D-Link-dfl210防火墙用户手册.doc

网络安全防火墙用户手册DFL-210/ 800/1600/ 2500DFL-260/ 860Ver. 1.05 SecurSiteycurity网络安全方案 用户手册DFL-210/260/800/860/1600/2500NetDefendOS 版本 2.12D-Link Corporation No. 289, Sinhu 3rd Rd, Neihu District, Taipei City 114, Taiwan R.O.C. http:/www.DL2007年5月29日发布版权 2007用户手册DFL-210/260/800/860/1600/2500NetDefendOS 版本 2.122007年5月29日发布版权 2007版权提示该出版物，包括所有图像、图形及软件均受国际版权法的保护，并拥有其版权。 该手册及所有包含在手册中的内容在没有作者书面授权的情况下不得进行复制。免责条款本手册内容可在未经通知的情况下更改。 生产商对此处的内容不做任何声明或担保，并且特别指出不对商品适销性或特殊用途适用性的任何默示担保负责。 生产商保留修改该出版物的权利，并保留随时修改此处的内容并且不负责通知任何人这些修改或改变的权利。责任限制在任何情况下，D-LINK或其供应商都不对由于应用或不正确的使用D-LINK产品或者产品故障而造成的任何性质的损害负责，即使D-LINK已被暗示了这些损害的可能性。（例如，由于利润损失，软件恢复，工作中断，保存数据的丢失而造成的损害，或任何其他商业损害或损失） 另外，D-LINK不对第三方针对客户的损失或损害的索赔负责。对于终端用户使用的产品，D-LINK在任何情况下都会提供质保。前言实用读者本参考手册的目标读者是对D-Link防火墙进行管理和配置的管理员。防火墙运行的是NetDefendOS操作系统。 本向导假定读者已具备基础的网络和网络安全的知识。文档结构和规格本向导被分为章和小节。 编好号的小节显示在开头的表格内容里。 在文章的结尾处有章节的索引，可按字母来查找内容。可通过点击文章中的“参见章节”链接（或者：参见）将读者直接转到所参见处。会出现在产品用户界面上的文字会用粗体来表示。 第一次出现的文字或表示强调的词将用斜体来表示。显示在主文本范例以外的控制台互动将会出现在灰色背景的框中。gw-world:/文本中的网络地址在被点击时将在浏览器中打开一个新的窗口来打开这个URL链接（有些系统可能不允许这个功能）。 例如： 。例子文本中的例子是用一个标题“例子”表示出来并显示在如下所示的灰色背景中。 他们包含了一个CLI例子和/或网页界面例子。 （附随的“CLI参考向导”包含了所有CLI命令）。例1. 例子符号例子想要表达的信息将会在这里显示，有时会有一个用于解释说明的图片。CLI命令行界面的例子将在此处显示。 将从命令符处开始运行下列命令：gw-world:/ 一些命令一些参数=一些值web界面例子中的网页界面操作将在此处显示。 它们是一个编号的列表，显示界面左边的树形列表、菜单栏或跟有有关将要输入的数据项目的信息的将要被打开的上下文菜单中的项目：1. 点击项目X项目Y项目Z2. 现在输入 数据项目1： 数据值1 数据项目2： 数据值2xii主文本前言的注意事项主文本注意事项读者需要特别注意的章节部分将通过页面左侧的一小段斜体字表示出来。 这些章节通常都包含下列类型和目的：注意表示一些信息是对前面描述内容的补充。 可能涉及到了前文中被强调的内容，以及不太显著或明白的内容。提示表示一些不是特别重要的但在理解某些不是特别重要的情况时很有用的信息。小心提醒读者需要对他们的操作十分的小心。不适当的操作可能会导致不愉快的结果。重要这是很重要的地方。读者需要仔细的阅读并理解。警告这部分对读者很重要。表示如果进行或未进行某些操作的话，会导致十分严重的后果。xiii第1章.产品概述本章概括了NetDeFendOS的主要功能。关于D-Link NetDeFendOS，第1页NetDeFendOS 结构体系，第3页NetDeFendOS 数据包流量，第6页1.1 关于D-Link NetDeFendOSD-Link NetDeFendOS 是驱动并控制所有D-Link防火墙产品的固件和软件引擎。作为一个网络安全操作系统，NetDeFendOS表现了高吞吐能力，高可靠性以及可操作性。 与标准操作系统如Unix或Microsoft Windows相比，NetDeFendOS为所有的子系统提供了更为完善的结合，为所有功能包括可帮助不被当作网络攻击目标的最小攻击面提供了更为深入的高级管理。从管理员的角度来看，NetDefendOS的概念就是将通过一套逻辑构造块或对象的操作形象化，这些操作允许使用几乎所有不同的方法来配置产品。 粒度控制允许管理员实现最需要的网络安全需求。NetDefendOS是一款广泛且功能强大的网络操作系统。 下面的列表列出了最重要的功能：IP路由NetDefendOS为IP路由提供了多个选项，包括静态路由、动态路由、多播路由以及高级虚拟路由。 此外，NetDefendOS还支持诸如虚拟局域网、路由监控、代理ARP以及透明等功能。 要获得更多信息，请参见第4章，路由。地址解析为了功能及安全性原因，NetDefendOS支持居于政策的地址解析。 支持动态地址转换（NAT）及静态地址转换（SAT），可解决多种地址解析的需要。 关于该功能可参见第7章，地址解析。防火墙在产品的心脏，NetDefendOS为各种普遍的协议提供了可监控的防火墙功能。这些协议包括TCP、UDP以及ICMP。 作为一个管理员，您有可能需要根据源、目的网络以及接口、协议、端口、用户信誉、时间等来定义防火墙的细节信息。 第3.5节，“IP规则设定”，描述了如何使用NetDefendOS的防火墙。入侵侦测及阻止为减轻针对服务和应用程序的弱点进行的应用层攻击，NetDefendOS提供了一个强大的入侵侦测及阻止（IDP）引擎。 IDP引擎是基于册率的引擎，可对攻击进行高性能的扫描和检测，并能对发动攻击的主机进行阻止或拉入黑名单。11.1. 关于D-Link NetDeFendOS第1章.产品概述要获取更多关于NetDefendOS的信息，请参见第6.3节，“入侵检测及阻止”。反病毒NetDefendOS软件集成了网关反病毒功能。 通过网关的数据流可受到深入的防病毒检测，并且您可以选择将进行攻击的主机阻止或加入黑名单。 第6.4节，“病毒防护”，提供了更多关于如何使用集成的防病毒功能。网页内容过滤NetDefendOS提供了各种机制，可过滤被判断为对您的网页使用政策不适宜的网页内容。 网页内容可根据不同的类别来进行阻止，恶意的目标可被移除，网站可根据不同的策略被添加到白名单或黑名单。 要获取更多信息，请参见第6.5节，“网页内容过滤”。虚拟个人网络运行NetDefendOS的设备非常适合加入虚拟个人网络（VPN）。 可同时支持IPsec、L2TP、和基于VPN的PPTP的NetDefendOS，可被用作所有VPN类型的服务器或客户端，可为每个VPN通道提供单独的安全策略。 虚拟个人网络的细节内容可参见第9章，虚拟个人网络。流量管理通过对流量调整、阈值规则和服务器载荷平衡等的支持，使NetDefendOS成为了一款理想的流量管理工具。 流量调整功能开启了良好的粒度限制和带宽平衡。 阈值规则允许执行可报警或限制网络流量的多种类型的阈值，服务器载荷平衡能使设备运行NetDefendOS来将网络负载分配给多个主机。 第10章，流量管理，提供了更多关于多种流量管理的详细信息。操作与维护为了更便捷的管理 NetDefendOS设备，通过网页用户界面或通过命令行界面的高级控制功能被开启了。 此外， NetDefendOS提供了非常详细的事件和日志功能，并支持监控如SNMP之类的使用标准。 要获取更多信息，请参见第2章，操作与维护。区域防护 NetDefendOS可通过使用区域防护功能来控制D-Link交换机。仔细阅读这个文档，将使您获得出 NetDefendOS产品以外最多的信息。 出了这个文档以外，读者应该知道以下相关的内容： 详细列出了所有NetDefendOS控制台命令的 NetDefendOS CLI向导。详细列出了所有NetDefendOS日志事件信息的 NetDefendOS日志参考向导。 以上这些文档共同构成了NetDefendOS操作手册。注意高实用性、反病毒、网页内容过滤以及区域防护在某些型号上不可用。在描述以上功能的章节中会特别指出这点。21.2 NetDefendOS 结构第1章.产品概述1.2. NetDefendOS结构1.2.1.基于状态的结构 NetDefendOS的结构体系是以连接状态的概念为中心的。 传统的IP路由器或交换机只是对所有的数据包进行一般的检测，然后根据在数据包头中找到的信息来转发。 通过这个途径，数据包在没有经过可能会消除任何检测可能性或分析复杂的协议并加强相关安全策略的情况下被转发。而一个NetDefendOS设备，相反的，则会检测并转发每个连接上的数据流量。换句话说，NetDefendOS在一个新的连接被建立后可对其进行检测，并放置一个很小的“状态”信息在这个连接上上，直到这个连接中断。 这样，NetDefendOS就可理解网络流量的前后关联，这些关联可让设备进行更深入的流量扫描、应用带宽管理等。 另外，这个方法通过被加入的可升级的设计优点提供了高性能的吞吐量。1.2.2.NetDefendOS构造块NetDefendOS中基本的构造块有接口、逻辑对象和各种类型的规则（或规则套）。接口是网络流量进出系统的门口。 如果没有接口，NetDefendOS系统对于接收和发送数据来说就没有意义了。 可支持的几种接口类型； 物理接口、物理sub接口和通道接口。 物理接口用于物理上的以太网端口； 物理sub接口包括VLAN和PPPoE接口而通道接口是用来在VPN通道中接收和发送数据的。NetDefendOS的接口设计是对称的，意思就是设备的接口不是固定的，就像网络拓扑结构中的“外部不安全”或“内部安全”一样。 内部和外部的概念完全是由管理员来定义的。逻辑对象可被看作供规则使用的预设的构造块。 比如说地址表，包含了命名的表示主机和网络地址的对象。 另一个逻辑目标的例子就是服务，表示了指定的协议和端口组合。 另一个非常重要的对象就是应用层网关（ALG），用来定义指定诸如HTTP、FTP、SNMP和H.323等协议的参数。最后，各种规则集是用来执行系统中的各种策略的。 最基础的规则集是IP规则，该规则是用来定义3层IP过滤和执行地址转换和服务器载荷平衡的。 流量调整规则定义带宽管理策略，IP规则控制入侵阻止引擎等。1.2.3.基本数据包流该章节概述了通过NetDefendOS设备接收和转发的数据包的基本数据流。 请注意该节的描述仅仅是用于加强对其的理解，并不是所有情况下都实用。 基本规则也不会在所有应用程序中都有效。1.一个以太网帧在系统的其中一个以太网接口上被接收。 对基本以太网帧的确认将被执行，如果该帧是一个无效帧，则该数据包将被丢弃。2.该数据包通过一个源接口来进行组合。 源接口可通过列面步骤来定义：如果以太网帧包含了VLAN ID（虚拟局域网标识符），系统将用一个已确认的VLAN接口来核对这个VLAN ID。 如果找到了相匹配的接口，这个VLAN接口就会成为数据包的源接口。 如果没有找到匹配的接口，则该数据包将被丢弃并且这个事件将被记录在日志中。31.2.3. 基本数据包流第1章.产品概述如果以太网帧包含了PPP 有效载荷，系统将会在PPPoE接口中搜索一个相匹配的接口。 如果被找到，这个接口就会成为数据包的源接口. 如果没有找到匹配的接口，则该数据包将被丢弃并且这个事件将被记录在日志中。如果上面所述的情况都没有，则接收此数据包的以太网接口就会成为数据包的源接口。3.数据包中的IP数据报将通过NetDefendOS一致性检测器。 一致性检测器将在数据包上执行一些列全面的检查，包括检验和确认、协议标志、数据包长度等等。 如果一致性检测失败，数据包将被丢弃，并且此事件将被记录在日志中。4.NetDefendOS将通过匹配接收数据包中的参数来搜索已建立起的连接。 匹配过程中将会使用一系列参数，包括源接口、源和目的IP地址、IP协议等等。如果都不匹配，则建立连接进程将启动。包含下面步骤5到10。 如果找到了相匹配的项目，则将会进行第11步的转发进程。5.源接口将被检验以确定其是否是指定路由表中的成员。 此外，虚拟路由规则将被评估来决定连接的正确路由表。6.访问规则将被评估，以找出新连接的IP地址在接收接口上是被允许的。 如果没有访问规则匹配，则一个相反的路由搜索将开始进行。 换句话说，在缺省状态下，接口只会接收属于被路由在该接口上的网络的源IP地址。 如果访问规则或反向路由搜索认为该源IP是无效的，则此数据包将被丢弃，且事件会被记录到日志中。7.使用与之相关联的路由表进行路由搜索。 连接所用的目的接口已决定。8.IP规则现在开始搜索匹配数据包的规则。 基本上，下面这些参数就是匹配进程的一部分： 源和目的接口、源和目的网络、IP协议（TCP、UDP、ICMP等）、TCP/UDP端口或ICMP类型以及计划表。（日时刻）如果找不到相配配的，则数据包被丢弃。如果找到一个匹配新连接的规则，规则的Action参数将决定NetDefendOS该如何处理这个连接。 如果操作是“丢弃”，则该数据包将被丢弃并且此事件将根据规则的日志设定被记录到日志中。如果操作是“允许”，则该数据包将获得通过系统的允许。 一个相关的状态将被添加到连接表中以匹配接下来的属于同一个连接的数据包。 另外，协议和端口可能包含了一个参考应用层网关（ALG）的对象。 这个信息将被记录在状态中，因此NetDefendOS将会知道应用层进程将会在这个连接上执行。最后，打开的新连接将会根据规则的日志设定被记录到日志里。注意这里实际上还有很多额外的操作可用，例如地址解析和服务器载荷平衡。 丢弃和允许数据包的概念实际上是一样的。9.闯入检测和阻止（IDP）规则用一个与IP规则相似的方法来评估的。 如果找到了相匹配的，则IDP数据将同状态一起被记录下来。 这样，NetDefendOS将知道IDP扫描将会对所有属于这个的数据包进行操作。41.2.3. 基本数据包流第1章.产品概述连接.10. 流量调整和阈值显示规则集现在开始搜索。 如果找到了相匹配的，则相应的信息将同状态一起被记录下来。 这将会开启连接上的合适的流量管理。11. 根据状态里的信息，现在NetDefendOS知道该对进入的数据包进行何种操作。如果出现了ALG信息或将要执行IDP扫描，数据包的有效载荷将被依次使用不同应用层网关、7层扫描引擎等的TCP伪重组装子系统管理，以进一步分析或转换流量。如果数据包的内容被封装（也就是IPsec、L2TP/PPTP或通道流量的其他类型），则接口列表将被检测以所搜匹配的接口。 如果找到了相匹配的接口，数据包将被解封并且有效载荷（明文）将同匹配通道接口的源接口一起被再一次发送到NetDefendOS。 换句话说，进程将从上面的第3步继续进行。如果出现了流量管理信息，数据包将被排序，或者进行流量管理相关的操作。12. 最终，数据包将根据状态被转发到目的接口。如果目的接口是一个通道接口或物理子接口，那么将会进行额外的操作，例如加密和封装等。下面的小节有一系列图标，举例说明了通过NetDefendOS的数据包流。51.3. NetDefendOS数据包流第1章.产品概述1.3. NetDefendOS数据包流该节的图表详细说明了通过NetDefendOS状态引擎的数据包的流量。 这里有3个图表，每个依次进入下一个。图 1.1. 数据包流量示意图第I部分数据包流量在下一页继续。61.3. NetDefendOS数据包流第1章.产品概述图 1.2. 数据包流量示意图第II部分数据包流量在下一页继续。71.3. NetDefendOS数据包流第1章.产品概述图 1.3. 数据包流量示意图第III部分81.3. NetDefendOS数据包流第1章.产品概述9第2章. 操作与维护该章介绍了与NetDefendOS相关的操作和维护。 配置NetDefendOS，第10页事件和日志，第21页 RADIUS计费，第24页维护，第28页2.1. 配置NetDefendOS2.1.1. 概述NetDefendOS的设计理念是提供高性能和高可靠性。 它不仅提供了全面的功能，也使管理员几乎能够控制系统的所有详细设置。 这意味着该产品可在最具挑战的环境中使用。对NetDefendOS的配置是如何执行有良好的理解，才能正确的使用该系统。 因此，本章深入介绍了如何配置所有的子系统，也描述了如何在各种管理界面使用该产品。NetDefendOS提供了以下管理界面：网页用户界面网页用户界面提供了友好直观的图形管理界面，可通过标准网页浏览器进行访问。命令行界面（CLI）命令行界面可通过本地串口控制或者远程使用安全壳（SSH）协议来访问，提供了最好的对NetDefendOS中所有参数的粒度控制。注意推荐使用Microsoft Internet Explorer和Firefox浏览器进行网页界面访问。 其他浏览器可能不会提供全面的支持。访问管理界面通常使用远程管理策略，这样您可以通过源网络、源接口、证书等来限制管理访问。 远程管理策略提供了详细且全面的管理性能控制。 例如，在一个网络中可允许管理员用户访问网页界面，同时可允许通过网络协议安全通道连接的远程管理员访问CLI。缺省情况下，通过防火墙的LAN接口接入网络的用户可访问网页用户界面。（当有多个LAN接口可用时，缺省使用LAN1）2.1.2. 缺省用户帐号NetDefendOS提供了多种储存用户信息的选择，可使用本地用户数据库或者外部数据库。102.1.3.命令行界面（CLI）第2章. 操作与维护缺省情况下，NetDefendOS有一个本地用户数据库，管理员用户，这个数据库有个预先定义好的用户帐号：用户名admin 密码admin。这个管理员帐号拥有所有的管理权限。重要为了您的帐号安全，强烈推荐您立即更改缺省帐号的缺省密码。可建立额外的用户帐号。 这些帐号可属于“管理员”用户组，他们拥有完全的读写访问权限。 也可属于“审计”用户组，只有“只读”访问权限。 要获取更多关于用户验证的详细信息，请参见第8章，用户验证。2.1.3. 命令行界面（CLI）NetDefendOS为管理员提供了命令行界面（CLI），CLI需要命令行输入命令，或对系统配置需要更过的粒度控制。 CLI可从本地串口控制端口或远程安全壳（SSH）协议访问。CLI提供了全面的命令，可显示并修改配置数据，也可以显示正在运行的数据，还可以执行系统维护的命令。要查阅所有CLI参考命令，请参见CLI参考向导。. CLI访问方法串口控制端口串口控制端口是一个RS-232端口，该端口可允许通过串口连接到一台PC或终端来访问CLI。 要在您的D-Link系统上定位串口控制端口，请参见D-Link快速入门向导。要使用串口，您需要下列环境：一台带有串口的终端或（便携式）计算机和可仿效终端的性能 (也就是使用微软安装包中的超级终端）。 串口控制端口使用下列缺省设置： 9600波特，无奇偶，8位和1个停止位。带正确连接头的RS-232线缆。 包含了RS-232空调制解调线缆的工具包。要将一台终端连接到串口，请按照下列步骤进行：1.设置前面介绍过的终端协议。2.将RS-232线缆的一个连接头直接连接到您系统硬件的串口上。3.将线缆的另一端连接到终端或正在运行通讯软件的计算机的串口连接器上。4.按下终端上的输入按钮。 NetDefendOS的登录提示符应该会出现在终端显示屏上。112.1.4. 网页界面第2章. 操作与维护SSH（安全壳） SSH（安全壳）协议可通过网络上的远程主机访问CLI。 SSH最初是用于在不安全的网络上进行安全通讯的协议，提供了强大的验证功能和数据的可靠性。NetDefendOS支持版本为1、1.5和2的SSH协议。SSH访问是由NetDefendOS中的管理策略来控制的，缺省设置为关闭。例子 2.1. 开启 SSH 远程 访问该例子显示了如何在局域网上使用局域网接口通过在远程管理策略中添加规则来开启远程SSH访问。CLIgw-world:/ add RemoteManagement RemoteMgmtSSH ssh Network=lannet Interface=lan本地用户数据库=管理员用户web界面1. 点击系统 远程管理 添加 安全壳管理2. 输入SSH远程管理策略的用户名，例如ssh。3. 在下拉菜单列表中选择： 用户数据库： 管理员用户 接口： lan 网络： lannet4. 单击OK。. 普通CLI操作登录到CLI当使用上面介绍的方法建立了到CLI的访问时，您需要在执行CLI命令前登录到系统。 需要验证步骤来确保只有受信任的的用户可访问系统，也为审计机制提供用户信息。CLI使用提供的普通用户验证机制。 换句话说，本地用户数据库和外部用户数据库都可被用来为CLI访问查找用户信誉度。 要获取更多关于用户验证的信息，请参见第8章，用户验证。当访问CLI时，系统会用一个登录提示符来响应。 输入您的用户名然后按输入，然后输入您的密码并按输入。 成功登录后您可以看见命令提示符。 如果设置了欢迎信息，则在您成功登录后就会直接显示出来：gw-world:/为了安全，最好关闭或隐藏CLI欢迎信息。注销CLI在使用完CLI后，您需要注销来防止其他人使用未授权的访问来访问系统。 可通过使用退出 或注销命令来注销。122.1.4. web界面第2章. 操作与维护2.1.4. web界面NetDefendOS通过使用标准的web浏览器提供了通用的web用户界面来管理系统。 这使您可以在世界上任何地点进行远程管理而不需要安装任何第三方客户端。.登录到Web界面。要访问web界面，打开标准的web浏览器，然后在浏览器的地址栏输入防火墙的IP地址。 所有D-Link防火墙的出厂缺省地址为。您在浏览器中必须使用https:/ 作为URL的协议，例如： （https会在用户名和密码在被发送到 NetDefendOS时通过加密来对其进行保护）。 然后一个如下所示的用户验证对话框将会出现。输入您的用户名和密码然后单击Login 按钮。 如果用户证书是正确的，您将被转到web界面的首页。 重要部分高亮的页面将会在显示在下面。要获取更多关于缺省用户名和密码的信息，请参见第2.1.2节，“缺省用户帐号”。132.1.4. web界面第2章. 操作与维护注意访问web界面是由远程管理策略控制的。 缺省情况下，系统只允许来自内部网的访问。. 界面分布主web界面被分成了3个主要的部分：菜单栏菜单栏在web界面的顶部，包含了很多按钮和下拉菜单，这些按钮和下拉菜单可用来执行各种配置任务，也可导航到各种工具和状态页面。首页-导航到web界面的第一页。配置保存并激活-保存并激活配置。放弃更改-放弃对当前页面的配置所做的更改。查看更改-列出最后一次的配置更改。工具-包含了许多对维护系统有用的工具。状态-提供了多个状态页面，可用来进行系统诊断。维护更新中心-手动更新或计划更新入侵检测和病毒库。 授权-查看授权文件详细信息或输入激活码。备份-将配置信息备份到您的本地计算机或恢复下载的备份。复位-重启防火墙或复位到出厂缺省设置。更新-更新防火墙的固件。导航栏导航栏位于web界面的左边，包含了系统配置的树形页面。 导航树根据配置的主要构造被分成了几个部分。 导航树可展开成其他的小节。主窗口主窗口包含了与在导航栏或菜单栏中选择的小节相应的配置或状态信息。. 控制访问web界面缺省情况下，web界面只能通过内部网访问。 如果您想开启从网络的其他地方访问界面，可通过修改远程管理策略来实现。例子 2.2. 通过 HTTPS.开启 远程 管理142.1.5.进行配置 第2章. 操作与维护CLIgw-world:/ add RemoteManagement RemoteMgmtHTTP httpsNetwork=all-nets Interface=any LocalUserDatabase=AdminUsers HTTPS=Yesweb界面1. 点击系统 远程管理 添加 HTTP/HTTPS 管理2. 输入HTTP/HTTPS远程管理策略的名称 ，例如https。3. 选中HTTPS 选框。4. 在下拉菜单列表中选择： 用户数据库： 管理员用户 接口： 任意 网络： 所有网络5. 单击OK。小心上面的例子仅供信息参考。 强烈推荐您不要将任何管理界面暴露给互联网上的用户。.注销web界面当您结束在web界面的工作后，您应该注销，以防止其他可以访问您工作站的用户对系统进行未授权访问。 可通过点击菜单栏右边的Logout 按钮来注销。2.1.5. 进行配置配置对象系统配置是由配置对象建立的，每个对象代表一个可被配置的项。 配置对象的例子有路由表条目、地址簿条目、服务定义、IP规则等。 每个配置对象都有若干制定对象的值的参数。配置对象有个明确定义的类型。 类型定义了配置对象可用的参数和对这些参数的限制。 例如，IP4地址类型可供所有代表IP4地址的配置对象使用。在web用户界面中，配置对象根据其类型被分配在一个树形结构中。在CLI中，类似的配置对象被分组到一个类中。 这些类不同于web用户界面中的结构，可允许快速访问到CLI中的配置对象。 IP4Address、IP4Group以及以太网地址类型是被归纳在一个名为地址的类别中，尽管它们表示不同的地址。 因此，以太网和VLAN对象都被分组到一个名为接口的类中，表示他们都是接口对象。 类别实际上对系统配置没有影响。； 他们仅仅是为了简化管理而被提供的。列出配置对象要查找现在有哪些配置对象，您可以检索对象列表。152.1.5. 进行配置第2章. 操作与维护例子 2.3. 列出 配置 对象该例子展示了如何列出所有的服务对象。CLIgw-world:/ show Service显示所有服务的列表，这些服务根据他们的类型被分组。web界面1. 点击对象 服务2. 将出现一个列出了所有服务的web页面。 列表包含下列基本元素： 添加按钮-显示点击这个按钮时会显示一个下拉菜单。 这个菜单将会列出所有类型的可被添加到列表中的配置项目。 标题-标题行显示了列表中每行的标题。 每个标题旁边的小箭头可用来依照该行对列表排序。 行-列表中的每行对应一个配置项。 基本上每行都是用一个对象的名称开始（如果这个项有名字的话），后面是列表中的行的参数。在每行没有超链接的地方单击一下便可选中该行。 被选中行的背景颜色将变为深蓝。 右键单击该行将会打开一个菜单，您可以选择编辑或删除该对象，也可以修改此对象的命令。显示一个配置对象对配置对象最简单的操作就是显示它的内容，也就是对象的属性参数。例子 2.4. 显示 一个 配置 对象这个例子介绍了如何显示表现telnet服务配置对象的内容。CLIgw-world:/ show Service ServiceTCPUDP telnet属性值- -名称： telnet目的端口： 23类型： TCP源端口： 0-65535SYN中继： 无通过ICMP回执： 无ALG: (none)最大会话数： 1000备注： Telnet属性栏列出了所有服务TCPUDP种类的属性，参数栏列出了所有相应的属性值。web界面1. 点击对象 服务2. 单击列表中的telnet 超链接。3. 显示telnet服务的web界面将显示出来。162.1.5. 进行配置第2章. 操作与维护注意在通过CLI访问对象的时候您可以忽略类别名称，只需使用类型名称即可。 例如，上面例子中的CLI命令可简化为：gw-world:/ show ServiceTCPUDP telnet编辑配置对象当您需要修改NetDefendOS的操作行为时，您需要修改一个或几个配置对象。重要更改配置对象不会在正在运行的系统中生效，除非您激活并提交更改。例子 2.5. 编辑 a 配置 对象这个例子介绍了如何编辑telnet服务的备注属性。CLIgw-world:/ set Service ServiceTCPUDP telnet Comments=Modified Comment再一次显示对象以验证其属性值：gw-world:/ show Service ServiceTCPUDP telnet属性值- -名称： telnet目的端口： 23类型： TCP源端口： 0-65535SYN中继： 无通过ICMP回执： 无ALG: (none)最大会话数： 1000备注： 修改备注web界面1. 点击对象 服务2. 单击列表中的telnet 超链接3. 在备注文本框中，输入您的新备注。4. 单击确定校验列表中的新备注已更新。添加配置例子 2.6. 添加 一个 配置 对象该例介绍了如何添加一个新的IP4Address对象，这里使用0作为IP地址，来添加172.1.5. 进行配置第2章. 操作与维护地址簿CLIgw-world:/ add Address IP4Address myhost Address=0显示新的对象：gw-world:/ show Address IP4Address myhost属性值- -名称： myhost地址： 0用户验证组： (none)无定义证书： 无备注： 无web界面1. 点击对象 地址簿2. 点击添加 按钮3. 在下拉菜单中，选择IP4 Address4. 在名称 文本框中，输入myhost5. 在 IP地址文本框中输入06. 单击确定7. 确认新的IP4地址对象已被添加到了列表中删除一个配置对象例子 2.7. 删除 一个 配置 对象这个例子介绍了如何删除新添加的IP4地址对象。CLIgw-world:/ delete Address IP4Address myhostweb界面1. 点击对象 地址簿2. 右键点击包含了myhost 对象的行。3. 在下拉菜单中选择删除。该行将用一条划线来表示这个对象已被作上了删除的记号。恢复删除配置对象删除的对象在配置激活生效之前都可以恢复。例子 2.8. 恢复删除 一个 配置 对象这个例子介绍了如何恢复在上面的例子中已被删除的IP4地址对象。182.1.5. 进行配置第2章. 操作与维护CLIgw-world:/ undelete Address IP4Address myhostweb界面1. 点击对象 地址簿2. 右键点击包含了myhost 对象的行。3. 在下拉菜单中选择恢复删除。列出修改的对象。在修改了几条配置对象后，您可能想看一看已修改、增加或移除的对象列表。例子 2.9. 列出 已修改的 配置 对象这个例子介绍了如何列出已修改的配置对象。CLIgw-world:/ show -changes类型对象-IP4Addressmyhost*服务TCPUDPtelnet每一行前面的+字符表示这个对象是新增的。 *表示这个对象是修改过的。 -表示该对象已被删除。web界面1. 点击菜单栏中的配置 查看更改 。 更改的列表显示出来了。激活并提交配置当一个配置被更改后，这个配置需要被激活以使所做的更改对正在的运行的系统生效。 在激活过程中，新提交的配置将被验证，NetDefendOS将开始初始化受新配置数据影响的子系统。提交IPsec更改管理员应该知道如果任何对现有IPsec通道产生影响的配置被更改后，这些通道连接将被终止，必须重新建立。新的配置被确认后，NetDefendOS将等待一小段时间（缺省为30秒），在这段时间里必须重新建立到管理员的连接。 如果配置是通过CLI激活的，则在这段时间内将会发布一个commit 命令。 如果没有重新建立连接或没有发布commit 命令，则系统将会回复使用上一次的配置。 这是一个十分强大的自动防故障机制，将在您使用远程系统时阻止您将您自己锁定在防火墙外。192.1.5. 进行配置第2章. 操作与维护例子 2.10. 激活 并 提交 一个 配置这个例子将介绍如何激活并提交一个新的配置。CLIgw-world:/ activate系统将验证并开始使用新的配置。 当再一次显示命令提示符的时候：gw-world:/ commit新的配置已被提交。web界面1. 点击菜单栏中的配置 保存并激活。2. 点击确认。web浏览器将在10秒后自动尝试连接到web界面。 如果连接成功，这是NetDefendOS在说明远程管理仍在进行。 新的配置将自动生效。注意所有对配置所作的更改都可通过不提交更改的配置而被忽略。202.2.事件和日志第2章. 操作与维护2.2. 事件和日志2.2.1. 概述记录日志并分析系统活动是NetDefendOS系统最基础也是最重要的功能。 日志记录让您不仅可以监控系统状态和健康度，也可以审计您网络的使用，并可用调试功能来帮助您。NetDefendOS定义了很多事件信息，这些信息是根据相应的系统事件生成的。 这些事件的例子由连接、接收错误数据包、根据过滤规则丢弃通信等组成。任何时候当一个事件信息生成后，它将被过滤并分配到事件接收器就像系统日志接收器一样。 . 可定义多个事件接收器，每个接收器可拥有独自的可自定义的事件过滤器。NetDefendOS精心设计的事件和日志机制让开启日志记录功能变得简单易懂，但它仍然允许对系统所有的活动进行粒度控制，以进行高级的配置。2.2.2. 事件信息NetDefendOS定义了数百个可生成事件信息的事件。 事件包含了从高级、可定制、用户事件到低级和强制系统事件。例如conn_open 事件，就是一个典型的高级事件，可在建立了一个新的连接后生成一个事件信息，表示此连接匹配安全策略规则，应该生成一个事件信息。低级事件的例子有startup_normal 事件，是在系统启动后生成的一个强制事件信息。所有的事件信息都有一个共同设计，包括类别，严重性，建议操作等等属性。 这些属性允许您轻松的过滤事件信息，也可以在发送到一个事件接收端之前在NetDefendOS内进行过滤，或者作为登录后进行分析的一部份并将信息保存在一个外部日志服务器上。注意在日志参考向导中可查阅所有事件信息的列表。 此向导也描述了事件信息的设定，并解释了各个参数。2.2.3. 事件信息分配要分配并记录生成的事件信息，必须定义一个或多个事件接收器，指定该获取什么事件，把这些事件发送到哪里去。NetDefendOS可使用如下的标准和协议来分配事件信息。MemlogD-Link防火墙拥有一个内置的日志机制，被称为MemoryLog。 它将所有事件日志信息保存在了内存中，可通过在web界面上直接点击来查看。Syslog网络设备记