(整理)华为防火墙Eudemon500操作手册-入门.

目录第1章防火墙概述1-1
1.1 网络安全概述 ..................................................................................................................... 1-1
1.1.1 安全威胁.................................................................................................................. 1-1
1.1.2 网络安全服务分类 ................................................................................................... 1-1
1.1.3 安全服务的实现方法................................................................................................ 1-2
1.2 防火墙概述......................................................................................................................... 1-3
1.2.1 安全防范体系的第一道防线——防火墙................................................................... 1-3
1.2.2 防火墙发展历史....................................................................................................... 1-4
1.3 Eudemon产品简介 ............................................................................................................ 1-6
1.3.1 Eudemon产品系列.................................................................................................. 1-6
1.3.2 Eudemon500/1000防火墙简介............................................................................... 1-6
1.3.3 Eudemon500/1000防火墙功能特性列表 ................................................................ 1-8第2章 Eudemon防火墙配置基础............................................................................................ 2-1
2.1 通过Console接口搭建本地配置环境................................................................................. 2-1
2.1.1 通过Console接口搭建............................................................................................ 2-1
2.1.2 实现设备和Eudemon防火墙互相ping通............................................................... 2-4
2.1.3 实现跨越Eudemon防火墙的两个设备互相ping通 ................................................ 2-5
2.2 通过其他方式搭建配置环境................................................................................................ 2-6
2.2.1 通过AUX接口搭建.................................................................................................. 2-7
2.2.2 通过Telnet方式搭建............................................................................................... 2-9
2.2.3 通过SSH方式搭建................................................................................................ 2-11
2.3 命令行接口....................................................................................................................... 2-12
2.3.1 命令行级别 ............................................................................................................ 2-12
2.3.2 命令行视图 ............................................................................................................ 2-13
2.3.3 命令行在线帮助..................................................................................................... 2-24
2.3.4 命令行错误信息..................................................................................................... 2-25
2.3.5 历史命令................................................................................................................ 2-26
2.3.6 编辑特性................................................................................................................ 2-26
2.3.7 查看特性................................................................................................................ 2-27
2.3.8 快捷键.................................................................................................................... 2-27
2.4 防火墙的基本配置............................................................................................................ 2-30
2.4.1 进入和退出系统视图.............................................................................................. 2-30
2.4.2 切换语言模式......................................................................................................... 2-30
2.4.3 配置防火墙名称..................................................................................................... 2-31
2.4.4 配置系统时钟......................................................................................................... 2-31
2.4.5 配置命令级别......................................................................................................... 2-31
2.4.6 查看系统状态信息 ................................................................................................. 2-32
2.5 用户管理........................................................................................................................... 2-33
2.5.1 用户管理概述......................................................................................................... 2-33
2.5.2 用户管理的配置..................................................................................................... 2-34
2.5.3 用户登录相关信息的配置....................................................................................... 2-37
2.5.4 典型配置举例......................................................................................................... 2-38
2.6 用户界面（User-interface）............................................................................................. 2-39
2.6.1 用户界面简介......................................................................................................... 2-39
2.6.2 进入用户界面视图 ................................................................................................. 2-40
2.6.3 配置异步接口属性 ................................................................................................. 2-41
2.6.4 配置终端属性......................................................................................................... 2-42
2.6.5配置Modem属性 ................................................................................................. 2-44
2.6.6 配置重定向功能..................................................................................................... 2-45
2.6.7 配置VTY类型用户界面的呼入呼出限制 ............................................................... 2-46
2.6.8 用户界面的显示和调试 .......................................................................................... 2-47
2.7 终端服务........................................................................................................................... 2-47
2.7.1 Console接口终端服务........................................................................................... 2-47
2.7.2 AUX接口终端服务 ................................................................................................ 2-47
2.7.3 Telnet终端服务..................................................................................................... 2-48
2.7.4 SSH终端服务........................................................................................................ 2-51第3章 Eudemon防火墙工作模式............................................................................................ 3-1
3.1 防火墙工作模式简介 .......................................................................................................... 3-1
3.1.1 工作模式介绍........................................................................................................... 3-1
3.1.2 路由模式工作过程 ................................................................................................... 3-3
3.1.3 透明模式工作过程 ................................................................................................... 3-3
3.1.4 混合模式工作过程 ................................................................................................... 3-7
3.2 防火墙路由模式配置 .......................................................................................................... 3-8
3.2.1 配置防火墙工作在路由模式..................................................................................... 3-8
3.2.2 配置路由模式其它参数 ............................................................................................ 3-8
3.3 防火墙透明模式配置 .......................................................................................................... 3-8
3.3.1 配置防火墙工作在透明模式..................................................................................... 3-9
3.3.2 配置地址表项........................................................................................................... 3-9
3.3.3 配置对未知MAC地址的IP报文的处理方式 ........................................................... 3-9
3.3.4 配置MAC地址转发表的老化时间 ......................................................................... 3-10
3.4 防火墙混合模式配置 ........................................................................................................ 3-10
3.4.1 配置防火墙工作在混合模式................................................................................... 3-10
3.4.2 配置混合模式其它参数 .......................................................................................... 3-11 3.5 防火墙工作模式的切换..................................................................................................... 3-11 3.6 防火墙工作模式的查看和调试.......................................................................................... 3-11 3.7 防火墙工作模式典型配置举例.......................................................................................... 3-12
3.7.1 处理未知MAC地址的IP报文............................................................................... 3-12
3.7.2 透明防火墙连接多个局域网................................................................................... 3-12
第1章防火墙概述
1.1 网络安全概述
随着Internet的迅速发展，越来越多的企业借助网络服务来加速自身的发展，此时，
如何在一个开放的网络应用环境中守卫自身的机密数据、资源及声誉已越来越为人
们所关注。

网络安全已成为网络建设不可或缺的组成部分。

1.1.1 安全威胁
目前，Internet网络上常见的安全威胁大致分为以下几类：
●非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非
法权限）使用。

例如，攻击者通过猜测帐号和密码的组合，从而进入计算机系
统以非法使用资源。

●拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。

例如，攻击者短
时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致使服
务器负荷过重而不能处理合法任务。

●信息盗窃：攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要数据
或信息。

●数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排
序及插入虚假消息等操作，而使数据的一致性被破坏。

1.1.2 网络安全服务分类
针对上述的安全威胁而采取的安全防护措施称为安全服务。

一般定义下列几种通用
的安全服务：
●可用性服务：保证信息或服务在需要时能够被访问并正常工作。

●机密性服务：保证敏感数据或信息不被泄漏或暴露给未授权的实体。

●完整性服务：保证数据不以未经授权的方式被改动或破坏。

●鉴别：提供某个实体身份合法性的保证。

●授权：对系统资源的使用实施控制，规定访问者的接入权限等。

1.1.3 安全服务的实现方法
1. 加密
加密是将可读的消息转化为不可读形式的加密文本的过程。

加密不仅为用户提供通
信保密，同时也是其他许多安全机制的基础，如认证过程中口令的设计、安全通信
协议的设计及数字签名的设计等均离不开密码机制。

加密方法主要分为三种：
●对称密码体制：其特征是用于加密和解密的密钥是一样的，每对用户共享同一
密钥来交换消息，密钥必须是保密的。

典型代表包括：数据加密标准DES（Data
Encryption Standard）、三层数据加密标准3DES（Triple DES）等。

●公钥密码体制：相对于对称密码体制，公钥密码体制有两个不同密钥，可将加
密功能和解密功能分开。

一个密钥称为私钥，必须秘密保存；另一个称为公钥，
可被公开分发。

典型代表包括DH（Diffie-Hellman）、RSA（Rivest，Shamir，
Adleman）。

●散列函数：用于把一个变长的消息压缩到一个定长的编码字中，成为一个散列
或消息摘要。

散列函数包括MD5（Message Digest 5）、安全散列算法SHA
（Secure Hash Algorithm）。

2. 认证
认证通常用于在访问网络前或网络提供服务前来鉴别用户身份的合法性。

认证可以由网络上的每一台设备在本地提供，也可以通过专用的认证服务器来实施。

相比较而言，后者具有更好的灵活性、可控性和可扩展性。

目前，在异构网络环境
中，RADIUS（Remote Access Dial-In User Service，远程访问拨入用户服务）作
为一个开放的标准被广泛用于认证服务。

3. 访问控制
访问控制是一种加强授权的方法。

一般分为两种：
●基于操作系统的访问控制：访问某计算机系统资源时对用户的指定访问行为进
行授权，可以基于身份、组、规则等配置访问控制策略。

●基于网络的接入控制：指对接入网络的权限加以限制。

由于网络的复杂性，其
机制远比基于操作系统的访问控制更为复杂。

一般在发起访问请求者和访问目
标之间的一些中介点上配置实施访问控制组件（例如防火墙），从而实现基于
网络的接入控制。

4. 安全协议
网络的安全协议是网络安全的重要内容。

在此，我们从TCP/IP的分层模型角度来
介绍目前广泛使用的安全协议。

(1) 应用层安全
它提供从一台主机上的应用程序通过网络到另一台主机上的应用程序的端到端的安
全性。

应用层安全机制必须根据具体应用而定，其安全协议是应用协议的补充，因
此，不存在通用的应用层安全协议。

例如，SSH（Secure Shell，安全外壳）协议可以建立安全的远程登录会话和使用
通道连接其他TCP应用程序。

(2) 传输层安全
它提供基于同一台主机进程之间、或不同主机上进程之间的安全服务。

传输层安全
机制建立在传输层IPC（进程间通信）界面和应用程序两端的安全性基础上。

在传输层中提供安全服务的想法便是强化它的IPC界面，如BSD套接（socket）等，
具体做法包括双端实体的认证、数据加密密钥的交换等。

按照这个思路，出现了建
立在可靠传输服务基础上的安全套接层协议SSL（Secure Socket Layer）。

SSL v3
主要包含以下两个协议：SSL记录协议及SSL握手协议。

(3) 网络层安全
假使上层协议没有实现安全性保障，通过对网络层报文进行保护，用户信息也能够
自动从网络层提供的安全性中受益，因此，IP安全是整个TCP/IP安全的基础，是
Internet安全的核心。

目前，网络层最重要的安全协议是IPSec（IP Security Protocol）。

IPSec是一系列
网络安全协议的总称，其中包括安全协议、加密协议等，可为通讯双方提供访问控
制、无连接的完整性、数据源认证、反重放、加密以及对数据流分类加密等服务。

(4) 数据链路层安全
提供的是点到点的安全性，如在一个点到点链路或帧中继的永久虚链路上提供安全
性。

链路层安全的主要实现方法是在连接链路的每一端使用专用设备完成加密和解
密。

1.2 防火墙概述
1.2.1 安全防范体系的第一道防线——防火墙
在实际应用中，单一的安全防护技术并不足以构筑一个安全的网络安全体系，多种
技术的综合应用才能够将安全风险控制在尽量小的范围内。

一般而言，安全防范体
系具体实施的第一项内容就是在内部网和外部网之间构筑一道防线，以抵御来自外
部的绝大多数攻击，完成这项任务的网络边防产品我们称其为防火墙。

类似于建筑大厦中用于防止火灾蔓延的隔断墙，Internet防火墙是一个或一组实施访
问控制策略的系统，它监控可信任网络（相当于内部网络）和不可信任网络（相当
于外部网络）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。

防火墙
主要服务于以下目的：
●限制用户或信息由一个特定的被严格控制的站点进入；
●阻止攻击者接近其他安全防御设施；
●限制用户或信息由一个特定的被严格控制的站点离开。

防火墙通常作用于被保护区域的入口处，基于访问控制策略提供安全防护。

例如：
当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和数据免遭
来自外部网络的非法访问（未授权或未验证的访问）或恶意攻击；当防火墙位于组
织内部相对开放的网段或比较敏感的网段（如保存敏感或专有数据的网络部分）的
连接处时，可以根据需要过滤对敏感数据的访问（即使该访问是来自组织内部）。

1.2.2 防火墙发展历史
防火墙技术的发展历史大致经历了以下几个过程。

1. 第一代防火墙——包过滤防火墙
包过滤指在网络层对每一个数据包进行检查，根据配置的安全策略来转发或拒绝数
据包。

包过滤防火墙的基本原理是：通过配置ACL（Access Control List，访问控制列表）
实施数据包的过滤。

实施过滤主要是基于数据包中的源/目的IP地址、源/目的端口
号、IP标识和报文传递的方向等信息。

第一代防火墙的设计简单，非常易于实现，而且价格便宜，但其缺点不容忽视，主
要表现在：
●随着ACL复杂度和长度的增加，其过滤性能成指数下降趋势；
●静态的ACL规则难以适应动态的安全要求；
●包过滤不检查会话状态也不分析数据，即不能对用户级别进行过滤，这容易让
黑客蒙混过关。

例如，攻击者可以使用假冒地址进行欺骗，通过把自己主机IP
地址设成一个合法主机IP地址，就能很轻易地通过报文过滤器。

2. 第二代防火墙——代理防火墙
代理服务作用于网络的应用层，其实质是把内部网络和外部网络用户之间直接进行的业务由代理接管。

代理检查来自用户的请求，认证通过后，该防火墙将代表客户与真正的服务器建立连接，转发客户请求，并将真正服务器返回的响应回送给客户。

代理防火墙能够完全控制网络信息的交换，控制会话过程，具有较高的安全性，但其缺点同样突出，主要表现在：
●软件实现限制了处理速度，易于遭受拒绝服务攻击；
●需要针对每一种协议开发应用层代理，升级很困难。

3. 第三代防火墙——状态防火墙
状态分析技术是包过滤技术的扩展（非正式的也可称为“动态包过滤”）。

基于连接状态的包过滤在进行数据包的检查时，将每个数据包看成是独立单元的同时，还要考虑前后报文的历史关联性。

基本原理简述如下：
●状态防火墙使用各种状态表来追踪激活的TCP（Transmission Control
Protocol）会话和UDP（User Datagram Protocol）伪会话（在处理基于UDP 协议包时为UDP建立虚拟连接，以对UDP连接过程进行状态监控的会话过程），由ACL表来决定哪些会话允许建立，只有与被允许会话相关联的数据包才被转发。

●状态防火墙在网络层截获数据包，然后从各应用层提取出安全策略所需要的状
态信息，并保存到动态状态表中，通过分析这些状态表和与该数据包有关的后续连接请求来做出恰当决定。

从外部网络向内看，状态防火墙更像一个代理系统（任何外部服务请求都来自于同一主机），而由内部网络向外看，状态防火墙则像一个包过滤系统（内部用户认为他们直接与外部网交互）。

状态防火墙具有以下优点：
●速度快。

状态防火墙对数据包进行ACL检查的同时，可以将包连接状态记录
下来，后续包则无需再通过ACL检查，只需根据状态表对新收到的报文进行连接记录检查即可。

检查通过后，该连接状态记录将被刷新，从而避免重复检查具有相同连接状态的包。

连接状态表里的记录可以随意排列，这点与记录固定排列的ACL不同，于是状态防火墙可采用诸如二叉树或哈希（hash）等算法进行快速搜索，提高了系统的传输效率。

安全性较高。

连接状态清单是动态管理的，会话完成时防火墙上所创建的临时返回报文入口随即关闭，这保障了内部网络的实时安全。

同时，状态防火墙采
用实时连接状态监控技术，通过在状态表中识别诸如应答响应等连接状态因
素，增强了系统的安全性。

1.3 Eudemon产品简介
1.3.1 Eudemon产品系列
华为公司的Eudemon系列硬件防火墙产品是一种改进型的状态防火墙，包括
Eudemon100、Eudemon200、Eudemon500、Eudemon1000等多种型号，它结合
华为公司特有的ASPF（Application Specific Packet Filter）技术，兼具有代理防火
墙安全性高、状态防火墙速度快的优点。

Eudemon系列防火墙采用专门设计的高可靠性硬件系统和具有自主知识产权的专
有操作系统，将高效的包过滤功能、透明的代理服务、基于改进的状态检测安全技
术、丰富的统计分析功能、多种安全保障措施集于一身，提供多类型接口和工作模
式。

Eudemon系列防火墙处理能力从低端数十兆到高端数千兆，结合华为公司已有
的路由器产品和交换机产品，能够为小型、中小型和大中型客户提供先进的、全方
位的网络安全解决方案。

1.3.2 Eudemon500/1000防火墙简介
作为新一代高速状态防火墙，Eudemon500/1000为大中型客户提供了高性价比的网
络安全保障。

1. 高安全性
与那些基于通用操作系统的软件防火墙相比较，Eudemon500/1000采用专门设计的
防火墙硬件平台和具有自主知识产权的安全操作系统，报文处理和操作系统完全分
开，这种无依赖性大大提高了系统安全性。

采用ASPF状态检测技术，Eudemon500/1000可对连接过程和有害命令进行监测，
并协同ACL完成包过滤。

此外，Eudemon500/1000还提供数十种攻击的防范能力。

所有这些都有效地保障了网络的安全。

2. 高速处理能力
Eudemon500/1000防火墙定位于大中型企业和行业用户，通过采用NP（Network
Processor）技术提供线速的高性能安全防范和报文处理能力。

3. 高可靠性
专门设计的防火墙软件，每一环节均考虑到对各种攻击的防御，通过优先级调度和流控等手段使得系统具备很好的强壮性。

Eudemon500/1000防火墙支持双机状态热备，发生倒换时不会造成业务中断，支持多机分担处理，故障发生时能够自动倒换。

4. 强大的组网和业务支撑能力
Eudemon500/1000防火墙提供集成的高速以太网接口，不仅支持丰富的协议，如H.323、FTP（File Transfer Protocol）、SMTP（Simple Mail Transfer Protocol）等，而且还支持对有害命令的检测功能。

提供NAT（Network Address Translation）应用、静态和动态黑名单过滤、基于代理技术的SYN Flood防御的流控等特性。

Eudemon500/1000防火墙除了具备各种安全防范功能，提供高效的安全保障能力外，还集成了部分路由能力，如静态路由、RIP（Routing Information Protocol）和OSPF（Open Shortest Path First）动态路由，使得防火墙的组网应用更加灵活。

5. 强大的日志和统计分析功能
提供强大的日志和统计分析功能，在安全分析和事后追踪等方面提供了有力的帮助。

1.3.3 Eudemon500/1000防火墙功能特性列表
表1-1Eudemon500/1000防火墙功能特性列表
第2章 Eudemon 防火墙配置基础
2.1 通过Console 接口搭建本地配置环境
2.1.1 通过Console 接口搭建
用户能够通过Console 接口对Eudemon 防火墙进行本地配置。

这是一种可靠的配置维护方式。

当防火墙初次上电、与外部网络连接中断或出现其他异常情况时，则可以采用这种方式配置防火墙。

第一步：建立本地配置环境。

将微机（PC 机或终端）的串口通过标准RS-232电缆与Eudemon 防火墙的Console 接口连接，如下图所示。

RS-232串口Console 口配置电缆
接口
图2-1 通过Console 口搭建本地配置环境
第二步：在微机上运行终端仿真程序（如Windows 9X 的Hyperterm 超级终端等），建立新连接，如下图所示：
图2-2新建连接
图2-3选择实际连接使用的微机串口
第三步：选择实际连接时使用的微机上的RS-232串口，配置终端通信参数为9600波特、8位数据位、1位停止位、无校验、无流控，并选择终端仿真类型为VT100，如下图所示：
图2-4端口通信参数配置
图2-5选择终端仿真类型
第四步：Eudemon防火墙上电自检，系统自动进行配置，自检结束后提示用户键入
回车，直到出现命令行提示符（如<Eudemon>）。

第五步：键入命令，配置Eudemon防火墙或查看Eudemon防火墙运行状态，需要
联机帮助时可以随时键入“?”，关于具体命令的使用请参考后续章节。

说明：
通过Console接口配置Eudemon防火墙，通常无需配置认证。

如果配置了本地认
证，请一定配置对应的本地用户名和口令，否则会导致无法从Console接口进入配
置界面的情况发生。

2.1.2 实现设备和Eudemon防火墙互相ping通
配置思路：首先实现从某设备ping通Eudemon防火墙，再实现从Eudemon防火
墙ping通该设备，操作步骤如下：
第一步：微机（PC机或终端）通过RS-232串口连接Eudemon防火墙Console接
口，Eudemon防火墙Ethernet1/0/0接口通过LAN与Router设备连接。

组网如下
图所示：
ping操作
10.1.1.1
图2-6实现ping通Eudemon防火墙的组网
第二步：配置Ethernet 1/0/0的IP地址，并将该接口加入到Untrust区域。

[Eudemon] interface ethernet 1/0/0
[Eudemon-Ethernet1/0/0] ip address 10.1.1.1 24
[Eudemon-Ethernet1/0/0] quit
[Eudemon] firewall zone untrust
[Eudemon-zone-untrust] add interface ethernet 1/0/0
第三步：配置ACL规则，允许从Router到Eudemon方向的ICMP报文通过。

<Eudemon> system-view
[Eudemon] acl number 3101
[Eudemon-acl-adv-3101] rule permit icmp source 10.1.1.254 0 destination
10.1.1.1 0
第四步：在Untrust和Local区域间的入方向上配置包过滤规则。

[Eudemon] firewall interzone untrust local
[Eudemon-interzone-local-untrust] packet-filter 3101 inbound
注意：
防火墙缺省禁止任何报文通过。

用户需要允许防火墙的某安全域间缺省允许报文通
过，或配置域间包过滤规则。

否则防火墙将不可用。

第五步：从Router向Eudemon防火墙Ethernet1/0/0接口发起ping操作，可以通
达。

但是，反向ping操作不通。

第六步：配置ACL规则允许从Eudemon到Router的ICMP报文通过，并配置Local
和Untrust区域间出方向上的包过滤规则。

[Eudemon] acl 3101
[Eudemon-acl-adv-3101] rule permit icmp source 10.1.1.1 0 destination
10.1.1.254 0
[Eudemon-acl-adv-3101] quit
[Eudemon] firewall interzone local untrust
[Eudemon-interzone-local-untrust] packet-filter 3101 outbound
说明：
防火墙的安全域间的一个方向上仅能配置一条包过滤规则。

第七步：从Eudemon防火墙向Router发起ping操作，可以通达。

2.1.3 实现跨越Eudemon防火墙的两个设备互相ping通
配置思路：首先实现从其他设备分别和Eudemon防火墙之间能互相ping通，然后
再实现这两个设备之间能跨越Eudemon而互相ping通，操作步骤如下：
第一步：微机（PC机或终端）通过RS-232串口连接Eudemon防火墙Console接
口，Eudemon防火墙Ethernet1/0/0通过LAN与Router设备连接，Eudemon的
Ethernet2/0/0接口通过LAN与某服务器连接。

组网如下图所示：
10.1.1.1
图2-7实现跨越Eudemon防火墙的两个设备互相ping通的组网
第二步：首先参考“2.1.2 实现设备和Eudemon防火墙互相ping通”中的操作步
骤，分别实现Router和Eudemon之间互相ping通，及Server与Eudemon之间
互相ping通（Router隶属Untrust区域，Server隶属DMZ区域）。

第三步：通过Console接口配置新ACL规则，允许从Router与Server之间的ICMP
报文及返回报文通过。

<Eudemon> system-view
[Eudemon] acl number 3105
[Eudemon-acl-adv-3105] rule permit icmp source 10.1.1.254 0 destination
10.2.2.254 0
[Eudemon-acl-adv-3105] rule permit icmp source 10.2.2.254 0 destination
10.1.1.254 0
第四步：在Untrust和DMZ区域之间的出/入方向上分别应用该ACL规则。

[Eudemon] firewall interzone untrust dmz
[Eudemon-interzone-dmz-untrust] packet-filter 3105 inbound
[Eudemon-interzone-dmz-untrust] packet-filter 3105 outbound
第五步：从Router向Server发起ping操作可以通达。

反向从Server向Router发
起ping操作也能通达。

2.2 通过其他方式搭建配置环境
为了更方便的配置Eudemon防火墙，系统支持用户进行本地与远程配置。

搭建配
置环境可通过以下几种方法实现，针对每种配置环境有对应的终端服务特性，具体
内容请参见本章中的“终端服务”部分。

通过AUX接口搭建本地或远程配置环境
●通过Telnet方式搭建本地或远程配置环境
●通过SSH方式搭建本地或远程配置环境
2.2.1 通过AUX接口搭建
AUX接口也称为辅助接口（auxiliary）或备份接口，可以像Console接口一样提供
本地配置功能，配置环境搭建请参见上节“2.1.1 通过Console接口搭建”描述，
仅需要将RS-232电缆连接到Eudemon防火墙的AUX接口即可。

此外，还能以异
步方式外接Modem连接到PSTN网络，提供远程配置支持。

环境搭建步骤如下描
述：
第一步：在微机串口和Eudemon防火墙AUX口上分别挂接Modem设备，通过
Modem拨号方式与Eudemon防火墙的AUX接口连接，搭建远程配置环境，如下
图所示：
电话线
图2-8搭建远程配置环境
第二步：在Eudemon防火墙的AUX接口上，对连接的Modem进行相应初始化及
配置。

例如配置一个用户拨号进入，用户名为auxuser，口令为auxpwd，服务类型
为terminal类型。

[Eudemon] aaa
[Eudemon-aaa] local-user auxuser password simple auxpwd
[Eudemon-aaa] local-user auxuser service-type terminal
第三步：配置从AUX接口登录用户的级别为3，采用aaa认证方式。

[Eudemon] user-interface aux 0
[Eudemon-ui-aux0] authentication-mode aaa
[Eudemon-ui-aux0] user privilege level 3
第四步：配置与AUX接口连接的Modem设备支持双向呼叫、自动应答，且连接超
时时间不受限制。

[Eudemon-ui-aux0] idle-timeout 0 0
[Eudemon-ui-aux0] modem both
[Eudemon-ui-aux0] modem timer answer 60
第五步：配置AUX接口采用流方式工作。

[Eudemon] interface aux 0
[Eudemon-Aux0] async mode flow
第六步：在PC机处打开终端仿真程序（如Windows 9X的Hyperterm超级终端等），选择Modem作为连接时的设备，输入电话号码（如12345678），建立连接，如下图所示：
图2-9配置拨号号码和连接设备
图2-10在远地微机上启动拨号
第七步：在弹出的远端终端仿真程序界面上输入用户名和口令（如用户名auxuser，口令auxpwd），验证通过后界面中出现命令行提示符（如<Eudemon>）。

此时可以键入命令，查看Eudemon防火墙运行状态，或对Eudemon防火墙进行配置，需要帮助可以随时键入“?”，关于具体的操作请参考以后各章节。

2.2.2 通过Telnet方式搭建
当配置终端与Eudemon防火墙之间有可达路由时，可以用Telnet方式通过局域网
或广域网登录到Eudemon防火墙，然后对Eudemon防火墙进行配置。

即必须预先
进行如下配置，才能采用Telnet方式搭建环境。

1. 采用Telnet方式前的配置准备
第一步：微机（PC机或终端）通过RS-232串口连接Eudemon防火墙Console接
口，Eudemon防火墙Ethernet1/0/0连接到Internet，Internet中某远端PC机作为
Telnet Client设备。

第二步：参照“2.1.2 实现设备和Eudemon防火墙互相ping通”中的描述，实现
远端PC（Telnet客户端）能ping通Eudemon。

第三步：通过Console接口配置Telnet登录用户名/口令。

[Eudemon] aaa
[Eudemon-aaa] local-user telnetuser password simple telnetpwd
[Eudemon-aaa] local-user telnetuser service-type telnet
第四步：通过Console接口配置本地AAA认证，及Telnet登录认证（即VTY虚拟
线认证）。

[Eudemon-aaa] authentication-scheme telnetuser
[Eudemon-aaa-authen-telnetuser] authentication-mode local radius
[Eudemon-aaa-authen-telnetuser] quit
[Eudemon-aaa] quit
[Eudemon] user-interface vty 0 4
[Eudemon-ui-vty0-4] authentication-mode aaa
第五步：通过Console接口配置ACL规则，允许从远端PC到Eudemon防火墙的
Telnet报文通过，并在Untrust和Local区域间入方向应用ACL规则。

[Eudemon] acl number 3101
[Eudemon-acl-adv-3101] rule permit tcp source 30.3.3.3 0 destination 10.1.1.1
[Eudemon-acl-adv-3101] quit
[Eudemon] firewall interzone untrust local
[Eudemon-interzone-local-untrust] packet-filter 3101 inbound
第六步：通过Console接口配置Telnet登录用户级别切换口令，即切换到管理级（3
级）的口令为superpwd。

[Eudemon] super password level 3 simple superpwd
2. 建立Telnet连接
第一步：建立本地配置环境，只需将微机以太网口通过局域网与Eudemon防火墙的以太网口连接，也可以通过HUB或以太网交换机实现网络层互通，如下图所示：
运行Telnet客户端程序的P C
Eudemon
图2-11通过局域网搭建本地配置环境
如果建立远程配置环境，需要将微机和Eudemon防火墙通过广域网连接，如下图所示：
图2-12通过广域网搭建远程配置环境
第二步：在微机上运行Telnet程序，键入Eudemon防火墙以太网口IP地址（或在远端微机上键入Eudemon防火墙广域网口IP地址），与Eudemon防火墙建立连接，如果出现“Too many users!”的提示，则请稍候再连。

如下图所示：
图2-13运行Telnet程序。