IBM eNetwork Firewall AIX 版--1

火星人 @ 2014-03-12 , reply:0


  IBM eNetwork Firewall AIX 版提供了多項增強。


簡單管理
通過使用 Java** 的應用程序,您可簡便地更新防火牆配置。並且,不同的管理員可以指定不同層次的許可權以進一步控制對防火牆的訪問。這種獨特的易於理解的圖形用戶界面(GUI)可用於管理 Firewall AIX 版及 Windows NT 版。


網路安全性審計器
增強了網路安全性審計器(NSA),它是一種用於檢查網路的安全漏洞或配置錯誤的工具。NSA:


更快速,更強壯

支持增量報告生成

提供增強站點策略設施

支持附加伺服器

有附加安全性弱點檢查
通過定期地運行網路安全性審計器,您可以確保沒有用創建安全性弱點的方法作過任何修改,特別是在防火牆聯機后。


AIX 4.2.1 和 4.3 的支持
支持 AIX 4.2.1 和 4.3,不包括 AIX 公共桌面環境。不再支持以前發行本的 AIX。


國家語言支持
國家語言支持提供了英語、日語、韓語、法語、簡體中文、繁體中文、義大利語、西班牙語和巴西的葡萄牙語。


--------------------------------------------------------------------------------

IBM Firewall 可安裝部件
IBM Firewall 獨立的可安裝組件為:


EFM

IBM 企業管理系統(管理其它防火牆的防火牆)

FW

基本 IBM 防火牆

IBM Firewall 的公共庫和目錄

IBM Firewall 的遠程配置客戶程序

IBM Firewall 的報告生成實用程序

Netscape.NAV

Netscape Navigator**

ipsec

IPSec 客戶程序

nsauditor

網路安全性審計器

網路安全性審計器 HTML 介面

sva

SystemView 代理 AIX 版

SystemView 代理 AIX 版 SNMP 映射程序
要獲取如何安裝 Windows 95 安全遠程客戶的指導,請參考IBM eNetwork Firewall 用戶指南.

欲安裝本手冊的 PDF 版本以及 IBM eNetwork Firewall 用戶指南,請在 IBM 防火牆 CDROM 上的 fwbooks 目錄中下載下列文件至您的工作站:


fwuser.pdf

fwref.pdf
可以使用 Adobe Acrobat** Reader 來查看這些書籍。如果您未安裝 Adobe Acrobat Reader,則可到:http://www.adobe.com/prodindex/acrobat/ 的 Adobe Web 站點上獲得有關 Adobe Acrobat Reader 的詳細內容並獲取一個拷貝。


--------------------------------------------------------------------------------

輸入 IP 地址
在配置防火牆時,會要求您輸入 IP 地址。點十進位 IP 地址,它帶所有 4 個八位位組:

nnn.nnn.nnn.nnn

這裡的每個 nnn 都是一個範圍在 000-255 的三位數字。


--------------------------------------------------------------------------------

如何尋求 IBM 的服務
IBM 支持中心在問題的診斷與解決方面將向您提供電話幫助。您可以在任何時間致電 IBM 支持中心;在八個工作時內您將會收到回電(周一至周五的上午 8:00 至下午 5:00,本地客戶時間)。電話號碼是 1-800-237-5511。

在美國或波多黎哥以外,請聯繫您當地的 IBM 代理或 IBM 授權的供應商。


--------------------------------------------------------------------------------

第 1 章 使用 IBM Firewall 命令行界面
如果已購買了 IBM eNetwork Firewall AIX 版的非加密版本,則本章中的隧道命令將不適用。

本章將討論 IBM Firewall 命令行中可以使用的命令。

以下信息適用於這些命令:


本書列舉的命令使用下列語法規則:

下劃線表示這是用戶輸入的數據。

[] 指可選參數。

{} 指用戶對參數的一種選擇。

| 分開選項。

所有參數都使用 keyword=value 的格式。

如果一個參數擁有多個值,則應當將其置於雙引號內並用空格分隔,例如:
secaddr="11.22.33.1 11.22.33.2"


除了在雙引號之內,請不要在任何參數中包含空格。

如果您遺漏了一個或多個必要參數,命令行實用程序將列出這些遺漏的參數。

如果輸入了一個無效的參數值,命令行實用程序將報告該項錯誤。

有些防火牆精靈程序在其配置文件作了更改時,將動態地更新其運行狀況。其中一些需要更新的子命令。 update 子命令就是為那些要執行指令的精靈程序所提供的。

只有防火牆管理員才可以在命令行執行程序。

由於其複雜性及文件的相互依存性,請不要直接編輯任何配置文件。

--------------------------------------------------------------------------------

適配器
要列出配置伺服器,使用下列命令。

fwadapter cmd=list
[addr=AdapterAddress]


addr=AdapterAddress
將列出所有連接至機器的適配器並指出每一個適配器是安全的還是非安全的。如果指定了可選的 addr 參數,那麼將僅列出所指定的適配器。
要更改配置伺服器,使用下列命令。

fwadapter cmd=change
addr=AdapterAddress
state={secure|nonsecure}

參數定義為:


addr=AdapterAddress
指要更改的適配器地址。

state={secure|nonsecure}
把適配器狀態設置為 secure/nonsecure,使其與指定的 IP 地址相符。

--------------------------------------------------------------------------------

配置伺服器
命令 fwcfgsrv 用於列出或更改配置伺服器的選項。 使用此命令的管理員必須擁有管理通信量控制功能的許可權。

要列出配置伺服器選項,使用下列命令。

fwcfgsrv cmd=list

以下為命令 fwcfgsrv 的輸出結果:

localonly = yes/no
encryption = none/ssl
sslfile = filename if one is defined

要更改配置伺服器選項,使用下列命令。


fwcfgsrv cmd=change
[localonly={yes|no}]
[encryption={none|ssl}]
[sslfile=]

參數定義為:


localonly
說明防火牆是否僅可以從本地的機器上進行管理。有效值為 yes 或 no。

encryption
說明配置伺服器是否要求進站數據進行 ssl 加密。 有效值為 none 或 ssl。

sslfile
指出用於 ssl 加密的 ssl 密鑰文件名。參閱 第 5 章 "使用 Make Key File Utility(MKKF)"。

--------------------------------------------------------------------------------

連接
命令 fwconns 用於創建、修改、刪除和列出防火牆連接。 這些連接將網路對象同服務和(或)socks 模板相關聯以定義端點之間所允許的通信類型。 要得到連接的詳細信息,參閱 IBM eNetwork Firewall 用戶指南。

要創建防火牆連接,使用下列命令。


fwconns cmd=create
name=_name_
[desc=_description_]
source=network_id_or_name
[destination=network_id_or_name]
{servicelist=service_id1,service_id2,...,service_idn |
sockslist=socks_id1,socks_id2,...,socks_idn}

參數定義為:


name
指將用於此連接的名稱。

description
指對此連接的說明。

source
是連接的源網路目標名或 ID 號。

destination
是連接的目的網路目標名或 ID 號。

servicelist
是要包含在此連接中的 ID 號服務列表。

sockslist
是要包含在此連接中的 ID 號套接字規則列表。
要修改防火牆連接,使用下列命令。


fwconns cmd=change
{name=_name_ | id=_id_}
[desc=[_description_]]
[source=network_id_or_name]
[destination=[network_id_or_name]]
[servicelist=[service_id1,service_id2,...,service_idn]]
[sockslist=[socks_id1,socks_id2,...,socks_idn]]

參數定義為:


name
指將作更改的連接名稱。

id
指將作更改的連接的ID 號。

description
指對此連接新的說明。如果提供的該說明參數沒有值,則刪除該參數。

服務列表
是要包含在此連接中的 ID 號服務列表。

socks 列表
是要包含在此連接中的 ID 號套接字規則列表。
要刪除防火牆連接,使用下列命令。


fwconns cmd=delete
{name=_name_ | id=_id_}

參數定義為:


name
指將要刪除的連接名稱。

id
指將要刪除的連接的ID 號。
要列出防火牆連接,使用下列命令。


fwconns cmd=list
[name=_name_ | id=_id_]
[format={short|long|wide|raw}]

參數定義為:


name
希望列出的連接名。

id
指希望列出的連接的 ID 號。如果未提供 name 或 id,將列出所有的連接。

format
描述了該命令輸出的格式。
要移動防火牆連接,使用下列命令。


fwconns cmd=move
connection=connection_id_or_name
after=[connection_id_or_name]

參數定義為:


connection
指需要移動的連接的名稱或 ID 號。

after
是移動連接應該遵循的名稱或 ID 號。
要將防火牆服務添加到連接處,使用下列命令。


fwconns cmd=addservice
servicelist=service_id1,service_id2,...,service_idn
connection=connection_id_or_name

參數定義為:


servicelist
是要添加到連接中的 ID 號服務列表。

connection
指需要更改的連接名稱或 ID 號。
要將防火牆服務從連接處刪除,使用下列命令。


fwconns cmd=removeservice
servicelist=service_id1,service_id2,...,service_idn
connection=connection_id_or_name

參數定義為:


servicelist
是要從連接中刪除的 ID 號服務列表。

connection
指需要更改的連接名稱或 ID 號。
要在連接內移動防火牆服務,使用下列命令。


fwconns cmd=moveservice
service=service_id_or_name
after=[service_id_or_name]
connection=connection_id_or_name

參數定義為:


service
指需要在連接內移動的特定服務的名稱或 ID 號。

after
是移動服務應該遵循的名稱或 ID 號。

connection
指需要更改的連接名稱或 ID 號。
要在連接內添加套接字規則,使用下列命令。


fwconns cmd=addsocks
sockslist=socks_id1,socks_id2,...,socks_idn
connection=connection_id_or_name

參數定義為:


sockslist
是要添加到此連接中的 ID 號的套接字規則列表。

connection
指需要更改的連接名稱或 ID 號。
要在連接內刪除套接字規則,使用下列命令。


fwconns cmd=removesocks
sockslist=socks_id1,socks_id2,...,socks_idn
connection=connection_id_or_name

參數定義為:


sockslist
是要從連接中刪除的 ID 號套接字規則列表。

connection
指需要更改的連接名稱或 ID 號。
要在連接內移動套接字規則,使用下列命令。


fwconns cmd=movesocks
socks=socks_id_or_name
after=[socks_id_or_name]
connection=connection_id_or_name

參數定義為:


socks
指需要在連接內移動的套接字規則名稱或 ID 號。

after
是移動套接字規則應該遵循的套接字規則的名稱或 ID 號。

connection
指需要更改的連接名稱或 ID 號。

--------------------------------------------------------------------------------

域名伺服器
域名服務(DNS)向安全網路內的主機提供完整的域名服務,而對安全網路外的主機提供極少的信息。需要用三個域名來完成它:


一個位於防火牆上

一個位於安全網路內

一個位於安全網路外。
詳見IBM eNetwork Firewall 用戶指南以獲取更多的信息。

注意:
x.x.x.x 代表一個用點十進位格式書寫的 IP 地址。

參數 secaddr 和 remaddr 的值可以是一個單獨的 IP 地址或一組 IP 地址。如果是指一組 IP 地址,它們應該用空格分隔並包含在雙引號之內。

檢測到或標記重複地址都是錯誤的。

首次配置 DNS 時,fwdns cmd=change 將創建一個新文件。防火牆將一直精確地保留一個 DNS 配置記錄。該值可能為空。子命令 change 可用於更改 DNS 記錄中任何或所有的值。



下列命令表列出了當前的 DNS 配置。


fwdns cmd=list

若要更改 DNS 配置項並創建新的文件,則:

fwdns cmd=change
secdomain=SecureDomainName
secaddr=x.x.x.x | "x.x.x.x x.x.x.x x.x.x.x"
remaddr=x.x.x.x | "x.x.x.x x.x.x.x x.x.x.x"

參數定義為:


secdomain=SecureDomainName
指內部安全網路的域名

secaddr=SecureDNSaddr[,...]
指安全域名伺服器的 IP 地址

remaddr=NonSecureDNSaddr[,...]
指安全網路外的域名伺服器(由 Internet 連接服務供應商提供)的 IP 地址。

--------------------------------------------------------------------------------

企業防火牆管理器
企業防火牆管理器 (EFM) 允許另一防火牆的防火牆配置文件的選擇管理。

欲閱讀有關指定防火牆的 EFM 安全性合約條款以及可以在 EFM 上進行管理的功能列表,請使用下列命令。


fwmanager cmd=list
type=secagree
firewallname=FirewallName

參數定義為:


cmd=list
指將列出安全性合約內的每一個功能並指明 EFM 或它所管理的防火牆是否可以配置該功能。

type=secagree
指安全性合約。

firewallname=Firewallname
指防火牆名稱。
欲返回自上次下載配置文件至防火牆以來已作了更改的功能列表,請使用 fwtransfer 命令。管理員還可以使用此命令以確認啟動 fwtransfer cmd=transfer type=changed 命令之前的改動。

fwtransfer cmd=list
type=changed
firewallname=FirewallName

參數定義為:


cmd=list
指將返回自上次下載配置文件至 Firewall 以來已作了更改的功能列表。

type=changed
指將列出配置文件已更改過的功能。

firewallname=Firewallname
指防火牆名稱。
欲下載所需功能的配置文件至指定防火牆,請使用下列命令。


fwtransfer cmd=transfer
type=changed
firewallname=FirewallName
service=[all |"DNS sendmail networkobj traffic NAT VPN
pagersup interface logmonitor proxyadmin logfacility secagree SNMP"]

參數定義為:


type=changed
指如果文件自上次下載以來已作了修改,則為必要的服務所修改的配置文件。

firewallname=Firewallname
指防火牆名稱。

service=
用於指定服務。預設值為 all。
secagree 服務類型還包括會話限制的更改數。

要傳送配置文件(不管它們是否更改過),使用下列命令。

fwtransfer cmd=transfer
type=select
firewallname=FirewallName
service=[all |"DNS sendmail networkobj traffic NAT
VPN pagersup interface logmonitor proxyadmin
logfacility secagree SNMP"]

參數定義為:


type=select
指強制下載配置文件以獲取指定的服務。

firewallname=Firewallname
指防火牆名稱。

service=
用於指定服務。預設值為 all。 secagree 服務類型還包括會話限制的更改數。
欲激活以前下載至防火牆的配置文件,請使用下列命令。

fwact firewallname=FirewallName
service=[all |"DNS sendmail networkobj traffic
NAT VPN pagersuup interface logmonitor
proxyadmin logfacility secagree SNMP"]

參數定義為:


firewallname=Firewallname
指防火牆名稱。

service=
用於指定服務。預設值為 all。 secagree 服務類型還包括會話限制的更改數。

--------------------------------------------------------------------------------

文件系統完整性檢查器
下列命令調用了文件系統完整性檢查器。

fwfschk [cmd={-? |
-&|
-u| -f}]

參數定義為:


fwfschk -?
用法

fwfschk -&
日誌輸出

fwfschk -u
更新資料庫

fwfschk -f
強制更新至資料庫
欲知詳情,請參閱"使用 fwice 測試防火牆埠"。此實用程序運行自一個 crontab。詳見 附錄 G. "Crontab 命令"。


--------------------------------------------------------------------------------

過濾器規則檢查器
用下列命令來測試防火牆過濾器規則。

fwice
[hosts=HostsFileName]
[services=ServicesFileName]
[results=ResultsFileName]


--------------------------------------------------------------------------------

過濾器
防火牆命令行不提供用於修改過濾器配置的界面。 參閱 IBM eNetwork Firewall 用戶指南以獲取有關建立配置的詳細信息。 防火牆提供命令行界面用於控制由配置客戶程序建立的配置。

使用 fwfilter 命令激活和釋放過濾器規則。


fwfilter cmd=update | verify | list | shutdown | startlog |
stoplog

參數定義為:


fwfilter cmd=update
重新創建配置並激活規則集。

fwfilter cmd=verify
執行一個配置的「構造測試」,但並不激活任何更改。

fwfilter cmd=list
列舉出最近建立的配置

fwfilter cmd=shutdown
釋放過濾器機制

fwfilter cmd=startlog
將選定的通信量記錄到 firewall log 設施內

fwfilter cmd=stoplog
停止防火牆過濾器記載

--------------------------------------------------------------------------------

過濾器規則
使用 fwfrule 命令用於創建、修改、刪除和列出用來創建服務的規則模板。參閱 IBM eNetwork Firewall 用戶指南以獲取有關該命令參數的詳細信息。

要添加規則模板,使用下列命令。


fwfrule cmd=add
name=name
[desc=description]
type={permit|deny}
protocol={all|tcp/ack|udp|icmp|ospf|ipip|esp|ah}
[srcopcode={any|eq|neq|lt|gt|le|ge}]
[srcport=port_num]
[destopcode={any|eq|neq|lt|gt|le|ge}]
[destport=port_num]
interface={both|secure|nonsecure}
routing={both|local|route}
direction={both|inbound|outbound}
[log={yes|no}]
[tunnel=tunnel_id]
[fragment={yes|no|only|headers}]

參數定義為:


name
指將用於此過濾器規則的名稱。

desc
是該過濾器規則的說明。

type
表示規則是否允許或拒絕通信量。

protocol
是該規則的協議類型。

srcopcode
表示在源埠號上執行的邏輯運算。

srcport
表示該規則的源埠號 (0-65535)。

destopcode
表示在目的埠號上執行的邏輯運算。

destport
表示該規則的目的埠號 (0-65535)。

interface
表示該規則適用的介面。

routing
表示該規則通信量的目的。

direction
表示該規則通信量的方向。

log
表示運行記錄是否在該規則匹配時寫入。

tunnel
表示該規則的隧道標識符 (1-999999)。

fragment
表示該規則分段控制的類型。
要修改規則模板,使用下列命令。


fwfrule cmd=change
name=name | id=ruleid
[desc=[description]]
[type={permit|deny}]
[protocol={all|tcp/ack|udp|icmp|ospf|ipip|esp|ah}]
[srcopcode=[{any|eq|neq|lt|gt|le|ge}]]
[srcport=[port_num]]
[destopcode=[{any|eq|neq|lt|gt|le|ge}]]
[destport=[port_num]]
[interface={both|secure|nonsecure}]
[routing={both|local|route}]
[direction={both|inbound|outbound}]
[log=[{yes|no}]]
[tunnel=[tunnel_id]]
[fragment=[{yes|no|only|headers}]]

參數定義為:


name
指將要更改的過濾器規則名稱。

id
指將要更改的過濾器規則 ID 號。

desc
是該過濾器規則的說明。

type
表示規則是否允許或拒絕通信量。

protocol
是該規則的協議類型。

srcopcode
表示適用於該規則的源埠。

srcport
表示該規則的源埠號 (0-65535)。

destopcode
表示適用於該規則的目的埠。

destport
表示該規則的目的埠號 (0-65535)。

interface
表示該規則適用的介面。

routing
表示該規則通信量的目的。

direction
表示該規則通信量的方向。

log
表示運行記錄是否在該規則匹配時寫入。

tunnel
表示該規則的隧道標識符 (1-999999)。

fragment
表示該規則分段控制的類型。
要刪除規則模板,使用下列命令。


fwfrule cmd=delete
name=name | id=ruleid
[force={yes|no}]

參數定義為:


name
指將要刪除的過濾器規則名稱。

id
指將要刪除的過濾器規則 ID 號。

force
表示是否應該刪除該規則(儘管有其它對象從屬於它)。
要列出規則模板,使用下列命令。


fwfrule cmd=list
[name=name] | [id=ruleid]
[format={short|long|wide|raw}]

參數定義為:


name
指將要列出的過濾器規則名稱。

id
指將要列出的過濾器規則 ID 號。

format
描述了該命令輸出的格式。

--------------------------------------------------------------------------------

HTTP 代理
HTTP 代理通過 IBM Firewall 有效地處理瀏覽器請求,而不需要為 Web 瀏覽而使用 socks 伺服器。用戶可在 Internet 上訪問有用的信息,而不泄露內部網路的安全性並且不用改變其客戶環境來實現 HTTP 代理。

fwhttp 命令列出和更改當前的 HTTP 代理配置。

要列出當前 HTTP 代理配置,使用下列命令。


fwhttp cmd=list

要更改當前 HTTP 代理配置,使用下列命令。


fwhttp cmd=change
[port=]
[maxcontentlengthbuffer=]
[minactivethreads=]
[maxactivethreads=]
[idlethreadtimeout=]
[logging=]

參數定義為:


port
指 http 代理服務將要偵聽的埠。

maxcontentlengthbuffer
指返迴文檔的最大緩衝區以允許返回附加的 content-length 標題。

minactivethreads
在初始化和運行時保持活動的最少工作線程數。

maxactivethreads
可在同一時刻運行的最多線程數。

idlethreadtimeout
保持空閑線程可用的時間長度。

logging
說明記載是否滿足 HTTP 活動的要求。其值為 on 或 off。

--------------------------------------------------------------------------------

日誌歸檔程序
下列命令調用了日誌文件歸檔程序以維護為歸檔而配置的日誌設施。


fwlogmgmt -1 or fwlogmgmt -a

將該命令放入預定 cron 作業中是很有用的。詳見IBM eNetwork Firewall 用戶指南以獲取更多的信息。


--------------------------------------------------------------------------------

日誌文件管理
日誌文件管理定義和管理了日誌和歸檔文件。命令 fwlog 添加、修改和刪除日誌設施。

要添加日誌設施,使用下列命令。


fwlog cmd=add
facility=Facility
priority=Priority
logfile=LogFileName
[arcfile=ArchivePath
logtime=DaysToKeepInLog
arctime=DaysToKeepInArchive
workspace=workspace directory]

facility 的有效值是:


firewall (local4) - 一般的防火牆日誌包括過濾器記載

alert (local1) - 日誌監視器精靈程序的狀態和用來居於報警顯示器中的?值違反警告

mail - 郵件日誌

syslog - 假使其它日誌填滿了其文件系統時使用

* - 所有設施
priority 的有效值是:


debug

info

notice

warning

err

crit

alert

emerg
參數 logfile 說明了syslog 項應該發送的地方。 logfile 的有效值為:


一個全限定文件名(以字元 '/' 開始)指出了日誌項應寫入的文件

以符號 '@' 為前綴的主機名

防火牆上的用戶名或防火牆上用戶名的 comma-delimited 列表。
注意: 標識為報警日誌或防火牆日誌的文件應彼此不同,並且如果防火牆功能被用於處理這些文件,它們則應不同於任何其它的日誌設施文件。
非常重要的是「僅有」防火牆日誌信息出現在輸入至報告實用程序的文件中。 沒有其它的設施作為防火牆日誌或報警日誌直接寫入同一個文件。



這些參數控制記錄的歸檔。對於要產生的實際日誌歸檔,必須周期運行 fwlogmgmt。詳見IBM eNetwork Firewall 用戶指南以獲取更多的信息。

參數 arcfile、logtime、arctime 和 workspace 都是可選項並且只有當參數 logfile 指定了一個文件名時它們才有效。如果指定了其中任何一個參數,則所有這四個參數都必須指定。這些參數控制記錄的歸檔。對於要產生的實際歸檔,須周期運行 fwlogmgmt 命令。參閱 "日誌歸檔程序"。

參數 arcfile 必須包含一個全限定路徑和文件名。

參數 logtime 說明了將系統日誌移至歸檔文件之前它將在日誌文件內保留的最小天數。

arctime 參數表示在清除系統日誌前,它能在歸檔文件中保留的最小天數。

參數 workspace 指定了一個對 syslog 文件進行歸檔時,歸檔程序將用於臨時工作文件的目錄。

要更改日誌設施,使用下列命令。


fwlog cmd=change
index=Index
[facility=Facility]
[priority=Priority]
[logfile=LogFileName]
[arcfile=ArchiveFileName]
[logtime=DaysToKeepInLog]
[arctime=DaysToKeepInArchive]
[workspace=WorkspaceDirectory]

如果一項更改,特別是在初始情況下,未能創建一個語法正確的配置文件(例如,創建的日誌文件丟失欄位),那麼將發出一條警告並且防火牆將不記錄數據。

如果想進行記載但不進行歸檔,則只需要使用參數 facility、 priority 和 logfile。如果希望日誌在啟動時不歸檔,則使參數 archive、logtime 和 arctime 置空。如果已預定了歸檔作業,刪除它。

要列出當前日誌文件配置數據,使用下列命令。


fwlog cmd=list

刪除由 fwlog cmd=list 命令返回的索引號所指定的防火牆日誌項,則使用下列命令。


fwlog cmd=delete
index=index of entry to delete


--------------------------------------------------------------------------------

日誌監視器
使用日誌監控程序命令告訴日誌監控程序何時,且如果觸發警報。當在指定的間隔內達到此命令(或相應的配置客戶面板)中指定的?值時,發生警報。當警報發生時:


在防火牆警報設施和防火牆日誌設施中寫入一條記錄。

運行指定的命令

將通知發送到一個或一個以上的用戶標識符

將信息發送到調頁設備
以上三個操作由指定值的適當配置控制。

列出日誌監控程序設置選項


fwlogmon cmd=list

指定用戶標識符在發生任何警報時接收郵件通知

要指定用戶標識符在發生任何警報時接收郵件通知 (通知發送到您添加的每個標識符上):

fwlogmon cmd=add|delete
type=id
username=
[comment=]

指定在任何警報發生時運行的命令


fwlogmon cmd=add|change
type=command
command=
[comment=]


fwlogmon cmd=delete
type=command

指定一個警報應該基於未成功登錄嘗試數而觸發的?值


fwlogmon cmd=add
type=single|multi|host
count=
time=
pager=
[comment=]


fwlogmon cmd=change
type=single|multi|host
[count=]
[time=]
[pager=]
[comment=]


fwlogmon cmd=delete
type=single|multi|host

指定一個警報應該基於特定防火牆信息 ID 發生數而觸發的?值


fwlogmon cmd=add
type=msg
tag=
count=
time=
pager=
[comment=]


fwlogmon cmd=change
type=msg
tag=
[count=]
[time=]
[pager=]
[comment=]


fwlogmon cmd=delete
type=msg
tag=

參數定義為:


type
標識了正在添加或修改的日誌監控程序命令特性的類型。
可以是 id、command、single、multi、host 或 msg。


id
影響用戶標識符發送通知。

command
指要執行的命令。

msg
影響特定日誌信息的監控。

single
影響基於單個用戶標識符的監控。為每個有失敗嘗試的標識符都保留了計數。如果任何標識符的計數達到在此命令中指定的?值,則觸發警報。

multi
影響基於多個用戶標識符的監控。如果所有計數(對於所有具有失敗嘗試的用戶標識符來說),達到了在此命令中指定的?值,則觸發報警。

host
影響了基於主機名的監控。為每個有失敗嘗試的主機名都保留了計數。如果任何主機名的計數達到在此命令中指定的?值,則觸發警報。

username
是防火牆管理員或其它通知任何報警的用戶的郵件 ID。只要正確配置安全方伺服器,則報警通知都將成功發送。

command
在任何報警發生時執行的命令名稱。它必須是可執行文件的全路徑名稱。它可以是 .bat 文件,允許在該文件中執行多個命令,然而,如果 .bat 文件引用了其它文件,則必須是全路徑名稱的引用。

count
設置故障數或者特定日誌信息發生(報警將使用的)的?值。

time
以分鐘為單位設置時間間隔。為了觸發的事件,必須在第一次發生的時間間隔內達到計數值。比當前時間以前的間隔還要早的(故障)發生將從計數值中刪除。

pager
指定在關聯閾值觸發報警時是否使用尋呼機。活動尋呼機用來發送頁面。

tag
要監視的日誌信息標記 (具有信息前綴 ICA)。日誌監視信息(低於 1000 的 ICA 標記)不能監視。

--------------------------------------------------------------------------------

郵件
使用 fwmail 命令來映射公用和安全域。


fwmail cmd=list

fwmail cmd=add
secdomain=
mail=
remdomain=


fwmail cmd=change
secdomain=
[mail=]
[remdomain=]


fwmail cmd=delete
secdomain=

參數定義為:


secdomain
指防火牆安全方用戶的已知名字,由此名字來描述郵件域。

mail
指郵件伺服器地址。

remdomain
指防火牆非安全方用戶的已知名字,由此名字來描述郵件域。

--------------------------------------------------------------------------------

網路地址轉換
網路地址轉換(NAT)允許其安全 IP 網路內的地址為任何其它 IP 網路再使用,以此為 IP 地址枯竭的問題提供了一個解決方案。

NAT 配置文件控制了安全 IP 地址空間內的IP 地址向一個非安全 IP 地址空間內的IP 地址的轉換。 NAT 配置文件至多可以包含 512 個下列項:


保留已註冊地址 - 保留已註冊地址項定義了一個可用於出站連接的已註冊 IP 地址集。

轉換安全 IP 地址 - 轉換安全 IP 地址項定義了一個需要 NAT 來執行 IP 地址轉換的安全網路地址集。預設時,網路地址轉換器對所有的安全 IP 地址進行地址轉換。

排除安全 IP 地址 - 排除安全 IP 地址項定義了一個無需 NAT 執行 IP 地址轉換的安全網路地址集。預設時,網路地址轉換器對所有的安全 IP 地址進行地址轉換,除非該地址在排除安全 IP 地址指定的範圍之內。

映射安全 IP 地址 - 映射安全 IP 地址項定義了從一個安全 IP 地址至一個已註冊 IP 地址的一對一的映射。這種一對一的 IP 地址映射允許外部應用程序客戶(例如 FTP 或 Telnet 客戶程序)與安全網路內的伺服器建立 TCP 會話。

fwnat
cmd=list | update | verify |shutdown | startlog | stoplog

參數定義為:


fwnat cmd=list
列出當前的 NAT 配置

fwnat cmd=update
刷新 NAT 引擎

fwnat cmd=verify
對配置進行語法檢查

fwnat cmd=shutdown
停止所有的地址轉換

fwnat cmd=startlog
停止記載每個轉換包

fwnat cmd=stoplog
停止記載每個轉換包
欲添加一保留項至 NAT 配置,請使用 type=reserve:

fwnat cmd=add
type=reserve
addr=Addr
mask=Mask
[timeout=minutes]

參數定義為:


type=reserve
指添加一個 reserve 項

addr=Addr
指 IP 地址,它標識了添加至已註冊地址池的已註冊 IP 地址的範圍

mask=Mask
指添加一個 IP 地址範圍至已註冊地址池

timeout=minutes
輸入在 NAT 能夠釋放已註冊 IP 地址之前,一個地址轉換可保持空閑的分鐘數。
欲修改在 NAT 配置中的保留項,請使用 type=reserve:

fwnat cmd=change
index=
[addr=Addr]
[mask=Mask]
[timeout=minutes]

參數定義為:


type=reserve
指添加一個 reserve 項

addr=Addr
指 IP 地址,它標識了添加至已註冊地址池的已註冊 IP 地址的範圍

mask=Mask
指添加一個 IP 地址範圍至已註冊地址池

timeout=minutes
指在 NAT 可以釋放已註冊 IP 地址之前,地址轉換可保持空閑的分鐘數
欲添加一個轉換項或排除一個項到 NAT 配置,請使用 type=translate:

fwnat cmd=add
type={translate|exclude}
addr=Addr
mask=Mask

參數定義為:


type=translate
指添加一個 translate 項

type=exclude
指添加一個 exclude 項

addr=Addr
指 IP address,它標識了需要轉換的安全 IP 地址的範圍。

mask=Mask
指出了一個 IP 地址範圍
欲修改一個轉換項或排除一個項到 NAT 配置,請使用 type=translate:

fwnat cmd=change
index=
[addr=Addr]
[mask=Mask]

參數定義為:


addr=Addr
指 IP address,它標識了需要轉換的安全 IP 地址的範圍。

mask=Mask
指出了一個 IP 地址範圍
欲添加一個映射項至 NAT 配置,請使用 type=map:

fwnat cmd=add
type=map
secaddr=SecureAddr]
remaddr=RegisteredAddr]

參數定義為:


type=map
指添加一個 map 項

secaddr
指應該轉換成指定的已註冊地址的 IP 地址

remaddr
指應該由指定的安全地址轉換成的已註冊地址
欲修改一個映射項至 NAT 配置,請使用 type=map:

fwnat cmd=change
index=
[secaddr=SecureAddr]
[remaddr=RegisteredAddr]

參數定義為:


type=map
指添加一個 map 項

secaddr
指應該轉換成指定的已註冊地址的 IP 地址

remaddr
指應該由指定的安全地址轉換成的已註冊地址

--------------------------------------------------------------------------------

網路對象
fwnwobj 是一條用於創建、修改、刪除和列出網路對象的命令,這些網路對象指連接中的端點或網路對象組中的成員。 詳見IBM eNetwork Firewall 用戶指南以獲取網路對象的完整說明。

要創建網路對象,使用下列命令。


fwnwobj cmd=add
name=name
[desc=description]
type={Host|Network|Firewall|Router|Interface|VPN|User}
[addr=x.x.x.x]
[mask=x.x.x.x]
[userid=userid]
[timeout=minutes]

參數定義為:


name
指將用於此網路對象的名稱。

desc
指對此網路對象的說明。

type
是想要創建的對象類型。

addr
是網路對象的 IP 地址。如果 type=user ,則該參數無效。

mask
是表示用於比較中的 IP 地址數量的掩碼。如果 type=user ,則該參數無效。

userid
是有效的用戶名。本參數僅當 type=user 時有效。

timeout
表示過濾器對象的壽命(以分鐘形式)。本參數僅當 type=user 時有效。
要修改網路對象,使用下列命令。


fwnwobj cmd=change
{name=name | id=id}
[desc=[description]]
[type={Host|Network|Firewall|Router|Interface|VPN|User}]
[addr=x.x.x.x]
[mask=x.x.x.x]
[userid=userid]
[timeout=minutes]

參數定義為:


name
指將要更改的網路對象名稱。

id
指將要更改的網路對象的 ID 號。

desc
指對此網路對象的說明。

type
是該對象類型。

addr
是網路對象的 IP 地址。如果 type=user ,則該參數無效。

mask
是表示用於比較中的 IP 地址數量的掩碼。如果 type=user ,則該參數無效。

userid
是有效的用戶名。本參數僅當 type=user 時有效。

timeout
表示過濾器對象的壽命(以分鐘形式)。本參數僅當 type=user 時有效。
要刪除網路對象,使用下列命令。


fwnwobj cmd=delete
{name=name | id=id}
[force={yes|no}]

參數定義為:


name
指將要刪除的網路對象的名稱。

id
指將要刪除的網路對象的 ID 號。

force
表示是否應該刪除該對象(儘管有其它對象從屬於它)。
要列出網路對象,使用下列命令。


fwnwobj cmd=list
[name=name] | [id=id]
[format={short|long|wide|raw}]

參數定義為:


name
指將要列出的網路對象的名稱。

id
指將要列出的網路對象的 ID 號。

format
描述了該命令輸出的格式。
注意: 如果未提供名稱或 ID ,將列出所有的網路對象。



--------------------------------------------------------------------------------

網路對象組
fwnwgrp 用於創建、修改、刪除和列出網路對象組。 詳見IBM eNetwork Firewall 用戶指南以獲取網路對象組的完整說明。

要創建網路對象組,使用下列命令。


fwnwgrp cmd=create
name=name
[desc=description]
[idlist=id1,id2,...,idn]
[namelist="name 1|name2|...|name n"]

參數定義為:


name
指將用於此網路對象組的名稱。

desc
指對此網路對象組的說明。

idlist
是要在網路對象組中出現的帶 ID 號的網路對象的列表。

namelist
是要在網路對象組中出現的帶名稱的網路對象的列表。
要修改網路對象組,使用下列命令。


fwnwgrp cmd=change
{name=name | id=id}
[desc=[description]]
[idlist=[id1,id2,...,idn]]
[namelist=["name 1|name2|...|name n"]]

參數定義為:


name
指將要更改的網路對象組的名稱。

id
指將要更改的網路對象組的 ID 號。

desc
指對此網路對象組的說明。

idlist
是要在網路對象組中出現的帶 ID 號的網路對象的列表。

namelist
是要在網路對象組中出現的帶名稱的網路對象的列表。
要刪除網路對象組,使用下列命令。


fwnwgrp cmd=delete
{name=name | id=id}
[force={yes|no}]

參數定義為:


name
指將要刪除的網路對象組的名稱。

id
指將要刪除的網路對象組的 ID 號。

force
表示是否應該刪除該組(儘管有其它對象從屬於它)。
要列出網路對象組,使用下列命令。


fwnwgrp cmd=list
{name=name | id=id}
[format={short|long|wide|raw|all}]

參數定義為:


name
指將要列出的網路對象組的名稱。

id
指將要列出的網路對象組的 ID 號。

format
描述了該命令輸出的格式。
要將網路對象添加到網路對象組,使用下列命令。


fwnwgrp cmd=add
{name=name | id=id}
{idlist=id1,id2,...,idn| and/or
namelist="name 1|name2|...|name n"}

參數定義為:


name
指將要更改的網路對象組的名稱。

id
指將要更改的網路對象組的 ID 號。

idlist
是要添加到網路對象組中的帶 ID 號的網路對象的列表。

namelist
是要添加到網路對象組中的帶名稱的網路對象的列表。
要將網路對象從網路對象組中刪除,使用下列命令。


fwnwgrp cmd=remove
{name=name | id=id}
{idlist=id1,id2,...,idn| and/or
namelist="name 1|name2|...|name n"}

參數定義為:


name
指將要更改的網路對象組的名稱。

id
指將要更改的網路對象組的 ID 號。

idlist
是要從網路對象組中刪除的帶 ID 號的網路對象的列表。

namelist
是要從網路對象組中刪除的帶名稱的網路對象的列表。

--------------------------------------------------------------------------------

調頁
當防火牆上出現入侵報警時,可激活尋呼機布告支持使防火牆可通過發送一信息至其呼叫器來尋呼系統管理員。要使它正常工作,必須使用 fwpgr、fwcarrier 和 fwmodem 命令來配置尋呼機、通信公司服務和數據機。


尋呼機配置
fwpgr 命令設置了活動尋呼機的參數,它是防火牆將發出的信號。

要列出尋呼機,使用下列命令。


fwpgr cmd=list

要添加尋呼機,使用下列命令。


fwpgr cmd=add
carrier=
modem=
type=
priority=
pagerid=
message=

要修改尋呼機,使用下列命令。


fwpgr cmd=change
[carrier=]
[modem=]
[type=]
[priority]
[pagerid=]
[message=]

參數定義為:


carrier
是通信公司服務的名稱,如在通信公司資料庫中定義(通過 fwcarrier 命令)的那樣。

modem
是與 fwmodem 命令的文件名參數相同的值。

type
指定 numeric 或 alpha。

priority
輸入發送頁面的優先順序。最高優先順序是 5,最低是 -1。

pagerid
是通信公司分配的,唯一標識的調頁設備的號碼或名稱。

message
在調頁設備上發送和顯示的信息。或者是數字或者是文本,取決於通信公司提供的服務。如果超過通信公司長度設置的較小值或 200 個字元,則將截斷它。

通信公司(Carrier)
使用 fwcarrier 命令設置任何正在使用的調頁服務的參數。

要列出通信公司,使用下列命令。


fwcarrier cmd=list
carrier=

要添加通信公司,使用下列命令。


fwcarrier cmd=add
carrier=
dial=
nid=
dtmf=
digits=
blocks=
trans=
length=
baud=
parity=
databits=
stopbits=

要修改通信公司,使用下列命令。


fwcarrier cmd=change
carrier=
[dial=]
[nid=]
[dtmf]
[digits=]
[blocks=]
[trans=]
[length=]
[baud]
[parity=]
[databits=]
[stopbits=]

要刪除通信公司,使用下列命令。


fwcarrier cmd=delete
carrier=

參數定義為:


carrier
指通信公司的名稱。

dial
必須為已聯繫的 TAP 服務指定通信公司的數據機電話號碼。

nid
確定尋呼機通信公司是否允許數據連接過程中使用數字 ID。 指定 Yes 用於數字尋呼機或 No 用於字母數字尋呼機。

digits
指定字母數字傳呼機的最大數字。

blocks
指定每個事務的最大塊數。

trans
指定每次呼叫的最大事務。

length
您的通信公司伺服器允許的最大信息長度。

baud
指定通信公司服務支持的最可靠的波特率。

parity
指定通信公司服務支持的奇偶校驗類型。這通常是 TAP 協議的偶校驗。

databits
指定通信公司服務支持的數據位數。對於 TAP 協議通常為 7。

stopbits
指定通信公司服務支持的停止位數。對於 TAP 協議通常為 1。

數據機配置
要建立傳呼布告支持。需要配置數據機。

要發送傳呼請求至您的傳呼通信公司,請使用數據機命令配置數據機。

要列出數據機,使用下列命令。


fwmodem cmd=list
filename=

要添加數據機,使用下列命令。


fwmodem cmd=add
modem=
filename=
cmdstring=
cmdterm=
dialcmd=
dialpause=
dialpound=
dialstar=
return=
cmdresp=
connresp=
localecho=
baud=
databits=
stopbits=
parity=
default=
initstring=
outsideline=
hangup=

要修改數據機參數,使用下列命令。


fwmodem cmd=change
modem=
filename=
[cmdstring=]
[cmdterm=]
[dialcmd=]
[dialpause=]
[dialpound=]
[dialstar=]
[return=]
[cmdresp]
[connresp=]
[localecho=]
[baud=]
[databits=]
[stopbits=]
[parity=]
[default=]
[initstring=]
[outsideline=]
[hangup=]

要刪除數據機,使用下列命令。


fwmodem cmd=delete
filename=

參數定義為:


modem
數據機文件的名稱。

filename
指定數據機文件名。它必須以 .modem 擴展名結束。

cmdstring
指定命令方式字元串。命令方式字元串包含在連接方式時應被發送的字符集。這會迫使數據機進入命令方式而不會掛斷。

cmdterm
指定命令終止符。命令終止符表明字元將會添加到所有命令序列的尾部,使數據機接受命令。

dialcmd
指定撥號命令。這是以命令方式發送到數據機的命令。 ATDT 對大多數數據機有效。

dialpause
指定撥號字元串中所使用字元,以迫使數據機在用撥號字元串繼續撥號之前等待一個很短的時間(大約 1 秒)。 一般是一個逗號(,)。

dialpound
指定在撥號字元串中所使用的字元,以迫使數據機根據相應的 # 號來進行按鍵式音頻撥號。這通常是井號(#)。

dialstar
指定在撥號字元串中所使用的字元,以迫使數據機根據相應的 * 號來進行按鍵式音頻撥號。通常只是星號(*)本身。

return
指定附加在撥號字元串后的字元,以迫使數據機在完成撥號字元串后返回命令方式。 分號對大多數數據機有效。

cmdresp
指定允許您的數據機接受命令的字元串。通常,OK 就可以了。

connresp
指定檢測到一個通信公司和進行連接時,您的數據機將輸出的字元串。大多數數據機使用 CONNECT。

localecho
如果要數據機在連接模式時顯示本地字元,則指定 Yes。

baud
指定數據機的波特率。

databits
指定數據機的數據位。

stopbits
指定數據機的停止位。

parity
指定數據機的奇偶性。

default
指定數據機的預設設備。該設備文件必須在 /dev 目錄下,並且與配置的串列口匹配。

initstring
指數據機的初始化字元串。 在字元串中的參數必須與 AT 數據機命令相配,但 AT 不應該作為字元串的一部分而被包括。指定的參數應該與您通信公司的數據機的通信需求相協調。

outsideline
指撥通出站線路的號碼。

hangup
指定命令,迫使您的數據機在撥號后掛斷的命令。大多數數據機使用的預設值是 ATH0。

測試尋呼機配置
要確保已正確配置了活動尋呼機,可以在命令提示處輸入 fwsendpage。

參數定義對於 fwpgr 命令的來說是恆等的。


多個的尋呼機
如果要經常更改活動尋呼機,則:


確認已定義了所有必需的通信公司和數據機。

使用 fwpgr 或配置客戶來定義和保存尋呼機配置。

複製 etc/config/fwcust.pager 文件,給它取一個可以認出的名字

定義另一個尋呼機配置並複製它,重複這些操作直到複製所有需要的 fwcust.pager 文件

複製想要在 etc/config/fwcust.pager 后激活的配置文件。
如果嘗試處理移位更改,則建立一個 AIX cron 作業,自動重複在每個移位開始處的最後一個插塞(bullet)。


--------------------------------------------------------------------------------

安全性策略
命令 fwsecpolicy 用於更改和列出定義過的安全性策略選項。

要列出定義的安全策略選項,使用下列命令。


fwsecpolicy cmd=list

要修改定義的安全策略選項,使用下列命令。


fwsecpolicy cmd=change
[servicelist=[id1,id2,...,idn]]

請注意,如果參數 cmd=change,本命令將提示用戶每一種安全性策略選項。

防火牆的 DNS 安全性策略是:


id=20
允許 DNS 查詢。

id=21
允許 DNS 區傳送。
防火牆的記載安全性策略是:


id=23
拒絕將信息廣播至非安全介面。
防火牆的 Socks 安全性策略是:


id=34
拒絕 Socks 到非安全介面。
防火牆的臨時安全性策略是:


id=26
關閉服務介面。

id=25
測試 IP 路由選擇(僅作調試)。

--------------------------------------------------------------------------------

服務
命令 fwservice 用於創建、修改、刪除和列出服務,這些服務是實現某一協議的過濾器規則的集合。 詳見IBM eNetwork Firewall 用戶指南以獲取創建服務的詳細信息。

要創建服務,使用下列命令。


fwservice cmd=create
name=name
[desc=description]
[rulelist=id1/{f|b},id2/{f|b},...,idn/{f|b}]
[log={yes|no}]
[fragment={yes|no|only|headers}]
[tunnel=tunnel_id]
[time=hhmm-hhmm] (hh = 00-23, mm = 00-59)
[month=mmm[-mmm]] (mmm = Jan,Feb,...,Dec)
[day=nn[-nn]] (nn = 1,2,...,29 or 30 or 31)
[weekday=ddd[-ddd]] (ddd = Sun,Mon,...,Sat)
[timefilter={activate|deactivate}]

參數定義為:


name
指將用於此服務的名稱。

desc
是該服務的說明。

rulelist
是帶 ID 號和服務流向的規則列表。f 表示由左到右,而 b 表示由右到左。

log
表示是否將發生服務記錄。

fragment
表示該服務分段控制的類型。

tunnel
表示該服務的隧道 ID 號。

time
表示該服務活動或非活動的時間幀(以小時計算)。

month
表示該服務活動或非活動的時間幀(以月計算)。

day
表示該服務活動或非活動的時間幀(以月中的天數計算)。

weekday
表示該服務活動或非活動的時間幀(以周計算)。

timefilter
表示在指定時間幀內,該服務是否應該活動或非活動。
要修改服務,使用下列命令。


fwservice cmd=change
{name=name | id=id}
[desc=[description]]
[rulelist=[id1/{f|b},id2/{f|b},...,idn/{f|b}]]
[log=[{yes|no}]]
[fragment=[{yes|no|only|headers}]]
[tunnel=[tunnel_id]]
[time=hhmm-hhmm] (hh = 00-23, mm = 00-59)
[month=mmm[-mmm]] (mmm = Jan,Feb,...,Dec)
[day=nn[-nn]] (nn = 1,2,...,29 or 30 or 31)
[weekday=ddd[-ddd]] (ddd = Sun,Mon,...,Sat)
[timefilter=[{activate|deactivate}]]

參數定義為:


name
指將要更改的服務名稱。

id
指將要更改的服務的 ID 號。

desc
是該服務的說明。

rulelist
是帶 ID 號和服務流向的規則列表。f 表示由左到右,而 b 表示由右到左。

log
表示是否將發生服務記錄。

fragment
表示該服務分段控制的類型。

tunnel
表示該服務的隧道 ID 號。

time
表示該服務活動或非活動的時間幀(以小時計算)。

month
表示該服務活動或非活動的時間幀(以月計算)。

day
表示該服務活動或非活動的時間幀(以月中的天數計算)。

weekday
表示該服務活動或非活動的時間幀(以周計算)。

timefilter
表示在指定時間幀內,該服務是否應該活動或非活動。
要刪除服務,使用下列命令。


fwservice cmd=delete
{name=name | id=id}
[force={yes|no}]

參數定義為:


name
指將要刪除的服務名稱。

id
指將要刪除的服務的 ID 號。

force
表示是否應該刪除該服務(儘管有其它對象從屬於它)。
要列出服務,使用下列命令。


fwservice cmd=list
[name=name | id=id]
[format={short|long|wide|raw}]

參數定義為:


name
指將要列出的服務名稱。

id
指將要列出的服務的 ID 號。

format
描述了該命令輸出的格式。
要將規則列表添加到服務,使用下列命令。


fwservice cmd=add
rulelist=id1/{f|b},id2/{f|b},...,idn/{f|b}
service=service_id_or_name

參數定義為:


rulelist
是要添加到服務的帶 ID 號和服務流向的規則列表。 f 表示由左到右,而 b 表示由右到左。

service
指將要更改的服務的名稱或 ID 號。
要刪除服務的規則列表,使用下列命令。


fwservice cmd=remove
rulelist=id1/{f|b},id2/{f|b},...,idn/{f|b}
service=service_id_or_name

參數定義為:


rulelist
是要從服務刪除的帶 ID 號和服務流向的規則列表。 f 表示由左到右,而 b 表示由右到左。

service
指將要更改的服務的名稱或 ID 號。
要從服務中移動規則,使用下列命令。


fwservice cmd=move
rule=id/{f|b}
after=[id/{f|b}]
service=service_id_or_name

參數定義為:


rule
是要在服務中移動的規則的 ID 號和流向。

after
是要移動規則跟隨的規則的 ID 號和流向。

service
指將要更改的服務的名稱或 ID 號。

--------------------------------------------------------------------------------

Socks 規則
命令 fwsrule 用於創建、修改、刪除和列出 Socks 規則。 詳見IBM eNetwork Firewall 用戶指南以獲取 Socks 規則概念的完整說明。

要添加套接字規則,使用下列命令。


fwsrule cmd=add
name=name
[desc=description]
type={permit|deny}
[identd={None|?=I|?=i|?=n}]
[userid=userid1,userid2,...,useridn]
[operator={eq|neq|lt|gt|le|ge}]
[port=port_num] (port_num=0-65535)
[rulecommand="rule command"]

參數定義為:


name
指將用於此套接字規則的名稱。

desc
是該套接字規則的說明。

type
表示規則是否允許或拒絕通信量。

identd
表示如何通過 identd 使用用戶標識(用戶 ID)的結果。

userid
是請求主機上的用戶列表。

operator
表示在埠號上執行的邏輯運算。

port
表示埠號碼 (0-65535)。

rulecommand
滿足規則中的條件時將執行的命令串。
要修改套接字規則,使用下列命令。


fwsrule cmd=change
{name=name | id=id}
[desc=[description]]
[type={permit|deny}]
[identd=[{None|?=I|?=i|?=n}]]
[userid=[userid1,userid2,...,useridn]]
[operator=[{eq|neq|lt|gt|le|ge}]]
[port=[port_num]] (port_num=0-65535)
[rulecommand=["rule command"]]

參數定義為:


name
指將要更改的套接字規則名稱。

id
指將要更改的套接字規則 ID 號。

desc
是該套接字規則的說明。

type
表示規則是否允許或拒絕通信量。

identd
表示如何通過 identd 使用用戶標識(用戶 ID)的結果。

userid
是請求主機上的用戶列表。

operator
表示在埠號上執行的邏輯運算。

port
表示埠號碼 (0-65535)。

rulecommand
滿足規則中的條件時將執行的命令串。
要刪除套接字規則,使用下列命令。


fwsrule cmd=delete
{name=name | id=id}
[force={yes|no}]

參數定義為:


name
指將要刪除的套接字規則名稱。

id
指將要刪除的套接字規則 ID 號。

force
表示是否應該刪除該規則(儘管有其它對象從屬於它)。
要列出套接字規則,使用下列命令。


fwsrule cmd=list
[{name=name | id=id}]
[format={short|long|wide|raw}]

參數定義為:


name
指將要列出的套接字規則名稱。

id
指將要列出的套接字規則 ID 號。

format
描述了該命令輸出的格式。

--------------------------------------------------------------------------------

隧道
命令 fwtunnl 用於列出、添加、更改、刪除、導入、導出、激活、釋放和關閉隧道。 支持三種類型的隧道定義:IBM 隧道、手工隧道和動態隧道。欲知隧道的完整說明,請參閱 IBM eNetwork Firewall(防火牆)用戶指南。

使用下列命令以顯示所有來自隧道上下文文件的隧道。


fwtunnl cmd=list
[directory=AbsolutePath]
[tunnel={tunnel_id1,tunnel_id2,...,tunnel_idn}]

該 list 命令生成的一個樣本輸出如下:

123 Inactive IBM 9.37.53.88 9.37.54.52 CDMF ae
534 Active IBM 10.100.100.1 9.37.54.52 CDMF ae
679 Inactive manual 10.100.100.1 9.37.61.107 CDMF ae
368 dynamic 9.37.53.88 destination CDMF ae 480

要添加隧道定義到隧道上下文文件,對於隧道 type=IBM,使用下列命令


fwtunnl cmd=add
type=IBM
addr=LocalIPAddress
remaddr=TargetIPAddress
policy={be|ae|encr|auth|none}
encrypthow={DES_CBC_4|DES_CBC_8|CDMF}
tunnel=TunnelID
timeout={1-1440}
refresh={1-720}
algorithm={KEYED_MD5|HMAC_MD5}
initiator={y|n}

要修改指定隧道,對於隧道 type=IBM,使用下列命令


fwtunnl cmd=change
tunnel=TunnelID
[addr=LocalIPAddress]
[remaddr=TargetIPAddress]
[policy={be|ae|encr|auth|none}]
[encrypthow={DES_CBC_4|DES_CBC_8|CDMF}]
[timeout={1-1440}]
[refresh={1-720}]
[algorithm={KEYED_MD5|HMAC_MD5}]
[initiator={y|n}]

要添加隧道定義到隧道上下文文件,對於 type=manual 和 type=dynamic,使用下列命令


fwtunnl cmd=add
{type=manual remaddr= | type=dynamic username=}
addr=LocalIPAddress
policy={be|ae|encr|auth|none}
encrypthow={DES_CBC_4|DES_CBC_8|CDMF}
tunnel=TunnelID
timeout={1-99999}
spi={1-999999}
algorithm={KEYED_MD5|HMAC_MD5}

要修改指定隧道,對於隧道 type=IBM,使用下列命令


fwtunnl cmd=change
tunnel=TunnelID
[remaddr=]
[username=]
[addr=]
[policy={be|ae|encr|auth|none}]
[encrypthow={DES_CBC_4|DES_CBC_8|CDMF}]
[timeout={1-99999}]
[spi={1-999999}]
[algorithm={KEYED_MD5|HMAC_MD5}]

要刪除指定隧道,使用下列命令。


fwtunnl cmd=delete
tunnel={tunnel_id1,tunnel_id2,...,tunnel_idn}

使用下列命令將隧道上下文文件導入給定的目錄。上下文文件包括 fwexpmctx.manual、 fwexppolicy 和 fwexppolicy.3.1。


fwtunnl cmd=import
directory=AbsolutePath
tunnel={tunnel_id1,tunnel_id2,...,tunnel_idn}

使用下列命令將隧道上下文文件(僅指一個隧道)導出到給定的目錄。上下文文件包括 fwexpmctx.manual、 fwexppolicy 和 fwexppolicy.3.1。


fwtunnl cmd=export
directory=AbsolutePath
tunnel={tunnel_id1,tunnel_id2,...,tunnel_idn}

給定的目錄必須不包含現存的上下文文件。

使用下列命令來激活或釋放一個指定的隧道。


fwtunnl cmd={activate|deactivate}
[tunnel={tunnel_id1,tunnel_id2,...,tunnel_idn}]

如果 tunnel 未指定,防火牆將嘗試激活或釋放所有的隧道並在首次失敗后終止。當激活一系列隧道時,所有的隧道必須是非活動的。同樣,當釋放一系列隧道時,所有的隧道必須是活動的。

要關閉所有的活動隧道,使用下列命令。


fwtunnl cmd=shutdown

參數定義為:


type=IBM Tunnel
指位於 IBM Firewall 之間的一條隧道。具有自動密鑰刷新功能。

type=Manual Tunnel
位於 IBM Firewall 和非 IBM Firewall 之間的一條隧道。 使用 IPSec 標準。

type=Dynamic Tunnel
指使用防火牆安全遠程客戶程序功能的一條特殊隧道。 該隧道在遠程客戶程序啟動防火牆會話時激活,在客戶程序結束時釋放。

addr
在本地地址欄位中,輸入隧道所使用的本地防火牆非安全介面的 IP 地址。 您可以單擊「Select」,選擇一個已定義的網路對象。

remaddr
指目標 IP 地址。即隧道所使用的夥伴防火牆的 IP 地址.

policy
將允許您輸入加密和認證值。著將取決於您的安全性需求,請在下列策略中作選擇:

encr/auth
數據被加密然後再認證。

auth/encr
數據被認證然後在加密。

encr only
數據僅被加密。

auth only
數據僅被認證。

none
數據既不加密也不認證。

encrypthow
用 Algorithm 進行 IP 包的加密。如果這樣的話,必須指定全球通用的 DES_CBC(僅適用於美國或加拿大)或商業數據掩碼設施(CDMF)其中之一。 DES_CBC_8 使用 64 位初始化向量,DES_CBC_4 使用 32 位的初始化向量。

tunnel
輸入隧道的隧道標識號。 有效值為 1 至 999999。

timeout
隧道超時(以分鐘計算)。

refresh
僅適用於 IBM 隧道。輸入用分鐘表示的時間。用它來確定啟動新密鑰終止舊密鑰之間重疊的時間。您所指定的值將影響性能(值越小,對性能影響越大)。 推薦使用 480 分鐘(8 小時)。

initiator
initiator 欄位指定了哪個夥伴啟動會話協商。如果把兩個夥伴都指定為 initiator,隧道邏輯將解除死鎖。 至少應設置一個夥伴為 initiator。請選擇 yes 或 no。

spi
當添加一條手工隧道時,將使用目標安全性參數索引。該索引應該由隧道的目標方生成。 使用目標 SPI 和目的地 IP 地址來確定使用何種安全性關聯。 有效值從 1 至 999999。然而,注意要為 Internet 分配數許可權(IANA)保留 1 到 255 的值以為將來使用。

directory
用於指定隧道上下文文件的位置。

username
使用隧道需要一個用於認證的用戶名。

--------------------------------------------------------------------------------

用戶
該命令用於添加一個新用戶或為一個已存在的防火牆用戶修改一至若干個屬性。 所有參數或者有預設值或者在某些情況是不必要的。 當 cmd=add 時,將保留預設值;當 cmd=change 時,將保留當前值。


fwuser cmd={add|change}
username=LoginName
[fullname="UsersRealName"]
[password={yes|no}]
[pwdvalue=Password]
[level={proxy|admin}]
[secshell=SecureShell]
[remshell=NonSecureShell]
[loclogin=LocalLoginAuthentication]
[secftp=SecureFTPauthentication]
[remftp=NonSecureFTPauthentication]
[secauth=SecureTelnetAuthentication]
[remauth=NonSecureTelnetAuthentication]
[secip=SecureIPSecClientAuthentication]
[remip=NonSecureIPSecClientAuthentication]
[secadmin=SecureAdminAuthentication]
[remadmin=NonSecureAdminAuthentication]
[key="SecureNet Key Code"]
[warntime=IdleWarningTime]
[disctime=IdleDisconnectTime]
[histexpire=HistoryExpiration]
[histsize=HistorySize]
[loginretries=LoginRetries]
[maxage=MaxAge]
[maxexpired=MaxExpiredAge]
[maxrepeats=MaxRepeatChars]
[minalpha=MinAlphaChars]
[mindiff=MinDifferentChars]
[minlen=MinLength]
[minother=MinNonAlphaChars]
[pwdwarntime=PasswordWarnTime]
[modeallowed=host|none]
[fg_act={yes|no}]
[fg_all={yes|no}]
[fg_addrtrans={yes|no}]
[fg_clone={yes|no}]
[fg_dist={yes|no}]
[fg_dns={yes|no}]
[fg_interfaces={yes|no}]
[fg_logmonitor={yes|no}]
[fg_logs={yes|no}]
[fg_mail={yes|no}]
[fg_netobjs1={yes|no}]
[fg_netobjs2={yes|no}]
[fg_pagers={yes|no}]
[fg_proxyserver={yes|no}]
[fg_secag={yes|no}]
[fg_sesslfm={yes|no}]
[fg_snmp={yes|no}]
[fg_user={yes|no}]
[fg_traffic={yes|no}]
[fg_vpn={yes|no}]

基本參數


username
指用戶的登錄名。它必須是一個有效的 AIX 註冊名。

fullname
指用戶全名或一些與該用戶有關的其它一些簡短(一行)信息。如果該值中包含空格,則必須用雙引號將它括起。

level
預設級別為 proxy,說明正在創建的用戶是一個簡單的代理或 Socks 用戶。管理功能組與管理認證不適用於代理用戶。

key
密鑰用於認證用戶的 Digital Pathways' SecureNet Key 卡。由於該值必須包含空格,所以它必須用雙引號括起。
登錄外殼


secshell
指用於從安全介面實現 telnet 登錄的外殼。有效值為 /bin/restrict.sh、/bin/csh、/bin/ksh、/bin/bsh 以及 /bin/oneact.sh。其預設值是 /bin/restrict.sh。

remshell
指用於從非安全介面實現 telnet 登錄的外殼。有效值為 /bin/restrict.sh、/bin/csh、/bin/ksh、/bin/bsh 以及 /bin/oneact.sh。其預設值是 /bin/restrict.sh。
認證

以下是認證字元串和它們相應的認證方式。使用下面表示的 fwuser 命令各種參數的認證字元串。


permit-permit all

deny-deny all

password-Firewall password

snk-SNK

sdi-SDI

user_defined-user-supplied authentication

loclogin
指用於從本地控制台登錄的認證方法。 有效值為 deny、permit、password、sdi 和 user_defined。其預設值是 deny。

secftp
指用於從安全介面實現 FTP 登錄的認證方法。 有效值為 deny、permit、password、snk、sdi 和 user_defined。 其預設值是 deny。

remftp
指用於從非安全介面實現 FTP 登錄的認證方法。 有效值為 deny、permit、password、snk、sdi 和 user_defined。 其預設值是 deny。

secauth
指用於從安全介面實現 telnet 登錄的認證方法。 有效值為 deny、permit、password、snk、sdi 和 user_defined。其預設值是 deny。

remauth
指用於從非安全介面實現 telnet 登錄的認證方法。有效值為 deny、permit、password、snk、sdi 和 user_defined。 其預設值是 deny。

secip
指用於從安全介面實現遠程 IPSec 客戶機登錄的認證方法。有效值為 deny 和 password。其預設值是 deny。

remip
指用於從非安全介面實現遠程 IPSec 客戶機登錄的認證方法。 有效值為 deny 和 password。其預設值是 deny。

secadmin
指用於從安全介面實現 Firewall 配置客戶登錄的認證方法。 有效值為 deny、permit、password、snk、sdi 和 user_defined。 其預設值是 deny。

remadmin
指用於從非安全介面實現 Firewall 配置客戶登錄的認證方法。 有效值為 deny、permit、password、snk、sdi 和 user_defined。 其預設值是 deny。
注意: fwdfuser 不能在任何其認證方法欄位中設置 SNK 或 Firewall 口令。


空閑代理參數


warntime
定義了數分鐘的空閑時間,在此之後 fwidleout 命令將警告用戶其即將被斷開。

disctime
定義了數分鐘的空閑時間,在此之後 fwidleout 命令將斷開此用戶。Disctime 應大於 warntime。
Firewall 口令參數


password
表明是否提示用戶輸入口令。預設情況下,如果已指定了任何一種認證方法或允許口令預設都將向您作出提示。

pwdvalue
多數情況下用於腳本程序設計,該參數允許在命令行中指定一個參數的值。請注意,該值是在清除文本(即不顯示)的狀態下輸入的並且不可以竊取該值。無預設值。

histexpire
定義了一段時間(用周表示),用戶在此段時間內不能再使用口令。其值是一個整數串。 有效值為 0 - 52。 0 代表未設置時間限制。預設值為 26。

histsize
定義了用戶不能再使用的前續口令數。其值是一個整數串。 有效值為 0 - 20。只有 histexpire=0 時有效。預設值為 10。

loginretries
定義了系統鎖住帳戶之前最近一次成功登錄之後,嘗試登錄未成功的次數。其值是一個整數串。 有效值為 0 - 20。預設值為 10。 零或負數表示無限制。一旦用戶帳戶被鎖住,用戶只有在系統管理員把 /etc/security/lastlog 文件內用戶的 unsuccessful_login_countOnce 屬性加以複位使其值小於已撤消的登錄數時才能再次登錄。如果這樣的話,請輸入下列命令,
chsec -f /etc/security/lastlog -s username -a |unsuccessful_login_count


maxage
定義了口令的最長壽命(用周表示)。必須在到期前更改口令。其值是一個整數串。 有效值為 0 - 52。 0 表示無最長壽命。預設值為 13。

maxexpired
定義了一個用戶能更改已到期口令的最長時間(用周表示),其值大於 maxage 的值。超出該定義時間后,只有管理用戶才可以更改此口令。其值是一個整數串。 有效值是 -1 - 26。如果 maxexpired 屬性為 0,則表示口令在達到 maxage 的值時期滿。如果 maxage 屬性為 0, 則忽略 maxexpired 屬性。預設值為 3。

maxrepeats
定義了在一個新口令中一個字元可重複的最多次數。有效值為 0 - 8,但 0 是無意義的。8 表示無此最多次數的限制。預設值為 2。

minalpha
定義了一個新口令中必須存在的字母字元的最少個數。其值是一個整數串。 有效值為 0 - 8。0 表示無最少個數。 預設值為 4。

mindiff
定義了一個新口令中需存在的而老口令中沒有的字元的最少個數。其值是一個整數串。 有效值為 0 - 8。0 表示無最少個數。預設值為 3。

minlen
定義了一個口令的最小長度。其值是一個整數串。有效值為 0 - 8。0 表示無最少個數。 預設值為 8。

minother
定義了一個新口令中必須存在的非字母字元的最少個數。其值是一個整數串。 有效值為 0 - 8。0 表示無最少個數。 預設值為 1。

pwdwarntime
定義了系統在發布口令必需更改的警告之前的天數。其值是一個整數串。 有效值為 0 - 30。零或負數表示將不發布信息。其值必須小於 maxage 和 minage 屬性的差。若其值大於它們的差將忽略並在達到 minage 的值時發出一條信息。
管理功能組

modeallowed 指所允許的登錄方式:


禁止 none-User 登錄至防火牆配置伺服器

efm-Administrator 可以 EFM 模式登錄

host-Administrator 只能以主機方式登錄至防火牆配置伺服器。

both-Administrator 可以以 EFM 方式或主機方式兩者之一登錄

fg_all
如果允許該管理員管理防火牆的各個方面,則輸入 yes。預設值為 no。

fg_act
如果允許該管理員在其管理的防火牆上激活所作的更改,則輸入 yes。預設值為 no。

fg_addrtrans
如果允許該管理員管理網路地址轉換,則輸入 yes。預設值為 no。

fg_clone
如果允許管理員複製管理的防火牆,則輸入 yes。預設值為 no。

fg_dist
如果允許該管理員將配置更改發送至其管理的防火牆,則輸入 yes。預設值為 no。

fg_dns
如果允許該管理員管理域名服務,則輸入 yes。預設值為 no。

fg_interfaces
如果允許該管理員定義防火牆界面,則輸入 yes。預設值為 no。

fg_logmonitor
如果允許該管理員管理日誌監視器閾值,則輸入 yes。預設值為 no。

fg_logs
如果允許該管理員管理日誌設施,則輸入 yes。預設值為 no。

fg_mail
如果允許該管理員管理防火牆郵件網關,則輸入 yes。預設值為 no。

fg_netobjs1
如果允許該管理員對網路對象進行基本管理,則輸入 yes。預設值為 no。

fg_netobjs2
如果允許該管理員對網路對象進行高級管理,則輸入 yes。預設值為 no。

fg_pagers
如果允許該管理員管理尋呼機設置,則輸入 yes。預設值為 no。

fg_proxyserver
如果允許該管理員配置防火牆代理精靈程序,則輸入 yes。預設值為 no。

fg_secag
如果允許該管理員管理其管理的防火牆的安全性條約,則輸入 yes。預設值為 no。

fg_sesslfm
如果允許該管理員管理其管理的防火牆的會話限制,則輸入 yes。預設值為 no。

fg_snmp
如果允許該管理員管理 SNMP 管理器及子代理,則輸入 yes。預設值為 no。

fg_traffic
如果允許該管理員對通信量控制進行管理,則輸入 yes。預設值為 no。

fg_user
如果允許該管理員管理防火牆用戶,則輸入 yes。預設值為 no。

fg_vpn
如果允許該管理員管理虛擬專用網,則輸入 yes。預設值為 no。
欲列舉出所有防火牆用戶或一個指定的防火牆用戶的全部屬性,請使用:

fwuser cmd=list
[username=username]




[火星人 via ] IBM eNetwork Firewall AIX 版--1已經有304次圍觀

http://www.coctec.com/docs/unix/show-post-74004.html