IBM eNetwork Firewall AIX 版--1

来源: 作者:
  IBM eNetwork Firewall AIX 版提供了多项增强。


简单管理
通过使用 Java** 的应用程序,您可简便地更新防火墙配置。并且,不同的管理员可以指定不同层次的权限以进一步控制对防火墙的访问。这种独特的易于理解的图形用户界面(GUI)可用于管理 Firewall AIX 版及 Windows NT 版。


网络安全性审计器
增强了网络安全性审计器(NSA),它是一种用于检查网络的安全漏洞或配置错误的工具。NSA:


更快速,更强壮

支持增量报告生成

提供增强站点策略设施

支持附加服务器

有附加安全性弱点检查
通过定期地运行网络安全性审计器,您可以确保没有用创建安全性弱点的方法作过任何修改,特别是在防火墙联机后。


AIX 4.2.1 和 4.3 的支持
支持 AIX 4.2.1 和 4.3,不包括 AIX 公共桌面环境。不再支持以前发行本的 AIX。


国家语言支持
国家语言支持提供了英语、日语、韩语、法语、简体中文、繁体中文、意大利语、西班牙语和巴西的葡萄牙语。


--------------------------------------------------------------------------------

IBM Firewall 可安装部件
IBM Firewall 独立的可安装组件为:


EFM

IBM 企业管理系统(管理其它防火墙的防火墙)

FW

基本 IBM 防火墙

IBM Firewall 的公共库和目录

IBM Firewall 的远程配置客户程序

IBM Firewall 的报告生成实用程序

Netscape.NAV

Netscape Navigator**

ipsec

IPSec 客户程序

nsauditor

网络安全性审计器

网络安全性审计器 HTML 接口

sva

SystemView 代理 AIX 版

SystemView 代理 AIX 版 SNMP 映射程序
要获取如何安装 Windows 95 安全远程客户的指导,请参考IBM eNetwork Firewall 用户指南.

欲安装本手册的 PDF 版本以及 IBM eNetwork Firewall 用户指南,请在 IBM 防火墙 CDROM 上的 fwbooks 目录中下载下列文件至您的工作站:


fwuser.pdf

fwref.pdf
可以使用 Adobe Acrobat** Reader 来查看这些书籍。如果您未安装 Adobe Acrobat Reader,则可到:http://www.adobe.com/prodindex/acrobat/ 的 Adobe Web 站点上获得有关 Adobe Acrobat Reader 的详细内容并获取一个拷贝。


--------------------------------------------------------------------------------

输入 IP 地址
在配置防火墙时,会要求您输入 IP 地址。点十进制 IP 地址,它带所有 4 个八位位组:

nnn.nnn.nnn.nnn

这里的每个 nnn 都是一个范围在 000-255 的三位数字。


--------------------------------------------------------------------------------

如何寻求 IBM 的服务
IBM 支持中心在问题的诊断与解决方面将向您提供电话帮助。您可以在任何时间致电 IBM 支持中心;在八个工作时内您将会收到回电(周一至周五的上午 8:00 至下午 5:00,本地客户时间)。电话号码是 1-800-237-5511。

在美国或波多黎哥以外,请联系您当地的 IBM 代理或 IBM 授权的供应商。


--------------------------------------------------------------------------------

第 1 章 使用 IBM Firewall 命令行界面
如果已购买了 IBM eNetwork Firewall AIX 版的非加密版本,则本章中的隧道命令将不适用。

本章将讨论 IBM Firewall 命令行中可以使用的命令。

以下信息适用于这些命令:


本书列举的命令使用下列语法规则:

下划线表示这是用户输入的数据。

[] 指可选参数。

{} 指用户对参数的一种选择。

| 分开选项。

所有参数都使用 keyword=value 的格式。

如果一个参数拥有多个值,则应当将其置于双引号内并用空格分隔,例如:
secaddr="11.22.33.1 11.22.33.2"


除了在双引号之内,请不要在任何参数中包含空格。

如果您遗漏了一个或多个必要参数,命令行实用程序将列出这些遗漏的参数。

如果输入了一个无效的参数值,命令行实用程序将报告该项错误。

有些防火墙精灵程序在其配置文件作了更改时,将动态地更新其运行状况。其中一些需要更新的子命令。 update 子命令就是为那些要执行指令的精灵程序所提供的。

只有防火墙管理员才可以在命令行执行程序。

由于其复杂性及文件的相互依存性,请不要直接编辑任何配置文件。

--------------------------------------------------------------------------------

适配器
要列出配置服务器,使用下列命令。

fwadapter cmd=list
[addr=AdapterAddress]


addr=AdapterAddress
将列出所有连接至机器的适配器并指出每一个适配器是安全的还是非安全的。如果指定了可选的 addr 参数,那么将仅列出所指定的适配器。
要更改配置服务器,使用下列命令。

fwadapter cmd=change
addr=AdapterAddress
state={secure|nonsecure}

参数定义为:


addr=AdapterAddress
指要更改的适配器地址。

state={secure|nonsecure}
把适配器状态设置为 secure/nonsecure,使其与指定的 IP 地址相符。

--------------------------------------------------------------------------------

配置服务器
命令 fwcfgsrv 用于列出或更改配置服务器的选项。 使用此命令的管理员必须拥有管理通信量控制功能的权限。

要列出配置服务器选项,使用下列命令。

fwcfgsrv cmd=list

以下为命令 fwcfgsrv 的输出结果:

localonly = yes/no
encryption = none/ssl
sslfile = filename if one is defined

要更改配置服务器选项,使用下列命令。


fwcfgsrv cmd=change
[localonly={yes|no}]
[encryption={none|ssl}]
[sslfile=]

参数定义为:


localonly
说明防火墙是否仅可以从本地的机器上进行管理。有效值为 yes 或 no。

encryption
说明配置服务器是否要求进站数据进行 ssl 加密。 有效值为 none 或 ssl。

sslfile
指出用于 ssl 加密的 ssl 密钥文件名。参阅 第 5 章 "使用 Make Key File Utility(MKKF)"。

--------------------------------------------------------------------------------

连接
命令 fwconns 用于创建、修改、删除和列出防火墙连接。 这些连接将网络对象同服务和(或)socks 模板相关联以定义端点之间所允许的通信类型。 要得到连接的详细信息,参阅 IBM eNetwork Firewall 用户指南。

要创建防火墙连接,使用下列命令。


fwconns cmd=create
name=_name_
[desc=_description_]
source=network_id_or_name
[destination=network_id_or_name]
{servicelist=service_id1,service_id2,...,service_idn |
sockslist=socks_id1,socks_id2,...,socks_idn}

参数定义为:


name
指将用于此连接的名称。

description
指对此连接的说明。

source
是连接的源网络目标名或 ID 号。

destination
是连接的目的网络目标名或 ID 号。

servicelist
是要包含在此连接中的 ID 号服务列表。

sockslist
是要包含在此连接中的 ID 号套接字规则列表。
要修改防火墙连接,使用下列命令。


fwconns cmd=change
{name=_name_ | id=_id_}
[desc=[_description_]]
[source=network_id_or_name]
[destination=[network_id_or_name]]
[servicelist=[service_id1,service_id2,...,service_idn]]
[sockslist=[socks_id1,socks_id2,...,socks_idn]]

参数定义为:


name
指将作更改的连接名称。

id
指将作更改的连接的ID 号。

description
指对此连接新的说明。如果提供的该说明参数没有值,则删除该参数。

服务列表
是要包含在此连接中的 ID 号服务列表。

socks 列表
是要包含在此连接中的 ID 号套接字规则列表。
要删除防火墙连接,使用下列命令。


fwconns cmd=delete
{name=_name_ | id=_id_}

参数定义为:


name
指将要删除的连接名称。

id
指将要删除的连接的ID 号。
要列出防火墙连接,使用下列命令。


fwconns cmd=list
[name=_name_ | id=_id_]
[format={short|long|wide|raw}]

参数定义为:


name
希望列出的连接名。

id
指希望列出的连接的 ID 号。如果未提供 name 或 id,将列出所有的连接。

format
描述了该命令输出的格式。
要移动防火墙连接,使用下列命令。


fwconns cmd=move
connection=connection_id_or_name
after=[connection_id_or_name]

参数定义为:


connection
指需要移动的连接的名称或 ID 号。

after
是移动连接应该遵循的名称或 ID 号。
要将防火墙服务添加到连接处,使用下列命令。


fwconns cmd=addservice
servicelist=service_id1,service_id2,...,service_idn
connection=connection_id_or_name

参数定义为:


servicelist
是要添加到连接中的 ID 号服务列表。

connection
指需要更改的连接名称或 ID 号。
要将防火墙服务从连接处删除,使用下列命令。


fwconns cmd=removeservice
servicelist=service_id1,service_id2,...,service_idn
connection=connection_id_or_name

参数定义为:


servicelist
是要从连接中删除的 ID 号服务列表。

connection
指需要更改的连接名称或 ID 号。
要在连接内移动防火墙服务,使用下列命令。


fwconns cmd=moveservice
service=service_id_or_name
after=[service_id_or_name]
connection=connection_id_or_name

参数定义为:


service
指需要在连接内移动的特定服务的名称或 ID 号。

after
是移动服务应该遵循的名称或 ID 号。

connection
指需要更改的连接名称或 ID 号。
要在连接内添加套接字规则,使用下列命令。


fwconns cmd=addsocks
sockslist=socks_id1,socks_id2,...,socks_idn
connection=connection_id_or_name

参数定义为:


sockslist
是要添加到此连接中的 ID 号的套接字规则列表。

connection
指需要更改的连接名称或 ID 号。
要在连接内删除套接字规则,使用下列命令。


fwconns cmd=removesocks
sockslist=socks_id1,socks_id2,...,socks_idn
connection=connection_id_or_name

参数定义为:


sockslist
是要从连接中删除的 ID 号套接字规则列表。

connection
指需要更改的连接名称或 ID 号。
要在连接内移动套接字规则,使用下列命令。


fwconns cmd=movesocks
socks=socks_id_or_name
after=[socks_id_or_name]
connection=connection_id_or_name

参数定义为:


socks
指需要在连接内移动的套接字规则名称或 ID 号。

after
是移动套接字规则应该遵循的套接字规则的名称或 ID 号。

connection
指需要更改的连接名称或 ID 号。

--------------------------------------------------------------------------------

域名服务器
域名服务(DNS)向安全网络内的主机提供完整的域名服务,而对安全网络外的主机提供极少的信息。需要用三个域名来完成它:


一个位于防火墙上

一个位于安全网络内

一个位于安全网络外。
详见IBM eNetwork Firewall 用户指南以获取更多的信息。

注意:
x.x.x.x 代表一个用点十进制格式书写的 IP 地址。

参数 secaddr 和 remaddr 的值可以是一个单独的 IP 地址或一组 IP 地址。如果是指一组 IP 地址,它们应该用空格分隔并包含在双引号之内。

检测到或标记重复地址都是错误的。

首次配置 DNS 时,fwdns cmd=change 将创建一个新文件。防火墙将一直精确地保留一个 DNS 配置记录。该值可能为空。子命令 change 可用于更改 DNS 记录中任何或所有的值。



下列命令表列出了当前的 DNS 配置。


fwdns cmd=list

若要更改 DNS 配置项并创建新的文件,则:

fwdns cmd=change
secdomain=SecureDomainName
secaddr=x.x.x.x | "x.x.x.x x.x.x.x x.x.x.x"
remaddr=x.x.x.x | "x.x.x.x x.x.x.x x.x.x.x"

参数定义为:


secdomain=SecureDomainName
指内部安全网络的域名

secaddr=SecureDNSaddr[,...]
指安全域名服务器的 IP 地址

remaddr=NonSecureDNSaddr[,...]
指安全网络外的域名服务器(由 Internet 连接服务供应商提供)的 IP 地址。

--------------------------------------------------------------------------------

企业防火墙管理器
企业防火墙管理器 (EFM) 允许另一防火墙的防火墙配置文件的选择管理。

欲阅读有关指定防火墙的 EFM 安全性合约条款以及可以在 EFM 上进行管理的功能列表,请使用下列命令。


fwmanager cmd=list
type=secagree
firewallname=FirewallName

参数定义为:


cmd=list
指将列出安全性合约内的每一个功能并指明 EFM 或它所管理的防火墙是否可以配置该功能。

type=secagree
指安全性合约。

firewallname=Firewallname
指防火墙名称。
欲返回自上次下载配置文件至防火墙以来已作了更改的功能列表,请使用 fwtransfer 命令。管理员还可以使用此命令以确认启动 fwtransfer cmd=transfer type=changed 命令之前的改动。

fwtransfer cmd=list
type=changed
firewallname=FirewallName

参数定义为:


cmd=list
指将返回自上次下载配置文件至 Firewall 以来已作了更改的功能列表。

type=changed
指将列出配置文件已更改过的功能。

firewallname=Firewallname
指防火墙名称。
欲下载所需功能的配置文件至指定防火墙,请使用下列命令。


fwtransfer cmd=transfer
type=changed
firewallname=FirewallName
service=[all |"DNS sendmail networkobj traffic NAT VPN
pagersup interface logmonitor proxyadmin logfacility secagree SNMP"]

参数定义为:


type=changed
指如果文件自上次下载以来已作了修改,则为必要的服务所修改的配置文件。

firewallname=Firewallname
指防火墙名称。

service=
用于指定服务。缺省值为 all。
secagree 服务类型还包括会话限制的更改数。

要传送配置文件(不管它们是否更改过),使用下列命令。

fwtransfer cmd=transfer
type=select
firewallname=FirewallName
service=[all |"DNS sendmail networkobj traffic NAT
VPN pagersup interface logmonitor proxyadmin
logfacility secagree SNMP"]

参数定义为:


type=select
指强制下载配置文件以获取指定的服务。

firewallname=Firewallname
指防火墙名称。

service=
用于指定服务。缺省值为 all。 secagree 服务类型还包括会话限制的更改数。
欲激活以前下载至防火墙的配置文件,请使用下列命令。

fwact firewallname=FirewallName
service=[all |"DNS sendmail networkobj traffic
NAT VPN pagersuup interface logmonitor
proxyadmin logfacility secagree SNMP"]

参数定义为:


firewallname=Firewallname
指防火墙名称。

service=
用于指定服务。缺省值为 all。 secagree 服务类型还包括会话限制的更改数。

--------------------------------------------------------------------------------

文件系统完整性检查器
下列命令调用了文件系统完整性检查器。

fwfschk [cmd={-? |
-&|
-u| -f}]

参数定义为:


fwfschk -?
用法

fwfschk -&
日志输出

fwfschk -u
更新数据库

fwfschk -f
强制更新至数据库
欲知详情,请参阅"使用 fwice 测试防火墙端口"。此实用程序运行自一个 crontab。详见 附录 G. "Crontab 命令"。


--------------------------------------------------------------------------------

过滤器规则检查器
用下列命令来测试防火墙过滤器规则。

fwice
[hosts=HostsFileName]
[services=ServicesFileName]
[results=ResultsFileName]


--------------------------------------------------------------------------------

过滤器
防火墙命令行不提供用于修改过滤器配置的界面。 参阅 IBM eNetwork Firewall 用户指南以获取有关建立配置的详细信息。 防火墙提供命令行界面用于控制由配置客户程序建立的配置。

使用 fwfilter 命令激活和释放过滤器规则。


fwfilter cmd=update | verify | list | shutdown | startlog |
stoplog

参数定义为:


fwfilter cmd=update
重新创建配置并激活规则集。

fwfilter cmd=verify
执行一个配置的“构造测试”,但并不激活任何更改。

fwfilter cmd=list
列举出最近建立的配置

fwfilter cmd=shutdown
释放过滤器机制

fwfilter cmd=startlog
将选定的通信量记录到 firewall log 设施内

fwfilter cmd=stoplog
停止防火墙过滤器记载

--------------------------------------------------------------------------------

过滤器规则
使用 fwfrule 命令用于创建、修改、删除和列出用来创建服务的规则模板。参阅 IBM eNetwork Firewall 用户指南以获取有关该命令参数的详细信息。

要添加规则模板,使用下列命令。


fwfrule cmd=add
name=name
[desc=description]
type={permit|deny}
protocol={all|tcp/ack|udp|icmp|ospf|ipip|esp|ah}
[srcopcode={any|eq|neq|lt|gt|le|ge}]
[srcport=port_num]
[destopcode={any|eq|neq|lt|gt|le|ge}]
[destport=port_num]
interface={both|secure|nonsecure}
routing={both|local|route}
direction={both|inbound|outbound}
[log={yes|no}]
[tunnel=tunnel_id]
[fragment={yes|no|only|headers}]

参数定义为:


name
指将用于此过滤器规则的名称。

desc
是该过滤器规则的说明。

type
表示规则是否允许或拒绝通信量。

protocol
是该规则的协议类型。

srcopcode
表示在源端口号上执行的逻辑运算。

srcport
表示该规则的源端口号 (0-65535)。

destopcode
表示在目的端口号上执行的逻辑运算。

destport
表示该规则的目的端口号 (0-65535)。

interface
表示该规则适用的接口。

routing
表示该规则通信量的目的。

direction
表示该规则通信量的方向。

log
表示运行记录是否在该规则匹配时写入。

tunnel
表示该规则的隧道标识符 (1-999999)。

fragment
表示该规则分段控制的类型。
要修改规则模板,使用下列命令。


fwfrule cmd=change
name=name | id=ruleid
[desc=[description]]
[type={permit|deny}]
[protocol={all|tcp/ack|udp|icmp|ospf|ipip|esp|ah}]
[srcopcode=[{any|eq|neq|lt|gt|le|ge}]]
[srcport=[port_num]]
[destopcode=[{any|eq|neq|lt|gt|le|ge}]]
[destport=[port_num]]
[interface={both|secure|nonsecure}]
[routing={both|local|route}]
[direction={both|inbound|outbound}]
[log=[{yes|no}]]
[tunnel=[tunnel_id]]
[fragment=[{yes|no|only|headers}]]

参数定义为:


name
指将要更改的过滤器规则名称。

id
指将要更改的过滤器规则 ID 号。

desc
是该过滤器规则的说明。

type
表示规则是否允许或拒绝通信量。

protocol
是该规则的协议类型。

srcopcode
表示适用于该规则的源端口。

srcport
表示该规则的源端口号 (0-65535)。

destopcode
表示适用于该规则的目的端口。

destport
表示该规则的目的端口号 (0-65535)。

interface
表示该规则适用的接口。

routing
表示该规则通信量的目的。

direction
表示该规则通信量的方向。

log
表示运行记录是否在该规则匹配时写入。

tunnel
表示该规则的隧道标识符 (1-999999)。

fragment
表示该规则分段控制的类型。
要删除规则模板,使用下列命令。


fwfrule cmd=delete
name=name | id=ruleid
[force={yes|no}]

参数定义为:


name
指将要删除的过滤器规则名称。

id
指将要删除的过滤器规则 ID 号。

force
表示是否应该删除该规则(尽管有其它对象从属于它)。
要列出规则模板,使用下列命令。


fwfrule cmd=list
[name=name] | [id=ruleid]
[format={short|long|wide|raw}]

参数定义为:


name
指将要列出的过滤器规则名称。

id
指将要列出的过滤器规则 ID 号。

format
描述了该命令输出的格式。

--------------------------------------------------------------------------------

HTTP 代理
HTTP 代理通过 IBM Firewall 有效地处理浏览器请求,而不需要为 Web 浏览而使用 socks 服务器。用户可在 Internet 上访问有用的信息,而不泄露内部网络的安全性并且不用改变其客户环境来实现 HTTP 代理。

fwhttp 命令列出和更改当前的 HTTP 代理配置。

要列出当前 HTTP 代理配置,使用下列命令。


fwhttp cmd=list

要更改当前 HTTP 代理配置,使用下列命令。


fwhttp cmd=change
[port=]
[maxcontentlengthbuffer=]
[minactivethreads=]
[maxactivethreads=]
[idlethreadtimeout=]
[logging=]

参数定义为:


port
指 http 代理服务将要侦听的端口。

maxcontentlengthbuffer
指返回文档的最大缓冲区以允许返回附加的 content-length 标题。

minactivethreads
在初始化和运行时保持活动的最少工作线程数。

maxactivethreads
可在同一时刻运行的最多线程数。

idlethreadtimeout
保持空闲线程可用的时间长度。

logging
说明记载是否满足 HTTP 活动的要求。其值为 on 或 off。

--------------------------------------------------------------------------------

日志归档程序
下列命令调用了日志文件归档程序以维护为归档而配置的日志设施。


fwlogmgmt -1 or fwlogmgmt -a

将该命令放入预定 cron 作业中是很有用的。详见IBM eNetwork Firewall 用户指南以获取更多的信息。


--------------------------------------------------------------------------------

日志文件管理
日志文件管理定义和管理了日志和归档文件。命令 fwlog 添加、修改和删除日志设施。

要添加日志设施,使用下列命令。


fwlog cmd=add
facility=Facility
priority=Priority
logfile=LogFileName
[arcfile=ArchivePath
logtime=DaysToKeepInLog
arctime=DaysToKeepInArchive
workspace=workspace directory]

facility 的有效值是:


firewall (local4) - 一般的防火墙日志包括过滤器记载

alert (local1) - 日志监视器精灵程序的状态和用来居于报警显示器中的值违反警告

mail - 邮件日志

syslog - 假使其它日志填满了其文件系统时使用

* - 所有设施
priority 的有效值是:


debug

info

notice

warning

err

crit

alert

emerg
参数 logfile 说明了syslog 项应该发送的地方。 logfile 的有效值为:


一个全限定文件名(以字符 '/' 开始)指出了日志项应写入的文件

以符号 '@' 为前缀的主机名

防火墙上的用户名或防火墙上用户名的 comma-delimited 列表。
注意: 标识为报警日志或防火墙日志的文件应彼此不同,并且如果防火墙功能被用于处理这些文件,它们则应不同于任何其它的日志设施文件。
非常重要的是“仅有”防火墙日志信息出现在输入至报告实用程序的文件中。 没有其它的设施作为防火墙日志或报警日志直接写入同一个文件。



这些参数控制记录的归档。对于要产生的实际日志归档,必须周期运行 fwlogmgmt。详见IBM eNetwork Firewall 用户指南以获取更多的信息。

参数 arcfile、logtime、arctime 和 workspace 都是可选项并且只有当参数 logfile 指定了一个文件名时它们才有效。如果指定了其中任何一个参数,则所有这四个参数都必须指定。这些参数控制记录的归档。对于要产生的实际归档,须周期运行 fwlogmgmt 命令。参阅 "日志归档程序"。

参数 arcfile 必须包含一个全限定路径和文件名。

参数 logtime 说明了将系统日志移至归档文件之前它将在日志文件内保留的最小天数。

arctime 参数表示在清除系统日志前,它能在归档文件中保留的最小天数。

参数 workspace 指定了一个对 syslog 文件进行归档时,归档程序将用于临时工作文件的目录。

要更改日志设施,使用下列命令。


fwlog cmd=change
index=Index
[facility=Facility]
[priority=Priority]
[logfile=LogFileName]
[arcfile=ArchiveFileName]
[logtime=DaysToKeepInLog]
[arctime=DaysToKeepInArchive]
[workspace=WorkspaceDirectory]

如果一项更改,特别是在初始情况下,未能创建一个语法正确的配置文件(例如,创建的日志文件丢失字段),那么将发出一条警告并且防火墙将不记录数据。

如果想进行记载但不进行归档,则只需要使用参数 facility、 priority 和 logfile。如果希望日志在启动时不归档,则使参数 archive、logtime 和 arctime 置空。如果已预定了归档作业,删除它。

要列出当前日志文件配置数据,使用下列命令。


fwlog cmd=list

删除由 fwlog cmd=list 命令返回的索引号所指定的防火墙日志项,则使用下列命令。


fwlog cmd=delete
index=index of entry to delete


--------------------------------------------------------------------------------

日志监视器
使用日志监控程序命令告诉日志监控程序何时,且如果触发警报。当在指定的间隔内达到此命令(或相应的配置客户面板)中指定的值时,发生警报。当警报发生时:


在防火墙警报设施和防火墙日志设施中写入一条记录。

运行指定的命令

将通知发送到一个或一个以上的用户标识符

将信息发送到调页设备
以上三个操作由指定值的适当配置控制。

列出日志监控程序设置选项


fwlogmon cmd=list

指定用户标识符在发生任何警报时接收邮件通知

要指定用户标识符在发生任何警报时接收邮件通知 (通知发送到您添加的每个标识符上):

fwlogmon cmd=add|delete
type=id
username=
[comment=]

指定在任何警报发生时运行的命令


fwlogmon cmd=add|change
type=command
command=
[comment=]


fwlogmon cmd=delete
type=command

指定一个警报应该基于未成功登录尝试数而触发的值


fwlogmon cmd=add
type=single|multi|host
count=
time=
pager=
[comment=]


fwlogmon cmd=change
type=single|multi|host
[count=]
[time=]
[pager=]
[comment=]


fwlogmon cmd=delete
type=single|multi|host

指定一个警报应该基于特定防火墙信息 ID 发生数而触发的值


fwlogmon cmd=add
type=msg
tag=
count=
time=
pager=
[comment=]


fwlogmon cmd=change
type=msg
tag=
[count=]
[time=]
[pager=]
[comment=]


fwlogmon cmd=delete
type=msg
tag=

参数定义为:


type
标识了正在添加或修改的日志监控程序命令特性的类型。
可以是 id、command、single、multi、host 或 msg。


id
影响用户标识符发送通知。

command
指要执行的命令。

msg
影响特定日志信息的监控。

single
影响基于单个用户标识符的监控。为每个有失败尝试的标识符都保留了计数。如果任何标识符的计数达到在此命令中指定的值,则触发警报。

multi
影响基于多个用户标识符的监控。如果所有计数(对于所有具有失败尝试的用户标识符来说),达到了在此命令中指定的值,则触发报警。

host
影响了基于主机名的监控。为每个有失败尝试的主机名都保留了计数。如果任何主机名的计数达到在此命令中指定的值,则触发警报。

username
是防火墙管理员或其它通知任何报警的用户的邮件 ID。只要正确配置安全方服务器,则报警通知都将成功发送。

command
在任何报警发生时执行的命令名称。它必须是可执行文件的全路径名称。它可以是 .bat 文件,允许在该文件中执行多个命令,然而,如果 .bat 文件引用了其它文件,则必须是全路径名称的引用。

count
设置故障数或者特定日志信息发生(报警将使用的)的值。

time
以分钟为单位设置时间间隔。为了触发的事件,必须在第一次发生的时间间隔内达到计数值。比当前时间以前的间隔还要早的(故障)发生将从计数值中删除。

pager
指定在关联阈值触发报警时是否使用寻呼机。活动寻呼机用来发送页面。

tag
要监视的日志信息标记 (具有信息前缀 ICA)。日志监视信息(低于 1000 的 ICA 标记)不能监视。

--------------------------------------------------------------------------------

邮件
使用 fwmail 命令来映射公用和安全域。


fwmail cmd=list

fwmail cmd=add
secdomain=
mail=
remdomain=


fwmail cmd=change
secdomain=
[mail=]
[remdomain=]


fwmail cmd=delete
secdomain=

参数定义为:


secdomain
指防火墙安全方用户的已知名字,由此名字来描述邮件域。

mail
指邮件服务器地址。

remdomain
指防火墙非安全方用户的已知名字,由此名字来描述邮件域。

--------------------------------------------------------------------------------

网络地址转换
网络地址转换(NAT)允许其安全 IP 网络内的地址为任何其它 IP 网络再使用,以此为 IP 地址枯竭的问题提供了一个解决方案。

NAT 配置文件控制了安全 IP 地址空间内的IP 地址向一个非安全 IP 地址空间内的IP 地址的转换。 NAT 配置文件至多可以包含 512 个下列项:


保留已注册地址 - 保留已注册地址项定义了一个可用于出站连接的已注册 IP 地址集。

转换安全 IP 地址 - 转换安全 IP 地址项定义了一个需要 NAT 来执行 IP 地址转换的安全网络地址集。缺省时,网络地址转换器对所有的安全 IP 地址进行地址转换。

排除安全 IP 地址 - 排除安全 IP 地址项定义了一个无需 NAT 执行 IP 地址转换的安全网络地址集。缺省时,网络地址转换器对所有的安全 IP 地址进行地址转换,除非该地址在排除安全 IP 地址指定的范围之内。

映射安全 IP 地址 - 映射安全 IP 地址项定义了从一个安全 IP 地址至一个已注册 IP 地址的一对一的映射。这种一对一的 IP 地址映射允许外部应用程序客户(例如 FTP 或 Telnet 客户程序)与安全网络内的服务器建立 TCP 会话。

fwnat
cmd=list | update | verify |shutdown | startlog | stoplog

参数定义为:


fwnat cmd=list
列出当前的 NAT 配置

fwnat cmd=update
刷新 NAT 引擎

fwnat cmd=verify
对配置进行语法检查

fwnat cmd=shutdown
停止所有的地址转换

fwnat cmd=startlog
停止记载每个转换包

fwnat cmd=stoplog
停止记载每个转换包
欲添加一保留项至 NAT 配置,请使用 type=reserve:

fwnat cmd=add
type=reserve
addr=Addr
mask=Mask
[timeout=minutes]

参数定义为:


type=reserve
指添加一个 reserve 项

addr=Addr
指 IP 地址,它标识了添加至已注册地址池的已注册 IP 地址的范围

mask=Mask
指添加一个 IP 地址范围至已注册地址池

timeout=minutes
输入在 NAT 能够释放已注册 IP 地址之前,一个地址转换可保持空闲的分钟数。
欲修改在 NAT 配置中的保留项,请使用 type=reserve:

fwnat cmd=change
index=
[addr=Addr]
[mask=Mask]
[timeout=minutes]

参数定义为:


type=reserve
指添加一个 reserve 项

addr=Addr
指 IP 地址,它标识了添加至已注册地址池的已注册 IP 地址的范围

mask=Mask
指添加一个 IP 地址范围至已注册地址池

timeout=minutes
指在 NAT 可以释放已注册 IP 地址之前,地址转换可保持空闲的分钟数
欲添加一个转换项或排除一个项到 NAT 配置,请使用 type=translate:

fwnat cmd=add
type={translate|exclude}
addr=Addr
mask=Mask

参数定义为:


type=translate
指添加一个 translate 项

type=exclude
指添加一个 exclude 项

addr=Addr
指 IP address,它标识了需要转换的安全 IP 地址的范围。

mask=Mask
指出了一个 IP 地址范围
欲修改一个转换项或排除一个项到 NAT 配置,请使用 type=translate:

fwnat cmd=change
index=
[addr=Addr]
[mask=Mask]

参数定义为:


addr=Addr
指 IP address,它标识了需要转换的安全 IP 地址的范围。

mask=Mask
指出了一个 IP 地址范围
欲添加一个映射项至 NAT 配置,请使用 type=map:

fwnat cmd=add
type=map
secaddr=SecureAddr]
remaddr=RegisteredAddr]

参数定义为:


type=map
指添加一个 map 项

secaddr
指应该转换成指定的已注册地址的 IP 地址

remaddr
指应该由指定的安全地址转换成的已注册地址
欲修改一个映射项至 NAT 配置,请使用 type=map:

fwnat cmd=change
index=
[secaddr=SecureAddr]
[remaddr=RegisteredAddr]

参数定义为:


type=map
指添加一个 map 项

secaddr
指应该转换成指定的已注册地址的 IP 地址

remaddr
指应该由指定的安全地址转换成的已注册地址

--------------------------------------------------------------------------------

网络对象
fwnwobj 是一条用于创建、修改、删除和列出网络对象的命令,这些网络对象指连接中的端点或网络对象组中的成员。 详见IBM eNetwork Firewall 用户指南以获取网络对象的完整说明。

要创建网络对象,使用下列命令。


fwnwobj cmd=add
name=name
[desc=description]
type={Host|Network|Firewall|Router|Interface|VPN|User}
[addr=x.x.x.x]
[mask=x.x.x.x]
[userid=userid]
[timeout=minutes]

参数定义为:


name
指将用于此网络对象的名称。

desc
指对此网络对象的说明。

type
是想要创建的对象类型。

addr
是网络对象的 IP 地址。如果 type=user ,则该参数无效。

mask
是表示用于比较中的 IP 地址数量的掩码。如果 type=user ,则该参数无效。

userid
是有效的用户名。本参数仅当 type=user 时有效。

timeout
表示过滤器对象的寿命(以分钟形式)。本参数仅当 type=user 时有效。
要修改网络对象,使用下列命令。


fwnwobj cmd=change
{name=name | id=id}
[desc=[description]]
[type={Host|Network|Firewall|Router|Interface|VPN|User}]
[addr=x.x.x.x]
[mask=x.x.x.x]
[userid=userid]
[timeout=minutes]

参数定义为:


name
指将要更改的网络对象名称。

id
指将要更改的网络对象的 ID 号。

desc
指对此网络对象的说明。

type
是该对象类型。

addr
是网络对象的 IP 地址。如果 type=user ,则该参数无效。

mask
是表示用于比较中的 IP 地址数量的掩码。如果 type=user ,则该参数无效。

userid
是有效的用户名。本参数仅当 type=user 时有效。

timeout
表示过滤器对象的寿命(以分钟形式)。本参数仅当 type=user 时有效。
要删除网络对象,使用下列命令。


fwnwobj cmd=delete
{name=name | id=id}
[force={yes|no}]

参数定义为:


name
指将要删除的网络对象的名称。

id
指将要删除的网络对象的 ID 号。

force
表示是否应该删除该对象(尽管有其它对象从属于它)。
要列出网络对象,使用下列命令。


fwnwobj cmd=list
[name=name] | [id=id]
[format={short|long|wide|raw}]

参数定义为:


name
指将要列出的网络对象的名称。

id
指将要列出的网络对象的 ID 号。

format
描述了该命令输出的格式。
注意: 如果未提供名称或 ID ,将列出所有的网络对象。



--------------------------------------------------------------------------------

网络对象组
fwnwgrp 用于创建、修改、删除和列出网络对象组。 详见IBM eNetwork Firewall 用户指南以获取网络对象组的完整说明。

要创建网络对象组,使用下列命令。


fwnwgrp cmd=create
name=name
[desc=description]
[idlist=id1,id2,...,idn]
[namelist="name 1|name2|...|name n"]

参数定义为:


name
指将用于此网络对象组的名称。

desc
指对此网络对象组的说明。

idlist
是要在网络对象组中出现的带 ID 号的网络对象的列表。

namelist
是要在网络对象组中出现的带名称的网络对象的列表。
要修改网络对象组,使用下列命令。


fwnwgrp cmd=change
{name=name | id=id}
[desc=[description]]
[idlist=[id1,id2,...,idn]]
[namelist=["name 1|name2|...|name n"]]

参数定义为:


name
指将要更改的网络对象组的名称。

id
指将要更改的网络对象组的 ID 号。

desc
指对此网络对象组的说明。

idlist
是要在网络对象组中出现的带 ID 号的网络对象的列表。

namelist
是要在网络对象组中出现的带名称的网络对象的列表。
要删除网络对象组,使用下列命令。


fwnwgrp cmd=delete
{name=name | id=id}
[force={yes|no}]

参数定义为:


name
指将要删除的网络对象组的名称。

id
指将要删除的网络对象组的 ID 号。

force
表示是否应该删除该组(尽管有其它对象从属于它)。
要列出网络对象组,使用下列命令。


fwnwgrp cmd=list
{name=name | id=id}
[format={short|long|wide|raw|all}]

参数定义为:


name
指将要列出的网络对象组的名称。

id
指将要列出的网络对象组的 ID 号。

format
描述了该命令输出的格式。
要将网络对象添加到网络对象组,使用下列命令。


fwnwgrp cmd=add
{name=name | id=id}
{idlist=id1,id2,...,idn| and/or
namelist="name 1|name2|...|name n"}

参数定义为:


name
指将要更改的网络对象组的名称。

id
指将要更改的网络对象组的 ID 号。

idlist
是要添加到网络对象组中的带 ID 号的网络对象的列表。

namelist
是要添加到网络对象组中的带名称的网络对象的列表。
要将网络对象从网络对象组中删除,使用下列命令。


fwnwgrp cmd=remove
{name=name | id=id}
{idlist=id1,id2,...,idn| and/or
namelist="name 1|name2|...|name n"}

参数定义为:


name
指将要更改的网络对象组的名称。

id
指将要更改的网络对象组的 ID 号。

idlist
是要从网络对象组中删除的带 ID 号的网络对象的列表。

namelist
是要从网络对象组中删除的带名称的网络对象的列表。

--------------------------------------------------------------------------------

调页
当防火墙上出现入侵报警时,可激活寻呼机布告支持使防火墙可通过发送一信息至其呼叫器来寻呼系统管理员。要使它正常工作,必须使用 fwpgr、fwcarrier 和 fwmodem 命令来配置寻呼机、通信公司服务和调制解调器。


寻呼机配置
fwpgr 命令设置了活动寻呼机的参数,它是防火墙将发出的信号。

要列出寻呼机,使用下列命令。


fwpgr cmd=list

要添加寻呼机,使用下列命令。


fwpgr cmd=add
carrier=
modem=
type=
priority=
pagerid=
message=

要修改寻呼机,使用下列命令。


fwpgr cmd=change
[carrier=]
[modem=]
[type=]
[priority]
[pagerid=]
[message=]

参数定义为:


carrier
是通信公司服务的名称,如在通信公司数据库中定义(通过 fwcarrier 命令)的那样。

modem
是与 fwmodem 命令的文件名参数相同的值。

type
指定 numeric 或 alpha。

priority
输入发送页面的优先级。最高优先级是 5,最低是 -1。

pagerid
是通信公司分配的,唯一标识的调页设备的号码或名称。

message
在调页设备上发送和显示的信息。或者是数字或者是文本,取决于通信公司提供的服务。如果超过通信公司长度设置的较小值或 200 个字符,则将截断它。

通信公司(Carrier)
使用 fwcarrier 命令设置任何正在使用的调页服务的参数。

要列出通信公司,使用下列命令。


fwcarrier cmd=list
carrier=

要添加通信公司,使用下列命令。


fwcarrier cmd=add
carrier=
dial=
nid=
dtmf=
digits=
blocks=
trans=
length=
baud=
parity=
databits=
stopbits=

要修改通信公司,使用下列命令。


fwcarrier cmd=change
carrier=
[dial=]
[nid=]
[dtmf]
[digits=]
[blocks=]
[trans=]
[length=]
[baud]
[parity=]
[databits=]
[stopbits=]

要删除通信公司,使用下列命令。


fwcarrier cmd=delete
carrier=

参数定义为:


carrier
指通信公司的名称。

dial
必须为已联系的 TAP 服务指定通信公司的调制解调器电话号码。

nid
确定寻呼机通信公司是否允许数据连接过程中使用数字 ID。 指定 Yes 用于数字寻呼机或 No 用于字母数字寻呼机。

digits
指定字母数字传呼机的最大数字。

blocks
指定每个事务的最大块数。

trans
指定每次呼叫的最大事务。

length
您的通信公司服务器允许的最大信息长度。

baud
指定通信公司服务支持的最可靠的波特率。

parity
指定通信公司服务支持的奇偶校验类型。这通常是 TAP 协议的偶校验。

databits
指定通信公司服务支持的数据位数。对于 TAP 协议通常为 7。

stopbits
指定通信公司服务支持的停止位数。对于 TAP 协议通常为 1。

调制解调器配置
要建立传呼布告支持。需要配置调制解调器。

要发送传呼请求至您的传呼通信公司,请使用调制解调器命令配置调制解调器。

要列出调制解调器,使用下列命令。


fwmodem cmd=list
filename=

要添加调制解调器,使用下列命令。


fwmodem cmd=add
modem=
filename=
cmdstring=
cmdterm=
dialcmd=
dialpause=
dialpound=
dialstar=
return=
cmdresp=
connresp=
localecho=
baud=
databits=
stopbits=
parity=
default=
initstring=
outsideline=
hangup=

要修改调制解调器参数,使用下列命令。


fwmodem cmd=change
modem=
filename=
[cmdstring=]
[cmdterm=]
[dialcmd=]
[dialpause=]
[dialpound=]
[dialstar=]
[return=]
[cmdresp]
[connresp=]
[localecho=]
[baud=]
[databits=]
[stopbits=]
[parity=]
[default=]
[initstring=]
[outsideline=]
[hangup=]

要删除调制解调器,使用下列命令。


fwmodem cmd=delete
filename=

参数定义为:


modem
调制解调器文件的名称。

filename
指定调制解调器文件名。它必须以 .modem 扩展名结束。

cmdstring
指定命令方式字符串。命令方式字符串包含在连接方式时应被发送的字符集。这会迫使调制解调器进入命令方式而不会挂断。

cmdterm
指定命令终止符。命令终止符表明字符将会添加到所有命令序列的尾部,使调制解调器接受命令。

dialcmd
指定拨号命令。这是以命令方式发送到调制解调器的命令。 ATDT 对大多数调制解调器有效。

dialpause
指定拨号字符串中所使用字符,以迫使调制解调器在用拨号字符串继续拨号之前等待一个很短的时间(大约 1 秒)。 一般是一个逗号(,)。

dialpound
指定在拨号字符串中所使用的字符,以迫使调制解调器根据相应的 # 号来进行按键式音频拨号。这通常是井号(#)。

dialstar
指定在拨号字符串中所使用的字符,以迫使调制解调器根据相应的 * 号来进行按键式音频拨号。通常只是星号(*)本身。

return
指定附加在拨号字符串后的字符,以迫使调制解调器在完成拨号字符串后返回命令方式。 分号对大多数调制解调器有效。

cmdresp
指定允许您的调制解调器接受命令的字符串。通常,OK 就可以了。

connresp
指定检测到一个通信公司和进行连接时,您的调制解调器将输出的字符串。大多数调制解调器使用 CONNECT。

localecho
如果要调制解调器在连接模式时显示本地字符,则指定 Yes。

baud
指定调制解调器的波特率。

databits
指定调制解调器的数据位。

stopbits
指定调制解调器的停止位。

parity
指定调制解调器的奇偶性。

default
指定调制解调器的缺省设备。该设备文件必须在 /dev 目录下,并且与配置的串行口匹配。

initstring
指调制解调器的初始化字符串。 在字符串中的参数必须与 AT 调制解调器命令相配,但 AT 不应该作为字符串的一部分而被包括。指定的参数应该与您通信公司的调制解调器的通信需求相协调。

outsideline
指拨通出站线路的号码。

hangup
指定命令,迫使您的调制解调器在拨号后挂断的命令。大多数调制解调器使用的缺省值是 ATH0。

测试寻呼机配置
要确保已正确配置了活动寻呼机,可以在命令提示处输入 fwsendpage。

参数定义对于 fwpgr 命令的来说是恒等的。


多个的寻呼机
如果要经常更改活动寻呼机,则:


确认已定义了所有必需的通信公司和调制解调器。

使用 fwpgr 或配置客户来定义和保存寻呼机配置。

复制 etc/config/fwcust.pager 文件,给它取一个可以认出的名字

定义另一个寻呼机配置并复制它,重复这些操作直到复制所有需要的 fwcust.pager 文件

复制想要在 etc/config/fwcust.pager 后激活的配置文件。
如果尝试处理移位更改,则建立一个 AIX cron 作业,自动重复在每个移位开始处的最后一个插塞(bullet)。


--------------------------------------------------------------------------------

安全性策略
命令 fwsecpolicy 用于更改和列出定义过的安全性策略选项。

要列出定义的安全策略选项,使用下列命令。


fwsecpolicy cmd=list

要修改定义的安全策略选项,使用下列命令。


fwsecpolicy cmd=change
[servicelist=[id1,id2,...,idn]]

请注意,如果参数 cmd=change,本命令将提示用户每一种安全性策略选项。

防火墙的 DNS 安全性策略是:


id=20
允许 DNS 查询。

id=21
允许 DNS 区传送。
防火墙的记载安全性策略是:


id=23
拒绝将信息广播至非安全接口。
防火墙的 Socks 安全性策略是:


id=34
拒绝 Socks 到非安全接口。
防火墙的临时安全性策略是:


id=26
关闭服务接口。

id=25
测试 IP 路由选择(仅作调试)。

--------------------------------------------------------------------------------

服务
命令 fwservice 用于创建、修改、删除和列出服务,这些服务是实现某一协议的过滤器规则的集合。 详见IBM eNetwork Firewall 用户指南以获取创建服务的详细信息。

要创建服务,使用下列命令。


fwservice cmd=create
name=name
[desc=description]
[rulelist=id1/{f|b},id2/{f|b},...,idn/{f|b}]
[log={yes|no}]
[fragment={yes|no|only|headers}]
[tunnel=tunnel_id]
[time=hhmm-hhmm] (hh = 00-23, mm = 00-59)
[month=mmm[-mmm]] (mmm = Jan,Feb,...,Dec)
[day=nn[-nn]] (nn = 1,2,...,29 or 30 or 31)
[weekday=ddd[-ddd]] (ddd = Sun,Mon,...,Sat)
[timefilter={activate|deactivate}]

参数定义为:


name
指将用于此服务的名称。

desc
是该服务的说明。

rulelist
是带 ID 号和服务流向的规则列表。f 表示由左到右,而 b 表示由右到左。

log
表示是否将发生服务记录。

fragment
表示该服务分段控制的类型。

tunnel
表示该服务的隧道 ID 号。

time
表示该服务活动或非活动的时间帧(以小时计算)。

month
表示该服务活动或非活动的时间帧(以月计算)。

day
表示该服务活动或非活动的时间帧(以月中的天数计算)。

weekday
表示该服务活动或非活动的时间帧(以周计算)。

timefilter
表示在指定时间帧内,该服务是否应该活动或非活动。
要修改服务,使用下列命令。


fwservice cmd=change
{name=name | id=id}
[desc=[description]]
[rulelist=[id1/{f|b},id2/{f|b},...,idn/{f|b}]]
[log=[{yes|no}]]
[fragment=[{yes|no|only|headers}]]
[tunnel=[tunnel_id]]
[time=hhmm-hhmm] (hh = 00-23, mm = 00-59)
[month=mmm[-mmm]] (mmm = Jan,Feb,...,Dec)
[day=nn[-nn]] (nn = 1,2,...,29 or 30 or 31)
[weekday=ddd[-ddd]] (ddd = Sun,Mon,...,Sat)
[timefilter=[{activate|deactivate}]]

参数定义为:


name
指将要更改的服务名称。

id
指将要更改的服务的 ID 号。

desc
是该服务的说明。

rulelist
是带 ID 号和服务流向的规则列表。f 表示由左到右,而 b 表示由右到左。

log
表示是否将发生服务记录。

fragment
表示该服务分段控制的类型。

tunnel
表示该服务的隧道 ID 号。

time
表示该服务活动或非活动的时间帧(以小时计算)。

month
表示该服务活动或非活动的时间帧(以月计算)。

day
表示该服务活动或非活动的时间帧(以月中的天数计算)。

weekday
表示该服务活动或非活动的时间帧(以周计算)。

timefilter
表示在指定时间帧内,该服务是否应该活动或非活动。
要删除服务,使用下列命令。


fwservice cmd=delete
{name=name | id=id}
[force={yes|no}]

参数定义为:


name
指将要删除的服务名称。

id
指将要删除的服务的 ID 号。

force
表示是否应该删除该服务(尽管有其它对象从属于它)。
要列出服务,使用下列命令。


fwservice cmd=list
[name=name | id=id]
[format={short|long|wide|raw}]

参数定义为:


name
指将要列出的服务名称。

id
指将要列出的服务的 ID 号。

format
描述了该命令输出的格式。
要将规则列表添加到服务,使用下列命令。


fwservice cmd=add
rulelist=id1/{f|b},id2/{f|b},...,idn/{f|b}
service=service_id_or_name

参数定义为:


rulelist
是要添加到服务的带 ID 号和服务流向的规则列表。 f 表示由左到右,而 b 表示由右到左。

service
指将要更改的服务的名称或 ID 号。
要删除服务的规则列表,使用下列命令。


fwservice cmd=remove
rulelist=id1/{f|b},id2/{f|b},...,idn/{f|b}
service=service_id_or_name

参数定义为:


rulelist
是要从服务删除的带 ID 号和服务流向的规则列表。 f 表示由左到右,而 b 表示由右到左。

service
指将要更改的服务的名称或 ID 号。
要从服务中移动规则,使用下列命令。


fwservice cmd=move
rule=id/{f|b}
after=[id/{f|b}]
service=service_id_or_name

参数定义为:


rule
是要在服务中移动的规则的 ID 号和流向。

after
是要移动规则跟随的规则的 ID 号和流向。

service
指将要更改的服务的名称或 ID 号。

--------------------------------------------------------------------------------

Socks 规则
命令 fwsrule 用于创建、修改、删除和列出 Socks 规则。 详见IBM eNetwork Firewall 用户指南以获取 Socks 规则概念的完整说明。

要添加套接字规则,使用下列命令。


fwsrule cmd=add
name=name
[desc=description]
type={permit|deny}
[identd={None|?=I|?=i|?=n}]
[userid=userid1,userid2,...,useridn]
[operator={eq|neq|lt|gt|le|ge}]
[port=port_num] (port_num=0-65535)
[rulecommand="rule command"]

参数定义为:


name
指将用于此套接字规则的名称。

desc
是该套接字规则的说明。

type
表示规则是否允许或拒绝通信量。

identd
表示如何通过 identd 使用用户标识(用户 ID)的结果。

userid
是请求主机上的用户列表。

operator
表示在端口号上执行的逻辑运算。

port
表示端口号码 (0-65535)。

rulecommand
满足规则中的条件时将执行的命令串。
要修改套接字规则,使用下列命令。


fwsrule cmd=change
{name=name | id=id}
[desc=[description]]
[type={permit|deny}]
[identd=[{None|?=I|?=i|?=n}]]
[userid=[userid1,userid2,...,useridn]]
[operator=[{eq|neq|lt|gt|le|ge}]]
[port=[port_num]] (port_num=0-65535)
[rulecommand=["rule command"]]

参数定义为:


name
指将要更改的套接字规则名称。

id
指将要更改的套接字规则 ID 号。

desc
是该套接字规则的说明。

type
表示规则是否允许或拒绝通信量。

identd
表示如何通过 identd 使用用户标识(用户 ID)的结果。

userid
是请求主机上的用户列表。

operator
表示在端口号上执行的逻辑运算。

port
表示端口号码 (0-65535)。

rulecommand
满足规则中的条件时将执行的命令串。
要删除套接字规则,使用下列命令。


fwsrule cmd=delete
{name=name | id=id}
[force={yes|no}]

参数定义为:


name
指将要删除的套接字规则名称。

id
指将要删除的套接字规则 ID 号。

force
表示是否应该删除该规则(尽管有其它对象从属于它)。
要列出套接字规则,使用下列命令。


fwsrule cmd=list
[{name=name | id=id}]
[format={short|long|wide|raw}]

参数定义为:


name
指将要列出的套接字规则名称。

id
指将要列出的套接字规则 ID 号。

format
描述了该命令输出的格式。

--------------------------------------------------------------------------------

隧道
命令 fwtunnl 用于列出、添加、更改、删除、导入、导出、激活、释放和关闭隧道。 支持三种类型的隧道定义:IBM 隧道、手工隧道和动态隧道。欲知隧道的完整说明,请参阅 IBM eNetwork Firewall(防火墙)用户指南。

使用下列命令以显示所有来自隧道上下文文件的隧道。


fwtunnl cmd=list
[directory=AbsolutePath]
[tunnel={tunnel_id1,tunnel_id2,...,tunnel_idn}]

该 list 命令生成的一个样本输出如下:

123 Inactive IBM 9.37.53.88 9.37.54.52 CDMF ae
534 Active IBM 10.100.100.1 9.37.54.52 CDMF ae
679 Inactive manual 10.100.100.1 9.37.61.107 CDMF ae
368 dynamic 9.37.53.88 destination CDMF ae 480

要添加隧道定义到隧道上下文文件,对于隧道 type=IBM,使用下列命令


fwtunnl cmd=add
type=IBM
addr=LocalIPAddress
remaddr=TargetIPAddress
policy={be|ae|encr|auth|none}
encrypthow={DES_CBC_4|DES_CBC_8|CDMF}
tunnel=TunnelID
timeout={1-1440}
refresh={1-720}
algorithm={KEYED_MD5|HMAC_MD5}
initiator={y|n}

要修改指定隧道,对于隧道 type=IBM,使用下列命令


fwtunnl cmd=change
tunnel=TunnelID
[addr=LocalIPAddress]
[remaddr=TargetIPAddress]
[policy={be|ae|encr|auth|none}]
[encrypthow={DES_CBC_4|DES_CBC_8|CDMF}]
[timeout={1-1440}]
[refresh={1-720}]
[algorithm={KEYED_MD5|HMAC_MD5}]
[initiator={y|n}]

要添加隧道定义到隧道上下文文件,对于 type=manual 和 type=dynamic,使用下列命令


fwtunnl cmd=add
{type=manual remaddr= | type=dynamic username=}
addr=LocalIPAddress
policy={be|ae|encr|auth|none}
encrypthow={DES_CBC_4|DES_CBC_8|CDMF}
tunnel=TunnelID
timeout={1-99999}
spi={1-999999}
algorithm={KEYED_MD5|HMAC_MD5}

要修改指定隧道,对于隧道 type=IBM,使用下列命令


fwtunnl cmd=change
tunnel=TunnelID
[remaddr=]
[username=]
[addr=]
[policy={be|ae|encr|auth|none}]
[encrypthow={DES_CBC_4|DES_CBC_8|CDMF}]
[timeout={1-99999}]
[spi={1-999999}]
[algorithm={KEYED_MD5|HMAC_MD5}]

要删除指定隧道,使用下列命令。


fwtunnl cmd=delete
tunnel={tunnel_id1,tunnel_id2,...,tunnel_idn}

使用下列命令将隧道上下文文件导入给定的目录。上下文文件包括 fwexpmctx.manual、 fwexppolicy 和 fwexppolicy.3.1。


fwtunnl cmd=import
directory=AbsolutePath
tunnel={tunnel_id1,tunnel_id2,...,tunnel_idn}

使用下列命令将隧道上下文文件(仅指一个隧道)导出到给定的目录。上下文文件包括 fwexpmctx.manual、 fwexppolicy 和 fwexppolicy.3.1。


fwtunnl cmd=export
directory=AbsolutePath
tunnel={tunnel_id1,tunnel_id2,...,tunnel_idn}

给定的目录必须不包含现存的上下文文件。

使用下列命令来激活或释放一个指定的隧道。


fwtunnl cmd={activate|deactivate}
[tunnel={tunnel_id1,tunnel_id2,...,tunnel_idn}]

如果 tunnel 未指定,防火墙将尝试激活或释放所有的隧道并在首次失败后终止。当激活一系列隧道时,所有的隧道必须是非活动的。同样,当释放一系列隧道时,所有的隧道必须是活动的。

要关闭所有的活动隧道,使用下列命令。


fwtunnl cmd=shutdown

参数定义为:


type=IBM Tunnel
指位于 IBM Firewall 之间的一条隧道。具有自动密钥刷新功能。

type=Manual Tunnel
位于 IBM Firewall 和非 IBM Firewall 之间的一条隧道。 使用 IPSec 标准。

type=Dynamic Tunnel
指使用防火墙安全远程客户程序功能的一条特殊隧道。 该隧道在远程客户程序启动防火墙会话时激活,在客户程序结束时释放。

addr
在本地地址字段中,输入隧道所使用的本地防火墙非安全接口的 IP 地址。 您可以单击“Select”,选择一个已定义的网络对象。

remaddr
指目标 IP 地址。即隧道所使用的伙伴防火墙的 IP 地址.

policy
将允许您输入加密和认证值。着将取决于您的安全性需求,请在下列策略中作选择:

encr/auth
数据被加密然后再认证。

auth/encr
数据被认证然后在加密。

encr only
数据仅被加密。

auth only
数据仅被认证。

none
数据既不加密也不认证。

encrypthow
用 Algorithm 进行 IP 包的加密。如果这样的话,必须指定全球通用的 DES_CBC(仅适用于美国或加拿大)或商业数据掩码设施(CDMF)其中之一。 DES_CBC_8 使用 64 位初始化向量,DES_CBC_4 使用 32 位的初始化向量。

tunnel
输入隧道的隧道标识号。 有效值为 1 至 999999。

timeout
隧道超时(以分钟计算)。

refresh
仅适用于 IBM 隧道。输入用分钟表示的时间。用它来确定启动新密钥终止旧密钥之间重叠的时间。您所指定的值将影响性能(值越小,对性能影响越大)。 推荐使用 480 分钟(8 小时)。

initiator
initiator 字段指定了哪个伙伴启动会话协商。如果把两个伙伴都指定为 initiator,隧道逻辑将解除死锁。 至少应设置一个伙伴为 initiator。请选择 yes 或 no。

spi
当添加一条手工隧道时,将使用目标安全性参数索引。该索引应该由隧道的目标方生成。 使用目标 SPI 和目的地 IP 地址来确定使用何种安全性关联。 有效值从 1 至 999999。然而,注意要为 Internet 分配数权限(IANA)保留 1 到 255 的值以为将来使用。

directory
用于指定隧道上下文文件的位置。

username
使用隧道需要一个用于认证的用户名。

--------------------------------------------------------------------------------

用户
该命令用于添加一个新用户或为一个已存在的防火墙用户修改一至若干个属性。 所有参数或者有缺省值或者在某些情况是不必要的。 当 cmd=add 时,将保留缺省值;当 cmd=change 时,将保留当前值。


fwuser cmd={add|change}
username=LoginName
[fullname="UsersRealName"]
[password={yes|no}]
[pwdvalue=Password]
[level={proxy|admin}]
[secshell=SecureShell]
[remshell=NonSecureShell]
[loclogin=LocalLoginAuthentication]
[secftp=SecureFTPauthentication]
[remftp=NonSecureFTPauthentication]
[secauth=SecureTelnetAuthentication]
[remauth=NonSecureTelnetAuthentication]
[secip=SecureIPSecClientAuthentication]
[remip=NonSecureIPSecClientAuthentication]
[secadmin=SecureAdminAuthentication]
[remadmin=NonSecureAdminAuthentication]
[key="SecureNet Key Code"]
[warntime=IdleWarningTime]
[disctime=IdleDisconnectTime]
[histexpire=HistoryExpiration]
[histsize=HistorySize]
[loginretries=LoginRetries]
[maxage=MaxAge]
[maxexpired=MaxExpiredAge]
[maxrepeats=MaxRepeatChars]
[minalpha=MinAlphaChars]
[mindiff=MinDifferentChars]
[minlen=MinLength]
[minother=MinNonAlphaChars]
[pwdwarntime=PasswordWarnTime]
[modeallowed=host|none]
[fg_act={yes|no}]
[fg_all={yes|no}]
[fg_addrtrans={yes|no}]
[fg_clone={yes|no}]
[fg_dist={yes|no}]
[fg_dns={yes|no}]
[fg_interfaces={yes|no}]
[fg_logmonitor={yes|no}]
[fg_logs={yes|no}]
[fg_mail={yes|no}]
[fg_netobjs1={yes|no}]
[fg_netobjs2={yes|no}]
[fg_pagers={yes|no}]
[fg_proxyserver={yes|no}]
[fg_secag={yes|no}]
[fg_sesslfm={yes|no}]
[fg_snmp={yes|no}]
[fg_user={yes|no}]
[fg_traffic={yes|no}]
[fg_vpn={yes|no}]

基本参数


username
指用户的登录名。它必须是一个有效的 AIX 注册名。

fullname
指用户全名或一些与该用户有关的其它一些简短(一行)信息。如果该值中包含空格,则必须用双引号将它括起。

level
缺省级别为 proxy,说明正在创建的用户是一个简单的代理或 Socks 用户。管理功能组与管理认证不适用于代理用户。

key
密钥用于认证用户的 Digital Pathways' SecureNet Key 卡。由于该值必须包含空格,所以它必须用双引号括起。
登录外壳


secshell
指用于从安全接口实现 telnet 登录的外壳。有效值为 /bin/restrict.sh、/bin/csh、/bin/ksh、/bin/bsh 以及 /bin/oneact.sh。其缺省值是 /bin/restrict.sh。

remshell
指用于从非安全接口实现 telnet 登录的外壳。有效值为 /bin/restrict.sh、/bin/csh、/bin/ksh、/bin/bsh 以及 /bin/oneact.sh。其缺省值是 /bin/restrict.sh。
认证

以下是认证字符串和它们相应的认证方式。使用下面表示的 fwuser 命令各种参数的认证字符串。


permit-permit all

deny-deny all

password-Firewall password

snk-SNK

sdi-SDI

user_defined-user-supplied authentication

loclogin
指用于从本地控制台登录的认证方法。 有效值为 deny、permit、password、sdi 和 user_defined。其缺省值是 deny。

secftp
指用于从安全接口实现 FTP 登录的认证方法。 有效值为 deny、permit、password、snk、sdi 和 user_defined。 其缺省值是 deny。

remftp
指用于从非安全接口实现 FTP 登录的认证方法。 有效值为 deny、permit、password、snk、sdi 和 user_defined。 其缺省值是 deny。

secauth
指用于从安全接口实现 telnet 登录的认证方法。 有效值为 deny、permit、password、snk、sdi 和 user_defined。其缺省值是 deny。

remauth
指用于从非安全接口实现 telnet 登录的认证方法。有效值为 deny、permit、password、snk、sdi 和 user_defined。 其缺省值是 deny。

secip
指用于从安全接口实现远程 IPSec 客户机登录的认证方法。有效值为 deny 和 password。其缺省值是 deny。

remip
指用于从非安全接口实现远程 IPSec 客户机登录的认证方法。 有效值为 deny 和 password。其缺省值是 deny。

secadmin
指用于从安全接口实现 Firewall 配置客户登录的认证方法。 有效值为 deny、permit、password、snk、sdi 和 user_defined。 其缺省值是 deny。

remadmin
指用于从非安全接口实现 Firewall 配置客户登录的认证方法。 有效值为 deny、permit、password、snk、sdi 和 user_defined。 其缺省值是 deny。
注意: fwdfuser 不能在任何其认证方法字段中设置 SNK 或 Firewall 口令。


空闲代理参数


warntime
定义了数分钟的空闲时间,在此之后 fwidleout 命令将警告用户其即将被断开。

disctime
定义了数分钟的空闲时间,在此之后 fwidleout 命令将断开此用户。Disctime 应大于 warntime。
Firewall 口令参数


password
表明是否提示用户输入口令。缺省情况下,如果已指定了任何一种认证方法或允许口令缺省都将向您作出提示。

pwdvalue
多数情况下用于脚本程序设计,该参数允许在命令行中指定一个参数的值。请注意,该值是在清除文本(即不显示)的状态下输入的并且不可以窃取该值。无缺省值。

histexpire
定义了一段时间(用周表示),用户在此段时间内不能再使用口令。其值是一个整数串。 有效值为 0 - 52。 0 代表未设置时间限制。缺省值为 26。

histsize
定义了用户不能再使用的前续口令数。其值是一个整数串。 有效值为 0 - 20。只有 histexpire=0 时有效。缺省值为 10。

loginretries
定义了系统锁住帐户之前最近一次成功登录之后,尝试登录未成功的次数。其值是一个整数串。 有效值为 0 - 20。缺省值为 10。 零或负数表示无限制。一旦用户帐户被锁住,用户只有在系统管理员把 /etc/security/lastlog 文件内用户的 unsuccessful_login_countOnce 属性加以复位使其值小于已撤消的登录数时才能再次登录。如果这样的话,请输入下列命令,
chsec -f /etc/security/lastlog -s username -a |unsuccessful_login_count


maxage
定义了口令的最长寿命(用周表示)。必须在到期前更改口令。其值是一个整数串。 有效值为 0 - 52。 0 表示无最长寿命。缺省值为 13。

maxexpired
定义了一个用户能更改已到期口令的最长时间(用周表示),其值大于 maxage 的值。超出该定义时间后,只有管理用户才可以更改此口令。其值是一个整数串。 有效值是 -1 - 26。如果 maxexpired 属性为 0,则表示口令在达到 maxage 的值时期满。如果 maxage 属性为 0, 则忽略 maxexpired 属性。缺省值为 3。

maxrepeats
定义了在一个新口令中一个字符可重复的最多次数。有效值为 0 - 8,但 0 是无意义的。8 表示无此最多次数的限制。缺省值为 2。

minalpha
定义了一个新口令中必须存在的字母字符的最少个数。其值是一个整数串。 有效值为 0 - 8。0 表示无最少个数。 缺省值为 4。

mindiff
定义了一个新口令中需存在的而老口令中没有的字符的最少个数。其值是一个整数串。 有效值为 0 - 8。0 表示无最少个数。缺省值为 3。

minlen
定义了一个口令的最小长度。其值是一个整数串。有效值为 0 - 8。0 表示无最少个数。 缺省值为 8。

minother
定义了一个新口令中必须存在的非字母字符的最少个数。其值是一个整数串。 有效值为 0 - 8。0 表示无最少个数。 缺省值为 1。

pwdwarntime
定义了系统在发布口令必需更改的警告之前的天数。其值是一个整数串。 有效值为 0 - 30。零或负数表示将不发布信息。其值必须小于 maxage 和 minage 属性的差。若其值大于它们的差将忽略并在达到 minage 的值时发出一条信息。
管理功能组

modeallowed 指所允许的登录方式:


禁止 none-User 登录至防火墙配置服务器

efm-Administrator 可以 EFM 模式登录

host-Administrator 只能以主机方式登录至防火墙配置服务器。

both-Administrator 可以以 EFM 方式或主机方式两者之一登录

fg_all
如果允许该管理员管理防火墙的各个方面,则输入 yes。缺省值为 no。

fg_act
如果允许该管理员在其管理的防火墙上激活所作的更改,则输入 yes。缺省值为 no。

fg_addrtrans
如果允许该管理员管理网络地址转换,则输入 yes。缺省值为 no。

fg_clone
如果允许管理员复制管理的防火墙,则输入 yes。缺省值为 no。

fg_dist
如果允许该管理员将配置更改发送至其管理的防火墙,则输入 yes。缺省值为 no。

fg_dns
如果允许该管理员管理域名服务,则输入 yes。缺省值为 no。

fg_interfaces
如果允许该管理员定义防火墙界面,则输入 yes。缺省值为 no。

fg_logmonitor
如果允许该管理员管理日志监视器阈值,则输入 yes。缺省值为 no。

fg_logs
如果允许该管理员管理日志设施,则输入 yes。缺省值为 no。

fg_mail
如果允许该管理员管理防火墙邮件网关,则输入 yes。缺省值为 no。

fg_netobjs1
如果允许该管理员对网络对象进行基本管理,则输入 yes。缺省值为 no。

fg_netobjs2
如果允许该管理员对网络对象进行高级管理,则输入 yes。缺省值为 no。

fg_pagers
如果允许该管理员管理寻呼机设置,则输入 yes。缺省值为 no。

fg_proxyserver
如果允许该管理员配置防火墙代理精灵程序,则输入 yes。缺省值为 no。

fg_secag
如果允许该管理员管理其管理的防火墙的安全性条约,则输入 yes。缺省值为 no。

fg_sesslfm
如果允许该管理员管理其管理的防火墙的会话限制,则输入 yes。缺省值为 no。

fg_snmp
如果允许该管理员管理 SNMP 管理器及子代理,则输入 yes。缺省值为 no。

fg_traffic
如果允许该管理员对通信量控制进行管理,则输入 yes。缺省值为 no。

fg_user
如果允许该管理员管理防火墙用户,则输入 yes。缺省值为 no。

fg_vpn
如果允许该管理员管理虚拟专用网,则输入 yes。缺省值为 no。
欲列举出所有防火墙用户或一个指定的防火墙用户的全部属性,请使用:

fwuser cmd=list
[username=username]

时间:2000-10-26 21:06 来源: 作者: 原文链接

好文,顶一下
(0)
0%
文章真差,踩一下
(0)
0%
------分隔线----------------------------


把开源带在你的身边-精美linux小纪念品
无觅相关文章插件,快速提升流量