Eudemon200防火墙操作指导书20040323(16)

经典防火墙的操作指导书

如果一个接口处于防火墙安全级别最高的域中，是不能使用这个接口做esay ip功能的

2.5.2 NAT ALG命令

NAT和ASPF都有ALG命令的设置，二者有些协议是重合的，有些又有不同。原因是这样的，在VRP软件上面，原有的NAT和ASPF分别有自己的解码函数，各自实现了独立的ALG处理，因此产生了两套设置命令。在防火墙上，为了提高处理的性能，NAT和ASPF共用了一套解码函数，但是对于解码后的处理函数是相对独立的（NAT要分配地址/ASPF要判断状态机是否正确）。因此，仍然是保留了两组ALG开关命令。对于两种功能都需要操作的状态机，以部署在域间的ASPF命令为主，ASPF的命令控制了是否对协议进行解码，NAT的ALG命令控制了是否根据解码结果进行NAT处理。如果ASPF的控制命令没有启动，即使设置了NAT的ALG命令也是不能激活相关功能的。缺省状态下，所有ASPF ALG函数的开关命令都是关闭状态的，NAT ALG函数的开关命令都是打开状态的。一般的使用中，可以不用理会NAT的设置命令，单独使用ASPF的命令就可以起到控制的作用。

2.6 统计功能

2.6.1 统计功能的特殊概念

在统计功能中，在域模式下使能的命令都包含一个inzone/outzone的参数。这个参数的含义指的是从其他域进入这个域以及从这个域流出到其它域。假设接口eth0属于受信域，且是受信域的唯一接口，那么要统计从这个接口接收到的发送给其他接口的信息，需要在受信域配置statistic enable ip outzone，如果要统计其它接口发送来的要从这个接口流出防火墙的信息则需要配置statistic enable ip inzone。这点在初次配置的时候不容易理解，需要注意。

2.6.2 统计的注意事项

防火墙的统计信息是整个防火墙进行攻击防范和表项处理所依据的基础，因此某些基础数据是不允许清除的。在使用reset firewall statistic system命令的时候，像当前表项等统计数据并不会被清除，只有在使用reset firewall session table命令清除所有表项的时候，这些统计信息才会清零，需要注意。

统计功能目前分配的用于统计IP的表项数目有限，而这些表项又是攻击防范功能的基础数据的来源，因此一旦这些资源耗尽，相应的攻击防范功能也不会起作用了。在配置statistic enable ip inzone/outzone命令的时候，务必要根据实际需要，结合前面说明的inzone/outzone的含义指定。不要为了省事，对所有的域都既使能inzone的统计，又使能outzone的统计。这样会将有限的表项无谓的消耗掉，反而无法防范真正的攻击。