DCFW-1800-神州数码防火墙安全策略高级特性

神州数码DCFW-1800防火墙快速配置多核防火墙快速配置手册防火墙配置一：SNAT配置 (2)防火墙配置二：DNAT配置 (5)防火墙配置三：透明模式配置 (11)防火墙配置四：混合模式配置 (14)防火墙配置五：DHCP配置 (17)防火墙配置六：DNS代理配置 (19)防火墙配置七：DDNS配置 (21)防火墙配置八：负载均衡配置 (24)防火墙配置九：源路由配置 (26)防火墙配置十：双机热备配置 (28)防火墙配置十一：QoS配置 (32)防火墙配置十二：Web认证配置 (36)防火墙配置十三：会话统计和会话控制配置 (44)防火墙配置十四：IP-MAC绑定配置 (46)防火墙配置十五：禁用IM配置 (48)防火墙配置十六：URL过滤配置 (50)防火墙配置十七：网页内容过滤配置 (54)防火墙配置十八：IPSEC VPN配置 (58)防火墙配置十九：SSL VPN配置 (65)防火墙配置二十：日志服务器配置 (74)防火墙配置二十一：记录上网URL配置 (76)防火墙配置二十二：配置管理及恢复出厂 (79)防火墙配置二十三：软件版本升级 (82)防火墙配置一：SNAT 配置一、网络拓扑Internet网络拓扑二、需求描述配置防火墙使内网192.168.1.0/24网段可以访问internet三、配置步骤第一步：配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置通过Webui 登录防火墙界面输入缺省用户名admin ，密码admin 后点击登录，配置外网接口地址内口网地址使用缺省192.168.1.1第二步：添加路由添加到外网的缺省路由，在目的路由中新建路由条目添加下一条地址成0.0.0.0，防火墙会自动识别第三步：添加SNAT策略在网络/NAT/SNAT中添加源NAT策略第四步：添加安全策略在安全/策略中，选择好源安全域和目的安全域后，新建策略关于SNAT ，我们只需要建立一条内网口安全域到外网口安全域放行的一条策略就可以保证内网能够访问到外网。

神州数码大型企业网络防火墙解决方案神州数码大型企业网络防火墙整体解决方案，在大型企业网络中心采用神州数码DCFW-1800E防火墙以满足网络中心对防火墙高性能、高流量、高安全性的需求，在各分支机构和分公司采用神州数码DCFW-1800S 防火墙在满足需要的基础上为用户节约投资成本。

另一方面，神州数码DCFW-1800系列防火墙还内置了VPN 功能，可以实现利用Internet构建企业的虚拟专用网络。

返回页首防火墙VPN解决方案作为增值模块，神州数码DCFW-1800防火墙内置了VPN模块支持，既可以利用因特网（Internet）IPSEC 通道为用户提供具有保密性，安全性，低成本，配置简单等特性的虚拟专网服务，也可以为移动的用户提供一个安全访问公司内部资源的途径，通过对PPTP协议的支持，用户可以从外部虚拟拨号，从而进入公司内部网络。

神州数码DCFW-1800系列防火墙的虚拟专网具备以下特性：- 标准的IPSEC,IKE与PPTP协议- 支持Gateway-to-Gateway网关至网关模式虚拟专网- 支持VPN的星形（star）连接方式- VPN隧道的NAT穿越- 支持IP与非IP协议通过VPN- 支持手工密钥，预共享密钥与X.509 V3数字证书,PKI体系支持- IPSEC安全策略的灵活启用：管理员可以根据自己的实际需要，手工禁止和启用单条IPSEC安全策略，也为用户提供了更大的方便。

- 支持密钥生存周期可定制- 支持完美前项保密- 支持多种加密与认证算法：- 加密算法：DES, 3DES,AES,CAST,BLF，PAP，CHAP- 认证算法：SHA, MD5, Rmd160- 支持Client-to-Gateway移动用户模式虚拟专网- 支持PPTP定制：管理员可以根据自己的实际需要，手工禁止和启用PPTP。

返回页首防火墙双机热备方案为了保证网络的高可用性与高可靠性，神州数码DCFW-1800E防火墙提供了双机热备份功能，即在同一个网络节点使用两个配置相同的防火墙。

DCFW-1800G/E/S系列防火墙快速配置手册－4.0版本神州数码网络集团客服中心技术支持部第1章硬件说明 (4)第2章安装前准备 (4)2.1通过控制台接入防火墙（CLI） (4)2.2SSH远程管理方法 (4)2.3WEB页面管理方法 (5)2.4防火墙密码恢复方法 (6)2.5恢复出厂配置方法 (7)2.6防火墙升级方法 (8)2.7恢复备份版本方法 (9)2.8更改逻辑端口同物理端口对应关系方法 (10)2.9防火墙当前运行配置下载方法 (11)2.10防火墙出厂默认配置 (12)第3章功能配置 (12)3.1防火墙接口IP地址更改方法 (12)3.2防火墙默认网关配置方法 (13)3.3防火墙静态路由添加方法 (14)3.4服务（端口）添加方法 (14)3.5服务分组添加方法 (15)3.6网络对象添加方法 (18)3.7网络分组添加方法 (19)3.8策略添加方法 (22)3.9动态NAT配置方法 (22)3.10静态NAT配置方法 (23)3.11端口映射配置方法 (23)3.12日志记录方法 (24)3.13源地址路由配置方法 (28)第4章典型应用 (32)4.1DCFW-1800G/E/S路由模式的配置步骤 (32)4.2防火墙做PPTP拨号服务器的配置 (42)4.2.1 Windows PPTP客户端配置说明 (44)4.2.2 神州数码 DCFW-1800G/E/S防火墙PPTP配置 (47)4.3如何封堵某些服务端口 (53)4.4如何阻止某台主机访问网络 (55)4.5DCFW-1800G-E-S网桥模式配置步骤 (56)4.6DCFW-1800G/E/S IPSEC VPN配置步骤 (61)关于本手册本手册主要介绍DCFW-1800G/E/S防火墙的常用配置方法，并举例进行说明，希望能够帮助用户快速的了解和使用DCFW-1800G/E/S防火墙。

如果系统升级，本手册内容进行相应更新，恕不事先通知。

神州数码多核安全网关DCFW-1800E-2GDCFW-1800系列多核安全网关是神州数码网络公司专为各种规模的企业网、园区网、城域网及运营商用户开发的新一代多功能专业网络安全产品。

依托于领先的多核架构平台，集强大的安全防护、防病毒、IPS、抗攻击、VPN、QoS及应用层行为管控等功能与一身，结合强劲性能优势为您的网络提供非同寻常的安全动力。

此外DCFW-1800系列多核安全网关具有的最低总体拥有成本优势及部署简单、容易维护的特点，都使它在网络安全组网方案中具有突出的优势。

强大的产品强势的解决方案全面强壮您的网络DCFW-1800E-2G多核安全网关是神州数码网络公司面向大中型企业和运营商用户设计开发的新一代多功能安全网关产品，DCFW-1800E-2G多核安全网关采用了领先的64位多核MIPS体系架构和高速交换总线技术，这让它不但在防火墙性能上实现了全面的跨越，而且在防病毒、IPS、VPN、流量整形及应用层行为管理等方面的处理能力也得到了前所未有的提升，配合神州数码潜心研发的64位并行安全操作系统在多线程并行处理能力上的优势，使得DCFW-1800E-2G即使在处理多任务并发时也全无性能瓶颈之虞。

DCFW-1800E-2G多核安全网关提供6个GE接口和2个GE/SPF（Combo）接口，可充分满足大中型网络对于不同接口类型及高接口密度的需求。

产品特点1.DCFW-1800E-2G多核安全网关采用64位多核MIPS处理器和128GCrossbar高速交换总线技术，带来多种安全性能的全面突破。

神州数码DCFW-1800系列多核安全网关拥有业界领先的工业化设计工艺，硬件上广泛采用高品质的元器件，这让产品不但在可靠性和稳定性上具有了电信级的水平，而且也使得整机功耗大大降低，神州数码DCFW-1800系列多核安全网关还率先通过了RoHS环保认证和欧洲CE认证，因此DCFW-1800E-2G多核安全网关是真正意义上的绿色环保产品。

山石网科SG/神州数码DCFW-1800系列安全网关至中神通UTMWALL的功能迁移手册更多产品迁移说明：山石网科安全网关是Hillstone针对中小企业及分支机构用户的安全现状和需求推出的全新高性能多核安全网关。

产品采用业界领先的多核Plus G2安全架构和64位实时安全操作系统StoneOS®，提供全方位的安全防护、易用的可视化管理和卓越的性能，为中小企业和分支机构用户提供高性价比的全面安全解决方案。

山石网科下一代智能防火墙采用创新的主动检测技术和智能多维处理架构，通过全网健康指数帮助用户实时掌握安全状况；基于先进的应用识别和用户识别技术，为用户提供高性能应用层安全防护及增强的智能流量管理功能。

神州数码DCFW-1800系列防火墙是神州数码网络有限公司自主开发、拥有知识产权的新一代高性能纯硬件网络安全产品，能够为大中型企业、政府机关、教育机构等的网络安全问题提供安全高速的解决方案。

DCFW-1800系列防火墙拥有集成的网络安全硬件平台，采用专有的实时操作系统，可以灵活的划分安全域，并且可以自定义其它安全级别的域，防火墙的安全策略规则会对信息流进行检查和处理，从而保证网络的安全。

武汉中神通信息技术有限公司历经15年的开发和用户使用形成了中神通UTMWALL®系列产品，有硬件整机、OS软件、虚拟化云网关等三种产品形式，OS 由50多个不断增长的功能APP、32种内置日志和5种特征库组成，每个APP都有配套的在线帮助、任务向导、视频演示和状态统计，可以担当安全网关、防火墙、UTM、NGFW等角色，胜任局域网接入、服务器接入、远程VPN接入、流控审计、行为管理、安全防护等重任，具备稳定、易用、全面、节能、自主性高、扩展性好、性价比优的特点，是云计算时代的网络安全产品。

以下是两者之间的功能对比迁移表：山石网科SG v5.0功能项页码中神通UTMWALL v1.8功能项页码第1章产品概述 1 A功能简介8第2章搭建配置环境 6 B快速安装指南9第3章命令行接口（CLI）10 B快速安装指南9第4章系统管理15 2系统管理47C缺省配置3.7 DNS解析2.4 菜单界面2.8 帐号口令2.2 初始设置1.7 ARP状态8.2 用户8.3 用户组3.1 网卡设置直接使用内置存储器2.6 配置管理1.13 测试工具1.2 功能统计重启关闭系统2.7 升级管理2.1 许可证4.6 SNMP服务本版本暂无，山石自有产品2.5 本地时间5.2 时间对象3.1 网卡设置监控缺省网关1.14 系统日志A功能简介3.1 网卡设置3.1 网卡设置3.4 网桥设置3.1 网卡设置5基础策略A功能简介5.4 会话对象5.7 总控策略内置<见下><见下>3.4 网桥设置2.2 初始设置2.2 初始设置2.2 初始设置1.7 ARP状态3.4 网桥设置硬件设备BIOS设置3.3 VLAN3.4 网桥设置3.1 网卡设置3.6 路由设置2.2 初始设置3.1 网卡设置3.1 网卡设置5.1 地址对象5.7 总控策略5.7 总控策略8.3 用户组<见下><见下>4.1 ARP服务5.1 地址对象4.1 ARP服务1.12 实时监控1.8 流量统计4.1 ARP服务8用户认证5.7 总控策略8.3 用户组5.6 NAT策略6.2 特殊应用功能设置10.1 IPSEC VPN总体设置10.2 IPSEC VPN本机设置10.3 IPSEC VPN网关10.4 IPSEC VPN连接本版本暂无，山石自有产品9.1 PPTP总体设置9.1 PPTP总体设置9.1 PPTP总体设置9.1 PPTP总体设置11.1 SSL接入11.2 SSLVPN总体设置5.7 总控策略内置3.4 网桥设置3.1 网卡设置3.6 路由设置3.7 DNS解析4.4 DDNS服务4.3 DHCP服务9.3 PPPOE总体设置使用UTMWALL-VM虚拟机5.5 QoS对象10.2 IPSEC VPN本机设置8.2 用户用户证书2.8 帐号口令管理员证书3.5 双机热备6.24 防病毒引擎6.10 WEB内容过滤6.14 防病毒例外6.16 POP3代理过滤6.17 SMTP代理过滤7 入侵检测与防御6.6 DNS&URL库6.8 WEB代理过滤HTTPS代理6.3 网络审计6.4 WEB审计过滤6.4 WEB审计过滤6.9 WEB代理过滤规则6.6 DNS&URL库6.12 关键词规则6.13 关键词例外6.4 WEBPOST审计日志6.4 WEB审计过滤6.9 WEB代理过滤规则6.26 防垃圾邮件引擎6.16 POP3代理过滤6.17 SMTP代理过滤6.18 MSN审计过滤6.19 审计过滤6.2 特殊应用功能设置6.2 特殊应用功能设置6.4 WEB审计过滤6.15 FTP代理过滤1.15 日志统计1.15 日志统计1.15 日志统计参考文件：1. Hillstone山石网科多核安全网关使用手册_5.0R1P12. 神州数码DCFW-1800系列安全网关使用手册_4.0R4C6 （588页）3. 中神通UTMWALL网关管理员手册。

神州数码DCFW-1800S/E防火墙系统FAQ DCFW-1800 S/E文档发布版本号 V4.1神州数码网络有限公司Digital China Networks LTDAll Rights Reserved.神州数码DCFW-1800S/E防火墙系统FAQ版权声明本文档中的内容是神州数码DCFW-1800 S(C)/S/E-VII/G防火墙系统FAQ文档。

本文档的相关权力归神州数码网络有限公司所有。

文档中的任何部分未经本公司许可，不得转印、影印或复印。

由于产品版本升级或其它原因本文档内容会不定期进行更新除非另有约定本文档仅作为使用指导本手册中的所有陈述信息和建议不构成任何明示或暗示的担保。

本声明仅为文档信息的使用而发表，非为广告或产品背书目的。

支持信息本资料将定期更新，如欲获取最新相关信息，请查阅公司网站： 或 或直接致电神州数码客服中心服务热线8008109119您的意见和建议请发送至：Zhanghfc@神州数码DCFW-1800S/E防火墙系统FAQQ: 忘记了管理员密码怎么办？A: 将防火墙重新启动，并在控制终端上观察启动过程，在启动出现若干个“！”时，按键盘“p”，将自动清除当前管理员密码，并恢复为出厂密码设置“admin”。

重新启动后共出现两次“！”，都可以按“P”恢复密码，但是第一次出现时按“P”有提示，“Set Password！”，第二次出现时没有提示。

Q: 如果防火墙不通，可能是哪几个方面的原因？A：首先看是否按照说明书的配置方法进行配置(参见《神州数码防火墙系统基本功能用户指南》第2章快速入门)。

特别注意的是：是否配置了缺省网关外网口的IP地址是否有冲突在NAT规则配置时，映射的外网地址是否有冲突如果防火墙处于HA的备机状态，且无处于主机状态的防火墙，也会导致服务不通Q: 如果防火墙内部主机不能访问外网的站点，可能是什么原因？A：在包过滤策略的配置中，检查是否配置了允许该内部主机由内到外的访问策略；是否配置了允许由内到外的DNS服务通过，并且在系统中正确地配置了DNS服务器；该内部主机是否在策略配置的阻止主机列表中。

神州数码dcfw1800系列安全网关命令手册40r4c一、系统基本命令1. 登录与退出（1）登录网关admindcfw1800> enablePassword:admindcfw1800configure terminal输入管理员密码后，即可进入配置模式。

（2）退出网关admindcfw1800exit退出配置模式后，系统将返回用户模式。

2. 查看系统信息（1）查看系统版本admindcfw1800show version执行此命令，可以查看当前网关的软件版本、硬件版本等信息。

（2）查看系统状态admindcfw1800show system status执行此命令，可以查看网关的运行状态、CPU使用率、内存使用率等信息。

3. 配置系统时间（1）设置系统时间admindcfw1800clock set HH:MM:SS YYYYMMDD将HH:MM:SS替换为具体的小时、分钟和秒，将YYYYMMDD替换为具体的年、月、日。

（2）查看系统时间admindcfw1800show clock执行此命令，可以查看当前网关的系统时间。

二、接口配置命令1. 查看接口状态admindcfw1800show interface执行此命令，可以查看所有接口的状态、速率、双工模式等信息。

2. 配置接口（1）进入接口配置模式admindcfw1800interface <interfacetype> <interfacenumber>将<interfacetype>替换为接口类型（如GigabitEthernet），将<interfacenumber>替换为接口编号（如0/0）。

（2）设置接口描述admindcfw1800description <descriptiontext>将<descriptiontext>替换为接口描述信息。

（3）设置接口速率和双工模式admindcfw1800speed <speed> duplex <duplexmode>将<speed>替换为接口速率（如1000），将<duplexmode>替换为双工模式（如full或half）。

DCFW-1800E/S-UTM 地址转换（NAT ）配置指南网络拓扑：网络环境及配置需求：I 、内网网段192.168.1.0/24，通过UTM 做动态NAT 上网，动态NAT 地址使用UTM 外网接口if2的地址---202.127.192.66，外网网关为202.127.192.66II 、对内网FTP server:192.168.1.10做端口映射，将外网口地址202.127.192.66的tcp21端口映射到该FTP server 的tcp21端口，放行外网到FTP Server 的ftp 服务。

III 、配置让内网用户可以通过FTP Server 映射后的公网地址访问FTP Server.IV 、对DMZ 区的Web Server 做静态地址映射，将公网地址202.127.192.67静态映射到172.16.1.10，放行外网到Web Server 的http 服务。

V 、配置让内网用户可以通过Web Server 映射后的公网地址访问Web Server.需求I内网网段192.168.1.0/24，通过UTM 做动态NAT 上网，动态NAT 地址使用UTM 外网接口if2的地址---202.127.192.66，外网网关为202.127.192.65Internetif0:192.168.1.81/24 Manage_ip:192.168.1.80/24DCFW-1800-UTM网关:202.127.192.65/24FTP Server:192.168.1.10/24内网DMZ外网配置步骤：1、使用“超级终端”登陆UTM，参数设置如下：初始配置管理用户名：admin 密码：admin进入配置模式：Hawk>enableHawk#进入特权模式：Hawk#config terminalHawk(config)#将if0接口加入trust安全域：Hawk(config)#set interface eth0 zone trust为if0接口配置ip地址：Hawk(config)# set interface eth0 ip 192.168.1.81/24为if0接口配置管理ip地址：Hawk(config)#set interface eth0 manage-ip 192.168.1.80/24开启if0接口的Web管理权限(只有添加了管理地址的主机才具有管理权限)：Hawk(config)#set interface eth0 manage-service web开启if0接口可以被ping的功能（只接受管理主机的ping，并且只能ping该接口的管理ip）：Hawk(config)#set interface eth0 manage-service ping添加管理主机地址：Hawk(config)#set adminhost 192.168.1.85退出特权模式到配置模式并保存配置：Hawk(config)#exitHawk#save config此后的配置可以用ip地址为192.168.1.85的管理主机连接到if0接口上通过Web界面配置2、登陆web管理界面打开一个IE浏览器窗口，在地址栏里输入https://192.168.1.80:2000（注意此处的地址为if0接口的管理ip --- manage-ip）登陆角色选择为：配置管理员初始用户名：admin初始密码：admin3、配置接口地址添加外网接口eth2 IP地址：在“网络”->“网络接口”中点击“修改”eth2接口将eth2接口状态设为：“up”工作模式设为“NAT”所属安全域设为“untrust”IP/位掩码：202.127.192.66/29设定完毕后点击“确定”在“网络”->“路由”->“静态路由”中点击“新增”。

DCFW-1800ES-UTM 常用基本配置速查z初始登陆基本配置通过串口使用超级终端登陆UTM的参数如下设置z登陆帐号初始配置管理员登陆login: adminPassword: admin --登陆密码在命令行状态下输入时不会显现，确定输入正确后直接敲回车即可成功登陆还有另外两个角色的帐号：超级管理员：super，初始密码：super使用该帐号登陆可对UTM进行版本升级、配置的备份及更新、各种管理帐号的添加修改、各种许可证文件的导入激活等等操作。

审计管理员：audit 初始密码：audit对UTM进行日志管理，包括日志策略的制定，日志信息的查看等。

z UTM登陆管理配置对任意接口配置通信IP及管理IP（下面以配置eth0接口为例）User Access VerificationUTM>enableUTM#config t进入配置模式UTM(config)# set interface eth0 ip 192.168.1.81/24为eth0接口配置通信IPUTM(config)# set interface eth0 manage-ip 192.168.1.80/24为eth0接口配置管理IP，使用该地址对UTM进行管理UTM(config)# set interface eth0 up将eth0接口激活启用UTM(config)# set interface eth0 manage-service web激活管理主机对eth0接口使用web管理的权限UTM(config)# set interface eth0 manage-service ping激活管理主机对eth0接口进行ping操作的权限UTM(config)#set adminhost 192.168.1.1添加对UTM具有管理权限的主机地址添加完上述配置即可使用IP地址为192.168.1.1的主机通过web方式对UTM进行管理。

DCFW-1800E-N5002多核安全网关红的部分是不同的地方：提供8个GE接口和2个GE/SPF（Combo）接口1.DCFW-1800E-N5002多核安全网关采用64位多核MIPS处理器和128G Crossbar高速交换总线技术，带来多种安全性能的全面突破。

神州数码DCFW-1800系列多核安全网关拥有业界领先的工业化设计工艺，硬件上广泛采用高品质的元器件，这让产品不但在可靠性和稳定性上具有了电信级的水平，而且也使得整机功耗大大降低，神州数码DCFW-1800系列多核安全网关还率先通过了RoHS环保认证和欧洲CE认证，因此DCFW-1800E-N5002多核安全网关是真正意义上的绿色环保产品。

2.DCFW-1800E-N5002安全网关拥有先进的安全防护功能，除具有高级状态检测包过滤技术外，还支持对应用层报文进行检测和过滤，可根据包括安全域、协议、端口、应用、用户以及时段等在内的诸多条件定制访问控制策略，DCFW-1800E-N5002的ALG功能还支持对FTP、HTTP、MS-RPC、H.323、RTSP、SIP、RSA、SQLNetV2等应用层协议进行状态监控。

3.DCFW-1800E-N5002安全网关采用基于硬件加速方案的高效专业防病毒引擎，结合会话流智能病毒扫描技术，能够对HTTP、FTP、POP3、SMTP、IMAP等应用协议进行在线实时病毒查杀，DCFW-1800E-N5002采用了创新性的病毒检测技术，能将接收数据和病毒扫描同步进行，对扫描的文件大小及数量没有限制，该技术在提升防病毒吞吐量的同时也降低了延迟。

4.DCFW-1800E-N5002多核安全网关提供基于深度应用识别的入侵防御解决方案，能有效防范网络中各种复杂的应用攻击，DCFW-1800E-N5002多核安全网关支持超过3000种以上的攻击检测和防御，并以强大的多核处理器为后盾，能为用户提供强劲精准的入侵防御功能。

神州数码DCFW-1800防火墙配置手册神州数码（上海）网络有限公司二零零二年十月前言计算机和网上技术正以惊人的速度改变着整个世界，全世界的公司都面临着巨大的挑战和机会。

借助网络，人们可以与异地的同事或是客户进行实时交流，快速地接受、发送信息；借助网络，人们可以提高工作效率、减少开支，同时做到了在尽可能短的时间内对客户或市场的形势变化做出应急反应。

但也因此增加了新的危险。

因为要想与别人通信就要对自己的网络进行设置，使之一定程度地对外开放，这样就使自己的内部网络暴露在一些不怀好意的人的面前。

为了使网络信息系统在保障安全的基础上被正常访问，需要一定的设备来对系统实施保护，保证只有合法的用户才可以访问系统。

就目前看，能够实现这种需求的性能价格比最优的设备就是防火墙。

防火墙以其简单、实用、高效、经济等特点受到越来越多的用户的青睐，因此被越来越多地使用在企业与企业之间或企业与Internet之间。

DCFW-1800 防火墙是神州数码网络有限公司自主开发的复合型防火墙设备。

主要实现了检测功能、时间段控制访问功能、代理功能、地址转换功能、带宽管理、流量控制、MAC地址绑定功能和完整的日志审记等功能。

这本手册主要是描述如何正确配置、管理和使用DCFW-1800 防火墙，以便您能够预防有害的或未授权的信息出入您所要保护的网络，保障系统的安全。

读者对象本手册是对应高级用户和网络管理员编写的。

配置、使用防火墙所必备的知识：在安装和配置防火墙之前，具备充分的关于 TCP/IP、网络掩码、网络管理等等的知识是非常重要的。

您首先必须理解网络的工作原理，因为您将要安装、配置防火墙来控制进、出所保护网络的数据流。

您尤其要掌握 IP 地址、身份验证系统以及子网掩码的基础知识。

一本称得上出色的关于 TCP/IP 网络管理的书籍应囊括 netstat、arp、ifconfig、ping、nslookup、DNS、sendmail、routing 和更多的相关内容，由于本手册的主旨及篇幅所限，无法全面介绍，请您在相关书籍上查阅更多的资料。