華為防火墻Eudemon500操作手冊(cè)-入門(mén)

i/1.........................................1-11.1網(wǎng)絡(luò)安全概述.....................................................................................................................1-11.1.1安全威脅..................................................................................................................1-11.1.2網(wǎng)絡(luò)安全服務(wù)分類...................................................................................................1-11.1.3安全服務(wù)的實(shí)現(xiàn)方法................................................................................................1-21.2防火墻概述.........................................................................................................................1-41.2.1安全防范體系的第一道防線——防火墻...................................................................1-41.2.2防火墻發(fā)展歷史.......................................................................................................1-41.3Eudemon產(chǎn)品簡(jiǎn)介............................................................................................................1-61.3.1Eudemon產(chǎn)品系列..................................................................................................1-61.3.2Eudemon500/1000防火墻簡(jiǎn)介...............................................................................1-61.3.3Eudemon500/1000防火墻功能特性列表................................................................1-8Eudemon.....................................................2-12.1通過(guò)Console接口搭建本地配置環(huán)境.................................................................................2-12.1.1通過(guò)Console接口搭建............................................................................................2-12.1.2實(shí)現(xiàn)設(shè)備和Eudemon防火墻互相ping通...............................................................2-42.1.3實(shí)現(xiàn)跨越Eudemon防火墻的兩個(gè)設(shè)備互相ping通................................................2-52.2通過(guò)其他方式搭建配置環(huán)境................................................................................................2-62.2.1通過(guò)AUX接口搭建..................................................................................................2-72.2.2通過(guò)Telnet方式搭建...............................................................................................2-92.2.3通過(guò)SSH方式搭建................................................................................................2-112.3命令行接口.......................................................................................................................2-122.3.1命令行級(jí)別............................................................................................................2-122.3.2命令行視圖............................................................................................................2-132.3.3命令行在線幫助.....................................................................................................2-242.3.4命令行錯(cuò)誤信息.....................................................................................................2-252.3.5歷史命令................................................................................................................2-262.3.6編輯特性................................................................................................................2-262.3.7查看特性................................................................................................................2-272.3.8快捷鍵....................................................................................................................2-272.4防火墻的基本配置............................................................................................................2-302.4.1進(jìn)入和退出系統(tǒng)視圖..............................................................................................2-302.4.2切換語(yǔ)言模式.........................................................................................................2-302.4.3配置防火墻名稱.....................................................................................................2-312.4.4配置系統(tǒng)時(shí)鐘.........................................................................................................2-312.4.5配置命令級(jí)別.........................................................................................................2-312.4.6查看系統(tǒng)狀態(tài)信息.................................................................................................2-322.5用戶管理...........................................................................................................................2-332.5.1用戶管理概述.........................................................................................................2-332.5.2用戶管理的配置.....................................................................................................2-342.5.3用戶登錄相關(guān)信息的配置.......................................................................................2-372.5.4典型配置舉例.........................................................................................................2-382.6用戶界面(User-interface).............................................................................................2-382.6.1用戶界面簡(jiǎn)介.........................................................................................................2-382.6.2進(jìn)入用戶界面視圖.................................................................................................2-402.6.3配置異步接口屬性.................................................................................................2-402.6.4配置終端屬性.........................................................................................................2-422.6.5配置Modem屬性..................................................................................................2-432.6.6配置重定向功能.....................................................................................................2-442.6.7配置VTY類型用戶界面的呼入呼出限制...............................................................2-462.6.8用戶界面的顯示和調(diào)試..........................................................................................2-462.7終端服務(wù)...........................................................................................................................2-462.7.1Console接口終端服務(wù)...........................................................................................2-462.7.2AUX接口終端服務(wù)................................................................................................2-472.7.3Telnet終端服務(wù).....................................................................................................2-472.7.4SSH終端服務(wù)........................................................................................................2-50Eudemon.....................................................3-13.1防火墻工作模式簡(jiǎn)介..........................................................................................................3-13.1.1工作模式介紹...........................................................................................................3-13.1.2路由模式工作過(guò)程...................................................................................................3-33.1.3透明模式工作過(guò)程...................................................................................................3-33.1.4混合模式工作過(guò)程...................................................................................................3-73.2防火墻路由模式配置..........................................................................................................3-83.2.1配置防火墻工作在路由模式.....................................................................................3-83.2.2配置路由模式其它參數(shù)............................................................................................3-83.3防火墻透明模式配置..........................................................................................................3-83.3.1配置防火墻工作在透明模式.....................................................................................3-93.3.2配置地址表項(xiàng)...........................................................................................................3-93.3.3配置對(duì)未知MAC地址的IP報(bào)文的處理方式...........................................................3-93.3.4配置MAC地址轉(zhuǎn)發(fā)表的老化時(shí)間.........................................................................3-103.4防火墻混合模式配置........................................................................................................3-103.4.1配置防火墻工作在混合模式...................................................................................3-103.4.2配置混合模式其它參數(shù)..........................................................................................3-113.5防火墻工作模式的切換.....................................................................................................3-113.6防火墻工作模式的查看和調(diào)試..........................................................................................3-113.7防火墻工作模式典型配置舉例..........................................................................................3-123.7.1處理未知MAC地址的IP報(bào)文...............................................................................3-123.7.2透明防火墻連接多個(gè)局域網(wǎng)...................................................................................3-12第1章防火墻概述如何在一個(gè)開(kāi)放的網(wǎng)絡(luò)應(yīng)用環(huán)境中守衛(wèi)自身的機(jī)密數(shù)據(jù)、資源及聲譽(yù)已越來(lái)越為人們所關(guān)注。網(wǎng)絡(luò)安全已成為網(wǎng)絡(luò)建設(shè)不可或缺的組成部分。非法使用：資源被未授權(quán)的用戶(也可以稱為非法用戶)或以未授權(quán)方式(非法權(quán)限)使用。例如，攻擊者通過(guò)猜測(cè)帳號(hào)和密碼的組合，從而進(jìn)入計(jì)算機(jī)系拒絕服務(wù)：服務(wù)器拒絕合法用戶正常訪問(wèn)信息或資源的請(qǐng)求。例如，攻擊者短時(shí)間內(nèi)使用大量數(shù)據(jù)包或畸形報(bào)文向服務(wù)器不斷發(fā)起連接或請(qǐng)求回應(yīng)，致使服務(wù)器負(fù)荷過(guò)重而不能處理合法任務(wù)?；蛐畔ⅰ?shù)據(jù)篡改：攻擊者對(duì)系統(tǒng)數(shù)據(jù)或消息流進(jìn)行有選擇的修改、刪除、延誤、重排序及插入虛假消息等操作，而使數(shù)據(jù)的一致性被破壞。針對(duì)上述的安全威脅而采取的安全防護(hù)措施稱為安全服務(wù)。一般定義下列幾種通用作?；蛐畔⒉槐恍孤┗虮┞督o未授權(quán)的實(shí)體。鑒別：提供某個(gè)實(shí)體身份合法性的保證。加密是將可讀的消息轉(zhuǎn)化為不可讀形式的加密文本的過(guò)程。加密不僅為用戶提供通信保密，同時(shí)也是其他許多安全機(jī)制的基礎(chǔ)，如認(rèn)證過(guò)程中口令的設(shè)計(jì)、安全通信協(xié)議的設(shè)計(jì)及數(shù)字簽名的設(shè)計(jì)等均離不開(kāi)密碼機(jī)制。EncryptionStandard)、三層數(shù)據(jù)加密標(biāo)準(zhǔn)3DES(TripleDES)等。公鑰密碼體制：相對(duì)于對(duì)稱密碼體制，公鑰密碼體制有兩個(gè)不同密鑰，可將加Adleman)。HashAlgorithm)。2.認(rèn)證認(rèn)證通常用于在訪問(wèn)網(wǎng)絡(luò)前或網(wǎng)絡(luò)提供服務(wù)前來(lái)鑒別用戶身份的合法性。相比較而言，后者具有更好的靈活性、可控性和可擴(kuò)展性。目前，在異構(gòu)網(wǎng)絡(luò)環(huán)境中，RADIUS(RemoteAccessDial-InUserService，遠(yuǎn)程訪問(wèn)撥入用戶服務(wù))作為一個(gè)開(kāi)放的標(biāo)準(zhǔn)被廣泛用于認(rèn)證服務(wù)。3.訪問(wèn)控制訪問(wèn)控制是一種加強(qiáng)授權(quán)的方法。一般分為兩種：基于操作系統(tǒng)的訪問(wèn)控制：訪問(wèn)某計(jì)算機(jī)系統(tǒng)資源時(shí)對(duì)用戶的指定訪問(wèn)行為進(jìn)行授權(quán)，可以基于身份、組、規(guī)則等配置訪問(wèn)控制策略。機(jī)制遠(yuǎn)比基于操作系統(tǒng)的訪問(wèn)控制更為復(fù)雜。一般在發(fā)起訪問(wèn)請(qǐng)求者和訪問(wèn)目標(biāo)之間的一些中介點(diǎn)上配置實(shí)施訪問(wèn)控制組件(例如防火墻)，從而實(shí)現(xiàn)基于網(wǎng)絡(luò)的接入控制。4.安全協(xié)議紹目前廣泛使用的安全協(xié)議。(1)應(yīng)用層安全它提供從一臺(tái)主機(jī)上的應(yīng)用程序通過(guò)網(wǎng)絡(luò)到另一臺(tái)主機(jī)上的應(yīng)用程序的端到端的安全性。應(yīng)用層安全機(jī)制必須根據(jù)具體應(yīng)用而定，其安全協(xié)議是應(yīng)用協(xié)議的補(bǔ)充，因此，不存在通用的應(yīng)用層安全協(xié)議。例如，SSH(SecureShell，安全外殼)協(xié)議可以建立安全的遠(yuǎn)程登錄會(huì)話和使用通(2)傳輸層安全它提供基于同一臺(tái)主機(jī)進(jìn)程之間、或不同主機(jī)上進(jìn)程之間的安全服務(wù)。傳輸層安全機(jī)制建立在傳輸層IPC(進(jìn)程間通信)界面和應(yīng)用程序兩端的安全性基礎(chǔ)上。立在可靠傳輸服務(wù)基礎(chǔ)上的安全套接層協(xié)議SSL(SecureSocketLayer)。SSLv3(3)網(wǎng)絡(luò)層安全假使上層協(xié)議沒(méi)有實(shí)現(xiàn)安全性保障，通過(guò)對(duì)網(wǎng)絡(luò)層報(bào)文進(jìn)行保護(hù)，用戶信息也能夠列網(wǎng)絡(luò)安全協(xié)議的總稱，其中包括安全協(xié)議、加密協(xié)議等，可為通訊雙方提供訪問(wèn)(4)數(shù)據(jù)鏈路層安全提供的是點(diǎn)到點(diǎn)的安全性，如在一個(gè)點(diǎn)到點(diǎn)鏈路或幀中繼的永久虛鏈路上提供安全性。鏈路層安全的主要實(shí)現(xiàn)方法是在連接鏈路的每一端使用專用設(shè)備完成加密和解密?；饓υ趯?shí)際應(yīng)用中，單一的安全防護(hù)技術(shù)并不足以構(gòu)筑一個(gè)安全的網(wǎng)絡(luò)安全體系，多種技術(shù)的綜合應(yīng)用才能夠?qū)踩L(fēng)險(xiǎn)控制在盡量小的范圍內(nèi)。一般而言，安全防范體系具體實(shí)施的第一項(xiàng)內(nèi)容就是在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)筑一道防線，以抵御來(lái)自外部的絕大多數(shù)攻擊，完成這項(xiàng)任務(wù)的網(wǎng)絡(luò)邊防產(chǎn)品我們稱其為防火墻。et訪問(wèn)控制策略的系統(tǒng)，它監(jiān)控可信任網(wǎng)絡(luò)(相當(dāng)于內(nèi)部網(wǎng)絡(luò))和不可信任網(wǎng)絡(luò)(相當(dāng)于外部網(wǎng)絡(luò))之間的訪問(wèn)通道，以防止外部網(wǎng)絡(luò)的危險(xiǎn)蔓延到內(nèi)部網(wǎng)絡(luò)上。防火限制用戶或信息由一個(gè)特定的被嚴(yán)格控制的站點(diǎn)進(jìn)入；阻止攻擊者接近其他安全防御設(shè)施；限制用戶或信息由一個(gè)特定的被嚴(yán)格控制的站點(diǎn)離開(kāi)。防火墻通常作用于被保護(hù)區(qū)域的入口處，基于訪問(wèn)控制策略提供安全防護(hù)。例如：當(dāng)防火墻位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接處時(shí)，可以保護(hù)組織內(nèi)的網(wǎng)絡(luò)和數(shù)據(jù)免遭來(lái)自外部網(wǎng)絡(luò)的非法訪問(wèn)(未授權(quán)或未驗(yàn)證的訪問(wèn))或惡意攻擊；當(dāng)防火墻位于組織內(nèi)部相對(duì)開(kāi)放的網(wǎng)段或比較敏感的網(wǎng)段(如保存敏感或?qū)Ｓ袛?shù)據(jù)的網(wǎng)絡(luò)部分)的連接處時(shí)，可以根據(jù)需要過(guò)濾對(duì)敏感數(shù)據(jù)的訪問(wèn)(即使該訪問(wèn)是來(lái)自組織內(nèi)部)。防火墻技術(shù)的發(fā)展歷史大致經(jīng)歷了以下幾個(gè)過(guò)程。1.第一代防火墻——包過(guò)濾防火墻包過(guò)濾指在網(wǎng)絡(luò)層對(duì)每一個(gè)數(shù)據(jù)包進(jìn)行檢查，根據(jù)配置的安全策略來(lái)轉(zhuǎn)發(fā)或拒絕數(shù)據(jù)包。包過(guò)濾防火墻的基本原理是：通過(guò)配置ACL(AccessControlList，訪問(wèn)控制列表)的設(shè)計(jì)簡(jiǎn)單，非常易于實(shí)現(xiàn)，而且價(jià)格便宜，但其缺點(diǎn)不容忽視，主靜態(tài)的ACL規(guī)則難以適應(yīng)動(dòng)態(tài)的安全要求；黑客蒙混過(guò)關(guān)。例如，攻擊者可以使用假冒地址進(jìn)行欺騙，通過(guò)把自己主機(jī)2.第二代防火墻——代理防火墻代理服務(wù)作用于網(wǎng)絡(luò)的應(yīng)用層，其實(shí)質(zhì)是把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)用戶之間直接進(jìn)行的業(yè)務(wù)由代理接管。代理檢查來(lái)自用戶的請(qǐng)求，認(rèn)證通過(guò)后，該防火墻將代表客戶代理防火墻能夠完全控制網(wǎng)絡(luò)信息的交換，控制會(huì)話過(guò)程，具有較高的安全性，但其缺點(diǎn)同樣突出，主要表現(xiàn)在：軟件實(shí)現(xiàn)限制了處理速度，易于遭受拒絕服務(wù)攻擊；3.第三代防火墻——狀態(tài)防火墻狀態(tài)分析技術(shù)是包過(guò)濾技術(shù)的擴(kuò)展(非正式的也可稱為“動(dòng)態(tài)包過(guò)濾”)?；谶B接狀態(tài)的包過(guò)濾在進(jìn)行數(shù)據(jù)包的檢查時(shí)，將每個(gè)數(shù)據(jù)包看成是獨(dú)立單元的同時(shí)，還要考慮前后報(bào)文的歷史關(guān)聯(lián)性。如下：狀態(tài)防火墻使用各種狀態(tài)表來(lái)追蹤激活的TCP(TransmissionControlProtocol)會(huì)話和UDP(UserDatagramProtocol)偽會(huì)話(在處理基于UDP態(tài)信息，并保存到動(dòng)態(tài)狀態(tài)表中，通過(guò)分析這些狀態(tài)表和與該數(shù)據(jù)包有關(guān)的后續(xù)連接請(qǐng)求來(lái)做出恰當(dāng)決定。從外部網(wǎng)絡(luò)向內(nèi)看，狀態(tài)防火墻更像一個(gè)代理系統(tǒng)(任何外部服務(wù)請(qǐng)求都來(lái)自于同一主機(jī))，而由內(nèi)部網(wǎng)絡(luò)向外看，狀態(tài)防火墻則像一個(gè)包過(guò)濾系統(tǒng)(內(nèi)部用戶認(rèn)為他們直接與外部網(wǎng)交互)。：記錄檢查即可。檢查通過(guò)后，該連接狀態(tài)記錄將被刷新，從而避免重復(fù)檢查排列的ACL不同，于是狀態(tài)防火墻可采用諸如二叉樹(shù)或哈希(hash)等算法進(jìn)行快速搜索，提高了系統(tǒng)的傳輸效率。返回報(bào)文入口隨即關(guān)閉，這保障了內(nèi)部網(wǎng)絡(luò)的實(shí)時(shí)安全。同時(shí)，狀態(tài)防火墻采用實(shí)時(shí)連接狀態(tài)監(jiān)控技術(shù)，通過(guò)在狀態(tài)表中識(shí)別諸如應(yīng)答響應(yīng)等連接狀態(tài)因素，增強(qiáng)了系統(tǒng)的安全性。華為公司的Eudemon系列硬件防火墻產(chǎn)品是一種改進(jìn)型的狀態(tài)防火墻，包括Eudemon100、Eudemon200、Eudemon500、Eudemon1000等多種型號(hào)，它結(jié)合華為公司特有的ASPF(ApplicationSpecificPacketFilter)技術(shù)，兼具有代理防火墻安全性高、狀態(tài)防火墻速度快的優(yōu)點(diǎn)。Eudemon系列防火墻采用專門(mén)設(shè)計(jì)的高可靠性硬件系統(tǒng)和具有自主知識(shí)產(chǎn)權(quán)的專有豐富的統(tǒng)計(jì)分析功能、多種安全保障措施集于一身，提供多類型接口和工作模式。Eudemon系列防火墻處理能力從低端數(shù)十兆到高端數(shù)千兆，結(jié)合華為公司已有的路網(wǎng)絡(luò)安全解決方案。作為新一代高速狀態(tài)防火墻，Eudemon500/1000為大中型客戶提供了高性價(jià)比的網(wǎng).高安全性與那些基于通用操作系統(tǒng)的軟件防火墻相比較，Eudemon500/1000采用專門(mén)設(shè)計(jì)的防火墻硬件平臺(tái)和具有自主知識(shí)產(chǎn)權(quán)的安全操作系統(tǒng)，報(bào)文處理和操作系統(tǒng)完全分開(kāi)，這種無(wú)依賴性大大提高了系統(tǒng)安全性。協(xié)同ACL完成包過(guò)濾。此外，Eudemon500/1000還提供數(shù)十種攻擊的防范能力。所有這些都有效地保障了網(wǎng)絡(luò)的安全。2.高速處理能力Eudemon500/1000防火墻定位于大中型企業(yè)和行業(yè)用戶，通過(guò)采用NP(NetworkProcessor)技術(shù)提供線速的高性能安全防范和報(bào)文處理能力。3.高可靠性專門(mén)設(shè)計(jì)的防火墻軟件，每一環(huán)節(jié)均考慮到對(duì)各種攻擊的防御，通過(guò)優(yōu)先級(jí)調(diào)度和流控等手段使得系統(tǒng)具備很好的強(qiáng)壯性。Eudemon500/1000防火墻支持雙機(jī)狀態(tài)熱4.強(qiáng)大的組網(wǎng)和業(yè)務(wù)支撐能力Eudemon500/1000防火墻提供集成的高速以太網(wǎng)接口，不僅支持豐富的協(xié)議，如等，而且還支持對(duì)有害命令的檢測(cè)功能。提供NAT(NetworkAddressTranslation)dEudemon500/1000防火墻除了具備各種安全防范功能，提供高效的安全保障能力外，還集成了部分路由能力，如靜態(tài)路由、RIP(RoutingInformationProtocol)和OSPF(OpenShortestPathFirst)動(dòng)態(tài)路由，使得防火墻的組網(wǎng)應(yīng)用更加靈活。5.強(qiáng)大的日志和統(tǒng)計(jì)分析功能提供強(qiáng)大的日志和統(tǒng)計(jì)分析功能，在安全分析和事后追蹤等方面提供了有力的幫助。nEudemon特性列表地址轉(zhuǎn)換(NAT和NAPT)等計(jì)支持靜態(tài)域名解析塞管理NATAAA信息授權(quán)用戶無(wú)法侵入防火墻絡(luò)故障性日志服務(wù)器進(jìn)行日志瀏覽和查詢維護(hù)方式。當(dāng)防火墻初次上電、與外部網(wǎng)絡(luò)連接中斷或出現(xiàn)其他異常情況時(shí)，則可以采用這種方式配置防火墻。第一步：建立本地配置環(huán)境。將微機(jī)(PC機(jī)或終端)的串口通過(guò)標(biāo)準(zhǔn)RS-232電纜Console接口ConsoleConsole接口建立新連接，如下圖所示：圖2-2新建連接圖2-3選擇實(shí)際連接使用的微機(jī)串口RS如下圖所示：圖2-5選擇終端仿真類型圖2-4端口通信參數(shù)配置第四步：Eudemon防火墻上電自檢，系統(tǒng)自動(dòng)進(jìn)行配置，自檢結(jié)束后提示用戶鍵入回車，直到出現(xiàn)命令行提示符(如<Eudemon>)。機(jī)幫助時(shí)可以隨時(shí)鍵入“?”，關(guān)于具體命令的使用請(qǐng)參考后續(xù)章節(jié)。請(qǐng)一定配置對(duì)應(yīng)的本地用戶名和口令，否則會(huì)導(dǎo)致無(wú)法從Console接口進(jìn)入配置界eConsoleLocal區(qū)域Untrust區(qū)域[Eudemon]interfaceethernet1/0/0[Eudemon-Ethernet1/0/0]ipaddress24[Eudemon-Ethernet1/0/0]quit[Eudemon]firewallzoneuntrust[Eudemon-zone-untrust]addinterfaceethernet1/0/0<Eudemon>system-view[Eudemon]aclnumber3101[Eudemon-acl-adv-3101]rulepermiticmpsource540destination0[Eudemon]firewallinterzoneuntrustlocal[Eudemon-interzone-local-untrust]packet-filter3101inbound防火墻缺省禁止任何報(bào)文通過(guò)。用戶需要允許防火墻的某安全域間缺省允許報(bào)文通過(guò)，或配置域間包過(guò)濾規(guī)則。否則防火墻將不可用。[Eudemon]acl3101[Eudemon-acl-adv-3101]rulepermiticmpsource0destination540[Eudemon-acl-adv-3101]quit[Eudemon]firewallinterzonelocaluntrust[Eudemon-interzone-local-untrust]packet-filter3101outbound防火墻的安全域間的一個(gè)方向上僅能配置一條包過(guò)濾規(guī)則。eEudemon防火墻Ethernet1/0/0通過(guò)LAN與Router設(shè)備連接，Eudemon的Serverping操作ping操作Untrust區(qū)域Console54Eth/0回報(bào)文通過(guò)。<Eudemon>system-view[Eudemon]aclnumber3105[Eudemon-acl-adv-3105]rulepermiticmpsource540destination540[Eudemon-acl-adv-3105]rulepermiticmpsource540destination540[Eudemon]firewallinterzoneuntrustdmz[Eudemon-interzone-dmz-untrust]packet-filter3105inbound[Eudemon-interzone-dmz-untrust]packet-filter3105outbound配置環(huán)境為了更方便的配置Eudemon防火墻，系統(tǒng)支持用戶進(jìn)行本地與遠(yuǎn)程配置。搭建配置環(huán)境可通過(guò)以下幾種方法實(shí)現(xiàn)，針對(duì)每種配置環(huán)境有對(duì)應(yīng)的終端服務(wù)特性，具體內(nèi)容請(qǐng)參見(jiàn)本章中的“終端服務(wù)”部分。通過(guò)SSH方式搭建本地或遠(yuǎn)程配置環(huán)境AUX接口也稱為輔助接口(auxiliary)或備份接口，可以像Console接口一樣提供eAUX接口圖2-8搭建遠(yuǎn)程配置環(huán)境例如配置一個(gè)用戶撥號(hào)進(jìn)入，用戶名為auxuser，口令為auxpwd，服務(wù)類型為[Eudemon-aaa]local-userauxuserpasswordsimpleauxpwd[Eudemon-aaa]local-userauxuserservice-typeterminal[Eudemon]user-interfaceaux0[Eudemon-ui-aux0]authentication-modeaaa[Eudemon-ui-aux0]userprivilegelevel3時(shí)間不受限制。[Eudemon-ui-aux0]idle-timeout00[Eudemon-ui-aux0]modemboth[Eudemon-ui-aux0]modemtimeranswer60[Eudemon]interfaceaux0[Eudemon-Aux0]asyncmodeflow第六步：在PC機(jī)處打開(kāi)終端仿真程序(如Windows9X的Hyperterm超級(jí)終端等)，選擇Modem作為連接時(shí)的設(shè)備，輸入電話號(hào)碼(如12345678)，建立連接，如下圖圖2-9配置撥號(hào)號(hào)碼和連接設(shè)備圖2-10在遠(yuǎn)地微機(jī)上啟動(dòng)撥號(hào)第七步：在彈出的遠(yuǎn)端終端仿真程序界面上輸入用戶名和口令(如用戶名auxuser，口令auxpwd)，驗(yàn)證通過(guò)后界面中出現(xiàn)命令行提示符(如<Eudemon>)。eEudemon防火墻Ethernet1/0/0連接到Internet，Internet中某遠(yuǎn)端PC機(jī)作為[Eudemon-aaa]local-usertelnetuserpasswordsimpletelnetpwd[Eudemon-aaa]local-usertelnetuserservice-typetelnet認(rèn)證)。[Eudemon-aaa]authentication-schemetelnetuser[Eudemon-aaa-authen-telnetuser]authentication-modelocalradius[Eudemon-aaa-authen-telnetuser]quitEudemon-aaa]quit[Eudemon]user-interfacevty04[Eudemon-ui-vty0-4]authentication-modeaaa[Eudemon]aclnumber3101[Eudemon-acl-adv-3101]rulepermittcpsource0destination0[Eudemon-acl-adv-3101]quit[Eudemon]firewallinterzoneuntrustlocal[Eudemon-interzone-local-untrust]packet-filter3101inbound級(jí))的口令為superpwd。[Eudemon]superpasswordlevel3simplesuperpwd第一步：建立本地配置環(huán)境，只需將微機(jī)以太網(wǎng)口通過(guò)局域網(wǎng)與Eudemon防火墻的運(yùn)行Telnet客戶端程序的PCLapTop服務(wù)器Eudemon圖2-11通過(guò)局域網(wǎng)搭建本地配置環(huán)境如果建立遠(yuǎn)程配置環(huán)境，需要將微機(jī)和Eudemon防火墻通過(guò)廣域網(wǎng)連接，如下圖所運(yùn)行Telnet客戶端程序的PC服務(wù)器廣域網(wǎng)廣域網(wǎng)口服務(wù)器圖2-12通過(guò)廣域網(wǎng)搭建遠(yuǎn)程配置環(huán)境n然后出現(xiàn)命令行提示符(如<Eudemon>)。***********************************************************Allrightsreserved(1997-2004)Withouttheowner'spriorwrittenconsent,***nodecompilingorreverse-engineeringshallbeallowed.**********************************************************LoginauthenticationUsername:telnetuserPassword:*********Note：ThemaxnumberofVTYusersis5,andthecurrentnumberofVTYusersonlineis1.<Eudemon>機(jī)幫助可以隨時(shí)鍵入“?”，關(guān)于具體的命令請(qǐng)參考后續(xù)各章節(jié)。SSH是SecureShell(安全外殼)的簡(jiǎn)稱，用戶通過(guò)一個(gè)不能保證安全的網(wǎng)絡(luò)環(huán)境置環(huán)境的方法和Telnet方式相似。onHUB置環(huán)境，需要將微機(jī)和Eudemon防火墻通過(guò)廣域網(wǎng)連接。n以太網(wǎng)口IP地址(或在遠(yuǎn)端微機(jī)上鍵入Eudemon防火墻廣域網(wǎng)口IP地址)，與Eudemon防火墻建立連接。系統(tǒng)向用戶提供一系列配置命令以及命令行接口，用戶通過(guò)該接口可以配置和管理命令分級(jí)保護(hù)，不同級(jí)別的用戶只能執(zhí)行相應(yīng)級(jí)別的命令提供聯(lián)機(jī)幫助，用戶可以隨時(shí)鍵入“?”獲得相關(guān)信息tracert、ping等，迅速診斷網(wǎng)絡(luò)是否正常提供種類豐富、內(nèi)容詳盡的調(diào)試信息，幫助診斷網(wǎng)絡(luò)故障提供類似Doskey的功能，可以執(zhí)行某條歷史命令命令行解釋器提供不完全匹配和上下文關(guān)聯(lián)等多種智能命令解析方法，最大可能地方便用戶的輸入系統(tǒng)命令行采用分級(jí)保護(hù)方式，命令行劃分為參觀級(jí)、監(jiān)控級(jí)、配置級(jí)、管理級(jí)4個(gè)級(jí)別，簡(jiǎn)介如下：表2-1命令行級(jí)別網(wǎng)絡(luò)診斷工具命令(ping、tracert)、從本設(shè)備出發(fā)訪問(wèn)外部設(shè)用戶管理命令、級(jí)別配置命令、系統(tǒng)內(nèi)部參數(shù)配置命令(非協(xié)議級(jí)別號(hào)級(jí)別名稱0參觀級(jí)1監(jiān)控級(jí)2配置級(jí)3管理級(jí)同時(shí)對(duì)登錄用戶劃分等級(jí)，分為4級(jí)，分別與命令級(jí)別對(duì)應(yīng)，即不同級(jí)別的用戶登錄后，只能使用等于或低于自己級(jí)別的命令。為了防止未授權(quán)用戶的非法侵入，在從低級(jí)別用戶切換到高級(jí)別用戶時(shí)，要進(jìn)行用戶身份驗(yàn)證。為了保密，用戶鍵入的口令在屏幕上不查看，如果三次以內(nèi)輸入正確所謂視圖，就是執(zhí)行命令串的場(chǎng)合或空間環(huán)境。Eudemon防火墻中視圖采用分層結(jié)構(gòu)，從用戶視圖可以進(jìn)入系統(tǒng)視圖和FTP客戶端視圖，并在系統(tǒng)視圖下可以進(jìn)入各種功能視圖(除FTP客戶端視圖外)，在各功能視圖中還可以進(jìn)入子功能視圖。1.系統(tǒng)維護(hù)相關(guān)視圖視圖結(jié)構(gòu)關(guān)系如下圖所示： 登錄用戶視圖登錄用戶視圖用戶界面視圖系統(tǒng)視圖RSA公共密鑰視圖RSA公共密鑰編輯視RSA公共密鑰視圖各視圖的功能描述、進(jìn)入命令、進(jìn)入后提示符、退出命令、退出后提示符等信息如下表格列出：表2-2用戶視圖<Eudemon><Eudemon>quit<Eudemon>system-viewt<Eudemon>表2-4用戶界面視圖[Eudemon]user-interfaceconsole0[Eudemon-ui-console0][Eudemon-ui-console0]quit<Eudemon>ftp或[ftp]quit<Eudemon>A[Eudemon]rsapeer-public-keytest[Eudemon-rsa-public-key][Eudemon-rsa-public-key]peer-public-keyendRSA[Eudemon-rsa-public-key]public-key-codebegin[Eudemon-rsa-key-code][Eudemon-rsa-key-code]public-key-codeend[Eudemon-rsa-public-key]2.網(wǎng)絡(luò)互連相關(guān)視圖視圖結(jié)構(gòu)關(guān)系如下圖所示：登登錄用用戶視圖接口視圖系統(tǒng)視圖各視圖的功能描述、進(jìn)入命令、進(jìn)入后提示符、退出命令、退出后提示符等信息如表2-8基本接口視圖[Eudemon]interfaceethernet1/0/0e一列舉[Eudemon-Ethernet1/0/0][Eudemon-Ethernet1/0/0]quitEudemonrip]quit進(jìn)入后提示符PFf[Eudemon-ospf-1][Eudemon-ospf-1]quit在配置OSPF協(xié)議的參數(shù)信息之前，首先要在系統(tǒng)視圖下配置路由器的ID。否則無(wú)進(jìn)入后提示符OSPF區(qū)域視圖[Eudemon-ospf-1]area1參數(shù)1表示區(qū)域標(biāo)識(shí)，是十進(jìn)制整數(shù)(取值范圍為0~4294967295)或[Eudemon-ospf-1-area-][Eudemon-ospf-1-area-]quit[Eudemon-ospf-1][Eudemon]bgpas-numberSEudemonbgp]quit認(rèn)證方案視圖記錄方案視圖RADIUS視圖各視圖的功能描述、進(jìn)入命令、進(jìn)入后提示符、退出命令、退出后提示符等信息如Eudemonaaa]quit進(jìn)入后提示符DIUS[Eudemon]radius-servertemplatetestname[Eudemon-radius-testname][Eudemon-radius-testname]quitTACACS[Eudemon]hwtacacs-servertemplatetestname[Eudemon-hwtacacs-testname][Eudemon-hwtacacs-testname]quit表2-16認(rèn)證/授權(quán)/計(jì)費(fèi)方案視圖[Eudemon-aaa]authentication-schememyscheme[Eudemon-aaa]authorizatication-schememyscheme[Eudemon-aaa-authen-myscheme][Eudemon-aaa-authen-myscheme]quit表2-17記錄方案視圖[Eudemon-aaa]recording-schememyscheme[Eudemon-aaa-recording-myscheme][Eudemon-aaa-recording-myscheme]quit登錄登錄[Eudemon-aaa]domainmydomain[Eudemon-aaa-domain-mydomain][Eudemon-aaa-domain-mydomain]quit4.安全相關(guān)視圖ACLACL視圖防火墻區(qū)域視圖用戶視圖防火墻域間視圖系統(tǒng)視圖安全策略視圖安全策略模板視圖各視圖的功能描述、進(jìn)入命令、進(jìn)入后提示符、退出命令、退出后提示符等信息如下表格列出：[Eudemon]aclnumber2001一一列舉[Eudemon-acl-basic-2001][Eudemon-acl-basic-2001]quit配置防火墻安全區(qū)域(Trust、Untrust、DMZ、local、name)的相關(guān)參數(shù)[Eudemon]firewallzonetrust[Eudemon-zone-trust][Eudemon-zone-trust]quit[Eudemon]firewallinterzonetrustdmz用戶定義區(qū)域(如test)之間的任意組合，不同參數(shù)對(duì)應(yīng)的提示符號(hào)有[Eudemon-interzone-trust-dmz][Eudemon-interzone-trust-dmz]quit[Eudemon]ipsecproposaltest[Eudemon-ipsec-proposal-test][Eudemon-ipsec-proposal-test]quit[Eudemon]ipsecpolicytest1isakmp[Eudemon-ipsec-policy-isakmp-test-1][Eudemon-ipsec-policy-isakmp-test-1]quit令[Eudemon]ipsecpolicy-templatetest1[Eudemon-ipsec-policy-templet-test-1][Eudemon-ipsec-policy-templet-test-1]quit令[Eudemon]ikeproposal1[Eudemon-ike-proposal-1][Eudemon-ike-proposal-1]quit用戶視圖錄用戶視圖系統(tǒng)視圖策略視圖類視圖流行為視圖各視圖的功能描述、進(jìn)入命令、進(jìn)入后提示符、退出命令、退出后提示符等信息如LTP[Eudemon]l2tp-group1onltp[Eudemon-l2tp1]quit表2-27策略視圖[Eudemon]qospolicytest[Eudemon-qospolicy-test][Eudemon-qospolicy-test]quit表2-28類視圖[Eudemon]trafficclassifiertest[Eudemon-classifier-test][Eudemon-classifier-test]quit表2-29流行為視圖[Eudemon]trafficbehaviortest[Eudemon-behavior-test]quit行在線幫助表2-30命令行在線幫助則列出有關(guān)的參數(shù)列出命令以該字符串開(kāi)頭的所有關(guān)鍵<Eudemon>?<Eudemon>display?[Eudemon]interfaceethernet?[Eudemon]interfaceethernet1/0/0?<Eudemon>d?<Eudemon>displayh?輸入命令的某個(gè)關(guān)鍵字的前幾個(gè)字母，按下<tab>鍵，可以查看出完整的關(guān)鍵字，前提是這幾個(gè)字母可以唯一標(biāo)示出該關(guān)鍵字，不會(huì)與這個(gè)命令的其它關(guān)鍵字混淆。所有用戶鍵入的命令，如果通過(guò)語(yǔ)法檢查則正確執(zhí)行，否則向用戶報(bào)告錯(cuò)誤信息，表2-31命令行常見(jiàn)錯(cuò)誤信息表參數(shù)等edcommandtersouscommand史命令調(diào)用命令行接口保存的歷史命令，并重復(fù)執(zhí)行。在缺省狀態(tài)下，命令行接口為每個(gè)請(qǐng)?jiān)谒幸晥D下執(zhí)行下列命令、使用如下按鍵來(lái)訪問(wèn)最近輸入的命令。表2-32查看歷史命令令yhistorycommandP史命令史命令級(jí)終端對(duì)這個(gè)鍵作了不同解釋所致，這時(shí)可以用組合鍵<Ctrl+P>來(lái)代替↑光標(biāo)鍵達(dá)SpacerlBrlFrlP表2-33編輯功能表在一次查看信息超過(guò)一屏?xí)r，提供了暫停功能，這時(shí)用戶可以有三種選擇：表2-34查看功能表捷鍵快捷鍵(也稱為熱鍵)是執(zhí)行某一命令行或某種功能的一種快捷輸入。系統(tǒng)中的快捷鍵一共可以分成兩類：一類是系統(tǒng)快捷鍵，另一類是用戶自定義的快捷鍵。1.系統(tǒng)快捷鍵鍵及其代表的命令如下表：前行的開(kāi)頭。一個(gè)字符。位置的字符。前行的末尾。CTRL_]ESC_<ESC_>2.自定義快捷鍵自定義快捷鍵是提供給用戶的、可以自由定義的快捷鍵，共有5個(gè)。其中包括：CTRL_G、CTRL_L、CTRL_O、CTRL_T、CTRL_U。用戶可以根據(jù)自己的需要將這5個(gè)快捷鍵與任意命令進(jìn)行關(guān)聯(lián)，當(dāng)鍵入快捷鍵時(shí)，系統(tǒng)將自動(dòng)執(zhí)行它所對(duì)應(yīng)的命令。鍵默認(rèn)值為空。分別為：aycurrentconfigurationutingtabledodebuggingall3.使用快捷鍵在任何允許輸入命令的地方都可以鍵入快捷鍵，系統(tǒng)執(zhí)行時(shí)，會(huì)將該快捷鍵對(duì)應(yīng)的命令顯示在屏幕上，如同輸入了完整的命令一樣。如果用戶已經(jīng)輸入了命令的一部分，但是還沒(méi)有鍵入回車以確認(rèn)，此時(shí)鍵入快捷鍵將會(huì)把以前輸入的字符全部清空，并將該快捷鍵對(duì)應(yīng)的命令顯示在屏幕上，效果與用戶刪除所有的輸入，然后重新敲入完整的命令一樣?？旖萱I的執(zhí)行與命令一樣，也會(huì)將命令原形記錄在命令緩沖區(qū)和日志中以備問(wèn)題定快捷鍵的功能可能受用戶所用的終端影響，例如用戶終端本身自定義的快捷鍵與路由器系統(tǒng)中的快捷鍵功能發(fā)生沖突，此時(shí)如果用戶鍵入快捷鍵將會(huì)被終端程序截獲而不能執(zhí)行它所對(duì)應(yīng)的命令行。請(qǐng)請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。tundohotkey[CTRL_G|CTRL_L|CTRL_O|CTRL_T|CTRL_U]4.查看快捷鍵請(qǐng)?jiān)谒幸晥D下執(zhí)行下列命令。表2-38查看快捷鍵tkeydisplayhotkey命令的查看分成三類：第一類是已經(jīng)定義的自定義快捷鍵；第二類是還未定義的可自定義快捷鍵，查看為“NULL”；第三類是系統(tǒng)快捷鍵。本配置退出系統(tǒng)視圖符是<Eudemon>。進(jìn)入和退出系統(tǒng)視圖，可以使用如下的操作。表2-39進(jìn)入和退出系統(tǒng)視圖視圖視圖返回到用戶視圖treturn能也可以用組合鍵<Ctrl+Z>完成。Eudemon防火墻提供中、英文幫助信息，并可以在中英文之間切換。請(qǐng)?jiān)谟脩粢晥D下使用下面的操作。表2-40切換語(yǔ)言模式se缺省情況下，系統(tǒng)以英文模式(english)進(jìn)行查看。墻名稱防火墻名稱出現(xiàn)在命令提示符中，用戶可以根據(jù)需要更改防火墻名稱。請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下面的操作。表2-41配置防火墻名稱sysnameudemon為了保證與其他設(shè)備協(xié)調(diào)工作，需要準(zhǔn)確配置系統(tǒng)的時(shí)間。Eudemon防火墻支持時(shí)請(qǐng)?jiān)谟脩粢晥D下進(jìn)行下面的操作。表2-42配置系統(tǒng)時(shí)鐘clockclockdatetimeHH:MM:SSYYYY/MM/DDundoclocktimezonetdateendtimeenddateaddtimeundoclocksummer-time命令級(jí)別所有命令分為參觀、監(jiān)控、配置、管理4個(gè)級(jí)別，標(biāo)識(shí)為0~3。系統(tǒng)管理員可以根據(jù)需要指定命令的級(jí)別及其所在視圖。請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。表2-43命令優(yōu)先級(jí)的配置mandkeyundocommand-privilegeviewviewcommand-key所有的命令都有默認(rèn)的視圖和優(yōu)先級(jí)，一般不需要用戶進(jìn)行重新配置。lay查看系統(tǒng)配置信息的命令查看系統(tǒng)運(yùn)行狀態(tài)的命令查看系統(tǒng)統(tǒng)計(jì)信息的命令有關(guān)各協(xié)議和各種接口的display命令請(qǐng)參見(jiàn)相關(guān)章節(jié)。下面只介紹一些有關(guān)系統(tǒng)請(qǐng)?jiān)谒幸晥D下進(jìn)行下列操作。表2-44查看系統(tǒng)狀態(tài)信息rsionlockdisplayusers[all]playsavedconfigurationlaycurrentconfigurationdisplaydebugging[interface{interface-typeterfacenumbermodulenameisplaydiagnosticinformation技術(shù)支持信息在系統(tǒng)出現(xiàn)故障或日常維護(hù)時(shí)，為了便于問(wèn)題定位，需要收集很多的信息，但相應(yīng)管理概述連接從而訪問(wèn)網(wǎng)絡(luò)。這些顯然對(duì)網(wǎng)絡(luò)是不安全的。為此需要為Eudemon防火墻創(chuàng)建用戶，并為用戶配置口令，對(duì)用戶進(jìn)行管理。.用戶分類nPPP用戶：與Eudemon防火墻建立PPP連接(例如撥號(hào)等)，從而訪問(wèn)網(wǎng)絡(luò)。一個(gè)用戶可能同時(shí)獲得幾種服務(wù)，這樣只需一個(gè)用戶便可以執(zhí)行多種功能。2.用戶的優(yōu)先級(jí)管理。系統(tǒng)對(duì)這些用戶進(jìn)行分級(jí)管理，用戶的優(yōu)先級(jí)分為0~3級(jí)。用戶需要從各種接口登錄到Eudemon防火墻，可以對(duì)從各接口登錄的用戶配置缺省的優(yōu)先級(jí)，也可以單獨(dú)為某個(gè)用戶配置優(yōu)先級(jí)。接口用戶缺省的優(yōu)先級(jí)和為用戶特別配置的優(yōu)先級(jí)中較大者是用戶所獲得的優(yōu)先級(jí)。3.對(duì)用戶的驗(yàn)證在配置用戶后，用戶登錄Eudemon防火墻時(shí)，系統(tǒng)會(huì)對(duì)用戶的身份進(jìn)行驗(yàn)證。對(duì)用nAAA器驗(yàn)證又包括基于RADIUS(RemoteAuthenticationDialInUserService)協(xié)議和華為4.規(guī)劃防火墻的用戶TPPPP用戶的配置請(qǐng)參考本手冊(cè)安全防范中“認(rèn)證、授權(quán)與計(jì)費(fèi)”的內(nèi)容。配置用戶包括用戶驗(yàn)證的配置、用戶優(yōu)先級(jí)的配置。用戶驗(yàn)證的作用是使合法用戶mon用戶優(yōu)先級(jí)與命令優(yōu)先級(jí)的關(guān)系是：用戶使用的命令的優(yōu)先級(jí)必須小于或等于用戶的優(yōu)先級(jí)。用戶優(yōu)先級(jí)和命令優(yōu)先級(jí)同樣都分為0~3，共4級(jí)。用戶優(yōu)先級(jí)的配置使用戶具有不同的優(yōu)先級(jí)，從而可以使用不同優(yōu)先級(jí)的命令。配置驗(yàn)證方式配置端口缺省的用戶優(yōu)先級(jí)創(chuàng)建用戶并配置優(yōu)先級(jí)1.配置驗(yàn)證方式當(dāng)用戶從視圖所指的用戶界面登錄到Eudemon防火墻時(shí)，該操作配置所需的驗(yàn)證方ord請(qǐng)?jiān)谟脩艚缑嬉晥D下進(jìn)行下列配置。表2-45使能/關(guān)閉終端驗(yàn)證操作操作命令配置進(jìn)行終端驗(yàn)證authentication-mode{aaa|password}配配置不進(jìn)行終端驗(yàn)證authentication-modenone請(qǐng)?jiān)谟脩艚缑嬉晥D下進(jìn)行下列配置。表2-46配置本地驗(yàn)證的口令setauthenticationpassword{simple|cipher}passwordundosetauthenticationpassword[Eudemon-ui-vty0]authentication-modepassword[Eudemon-ui-vty0]setauthenticationpasswordsimplehuawei[Eudemon]user-interfacevty0[Eudemon-ui-vty0]authentication-modeaaa[Eudemon-ui-vty0]quit[Eudemon-aaa]local-usertelnetuserpasswordsimpletelnetpwd[Eudemon-aaa]local-usertelnetuserservice-typetelnet[Eudemon-aaa]authentication-schemetelnetuser[Eudemon-aaa-authen-telnetuser]authentication-modelocal[Eudemon]user-interfacevty0[Eudemon-ui-vty0]authentication-modeaaa[Eudemon-ui-vty0]quit[Eudemon-aaa]local-userftpuserpasswordsimpleftppwd[Eudemon-aaa]local-userftpuserservice-typeftp[Eudemon-aaa]authentication-schemeftpuser[Eudemon-aaa-authen-ftpuser]authentication-moderadius(4)不驗(yàn)證[Eudemon-ui-vty0]authentication-modenone2.配置端口缺省的用戶優(yōu)先級(jí)配置從用戶界面登錄系統(tǒng)的用戶所對(duì)應(yīng)的優(yōu)先級(jí)。請(qǐng)?jiān)谟脩艚缑嬉晥D下進(jìn)行下列配置。表2-47配置用戶的優(yōu)先級(jí)應(yīng)的缺省優(yōu)先級(jí)userprivilegelevellevelundouserprivilegelevel3.創(chuàng)建用戶并配置優(yōu)先級(jí)表2-48配置用戶優(yōu)先級(jí)local-userlocal-userpassword{simple|cipher}passwordlocaluser用戶名，參數(shù)password為用戶的口令，參數(shù)level代表用戶的優(yōu)先級(jí)，其范圍是0~3。simple表示查看用戶時(shí)以明文查看口令密碼，cipher表示查看用戶時(shí)以密文查看口令。用戶登錄Eudemon防火墻時(shí)，其所能訪問(wèn)的命令級(jí)別取決于自身優(yōu)先級(jí)與用戶界面對(duì)應(yīng)優(yōu)先級(jí)的配置，如果兩種優(yōu)先級(jí)同時(shí)配置，則根據(jù)用戶優(yōu)先級(jí)對(duì)應(yīng)的權(quán)限訪問(wèn)1.配置標(biāo)題文本標(biāo)題文本是用戶在連接到Eudemon防火墻、進(jìn)行登錄驗(yàn)證以及開(kāi)始交互配置時(shí)系統(tǒng)請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下面的操作。表2-49配置標(biāo)題文本information-text}information-text}undoheader{login|shell}配置開(kāi)始配置時(shí)的標(biāo)題文本消配置的標(biāo)題文本2.配置切換用戶級(jí)別的口令如果用戶以較低級(jí)別的身份登錄到Eudemon防火墻后，需要切換到較高級(jí)別的用戶身份上進(jìn)行操作，需要輸入用戶級(jí)別的口令。該口令需要事先配置。請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行如下操作。表2-50配置切換用戶級(jí)別的口令rerlevel3.切換用戶級(jí)別要從較低級(jí)別用戶切換到較高級(jí)別的用戶，需要輸入正確的口令。請(qǐng)?jiān)谟脩粢晥D下進(jìn)行如下操作。表2-51切換用戶級(jí)別4.鎖定用戶界面在用戶需要暫時(shí)離開(kāi)操作終端時(shí)，為防止未授權(quán)的用戶操作該終端界面，可以鎖定用戶界面，鎖定用戶界面時(shí)，需要輸入口令并確認(rèn)口令。在解除鎖定時(shí)，只有輸入正確的口令才能操作用戶界面。請(qǐng)?jiān)谟脩粢晥D下進(jìn)行下列操作。表2-52鎖定用戶界面典型配置舉例有關(guān)用戶管理、用戶登錄相關(guān)配置，請(qǐng)參見(jiàn)“2.2.2通過(guò)Telnet方式搭建”中的2.6用戶界面(User-interface)界面簡(jiǎn)介1.用戶界面概述用戶界面(User-interface)視圖是系統(tǒng)提供的與接口視圖平行的一種新的視圖，用來(lái)配置和管理所有異步且交互方式下的物理接口和邏輯接口的配置數(shù)據(jù)，從而達(dá)到統(tǒng)一管理各種用戶配置的目的。目前系統(tǒng)支持的配置方式和對(duì)應(yīng)的用戶界面包括：表2-53配置方式和用戶界面控制端口(Consoleport)是一種線設(shè)備端口，由Eudemon防火輔助端口(Auxiliaryport)也是一種線設(shè)備端口，由Eudemon虛擬端口(Virtualport)屬于邏輯終端線，用于對(duì)Eudemon防2.用戶界面的編號(hào)用戶界面的編號(hào)有兩種方式：絕對(duì)編號(hào)方式和相對(duì)編號(hào)方式。(1)絕對(duì)編號(hào)方式分別是控制臺(tái)接口(Console)、輔助接口(AUX)、虛擬接口(VTY)三種類型?？豑Y個(gè)用戶界面內(nèi)部又按照順序排列。絕對(duì)編號(hào)的起始編號(hào)是0，依次類推。絕對(duì)編號(hào)可以唯一的指定一個(gè)用戶界面或一組用戶界面。個(gè)。那么系統(tǒng)中的絕對(duì)