编程→输入密码→系统设置→系統时间→采用光标、

：编程→输入密码→系统调试→系统自检→退出

编程→输入密码→系统设置→打印机配置→使用光标调整打印机→

→系统设置→屏蔽地址→输入主机号→插入→输入回

路号与设备地址→退出→保存

：编程→输入密码→系统信息→故障信息→故障列表→主機号→确认

：编程→输入密码→系统信息→火警信息→确认

：编程→输入密码→系统信息→监管信息→确认

：编程→输入密码→系统设置→联动信息→反馈模块

随着Internet的迅速发展越来越多的企業借助网络服务来加速自身的发展，此时如何在一个开放的网络应用环境中守卫自身的机密数据、资源及声誉已越来越为人们所关注。網络安全已成为网络建设不可或缺的组成部分

目前，Internet网络上常见的安全威胁大致分为以下几类：

非法使用：资源被未授权的用户（也可鉯称为非法用户）或以未授权方式（非法权限）使用例如，攻击者通过猜测帐号和密码的组合从而进入计算机系统以非法使用资源。

拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求例如，攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或請求回应致使服务器负荷过重而不能处理合法任务。

针对上述的安全威胁而采取的安全防护措施称为安全服务一般定义下列几种通用嘚安全服务：

加密是将可读的消息转化为不可读形式的加密文本的过程。加密不仅为用户提供通信保密同时也是其他许多安全机制的基礎，如认证过程中口令的设计、安全通信协议的设计及数字签名的设计等均离不开密码机制

加密方法主要分为三种：

对称密码体制：其特征是用于加密和解密的密钥是一样的，每对用户共享同一密钥来交换消息密钥必须是保密的。典型代表包括：数据加密标准DES（Data Encryption Standard）、三層数据加密标准3DES（Triple DES）等

公钥密码体制：相对于对称密码体制，公钥密码体制有两个不同密钥可将加密功能和解密功能分开。一个密钥稱为私钥必须秘密保存；另一个称为公钥，可被公开分发典型代表包括DH（Diffie-Hellman）、RSA（Rivest，ShamirAdleman）。

认证通常用于在访问网络前或网络提供服务湔来鉴别用户身份的合法性

认证可以由网络上的每一台设备在本地提供，也可以通过专用的认证服务器来实施相比较而言，后者具有哽好的灵活性、可控性和可扩展性目前，在异构网络环境中RADIUS（Remote Access Dial-In User Service，远程访问拨入用户服务）作为一个开放的标准被广泛用于认证服务

訪问控制是一种加强授权的方法。一般分为两种：

基于网络的接入控制：指对接入网络的权限加以限制由于网络的复杂性，其机制远比基于操作系统的访问控制更为复杂一般在发起访问请求者和访问目标之间的一些中介点上配置实施访问控制组件（例如防火墙），从而實现基于网络的接入控制

网络的安全协议是网络安全的重要内容。在此我们从TCP/IP的分层模型角度来介绍目前广泛使用的安全协议。

它提供从一台主机上的应用程序通过网络到另一台主机上的应用程序的端到端的安全性应用层安全机制必须根据具体应用而定，其安全协议昰应用协议的补充因此，不存在通用的应用层安全协议

例如，SSH（Secure Shell安全外壳）协议可以建立安全的远程登录会话和使用通道连接其他TCP應用程序。

它提供基于同一台主机进程之间、或不同主机上进程之间的安全服务传输层安全机制建立在传输层IPC（进程间通信）界面和应鼡程序两端的安全性基础上。

在传输层中提供安全服务的想法便是强化它的IPC界面如BSD套接（socket）等，具体做法包括双端实体的认证、数据加密密钥的交换等按照这个思路，出现了建立在可靠传输服务基础上的安全套接层协议SSL（Secure Socket Layer）SSL v3主要包含以下两个协议：SSL记录协议及SSL握手协議。

假使上层协议没有实现安全性保障通过对网络层报文进行保护，用户信息也能够自动从网络层提供的安全性中受益因此，IP安全是整个TCP/IP安全的基础是Internet安全的核心。

目前网络层最重要的安全协议是IPSec（IP Security Protocol）。IPSec是一系列网络安全协议的总称其中包括安全协议、加密协议等，可为通讯双方提供访问控制、无连接的完整性、数据源认证、反重放、加密以及对数据流分类加密等服务

提供的是点到点的安全性，如在一个点到点链路或帧中继的永久虚链路上提供安全性链路层安全的主要实现方法是在连接链路的每一端使用专用设备完成加密和解密。

安全防范体系的第一道防线――防火墙

在实际应用中单一的安全防护技术并不足以构筑一个安全的网络安全体系，多种技术的综匼应用才能够将安全风险控制在尽量小的范围内一般而言，安全防范体系具体实施的第一项内容就是在内部网和外部网之间构筑一道防線以抵御来自外部的绝大多数攻击，完成这项任务的网络边防产品我们称其为防火墙

类似于建筑大厦中用于防止火灾蔓延的隔断墙，Internet防火墙是一个或一组实施访问控制策略的系统它监控可信任网络（相当于内部网络）和不可信任网络（相当于外部网络）之间的访问通噵，以防止外部网络的危险蔓延到内部网络上防火墙主要服务于以下目的：

防火墙通常作用于被保护区域的入口处，基于访问控制策略提供安全防护例如：当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和数据免遭来自外部网络的非法访问（未授權或未验证的访问）或恶意攻击；当防火墙位于组织内部相对开放的网段或比较敏感的网段（如保存敏感或专有数据的网络部分）的连接處时可以根据需要过滤对敏感数据的访问（即使该访问是来自组织内部）。

防火墙技术的发展历史大致经历了以下几个过程

1. 第一代防吙墙――包过滤防火墙

包过滤指在网络层对每一个数据包进行检查，根据配置的安全策略来转发或拒绝数据包

包过滤防火墙的基本原理昰：通过配置ACL（Access Control List，访问控制列表）实施数据包的过滤实施过滤主要是基于数据包中的源/目的IP地址、源/目的端口号、IP标识和报文传递的方姠等信息。

第一代防火墙的设计简单非常易于实现，而且价格便宜但其缺点不容忽视，主要表现在：

包过滤不检查会话状态也不分析數据即不能对用户级别进行过滤，这容易让黑客蒙混过关例如，攻击者可以使用假冒地址进行欺骗通过把自己主机IP地址设成一个合法主机IP地址，就能很轻易地通过报文过滤器

2. 第二代防火墙――代理防火墙

代理服务作用于网络的应用层，其实质是把内部网络和外部网絡用户之间直接进行的业务由代理接管代理检查来自用户的请求，认证通过后该防火墙将代表客户与真正的服务器建立连接，转发客戶请求并将真正服务器返回的响应回送给客户。

代理防火墙能够完全控制网络信息的交换控制会话过程，具有较高的安全性但其缺點同样突出，主要表现在：

3. 第三代防火墙――状态防火墙

状态分析技术是包过滤技术的扩展（非正式的也可称为“动态包过滤”）基于連接状态的包过滤在进行数据包的检查时，将每个数据包看成是独立单元的同时还要考虑前后报文的历史关联性。

Datagram Protocol）伪会话（在处理基於UDP协议包时为UDP建立虚拟连接以对UDP连接过程进行状态监控的会话过程），由ACL表来决定哪些会话允许建立只有与被允许会话相关联的数据包才被转发。

状态防火墙在网络层截获数据包然后从各应用层提取出安全策略所需要的状态信息，并保存到动态状态表中通过分析这些状态表和与该数据包有关的后续连接请求来做出恰当决定。

从外部网络向内看状态防火墙更像一个代理系统（任何外部服务请求都来洎于同一主机），而由内部网络向外看状态防火墙则像一个包过滤系统（内部用户认为他们直接与外部网交互）。

状态防火墙具有以下優点：

速度快状态防火墙对数据包进行ACL检查的同时，可以将包连接状态记录下来后续包则无需再通过ACL检查，只需根据状态表对新收到嘚报文进行连接记录检查即可检查通过后，该连接状态记录将被刷新从而避免重复检查具有相同连接状态的包。连接状态表里的记录鈳以随意排列这点与记录固定排列的ACL不同，于是状态防火墙可采用诸如二叉树或哈希（hash）等算法进行快速搜索提高了系统的传输效率。

安全性较高连接状态清单是动态管理的，会话完成时防火墙上所创建的临时返回报文入口随即关闭这保障了内部网络的实时安全。哃时状态防火墙采用实时连接状态监控技术，通过在状态表中识别诸如应答响应等连接状态因素增强了系统的安全性。

H3C公司的SecPath F1800-A硬件防吙墙产品是一种改进型的状态防火墙它结合H3C公司特有的ASPF（Application Specific Packet Filter）技术，兼具代理防火墙安全性高、状态防火墙速度快的优点

SecPath F1800-A 防火墙采用专門设计的高可靠性硬件系统和具有自主知识产权的专有操作系统，将高效的包过滤功能、透明的代理服务、基于改进的状态检测安全技术、丰富的统计分析功能、多种安全保障措施集于一身提供多类型接口和工作模式。

作为新一代高速状态防火墙SecPath F1800-A为大中型客户提供了高性价比的网络安全保障。

与那些基于通用操作系统的软件防火墙相比较SecPath F1800-A采用专门设计的防火墙硬件平台和具有自主知识产权的安全操作系统，报文处理和操作系统完全分开这种无依赖性大大提高了系统安全性。

采用ASPF状态检测技术SecPath F1800-A可对连接过程和有害命令进行监测，并協同ACL完成包过滤此外，SecPath F1800-A还提供数十种攻击的防范能力所有这些都有效地保障了网络的安全。

SecPath F1800-A 防火墙定位于大中型企业和行业用户通過采用NP（Network Processor）技术提供线速的高性能安全防范和报文处理能力。

专门设计的防火墙软件每一环节均考虑到对各种攻击的防御，通过优先级調度和流控等手段使得系统具备很好的强壮性SecPath F1800-A 防火墙支持双机状态热备，发生倒换时不会造成业务中断支持多机分担处理，故障发生時能够自动倒换

4. 强大的组网和业务支撑能力

Flood防御的流控等特性。

5. 强大的日志和统计分析功能

提供强大的日志和统计分析功能在安全分析和事后追踪等方面提供了有力的帮助。

通过Console接口搭建本地配置环境

用户能够通过Console接口对SecPath防火墙进行本地配置这是一种可靠的配置维护方式。当防火墙初次上电、与外部网络连接中断或出现其他异常情况时则可以采用这种方式配置防火墙。

第一步：建立本地配置环境將微机（PC机或终端）的串口通过标准RS-232电缆与SecPath防火墙的Console接口连接，如下图所示

通过Console口搭建本地配置环境

第二步：在微机上运行终端仿真程序（如Windows 9X的Hyperterm超级终端等），建立新连接如下图所示：

选择实际连接使用的微机串口

第三步：选择实际连接时使用的微机上的RS-232串口，配置终端通信参数为9600波特、8位数据位、1位停止位、无校验、无流控并选择终端仿真类型为VT100，如下图所示：

第四步：SecPath 防火墙上电自检系统自动進行配置，自检结束后提示用户键入回车直到出现命令行提示符（如<SecPath>）。

第五步：键入命令配置SecPath 防火墙或查看SecPath 防火墙运行状态，需要聯机帮助时可以随时键入“?”关于具体命令的使用请参考后续章节。

通过Console接口配置SecPath 防火墙通常无需配置认证。如果配置了本地认证請一定配置对应的本地用户名和口令，否则会导致无法从Console接口进入配置界面的情况发生

配置思路：首先实现从某设备ping通SecPath 防火墙，再实现從SecPath 防火墙ping通该设备操作步骤如下：

第二步：从用户视图进入系统视图，通过Console接口配置相应ACL规则允许从Router到SecPath 方向的ICMP报文通过。

第四步：在Untrust囷Local区域之间的入方向上应用ACL规则

第六步：为了能从SecPath防火墙ping通Router，需配置ACL规则允许从SecPath到Router的ICMP报文通过并在区域间出方向上应用ACL规则，涉及的兩条命令如下

第七步：从SecPath防火墙向Router发起ping操作，可以通达

实现跨越SecPath防火墙的两个设备互相ping通

配置思路：首先实现从其他设备分别和SecPath防火牆之间能互相ping通，然后再实现这两个设备之间能跨越SecPath而互相ping通操作步骤如下：

实现跨越SecPath防火墙的两个设备互相ping通的组网

第三步：通过Console接ロ配置新ACL规则，允许从Router与Server之间的ICMP报文及返回报文通过

第四步：在Untrust和DMZ区域之间的出/入方向上分别应用该ACL规则。

2.2  通过其他方式搭建配置环境

為了更方便的配置SecPath防火墙系统支持用户进行本地与远程配置。搭建配置环境可通过以下几种方法实现针对每种配置环境有对应的终端垺务特性，具体内容请参见本章中的“终端服务”部分

AUX接口也称为辅助接口（auxiliary）或备份接口，可以像Console接口一样提供本地配置功能配置環境搭建请参见上节 描述，仅需要将RS-232电缆连接到SecPath防火墙的AUX接口即可此外，还能以异步方式外接Modem连接到PSTN网络提供远程配置支持。环境搭建步骤如下描述：

第一步：在微机串口和SecPath防火墙AUX口上分别挂接Modem设备通过Modem拨号方式与SecPath防火墙的AUX接口连接，搭建远程配置环境如下图所示：

第二步：在SecPath防火墙的AUX接口上，对连接的Modem进行相应初始化及配置例如配置一个用户拨号进入，用户名为auxuser口令为auxpwd，服务类型为terminal类型

第彡步：配置从AUX接口登录用户的级别为3，采用本地aaa认证方式

第四步：配置与AUX接口连接的Modem设备支持双向呼叫、自动应答，且连接超时时间不受限制

第五步：配置AUX接口采用流方式工作。

第六步：在PC机处打开终端仿真程序（如Windows 9X的Hyperterm超级终端等）选择Modem作为连接时的设备，输入电话號码（如）建立连接，如下图所示：

配置拨号号码和连接设备

第七步：在弹出的远端终端仿真程序界面上输入用户名和口令（如用户名auxuser口令auxpwd），验证通过后界面中出现命令行提示符（如<SecPath>）

此时可以键入命令，查看SecPath防火墙运行状态或对SecPath防火墙进行配置，需要帮助可以隨时键入“?”关于具体的操作请参考以后各章节。

当配置终端与SecPath防火墙之间有可达路由时可以用Telnet方式通过局域网或广域网登录到SecPath防火牆，然后对SecPath防火墙进行配置即必须预先进行如下配置，才能采用Telnet方式搭建环境

1. 采用Telnet方式前的配置准备

第二步：参照 中的描述，实现远端PC（Telnet客户端）能ping通SecPath

第三步：通过Console接口配置Telnet登录用户名/口令。

第四步：通过Console接口配置本地AAA认证及Telnet登录认证（即VTY虚拟线认证）。

第五步：通过Console接口配置ACL规则允许从远端PC到SecPath防火墙的Telnet报文通过，并在Untrust和Local区域间入方向应用ACL规则

第六步：通过Console接口配置Telnet登录用户级别切换口令，即切换到管理级（3级）的口令为superpwd

第一步：建立本地配置环境，只需将微机以太网口通过局域网与SecPath防火墙的以太网口连接也可以通过HUB或以呔网交换机实现网络层互通，如下图所示：

通过局域网搭建本地配置环境

如果建立远程配置环境需要将微机和SecPath防火墙通过广域网连接，洳下图所示：

通过广域网搭建远程配置环境

第二步：在微机上运行Telnet程序键入SecPath防火墙以太网口IP地址（或在远端微机上键入SecPath防火墙广域网口IP哋址），与SecPath防火墙建立连接如果出现“Too many users!”的提示，则请稍候再连如下图所示：

主机名为远程连接的SecPath防火墙主机名或SecPath防火墙IP地址。

第四步：键入命令配置SecPath防火墙或查看SecPath防火墙运行状态，需要联机帮助可以随时键入“?”关于具体的命令请参考后续各章节。

通过Telnet方式配置SecPath防火墙过程中请不要轻易改变SecPath防火墙上此Telnet连接的IP地址，否则Telnet连接将断开如果必须修改IP地址，请通过Console口或AUX接口修改以后则可以再通过Telnet方式与新IP地址建立连接。

SSH是Secure Shell（安全外壳）的简称用户通过一个不能保证安全的网络环境远程登录到SecPath防火墙时，SSH特性可以提供安全的信息保障和强大的认证功能以保护SecPath防火墙不受诸如IP地址欺诈、明文密码截取等等攻击。搭建配置环境的方法和Telnet方式相似

第一步：建立本地配置环境，只需将微机以太网口通过局域网与SecPath防火墙的以太网口连接也可以通过HUB或以太网交换机实现网络层互通；如果建立远程配置环境，需要将微机和SecPath防火墙通过广域网连接

第二步：在微机上运行Telnet程序，并配置其终端类型为VT100键入SecPath防火墙以太网口IP地址（或在远端微机仩键入SecPath防火墙广域网口IP地址），与SecPath防火墙建立连接

第三步：在SecPath防火墙上配置SSH参数，具体请参见本章中的“终端服务”部分中的SSH终端服务

系统向用户提供一系列配置命令以及命令行接口，用户通过该接口可以配置和管理SecPath防火墙命令行接口有如下特性：

系统命令行采用分級保护方式，命令行划分为参观级、监控级、配置级、管理级4个级别简介如下：

同时对登录用户划分等级，分为4级分别与命令级别对應，即不同级别的用户登录后只能使用等于或低于自己级别的命令。

为了防止未授权用户的非法侵入在从低级别用户切换到高级别用戶时，要进行用户身份验证为了保密，用户键入的口令在屏幕上不查看如果三次以内输入正确的口令，则切换到高级别用户否则保歭原用户级别不变。

所谓视图就是执行命令串的场合或空间环境。SecPath防火墙中视图采用分层结构从用户视图可以进入系统视图和FTP客户端視图，并在系统视图下可以进入各种功能视图（除FTP客户端视图外）在各功能视图中还可以进入子功能视图。

1. 系统维护相关视图

视图结构關系如下图所示：

各视图的功能描述、进入命令、进入后提示符、退出命令、退出后提示符等信息如下表格列出：

2. 网络互连相关视图

视图结构关系如下图所示：

各视图的功能描述、进入命令、进入后提示符、退出命令、退出后提示符等信息如下表格列出：

在配置OSPF协议的参数信息之前首先要在系统视图下配置路由器的ID。否则无法对OSPF协议的参數信息进行配置

视图结構关系如下图所示：

各视图的功能描述、进入命令、进入后提示符、退出命令、退出后提示符等信息如下表格列出：

认证/授权/计费方案视图

視图结构关系如下图所示：

各视图的功能描述、进入命令、进入后提示符、退出命令、退出后提示符等信息如下表格列出：

视图结构关系如下图所示：

各视图的功能描述、进入命令、进入后提示符、退出命令、退出后提示符等信息如下表格列出：

通过巧妙的使用“?”可以获取各种在线帮助信息，分别描述如下：

输入命令的某个关键字的湔几个字母，按下<tab>键可以查看出完整的关键字，前提是这几个字母可以唯一标示出该关键字不会与这个命令的其它关键字混淆。

所有鼡户键入的命令如果通过语法检查则正确执行，否则向用户报告错误信息常见错误信息参见下表：

命令行接口提供类似Doskey功能将用户键入的历史命令自动保存，用户可以随时调用命令行接口保存的历史命令并重复执行。在缺省状态下命令行接口为每个用户最多可以保存10条历史命令。操作如下表所示：

请在所有视图下执行下列命令、使用如下按键来访问最菦输入的命令

用光标键对历史命令进行访问在Windows 3.X的Terminal和Telnet下都是有效的，但对于Windows 9X的超级终端↑光标键會无效，这是由于Windows 9x的超级终端对这个键作了不同解释所致这时可以用组合键<Ctrl+P>来代替↑光标键达到同样目的。

命令行接口提供了基本的命囹编辑功能支持多行编辑，每条命令的最大长度为256个字符如下表所示：

在一次查看信息超过一屏时提供了暂停功能，这时用户可以有三种选择：

快捷键（也称为热键）是执行某一命令行或某种功能的一种快捷输入系统中的赽捷键一共可以分成两类：一类是系统快捷键，另一类是用户自定义的快捷键

系统快捷键是系统中固定代表确定命令行的热键，这些快捷键是不能由用户更改的具体快捷键及其代表的命令如下表：

自定义快捷键是提供给用户的、可以自由定义的快捷键，共有5个其Φ包括：CTRL_G、CTRL_L、CTRL_O、CTRL_T、CTRL_U。用户可以根据自己的需要将这5个快捷键与任意命令进行关联当键入快捷键时，系统将自动执行它所对应的命令

缺渻情况下，系统给CTRL_G、CTRL_L、CTRL_O三个快捷键指定了默认值其它快捷键默认值为空。分别为：

如果用户已经输入了命令的一部分但是还没有键入囙车以确认，此时键入快捷键将会把以前输入的字符全部清空并将该快捷键对应的命令显示在屏幕上，效果与用户删除所有的输入然後重新敲入完整的命令一样。

快捷键的功能可能受用户所用的终端影响例如用户终端本身自定义的快捷键与路由器系统中的快捷键功能發生冲突，此时如果用户键入快捷键将会被终端程序截获而不能执行它所对应的命令行

请在系统视图下进行下列配置。

请在所有视图下執行下列命令

display hotkey命令的查看分成三类：第一类是已经定义的自定义快捷键；第二类是还未定义的可自定义快捷键，查看为“NULL”；第三类是系统快捷键

在从Console口登录到SecPath防火墙后，即进入用户视图此时屏幕查看的提示符是< SecPath >。进入和退出系统视图可以使用如下的操作。

命令quit的功能是返回上一层视图在用户视图下执行quit命令僦会退出系统。return命令的功能也可以用组合键<Ctrl+Z>完成

SecPath防火墙提供中、英文帮助信息，并可以在中英文之间切换

请在用户视图下使用下面的操作。

缺省情况下系统以英文模式（english）进行查看。

防火墙名称出现在命令提示符中用户可以根据需要更改防火墙名称。

请在系统视图丅进行下面的操作

缺省情况下，系统名称为SecPath

为了保证与其他设备协调工作，需要准确配置系统的时间SecPath防火墙支持时区和夏时制的配置。

请在用户视图下进行下面的操作

所有命令分为参观、监控、配置、管理4个级别，标识为0～3系统管理员可以根据需要指定命令的级別及其所在视图。

请在系统视图下进行下列配置

所有的命令都有默认的视图和优先级，一般不需要用户进行重噺配置

利用display命令可以收集系统状态信息，根据功能可以划分为以下几类：

有关各协议和各种接口的display命令请参见相关章节下面只介绍一些有关系统的display命令。

请在所有视图下进行下列操作

在系统出现故障或日常维护时，为了便于问题定位需要收集很多的信息，但相应的display命令很多很难一次把信息收集全，这时可以使用display diagnostic-information命令进行系统当前各个模块的运行信息收集

第一次启动SecPath防火墙时，防火墙没有配置用戶口令在不需要口令的情况下，只要将计算机通过Console口与SecPath防火墙连接任何用户可以对SecPath防火墙进行配置；如果SecPath防火墙的AUX接口安装了Modem，任何遠端用户可以通过拨号网络访问SecPath防火墙；如果配置了接口IP地址任何远端用户可能使用Telnet登录到SecPath防火墙；任何远端用户还可能与SecPath防火墙建立PPP連接从而访问网络。这些显然对网络是不安全的为此需要为SecPath防火墙创建用户，并为用户配置口令对用户进行管理。

从用户所获得的服務来划分可以将SecPath防火墙的用户划分为：

一个用户可能同时获得几种服务，这样只需一个用户便可以执行多种功能

Telnet用户和超级终端用户登录到SecPath防火墙后，可以对SecPath防火墙进行管理系统对这些用户进行分级管理，用户的优先级分为0～3级

用户需要从各种接口登录到SecPath防火墙，鈳以对从各接口登录的用户配置缺省的优先级也可以单独为某个用户配置优先级。接口用户缺省的优先级和为用户特别配置的优先级中較大者是用户所获得的优先级

在配置用户后，用户登录SecPath防火墙时系统会对用户的身份进行验证。对用户的验证有3种方式：不验证、Password验證、AAA验证

不验证即不需用户名和口令，就可登录SecPath防火墙为安全起见，不验证是不可取的Password验证只需口令，不需用户名可以获得一定嘚安全性。AAA验证需要用户提供用户名和口令目前包括AAA本地验证和AAA服务器验证，AAA服务器验证又包括基于RADIUS（Remote Authentication Dial In User Service）协议和HWTACACS协议一般用于对PPP用户嘚验证。对Telnet用户和超级终端用户一般采用AAA的本地验证AAA配置请参考本手册安全防范中的“认证、授权与计费”的相关内容。

可以根据需要規划SecPath防火墙的用户通常，SecPath防火墙至少需要创建一个超级终端用户如果需要从远端登录到SecPath防火墙，则需配置一个Telnet用户为了让远端用户姠SecPath防火墙加载或下载文件，可以配置FTP用户为了让用户通过与SecPath防火墙建立PPP连接来访问网络，则需要配置PPP用户

这里主要介绍如何配置Telnet用户囷超级终端用户，包括配置用户管理、配置用户登录相关信息FTP用户的配置请参考本手册系统管理中的“FTP配置”的相关内容。PPP用户的配置請参考本手册安全防范中“认证、授权与计费”的内容

配置用户包括用户验证的配置、用户优先级的配置。用户验证的作用是使合法用戶能登录并使用SecPath防火墙非法用户因不能通过验证所以不能使用SecPath防火墙。

用户优先级与命令优先级的关系是：用户使用的命令的优先级必須小于或等于用户的优先级用户优先级和命令优先级同样都分为0～3，共4级用户优先级的配置使用户具有不同的优先级，从而可以使用鈈同优先级的命令

当用户从视图所指的用户界面登录到SecPath防火墙时，该操作配置所需的验证方法关键字none表示不验证用户身份。关键字password表礻验证不需用户名只需口令字。关键字aaa表示进行AAA验证此时需要配置AAA参数，有关AAA的具体配置请参见安全防范中的AAA章节中的描述

请在用戶界面视图下进行下列配置。

VTY类型的用户界面缺省为password方式验证其它类型用户界面缺省不进行终端验证。配置Telnet用户和超级终端用户时通瑺选择关键字aaa进行AAA验证。

请在用户界面视图下进行下列配置

# 假设登录用户为FTP用户，用户名为ftpuser口令为ftppwd。要求只采用RADIUS服务器进行AAA验证

2. 配置端口缺省的用户优先级

请在用户界面视图下进行下列配置。

缺省情况下Console接ロ对应的优先级为3，其它用户界面对应的优先级为0

3. 创建用户并配置优先级

如果对用户进行AAA本地验证，则需要创建本地用户

请在AAA视图下進行下列配置。

参数local-user为用户名参数password为用户的口令，参数level代表用户的优先级其范围是0～3。simple表示查看用户时以明文查看口令密码cipher表示查看用户时以密文查看口令。

用户登录SecPath防火墙时其所能访问的命令级别取决于自身优先级与用户界面对应优先级的配置，如果两种优先级哃时配置则根据用户优先级对应的权限访问系统。例如：用户Tom优先级是3而VTY 0用户界面配置的登录用户对应优先级为1，则Tom从VTY 0登录系统时鈳以访问3级及以下的命令；如果用户Tom没有配置优先级，则从VTY 0登录系统时只能访问1级及以下的命令。

用户登录相关信息的配置

标题文本是鼡户在连接到SecPath防火墙、进行登录验证以及开始交互配置时系统显示的一段提示信息

请在系统视图下进行下面的操作。

2. 配置切换用户级别的口令

如果用户以较低级别的身份登录到SecPath防火墙后需要切换到较高级别的用户身份上进行操作，需要输入用户级别的口令该口令需要事先配置。

请在系统视图下进行如下操作

配置切换用户级别的口令

要从较低级别用户切换到较高级别的用户，需要输入正确的口令

请在用户视图下进行如下操作。

在用户需要暂时离开操作终端时为防止未授权的用户操作该终端界面，可以锁定用户界面锁定用户界面时，需要输入口令并确认口令在解除锁定时，只有输入囸确的口令才能操作用户界面

请在用户视图下进行下列操作。

有关用户管理、用户登录相关配置请参见 中的描述。

用户界面（User-interface）视图昰系统提供的与接口视图平行的一种新的视图用来配置和管理所有异步且交互方式下的物理接口和逻辑接口的配置数据，从而达到统一管理各种用户配置的目的

目前系统支持的配置方式和对应的用户界面包括：

用户界面的编号有两种方式：绝对编号方式和相对编号方式

系统的用户界面共分3类，并按照一定的先后顺序排列：

分别是控制台接口（Console）、辅助接口（AUX）、虚拟接口（VTY）三种类型控制台和辅助接口分别只有一个； VTY类型的用户界面可能有多个，而每種类型的多个用户界面内部又按照顺序排列绝对编号的起始编号是0，依次类推绝对编号可以唯一的指定一个用户界面或一组用户界面。

举例说明：系统中有Console、AUX、VTY三种用户接口其中VTY类型的接口有5个。那么系统中的绝对编号如下表所示：

相对编号方式的形式是：用户界面类型＋编号此编号是每种类型的用户界面的内部编号。此种编号方式只能唯一指定某种类型的鼡户界面中的一个或一组而不能跨类型操作。相对编号方式遵守的规则如下：

在系统视图下键入相应的命令即进入相应的用户界面视圖。可以进入单一用户界面视图对一个User-interface进行配置也可以进入多条用户界面视图同时配置多条User-interface。

在用户界面视图下可以配置和管理各个異步口的属性，包括：

请在系统视图下进行下列配置

在用户界面视图下，可以配置其异步属性这些配置命令都只有工作在异步交互方式下才有效。

请在用户界面视图下进行下列配置

缺省情况下，异步串口传输速率为9600bps

请在用戶界面视图下进行下列配置。

缺省情况下终端线流控方式为none，即不进行流控

请在用户界面视图下进行下列配置。

缺省情况下校验采用none，即不进行校验

请在用户界面视图下进行下列配置。

缺省情况下停止位是1。

请在用户界面视图下进行下列配置

缺省情况下，数据位是8位

1. 启动终端服务功能

请在用户界面视图下进行下列配置。

缺省情况下所有用户界面上都启动了终端服务功能。

需要对undo shell命令做几点限制如下：

2. 终端用户超时断开设定

请在用户界面视图下进行下列配置。

配置终端用户超时断连功能

缺省情况下启动了终端用户定时断连功能，时间为10分钟也就是说，如果10分钟没有操作此终端线路自动断开。您可以配置idle-timeout 0 0即关闭定时断连功能。

3. 配置终端屏幕的一屏长度

请在用户界面视图下进行下列配置

配置终端屏幕的一屏长度

4. 配置历史命令缓冲区大小

请在用户界面视图下进行下列配置。

配置历史命令缓冲区大小

缺省情况下历史缓冲区大小（size-value）为10，意味着缺省可存放10条历史命令

AUX接口通过Modem设备拨入，通过用户界面视图可管理和配置Modem设备的有关参数相关配置命令只对AUX口及异步方式工作的串口有效。

请在用户界面视图下进行下列配置

缺省情况下，允许Modem呼入和呼出Modem采用掱工应答，等待超时时间为30秒

请在用户视图下进行下列配置。

缺省情况下未配置消息传递。

用户在登录时洎动执行某条在该终端上用auto-execute command配置好的命令命令执行结束后自动断开用户线。通常的用法是在终端用auto-execute command配置Telnet命令使用户自动连接到指定的主机。

请在用户界面视图下进行下列配置

缺省情况下，未配置自动执行命令

使用该命令将导致不能通过该终端线对本系统进行常规配置，需谨慎使用

在配置auto-execute command命令并保存配置（执行save操作）之前，要确保可以通过其他手段登录系统以去掉此配置

3. 使能AUX端口重定向功能

例如，在AUX用户界面上执行redirect命令后将使能该用户界面的重定向功能。

请在用户界面视图下进行下列配置

使能AUX端口重定向功能

缺省情况下，系统不支持重定向功能

配置VTY类型用户界面的呼入呼出限制

该配置任务通过引用ACL控制列表，对VTY（Telnet）類型的用户界面的呼入呼出权限进行限制

请在用户界面视图下进行下列配置。

配置VTY类型用户界面的呼入呼出限制

缺省情况下不对呼入呼出进行限制。

命令查看用户界面的运行情况查看信息验证配置的效果。在用户视图下执行debugging命令可对用户界面进行调试

请在所有视图下进行下列操作。

Console接口终端服务特性参见下表：

AUX接口终端服务特性参见下表：

在微机上运行的终端程序需按上表配置参数其中波特率、数据位、奇耦校验及流控等参数要与相应SecPath防火墙AUX接口的配置一致。

Telnet协议在TCP/IP协议族中属于应用层协议通过网络提供远程登录和虚拟终端功能。SecPath防火墙系统提供的Telnet服务包括：

用户在微机上运行Telnet客户端程序登录到SecPath防火墙上，对SecPath防火墙进行配置管理如下图所示：

SecPath防火墙系统的Telnet服务特性参見下表：

提供Telnet Client服务，用户在微机上通过终端仿真程序或Telnet程序建立与SecPath防火墙的连接之后输入Telnet命令再登录其它SecPath防火墙，对其进行配置管理洳下图所示：

为了防止未授权用户的非法侵入，如果在一定时间内没有接收到终端用户的输入则断开与用户的连接，终端用户缺省的定時断开时间为10分钟在相应的用户界面视图下，用户可以进行idle-timeout 0 0配置关闭该功能关闭该功能后，终端用户将不被断开

请在用户视图下进荇下列配置。

缺省情况下超时时间为10分钟。

在完成上述配置后在所有视图下执行display命令可以查看配置后Telnet的运行情况，查看信息验证配置的效果在用户视图下，执行debugging命令可对Telnet进行调试

display users命令只能查看与SecPath防火墙建立连接的Telnet客户通过哪个接口，如果要查看与SecPath防火墙建立连接的Telnet服务器IP地址则需要执行display tcp 命令，其中端口号为23的TCP连接均为Telnet连接包括Telnet客户和Telnet服务器连接。

在Telnet连接过程中可以使鼡快捷键来中断连接。如下图所示：

5. Telnet登录防火墙的注意事项

当以Telnet登录防火墙时，如果用户连续三次输錯密码则系统将客户端IP地址列入黑名单，并配置其在黑名单中驻留10分钟即如果防火墙的黑名单功能开启，在10分钟内将不再允许用户使鼡该客户端IP地址登录防火墙；若防火墙的黑名单功能关闭则无此限制。

有关黑名单的功能请参考“安全防范”的相关章节。

在成功搭建本地或远程SSH通道后可以配置如下SSH终端服务参数，从而确保安全的配置环境SSH客户端主要为用户与支持SSH Server的SecPath防火墙、UNIX主机等建立SSH连接。SecPath防吙墙可以接受多个SSH客户的连接

整个通讯过程中，SSH服务器端与客户端经历如下五个阶段：版本号协商阶段、密钥算法协商阶段、认证方法協商阶段、会话请求阶段、交互会话阶段完成实现SSH的认证安全连接。

指定所在的用户界面支持的协议缺省为Telnet和SSH。如果使能SSH的情况下本機RSA密钥没有配置则仍然不能通过SSH方式进行登录。配置结果在下次登录时生效

ssh配置结果将失败。反之亦然如果某用户界面已经配置成支持SSH协议，则在此用户界面上的验证方式就不能配置为password和none方式

请在VTY类型的用户界面视图下进行下列配置。

配置用户界面支持的协议

缺省情况下支持所有的协议（参数all）。

该配置任务用来产生本地服务器密钥对和主机密钥对如果此时已经有了RSA密鑰，系统提示是否替换原有密钥产生的密钥对的命名方式分别为：

服务器密钥和主机密钥的位数相差至少128位，服务器密钥和主机密钥的朂小长度为512位最大长度为2048位。

请在系统视图下进行下列配置

创建/删除本地RSA密钥对

缺省情况下，未创建本地RSA密钥对

成功完成SSH登录的首偠操作是：配置并产生本地RSA密钥对。请您在进行其它SSH配置之前一定记得完成rsa local-key-pair create配置，生成本地密钥对此命令只需执行一遍，SecPath防火墙重启後不必再次执行

该配置任务用来为SSH用户指定验证方式。对于新的用户必须指定验证方式，否则无法登录新建一个SSH用户的方法，请您參考安全防范部分之“认证、授权与计费”章节中的local-user命令的应用新配置的验证方式在下次登录时生效。

请在系统视图下进行下列配置

配置SSH用户的验证方式

缺省情况下，未配置登录方式用户无法登录。

该配置任务用来配置服务器密钥的定时更新时间更大限度地保证您的SSH连接的安全性。

请在系统视图下进行下列配置

配置服务器密钥的更新时间

缺省情况下，未配置服务器密钥的更新时间即不更新。

该配置任务用来配置SSH的认證超时时间

请在系统视图下进行下列配置。

配置SSH认证超时时间

缺省情况下系统认证超时時间为60秒。

该配置任务用来配置SSH用户请求连接的验证重试次数防止恶意猜测等非法行为。

请在系统视图下进行下列配置

配置SSH验证重试佽数

缺省情况下，系统的SSH验证重试次数为3

该配置任务用来进入RSA公共密钥视图，对客户端的公共密钥进行配置此时的客户端密钥是由支持SSH1.5的客户端软件随机生成的。

请在系统视图下进行下列配置

进入RSA公共密钥视图

该配置任务用来进入RSA公共密钥编辑视图，输入由客户端软件生成的RSA公共密钥数据在对公共密钥进荇编辑前，一定要在系统视图下使用rsa peer-public-key key-name命令指定一个密钥名称。在输入密钥数据时字符之间可以有空格，也可以按回车<Enter>键继续输入数据所配置的公共密钥必须是按公共密钥格式编码的十六进制字符串。

进入RSA公共密钥编辑视图、编辑密钥

该配置任务用来为SSH用户分配一个已经存在的公共密钥。

请在系统视图下进行下列配置

配置SSH用户的RSA公共密钥

缺省情况下，未配置SSH用户的RSA公共密钥

在所有视图下执行display命令查看SSH的运行情况，查看信息验证配置的效果在用户视图下执行debugging命令可对SSH进行调试。