ALG的作用是什么地址转换会导致许多对NAT敏感的应用协议无法正常工作,必须针对该协议进行特殊的处理。所谓对NAT敏感的协议是指该协议的某些报文的有效载荷中携带IP地址和(或)端口号,如果不进行特殊处理,将会严重影响后继的协议交互。地址转换应用网关(NATApplicationLevelGateway,NATALG)是解决特殊协议穿越NAT的一种常用方式,该方法按照地址转换规则,对载荷中的IP地址和端口号进行替换,从而实现对该协议的透明中继。目前VRP的NATALG支持PPTP、DNS、FTP、ILS、NBT、SIP、H.323等协议。在SecPath上,当开启NAT功能后,系统会自动开启NATALG,无需手工设置。防火墙的域(zone)是什么意思区域(zone)是防火墙产品所引入的一个安全概念,是防火墙产品区别于的主要特征。一个安全区域包括一个或多个接口的组合,具有一个安全级别。在设备内部,安全级别通过0~100的数字来表示,数字越大表示安全级别越高,不存在两个具有相同安全级别的区域。SecPath缺省有trust、untrust、DMZ、local4个安全域,同时还可以自定义12个区域。[SecPath]firewallzone?DMZDMZsecurityzonelocalLocalsecurityzonenameSpecifyanewsecurityzonenameandcreateittrustTrustsecurityzoneuntrustUntrustsecurityzone一般来讲,安全区域与各网络的关联遵循下面的原则:内部网络应安排在安全级别较高的区域、外部网络应安排在安全级别最低的区域。具体来说,Trust所属接口用于连接用户要保护的网络;Untrust所属接口连接外部网络;DMZ区所属接口连接用户向外部提供服务的部分网络;从防火墙设备本身发起的连接即是从Local区域发起的连接。相应的所有对防火墙设备本身的访问都属于向Local区域发起访问连接。SecPath防火墙中inbound和outbound的含义是什么呢SecPath防火墙的ACL规则和路由器一样,是应用在接口上的,inbound指从接口进入防火墙的方向,outbound是从防火墙出接口的方向。这点是与Eudemon和SecPath1800F不同的。Eudemon和SecPath1800F的ACL是应用在域间的,inbound是指从低安全级别的域进入高安全级别域的流量,如从untrust进入trust,outbound的方向与此相反。为什么我的接口配了IP地址和PC对连却ping不通接口必须加入且只能加入一个域才能生效。特别要注意的是,除了物理口要加入域外,virtual-template和tunnul也必须加入域。如果不加入域,可能出现端口up但是却互相ping不通、SecPoint拨号接入却获取不到IP地址等情况。这是刚接触防火墙常犯的错误,希望大家能够牢记。命令为firewallzonetrust/untrustAddinterfaceeth0/1同时,在3.4-0006版本后,缺省情况下,更改了包过滤的缺省规则,缺省规则由permit改为deny,缺省情况下,所有的接口都是不通的,需要在系统视图下配置firewallpacket-filterdefaultpermit才能访问。Secpath系列产品如何查看flash中有哪些文件dir/allDirectoryofflash:/1-rw-5800821Oct10200210:10:10system2-rw-1021629Oct10200210:10:10http.zip3-rw-962Sep22201016:42:11config.cfg4-rw-524288Aug09201009:35:41bootromfull15621KBtotal(8439KBfree)Secpath系列产品如何备份配置文件和VRP文件1、使用TFTP方式(需要有TFTP服务器,如3CDaemon)前提条件:保证PC机和设备之间可以双向PING通tftp1.1.1.1(TFTP服务器的地址)putsystem(VRP文件名)tftp1.1.1.1(TFTP服务器的地址)putconfig.cfg(VRP文件名)2、使用FTP方式前提条件:保证PC机和设备之间可以双向PING通[Quidway]ftpserverenable启动FTP服务[Quidway]local-userhuawe创建FTP用户和密码及及登陆后的目录[Quidway]passwordsimplehuawei[Quidway]service-typeftpftp-directoryflash:/在PC“运行”键入CMD命令进入到DOS界面ftp设备IP地址用户名和密码都...
