學習防火牆的組態方法

[psac]

為大家介紹一些實用的知識，那就是如何組態防火中的安全原則。但要注意的是，防火牆的具體組態方法也不是千篇一律的，不要說不同品牌，就是同一品牌的不同型號也不完全一樣，所以在此也只能對一些通用防火牆組態方法作一基本介紹。同時，具體的防火牆原則組態會因具體的套用環境不同而有較大區別。首先介紹一些基本的組態原則。
　　一. 防火牆的基本組態原則

　　預設情況下，所有的防火牆都是按以下兩種情況組態的：

　　●拒絕所有的流量，這需要在你的網路中特殊指定能夠進入和出去的流量的一些檔案類型。
　　 ●允許所有的流量，這種情況需要你特殊指定要拒絕的流量的檔案類型。可論證地，大多數防火牆預設都是拒絕所有的流量作為安全性選項。一旦你安裝防火牆後，你需要開啟一些必要的連接阜來使防火牆內的用戶在通過驗證之後可以訪問系統。換句話說，如果你想讓你的員工們能夠傳送和接收Email，你必須在防火牆上設定相應的規則或開啟允許POP3和SMTP的行程。

　　在防火牆的組態中，我們首先要遵循的原則就是安全實用，從這個角度考慮，在防火牆的組態程序中需堅持以下三個基本原則：

　　（1）. 簡單實用：對防火牆環境設計來講，首要的就是越簡單越好。其實這也是任何事物的基本原則。越簡單的實現方式，越容易理解和使用。而且是設計越簡單，越不容易出現錯誤，防火牆的安全功能越容易得到保證，管理也越可靠和簡便。

　　每種產品在開發前都會有其主要功能定位，比如防火牆產品的初衷就是實現網路之間的安全控制，入侵檢測產品主要針對網路非法行為進行監控。但是隨著技術的成熟和發展，這些產品在原來的主要功能之外或多或少地增加了一些增值功能，比如在防火牆上增加了查殺病毒、入侵檢測等功能，在入侵檢測上增加了病毒查殺功能。但是這些增值功能並不是所有套用環境都需要，在組態時我們也可針對具體套用環境進行組態，不必要對每一功能都詳細組態，這樣一則會大大增強組態難度，同時還可能因各方面組態不協調，引起新的安全漏洞，得不償失。

　　（2）. 全面深入：單一的防禦措施是難以保障系統的安全的，只有採用全面的、多層次的深層防禦戰略體系才能實現系統的真正安全。在防火牆組態中，我們不要停留在幾個表面的防火牆語句上，而應系統地看等整個網路的安全防護體系，盡量使各方面的組態相互加強，從深層次上防護整個系統。這方面可以體現在兩個方面：一方面體現在防火牆系統的佈署上，多層次的防火牆佈署體系，即採用集網際網路邊界防火牆、部門邊界防火牆和主機防火牆於一體的層次防禦；另一方面將入侵檢測、網路加密、病毒查殺等多種安全措施結合在一起的多層安全體系。

　　（3）. 內外兼顧：防火牆的一個特點是防外不防內，其實在現實的網路環境中，80%以上的威脅都來自內部，所以我們要樹立防內的觀念，從根本上改變過去那種防外不防內的傳統觀念。對內部威脅可以採取其它安全措施，比如入侵檢測、主機防護、漏洞掃瞄、病毒查殺。這方面體現在防火牆組態方面就是要引入全面防護的觀念，最好能佈署與上述內部防護手段一起聯動的機制。目前來說，要做到這一點比較困難。

二、防火牆的初始組態
　　像路由器一樣，在使用之前，防火牆也需要經過基本的初始組態。但因各種防火牆的初始組態基本類似，所以在此僅以Cisco
PIX防火牆為例進行介紹。

　　防火牆的初始組態也是通過控制連接阜（Console）與PC機（通常是便於移動的筆記型電腦）的串列阜連接，再通過Windows系統原有的的超級終端（HyperTerminal）程序進行選項組態。防火牆的初始組態物理連接與前面介紹的交換機初始組態連接方法一樣，參見圖1所顯示。

　　防火牆除了以上所說的通過控制連接阜（Console）進行初始組態外，也可以通過telnet和Tffp組態方式進行進階組態，但Telnet組態方式都是在指令方式中組態，難度較大，而Tffp方式需要專用的Tffp伺服器軟體，但組態界面比較友好。

　　防火牆與路由器一樣也有四種用戶組態模式，即：普通模式（Unprivileged
mode）、特權模式（Privileged Mode）、組態模式（Configuration Mode）和連接阜模式（Interface
Mode），進入這四種用戶模式的指令也與路由器一樣：

　　普通用戶模式無需特別指令，啟動後即進入；

　　進入特權用戶模式的指令為"enable"；進入組態模式的指令為"config
terminal"；而進入連接阜模式的指令為"interface ethernet（）"。不過因為防火牆的連接阜沒有路由器那麼複雜，所以通常把連接阜模式歸為組態模式，統稱為"全局組態模式"。

　　防火牆的具體組態步驟如下：

　　1. 將防火牆的Console連接阜用一條防火牆原有的的串行電纜連線到筆記型電腦的一個空餘串列阜上，參見圖1。

　　2. 開啟PIX防火電源，讓系統電源啟始化，然後開啟與防火牆連接的主機。

　　3. 執行筆記型電腦Windows系統中的超級終端（HyperTerminal）程序（通常在"附件"程序組中）。對超級終端的組態與交換機或路由器的組態一樣，參見本教學前面有關介紹。

　　4. 當PIX防火牆進入系統後即顯示"pixfirewall>"的提示號，這就證明防火牆已啟動成功，所進入的是防火牆用戶模式。可以進行進一步的組態了。

　　5. 輸入指令：enable,進入特權用戶模式，此時系統提示為：pixfirewall#。

　　6. 輸入指令： configure terminal,進入全局組態模式，對系統進行啟始化設定。

　　（1）. 首先組態防火牆的網路卡參數（以只有1個LAN和1個WAN接頭的防火牆組態為例）

　　Interface ethernet0 auto # 0號網路卡系統自動分配為WAN網路卡，"auto"選項為系統自適應網路卡檔案類型

　　Interface ethernet1 auto

　　（2）. 組態防火牆內、外部網路卡的IP位址

　　IP address inside ip_address netmask # Inside代表內部網路卡

　　IP address outside ip_address netmask # outside代表外部網路卡

　　（3）. 指定外部網路卡的IP位址範圍：

　　global 1 ip_address-ip_address

　　（4）. 指定要進行轉換的內部位址

　　nat 1 ip_address netmask

　　（5）. 組態某些控制選項：

　　conduit global_ip port[-port] protocol foreign_ip [netmask]

　　其中，global_ip：指的是要控制的位址；port：指的是所作用的連接阜，0代表所有連接阜；protocol：指的是連接傳輸協定，比如：TCP、UDP等；foreign_ip：表示可訪問的global_ip外部IP位址；netmask：為可選項，代表要控制的子網路遮罩。

　　7. 組態儲存：wr mem

　　8. 結束當前模式

　　此指令為exit，可以任何用戶模式下執行，執行的方法也相當簡單，只輸入指令本身即可。它與Quit指令一樣。下面三條語句表示了用戶從組態模式退到特權模式，再退到普通模式下的操作步驟。


　　pixfirewall(config)# exit

　　pixfirewall# exit

　　pixfirewall>

　　9. 檢視當前用戶模式下的所有可用指令：show，在相套用戶模式下按鍵輸入這個指令後，即顯示出當前所有可用的指令及簡單功能描述。

　　10. 檢視連接阜狀態：show interface，這個指令需在特權用戶模式下執行，執行後即顯示出防火牆所有接頭組態情況。

　　11. 檢視靜態位址映射:show static，這個指令也須在特權用戶模式下執行，執行後顯示防火牆的當前靜態位址映射情況。

　三、Cisco PIX防火牆的基本組態
　　1. 同樣是用一條串行電纜從電腦的COM口連到Cisco PIX 525防火牆的console口；

　　2. 開啟所連電腦和防火牆的電源，進入Windows系統原有的的"超級終端"，通訊參數可按系統默然。進入防火牆啟始化組態，在其中主要設定有：Date(日期)、time(時間)、hostname(主機名稱)、inside ip address(內部網路卡IP位址)、domain(主域)等，完成後也就建立了一個啟始化設定了。此時的提示號為：pix255>。

　　3. 輸入enable指令，進入Pix 525特權用戶模式,默然密碼為空。

　　如果要修改此特權用戶模式密碼，則可用enable password指令，指令格式為：enable password password [encrypted]，這個密碼必須大於16位。Encrypted選項是確定所加密碼是否需要加密。

　　4、 定義以太連接阜：先必須用enable指令進入特權用戶模式，然後輸入configure terminal（可簡稱為config t）,進入全局組態模式模式。具體組態

　　pix525>enable
　　 Password:
　　 pix525#config t
　　 pix525 (config)#interface ethernet0 auto
　　 pix525 (config)#interface ethernet1 auto

　　在默然情況下ethernet0是屬外部網路卡outside, ethernet1是屬內部網路卡inside, inside在啟始化組態成功的情況下已經被啟動生效了，但是outside必須指令組態啟動。

　　5. clock

　　組態時鍾，這也非常重要，這主要是為防火牆的日誌記錄而資金積累的，如果日誌記錄時間和日期都不準確，也就無法正確分析記錄中的訊息。這須在全局組態模式下進行。

　　時鍾設定指令格式有兩種，主要是日期格式不同，分別為：

　　clock set hh:mm:ss month day month year和clock set hh:mm:ss day month year

　　前一種格式為：小時：分鍾：秒 月 日 年；而後一種格式為：小時：分鍾：秒 日 月 年，主要在日、月份的前後順序不同。在時間上如果為0，可以為一位，如：21:0:0。

　　6. 指定接頭的安全等級

　　指定接頭安全層次的指令為nameif，分別為內、外部網路接頭指定一個適當的安全等級。在此要注意，防火牆是用來保護內部網路的，外部網路是通過外部接頭對內部網路構成威脅的，所以要從根本上保障內部網路的安全，需要對外部網路接頭指定較高的安全等級，而內部網路接頭的安全等級稍低，這主要是因為內部網路通信頻繁、可信度高。在Cisco PIX系列防火牆中，安全層次的定義是由security（）這個參數決定的，數位越小安全等級越高，所以security0是最高的，隨後通常是以10的倍數遞增，安全等級也相應降低。如下例：

　　pix525(config)#nameif ethernet0 outside security0 # outside是指外部接頭
　　 pix525(config)#nameif ethernet1 inside security100 # inside是指內部接頭
　　 7. 組態乙太網接頭IP位址

　　所用指令為：ip address，如要組態防火牆上的內部網接頭IP位址為：192.168.1.0 255.255.255.0；外部網接頭IP位址為：220.154.20.0 255.255.255.0。 組態方法如下：
　　 pix525(config)#ip address inside 192.168.1.0 255.255.255.0
　　 pix525(config)#ip address outside 220.154.20.0 255.255.255.0

　　8. access-group

　　這個指令是把訪問控制列表綁定在特定的接頭上。須在組態模式下進行組態。指令格式為：access-group acl_ID in interface interface_name，其中的"acl_ID"是指訪問控制列表名稱，interface_name為網路接頭名稱。如：

　　access-group acl_out in interface outside，在外部網路接頭上綁定名稱為"acl_out"的訪問控制列表。
　　 clear access-group：清除所有綁定的訪問控制綁定設定。
　　 no access-group acl_ID in interface interface_name：清除指定的訪問控制綁定設定。
　　 show access-group acl_ID in interface interface_name：顯示指定的訪問控制綁定設定。

　　9．組態訪問列表

　　所用組態指令為：access-list，合格格式比較複雜，如下：

　　標準規則的新增指令：access-list [ normal 　 special ] listnumber1 { permit 　 deny } source-addr [ source-mask ]
　　 增強規則的新增指令：access-list [ normal 　 special ] listnumber2 { permit 　 deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] 　 icmp-type [ icmp-code ] ] [ log ]

　　它是防火牆的主要組態部分，上述格式中帶"[]"部分是可選項，listnumber參數是規則號，標準規則號（listnumber1）是1~99之間的整數，而增強規則號（listnumber2）是100~199之間的整數。它主要是通過訪問權限"permit"和"deny"來指定的，網路傳輸協定一般有IP　TCP　UDP　ICMP等等。如只允許訪問通過防火牆對主機:220.154.20.254進行www訪問，則可按以下組態：

　　pix525(config)#access-list 100 permit 220.154.20.254 eq www

　　其中的100表示訪問規則號，根據當前已組態的規則條數來確定，不能與原來規則的重複，也必須是正整數。關於這個指令還將在下面的進階組態指令中詳細介紹。

　 10. 位址轉換（NAT）

　　防火牆的NAT組態與路由器的NAT組態基本一樣，首先也必須定義供NAT轉換的內部IP位址組，接著定義內部網段。

　　定義供NAT轉換的內部位址組的指令是nat，它的格式為：nat [(if_name)] nat_id local_ip [netmask [max_conns ，其中if_name為接頭名；nat_id參數代表內部位址組號；而local_ip為本機網路位址；netmask為子網路遮罩；max_conns為此接頭上所允許的最大TCP連接數，預設為"0"，表示不限制連接；em_limit為允許從此連接阜發出的連接數，預設也為"0"，即不限制。如：

　　nat (inside) 1 10.1.6.0 255.255.255.0

　　表示把所有網路位址為10.1.6.0，子網路遮罩為255.255.255.0的主機位址定義為1號NAT位址組。

　　隨後再定義內部位址轉換後可用的外部位址池，它所用的指令為global,基本指令格式為：

　　global [(if_name)] nat_id global_ip [netmask [max_conns ，各參數解釋同上。如：

　　global (outside) 1 175.1.1.3-175.1.1.64 netmask 255.255.255.0

　　將上述nat指令所定的內部IP位址組轉換成175.1.1.3~175.1.1.64的外部位址池中的外部IP位址，其子網掩耳盜鈴碼為255.255.255.0。

　　11. Port Redirection with Statics

　　這是靜態連接阜重轉發IP指令。在Cisco PIX版本6.0以上，增加了連接阜重轉發IP的功能，允許外部用戶通過一個特殊的IP位址/連接阜通過防火牆傳輸到內部指定的內部伺服器。其中重轉發IP後的位址可以是單一外部位址、共享的外部位址轉換連接阜（PAT），或者是共享的外部連接阜。這種功能也就是可以發怖內部WWW、FTP、Mail等伺服器，這種方式並不是直接與內部伺服器連接，而是通過連接阜重轉發IP連接的，所以可使內部伺服器很安全。

　　指令格式有兩種，分別適用於TCP/UDP通信和非TCP/UDP通信：

　　(1). static[(internal_if_name, external_if_name)]{global_ip　interface}local_ip[netmask mask] max_conns [emb_limit[norandomseq]]]

　　（2）. static [(internal_if_name, external_if_name)] {tcp　udp}{global_ip　interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]]

　　此指令中的以上各參數解釋如下：

　　internal_if_name：內部接頭名稱；external_if_name：外部接頭名稱；{tcp　udp}：選項通信傳輸協定檔案類型；{global_ip　interface}：重轉發IP後的外部IP位址或共享連接阜；local_ip：本機IP位址；[netmask mask]：本機子網路遮罩；max_conns：允許的最大TCP連接數，預設為"0"，即不限制；emb_limit：允許從此連接阜發起的連接數，預設也為"0"，即不限制；norandomseq：不對資料包排序，此參數通常不用選。

學習防火牆的組態方法３
　　 現在我們舉一個實例，實例要求如下

　　●外部用戶向172.18.124.99的主機發出Telnet請求時，重轉發IP到10.1.1.6。
　　 ●外部用戶向172.18.124.99的主機發出FTP請求時，重轉發IP到10.1.1.3。
　　 ●外部用戶向172.18.124.208的連接阜發出Telnet請求時，重轉發IP到10.1.1.4。
　　 ●外部用戶向防火牆的外部位址172.18.124.216發出Telnet請求時，重轉發IP到10.1.1.5。
　　 ●外部用戶向防火牆的外部位址172.18.124.216發出HTTP請求時，重轉發IP到10.1.1.5。
　　 ●外部用戶向防火牆的外部位址172.18.124.208的8080連接阜發出HTTP請求時，重轉發IP到10.1.1.7的80號連接阜。

　　以上重寫向程序要求如圖2所顯示，防火牆的內部連接阜IP位址為10.1.1.2，外部連接阜位址為172.18.124.216。

　　以上各項重轉發IP要求對應的組態語句如下：

　　static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6 telnet netmask 255.255.255.255 0 0
　　 static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3 ftp netmask 255.255.255.255 0 0
　　 static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4 telnet netmask 255.255.255.255 0 0
　　 static (inside,outside) tcp interface telnet 10.1.1.5 telnet netmask 255.255.255.255 0 0
　　 static (inside,outside) tcp interface www 10.1.1.5 www netmask 255.255.255.255 0 0
　　 static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7 www netmask 255.255.255.255 0 0

　　12. 顯示與儲存結果

　　顯示結果所用指令為：show config；儲存結果所用指令為：write memory。

四、過濾型防火牆的訪問控制表（ACL）組態
　　除了以上介紹的基本組態外，在防火牆的安全原則中最重要還是對訪問控制列表（ACL）進行配有關置。下面介紹一些用於此方面組態的基本指令。

　　1. access-list：用於新增訪問規則

　　這一訪問規則組態指令要在防火牆的全局組態模式中進行。同一個序號的規則可以看作一類規則，同一個序號之間的規則按照一定的原則進行排列和選項，這個順序可以通過 show access-list 指令看到。在這個指令中，又有幾種指令格式，分別執行不同的指令。

　　（1）新增標準訪問列表

　　指令格式：access-list [ normal 　 special ] listnumber1 { permit 　 deny } source-addr [ source-mask ]

　　（2）新增增強訪問列表

　　指令格式：access-list [ normal 　 special ] listnumber2 { permit 　 deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] 　 icmp-type [ icmp-code ] ] [ log ]

　　（3）移除訪問列表

　　指令格式：no access-list { normal 　 special } { all 　 listnumber [ subitem ] }

　　上述指令參數說明如下：

　　●normal：指定規則加入普通時間段。
　　 ●special：指定規則加入特殊時間段。
　　 ●listnumber1：是1到99之間的一個數值，表示規則是標準訪問列表規則。
　　 ●listnumber2：是100到199之間的一個數值，表示規則是增強訪問列表規則。
　　 ●permit：表明允許滿足條件的報文通過。
　　 ●deny：表明禁止滿足條件的報文通過。
　　 ●protocol：為傳輸協定檔案類型，支持ICMP、TCP、UDP等，其它的傳輸協定也支持，此時沒有連接阜比較的概念；為IP時有特殊含義，代表所有的IP傳輸協定。
　　 ●source-addr：為源IP位址。
　　 ●source-mask：為源IP位址的子網路遮罩，在標準訪問列表中是可選項，不輸入則代表通配位為0.0.0.0。
　　 ●dest-addr：為目的IP位址。
　　 ●dest-mask：為目的位址的子網路遮罩。
　　 ●operator：連接阜操作符，在傳輸協定檔案類型為TCP或UDP時支持連接阜比較，支持的比較操作有：等於（eq）、大於（gt）、小於（lt）、不等於（neq）或介於（range）；如果操作符為range，則後面需要跟兩個連接阜。
　　 port1 在傳輸協定檔案類型為TCP或UDP時出現，可以為關鍵字所設定的預設值（如telnet）或0~65535之間的一個數值。port2 在傳輸協定檔案類型為TCP或UDP且操作檔案類型為range時出現；可以為關鍵字所設定的預設值（如telnet）或0~65535之間的一個數值。
　　 ●icmp-type：在傳輸協定為ICMP時出現，代表ICMP報文檔案類型；可以是關鍵字所設定的預設值（如echo-reply）或者是0~255之間的一個數值。
　　 ●icmp-code：在傳輸協定為ICMP，且沒有選項所設定的預設值時出現；代表ICMP碼，是0~255之間的一個數值。
　　 ●log：表示如果報文符合條件，需要做日誌。
　　 ●listnumber：為移除的規則序號，是1~199之間的一個數值。
　　 ●subitem：指定移除序號為listnumber的訪問列表中規則的序號。
　　 例如，現要在華為的一款防火牆上組態一個"允許源位址為10.20.10.0 網路、目的位址為10.20.30.0網路的WWW訪問，但不允許使用FTP"的訪問規則。相應組態語句只需兩行即可，如下：
　　 Quidway (config)#access-list 100 permit tcp 10.20.10.0 255.0.0.0 10.20.30.0 255.0.0.0 eq www
　　 Quidway (config)#access-list 100 deny tcp 10.20.10.0 255.0.0.0 10.20.30.0 255.0.0.0 eq ftp

　　2. clear access-list counters：清除訪問列表規則的統計訊息

　　指令格式：clear access-list counters [ listnumber ]

　　這一指令必須在特權用戶模式下進行組態。listnumber 參數是用指定要清除統計訊息的規則號，如不指定，則清除所有的規則的統計訊息。

　　如要在華為的一款包過濾路由器上清除當前所使用的規則號為100的訪問規則統計訊息。訪問組態語句為：

　　clear access-list counters 100
　　 如有清除當前所使用的所有規則的統計訊息，則以上語句需改為：Quidway#clear access-list counters

　　3. ip access-group

　　使用此指令將訪問規則套用到相應接頭上。使用此指令的no形式來移除相應的設定，對應格式為：

　　ip access-group listnumber { in 　 out }

　　此指令須在連接阜用戶模式下組態，進入連接阜用戶模式的指令為：interface ethernet（），括號中為相應的連接阜號，通常0為外部接頭，而1為內部接頭。進入後再用ip access-group 指令來組態訪問規則。listnumber參數為訪問規則號，是1~199之間的一個數值（包括標準訪問規則和增強訪問規則兩類）；in 表示規則套用於過濾從接頭接收到的報文；而out表示規則用於過濾從接頭轉發出去的報文。一個接頭的一個方向上最多可以套用20類不同的規則；這些規則之間按照規則序號的大小進行排列，序號大的排在前面，也就是優先等級高。對報文進行過濾時，將採用發現符合的規則即得出過濾結果的方法來加快過濾速度。所以，建議在組態規則時，盡量將對同一個網路組態的規則放在同一個序號的訪問列表中；在同一個序號的訪問列表中，規則之間的排列和選項順序可以用show access-list指令來檢視。
　　 例如將規則100套用於過濾從外部網路接頭上接收到的報文，組態語句為（同樣為在傾為包過濾路由器上）：

　　ip access-group 100 in

　　如果要移除某個訪問控制表列綁定設定，則可用no ip access-group listnumber { in 　 out } 指令。

　　4. show access-list

　　此組態指令用於顯示包過濾規則在接頭上的套用情況。指令格式為：show access-list [ all 　 listnumber 　 interface interface-name ]

　　這一指令須在特權用戶模式下進行組態，其中all參數表示顯示所有規則的套用情況，包括普通時間段內及特殊時間段內的規則；如果選項listnumber參數，則僅需顯示指定規則號的過濾規則；interface 表示要顯示在指定接頭上套用的所有規則序號；interface-name參數為接頭的名稱。

　　使用此指令來顯示所指定的規則，同時檢視規則過濾報文的情況。每個規則都有一個相應的計數器，如果用此規則過濾了一個報文，則計數器加1；通過對計數器的觀察可以看出所組態的規則中，哪些規則是比較有效，而哪些基本無效。例如，現在要顯示當前所使用序號為100的規則的使用情況，可執行Quidway#show access-list 100語句即可，隨即系統即顯示這條規則的使用情況，格式如下：

　　Using normal packet-filtering access rules now.
　　 100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)
　　 100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)
　　 100 deny udp any any eq rip (no matches -- rule 3)

　　5. show firewall

　　此指令須在特權用戶模式下執行，它顯示當前防火牆狀態。指令格式非常簡單，也為：show firewall。這裡所說的防火牆狀態，包括防火牆是否被啟用，啟用防火牆時是否採用了時間段包過濾及防火牆的一些統計訊息。

　　6. Telnet

　　這是用於定義能過防火組態控制連接阜進行遠端登入的有關參數選項，也須在全局組態用戶模式下進行組態。

　　指令格式為：telnet ip_address [netmask] [if_name]

　　其中的ip_address參數是用來指定用於Telnet登入的IP位址，netmask為子網路遮罩，if_name用於指定用於Telnet登入的接頭，通常不用指定，則表示此IP位址適用於所有連接阜。如：

　　telnet 192.168.1.1

　　如果要清除防火牆上某個連接阜的Telnet參數組態，則須用clear telnet指令，其格式為：clear telnet [ip_address [netmask] [if_name]]，其中各選項說明同上。它與另一個指令no telnet功能基本一樣，不過它是用來移除某接頭上的Telnet組態，指令格式為：no telnet [ip_address [netmask] [if_name]]。

　　如果要顯示當前所有的Telnet組態，則可用show telnet指令。（完）

[boss]

收下了
謝謝分享