2015防火墙常见问题汇总.docVIP

ALG的作用是什么  地址转换会导致许多对NAT敏感的应用协议无法正常工作，必须针对该协议进行特殊的处理。所谓对NAT敏感的协议是指该协议的某些报文的有效载荷中携带IP地址和（或）端口号，如果不进行特殊处理，将会严重影响后继的协议交互。  地址转换应用网关（NAT Application Level Gateway，NAT ALG）是解决特殊协议穿越NAT的一种常用方式，该方法按照地址转换规则，对载荷中的IP地址和端口号进行替换，从而实现对该协议的透明中继。目前VRP的NAT ALG支持PPTP、DNS、FTP、ILS、NBT、SIP、H.323等协议。  在SecPath上，当开启NAT功能后，系统会自动开启NAT ALG，无需手工设置。  防火墙的域（zone）是什么意思  区域（zone）是防火墙产品所引入的一个安全概念，是防火墙产品区别于的主要特征。一个安全区域包括一个或多个接口的组合，具有一个安全级别。在设备内部，安全级别通过0～100的数字来表示，数字越大表示安全级别越高，不存在两个具有相同安全级别的区域。SecPath缺省有trust、untrust、DMZ、local 4个安全域，同时还可以自定义12个区域。  [SecPath]firewall zone ?   DMZ DMZ security zone   local Local security zone   name Specify a new security zone name and create it   trust Trust security zone   untrust Untrust security zone   一般来讲，安全区域与各网络的关联遵循下面的原则：内部网络应安排在安全级别较高的区域、外部网络应安排在安全级别最低的区域。具体来说，Trust所属接口用于连接用户要保护的网络；Untrust所属接口连接外部网络；DMZ区所属接口连接用户向外部提供服务的部分网络；从防火墙设备本身发起的连接即是从Local区域发起的连接。相应的所有对防火墙设备本身的访问都属于向Local区域发起访问连接。  SecPath防火墙中inbound和outbound的含义是什么呢  SecPath防火墙的ACL规则和路由器一样，是应用在接口上的，inbound指从接口进入防火墙的方向，outbound是从防火墙出接口的方向。这点是与Eudemon和SecPath1800F不同的。Eudemon和SecPath1800F的ACL是应用在域间的，inbound是指从低安全级别的域进入高安全级别域的流量，如从untrust进入trust，outbound的方向与此相反。  为什么我的接口配了IP地址和PC对连却ping不通  接口必须加入且只能加入一个域才能生效。特别要注意的是，除了物理口要加入域外，virtual-template和tunnul也必须加入域。如果不加入域，可能出现端口up但是却互相ping不通、SecPoint拨号接入却获取不到IP地址等情况。这是刚接触防火墙常犯的错误，希望大家能够牢记。  命令为firewall zone trust/untrust   Add interface eth 0/1  同时，在3.4-0006版本后，缺省情况下，更改了包过滤的缺省规则，缺省规则由permit改为deny，缺省情况下，所有的接口都是不通的，需要在系统视图下配置firewall packet-filter default permit才能访问。  Secpath系列产品如何查看flash中有哪些文件  dir/all  Directory of flash:/   1 -rw- 5800821 Oct 10 2002 10:10:10 system   2 -rw- 1021629 Oct 10 2002 10:10:10 http.zip   3 -rw- 962 Sep 22 2010 16:42:11 config.cfg   4 -rw- 524288 Aug 09 2010 09:35:41 bootromfull  15621 KB total (8439 KB free)  Secpath系列产品如何备份配置文件和VRP文件  1、使用TFTP方式（需要有TFTP服务器，如3CDaemon）   前提条件：保证PC机和设备之间可以双向PING通  tftp （TFTP服务器的地址） p