华为防火墙操作手册-系统管理.doc

Quidway Eudemon 500/1000 防火墙 操作手册（系统管理）目 录目 录第1章 系统维护管理1-11.1 系统维护管理介绍1-11.2 配置文件管理1-11.2.1 配置文件内容及格式1-11.2.2 查看防火墙的当前配置和起始配置1-11.2.3 修改和保存当前配置1-21.2.4 擦除配置文件1-21.2.5 配置文件使用1-31.3 维护调试1-41.3.1 配置防火墙名称和系统时钟1-41.3.2 正则表达式的使用1-41.3.3 系统状态信息收集1-71.3.4 网络连接的测试工具1-71.3.5 系统调试功能1-91.4 补丁软件升级1-111.4.1 补丁软件升级1-111.5 信息中心功能1-121.5.1 信息中心简介1-121.5.2 信息中心配置1-121.5.3 显示终端的配置1-161.5.4 信息中心配置举例1-171.6 日志维护1-191.6.1 日志简介1-191.6.2 二进制流日志配置1-201.6.3 日志维护的显示和调试1-211.6.4 日志典型配置举例1-221.7 VPN Manager适配1-241.7.1 VPN Manager简介1-241.7.2 Eudemon防火墙上的VPN Manager适配1-26第2章 文件管理2-12.1 文件系统2-12.1.1 文件系统简介2-12.1.2 目录操作2-12.1.3 文件操作2-12.1.4 存储设备操作2-22.1.5 文件系统提示方式2-22.1.6 文件系统使用举例2-22.2 FTP配置2-32.2.1 FTP简介2-32.2.2 FTP服务器配置2-42.2.3 FTP服务器的显示和调试2-52.2.4 FTP连接典型举例2-52.3 TFTP配置2-92.3.1 TFTP简介2-92.3.2 TFTP协议配置2-92.4 XModem协议配置2-102.4.1 XModem协议简介2-102.4.2 XModem协议配置2-11第3章 NTP配置3-13.1 NTP协议简介3-13.2 NTP协议配置3-23.2.1 配置NTP工作模式3-23.2.2 配置NTP身份验证功能3-63.2.3 配置NTP验证密钥3-63.2.4 配置指定密钥是可信的3-73.2.5 配置本地发送NTP消息的接口3-73.2.6 配置NTP主时钟3-73.2.7 配置禁止/允许接口接收NTP消息3-83.2.8 配置对本地防火墙服务的访问控制权限3-83.2.9 配置本地允许建立的sessions数目3-93.3 NTP显示与调试3-93.4 NTP典型配置举例3-103.4.1 配置NTP服务器3-103.4.2 配置NTP对等体举例3-123.4.3 配置NTP广播模式3-133.4.4 配置NTP组播模式3-143.4.5 配置带身份验证的NTP服务器模式3-16第4章 SNMP配置4-14.1 协议简介4-14.1.1 SNMP协议介绍4-14.1.2 SNMP版本及支持的MIB4-14.2 SNMP配置4-34.2.1 启动或关闭SNMP Agent服务4-34.2.2 使能或禁止SNMP协议的相应版本4-34.2.3 配置团体名（Community Name）4-44.2.4 配置/删除SNMP组4-44.2.5 添加/删除用户4-54.2.6 配置管理员的标识及联系方法（sysContact）4-54.2.7 允许/禁止发送Trap报文4-64.2.8 配置本地设备的引擎ID4-64.2.9 配置Trap目标主机的地址4-74.2.10 配置防火墙位置（sysLocation）4-74.2.11 指定发送Trap的源地址4-74.2.12 视图信息配置4-84.2.13 配置消息包的最大值4-84.2.14 配置Trap报文的消息队列的长度4-84.2.15 配置Trap报文的保存时间4-94.3 SNMP显示和调试4-94.4 SNMP典型配置举例4-10第5章 RMON配置5-15.1 RMON简介5-15.2 RMON配置5-35.2.1 使能/禁止RMON接口统计5-35.2.2 统计表的配置5-35.2.3 历史控制表的配置5-45.2.4 事件表的配置5-45.2.5 告警表的配置5-55.2.6 扩展告警表的配置5-55.3 RMON显示和调试5-65.4 RMON典型配置举例5-75.5 RMON故障诊断与排除5-10第6章 RMON2配置6-16.1 RMON2简介6-16.2 RMON2配置6-16.2.1 协议目录表的配置6-16.2.2 主机控制表的配置6-36.3 RMON2显示和调试6-46.4 RMON2典型配置举例6-46.5 RMON2故障诊断与排除6-7iiiQuidway Eudemon 500/1000 防火墙 操作手册（系统管理）第1章 系统维护管理第1章 系统维护管理1.1 系统维护管理介绍系统维护管理主要包括以下几项内容：l 配置文件管理l 系统状态信息的收集和维护调试简单工具的使用l 补丁升级管理l 系统信息中心的维护管理l 日志的维护和管理1.2 配置文件管理1.2.1 配置文件内容及格式配置文件为一文本文件，其格式如下：l 以命令格式保存。l 为了节省空间，只保存非缺省的参数（各配置参数的缺省值请详见以后各章节）。l 命令的组织以命令视图为基本框架，同一命令视图的命令组织在一起，形成一节，节与节之间通常用空行或注释行隔开（以#开始的为注释行）。空行或注释行可以是一行或多行。l 节的顺序安排通常为：全局配置、物理接口配置、逻辑接口配置、路由协议配置等。l 以return为结束。1.2.2 查看防火墙的当前配置和起始配置防火墙上电时，从默认存储路径中读取配置文件进行防火墙的初始化工作，因此该配置文件中的配置称为起始配置，如果默认存储路径中没有配置文件，则防火墙用缺省参数初始化。与起始配置相对应，防火墙运行过程中正在生效的配置称为当前配置。请在所有视图下进行下列操作。表1-1 查看防火墙配置操作命令查看防火墙的起始配置display saved-configuration查看防火墙的当前配置display current-configuration查看防火墙的技术信息display diagnostic-information显示当前视图的配置信息display this& 说明：配置文件的显示格式与保存格式相同。1.2.3 修改和保存当前配置用户通过命令行接口可以修改防火墙当前配置，为了使当前配置能够作为防火墙下次上电时的起始配置，需要用save命令保存当前配置到默认存储设备中，形成配置文件。请在用户视图下进行下列操作。表1-2 保存当前配置操作命令保存当前配置save1.2.4 擦除配置文件用reset saved-configuration命令可以擦除防火墙当前存储设备中的配置文件，配置文件被擦除后，防火墙下次上电将采用缺省的配置参数进行初始化，在以下几种情况时，需要擦除存储设备中的配置文件：l 在防火墙软件升级之后，可能会引起防火墙软件和配置文件不匹配。l 发现配置文件遭到破坏，如加载了错误的配置文件。擦除配置文件后，可用save命令保存当前配置为新的配置文件。请在用户视图下进行下列操作。表1-3 擦除存储设备中的配置文件操作命令擦除配置文件reset saved-configuration1.2.5 配置文件使用1. 配置下次启动时的系统软件文件名请在用户视图下进行下列配置。表1-4 配置下次启动时的系统软件文件名操作命令配置下次启动时的系统软件文件名startup system-software sysfile缺省情况下，配置主控板下次启动时使用的系统软件文件名。2. 配置下次启动时的配置文件名请在用户视图下进行下列配置。表1-5 配置下次启动时的配置文件名操作命令配置下次启动时的配置文件名startup saved-configuration cfgfilecfgfile是配置文件的文件名，其扩展名为.cfg或.zip，且存储于存储设备的根目录下。3. 查看启动使用的文件信息在完成上述配置后，在所有视图下执行display命令可以显示配置文件的运行情况，通过查看显示信息验证配置的效果。表1-6 查看启动使用的文件信息操作命令查看启动使用的文件信息display startup4. 比较配置文件请在用户视图下进行下列操作。表1-7 比较配置文件操作命令比较当前的配置与存储设备中保存的配置文件内容是否一致。compare configuration line-number1 line-number2 1.3 维护调试1.3.1 配置防火墙名称和系统时钟请在系统视图下进行sysname命令的操作。请在用户视图下进行clock命令的操作。表1-8 系统基本配置及管理操作命令配置防火墙名称sysname sysname配置系统时钟clock datetime HH:MM:SS YYYY/MM/DD1.3.2 正则表达式的使用1. 正则表达式的介绍正则表达式是一种可用于模式匹配和替换的工具，它的功能强大，使用也很灵活。在实际应用中，正则表达式已经超出了某种语言或某个系统的局限，成为人们广为接受的概念和功能。在使用正则表达式时，用户需要根据一定的规则构建匹配模式，然后将匹配模式与目标对象进行匹配。最简单的正则表达式不包含任何元字符，例如，可以规定一个正则表达式hello，它只匹配字符串“hello”。为帮助用户灵活地构建匹配模式，正则表达式提供了一些具有特殊含义的专用字符，也称为“元字符”（metacharacter），用来规定其它字符在目标对象中的出现模式。下表是对元字符的使用描述。表1-9 元字符描述元字符含义转义字符.匹配除“n”之外任何单个字符，包括空格*之前的字符在目标对象中出现0次或连续多次+之前的字符在目标对象中出现1次或连续多次|竖线左边和右边的字符为“或”的关系之后的字符必须出现在目标对象的开始$之前的字符必须出现在目标对象的结束xyz匹配方括号内列出的任意字符xyz匹配除了方括号内列出的字符外的任意字符（号在字符前）a-z匹配指定范围内的任意字符a-z匹配不在指定范围内的任意字符nn是一个非负整数，匹配连续出现的确定n次n,n是一个非负整数，匹配连续出现的至少n次n,mm和n均为非负整数，n=m。匹配连续出现的次数为nm次。使用时注意，逗号与n和m之间不能有空格例如：ip：匹配以字符串“ip”开始的目标对象。ip$：匹配以字符串“ip”结束的目标对象。2. 正则表达式的使用当有大量信息输出时，可以通过正则表达式来选择需要显示的内容，过滤掉不关心的内容。(1) 在命令中指定过滤方式进行过滤输出时，有三种类型的过滤可供选择，在支持正则表达式的命令中，这三种选择的表达方式为| begin | exclude | include regular-expression：l begin：输出以匹配指定正则表达式的行开始的所有行。l exclude：输出不匹配指定正则表达式的所有行。l include：只输出匹配指定正则表达式的所有行。(2) 在分屏显示时指定过滤方式当输出的内容非常多，并采用分屏显示时，可以在分屏提示符“- More -”中指定过滤类型：l /regular-expression：输出以匹配指定正则表达式的行开始的所有行。l -regular-expression：输出不匹配指定正则表达式的所有行。l +regular-expression：只输出匹配指定正则表达式的所有行。例如：查看当前配置信息 display current-configuration# sysname Eudemon#controller E3 0/1/0 e1 1 channel-set 1 timeslot-list 1-31#controller T3 1/1/0#interface Ethernet0/2/0 description Dont change the configuration please ip address 37 #interface Ethernet1/0/0#interface Ethernet1/2/0#interface Serial0/1/0/1:1 link-protocol ppp ip address #interface Pos0/0/0#interface NULL0当出现分屏提示符“- More -”时，用户可以手工输入正则表达式，对待显示的内容进行过滤，在本例中，指定只输出含有字符串“interface”的行： - More -+interface由用户手工输入filteringinterface LoopBack0user-interface con 0user-interface vty 0 141.3.3 系统状态信息收集利用display命令可以收集系统状态信息，根据功能可以划分为以下几类：l 显示系统配置信息的命令l 显示系统运行状态的命令有关各协议和各种接口的display命令请参见相关章节。下面只介绍一些有关系统的display命令。请在所有视图下进行下列操作。表1-10 系统display命令操作命令显示系统版本display version显示系统时钟display clock显示终端用户display users all 显示起始配置display saved-configuration显示当前配置display current-configuration显示调试开关状态display debugging interface interface-type interface-number module-name 1.3.4 网络连接的测试工具1. pingping主要用于检查网络连接及主机是否可达。请在所有视图下进行操作。表1-11 ping命令操作命令支持IP协议pingping -a X.X.X.X -c count -d -h ttl_value -i interface-type interface-number ip -n -p pattern -q -r -s packetsize -t timeout -tos tos -v -vpn-instance vpn-instance-name host各选项及参数意义详见命令参考手册ping命令章节。命令执行结果输出包括：l 对每一ping报文的响应情况，如果超时到仍没有收到响应报文，则输出“Request time out”，否则显示响应报文中数据字节数、报文序号、TTL和响应时间等。l 最后的统计信息，包括发送报文数、接收报文数、未响应报文百分比和响应时间的最小、最大和平均值。 ping 44ping 44 : 56 data bytes, press CTRL-C to breakReply from 44 : bytes=56 sequence=1 ttl=255 time = 1msReply from 44 : bytes=56 sequence=2 ttl=255 time = 2msReply from 44 : bytes=56 sequence=3 ttl=255 time = 1msReply from 44 : bytes=56 sequence=4 ttl=255 time = 3msReply from 44 : bytes=56 sequence=5 ttl=255 time = 2ms-44 ping statistics-5 packets transmitted5 packets received0% packet lossround-trip min/avg/max = 1/2/3 ms2. tracerttracert用于测试数据包从发送主机到目的地所经过的网关，它主要用于检查网络连接是否可达，以及分析网络什么地方发生了故障。tracert的执行过程是：首先发送一个TTL为1的数据包，因此第一跳发送回一个ICMP错误消息以指明此数据包不能被发送（因为TTL超时），之后此数据包被重新发送，TTL为2，同样第二跳返回TTL超时，这个过程不断进行，直到到达目的地。执行这些过程的目的是记录每一个ICMP TTL超时消息的源地址，以提供一个IP数据包到达目的地所经历的路径。请在所有视图下进行下列操作。表1-12 tracert命令操作命令Trace Routetracert -a X.X.X.X -f first_TTL -m max_TTL -p port -q nqueries -vpn-instance vpn-instance-name -w timeout host该命令各选项及参数意义详见命令手册tracert命令章节。下面是应用tracert分析网络情况的例子。 tracert 8traceroute to (8), 30 hops max, 56 byte packet1 () 19 ms 19 ms 0 ms2 lilac-dmc.Berkeley.EDU () 39 ms 39 ms 19 ms3 ccngw-ner-cc.Berkeley.EDU (3) 39 ms 40 ms 39 ms4 ccn-nerif22.Berkeley.EDU (2) 39 ms 39 ms 39 ms5 () 40 ms 59 ms 59 ms6 () 59 ms 59 ms 59 ms7 3 (3) 99 ms 99 ms 80 ms8 () 139 ms 239 ms 319 ms9 () 220 ms 199 ms 199 ms10 (8) 239 ms 239 ms 239 ms从上面结果可以看出从源主机到目的地都经过了哪些网关，这对于网络分析是非常有用的。 tracert 15traceroute to (15), 30 hops max1 () 0 ms 0 ms 0 ms2 lilac-dmc.Berkeley.EDU () 19 ms 19 ms 19 ms3 lilac-dmc.Berkeley.EDU () 39 ms 19 ms 19 ms4 ccngw-ner-cc.Berkeley.EDU (3) 19 ms 39 ms 39 ms5 ccn-nerif22.Berkeley.EDU (2) 20 ms 39 ms 39 ms6 () 59 ms 119 ms 39 ms7 () 59 ms 59 ms 39 ms8 3 (3) 80 ms 79 ms 99 ms9 () 139 ms 139 ms 159 ms10 () 199 ms 180 ms 300 ms11 7 (7) 300 ms 239 ms 239 ms12 * * *13 2 (2) 259 ms 499 ms 279 ms14 * * *15 * * *16 * * *17 * * *18 ALLSPICE.LCS.MIT.EDU (15) 339 ms 279 ms 279 ms从上述结果中可以看出从源主机到目的主机经过了哪些网关，以及哪些网关出现了故障。1.3.5 系统调试功能系统的命令行接口提供了种类丰富的调试功能，对于防火墙所支持的各种协议和功能，基本上都提供了相应的调试功能，可以帮助用户对错误进行诊断和定位。调试信息的输出可以由两个开关控制：l 协议调试开关，控制是否输出某协议的调试信息。l 屏幕输出开关，控制是否在某个用户屏幕上输出调试信息。二者关系如下图所示。图1-13 调试信息输出示意图可以在用户视图下执行debugging和undo debugging命令，在所有视图下执行display debugging命令。打开显示终端的操作请参见“1.5.3 显示终端的配置”。表1-13 调试开关的打开、关闭和显示操作命令打开协议调试开关debugging all | module-name debug-option1 debug-option2 关闭协议调试开关undo debugging all | module-name debug-option1 debug-option2 显示已经打开的调试开关display debugging interface interface-type interface-number module-name 具体调试命令的使用和调试信息的格式介绍参见相关章节。& 说明：由于调试信息的输出会影响防火墙运行效率，请勿轻易打开调试开关，尤其慎用debugging all命令，在调试结束后，应关闭全部调试开关。1.4 补丁软件升级1.4.1 补丁软件升级1. 补丁软件升级的配置当用户下载到新的补丁后，可以通过patch load命令将补丁加载到防火墙；可以通过patch active和patch deactive命令使补丁处于活动、非活动状态；可以通过patch delete命令删除一些不需要的补丁；可以通过patch run命令使防火墙运行该补丁。请在系统视图下进行下列配置。表1-14 补丁软件升级操作命令使补丁处于活动状态patch active使补丁处于非活动状态patch deactive删除指定补丁patch delete加载补丁patch load使补丁处于运行状态patch run2. 补丁软件升级的显示防火墙的flash中可能有多个补丁。当需要查看flash中的补丁信息时，可以通过如下命令进行。请在系统视图下进行下列配置。表1-15 补丁软件升级的显示操作命令显示防火墙的补丁信息display patch-information1.5 信息中心功能1.5.1 信息中心简介信息中心是防火墙主体软件中不可或缺的一部分，它作为防火墙的信息枢纽而存在。信息中心接管大多数的信息输出，并且能够进行细致的分类，从而能够有效地进行信息筛选。它通过与debug程序的结合，为网络管理员和开发人员监控网络运行情况和诊断网络故障提供了强有力的支持。系统的信息中心具有以下一些特性：l 信息中心共有三类信息：log类（日志类信息）、trap类（告警类信息）、debug类（调试类信息）。l 信息按重要性划分为八种等级，可按等级进行信息过滤。l 系统支持十个通道，其中前六个通道（通道0通道5）有缺省通道名，并且这六个通道缺省的与六个输出方向相关联，可以通过命令改变通道名，也可以改变通道与输出方向之间的关联。l 支持控制台（console）、Telnet终端和哑终端（monitor）、日志缓冲区（logbuffer）、日志主机（loghost）、告警缓冲区（trapbuffer）、SNMP六个方向的信息输出。l 系统由众多的协议模块、单板驱动程序、配置模块构成，信息可按来源模块进行划分，可按模块进行信息过滤。l 信息在输出时可以进行中英文选择。l 每个信息的头部由固定的部分组成，包括时间戳、信息来源的模块、信息级别、信息来源的槽号、信息摘要等。总之，信息中心的主要工作就是将各种模块的三种类型的信息，按照八种重要程度，根据用户的配置输出到十个信息通道中去，然后将这十个信息通道再定位到六个输出方向上去。1.5.2 信息中心配置1. 开启/关闭信息中心的功能请在系统视图下进行下列配置。表1-16 开启/关闭信息中心功能操作命令开启信息中心info-center enable关闭信息中心undo info-center enable& 说明：信息中心缺省情况下处于开启状态。在信息中心开启时，由于信息分类、输出的原因，特别是在处理信息较多时，对系统性能有一定的影响。2. 信息通道的命名请在系统视图下进行下列配置。表1-17 信息通道的命名操作命令将编号为channel-number的信息通道命名为channel-nameinfo-center channel channel-number name channel-namechannel-number是通道号，取值为09，即系统有10个通道。channel-name是通道名，最长为30个字符，首字符不能为数字，不支持“-”、“/”和“”等字符。通道05系统指定了缺省名，如下表：表1-18 通道的缺省名channel-number（通道号）channel-name（通道名）0console1monitor2loghost3trapbuffer4logbuffer5snmpagent3. 信息严重等级（severity）信息中心按信息的严重等级或紧急程度划分为八个等级，在按等级来进行信息过滤时，采用的规则是：禁止严重等级大于所配置阈值的信息输出。越紧急的信息报文，其严重等级阈值越小，emergencies表示的等级为1，debugging为8。因此，当配置严重等级阈值为debugging时，所有的信息都会输出。表1-19 syslog定义的严重等级（severity）严重等级严重等级阈值描述emergencies1极其紧急的错误alerts2需立即纠正的错误critical3关键错误errors4需关注但不关键的错误warnings5警告，可能存在某种差错notifications6需注意的信息informational7一般提示信息debugging8调试信息# 配置将snmp通道中的IP协议模块的日志类信息打开，且允许严重等级阈值小于等于warning级别的信息输出。Eudemon info-center source ip channel snmpagent log level warnings4. 定义信息通道的内容请在系统视图下进行下列配置。表1-20 定义信息通道的内容操作命令向信息通道中添加记录info-center source module-name | default channel channel-number | channel-name log state on | off | level severity * | trap state on | off | level severity * | debug state on | off | level severity * *删除信息通道中的记录undo info-center source module-name | default channel channel-number | channel-name module-name是模块名。default代表信息通道中的缺省记录。level配置信息级别，禁止信息级别大于所配置的severity的信息输出。severity是信息级别。channel-number是要配置的信息通道号。channel-name是要配置的信息通道名。对每个信息通道设有一条缺省记录，它的模块名为default，但对于不同信息通道，此记录对日志、告警、调试类信息的缺省配置值可能不同。当某一个模块在此通道中没有明确的配置记录时，使用这条缺省的配置记录。 注意：同时有多个Telnet用户或哑终端用户时，各个用户之间共享一些配置参数，其中包括按模块过滤配置，中英文选择，严重等级阈值，某一个用户改变这些配置时，在别的用户端也有所反映。5. 信息的输出目前，防火墙主体软件的信息中心可以在六个方向输出各种信息：l 通过Console口向本地控制台输出信息。l 向远程Telnet终端输出信息，此功能有助于远程维护。l 在防火墙内部分配适当大小的日志缓冲区，用于记录信息。l 配置日志主机，信息中心直接将信息发往日志主机，并在其上以文件的形式保存起来，供随时查看。l 在防火墙内部分配适当大小的告警缓冲区，用于记录信息。l 向SNMP Agent输出信息。每个输出方向通过配置命令指定所需要的通道，所有信息经过指定通道的过滤，发送到相应的输出方向；可根据需要配置输出方向所使用的通道，以及配置通道的过滤信息，完成各类信息的过滤以及重定向。请在系统视图下进行下列配置。表1-21 输出信息操作命令向Console方向输出信息info-center console channel channel-number | channel-name 向Telnet终端或哑终端输出信息info-center monitor channel channel-number | channel-name 向SNMP输出信息info-center snmp channel channel-number | channel-name 配置日志缓冲区的大小，配置向日志缓冲区输出信息的通道info-center logbuffer channel channel-number | channel-name | size buffersize *关闭日志缓冲区或恢复默认值undo info-center logbuffer channel | size 配置向日志主机输出信息的信息通道以及其它参数info-center loghost X.X.X.X channel channel-number | channel-name | facility local-number | language chinese | english *取消向日志主机输出信息undo info-center loghost X.X.X.X配置告警缓冲区的大小，配置向告警缓冲区输出信息的通道info-center trapbuffer channel channel-number | channel-name | size buffersize *关闭告警缓冲区或恢复默认值undo info-center trapbuffer channel | size 目前，系统对每个输出方向缺省分配一个信息通道，它们是输出方向 信息通道号 缺省的信息通道名控制台 0 console监视终端 1 monitor日志主机 2 loghost告警缓冲区 3 trapbuffer日志缓冲区 4 logbuffersnmp 5 snmpagent& 说明：六个输出方向的配置相互独立，但首先需要开启信息中心，配置才会生效。6. 配置发送日志信息的源地址请在系统视图下进行下列配置。表1-22 配置发送信息的源地址操作命令配置发送信息的源地址info-center loghost source interface-type interface-number subinterface-type 取消当前配置undo info-center loghost source1.5.3 显示终端的配置显示终端的配置就是控制是否在某个用户屏幕上输出信息中心发送的debug/log/trap信息。请在用户视图下进行下列配置。表1-23 显示终端的配置操作命令打开终端显示日志、告警、调试等信息功能terminal monitor | logging | trapping | debugging 关闭终端显示日志、告警、调试等信息功能undo terminal monitor | logging | trapping | debugging 此命令只影响输入命令的当前终端的显示。在undo terminal monitor（显示终端关闭）的情况下，相当于执行undo terminal debugging，undo terminal logging，undo terminal trapping命令，所有的调试/日志/告警信息在本终端都不显示；在terminal monitor为打开的情况下，可以分别使用terminal debugging/undo terminal debugging，terminal logging/undo terminal logging，terminal trapping/undo terminal trapping打开或关闭调试/日志/告警信息。1.5.4 信息中心配置举例1. 控制台信息输出配置举例# 开启信息系统。Eudemon info-center enable# 配置控制台日志输出，允许PPP模块的日志输出，严重等级限制为emergenciesdebugging。Eudemon info-center console channel consoleEudemon info-center source ppp channel console log level debugging# 打开PPP模块的调试开关 debugging ppp all2. 向日志主机（UNIX工作站）输出日志信息配置举例(1) 防火墙(2) 侧配置如下# 开启信息中心。Eudemon info-center enable# 将IP地址为0的UNIX工作站用作日志主机，配置严重等级限制为emergenciesinformational，输出语言为英文，允许输出信息的模块为PPP和IP，使用UNIX设备Local4。Eudemon info-center loghost 0 language englishEudemon info-center loghost 0 facility local4Eudemon info-center source ppp channel loghost log level informationalEudemon info-center source ip channel loghost log level informational(3) 日志主机侧配置如下UNIX主机上也要进行相应配置以完成上述功能。下面以SunOS 4.0举例说明，其它厂商UNIX操作系统上的配置操作基本与之相同。# 以超级用户（root）的身份执行以下命令# mkdir /var/log/Quidway# touch /var/log/Quidway/information# 以超级用户（root）的身份编辑文件/etc/syslog.conf，加入以下选择/动作组合（selector/action pairs）。# Quidway configuration /var/log/Quidway/information& 说明：在编辑/etc/syslog.conf时应注意以下问题：l 注释只允许独立成行，并以字符#开头。l 选择/动作组合之间必须以一个制表符分隔，而不能输入空格。l 在文件名之后不得有多余的空格。/etc/syslog.conf中指定的设备名及接受的日志信息级别与防火墙上配置的info-center loghost和info-center loghost a.b.c.d facility应保持一致，否则日志信息可能无法正确输出到日志主机上。当日志文件config建立且/etc/syslog.conf文件被修改了之后，应执行以下命令给系统守护进程syslogd一个HUP信号，使syslogd重新读取它的配置文件/etc/syslog.conf。#ps -ae | grep syslogd147#kill -HUP 147进行以上操作后，防火墙的相关信息就可以输出到相应的日志文件中了。上面的配置只向日志主机输出严重程度为informatinal及以上的日志信息，即级别为17的日志信息。日志信息的最低级别为debugging，配置为debugging将导致所有的日志信息都发送到日志主机，对系统性能可能产生影响，因此，通常情况下不建议用户将日志信息级别配置为debugging。& 说明：综合配置设备名称（facility），严重等级阈值（severity），模块名称（filter）以及syslog.conf文件，可以进行相当细致的分类，达到信息筛选的目的。1.6 日志维护1.6.1 日志简介1. 日志种类划分日志特性能够将系统消息或包过滤的动作等存入缓冲区或定向发送到日志主机上。对日志内容的分析和归档，能够使管理员检查防火墙的安全漏洞、什么时候有什么人试图违背安全策略、网络攻击的类型，实时的日志记录还可以用来检测正在进行的入侵。Eudemon防火墙统一考虑各种攻击、事件，将它们的各种日志输出格式、统计信息等内容进行规范，从而保证了日志风格的统一和日志功能的严肃性。Eudemon防火墙能够输出以下几种日志信息：l 接口UP/DOWN信息l 用户登录/退出日志l 命令配置日志l NAT/ASPF日志l 攻击防范日志l 流量监控日志l 黑名单日志l 地址绑定日志2. Eudemon上的日志输出原理对于上述这些日志，根据日志输出