介绍防火墙管理命令格式、意义和主要使用方法，通过本章可以熟悉防火墙产品的管理命令
提供基于命令行和专用图形用户接口（GUI）两种管理方式。其中基于命令行的管理方式（使用防火墙提供的Console口进行本地管理；或使用Telnet进行远程管理）对于具有一定专业知识的网络系统管理员来说是非常方便的。
1.3 管理和登录
如果防火墙配置了IP地址，并允许进行远程访问，则可以进行远程配置，Telnet终端方式或GUI防火墙管理器方式都可；
如果没有配置IP地址，则只能通过终端或仿真终端如Win95下的超级终端进行配置，参数为：9600，8-N-1。防火墙为DTE方式。
使用Telnet方式：运行telnet，登录到防火墙（输入防火墙管理员帐号及口令）:
1.4 防火墙配置基本参数
防火墙主要包括下列基本参数：
接口设备 IP地址 TCP及UDP接口 ICMP类型 时段
1.4.1 接口设备
防火墙的每一个网络接口为一物理接口，每个物理接口可重载256个虚拟接口。因此，每个接口可配置257个IP地址。物理接口以ethn表示，n为0到接口数减1，如有3个接口，则物理接口为eth0，eth1，eth2。虚拟接口以ethn：m表示，ethn如前所述代表物理接口，m表示重载的虚拟接口编号，从0到255，如eth0：1，eth1：3等。
1.4.2 IP地址
IP地址的写法为XXX.XXX.XXX.XXX，其中XXX为0~255之间的整数，如265.0.0.1是一个非法的IP。
NETMASK可以有两种写法：
同IP地址写法，但必须是一个合法的MASK，即其地址的网络ID部分必须为连续1，如：255.255.255.192是一个合法的netmask，255.255.255.193则不是一个合法的NETMASK。
使用十进制的数字，表示网络部分的1的个数，如32表示255.255.255.255，24表示255.255.255.0，必须在0-32之间。
1.4.3 TCP及UDP端口
端口值必须是0~65535之间的整数。 在规则中可以只用一个整数表示单个端口，也可以如下规则表示端口范围： port1:port2，其中port1，port2都必须是一个合法的端口，且port1 <= port2。 表示从port1到port2的端口范围。
1.4.4 ICMP类型
ICMP类型可以是数值表示，也可以是字符串形式，如：
ECHO_REPLY：回应应答
DEST_UNREACH：目的地址不可达
SURCE_QUENCH：源抑制
REDIRECT：重定向
ECHO REQUEST：应答请求
TIME_EXCEEDED：超时
PARAMETERPROB：参数问题
TIMESTAMP：时间标记请求
TIMESTAMEREPLY：时间标记应答
INFO_REQUEST，INFO_REPLY，ADDRESS，ADDRESSREPLY
1.4.5 时段
表示此规则的生效时段：
hh1:mm1-hh2:mm2/wday1-wday2，表示从每星期的wday1到wday2的hh1:mm1到hh2:mm2的时段，要求： 1 <= wday <= 7，wday1 <= wday2，hh1：mm1 <= hh2:mm2，采用24小时制，精确到5分钟
1.4.6 错误信息
语法及语义检查，由防火墙的配置服务器完成。配置服务器可以识别所有的语法错误，如不认识的关键词，非法IP ( 265.0.0.1，202.1.1.1.1.1 ) 等，并返回错误信息。
1.4.7 规则删除
在防火墙规则配置的过程中，规则删除某条规则须带上原规则所有的选项。
1.4.8 接口以太地址
以太地址为冒号分离的6个16进制数表示，如10:AB:C1:23:a7:7F是一个合法的以太接口物理地址。
1.5 命令分类解释
防火墙的命令主要包括如下几类：
HELp : show this messages
VERsion : show the version of firewall
HELp cmd : show help message for a specific command
IFconfig : interface IP config
ROute : config default router or router to a specific
network
SET : set some firewall features, including remote
managent, transparent, attack detecting arguments
ACCEsslist : config accesslist rules, including packet filtering,
nat, ipx, broadcast, multicast, user rules
ACCOunt : config the account rules
LOG : manage log files
USer : manage one time password users
MAP : manage IP mapping ( also called static NAT )
BInd : bind an IP to physical network card or a otp user to
an IP
DETEct : intrusion detecting information
PUt : put config or log to remote FTP server
SHow : show saved config/log/config log
CHEck : rule checking
WRite : write current config to disk
PASSWd : change passwd
TIME : set firewall date and time
Quit : quit management
RELoad : reload config
PIng : ping host
TRACe : manage the servers to be traced and protected
FOrmat : some argument formats
解释：HELp ：即列出防火墙各类命令
VERsion：防火墙版本显示
HELp cmd ：show help message for a specific command，即显示某一特定命令的帮助信息
IFconfig ：接口的参数配置
ROute ：即路由设置
SET ：设置防火墙的基本参数，包括远程管理、透明性等。
ACCEsslist ：配置访问控制规则表，包括过滤规则、 NAT规则等。
ACCOunt ：配置流量管理规则
LOG ：日志文件管理
USer ：配置IP地址映射
BInd ： IP与MAC地址绑定
DEtect ：入侵检测
PUt ：将防火墙配置规则或日志文件传送到远程FTP服务器
SHow ：显示保存的配置文件、日志文件、配置记录等
CHeck ：防火墙访问控制规则的一致性检验
Write ：保存当前配置
PASSWd ：更改防火墙管理员口令
TIme ：调整防火墙时间
Quit ：退出防火墙管理器
RELoad ：配置恢复或重启动防火墙
Ping：配置防火墙接口ICMP应答
TRACe :主机跟踪和保护
FOrmat ：定义一些防火墙配置参数的格式
下面将针对具体的每一类命令解释。命令的语法采用正则表达式的形式，其中 [] 代表可选项，也就是由中括号括起的选项不是必须的； / 代表其中之一。
每一条命令可以采用简写的方式，在命令中大写的部分就代表了这条命令，如IFconfig可以直接使用if来代替。下面分类进行解释。
1.5.1 IP地址的配置
主要包括以下几个命令：
IFconfig: show IP addresses binded to network cards
IFconfig card ip [netmask]: bind an IP address to specific card,
if netmask is omitted, default netmask of the IP class is used
IFconfig card OFf: for pesudo card this command shutdown it and
release system resource occupied. for physical card, this command
turn off the IP address binded but can still take part in
packet filtering or NAT
IFconfig 显示所有接口包括虚拟接口的IP地址配置
如：

Firewall > if

ifconfig eth0 192.168.1.100 255.255.255.0

ifconfig eth1 192.168.2.100 255.255.255.0



IFconfig card ip [mask]

Card：接口设备，可以是物理接口或虚拟接口。防火墙的每一个接口代表一物理接口，每块物理接口可重载256个虚拟接口。因此，每个接口可配置257个IP地址。物理接口以ethn表示，n为0到接口数减1，如有3个接口，则物理接口名为eth0，eth1，eth2。虚拟接口以ethn：m表示，ethn如前所述代表物理接口，m表示重载的虚拟接口编号，从0到255，如eth0：1，eth1：3等

Ip：接口要设置的IP地址

Mask：子网掩码

配置某一物理接口或某一虚拟接口的IP地址。如果不带MASK选项，则使用IP所属类的默认MASK.

例： ifconfig eth0:1 192.168.1.1

则netmask=255.255.0.0



Ifconfig Card OFf

删除指定接口。

作用于虚拟接口设备时，关闭此虚拟设备，释放资源。

作用于物理接口设备时，取消此接口的IP地址，但接口仍透明工作。

例： ifconfig eth2:1 off

# 释放虚拟接口eth2：1

ifconfig eth2 off

eth2无IP地址，但仍可参与透明过滤

1.5.2 路由配置
防火墙可以在通信上可以提供静态路由，网络卫士防火墙可以用来管理内部子网间的相互通信，通过虚拟接口或使用多个物理接口将内部网划分为几个子网，这几个子网之间的通信就可以利用防火墙的路由功能进行通信。

路由配置命令如下：

ROute SHow: show current route table

ROute -v SHow: show route table verbose

ROute FLush: flush the route table

ROute ADd/DELete DEFault ip: config current default router

ROute ADd/DELete ip mask ROuter: add/delete rouer to IP/MASK



ROute Show

显示当前路由表，不包括接口路由表。

ROute -v SHow

显示防火墙的全部路由表，包括根据 IP 地址配置防火墙自动添加的直接路由表，并列出各路由项的路由接口，标志位等信息。

ROute Flush

清除所有路由表。

ROute ADd/DELete DEFault ip

配置或删除默认路由(0.0.0.0 netmask 0.0.0.0)。这里的IP指的是默认路由器的地址。

例： route add default 10.0.0.1

# 默认路由器为10.0.0.1

ROute ADd/DELete dest_ip dest_mask router_ip

配置或删除到某一目的路由，如果dest_ip dest_mask = 0.0.0.0 0.0.0.0 则为配置默认路由，作用同上一条命令。

例： route add 192.168.1.0 255.255.255.0 10.0.0.1

# 到网络192.168.1.0/255.255.255.0的路由器为10.0.0.1

增加路由时，请确保网关的可到达性，不可到达的网关设置，防火墙取消该路由设置

1.5.3 透明性配置
SET TRansparent: show the current transparent mode(on/off)

SET TRansparent ON/OFf: turn on or off the transparent mode

SET TRansparent

显示防火墙的透明性状态。

SET TRansparent ON/Off

关闭或开放防火墙的透明性。

当防火墙工作于不透明状态时在通信上相当于一个静态路由器。当处于透明状态时，通信上相当于一个网桥。

1.5.4 远程管理
SET TElnet: show if the telnet is enabled or diabled

SET TElnet ON/OFf: enable or disable telnet

SET GUi: show if the GUI interface is enabled or diabled

SET GUi ON/OFf: enable or disable GUi managerment interface

SET MANager: show remote management stations

SET MANager OFf: turn off remote management restriction

SET MANager ip[/mask]: remote management can only from ip/mask

SET PIng ON/OFf: if remote host can ping firewall

SET MAX MANager num/off: set max remote manager number/not limited

SET MAX MANager: show max remote manager setting



SET TELnet

显示是否可以利用 telnet进行管理配置。

SET TElnet ON/OFf

允许或禁止远程telnet管理，当禁止远程的Telnet管理时，只能使用控制台或图形界面进行防火墙的管理。

SET GUi

显示是否可以利用GUI界面进行管理配置。

SET GUi ON/OFf

允许或禁止远程GUI界面配置。禁止远程GUI界面的配置。

SET MANager

显示允许对防火墙进行远程配置的 IP 地址范围。

SET MANager Off

关闭管理源地址限定。此命令将删除管理源IP限定。

SET MANager ip[/mask]

只有从 ip/mask 的 IP 地址可以对防火墙进行远程配置，mask 缺省为 255.255.255.255，即只有一台主机可以对防火墙进行远程管理。

SET PIng ON/Off

允许或禁止远程主机对防火墙接口的 PING 。

SET MAX MANager num/off

设置对防火墙进行远程并发管理的最大数量。

SET MAX MANager

显示对防火墙进行远程并发管理的最大数。



1.5.5 攻击检测参数配置
SET THreshold Scan： show the threshold for TCP/UDP scanning

SET THreshold SCan n： set the threshold for TCP/UDP scanning to n

SET THreshold SYNFlood： show the threshold for TCP synflooding

SET THreshold SYNFlood n: set the threshold for synflooding to n

SET DETEct WIndow:：show the detecting window

SET DETEct WIndow n： set the deteing window to n seconds

解释：

SET THreshold SCan

显示TCP/UDP端口扫描阀值。当通过防火的端口扫描在定义的时间窗口内达到该阀值时，防火墙就会报警反应，包括向控制台发送报警信息及记录攻击日志。

端口扫描必须通过防火墙才构成攻击计数

SET THreshold SCan n

设置TCP/UDP端口扫描阀值为n次。

SET DETect Window

显示检测窗口

SET DETect WIndow n

设置检测窗口为n秒，n>=2

1.5.6 过滤规则配置
ACCEsslist SHow : show all accesslist rules

ACCEsslist SHow LOG: show accesslist rules and matching pkts and bytes

ACCEsslist SHow FIlter: show filtering rules

ACCEsslist SHow NAt: show nat rules

ACCEsslist SHow USer: show otp user rules

ACCEsslist FLush FIlter: flush all packet filtering rules

ACCEsslist FLush NAt: flush all NAT rules

ACCEsslsit FLush USer: flush all otp user rules

ACCEsslist IPx PASS/BLock: pass or block IPX

ACCEsslist NEtbeui PASS/BLock: pass or block netbeui

ACCEsslist BRoadcast PASS/BLock: pass or block IP broadcast

ACCEsslist MUlticast PASS/BLock: pass or block IP multicast

ACCEsslist DEFault PASS/BLock: the default action is pass or block

ACCEsslist [interface] [DELete] PASS/BLock [TCp/UDp/ICmp]

ADDRESS [port/icmptype] TO ADDRESS [port] [SYNOnly]

[LOG] [TIME hh:mm-hh:mm/day-day]: add or delete a one way packet

filtering rule

ACCEsslist [interface] [DELete] PASS/BLock [TCp/UDp/ICmp] BEtween

ADDRESS/any [port/icmptype] AND ADDRESS [port] [SYNOnly]

[LOG] [TIME hh:mm-hh:mm/day-day]: add or delete a two way packet

filtering rule

ACCEsslist [interface] [NO] NAt ADDRESS TO ADDRESS [LOG]

[TIME hh:mm-hh:mm/day-day]: NAT or not to NAT from src to dest

ACCEsslist [interface] [NO] NAt BEtween ADDRESS ANd

ADDRESS [LOG] [TIME hh:mm-hh:mm/day-day]: NAT or not to NAT

between source and dest, this is a two way NAT

ACCEsslist USer [interface] [DELete] PASS/BLock [TCp/UDp/ICmp]

ADDRESS/USER [port/icmptype] to ADDRESS/USER [port]

[LOG]: Add a otp user rule

ACCEsslist USer [interface] [DELete] PASS/BLock [TCp/UDp/ICmp] BEtween

ADDRESS/USER/any [port/icmptype] and ADDRESS/USER [port]

[LOG]: otp user rule

ACCEsslist HTtp/FTp [DELete] PASS/BLock (ip[/mask])/any GET/PUt/POst/HEAd

(ip[/mask])/any port "url": HTTP or FTP filting rule

解释：

ACCEsslist SHow

显示所有过滤规则。

ACCEsslist SHow LOG

显示所有过滤规则，并打印出各规则的包数和总字节数。

ACCEsslist SHow FIlter

显示所有包过滤规则

ACCEsslist SHow NAt

显示所有地址转换规则

ACCEsslist SHow USer

显示所有用户规则

ACCEsslist FLush Filter

清除所有包过滤规则。

ACCEsslist Flush nat

清除所有NAT规则。

ACCEsslist FLush USer

清除所有用户规则

ACCEsslist BRoadcast PASS/BLock

允许或禁止IP广播包通过。

ACCEsslist MUlticast PASS/Block：

允许或禁止IP多址发送包通过。

ACCEsslist IPx PASS/Block：

允许或禁止IPX包通过。

ACCEsslist DEFault PASS/Block：

配置默认规则，当所有的规则都不匹配时，执行此规则。



1.5.7 包过滤规则
ACCEsslist [interface] [DELete] PASS/BLock [TCp/UDp/ICmp] ADDRESS [port/icmptype] TO ADDRESS [port] [SYNOnly] [LOG] [TIME hh:mm-hh:mm/day-day]:

增加或删除一条单向包过滤规则

参数说明：

[interface]：此规则作用接口，必须是一个物理接口，如果未指明则作用在所有接口。

[DELETE]： 删除一条规则，必须带上原规则所有的选项。

PASS/BLock： 允许通过或禁止通过。

[TCP/UDP/ICMP]： 规则作用的协议，不说明则默认所有协议。

ADDRESS： 源地址和目的地址。可以有两多种写法，一种是ip[/mask]，表示一个网段，如果mask省略，则默认为一台主机，即mask为32。另一种是any，相当与0.0.0.0/0，既所有机器；还可以IP1-IP2，表示一地址区间。

[port]： TCP/UDP接口号或ICMP类型。接口号可以表示成一个接口范围如port1：port2。 如果指定ICMP协议，则为ICMP类型，可以是数字形式或字符串形式，如8和ECHO都表示ping请求，目的地址不能有ICMP类型。[SYNONLY]：此规则只作用于TCP的第一个连接包，即所谓的单向TCP连接。

[LOG]：是否对符合此规则的包作日志，日志中登记了时间，允许或拒绝，源IP，目的IP，字节数。

[TIME]： 此规则作用的时间区间。



下面对包过滤规则举例：

accesslist eth0 block 10.0.0.1 to 20.0.0.1

# 禁止主机10.0.0.1/32从eth0发数据包给20.0.0.1/32，如果10.0.0.1接在防火墙的eth1上，则不匹配此规则。

accesslist pass 10.0.0.1 to 10.0.0.2 time 8：00-17：00/1-5

# 每周一至周五的八点至下午五点允许10.0.0.1/32在所有接口上发数据包给10.0.0.2/32。

accesslist block 10.0.0.1 to 192.168.1.0/24 synonly

# 10.0.0.1/32不能向网络192.168.1.0/24主动发起TCP连接，但192.168.1.0/24中的机器是否可以向10.0.0.1/32发起连接没有定义。

accesslist block 192.168.1.0/24 to any

# 禁止192.168.1.0/24中的所有机器穿过防火墙。

accesslist block tcp 10.0.0.1 to 10.0.0.2 21

# 禁止10.0.0.1访问10.0.0.2的FTP服务。



ACCEsslist [interface] [DELete] PASS/BLock [TCp/UDp/ICmp] BEtween ADDRESS/any [port/icmptype] AND ADDRESS [port] [SYNOnly] [LOG] [TIME hh:mm-hh:mm/day-day]:

双向包过滤规则，即此规则同时作用于两个方向。

Accesslist pass between A and B相当于：

Accesslist pass A to B

Accesslist pass B to A
1.5.8 NAT规则
ACCEsslist [interface] [NO] NAt ADDRESS TO ADDRESS [LOG]

[TIME hh:mm-hh:mm/day-day]:

增加或删除一条单向NAT规则，即从源到目的的访问是否做地址转换，对从目的到源的访问是否必须做地址转换则没有定义。

参数说明如下：

[interface]：此规则作用接口，必须是一个物理接口，如果未指明则作用在所有接口。

[DELETE]： 删除一条规则，必须带上原规则所有的选项。

[NO]： 表示从源到目的不要做地址转换。

(ip[/mask])/any： 源地址和目的地址。可以有两种写法，一种是ip[/mask]，表示一个网段，如果mask省略，则默认为一台主机，即mask为32。另一种是any，相当与0.0.0.0/0，既所有机器。

[LOG]： 是否对符合此规则的包做日志，日志中登记了时间，允许或拒绝，源IP，目的IP，字节数。

[TIME...]： 此规则作用的时间。

防火墙NAT可以在透明工作模式或路由工作模式工作

对NAT规则举例如下：

防火墙的eth0为192.168.1.254，连接网络192.168.1.0/24，eth1为192.168.2.254，连接网络192.168.2.0/24。

accesslist nat 192.168.1.1 to 192.168.2.0/24

# 从192.168.1.1/32访问192.168.2.0/24时必须作NAT，即从192.168.2.0/24看来是192.168.2.254在对它们进行访问，而不是192.168.1.1。

accesslist eth1 nat 192.168.1.1 to 192.168.2.0/24

# 不起任何作用，因为192.168.1.1接在eth0。

accesslist no nat 192.168.1.1 to 192.168.2.1

accesslist nat 192.168.1.1 to 192.168.2.0/24

# 从192.168.1.1访问192.168.2.1不用作NAT，而访问192.168.2.0/24的其余主机必须作NAT。

ACCEsslist [interface] [NO] NAt BEtween ADDRESS ANd ADDRESS [LOG] [TIME hh:mm-hh:mm/day-day]:

双向 NAT 或NO NAT

例： accesslist no nat between 192.168.1.1 and 192.168.2.1

# 相当与以下两条规则

accesslist no nat 192.168.1.1 to 192.168.2.1

accesslist no nat 192.168.2.1 to 192.168.1.1



1.5.9 用户规则
ACCEsslist USer [interface] [DELete] PASS/BLock [TCp/UDp/ICmp] ADDRESS/USER [port/icmptype] to ADDRESS/USER [port] [LOG]:

配置一条单向用户规则，当动作为PASS时，如果源用户登录时已选择了地址转换，则为此用户到目的的访问作地址转换，否则直接转发。源和目的可以是IP地址或用户名，但不能都是IP地址。

例： accesslist user pass TCP user1 to user2 80

允许用户user1访问user2的TCP 80接口，如果user1登录时选择地址转换，则user1访问user2：80时，防火墙为其作地址转换。

accesslist any to user1

允许所有的机器访问用户user1所在的机器



ACCEsslist USer [interface] [DELete] PASS/BLock [TCp/UDp/ICmp] BEtween ADDRESS/USER/any [port/icmptype] and ADDRESS/USER [port] [LOG]:

配置一条双向用户规则。



ACCEsslist HTtp/FTp [DELete] PASS/BLock (ip[/mask])/any GET/PUt/POst/HEAd (ip[/mask])/any port "url":

HTTP或FTP过滤规则。允许或禁止对服务器URL做相应的操作。

其中URL对HTTP为URI，对FTP为文件名。

1.5.10 流量统计规则配置
ACCOunt DETAil ON/OFf

ACCOunt SHow: show current account rules

ACCOunt SHow LOG: show current account rules and matched pkts and bytes

ACCOunt FLush: flush all account rules

ACCOunt Zero: zero all accounts

ACCOunt [DELete] ADDRESS TO ADDRESS [MAX nM/K [LOG]]:

source to dest should (not) be accounted. If the [MAX nM/K log]

present, then if account reach nM(megabytes) or nK(kilobyte), the

communication is blocked,and if log present, then pkts after count

exceeded are logged

ACCOunt [DELete] BEtween ADDRESS AND ADDRESS

[MAX nM/K [LOG]]: communation between source and dest should

(not) be account. If the [MAX nM/K log] present, then if account

reach nM(megabytes) or nK(kilobyte), the communication is blocked,

and if log present, then pkts after count exceeded are logged

解释：

ACCOunt DETAil ON/OFf

打开或关闭流量统计计费。

该命令用于有计费版本，在标准版中，计费开关不可打开

ACCOunt SHow

显示所有流量统计规则

ACCOunt SHow LOG

显示所有流量统计规则，并打印出符合此规则的包数和字节数

ACCOunt Flush

清除所有流量统计规则

ACCOunt Zero

清除所有已统计的内容，从零开始重新统计

ACCOunt [DELete] BEtween ADDRESS AND ADDRESS

对两个IP之间的通讯进行双向统计。如果指定了最大允许通信量，则超过最大通信量时不允许继续通信，如果加LOG选项则记录所有超过最大通信量的包。



例： account between 10.0.0.1 and 192.168.1.0/24

# 10.0.0.1与网络192.168.1.0/24之间的通信进行双向统计。

account between 10.0.0.1 and 192.168.1.0/24 MAX 10m log

# 统计规则同上例，当累计通信量达到10M时，禁止它们之间的通信，并对10M以后的数据包作日志。

ACCOunt [DELete] ADDRESS TO ADDRESS [MAX nM/K [LOG]]:

对源IP到目的IP的包进行单向统计，目的到源的包不统计。如果指定了最大允许通信量，则超过最大通信量时不允许继续通信，如果加LOG选项则记录所有超过最大通信量的包。

例： account 10.0.0.1 to 192.168.1.0/24

# 统计从10.0.0.1到192.168.1.0/24的数据包。

account 10.0.0.1 to 192.168.1.0/24 max 10m log

# 统计规则同上例，当10.0.0.1发往192.168.1.0/24的数据包超过10M时，禁止10.0.0.1发数据包给 192.168.1.0/24，并对10M以后的数据包作日志。

1.5.11 USER命令
U USer CHEck INterval s: challenge logined otp user ervery s seconds

USer Kick user_name: kick a login user, but can login next time

USer FLush: delete all otp user accounts

USer DELete user_name: delete an user

USer SHow: show all valid users

USer SHow LOGIn: show all currently login users

USER命令用来管理一次性口令用户。一次性口令登录时，防火墙向用户提供一个种子及循环计算次数，登录程序根据用户输入的口令、种子，计算次数算出一次性口令传给防火墙。种子是公开的，用户可以在不同的服务器上使用不同的种子而口令相同，每次在网络上传输的口令也不同，或用户可以定期改变种子来达到安全的目的。

USer CHEck INterval s

每隔 s 秒对已登录的一次性口令用户进行询问检查

USer Kick user_name

将一个已登录的用户踢出系统，但他还可以再次登录

USer Flush

删除所有的一次性口令用户帐号

USer DELete user_name

删除一个用户帐号

USer SHow

显示所有用户信息

USer SHow LOGIn

显示所有当前登录的的系统用户信息

1.5.12 IP地址映射
MAP orig_host [protocol port] TO host [port]: direct all access to host[/port] to orig_host[port], if [protocol port] not specified, then means all port, now we can't do FTP port mapping. The map to IP addresses must have exist, you should first ifconfig ethx:yyy, then map

MAP DELete orig_host [protocol port] TO host [port]: unmap a specific mapping

MAP DELete orig_host: unmap all mapping at orig_host

MAP FLush: flush all host mapping

MAP SHow: show host mappings

通过IP地址映射功能，将IP1映射为IP2，或将IP1上的TCP/UDP PORT1映射到IP2的TCP/UPD PORT2上；对前一种情况所有对IP2的访问将重定向到IP1，后一种情况，所有对TCP/UDP PORT2的访问防火墙将重定向到TCP/UPD PORT1上。在执行地址映射前：

IP2需先配置在防火墙的一个接口上（物理或虚拟）



MAP ip1 TO ip2：

将ip1映射为ip2。

例： map 192.168.1.1 to 192.168.2.1

# 在192.168.2.0/24网络中的用户要访问192.168.1.1时，只要访问192.168.2.1即可。

MAP DELete ip1 to ip2： 删除ip1到ip2的地址映射。

MAP DELete ip1： 删除ip1的所有映射。

MAP FLush： 删除所有映射。

MAP Show： 显示映射策略



1.5.13 IP与硬件地址、用户的捆绑
BInd ip TO mac_addr: bind an IP to a specific ethernet mac

BInd DELete ip: unbind an IP from physical network card

BInd SHow: show current binding

BInd FLush: flush all IP-MAC binding

BInd user_name TO ip[/mask]: the user can only login from ip[/mask]

BInd DELete user_name: clear the user_name binding

BInd USer FLush: flush all user binding

BInd USer SHow: show all user binding



BInd ip TO mac

将某一IP地址限定在某一物理接口上。根据以太网通信协议，如果此主机不在防火墙所在的广播域中，则mac不能与其物理地址绑定。

BInd SHow

显示所有IP的捆绑。

BInd FLush

清除所有IP到物理接口的捆绑。

BInd DELete ip

删除某一IP到物理接口的捆绑。

BInd user_name TO ip[/mask]

将某一用户限定在某一个/部分IP地址上，即某一用户只能从某一个/部分IP地址上登录。

BInd DELete user_name

删除某一用户到IP地址的捆绑。

BInd USer Flush

删除所有用户捆绑。

BInd USer SHow

显示所有用户捆绑。



1.5.14 规则测试
CHEck [interface] [TCp/UDp/ICmp] ip [port/icmptype] TO ip [port]:

check if a packet can pass the accesslist rules at a specific interface.

if no protocol is specified, tcp is used default. port used for tcp and

udp, icmptype used for icmp, dest can't not has an icmptype

静态检测防火墙策略效果。防火墙在内部模拟通信过程，检测策略对通信事件的作用效果。

根据当前规则，得到源IP到目的IP应执行的动作. 给出的信息可能是：“Packet passed”，”Packet NATed”，”Packet blocked”。主要用来测试规则是否设置正确，并不真正地发IP包进行物理测试。

[TCP/UDP/ICMP]： 测试协议，如果不说明，则为TCP

例： check 192.168.1.1 to 192.168.2.1

# 测试192.168.1.1到192.168.2.1是否被规则禁止。

1.5.15 LOG配置
LOG SIze sz days: maximum days log, ervery max sz K

LOG INterval s: write log to log file very s seconds

LOG LIst: list all log files and size

LOG RESet: delete all log files

LOG DELete [filename]: delete a log file, delete current log if filename

omitted



防火墙每天生成一运行日志，文件名为YYYYMMDD. 每个LOG文件大小可设定，所保存的日志天数可设定，在设定保存天数之前的日志防火墙自动删除。标准版防火墙提供的日志空间为50M。

LOG SIze sz days

设置LOG文件的大小及记录的最大天数，若大于防火墙的日志空间，防火墙丢弃当前需要记录的日志。

LOG INterval s

每隔 s 秒将缓存中日志写入日志文件；

在S秒内，同一通信事件在日志中累加为一条记录。

LOG LIst

显示所有LOG文件名及大小。

LOG RESet

清除所有运行日志文件。

LOG DELete [文件名]

删除一个LOG文件，如果不带文件名，则删除当天LOG文件。

注意：为了防止日志文件被自动覆盖，管理员要定期处理日志。在大规模的网络中，如果对所有的通信都进行日志，那么每天的日志文件较大，这时日志会自动覆盖文件的开始位置，在此情况下，管理员可适当增大日志文件，在设置规则时，只记录安全敏感事件，并根据审计目标，调整日志记录间隔。

1.5.16 测试命令
PIng ip: ping host

PIng -num ip: ping num counts

PIng - ip: ping forever





这些命令用于测试防火墙通道的通信是否正常，测试防火墙与受控对象（指受防火墙控制的主机）之间的通信通道，同时对主机地址解析，方便防火墙管理员配置IP与MAC绑定规则。 　

这些命令只在命令行中提供，在图形界面中暂未提供。

PIng ip

ping 指定主机 5 次。

PIng -num ip

ping 指定主机 num 次。

PIng _ ip

持续不断地 ping 某一台机器，直到用户按下 Ctrl-c 为止。

Arp

显示防火墙的 ARP 表

ARp ip

显示防火墙 ARP 表中对应 ip 的一项

ARp -d ip

删除防火墙 ARP 表中对应 ip 的一项



1.5.17 ARP信息显示
ARp: show all MAC cache

ARp ip: show MAC cache of a specific ip

ARp -d ip: delete a MAC cache of a ip

显示或删除防火墙的ARP表。

1.5.18 保存配置或日志到远程主机
Put config or log file to a remote FTP server

PUt CONfig ip [PROmpt]: put config to FTP server, /log/titfw.cfg

PUt CONfig log ip [PROmpt]: put manager log to FTP server, /log/titman.log

PUt LOG ip [PROmpt]: put all logs to FTP server

PUt LOG filename ip [PROmpt]: put a specific log file to FTP server

prompt: if omitted, then use the default user anonymous, passwd guest, put files to /log on FTP server, else firewall will prompt for user name, passwd, and dest directory



将当前配置或日志FTP到指定FTP服务器的。

有两种传送方式：

匿名传送：用户名为anonymous，口令为guest，传送到服务器的 /log目录下。

用户方式：提示输入用户名，口令，FTP服务器的目录，此方式只在命令行方式下有效，GUI暂不提供。

PUt CONfig ip [PRompt]

写当前配置到FTP服务器，配置文件为 /log/titfw.cfg，prompt省略为匿名传送，否则为提示方式。

PUt CONfig LOG ip [PRompt]

写当前配置日志到FTP服务器，日志文件为 /log/titman.log

PUt LOG ip [PRompt]

写所有运行日志到FTP服务器，日志文件为 /log/yyyymmdd，如/log/19990101

PUt LOG文件名ip [PRompt]

写某一运行日志到FTP服务器，日志文件为 /log/yyyymmdd

1.5.19 显示命令
SHow LOG [date]: show log file, show today's log if [date] omitted

SHow COnfig LOG: show the config log file

SHow COnfig: show saved config

SHow interface STatus: show current status of interface



SHow LOG [date]

显示一个LOG文件内容，如果不带文件名[date]，则显示当天LOG。

SHow CONfig LOG

显示配置LOG，此LOG文件保存用户所做的所有管理命令，最多可保存2M，超过2M则从头开始，包括：时间，用户名，命令，成功或失败。

SHow CONfig

显示当前配置，既当前工作配置，不是保存在硬盘上的配置。

SHow interface Status

显示接口的当前状态。

说明：

如果用户查看的文件内容很长，show 命令具有自动逐屏查看功能，以便用户仔细查看，并可以在每屏显示停止时，用户可以输入一些参数，查看内容的关键字，或作到后翻、前翻、帮助和终止等。主要的参数如下：

h h:显示参数帮助

q Q ::退出

SPACE f z :向前一屏

B w :向后一屏

/pattern 向前查找关键字、词

?pattern: 向后查找关键字、词



1.5.20 保存当前配置
WRite: save current config



Write

将运行区的配置写入启动区。

更改防火墙配置后，若不运行此命令，则配置内容只存在于运行区，防火墙关机后，配置恢复为启动区内容

1.5.21 管理员口令修改
PASSWd clear-passwd: change passwd

PASSwd clear-passwd

修改用户密码，clear-passwd是口令明文。

例： 当前用户是superman，

passwd 12345

# superman的口令变为12345

口令修改仅针对当前管理用户

1.5.22 调整防火墙当前时间
TIME yyyy-mm-dd hh:mm:ss : set the firewall date and time



TIME：显示防火墙当前时间。

TIME yyyy-mm-dd hh：mm：ss

调整防火墙当前时间，仅当防火墙时间不对时才使用。

例： time 1999-01-01 00:00:00

# 防火墙的时间调整为1999年1月1日零点。

1.5.23 重启动防火墙 RELoad
RELoad: reboot the firewall

RELoad COnfig: reload the saved config without rebooting firewall



RELoad

重新启动防火墙

RELoad CONfig

重新读入启动区的配置到运行区。

1.5.24 主机跟踪和保护 Trace
TRACe SHow: show current servers being traced and protected

TRACe SHow STatus: show the current half-open and established connections

and timeout value of each active server

TRACe SHow SESsion: show current sessions to server

TRACe ADd ip/mask max_req max_estab syn_rate: add a server to be traced

and protected,

max_req=max TCP half open connections to server (at least 10),

max_estab=max established connections to server (at least 10)

syn_rate=max syn rate allowed to this server,

( 0 <= rate <= 100 ), if syn_rate = 0, the the rate is not limited

TRACe DELete ip/mask: delte the ip/mask from traced list

TRACe FLUsh: flush all traced list

主机跟踪用于监测DOS/DDOS攻击，并对此类攻击作出反映。

TRACe Show

显示当前被跟踪和保护的主机

TRACe SHow Status

显示当前被跟踪和保护主机的活动情况（半连接、建立连接、超时时间等）

TRACe SHow SESsion

显示当前跟踪主机的每一个具体连接情况(时间、源地址、目的地址、接口号等)

TRACe ADd ip/mask max_req max_estab syn_rate

增加跟踪和保护主机，包括最大半连接数（不小于10）、最大连接数（不小于10）、每秒最大请求数（0 _ 100，若为0，表示连接速率不受限制）

TRACe DELete ip/mask

删除跟踪和保护主机列表

TRACe FLUsh

删除所有跟踪和保护主机列表



1.5.25 Quit
退出配置

1.6 包过滤注意事项
1.如果连接防火墙之前两个网络之间能够正常通讯（属同一网段或通过路由器），则加上防火墙后只要配置以下规则既可正常通信：

set transparent on

accesslist broadcast pass

accesslist multicast pass

2.如果原来两个网络之间无法通讯，那么防火墙可以在它们之间作静态路由。

防火墙两端直接接着这两个网络。例如，A： 192.168.1.0 (C类地址)，B： 192.168.2.0（C类地址），原来A，B之间没有路由连通，现将防火墙加在A，B之间，eth0接A，eth1接B。须进行如下配置：

ifconfig eth0 192.168.1.254 (或任一空闲的192.168.1.x)

ifconfig eth1 192.168.2.254 (或任一空闲的192.168.2.x)

在A网络的机器中将到B网络的路由指向192.168.1.254，在B网络的机器中将到A网络的路由指向192.168.2.254。



防火墙至少与其中一个网络之间隔着一个路由器。例如：

A：192.168.1.0?，B： 192.168.2.0?，C：192.168.3.0?，原来B，C之间通过路由器192.168.2.1/192.168.3.1相连，并且与A没有路由，现将防火墙接在A，B之间，eth0接A，eth1 接B，对A，B之间，A，C之间的通讯进行个过滤，须进行如下配置：

ifconfig eth0 192.168.1.254

ifconfig eth1 192.168.2.254

route add 192.168.3.0 255.255.255.0 192.168.2.1

在A网络的机器中将到B，C网络的路由指向192.168.1.254，在B网络的机器中将到A网络的路由指向192.168.2.254，在原先的路由器中加入一条指向A的路由，路由器为192.168.2.254。

如果原路由器为C的默认路由，则C不须进行任何配置，否则须在C中将到A网络的路由指向此路由器，既192.168.3.1。

1.7 NAT注意事项
如果加防火墙之前两个网络之间能够通讯（既两个网络之间有路由器），现想在它们之间作NAT。如A： 192.168.1.0?，B： 192.168.2.0?，在A，B之间有一个路由器192.168.1.1/192.168.2.1，现想NAT从A到B的所有通讯，则必须把防火墙加在A内部网与路由器之间，eth0接A内部网，eth1接路由器（反之亦可）。

set transparent on

accesslist broadcast pass

accesslist multicast pass

# A与路由器属同一IP子网，须打开以上三项。



ifconfig eth1 192.168.1.254

# eth0可以没有IP，如果为eth0配置IP，则必须是不属于A的IP

route add 192.168.2.0 255.255.255.0 192.168.1.1

accesslist nat 192.168.1.0/24 to 192.168.2.0/24

则所有从A到B的访问似乎是从192.168.1.254来的。

　

如果原来两个网络之间无法通讯，那么防火墙可以在它们之间作静态路由。

防火墙两端直接接着这两个网络。


例如，A： 192.168.1.0 (C类地址)，B： 192.168.2.0（C类地址），原来A，B之间没有路由连通，现想NAT所有从A到B的通讯，将防火墙加在A，B之间，eth0接A，eth1接B。

ifconfig eth0 192.168.1.254

ifconfig eth1 192.168.2.254

accesslist nat 192.168.1.0/24 to 192.168.2.0/24

在A网络的机器中将到B网络的路由指向192.168.1.254，在B网络的机器中将到A网络的路由指向192.168.2.254。则所有从A到B的访问似乎是从192.168.2.254来的。

防火墙至少与其中一个网络之间隔着一个路由器。

例如：

A：192.168.1.0©， B： 192.168.2.0©， C：192.168.3.0©， 原来B，C之间通过路由器192.168.2.1/192.168.3.1相连，并且与A没有路由，现将防火墙接在A，B之间，eth0接A，eth1接B，NAT所有从A到C的通讯。

ifconfig eth0 192.168.1.254

ifconfig eth1 192.168.2.254

route add 192.168.3.0 255.255.255.0 192.168.2.1

accesslist nat 192.168.1.0/24 to 192.168.3.0/24

在A网络的机器中将到B，C网络的路由指向192.168.1.254，在B网络机器中将到A网络的路由指向192.168.2.254在原先的路由器中加入一指向A的路由，路由器为192.168.2.254. 如果原路由器为C的默认路由，则C不须进行任何配置，否则须在C中将到A网络的路由指向此路由器，既192.168.3.1，则所有从A到C的访问似乎从192.168.2.254而来。

1.8 某些特殊接入方法
某些企业可能用交换机划分虚网（VLAN）的方式来隔离两个网络，然后将防火墙同时接在交换机的两个VLAN上进行过滤。必须执行以下配置：

set transparent off

accesslist broadcast block

accesslist multicast block

1.9 一次性口令用户
一次性口令是指用户每次登录时，其输入的口令经过编码后在网络上传输，每次的传输口令均不一样。用户每次输入的口令是不变的。
一次性口令用户的配置包括：
用户名：用户标识 由管理员分配给用户，用户登录后可自行修改。
种子：在生成用户的时候管理员由管理员指定，保存在防火墙中，每次登录时传给客户端的登录程序，与用户输入的口令配合生成一次性口令。一次性口令生成算法在计算量上是不可逆的，攻击者知道种子也无法推导出用户口令。种子的主要作用在于用户可以改变种子而不改变口令来延长口令的强度周期，或在不同的防火墙上使用不同的种子而使用相同的口令。
每次登录后能持续多长时间：由管理员规定某个用户每次登录后防火墙为他开放的时间，超出后，如果没有重新登录，则将他踢出系统。
同时登录限制： 此帐号同时可以有几个用户使用，当超出此限制时，新的登录请求不成功。帐号的作废日期： 此帐号在哪一个日期作废。
增加一次性口令用户：
增加一次性口令用户时，必须输入初始口令，因此用命令行方式较麻烦，建议使用图形界面（GUI）。
运行FWMANAGER.EXE，登录到防火墙。
选择菜单“一次性口令用户”下的“所有用户”，管理程序列出此防火墙上的所有一次性口令用户。
单击“增加”，增加用户界面弹出
输入用户名，口令，随机种子，选择是否限制登录超时，是否有同时登录限制，是否有作废时间
选择是否进行口令分割，如果是，必须插入一张软盘到A：
完成后，点确定
一次性口令用户登录
打开登录程序
输入用户名，口令
选择是否要做地址转换（NAT）。当用户机器的IP地址是保留IP （如10.X.X.X）而又想通过防火墙访问Internet时，可以让防火墙做地址转换。

选择是否是口令分割用户，如果是，必须将分配的软盘插入A驱或IC卡插入读写器。

登录成功后，登录程序的小图标出现在任务栏的状态区域中，双击次图标可以重新登录。

当用户登录的剩余时间还剩三分钟时，登录程序自动跳出，提醒用户重新登录。当登录时间用尽后，图标消失。
1.10 防止IP地址欺骗
1. 保护内部网某一台机器的IP地址不被另一台内部机器盗用
如果要保护的机器与防火墙在同一广播域，可以将此机器的IP与其物理接口捆绑，这样其他内部机器就不可能使用它的IP。
2. 防止外部主机盗用内部主机的IP
将相应的包过滤规则加在外部接口。在正常情况下，内部IP不可能在防火墙的外部接口作为源地址出现，因此可以在外部接口上禁止所有的内部IP作为源地址。如：
防火墙保护的内部网为192.168.1.0/24，192.168.2.0/24，eth1 接内部网，eth0接外部网：
accesslist eth0 block 192.168.1.0 24 to any
accesslist eth0 block 192.168.2.0 24 to any
禁止了外部机器盗用这两个网段的IP。