WEB高级过滤884.5.5通用内容过滤894.5.6P2P应用控制904.5.7流量控制904.5.8并发数控制934.6安全选项934.6.1安全过滤选项944.6.2IDS联动设置974.6.3安全信任主机994.7IPSEC VPN配置1004.7.1VPN接口管理1014.7.2VPN节点设置1024.7.3密钥管理1064.7.4VPN隧道管理1114.7.5VPN状态1154.8拨号VPN网络管理1164.8.1用户管理1184.8.2连接状态119

6、4.8.3为远程VPN建立规则1194.8.4客户端进行VPDN拨号1224.9SSLVPN模块1274.9.1服务端管理1284.9.2客户端管理1334.9.3RADIUS用户管理1404.9.4用户组管理1424.9.5连接状态1434.9.6分支机构1444.9.7为远程SSLVPN客户端建立访问控制规则1484.10SSLVPN客户端软件1504.10.1隧道管理1514.10.2配置管理1574.10.3日志管理1624.10.4程序安装/卸载1634.11对象定义1664.11.1地址池1674.11.2服务类型1724.11.3时间域1774.11.4用户组1804.12用户认

7、证1824.12.1配置选项1824.12.2账号管理1834.12.3账号导入1844.12.4在线用户1854.12.5客户端登录1854.12.6客户端设置1874.12.7客户端修改密码1894.12.8客户端注销和退出1894.12.9客户端软件分发1904.12.10认证信任连接1914.12.11认证网关1914.12.12认证定时器1924.13审计日志1924.13.1成功审计查询1924.13.2失败审计日志1934.13.3审计备份1944.13.4系统审计查询1955黑盾防火墙应用实例1965.1源、目的地址路由（策略路由）的配置1965.2VLAN Trunk配置21

8、15.3支持视频会议2156附录1 常见网络安全术语2191 黑盾防火墙简介黑盾防火墙是海峡信息安全解决方案中一个主要的安全组件，适用于政府、企业、证券、保险、金融、公安、教育、医疗军事等行业。它是执行网络之间的访问控制策略的有效网络安全模型，阻挡了对内、对外的非法访问和不安全数据的传递，增强了内部网络的安全性。黑盾防火墙采用包过滤和应用代理相结合的技术，根据网络的数据包、来往的网络地址以及防火墙的安全规则等，审查网络的数据流，拒绝或允许访问，同时提供应用级的安全认证手段，增加应用代理功能，实现更为细致的安全控制。此外，黑盾防火墙还结合了最新的入侵检测和阻断技术，具有智能化的防范攻击能力，并为

9、管理员提供了多种方便易用的管理功能。1.1 系统概述黑盾防火墙采用集中管理的分布式安全策略，通过浏览器对防火墙进行管理，完成防火墙的设置、安全策略与规则的配置、提供审计告警信息等。黑盾防火墙是基于状态检测、网络层与应用层相结合的安全解决方案。单位内部网可以设置多个防火墙，由一个管理机负责监控管理。对于受保护的信息，用户只有在获得授权后才能访问它。黑盾防火墙的功能设计,参照了防火墙标准NIST/NSA DCA 100-95-D-0104、GB/T18019-1999、GB/T18020-1999等,集中了包过滤、电路级网关、应用级网关等各类防火墙的主要特点，经有机结合而成。1.1.1 基本功能基

10、本功能如下： 基于状态检测的动态包过滤功能； 双向网络地址转换（NAT），并支持负载平衡； 支持规则模版定制，方便防火墙部署和维护； 支持基于策略的路由，能够建立灵活的选路方式； 支持多层数据过滤，包括帧过滤，IP包过滤，应用层过滤； 第二层帧过滤功能，包括源mac地址/目标mac地址/协议过滤，并对arp等二层协议作深层过滤; IP包过滤功能，包括源地址/目的地址、源端口/目的端口、协议、服务等的过滤； 智能内容过滤功能，支持任意指定端口的通用内容过滤，最大限度地对未知病毒，反动、黄色内容进行防范和屏蔽； 透明接入功能，无需改变用户的网络结构和用户的设置； 支持DHCP、PPPOE、VLAN

11、 TRUNK接入功能； HTTP、FTP、TELNET、SMTP、POP3等应用代理； IP地址与MAC地址绑定，防止非法访问； 防范DoS等攻击，提供对攻击活动的识别和告警； 支持与多种入侵检测系统的联动功能； 提供网络访问活动情况的实时监视； 提供防火墙系统工作情况的实时监视； 提供对防火墙的各种操作的审计日志； 提供精确的流量统计，为计费提供依据 提供基于IP和服务的网络流量控制，提供基于优先级和基于带宽的控制功能，可以保证关键业务的网络带宽； 虚拟专网VPN（可选），实现内部网公共网络内部网之间的安全保密通信； 支持VPN网关和拨号VPN的使用； 支持双机热备份功能（可选）； Web界

12、面的管理程序，通过SSL加密通道进行远程管理和配置； 提供恢复出厂配置、配置存档与恢复、在线升级、日志下载等功能。1.1.2 系统技术参数网络接口三个10/100M自适应的以太网接口，符合IEEE802.3 10Base-T和IEEE802.3u 100Base-TX标准，可扩展到8个接口Console口RS232C，DTE，9600-8-N-1工作原理NAT+状态检测+透明接入+应用代理支持协议TCP/IP协议、PPPOE、802.1Q、802.1D、IPX、NETBEUI、IPSEC、PPTP、H.323、MultiCast等用户数无限制性能转发速率：大于98MbpsMTBF：60000小

13、时外型尺寸支持电信标准，可选1U上架型改进机箱电气特性电压 220230V ;频率 50/60赫兹;最大功耗 300W工作电压AC220V环境运行温度：045；非运行温度：2065，湿度 1095%（45）非冷凝80%尺寸420mm x 300mm x 43mm ( 1U标准)1.1.3 系统组成黑盾防火墙包括：硬件、专用安全操作系统（内置）和防火墙软件。黑盾防火墙采用具有安全内核的专用操作系统，具有状态检测包过滤、NAT、透明接入、应用代理、帧过滤、双机热备份、带宽控制、安全管理、VPN等模块。黑盾防火墙是黑盾安全系列产品，不同的版本提供不同的功能模块，各版本之间的差异在手册中有详细注释。1

14、.2 用户手册概述本手册详细解释了防火墙的各项功能和使用，请在安装配置防火墙前认真阅读。如果由于配置失误等造成管理员无法登录防火墙时，可按“恢复出厂配置”进行操作(详见本手册第三章的“串口配置”)，恢复出厂配置，然后恢复先前有效的配置存档。为有效使用防火墙，需要您事先了解一些与网络有关的基本知识，如Domain Name Servers (DNS ) 、IP 地址和防火墙等概念。1.3 产品目录防火墙出厂装箱清单包括如下内容：黑盾防火墙硬件主机；1根灰色或红色非屏蔽5类双绞线（直连线）；1根蓝色非屏蔽5类双绞线（交叉线）；1根电源线；1根console口连接线；用户手册（含电子版本光盘一张）；

15、防火墙外观（正面）： 背面：1.4 防火墙在线帮助防火墙提供了丰富的在线帮助。在用户接口的任何一个界面和菜单里，单击在线帮助按钮，将会打开一个新的窗口，显示与当前操作有关的帮助信息。 1.5 防火墙主页面 黑盾防火墙用WEB浏览器来进行管理，推荐使用Microsoft Internet Explorer。防火墙主界面可以分为九个部分。 系统信息：系统统信息提供防火墙系统的基本信息以及测试工具，使管理员能够了解系统的版本，系统资源，实时状态连接，ARP缓存，IP资产管理等信息，还提供了丰富的网络调试工具：PING ,路由跟踪，在线捕包等。利用系统信息工具，管理员能够了解防火墙系统以及网络的实时状

16、态。系统维护：系统维护提供了防火墙系统配置、规则配置的备份和恢复，系统升级，系统的停启以及重新登录等功能。为防火墙的安装部署，更新防火墙版本提供了强有力的功能。 系统设置：系统设置为管理员提供了防火墙各个工作模式下的基本参数、管理权限、日志服务器的配置，此外还提供了DHCP服务器功能配置。防火墙基本参数为各种工作模式下的网络接口提供详细的参数配置和状态查看,并且还可以设置VLAN,桥，PPPOE,DHCP等多种联网方式。 IP包转换：IP包转换是防火墙的一个重要功能，通过设置，防火墙会对符合条件的IP包包头进行修改。网络地址转换(NAT)可以对源地址源端口或目标地址目标端口进行一对一、一对多、

17、多对一或多对多的地址变换，实现灵活的NAT功能。此外，还可以对IP数据包打上FWMARK和TOS标记，使防火墙能够对数据包进行灵活的策略路由、流量控制(QOS)。 访问控制：访问控制是防火墙核心功能之一，提供对各个区域的资源进行访问控制。根据网络的安全策略制定相应的过滤规则，以达到管理用户以及保护内部服务的目标。在这部分配置中，除了对网络层、传输层过滤外，还可以对链路层（第二层）及应用层进行精度控制。此外，本防火墙还提供了基于时间、基于流量优先级的访问控制功能。 安全选项：防火墙为自身和安全区域提供了强大的入侵检测和抗攻击能力，它能够进行扫描检测、错包检测，抗源路由攻击，IP欺骗，SYN FL

18、OOD,ICMP FLOOD等攻击行为。防火墙还可以和入侵检测系统进行联动。 VPN设置：VPN模块为用户提供了IPSECVPN、PPTP VPN和SSLVPN三种VPN方式，并与防火墙无缝集成。VPN网关以IPSEC 协议族为基础提供安全服务，包括访问控制、无连接完整性、数据源验证、抗重播、机密性（加密）和通信流机密性。拨号VPN通过采用PPTP协议，支持CHAP,MS-CHAPV2等用户认证方式,数据采用MPPE128位加密。SSLVPN提供了灵活便捷的VPN接入，高安全强度的身份验证机制，同时适用于单个用户和一个网段的VPN接入。 对象定义：防火墙采用面向对象的管理机制，在配置各类安全策

19、略之前，先对每个网络实体进行定义，以便于策略统一部署。 身份认证：使用身份认证功能实现用户上网的实名控制，可以根据用户名进行访问控制，配置过滤规则； 管理员审计信息：用于查询管理员的操作记录，包括成功的操作及失败的操作。审计员可以对审计信息进行备份、下载及删除。 系统审计信息：用于查询防火墙系统事件，比如关闭系统、启动系统等。审计员可以对审计信息进行备份、下载、删除。图一： 黑盾防火墙主界面黑盾防火墙的默认配置是为大多数用户所普遍需要的功能而设置的。但也有一些用户有某些额外需要。为满足这些需要，可通过定购选项模块来增加额外的功能，如VPN模块。2 部署黑盾防火墙“黑盾”防火墙系列产品能为各种规

20、模的客户提供全面、实时的安全，支持宽带接入与千兆级主干网络流量，满足从远程用户/SOHO、小型办公室，到企业分支机构、电子商务站点、大型企业总部，再到电信级、网络服务运营商、数据中心网络环境的安全需求。无论您是需要低成本的用于小型网络的解决方案，还是需要电信级的核心任务实施方案，每一款黑盾防火墙都能让您构建高质量的网络安全防护体系结构，享受简便安装、直观管理和海峡信息工程师全方位的技术支持服务。用户在安装部署黑盾防火墙之前应该首先对本企业网络进行整体规划，确定网络拓扑结构，制定企业安全策略，以便于日后进行更好的管理。发起访问请求进行访问规则检查合法请求则允许对外访问发起访问请求合法请求则允许访

21、问不允许对内网的访问黑盾防火墙黑盾防火墙典型部署拓扑图2.1 黑盾防火墙网络拓扑规划一般地，使用黑盾防火墙的网络结构可以参照上图进行规划，图中所示的非安全网络为Internet。实际应用中，任何应重点保护的子网与其他不信任网络相连时，都可以考虑使用防火墙进行隔离，比如，可以在企业的财务部与其他部门之间安放一台防火墙，既可保证各部门之间能够进行必要的通信，又能保证财务部子网的安全。黑盾防火墙标准配置提供了三个网络接口：外网口、内网口和DMZ口。同时防火墙支持实际硬件载体所提供的所有网络接口，包括标准配置的三个接口和各个扩展口。标准配置的三个接口分别连接外部非安全区网络、内部安全区网络和非军事化区

22、网络（DMZ区网络）。将企业网络划分为内部安全区网络和DMZ区网络，是为了将对外提供公开服务的服务器主机，如企业的web服务器、ftp服务器、邮件服务器等，与其它不提供对外服务的主机分开，这样既便于集中管理，还可将风险隔离。因为对外提供服务的主机，不可避免地要比内部不提供对外服务的主机暴露给外面世界的信息要多，这就使它们更容易遭受外部黑客的攻击。将这些服务器集中放在DMZ区，即使它们遭到攻击，也不会危及内部安全区网络各主机的安全。内部安全区网络和DMZ区网络都是防火墙保护的安全区域。2.2 防火墙的透明模式和路由模式一体化 工作模式主要分为：透明模式、路由模式和混和模式。 透明模式：即桥模式，

23、防火墙的网口相当于交换机的端口，路由和NAT等功能将不能使用，防火墙以这种模式接入，只需要一个IP地址，供管理配置之用，不需要按网络接口划分网络区域。原网络拓扑结构无须任何改变。 路由模式：在此模式下，防火墙的正向NAT、反向NAT和路由的功能都可使用。这时内部网络客户机的网关应当设为防火墙的内网口地址。 混合模式：在此模式下，防火墙的路由和NAT功能依然可使用。同时防火墙的网口不仅可相当于交换机的端口，也可作为路由端口使用。当防火墙采用混合模式时，内部网络客户机的网关既可以设为防火墙的内网口地址，也可以直接指向防火墙外部的路由器上，内部网络配置选择余地较大。另外，也可以选择部分接口加入透明模

24、式，部分接口保留路由模式。2.3 确定网络应用服务和防火墙配置参数规划好网络结构之后，就要具体定义网络参数，请尽可能确定以下各项内容： 与外网连接的网关或路由器地址 防火墙外网口的IP地址、子网掩码 防火墙内网口的IP地址、子网掩码 防火墙DMZ口的IP地址、子网掩码 外部域名服务器地址 内部域名服务器地址 防火墙管理主机的IP地址及名称（一般放在内部网络） 企业安全策略，如： 是否允许内网访问外网，允许访问哪些服务； 是否允许进行Windows域登录，是否使用DHCP； 是否允许从外网向内部网络进行telnet和FTP服务； 内部用户访问外网是否进行流量控制、时间限制和内容限制； 本企业必须

25、使用哪些协议和服务等等。这些参数确定之后，就可以按照网络结构图安装黑盾防火墙系统了。但在防火墙能与企业网络协同工作之前，还必须进行防火墙的配置工作。其中包括防火墙系统配置和企业安全策略的实施，这将在下面的章节中讲述。3 黑盾防火墙的初始安装3.1 准备工作黑盾防火墙是硬件防火墙，出厂时已作了基本配置： DMZ口上有3个IP地址:10.1.0.1/16,172.16.0.1/16,192.168.0.1/16 缺省管理主机IP地址（由DMZ口进入）: 10.1.0.2/16,172.16.0.2/16,192.168.0.2/16 缺省管理员名：admin；口令：admin 缺省规则管理员名：r

26、ule；口令：abc123； 缺省审计名：audit；口令：abc123； 缺省管理机IP地址：192.168.0.2，10.0.0.2,172.16.0.2（由DMZ口进入）注：在实际使用中，内网和DMZ区的地址可以由用户自己指定。外网的地址由ISP分配，用户配置时只需将ISP分配的地址填入即可。3.2 把防火墙连接到网络和设备上按以下步骤安装防火墙的硬件：1) 把黑盾防火墙安装到19英寸标准机架上或一个干净、干燥、水平的台面上 。2) 把连接防火墙的电源关闭。3) 用产品包中提供的电源电缆连接防火墙和电源插座（确保防火墙的电源供应是220V）。连线方式见表1。接口交换机/集线器路由器/主机

27、外网口直接连接交叉连接内网口直接连接交叉连接DMZ口直接连接交叉连接防火墙的线路连接 将防火墙的DMZ口接到集线器或交换机上，将一台工作用机也接到同一个集线器上，或者用交叉线将防火墙DMZ口跟工作用机网卡直接相连。同时，将工作用机的地址配置成：10.1.0.2/16或172.16.0.2/16或192.168.0.2/16（出厂缺省的许可配置地址）。4) 打开连接防火墙的各设备的电源。5) 如果线路连接正确，相应的指示灯会变亮。3.3 管理机的要求 安装好硬件后，就可以配置防火墙了。用户可以用一个标准的WEB浏览器进行配置，进行配置管理的工作站（管理机）必须具备下列条件： 有Microsoft

28、 Internet Explorer 5.01或更高版本，或者Netscape Communicator 4.0或更高版本。 连接防火墙的网络必须支持TCP/IP协议。3.4 通过WEB浏览器配置防火墙 用户可以选择将管理机安放在与防火墙相连的任一网络，为安全和方便起见，建议将管理机安放在内部网。1) 记录管理机的IP地址和子网掩码。在以后过程中将会需要重新输入它们。2) 把管理机的IP地址设为与防火墙DMZ口在同一子网，比如改为10.1.0.2/16或172.16.0.2/16或192.168.0.2/16，然后根据用户的操作系统确定是否需要重新启动管理机使配置生效。注意：黑盾防火墙出厂时D

29、MZ口的IP地址初始设置为10.1.0.1/16或者172.16.0.1/16或者192.168.0.1/16 ，默认管理主机IP地址为10.1.0.2/16,172.16.0.2/16,192.168.0.2/163) 将防火墙DMZ接口和管理机连接在同一网络上，启动管理机的浏览器。4) 在浏览器的URL地址栏中，填入防火墙的IP地址https:/192.168.0.1/注意：黑盾防火墙管理时采用SSL以增加管理的安全性，因此是“https”，而不是“http”。5) 登录前将出现安全报警提示，如下图：点击“是（Y）”，出现输入登录信息的对话框，图一：防火墙的登录画面6) 输入初始用户名ad

30、min和初始密码admin，然后单击“登录”按钮，就可登录到防火墙的主页面。注意：用户名和密码是大小写敏感的。 防火墙出厂时用户名为admin，密码为admin。7) 单击屏幕主页面中的“系统配置”按钮以配置防火墙的IP地址 。接口设置画面出现在主显示区域中，详见本手册第四章第三节的“系统配置”。8) 然后在“管理主机”上加入您的管理机（即用来管理防火墙的计算机）的IP地址。注意：这一步必须在修改防火墙网口IP地址前完成，否则将无法连接防火墙。9) 在“网口配置”中为“内网口”填入内部网络中有效的IP地址和网络掩码，在“路由设置”中main路由表添加缺省网关，然后单击“确认”按钮以保存设置。1

31、0) 退出防火墙管理界面后，如果要从管理机再次连接防火墙时，就应当输入防火墙的新接口IP地址，如https:/192.168.109.13.5 通过管理机的串口配置防火墙防火墙串口提供一些命令供系统管理员配置和查看当前防火墙的状态。3.5.1 串口设置端口参数设置：波特率为9600，8位数据位，1位停止位，无奇偶效验，无流控。Console口是防火墙的串口1，海峡信息在产品包装箱中提供了连接线缆。3.5.2 管理机的配置以WINDOWS 2000以上操作系统为例.采用操作系统自带的超级终端(Hyper Terminal)应用程序。用鼠标单击“开始”，选择“附件”中“通讯”的“超级终端”，运行“

32、超级终端”。超级终端开始运行后，出现“连接描述”对话框，在名称输入项中键入连接名称，如“firewall”等，再选择一个图标，按“确定”。如下图：图一：管理机的配置出现“连接到”对话框，在“连接时使用”下拉菜单中选择“直接连接到串口1”(假设串口线连接串口1)，按“确定”。如下图：图二：主机端的配置出现“COM1属性” 对话框，把波特率设为9600，8位数据位，1位停止位，无奇偶效验，无流控，按“确定”完成设置。如下图：图三：主机端的配置确定之后，将出现一个连接到PC上COM1端口的空白超级终端窗口。在开始使用超级终端管理防火墙之前，要确保终端属性进行了正确的设置。单击“文件”菜单，选择“属性

33、”，然后单击“设置”选项卡。确保“功能键、箭头键和Ctrl键”设置为“终端键”，“终端仿真”设置为VT100。“反卷缓冲区行数”应设置为最大值。这将让你看到所做的修改，并为剪切和粘贴保存最大的历史纪录。设置如图所示： 小技巧：为了达到终端最佳视觉效果，可以把字体设置为Fixedsys.进入终端状态连接通过后，用户请键入回车键（Enter键），便可在窗口中看到命令行提示符：注意：如果没有看到，则要检查电缆是否正确连接到防火墙串口1上，或者是否选择了PC上的错误的COM 端口。系统将提示用户输入访问口令。注意：该口令防火墙出产时缺省为abc123，用户在以后的配置中可以自定义修改。黑盾防火墙的命令

34、行配置界面类似Cisco路由器的IOS配置界面，操作基本一致。该配置界面下可以做到：查看防火墙系统的基本信息，简单配置防火墙的网口地址、路由、管理主机以及防火墙系统的服务web和ssh,恢复防火墙的出厂配置等等。更多的配置工作则通过WEB浏览器配置方式完成。l 访问状态级别黑盾防火墙有两种缺省的权限状态：“普通用户”状态和“超级用户状态”。在普通用户状态中，只能查看而不能修改防火墙状态。要了解更多的信息或者需要对防火墙做某些修改，则必须进入超级用户状态3002l 如何使用命令行配置防火墙黑盾防火墙进入串口终端方式的命令行配置界面，任何时候都可以使用？号来获得在该状态下可以使用的命令集合以及各个

35、命令的含义。单独输入一个问号，将显示当前状态下所有有效的命令。在输入的一个命令后添加一个问号，将显示以此命令开头的所有有效命令及命令参数。可以使用问号?帮助在命令行配置界面中浏览所有命令。在输入部分命令后，按Tab键可以补全该命令关键字。输入命令后可以用？号来获得后续可以使用的命令或参数的帮助列表。用户终端登录后，就进入了普通用户状态。要进入超级用户状态，需要在普通用户状态下，使用命令：enable，并且输入密码，出厂密码是：“abc123”。要进入配置状态，需要在超级用户状态，使用命令：configure terminal。 命令行配置，还支持命令简写功能，只要不引起歧义，可以用命令的前几个

36、字符替代整个命令，这样，配置时的击键量就小多了。3.5.3 命令行3.5.3.1 一般用户状态下的功能见下图：SHOW 显示防火墙各种状态和参数；ENABLE 进入超级终端状态；PING 检查网络状态，与WIN98的PING 相同；TRACERTOUTE 查看至目的地址的路由信息，与WIN98下的TRACERT 相同；EXIT 退出命令行配置防火墙。提示符下敲一个问号可以取得所有命令以及命令的解释，如图：3.5.3.2 超级用户状态下的功能在普通用户提示下键入 enable命令，再键入相应的口令，进入超级用户状态，见下图：CONFIGURE 配置防火墙参数；SHOW 显示防火墙各种状态和参数；

37、ENABLE 进入超级用户状态；TELNET 远程登录；PING 与WIN98的PING 相同；SECRET 更改口令；TRACERTOUTE 查看至目的地址的路由信息,与WIN98下的TRACERT 相同；RESET 恢复出厂设置（除备份数据）；REBOOT 重新引导；EXIT 退出命令行配置防火墙。下表是普通用户、超级用户状态和配置状态下的命令列表：普通用户状态命令列表Show显示防火墙信息Enable进入超级用户状态Ping发送Ping指令Traceroute查看至目的地址的路由信息Exit退出超级用户状态命令列表Configure进入配置状态Show显示防火墙系统信息Enable进入超

38、级用户状态Telnet启动一个telnet连接Ping发送Ping指令Secret配置用户和超级用户密码Traceroute查看至目的地址的路由信息Reset恢复出厂设置Reboot重新启动防火墙Exit退出配置状态下命令列表Route配置路由Interface配置网卡和IPadminhost配置管理主机Done写入配置具体命令如下：1显示防火墙系统信息(1) show arp 显示arp缓存(2) show clock显示系统时间(3) show interface显示网络接口配置(4) show route显示路由配置(5) show memory显示内存使用情况(6) show cpu显

39、示cpu使用情况(7) show privilege显示当前用户状态，0为普通用户，1为超级用户(8) show uptime显示系统最后更新时间(9) show_version显示防火墙版本信息2ping命令，检查网络状态，与win98的ping 相同3traceroute查看至目的地址的路由信息，与win98下的tracert 相同4Enable命令，输入密码，出厂是abc123，进入超级用户管理状态5Exit退出串口终端配置系统注：进入管理员状态后，终端所有命令都可以使用，下面这些命令只有在管理员状态下才能使用6telnet 远程登录，与win98下的telnet相同7configure

40、 terminal命令，此时系统进入“配置”状态，命令提示符为configure$（1） 管理主机adminhostadminhost add interface 添加管理主机adminhost delete 输入要删除的id 删除管理主机adminhost list 查看管理主机列表（2） 管理路由routeroute add local metric 添加本地路由route add static interface metric 添加静态路由route add default interface metric 添加默认路由route delete 输入要删除的id 删除某条路由route

41、list 查看路由列表（3） 网络接口interfaceinterface list ifcfg 查看网络接口的配置状态interface list ipaddr 查看网络接口的ip地址interface set 设定网络接口的状态和模式注：其中up-yes, down-no；为pppoe,dhcp,static三种模式之一interface add 添加网络接口的ip地址interface delete 删除网络接口的ip地址（4） 服务控制server server 注：此命令可启用、停用、重启系统的web或ssh服务（5） done命令，退出配置状态，返回到管理员状态8secret命令s

42、ecret login 设置串口终端配置系统的登录密码secret enable 设置进入管理员状态的密码9reset 命令，重新设置防火墙的出厂配置reset user 重新设置用户的出厂配置reset rule 重新设置规则的出厂配置reset system 重新设置系统的出厂配置reset all 重新设置所有的出厂配置(用户.规则.系统)10reboot 命令，重启防火墙系统4 防火墙的安全配置按照您的网络情况安装黑盾防火墙之后，系统管理员首先要做的第一件事就是进行系统配置，因为只有完成系统配置之后，防火墙才能与用户的网络协同工作。下面就是以超级用户进入黑盾防火墙后所看到的管理配置界面(本系统定义了4种用户组：超级管理员、规则管理员、审计员、只读管理员。各有相应的操作权限，登录后将根据不同的权限出现不同的配置界面，三种用户详细权限定义在用户管理中说明。注意：管理机如果连续10次登录失败，在之后的10分钟内将被禁止再次尝试登录防火墙）。从上面界面看出超级用户可以进行的配置包括：系统信息、系统维护、系统设置、IP包转换、访问控制、安全选项、VPN设置、对象定义、身份认证 、注销十个大栏目（不同型号的配置栏目不