神州数码 dcfw-1800 防火墙配置手册

范例说明

显示所有接口，包括虚拟接口的IP地址配置 DCFW-1800>ifconfig eth0 Link encap:Ethernet Hwaddr 00:40:23:90:b2:71 inet addr:192.9.200.109 ……

配置某一物理接口或虚拟接口的IP地址，将网卡eth0的第三个虚拟接口的IP设置 为192.9.200.16，网络掩码为255.255.255.0

DCFW-1800>ifconfig eth0:2 192.9.200.16 255.255.255.0

©版权所有：神州数码网络有限公司 - 103 -

神州数码DCFW-1800防火墙用户手册

删除指定接口,作用于虚拟设备时，关闭此虚拟设备，释放资源；作用于物理接口时， 取消此接口的IP地址，但接口仍旧透明工作。 DCFW-1800>ifconfig eth0:2 off

b) route

说明

神州数码DCFW-1800防火墙可以在通信上提供静态路由，可以用来管理内部子

网之间的相互通信，通过虚拟接口或使用多个物理接口将内部网划分为几个子网，这 几个子网之间的通信就可以利用防火墙的路由功能进行通信。

用法

route show [options]

route add [ip netmask gwip dev] route del [ip netmask gwip dev]

参数说明

show : 显示当前路由列表，不包括接口列表。 add : 增加路由表项 del : 删除路由表项

示例说明

显示路由表

DCFW-1800> route show

配置或删除某一条目的路由，增加一条路由，使到192.9.200.5/255.255.255.0的路 由为192.9.201.109

DCFW-1800>route add 192.9.200.5 255.255.255.0 192.9.201.109 eth0

c) bind

说明

察看或修改IP地址绑定列表。

用法

bind [-vn] []

参数说明：

-a ：显示所有的IP捆绑列表 -s ：添加一条新的条目

©版权所有：神州数码网络有限公司 - 104 -

神州数码DCFW-1800防火墙用户手册

-d ：删除指定主机名或IP地址的条目 -v ：显示详细的IP绑定列表并统计数目

-n ：强行用数值型的地址代替主机名、端口名或用户名

d) bindsave

说明

存储地址绑定

用法 bindsave

e) settime

说明

设置防火墙的系统时间。

用法 settime

f) ping

说明

执行ping命令，它会使用ICMP（Internet Control Message Protocol）传输协议，

发出要求回应的信息，若远程主机的网络功能没有问题，就会回应该信息，从而得知 该主机工作正常。

用法

ping [-LRdfnqrv] [-c count] [-i wait] [-l preload] [-p pattern] [-s packetsize] [-t ttl] [-I interface address] host

参数说明

-c ：设置应答次数。

-i ：指定收发信息的间隔，单位为秒，默认为1秒，本参数与“-f”不兼容。 -l ：设置在送出要求信息之前，先行送出数据包。

-p ：设置填满数据包的范本样式。最多可以指定16Bytes的范本样式，该样式必须 用十六进制字码设置。

-s ：设置数据包的大小。预设值为56Bytes，加上8Bytes的ICMP文件头成 为 Bytes。倘若设置大小为100Bytes，则送出的数据包应该是108Bytes。

-t ：设置存活值TTL（Time-to-Live）的大小，范围从1-255。每个IP数据包都会 拥有这项数值，以便决定该数据包是否应放弃。当数据包经过路由期，TTL数值就会 被扣减，直到数据为0时，路由器就会放弃这个数据包，且发出ICMP的信息通知送

©版权所有：神州数码网络有限公司 - 105 -

神州数码DCFW-1800防火墙用户手册

出该数据包的主机。

-I ：使用指定的网络界面送出数据包。一般而言，第一张网卡其界面代号通常是 eth0,用户可以执行ifconfig指令查询网络界面代号。

示例说明

每隔4秒钟向192.9.23.10 发送一个数据包，每个数据包为100Bytes,加上8Bytes 的ICMP文件头，发送出的数据包为108Bytes，要求辉映次数为8。 DCFW-1800>ping –s 100 –c 8 –i 4 192.9.23.10

g) telnet

说明

通过telnet访问防火墙管理的主机

用法 telnet ip

h) halt

说明

关闭防火墙

用法 halt

i) reboot

说明

重新启动防火墙

用法 reboot

示例说明

重新启动防火墙重新启动 DCFW-1800> reboot

©版权所有：神州数码网络有限公司 - 106 -

神州数码DCFW-1800防火墙用户手册

j) write

说明

把当前防火墙的设置保存起来。

用法 write

k) help

说明

列出所提供的命令及概要说明

用法 help

示例说明

列出所提供的命令及概要说明 DCFW-1800> help

l) restore

说明

恢复出厂设置

用法

restore (之后系统会提示用reboot命令重新启动防火墙，重启后恢复出厂设置生效)

m) quit

说明

退出命令行系统

用法 quit

示例说明

退出防火墙的CLI管理界面 DCFW-1800>quit

©版权所有：神州数码网络有限公司 - 107 -

神州数码DCFW-1800防火墙用户手册

n) setqos

说明

启动/停止防火墙的带宽服务

用法

setqos start/stop

o) ver

说明

显示本软件的版本号。

用法 ver

示例说明

显示防火墙系统版本 DCFW-1800> ver

DCFW-1800> Firewall shell

7. Web管理方式

本章通过介绍神州数码DCFW-1800防火墙的Web配置管理器界面、使用方法及其意义，让读者全面熟悉本产品的Web管理及操作。神州数码DCFW-1800防火墙有三种配置方法：Web管理、基于Windows 98/NT/2000系统的GUI管理器、CLI方式。从管理安全的角度，级别从高到低依次排序为：CLI方式GUI管理器，Web管理。CLI方式对管理者要求较高，Web管理和GUI管理方法通俗易懂，比较容易配置，我们提倡使用专用GUI管理器。

Web配置方式为用户体提供了简洁、友好的配置界面和详尽的提示，能够使用户在尽量短的时间内掌握防火墙的配置方法。

注意：要使用Web管理，必须先启动Web管理服务。在GUI管理器中点击 “系统配置”，在弹出窗口中点击“服务选项”，选择“WEB界面”。

©版权所有：神州数码网络有限公司 - 108 -

神州数码DCFW-1800防火墙用户手册

7.1. Web管理工具简介

神州数码DCFW-1800高性能防火墙的Web配置方式提供了多个配置窗口供用户管理防火墙。包括：

系 统：配置和管理防火墙的基本功能。

对象定义：配置防火墙各项都要用到的常用服务定义等基本信息。 网 络：配置防火墙的网络接口和静态路由。

控制规则：配置防火墙包过滤规则以及地址转换规则。

代 理：配置防火墙应用层代理，包括HTTP，FTP以及SMTP代理。 流量控制：配置防火墙流量以及带宽管理规则。

IDS功能：配置防火墙内嵌入侵监测系统以及与特定入侵监测系统的互动。 VPN配置：配置防火墙VPN的信息。 VLAN配置：配置防火墙VLAN接口的信息。 升级：配置防火墙的文件升级和内核升级。

©版权所有：神州数码网络有限公司 - 109 -

神州数码DCFW-1800防火墙用户手册

7.2. 防火墙Web配置管理介绍 Web管理器与防火墙的连接与断开

根据防火墙内网口的默认IP地址，利用IE浏览器https://的安全连接方式，在地址栏中填入本机内网口地址，在登录窗口中输入用户名和口令（默认的用户名为：admin，口令为：admin），就可以建立WEB管理器与防火墙主机的连接。

防火墙服务配置

这项配置是在“系统” →“系统配置”窗口中完成，主要是对防火墙进行基本功能的开启或关闭，包括名称，接收日志地址，DNS服务器，双机热备，网桥，及各项代理功能等。

©版权所有：神州数码网络有限公司 - 110 -

神州数码DCFW-1800防火墙用户手册

防火墙名称：自定义设备的名称

接收日志的主机地址：日志定向的主从机地址，及记录方式。 配置DNS服务器：DNS服务器的地址。

防火墙的双机热备：显示双机热备时，主从机的工作状态，双机热备主从机地址。

配置网桥参数：允许或禁止内网，，DMZ网桥的服务区域；网桥的名称及地址。

服务功能选项：

GUI界面：允许或禁止GUI界面使用 网桥模式：开启或禁止网桥模式 WEB界面：允许或禁止WEB界面使用 用户认证：开启或禁止用户认证功能 双机热备：开启或禁止双机热备功能 流量控制：开启或禁止控制流量 带宽QoS：开启或禁止控制带宽 SNMP模式：开启或禁止SNMP模式 IDS互动：开启或禁止IDS互动功能 IDS模块：开启或禁止IDS模块 VPN模块：开启或禁止VPN模块 防IDS攻击：开启或禁止防IDS攻击模块 FTP代理：开启或禁止FTP代理 HTTP代理：开启或禁止HTTP代理 SMTP代理：开启或禁止SMTP代理

©版权所有：神州数码网络有限公司 - 111 -

神州数码DCFW-1800防火墙用户手册

更新规则

主要是对防火墙的规则进行更新，使配置的规则生效。当对防火墙的系统配置参数或是配置规则作改动后，应使用更新规则。

数据保存

把防火墙当前的所有设置保存，以便在防火墙重新启动后配置仍然有效。用户在对防火墙进行配置更改后，所做的工作都是在内存方式运行，如不保存，在系统重启后将丢失。

设置时间

恢复出厂设置

使用防火墙恢复到出厂设置的状态，即把数据保存步骤中保存的数据删除。使用此功能后，还需防火墙重新启动，方可进入出厂状态。

重启防火墙

在防火墙重启动期间，经过防火墙的网络访问将不能正常通迅，请慎重使用。

关机

关闭防火墙系统。在防火墙关机后，经过防火墙的网络访问将不能正常通迅，请慎重使用。

7.3. 对象定义

定义服务，用户，主机以及时间对象

©版权所有：神州数码网络有限公司 - 112 -

神州数码DCFW-1800防火墙用户手册

服务

定义网络服务对象，在这里设定需要防火墙管理的网络服务的名称，所使用的协议以及服务的源端口和目的端口。如下图所示，防火墙系统定义了一部分常用的网络服务的设置，如果用户自定义，只需点击右侧的“增加”按钮。

之后就可以在列表中看到添加的新的服务信息。

时间

定义时间段,用户可根据单位或个人的工作时间设置网络服务的开放时段。

选中“时间”卡片，将显示系统默认的时间段设置。点击“增加时间段”的按钮，切换出窗口，包含时间段的名称，每天开始时间，结束时间，星期。据需要自定义新的时间段；若想将已有的时间段更改，点击需更改的项，单击“修改”、弹出窗口，据需要更改成新的时间段；若想将已有的时间段删除，单击需删除的的项，单击“删除”即可。

©版权所有：神州数码网络有限公司 - 113 -

神州数码DCFW-1800防火墙用户手册

主机对象

定义网络服务对象。在这里分别设定防火墙所要管理的各个区域（内网、、DMZ）主机或网段的网络信息，包括主机或网段的名称、主机或网段的IP地址、网络掩码。

在这里设定的内容，根据实际需要，可以设定为具体一部主机或网段的信息，也可以设定为一个虚拟主机或虚拟网段的信息。

选定要管理主机所在的网段，这里以“内网”为例，据需要自定义新的名称,IP地址,网络掩码;点击“增加”按钮,即可。若想将已有的主机对象更改，单击“修改”、切换出窗口，据需要更改成新的主机对象；若想将已有的主机对象删除，单击“删除”即可。

©版权所有：神州数码网络有限公司 - 114 -

神州数码DCFW-1800防火墙用户手册

如：定义主机名称为：从client100，输入源IP地址为192.9.200.100，网络掩码为255.255.255.255，点击“增加”即可。之后就可在“配置参数列表”中看到内网主机clint100的信息。，DMZ区配置主机对象同上。

组对象

定义网络对象组. 为了设置规则的方便灵活，（有时会把某个网段和几个的主机作相同的规则设置）可以把某个区域的主机按照对主机的不同选择分类归组。

设置组对象窗口如下：

据需要自定义组对象的名称，主机对象类别，点击“增加”即可。

用户对象

此处定义防火墙的用户，包括管理用户和认证用户。

7.4. 网络

配置防火墙网络接口和静态路由

接口

配置网络适配器接口地址.

首先，要了解防火墙网口的出厂默认配置：

内网 IP地址：192.168.1.1 网络掩码：255.255.255.0

©版权所有：神州数码网络有限公司 - 115 -

神州数码DCFW-1800防火墙用户手册

IP地址：192.168.2.1 网络掩码：255.255.255.0 DMZ IP地址：192.168.3.1 网络掩码：255.255.255.0

在“配置参数列表”中就会显示当前防火墙三个网口的接口名、IP地址以及网络掩码等信息。用户可以根据自己网络的实际情况修改各个网口的IP地址。（我们这里假设需要把防火墙内网口的IP地址修改为：192.9.200. 31）

在“名称”填入自定义名称,在”接口名”中选择网络的接口,填入IP地址,网络掩码, 点击“增加”确定.

点击功能栏中的“初始化防火墙”项，这时防火墙网口的IP地址已经按用户设定的内容更改，重新连接防火墙，防火墙地址则为192.9.200.31，重新登录。

利用相同的方法可修改防火墙外口和DMZ口的IP地址。

路由

配置静态路由信息,神州数码DCFW-1800防火墙的路由功能通过对目的地址的路由寻址来完成.

目的地址：填写路由的目的地址及网络掩码。

接口：路由器所在的接口位置，可以是内网，，也可以是DMZ区。

网关：填写路由所经的第一站（第一个端口）的地址。当所要发送的内容不能到达目的地址时，

将其送往网关所指的地址。

点击功能栏中的“初始化防火墙”项，重新连接，设置才能生效。

初始化防火墙

在涉及防火墙接口或路由的改动时，均需要进行一次初始化。

©版权所有：神州数码网络有限公司 - 116 -

神州数码DCFW-1800防火墙用户手册

7.5. 控制规则

配置包过滤规则、双向地址转换规则和地址绑定。

状态包过滤规则

定义控制通过防火墙的访问规则。内网页面定义源地址是从内网区域来的访问，页面定义源地址是从区域来的访问，DMZ页面定义源地址是从DMZ区域来的访问，防火墙页面是定义从哪里来可以访问防火墙的规则（通常防火墙页面不需配置规则）

规则配置

点击“控制规则”中的“状态包过滤规则”；

内网的包过滤窗口设置：

源对象：指内网的所有主机和对象组。点击源对象最右边的“

”将出现“对象定义”中的

内网设定的所有主机对象和组对象。选择需要设置的对象即可。

目的区域：指内网，，DMZ区域，按要求选择目的区域。 目的对象 ：目的区域的主机对象或对象组。

服务对象：规则设定所需用的服务。点击源对象最右边的“

对象。

时间段：规则工作的时间段。点击源对象最右边的“动作：规则的允许或拒绝。 记录日志：是否记录日志。

源MAC地址过滤：填写被禁止的MAC地址。

上图表示：在工作时间（worktime）内，不允许内网名为 “管理机”主机组同的任意主

©版权所有：神州数码网络有限公司 - 117 -

”将出现“对象定义”的服务

”将出现“对象定义”的时间段内容。

神州数码DCFW-1800防火墙用户手册

机建立基于任何协议的连接，如果在工作时间内主机组向发起连接请求，防火墙将阻断连接请求，并记录日志。

在配置完成后，点击 “增加”按钮，然后“更新规则”，“保存数据”。至此状态检测规则配置完成。以及DMZ的状态检测规则的配置与内网相同。

注意：防火墙规则遵循“第一匹配原则”， “第一匹配原则”定义详见5.2节的“注意”内容。

SNAT规则

源地址转换规则的转换地址支持地址段范围，使用时需在两个地址之间加符号\"-\"，如202.103.5.1-202.103.5.100。源地址转换规则在状态包过滤之后发生，因此，做源地址转换规则的访问必须能通过状态包过滤规则。 配置窗口如下:

此处的“源对象”“源区域”“目的区域”等定义和包过滤规则中定义相同。

转换地址：指数据包的源地址在通过防火墙后的修改结果。在这里可以指定单个地址，也可以指定一个有效（可路由）的地址范围。当指定为单个IP地址时，源地址转换的结果就是该指定地址。如果指定的是一个网段的话，源地址的转换结果将由防火墙自动在制定的地址段中随机抽取一个地址作为源地址转换结果。

DNAT规则

目的对象与实际对象必须为具体的单个主机对象，不能包括子网，在对象定义中其网络掩码必须是255.255.255.255。 目的地址转换规则在状态包过滤之前进行，符合目的地址转换规则的，访问其目的地址将被改为转换规则中设定的实际地址，因此在状态包过滤规则中应有允许到实际地址的访问规则。

©版权所有：神州数码网络有限公司 - 118 -

神州数码DCFW-1800防火墙用户手册

地址绑定规则

定义地址绑定规则，即建立IP地址与MAC地址的对应关系，防止IP地址盗用

IP地址：填写客户端主机的IP 地址。

MAC地址：填写上栏的主机IP地址对应的MAC地址

点击“增加”，此主机的IP地址与其网卡的MAC地址绑定到一起，其它主机将无法假冒它的IP地址通过防火墙。

7.6. 代理

配置应用层代理，包括HTTP，FTP以及SMTP代理.神州数码DCFW-1800防火墙支持的代理服务有：HTTP、FTP、SMTP等。管理员可以通过规则的配置，对这三种网络服务的使用加以严格的控制。使用防火墙的安全代理功能，需启动代理服务,运行以下两个主要步骤：

1、点击“系统”功能选项，在“系统配置”页面找到“服务功能选项”。

2、选中相应的代理选项（HTTP代理、FTP代理、SMTP代理），点击“确定”按钮，如下图

FTP代理

控制规则

点击“FTP代理”后，配置窗口上部就会显示关于FTP配置的选项。

©版权所有：神州数码网络有限公司 - 119 -

神州数码DCFW-1800防火墙用户手册

源IP 地址：动作发起方的IP地址。 目的地址：要访问的目的地址。

该规则配置的默认策略为拒绝。根据上例中填充的内容，这条规则的目的是拒绝代理从192.9.200.X网段到211.65.100.2的FTP服务。

命令过滤

点击“命令过滤” →”增加命令过滤”,则弹出如下配置窗口:

用户名称：是指由源IP地址登录到目的服务器所使用的用户身份。

该规则配置的默认策略为拒绝。上例中设置的规则的目的是：从IP地址为192.9.200.100的主机以guest用户的身份登录到IP地址为210.100.3.2后，禁止使用put命令向服务器上传信息。

文件过滤

点击“文件过滤”:

文件名称：是指访问的文件的文件名（不包含后缀）。

文件类型：是指指定文件的文件类型（直接填写文件后缀即可，如：com、exe 等等）。 这条规则的作用为：当IP地址为192.9.200.100的主机A登录到IP地址为210.100.3.2的FTP服务器时，拒绝主机A对文件data.c的任何操作。

内容过滤

点击“内容过滤” →”增加内容过滤”,，出现如下配置窗口：

©版权所有：神州数码网络有限公司 - 120 -

神州数码DCFW-1800防火墙用户手册

过滤内容：是指访问的文件所包含的关键字。可以指定一个或几个不同的关键字，用“，”隔开。每一个关键字之间是“或”的关系，即文件中只需包含若干关键字中的一个，该文件就被置入拒绝访问之列。

上例配置的规则的作用是：IP地址为192.9.200.100的主机到IP地址为210.100.3.2主机的FTP访问中，禁止对含有main、int或char等关键字的文件进行访问。

长度过滤

点击“长度过滤”，出现如下配置窗口：

长度过滤：填写一个单位是字节（byte）的长度值。

此规则配置的默认策略为拒绝。上例中所配置的规则的作用是主机192.9.200.100到主机210.100.3.2的FTP访问文件的最大长度为10Mb（10485760byte）。

HTTP代理

代理地址

点击左侧的“HTTP代理”，配置窗口就会显示关于HTTP配置的选项。点击“代理地址”，出现如下配置窗口：

代理地址:填写内网中的主机的IP地址。

策略：选择是否为指定IP地址的主机提供HTTP代理服务。

例子中的配置规则的目的是：拒绝为192.9.200.100的主机提供HTTP代理服务。禁止此机器通过防火墙上网。

色情网站过滤

点击“色情网站过滤”，出现如下配置窗口：

©版权所有：神州数码网络有限公司 - 121 -

神州数码DCFW-1800防火墙用户手册

网站名称：填写网站的具体名称。 策略：选择拒绝或允许网站通过。

上例配置规则的所用是：拒绝访问网站名称为www.sex.com的色情网站。

URL过滤

点击“URL过滤”，出现如下配置窗口：

URL内容：在此填写需要控制的URL内容。

上例中所配置的规则要达到的目的是禁止主机192.9.200.100访问主机210.100.3.2的 /bin目录。

命令过滤

点击“命令过滤”卡片，出现如下配置窗口：

命令：在这里选定需要控制的命令。

上例中我们选定的命令为“GET”，根据该规则默认策略，禁止IP地址为192.9.200.100的主机在访问主机210.100.3.2的HTTP服务时使用“GET”命令。

内容过滤

点击“内容过滤”卡片，出现如下配置窗口：

过滤内容：在此填写需要控制的网页中的关键字。中、英文皆可，每一组关键字之间用“，”隔开，各组关键字之间是“或”的关系，即网页中只需包含若干关键字中的一个，该网页就被置入拒绝访问之列。

上例所配置的规则是禁止192.9.200.X网段的主机访问主机210.100.3.2中含有aa或bb关键字的任何网页。

©版权所有：神州数码网络有限公司 - 122 -

神州数码DCFW-1800防火墙用户手册

Cookie过滤

点击“Cookie过滤”，就会直接弹出如下配置窗口：

在这里配置允许或拒绝Cookie 的策略。

SMTP代理

源地址过滤

点击“SMTP代理”后，配置窗口就会显示关于SMTP配置的选项项。点击“源地址过滤”，就会出现控制规则的配置界面。

在“发件人地址”空白处填入IP地址、域名或邮箱地址。

上图所配规则的目的是：拒绝接收域名为263.net域发送过来的邮件。

目的地址过滤

点击“目的地址过滤”，出现控制规则的配置窗口：

上图所配规则的目的是：拒绝向IP地址为210.110.3.2的邮件服务器发送邮件。此处亦可添加域名信息或固定信箱名称.

主题过滤

©版权所有：神州数码网络有限公司 - 123 -

神州数码DCFW-1800防火墙用户手册

点击“主题过滤”，出现控制规则的配置窗口：

由上例所配规则，防火墙将滤掉主题为“firewall”的邮件。 邮件长度过滤

点击“邮件长度过滤”，就会出现如下配置窗口：

由上例所配规则，防火墙将滤掉超过2Mb（2097152 byte）的邮件。 邮件服务器

在此指定要保护的邮件服务器。点击“邮件服务器”，出现如下配置窗口：

在上图空白处填入要保护的邮件服务器的IP地址，如果是邮件服务器在，需要选中“外租邮箱”。

7.7. 流量控制

配置流量以及带宽管理规则

带宽管理

带宽管理技术（Quality of Service QoS）是一种高层次的网络管理技术，它可以对网络实时的传输速度进行测量，对网络拥塞情况进行监测并按照预先定义的优先级别，保证关键业务的网络带宽占用，从而避免了当网络产生瓶颈时，对一些关键业务的影响。

总带宽定义

根据用户网络的实际情况修改总带宽。

带宽类别定义

©版权所有：神州数码网络有限公司 - 124 -

神州数码DCFW-1800防火墙用户手册

在点击“带宽类别定义”中的“增加”按钮，则会出现如下配置窗口：

带宽名称：由用户自定义带宽类别的名称。该名称将在带宽控制规则的设置中作为带宽类别被引用。

分配带宽：指定该类别所的带宽。

如果当前定义的带宽类别的带宽允许其它带宽类别借用，只需选中配置窗口中左下角的“允许借用带宽”，不允许借用选否。

配置带宽控制规则

点击配置信息列表的“带宽控制规则”项，出现如下配置窗口：

带宽种类：在此根据需要指定相应的带宽种类。 配置窗口中左下角的“双向作用”是指带宽管理的方向。

上例所配置的带宽控制规则的意义为：内网主机192.168.1.0通过防火墙访问的任意主机的双向带宽控制为60Kbps。即主机192.168.2.0访问主机时上传信息及下载信息的带宽都被控制为60Kbps。

流量

流量服务器配置

点击“流量控制”中的“流量”，出现如下配置窗口

©版权所有：神州数码网络有限公司 - 125 -

神州数码DCFW-1800防火墙用户手册

IP地址：指定流量配置服务器的IP地址。 端口号：系统默认的端口号为514。

起始时间：指流量累计开始生效的时间，到达此时间时，所有流量均被恢复为0，即重新累计流量。

时间间隔：单位为分钟。在上例中填充的值为5，指防火墙系统每隔5分钟向流量控制服务器发送最新的流量信息。

上例的作用为：设定IP地址为192.168.3.10的主机为流量控制服务器，其与防火墙系统通讯的端口为默认端口514，每5分钟防火墙系统向此主机发送一次最新的流量数据，此数据包括用户已使用的累计流量。

流量参数配置

点击“流量控制”中的“流量参数配置”，出现如下配置窗口：

IP地址：需流量的主机。

流量：通过防火墙的通讯流量的总汇。 流量的最小单位为 1Mb。

这条规则的作用是：IP地址为192.9.200.100的主机与外界通信的流量上限为50兆。当其通讯流量汇总达到50兆时，防火墙系统将会自动封堵主机与外界通信的通路。

7.8. IDS功能

内嵌入侵监测系统以及与特定入侵监测系统互动的配置

©版权所有：神州数码网络有限公司 - 126 -

神州数码DCFW-1800防火墙用户手册

IDS互动

神州数码DCFW-1800防火墙支持与第三方的IDS服务器联动。 点击“IDS互动”项出现如下窗口：

在该窗口中填入IDS探针的IP地址，端口号，端口号可以是0-655之间的任意数,确定即可。

IDS模块

神州数码DCFW-1800防火墙自身具有集成的IDS入侵检测模块。 点击 “IDS模块”出现如下界面：

这一栏列出了神州数码DCFW-1800防火墙IDS入侵检测的检测细则，共有35项内容, 根据您的需要选择功能，在选中的功能前打勾。然后点击 “确定”使之生效.

©版权所有：神州数码网络有限公司 - 127 -

神州数码DCFW-1800防火墙用户手册

7.9. VPN配置

虚拟专用网 (VPN - Virtual Private Network) 作为一组网络工作站，通过公共载体（如ISP）联系起来，使用防火墙和加密之类的安全方式，网络成员的通讯。使用成员关系和认证，让企业在公网上获得私网的利益。

点击 “VPN配置”出现如下界面：

填写VPN配置窗口信息。

本地防火墙：填写本地防火墙的口地址。 本地子网： 填写允许外部地址访问的地址段或地址。 远程防火墙：填写远程防火墙的口地址。

远程子网： 填写远程防火墙允许对外访问地址或地址段。

7.10. VLAN配置 VLAN配置

神州数码DCFW-1800防火墙支持802.1Q的VLAN。具有两种运行模式，一种路由模式，一种网桥模式. 先介绍路由模式,点击“VLAN配置”出现如下窗口：

接口：连接VLAN 的防火墙端口。 VLAN 号: 定义VLAN 号.

IP地址：填写防火墙VLAN口的地址。

单臂路由

防火墙使用网桥接入，支持多个VLAN，并且路由器与防火墙相连接的端口设定了多个地址时，在此情况下需要指定路由器的MAC地址，最多只能配置10个地址。此MAC地址可通过主机与路

©版权所有：神州数码网络有限公司 - 128 -

神州数码DCFW-1800防火墙用户手册

由器直连作Ping测试页得到。在其他情况下不需要配置此地址。

点击“VLAN配置”的“单臂路由”选项卡。弹出配置路由器MAC地址信息的图框，添加路由器的MAC地址。

7.11. 升级

当前的网络安全是一个动态的概念。要保障受保护网络的安全，就必须适时地升级网络安全设备，以应付越来越复杂的网络环境。神州数码DCFW-1800防火墙的系统升级分为两个模块：内核升级和文件系统升级。升级后必须重新启动防火墙系统，才算真正完成升级工作。

文件升级

点击“升级”Æ“文件升级”，先填入”FTP服务器用户名”和”密码”再点击“确定”，系统将反馈显示“文件升级成功”,之后点击“系统” Æ“保存配置”Æ“重启动防火墙”重新启动防火墙系统，防火墙文件升级完成。

内核升级

点击“升级”Æ“内核升级”，填入”FTP服务器用户名”和”密码”再点击“确定”，系统将反馈显示“内核升级成功”,之后点击“系统”Æ“保存配置” Æ “重启动防火墙”重新启动防火墙系统，防火墙内核升级完成。

©版权所有：神州数码网络有限公司 - 129 -

神州数码DCFW-1800防火墙用户手册

附录

附录1:防火墙日常管理原则

防火墙系统的安全管理主要基于三个原则。 󰂋 多人负责原则

每一项与安全有关的活动，都必须有两人或多人在场。这些人应是系统主管领导指派的，他们忠诚可靠，能胜任此项工作；他们应该签署工作情况记录以证明安全工作已得到保障。

以下各项是与安全有关的活动：

① 访问控制使用证件的发放与回收；

② 防火墙管理系统使用的媒介发放与回收； ③ 处理保密信息；

④ 硬件和软件的维护；

⑤ 防火墙系统规则的设计、配置和修改； ⑥ 重要规则和数据的删除和销毁等； 任期有限原则

一般地讲，任何人最好不要长期担任与网络安全有关的职务，以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则，工作人员应不定期地循环任职，强制实行休假制度，并规定对工作人员进行轮流培训，以使任期有度切实可行。 󰂋 职责分离原则

负责防火墙系统配置管理的工作人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。

©版权所有：神州数码网络有限公司 - 130 -

󰂋

神州数码DCFW-1800防火墙用户手册

附录2:神州数码DCFW-1800防火墙默认配置

防火墙用户设置：

用户名：admin 口 令：admin

防火墙网络接口设置：

IP地址

网络掩码

255.255.255.0 255.255.255.0 内网IP地址 192.168.1.1 IP地址 192.168.2.1 DMZ区地址 192.168.3.1 255.255.255.0 缺省网关

防火墙服务设置：

服务类型 GUI管理 Web配置 网桥模式 用户认证 双机热备 流量控制 带宽管理 SNMP模式 IDS互动 IDS功能 VPN模块 防DOS攻击 HTTP代理 SMTP代理 FTP代理

©版权所有：神州数码网络有限公司 - 131 -

开启或关闭 开启 关闭 关闭 关闭 关闭 关闭 关闭 关闭 关闭 关闭 关闭 关闭 关闭 关闭 关闭

神州数码DCFW-1800防火墙用户手册

附录3:常见网络安全名词解释

A

Anonymous Email (匿名邮件)

不可跟踪的电子邮件，因为它的路径头部被删除了。

Application Gateways (应用程序网关)

不允许外部网与连接到Internet上的内部网直接通讯的防火墙设备，用一系列代理服务器过滤流入或流出网络的信息。应用程序网关为两端代言，不允许它们之间直接互相访问。

Audit (审计)

对现有的安全策略和过程进行的或内含式审查。审计有助于系统管理员和安全部门识别特定网络的整体安全状态中的关键强点和弱点。审计一般按照专为目标系统设计的、非常严格的、开发成熟的预定攻击计划来进行。

Authentication Header （验证头，AH）

与ESP类似，AH也提供了数据完整性、数据源验证以及抗重播攻击的能力。但注意不能用它来保证数据的机密性。因此，AH头比ESP简单得多。

Application-Level Proxy (应用代理)

代理内部网络用户与外部网络进行信息交换的程序。它将内部用户的请求确认后送达外部网络，同时将外部网络的响应再回送给内部用户。

Address Resolution Protocol (地址解析协议，ARP)

地址解析协议将IP地址映射成物理地址。

Audit Trail (审计跟踪)

证实特定系统的活动和使用情况的日志、书面文档和其他记录。审计跟踪在调查过程中显得非常重要，如果没有最起码的审计跟踪，系统管理员就几乎没有希望抓住破坏者。简单地说，审计跟踪就是证据。 B

Back Door (后门)

电子剽窃者或不满雇员在程序里留下的隐藏代码，他们可以通过该隐藏代码访问受害主机。

Bastion Host (堡垒主机)

一个计算机系统，它对外部网络来说是暴露的，同时又是内部网络用户的主要连接点。所以非常容易被侵入，这个系统需要严加保护。 C

CGI-Based Attack (基于CGI的攻击)

一种利用公共网关接口程序中的脆弱点进行的攻击，通常借助WWW站点来进行。

©版权所有：神州数码网络有限公司 - 132 -

神州数码DCFW-1800防火墙用户手册

Common Gateway Interface (CGI 公用网关接口)

用来为Web站点提供编程功能的一种程序设计风格和标准。搜索引擎一般要求符合CGI规范（CGI标准是于平台的，他为所有基于Web的编程者提供一个通用标准）。

Cipher Security（密码安全，ＣＳ）

指密码和密码设备自身安全。也泛指密码自动销毁﹑密码算法保护等有关密码的防护措施。 D

DNS Name Server (DNS 域名服务器)

含有域名数据库信息的服务器。

DNS Spoofing (域名服务器电子欺骗)

攻击者用来损害域名服务器的方法，可通过欺骗使用DNS的高速缓存或内应攻击来实现（在这种情况下，机器假扮合法的DNS服务器）。

De_Militarized Zone (DMZ 中立区或隔离区)

这个词来自军事术语，意思是交战双方都不进行战斗的地区。DMZ连接不同实体控制的网络和计算机。他们可以是外部的或是内部的，外部DMZ连接地区性的网络和路由器。

Domain Name Server (DNS 域名服务器)

一种分布式数据库系统，用于将IP地址与他们的域名进行映射。DNS也有提供邮件交换的空位。

Denial of Service (DOS 服务拒绝)

恶意用户通过多个主机同时向信息服务器发送大量的数据包，服务器不能及时处理，从而导致服务器也拒绝为合法用户提供服务。 DSS E

Encipher Algorithm（加密算法，ＥＡ）

通过一系列复杂的数学变换，将明文变换成难以解析的密文，或将密文还原成明文的算法。

Encapsulating Security Payload （封装安全载荷，ESP）

属于IPSec的一种协议，可用于确保IP数据包的机密性（未被别人看过）、数据的完整性以及对数据源的身份验证。此外，它也要负责对重播攻击的抵抗。 F

File Transfer Protocol (FTP 文件传输协议)

一种用于在不同网络主机间进行文件传输的高级协议，两个主机可以运行在不同的操作系统上。

Firewall (防火墙)

防火墙是一个或一组系统，它在网络间执行访问控制策略。实现防火墙的实际方式各不相同。

©版权所有：神州数码网络有限公司 - 133 -

神州数码DCFW-1800防火墙用户手册

但是在原则上，防火墙是这样一种机制：一种机制是拦阻数据包通行，而另一种机制是允许数据包通行。一些防火墙偏重拦阻数据包通行，另一些防火墙则允许数据包通行。

Flow Control (流量控制)

对主机中的数据包传送进行监控，以避免网络拥挤。因为网络拥塞会造成内存缓冲池的耗尽。 H

Host (主机)

与网络系统相连的计算机系统。 I

Internet Key Exchange（Internet密钥交换，IKE）

是一种常规用途得安全交换协议，可用于策略得磋商，以及验证加密材料得建立，适用于多方面得需求。主要用途是在IPSec通信双方之间，建立起共享安全参数及验证过得密钥（亦即建立“安全关联”关系）。

IP Address (IP地址)

TCP/IP网络上的每个节点通常都拥有一个IP地址。IP地址是一个8位16进制数（32位二进制数），通常表示为4个点分的十进制数。它用于标识网络主机的逻辑位置。

IP Gateway (IP 网关)

一个把IP数据包从一个网络传送到另外一个网络，直到到达最终目的程序或设备。

Internet （因特网）

最初由美国国防部设计，其目的是使通讯信号能经受住核战争，并为世界范围的军事机构提供服务。因特网最初名为”ARPANET”,是一个国际范围的计算机网络系统，它使诸如远程登录、文件传输、电子邮件、新闻组等数据通信服务变得容易。因特网是连接现有的计算机网络的一种方法，它极大的扩展了加入它的系统的能力范围。

Internet Protocol (IP 因特网协议)

一种因特网标准协议，定义了数据包的基本数据单元。数据包用于无连接的最佳效果（best-dffort）发送系统。因特网协议定义了信息是如何横跨因特网在系统间传送的。 K

Key(密钥)

由一组随机等概的二进制数串构成，是密码算法的重要参数和密码保护的核心数据。

Key Generation（密钥生成，ＫＧ）

指密钥的产生过程，一般用专门的密钥发生器来完成这一过程。

Key Distribution（密钥分配，ＫＤ）

指网络环境下密钥的申请﹑认证和分发过程。

©版权所有：神州数码网络有限公司 - 134 -

神州数码DCFW-1800防火墙用户手册

Key Manage（密钥管理，ＫＭ）

指密钥从生成﹑存储﹑分配﹑使用和销毁整个过程的安全管理，它是安全管理中心系统设计中最重要的任务之一。 L

Local Area Network（局域网）

分散在相对有限区域内的一组计算机和其他设备，通过网络上的设备彼此交互的通讯链路进行连接。 N

Name Resolution (域名解析)

计算机名到IP地址映射的处理。DNS和DHCP是两种域名解析工具。

Network Address Translation (NAT 网络地址转换)

一种用于把内部IP地址转换成临时的、外部的、注册的IP地址的标准。它允许具有私有IP地址的内部网络访问因特网。这样用户就不用为网络中的每台计算机申请IP地址。 P

Packet （包）

在网络上进行通讯时的基本信息单元。

Packet Filter (包过滤)

设备对进出网络的数据流进行有选择的控制与操作。包过滤操作通常在选择路由的同时对数据包进行过滤（通常是对从互联网到内部网络的包进行过滤）。用户可以设定一系列的规则，指定允许哪些类型的数据包可以流入或流出内部网络。

Protocol (协议)

一组原则，用于管理数据的发送和接受。

Proxy Server (代理服务器)

同Application-Level Proxy (应用代理) R

Route (路由)

为转发的数据包分组选择正确的接口和下一个路径片断的过程。

Router (路由器)

用于把数据包从一个局域网路由到另一个局域网的硬件设备。它还通过访问列表来控制进出路由器的数据包，只允许授权的机器可以把数据包传送到另一个网段，也可以拒绝来自另一个网段的非法请求。 S

Security Association（安全关联，SA）

是构成IPSec的基础。SA是两个通信实体经协商建立起来的一种协议。它们决定了用来保护

©版权所有：神州数码网络有限公司 - 135 -

神州数码DCFW-1800防火墙用户手册

数据包安全的IPSec协议、转码方式、密钥以及密钥的有效存在时间等等。

Security Authentication（安全认证，ＳＡ）

指身份认证﹑访问控制﹑使用权限控制等安全管理方法。

Security Manage Centre（网络安全管理中心，ＳＭＣ）

是对网上安全密码设备进行安全﹑密钥管理和安全密码设备监控的专用设备，它是整个网络安全管理系统的核心。

Security Policy Database（安全策略数据库，SPD）

在SPD这个数据库中，每个条目都定义了么保护的是什么通信、怎样保护它以及和谁共享这种保护。对于进入或离开IP堆栈的每个包，都必须检索SPD数据库，调查可能的安全应用。对一个SPD条目来说，它可能定义了下述几种行为：丢弃、绕过以及应用。

Security Parameter Index （安全参数索引，SPI）

SPI是SA中的一个重要元素，实际上是一个长度为32位的数据实体，用于独一无二地表标识出接收端上的一个SA。

Simple Mail Transfer Protocol (SMTP 简单邮件传送协议)

用于从一台机器向另一台机器传送电子邮件报文的协议。

Simple Network Management Protocol (SNMP 网络管理协议)

一种用于网络中数据管理的协议。SNMP使一个管理端进行配置，并能从网关和它们所连接网络上监视和接受陷阱报文。 T

Telnet (远程登录协议)

它允许一台主机连接注册到另一台主机上，就像直接连接到远程设备上一样。

Transfer Control Protocol/Internet Protocol (TCP/IP 传输控制协议) 一组支持局域网和广域网的端到端连接功能的通信协议。通信协议允许具有不同通讯协议的计算机之间互相通讯，控制在因特网上数据如何在计算机之间传送。 U

Uniform Resource Locator (URL 统一资源定位符)

用于指示可以通过网络获取资源的位置的标准，也用于表示位置或地址。URL只是服务器上文件的位置。一般的URL的语法为：协议：//地址。例如：http://www.jump.net.cn， 它说明协议为http协议，地址为www.jump.net.cn。

User Datagram Protocol (UDP 用户数据报协议)

UDP协议是TCP/IP协议族中的一个协议。它允许一个应用程序向一台远程主机上运行的应用程序发送数据报。UDP协议提供了不可靠的、无连接的数据包服务，其发送和复制探测的结果是不能保证的。它不使用确认机制，也不进行到达顺序的控制。

©版权所有：神州数码网络有限公司 - 136 -

神州数码DCFW-1800防火墙用户手册

V

Virtual Private Network (VPN 虚拟专用网)

一种消除公共网与私人网之间界限的新技术概念。它可以用来在公共网上创建一个安全的私人网，既可以利用公共网的便利，又可以达到安全保密的目的。通常它通过加密、数据通道和防火墙来实现。 W

Wide Area Network（广域网）

使用电信链路连接地理上分散区域的数据网络的扩展。

©版权所有：神州数码网络有限公司 - 137 -

神州数码DCFW-1800防火墙用户手册

附录4:常用协议端口对照表

以下是一些经常用到的协议和端口号对应表:

number>/[#] Reserved [JBP]

Reserved [JBP] reserved 0/tcp reserved 0/udp tcpmux tcpmux

1/tcp 1/udp

TCP Port Service Multiplexer [MKL] TCP Port Service Multiplexer [MKL]

compressnet 2/tcp Management Utility [BV15] compressnet 2/udp Management Utility [BV15] compressnet 3/tcp Compression Process [BV15] compressnet 3/udp Compression Process [BV15] rje rje

5/tcp 5/udp

Remote Job Entry [12,JBP] Remote Job Entry [12,JBP]

echo 7/tcp Echo [95,JBP] echo 7/udp Echo [95,JBP] discard 9/tcp Discard [94,JBP] discard 9/udp Discard [94,JBP] systat systat

11/tcp 11/udp

Active Users [,JBP] Active Users [,JBP]

daytime 13/tcp Daytime [93,JBP] daytime 13/udp Daytime [93,JBP] netstat 15/tcp qotd qotd msp msp chargen chargen ftp-data ftp-data ftp ftp ssh

17/tcp 17/udp 18/tcp 18/udp 19/tcp 19/udp 20/tcp 20/udp 21/tcp 21/udp 22/tcp

Netstat Quote of the Day [100,JBP] Quote of the Day [100,JBP] Message Send Protocol [RXN] Message Send Protocol [RXN] ttytst source Character Generator ttytst source Character Generator File Transfer [Default Data] [96,JBP] File Transfer [Default Data] [96,JBP] File Transfer [Control] [96,JBP] File Transfer [Control] [96,JBP] ecure Shell - RSA encrypted rsh

telnet 23/tcp Telnet [112,JBP] telnet 23/udp Telnet [112,JBP] priv-mail priv-mail smtp

24/tcp 24/udp 25/tcp

any private mail system [RA11] any private mail system [RA11] Simple Mail Transfer [102,JBP]

©版权所有：神州数码网络有限公司 - 138 -

神州数码DCFW-1800防火墙用户手册

Simple Mail Transfer [102,JBP] NSW User System FE [24,RHT] NSW User System FE [24,RHT]

MSG ICP [85,RHT] MSG ICP [85,RHT]

smtp nsw-fe nsw-fe msg-icp msg-icp

25/udp 27/tcp 27/udp 29/tcp 29/udp

msg-auth 31/tcp MSG Authentication [85,RHT] msg-auth 31/udp MSG Authentication [85,RHT] dsp dsp priv-print priv-print

33/tcp 33/udp 35/tcp 35/udp

Display Support Protocol [EXC] Display Support Protocol [EXC] any private printer server [JBP] any private printer server [JBP]

time 37/tcp Time [108,JBP] time 37/udp Time [108,JBP] rap 38/tcp Route Access Protocol rap 38/udp Route Access Protocol rlp rlp

39/tcp 39/udp

resource Resource Location Protocol resource Resource Location Protocol

graphics 41/tcp Graphics [129,JBP] graphics 41/udp Graphics [129,JBP] nameserver nameserver

42/tcp 42/udp

Host Name Server [99,JBP] Host Name Server [99,JBP]

nicname 43/tcp Who Is [55,ANM2] nicname 43/udp Who Is [55,ANM2] mpm-flags mpm-flags mpm mpm mpm-snd mpm-snd ni-ftp ni-ftp

44/tcp 44/udp 45/tcp 45/udp 46/tcp 46/udp 47/tcp 47/udp

MPM FLAGS Protocol [JBP] MPM FLAGS Protocol [JBP] Message Processing Module [recv] [98,JBP] Message Processing Module [recv] [98,JBP]

MPM [default send] [98,JBP] MPM [default send] [98,JBP]

NI FTP [134,SK8] NI FTP [134,SK8]

auditd 48/tcp Digital Audit Daemon auditd 48/udp Digital Audit Daemon login login re-mail-ck re-mail-ck la-maint la-maint

49/tcp 49/udp 50/tcp 50/udp 51/tcp 51/udp

Login Host Protocol [PHD1] Login Host Protocol [PHD1]

Remote Mail Checking Protocol [171,SXD1] Remote Mail Checking Protocol [171,SXD1] IMP Logical Address Maintenance [76,AGM] IMP Logical Address Maintenance [76,AGM]

xns-time 52/tcp XNS Time Protocol [SXA] xns-time 52/udp XNS Time Protocol [SXA] domain domain

53/tcp 53/udp

Domain Name Server [81,95,PM1] Domain Name Server [81,95,PM1]

©版权所有：神州数码网络有限公司 - 139 -

神州数码DCFW-1800防火墙用户手册

xns-ch /tcp XNS Clearinghouse [SXA] xns-ch /udp XNS Clearinghouse [SXA] isi-gl isi-gl

55/tcp 55/udp

ISI Graphics Language [7,RB9] ISI Graphics Language [7,RB9]

xns-auth 56/tcp XNS Authentication [SXA] xns-auth 56/udp XNS Authentication [SXA] mtp 57/tcp deprecated priv-term priv-term

57/tcp 57/udp

any private terminal access [JBP] any private terminal access [JBP]

XNS Mail [SXA] XNS Mail [SXA] xns-mail 58/tcp xns-mail 58/udp priv-file priv-file ni-mail ni-mail acas acas via-ftp via-ftp

59/tcp 59/udp 61/tcp 61/udp 62/tcp 62/udp 63/tcp 63/udp

any private file service [JBP] any private file service [JBP]

NI MAIL [5,SK8] NI MAIL [5,SK8] ACA Services [EXW] ACA Services [EXW] VIA Systems - FTP [DXD] VIA Systems - FTP [DXD]

whois++ 63/tcp whois++ 63/udp covia covia

/tcp /udp

Communications Integrator (CI) [TXD] Communications Integrator (CI) [TXD]

tacacs-ds 65/tcp TACACS-Database Service [3,KH43] tacacs-ds 65/udp TACACS-Database Service [3,KH43] sql*net sql*net bootps bootps bootpc bootpc tftp tftp

66/tcp 66/udp 67/tcp 67/udp 68/tcp 68/udp 69/tcp 69/udp

Oracle SQL*NET [JFH2] Oracle SQL*NET [JFH2] Bootstrap Protocol Server [36,WJC2] Bootstrap Protocol Server [36,WJC2] Bootstrap Protocol Client [36,WJC2] Bootstrap Protocol Client [36,WJC2] Trivial File Transfer [126,DDC1] Trivial File Transfer [126,DDC1]

gopher 70/tcp Gopher [MXC1] gopher 70/udp Gopher [MXC1] netrjs-1 netrjs-1 netrjs-2 netrjs-2 netrjs-3 netrjs-3 netrjs-4 netrjs-4

71/tcp 71/udp 72/tcp 72/udp 73/tcp 73/udp 74/tcp 74/udp

Remote Job Service [10,RTB3] Remote Job Service [10,RTB3] Remote Job Service [10,RTB3] Remote Job Service [10,RTB3] Remote Job Service [10,RTB3] Remote Job Service [10,RTB3] Remote Job Service [10,RTB3] Remote Job Service [10,RTB3]

©版权所有：神州数码网络有限公司 - 140 -

神州数码DCFW-1800防火墙用户手册

any private dial out service [JBP] any private dial out service [JBP] Distributed External Object Store Distributed External Object Store any private RJE service [JBP] any private RJE service [JBP]

priv-dial priv-dial deos deos priv-rje priv-rje

75/tcp 75/udp 76/tcp 76/udp 77/tcp 77/udp

vettcp 78/tcp vettcp [CXL1] vettcp 78/udp vettcp [CXL1] finger 79/tcp Finger [52,KLH] finger 79/udp Finger [52,KLH] http http

80/tcp 80/udp

www www-http World Wide Web HTTP www www-http World Wide Web HTTP

www 80/tcp World Wide Web HTTP [TXL] www 80/udp World Wide Web HTTP [TXL] hosts2-ns hosts2-ns

81/tcp 81/udp

HOSTS2 Name Server [EAK1] HOSTS2 Name Server [EAK1]

xfer 82/tcp XFER Utility [TXS2] xfer 82/udp XFER Utility [TXS2] mit-ml-dev mit-ml-dev

83/tcp 83/udp

MIT ML Device [DXR3] MIT ML Device [DXR3]

ctf 84/tcp Common Trace Facility [HXT] ctf 84/udp Common Trace Facility [HXT] mit-ml-dev mit-ml-dev mfcobol mfcobol priv-term-l priv-term-l

85/tcp 85/udp 86/tcp 86/udp 87/tcp 87/udp

MIT ML Device [DXR3] MIT ML Device [DXR3] Micro Focus Cobol [SXE] Micro Focus Cobol [SXE] any private terminal link [JBP] any private terminal link [JBP]

Kerberos [BCN] Kerberos [BCN] kerberos 88/tcp kerberos 88/udp su-mit-tg /tcp SU/MIT Telnet Gateway [MRC] su-mit-tg /udp SU/MIT Telnet Gateway [MRC] dnsix dnsix mit-dov mit-dov npp npp dcp dcp objcall objcall

90/tcp 90/udp 91/tcp 91/udp 92/tcp 92/udp 93/tcp 93/udp 94/tcp 94/udp

DNSIX Securit Attribute Token Map [CXW1] DNSIX Securit Attribute Token Map [CXW1]

MIT Dover Spooler [EBM] MIT Dover Spooler [EBM] Network Printing Protocol [LXM] Network Printing Protocol [LXM] Device Control Protocol [DT15] Device Control Protocol [DT15] Tivoli Object Dispatcher [TXB1] Tivoli Object Dispatcher [TXB1]

supdup 95/tcp SUPDUP [27,MRC] ©版权所有：神州数码网络有限公司 - 141 -

神州数码DCFW-1800防火墙用户手册

supdup 95/udp SUPDUP [27,MRC] dixie dixie swift-rvf swift-rvf tacnews tacnews metagram metagram hostname hostname iso-tsap iso-tsap gppitnp gppitnp acr-nema acr-nema

96/tcp 96/udp 97/tcp 97/udp 98/tcp 98/udp 99/tcp 99/udp 101/tcp 101/udp 102/tcp 102/udp 103/tcp 103/udp 104/tcp 104/udp

DIXIE Protocol Specification [TXH1] DIXIE Protocol Specification [TXH1] Swift Remote Vitural File Protocol [MXR] Swift Remote Vitural File Protocol [MXR]

TAC News [ANM2] TAC News [ANM2] Metagram Relay [GEOF] Metagram Relay [GEOF] hostnames NIC Host Name Server hostnames NIC Host Name Server

tsap ISO-TSAP Class 0 tsap ISO-TSAP Class 0

Genesis Point-to-Point Trans Net [PXM1] Genesis Point-to-Point Trans Net [PXM1]

ISO Mail ACR-NEMA Digital Imag. & Comm. 300

[PXM1] ACR-NEMA Digital Imag. & Comm. 300

[PXM1]

ISO Mail Mailbox Name Nameserver [127,MS56] Mailbox Name Nameserver [127,MS56]

3COM-TSMUX [JXS5] 3COM-TSMUX [JXS5] newacct 100/tcp [unauthorized use] x400 103/tcp x400-snd 104/tcp csnet-ns csnet-ns

105/tcp 105/udp

3com-tsmux 106/tcp 3com-tsmux 106/udp rtelnet 107/tcp Remote Telnet Service [101,JBP] rtelnet 107/udp Remote Telnet Service [101,JBP] snagas snagas pop2 pop2 pop3 pop3 sunrpc sunrpc mcidas mcidas

108/tcp 108/udp 109/tcp 109/udp 110/tcp 110/udp 111/tcp 111/udp 112/tcp 112/udp

SNA Gateway Access Server [KXM] SNA Gateway Access Server [KXM] postoffice Post Office Protocol - Version 2 postoffice Post Office Protocol - Version 2 Post Office Protocol - Version 3 [122,MTR] Post Office Protocol - Version 3 [122,MTR] rpcbind SUN Remote Procedure Call rpcbind SUN Remote Procedure Call McIDAS Data Transmission Protocol [GXD] McIDAS Data Transmission Protocol [GXD]

auth 113/tcp Authentication Service [130,MCSJ] auth 113/udp Authentication Service [130,MCSJ] audionews audionews sftp

114/tcp 114/udp 115/tcp

Audio News Multicast [MXF2] Audio News Multicast [MXF2] Simple File Transfer Protocol [73,MKL1]

©版权所有：神州数码网络有限公司 - 142 -

神州数码DCFW-1800防火墙用户手册

Simple File Transfer Protocol [73,MKL1]

ANSA REX Notify [NXH] ANSA REX Notify [NXH] UUCP Path Service [44,MAE] UUCP Path Service [44,MAE]

sftp ansanotify ansanotify uucp-path uucp-path

115/udp 116/tcp 116/udp 117/tcp 117/udp

sqlserv 118/tcp SQL Services [LXB3] sqlserv 118/udp SQL Services [LXB3] nntp nntp

119/tcp 119/udp

Network News Transfer Protocol [65,PL4] Network News Transfer Protocol [65,PL4]

cfdptkt 120/tcp CFDPTKT [JXO3] cfdptkt 120/udp CFDPTKT [JXO3] erpc erpc

121/tcp 121/udp

Encore Expedited Remote Pro.Call [132,JXO] Encore Expedited Remote Pro.Call [132,JXO]

smakynet 122/tcp SMAKYNET [MXO] smakynet 122/udp SMAKYNET [MXO] ntp ntp

123/tcp 123/udp

Network Time Protocol [80,DLM1] Network Time Protocol [80,DLM1]

ansatrader 124/tcp ANSA REX Trader [NXH] ansatrader 124/udp ANSA REX Trader [NXH] locus-map unitary unitary

125/tcp 126/tcp 126/udp

Locus PC-Interface Net Map Ser [137,EP53]

Unisys Unitary Login [FEIL] Unisys Unitary Login [FEIL]

locus-map 125/udp Locus PC-Interface Net Map Ser [137,EP53]

locus-con 127/tcp Locus PC-Interface Conn Server [137,EP53] locus-con 127/udp Locus PC-Interface Conn Server [137,EP53] gss-xlicen gss-xlicen pwdgen pwdgen cisco-fna cisco-fna

128/tcp 128/udp 129/tcp 129/udp 130/tcp 130/udp

GSS X License Verification [JXL] GSS X License Verification [JXL] Password Generator Protocol [141,FJW] Password Generator Protocol [141,FJW]

cisco FNATIVE [WXB] cisco FNATIVE [WXB]

cisco-tna 131/tcp cisco TNATIVE [WXB] cisco-tna 131/udp cisco TNATIVE [WXB] cisco-sys cisco-sys

132/tcp 132/udp

cisco SYSMAINT [WXB] cisco SYSMAINT [WXB]

statsrv 133/tcp Statistics Service [DLM1] statsrv 133/udp Statistics Service [DLM1] ingres-net 134/tcp INGRES-NET Service [MXB] ingres-net 134/udp INGRES-NET Service [MXB] loc-srv 135/tcp Location Service [JXP] loc-srv 135/udp Location Service [JXP] profile profile

136/tcp 136/udp

PROFILE Naming System [LLP] PROFILE Naming System [LLP]

©版权所有：神州数码网络有限公司 - 143 -

神州数码DCFW-1800防火墙用户手册

NETBIOS Name Service [JBP] NETBIOS Name Service [JBP] NETBIOS Datagram Service [JBP] NETBIOS Datagram Service [JBP] NETBIOS Session Service [JBP] NETBIOS Session Service [JBP] EMFIS Data Service [GB7] EMFIS Data Service [GB7]

netbios-ns netbios-ns netbios-dgm netbios-dgm netbios-ssn netbios-ssn emfis-data emfis-data

137/tcp 137/udp 138/tcp 138/udp 139/tcp 139/udp 140/tcp 140/udp

emfis-cntl 141/tcp EMFIS Control Service [GB7] emfis-cntl 141/udp EMFIS Control Service [GB7] bl-idm bl-idm imap2 imap2

142/tcp 142/udp 143/tcp 143/udp

Britton-Lee IDM [SXS1] Britton-Lee IDM [SXS1]

Interim Mail Access Protocol v2 [MRC] Interim Mail Access Protocol v2 [MRC]

NeWS 144/tcp Window System NeWS 144/udp Window System news news

144/tcp 144/udp

NewS window system [JAG] NewS window system [JAG]

uaac 145/tcp UAAC Protocol [DAG4] uaac 145/udp UAAC Protocol [DAG4] iso-tp0 146/tcp ISO-IP0 [86,MTR] iso-tp0 146/udp ISO-IP0 [86,MTR] iso-ip 147/tcp ISO-IP [MTR] iso-ip 147/udp ISO-IP [MTR] cronus 148/tcp CRONUS-SUPPORT [135,JXB] cronus 148/udp CRONUS-SUPPORT [135,JXB] aed-512 aed-512

149/tcp 149/udp

AED 512 Emulation Service [AXB] AED 512 Emulation Service [AXB]

sql-net 150/tcp SQL-NET [MXP] sql-net 150/udp SQL-NET [MXP] hems 151/tcp HEMS [87,CXT] hems 151/udp HEMS [87,CXT] bftp bftp

152/tcp 152/udp

Background File Transfer Program [AD14] Background File Transfer Program [AD14]

sgmp 153/tcp SGMP [37,MS9] sgmp 153/udp SGMP [37,MS9] netsc-prod 1/tcp netsc-prod 1/udp netsc-dev 155/tcp netsc-dev 155/udp sqlsrv sqlsrv

156/tcp 156/udp

NETSC [SH37] NETSC [SH37] NETSC [SH37] NETSC [SH37] SQL Service [CMR] SQL Service [CMR]

knet-cmp 157/tcp KNET/VM Command/Message ©版权所有：神州数码网络有限公司 - 144 -

神州数码DCFW-1800防火墙用户手册

Protocol[77,GSM11]

knet-cmp 157/udp KNET/VM Command/Message Protocol[77,GSM11] pcmail-srv pcmail-srv

158/tcp 158/udp

PCMail Server [19,MXL] PCMail Server [19,MXL]

NSS-Routing [JXR] NSS-Routing [JXR] nss-routing 159/tcp nss-routing 159/udp sgmp-traps 160/tcp SGMP-TRAPS [37,MS9] sgmp-traps 160/udp SGMP-TRAPS [37,MS9] snmp 161/tcp SNMP [15,MTR] snmp 161/udp SNMP [15,MTR] snmptrap 162/tcp SNMPTRAP [15,MTR] snmptrap 162/udp SNMPTRAP [15,MTR] cmip-man cmip-man

163/tcp 163/udp

CMIP/TCP Manager [4,AXB1] CMIP/TCP Manager [4,AXB1]

CMIP/TCP Agent CMIP/TCP Agent Xerox 144,SXA] Xerox [144,SXA] Sirius Systems [BXL] Sirius Systems [BXL]

cmip-agent 1/tcp smip-agent 1/udp xns-courier 165/tcp xns-courier 165/udp s-net s-net

166/tcp 166/udp

namp 167/tcp NAMP [MS9] namp 167/udp NAMP [MS9] rsvd 168/tcp RSVD [NT12] rsvd 168/udp RSVD [NT12] send 169/tcp SEND [WDW11] send 169/udp SEND [WDW11] print-srv 170/tcp Network PostScript [BKR] print-srv 170/udp Network PostScript [BKR] multiplex 171/tcp Network Innovations Multiplex [KXD] multiplex 171/udp Network Innovations Multiplex [KXD] cl/1 cl/1

172/tcp 172/udp

Network Innovations CL/1 [KXD] Network Innovations CL/1 [KXD]

Xyplex [BXS] Xyplex [BXS] xyplex-mux 173/tcp xyplex-mux 173/udp mailq 174/tcp MAILQ [RXZ] mailq 174/udp MAILQ [RXZ] vmnet 175/tcp VMNET [CXT] vmnet 175/udp VMNET [CXT] genrad-mux 176/tcp genrad-mux 176/udp xdmcp xdmcp

177/tcp 177/udp

GENRAD-MUX [RXT] GENRAD-MUX [RXT] X Display Manager Control Protocol [RWS4] X Display Manager Control Protocol [RWS4]

©版权所有：神州数码网络有限公司 - 145 -

神州数码DCFW-1800防火墙用户手册

nextstep NeXTStep NextStep Window Server NextStep NeXTStep NextStep Window Server

Border Gateway Protocol [KSL] Border Gateway Protocol [KSL]

NextStep nextstep bgp bgp

178/udp 178/tcp 179/tcp 179/udp

ris 180/tcp Intergraph [DXB] ris 180/udp Intergraph [DXB] unify 181/tcp Unify [VXS] unify 181/udp Unify [VXS] audit 182/tcp Unisys Audit SITP [GXG] audit 182/udp Unisys Audit SITP [GXG] ocbinder 183/tcp OCBinder [JXO1] ocbinder 183/udp OCBinder [JXO1] ocserver 184/tcp OCServer [JXO1] ocserver 184/udp OCServer [JXO1] remote-kis 185/tcp remote-kis 185/udp kis kis aci aci mumps mumps

186/tcp 186/udp 187/tcp 187/udp 188/tcp 188/udp

Remote-KIS [RXD1] Remote-KIS [RXD1] KIS Protocol [RXD1] KIS Protocol [RXD1]

Application Communication Interface [RXC1] Application Communication Interface [RXC1]

Plus Five's MUMPS [HS23] Plus Five's MUMPS [HS23]

qft 1/tcp Queued File Transport [WXS] qft 1/udp Queued File Transport [WXS] cacp gacp prospero prospero osu-nms osu-nms srmp srmp irc irc

dn6-nlm-aud dn6-nlm-aud dn6-smm-red dn6-smm-red dls dls dls-mon

190/udp 190/tcp 191/tcp 191/udp 192/tcp 192/udp 193/tcp 193/udp 194/tcp 194/udp 195/tcp 195/udp 196/tcp 196/udp 197/tcp 197/udp 198/tcp

Gateway Access Control Protocol Gateway Access Control Protocol Prospero Directory Service Prospero Directory Service OSU Network Monitoring System [DXK] OSU Network Monitoring System [DXK] Spider Remote Monitoring Protocol [TXS] Spider Remote Monitoring Protocol [TXS] Internet Relay Chat Protocol [JXO2] Internet Relay Chat Protocol [JXO2] DNSIX Network Level Module Audit [LL69] DNSIX Network Level Module Audit [LL69]

DNSIX Session Mgt Module Audit

Redir[LL69] DNSIX Session Mgt Module Audit

Redir[LL69] Directory Location Service [SXB] Directory Location Service [SXB] Directory Location Service Monitor [SXB]

©版权所有：神州数码网络有限公司 - 146 -

神州数码DCFW-1800防火墙用户手册

Directory Location Service Monitor [SXB]

dls-mon 198/udp

smux 199/tcp SMUX [MTR] smux 199/udp SMUX [MTR] src src at-rtmp at-rtmp at-nbp at-nbp

200/tcp 200/udp 201/tcp 201/udp 202/tcp 202/udp

IBM System Resource Controller [GXM] IBM System Resource Controller [GXM] AppleTalk Routing Maintenance [RXC] AppleTalk Routing Maintenance [RXC] AppleTalk Name Binding [RXC] AppleTalk Name Binding [RXC]

at-3 203/tcp AppleTalk Unused [RXC] at-3 203/udp AppleTalk Unused [RXC] at-echo 204/tcp AppleTalk Echo [RXC] at-echo 204/udp AppleTalk Echo [RXC] at-5 205/tcp AppleTalk Unused [RXC] at-5 205/udp AppleTalk Unused [RXC] at-zis at-zis

206/tcp 206/udp

AppleTalk Zone Information [RXC] AppleTalk Zone Information [RXC]

at-7 207/tcp AppleTalk Unused [RXC] at-7 207/udp AppleTalk Unused [RXC] at-8 208/tcp AppleTalk Unused [RXC] at-8 208/udp AppleTalk Unused [RXC] tam tam

209/tcp 209/udp

Trivial Authenticated Mail Protocol [DXB1] Trivial Authenticated Mail Protocol [DXB1]

z39.50 210/tcp ANSI Z39.50 [MXN] z39.50 210/udp ANSI Z39.50 [MXN] 914c/g 914c/g

211/tcp 211/udp

Texas Instruments 914C/G Terminal [BXH1] Texas Instruments 914C/G Terminal [BXH1]

anet 212/tcp ATEXSSTR [JXT] anet 212/udp ATEXSSTR [JXT] ipx 213/tcp IPX [DP666] ipx 213/udp IPX [DP666] vmpwscs vmpwscs softpc softpc atls atls

214/tcp 214/udp 215/tcp 215/udp 216/tcp 216/udp

VM PWSCS [DXS] VM PWSCS [DXS] Insignia Solutions [MXT] Insignia Solutions [MXT]

Access Technology License Server [LXD] Access Technology License Server [LXD]

dbase 217/tcp dBASE Unix [DXG1] dbase 217/udp dBASE Unix [DXG1] mpp mpp

218/tcp 218/udp

Netix Message Posting Protocol [STY] Netix Message Posting Protocol [STY]

uarps 219/tcp Unisys ARPs [AXM1] uarps 219/udp Unisys ARPs [AXM1] ©版权所有：神州数码网络有限公司 - 147 -

神州数码DCFW-1800防火墙用户手册

Interactive Mail Access Protocol v3 [JXR2] Interactive Mail Access Protocol v3 [JXR2] Berkeley rlogind with SPX auth [KXA] Berkeley rlogind with SPX auth [KXA] Berkeley rshd with SPX auth [KXA] Berkeley rshd with SPX auth [KXA]

Berkeley rshd with SPX auth Berkeley rshd with SPX auth

imap3 imap3 fln-spx fln-spx fsh-spx fsh-spx rsh-spx rsh-spx

220/tcp 220/udp 221/tcp 221/udp 222/tcp 222/udp 222/tcp 222/udp

cdc 223/tcp Certificate Distribution Center [KXA] cdc 223/udp Certificate Distribution Center [KXA] sur-meas sur-meas

243/tcp 243/udp

Survey Measurement [6,DDC1] Survey Measurement [6,DDC1]

link 245/tcp LINK [1,RDB2] link 245/udp LINK [1,RDB2] dsp3270 dsp3270 pdap pdap

246/tcp 246/udp 344/tcp 344/udp

Display Systems Protocol [39,WJS1] Display Systems Protocol [39,WJS1] Prospero Data Access Protocol Prospero Data Access Protocol

pawserv 345/tcp Perf Analysis Workbench pawserv 345/udp Perf Analysis Workbench zserv 346/tcp Zebra server zserv 346/udp Zebra server fatserv 347/tcp Fatmen Server fatserv 347/udp Fatmen Server csi-sgwp 348/tcp Cabletron Management Protocol csi-sgwp 348/udp Cabletron Management Protocol clearcase 371/tcp clearcase 371/udp Clearcase [DXL1] Clearcase [DXL1] ulistserv 372/tcp Unix Listserv [AXK] ulistserv 372/udp Unix Listserv [AXK] legent-1 legent-1 legent-2 legent-2

373/tcp 373/udp 374/tcp 374/udp

Legent Corporation [KXB] Legent Corporation [KXB] Legent Corporation [KXB] Legent Corporation [KXB]

Hassle Hassle hassle 375/tcp hassle 375/udp nip nip

376/tcp 376/udp

Amiga Envoy Network Inquiry Proto Amiga Envoy Network Inquiry Proto

tnETOS 377/tcp NEC Corporation tnETOS 377/udp NEC Corporation dsETOS 378/tcp NEC Corporation dsETOS 378/udp NEC Corporation is99c

379/tcp

TIA/EIA/IS-99 modem client

©版权所有：神州数码网络有限公司 - 148 -

神州数码DCFW-1800防火墙用户手册

TIA/EIA/IS-99 modem client TIA/EIA/IS-99 modem server TIA/EIA/IS-99 modem server hp performance data collector hp performance data collector hp performance data managed node hp performance data managed node hp performance data alarm manager hp performance data alarm manager A Remote Network Server System A Remote Network Server System

IBM Application ASA Message Router Object Def. ASA Message Router Object Def. Appletalk Update-Based Routing Pro. Appletalk Update-Based Routing Pro.

Unidata LDM Version 4 Unidata LDM Version 4 is99c is99s is99s hp-collector hp-collector hp-managed-node hp-managed-node hp-alarm-mgr hp-alarm-mgr arns arns asa asa aurp aurp

379/udp 380/tcp 380/udp 381/tcp 381/udp 382/tcp 382/udp 383/tcp 383/udp 384/tcp 384/udp 386/tcp 386/udp 387/tcp 387/udp

ibm-app 385/tcp unidata-ldm 388/tcp unidata-ldm 388/udp ldap 3/tcp Lightweight Directory Access Protocol ldap 3/udp Lightweight Directory Access Protocol entrustclient

3/tcp

Entrustclient - NorTel DES auth network see

709/tcp

UIS UIS uis 390/tcp uis 390/udp synotics-relay synotics-relay synotics-broker synotics-broker dis dis embl-ndt embl-ndt netcp netcp netware-ip netware-ip mptn mptn

391/tcp 391/udp 392/tcp 392/udp 393/tcp 393/udp 394/tcp 394/udp 395/tcp 395/udp 396/tcp 396/udp 397/tcp 397/udp

SynOptics SNMP Relay Port SynOptics SNMP Relay Port SynOptics Port Broker Port SynOptics Port Broker Port Data Interpretation System Data Interpretation System EMBL Nucleic Data Transfer EMBL Nucleic Data Transfer NETscout Control Protocol NETscout Control Protocol Novell Netware over IP Novell Netware over IP Multi Protocol Trans. Net. Multi Protocol Trans. Net.

Kryptolan Kryptolan ISO-TSAP Class 2 ISO-TSAP Class 2

kryptolan 398/tcp kryptolan 398/udp iso-tsap-c2 iso-tsap-c2

399/tcp 399/udp

work-sol 400/tcp Workstation Solutions ©版权所有：神州数码网络有限公司 - 149 -

神州数码DCFW-1800防火墙用户手册

work-sol 400/udp Workstation Solutions ups ups

401/tcp 401/udp

Uninterruptible Power Supply Uninterruptible Power Supply

genie 402/tcp Genie Protocol genie 402/udp Genie Protocol decap 403/tcp decap 403/udp nced 404/tcp nced 404/udp ncld 405/tcp ncld 405/udp imsp imsp

406/tcp 406/udp

decap decap nced nced ncld ncld Interactive Mail Support Protocol Interactive Mail Support Protocol

Timbuktu Timbuktu timbuktu 407/tcp timbuktu 407/udp prm-sm prm-sm prm-nm prm-nm decladebug decladebug rmt rmt

synoptics-trap synoptics-trap smsp smsp

408/tcp 408/udp 409/tcp 409/udp 410/tcp 410/udp 411/tcp 411/udp 412/tcp 412/udp 413/tcp 413/udp

Prospero Resource Manager Sys. Man. Prospero Resource Manager Sys. Man. Prospero Resource Manager Node Man. Prospero Resource Manager Node Man. DECLadebug Remote Debug Protocol DECLadebug Remote Debug Protocol

Remote MT Protocol Remote MT Protocol Trap Convention Port Trap Convention Port

Storage Management Services Protocol Storage Management Services Protocol

InfoSeek InfoSeek BNet BNet Silverplatter Silverplatter Onmux Onmux Hyper-G Hyper-G Ariel Ariel SMPTE SMPTE Ariel Ariel infoseek 414/tcp infoseek 414/udp bnet 415/tcp bnet 415/udp silverplatter 416/tcp silverplatter 416/udp onmux 417/tcp onmux 417/udp hyper-g 418/tcp hyper-g 418/udp ariel1 419/tcp ariel1 419/udp smpte 420/tcp smpte 420/udp ariel2 421/tcp ariel2 421/udp ©版权所有：神州数码网络有限公司 - 150 -

神州数码DCFW-1800防火墙用户手册

Ariel Ariel ariel3 422/tcp ariel3 422/udp opc-job-start opc-job-start opc-job-track opc-job-track

423/tcp 423/udp 424/tcp 424/udp

IBM Operations Planning and Control Start IBM Operations Planning and Control Start IBM Operations Planning and Control Track IBM Operations Planning and Control Track

ICAD ICAD Smartsdp Smartsdp icad-el 425/tcp icad-el 425/udp smartsdp 426/tcp smartsdp 426/udp svrloc 427/tcp Server Location svrloc 427/udp Server Location ocs_cmu 428/tcp ocs_cmu 428/udp ocs_amu 429/tcp ocs_amu 429/udp utmpsd 430/tcp utmpsd 430/udp utmpcd 431/tcp utmpcd 431/udp iasd 432/tcp iasd 432/udp nnsp 433/tcp nnsp 433/udp mobileip-agent 434/tcp mobileip-agent 434/udp mobilip-mn 435/tcp mobilip-mn 435/udp dna-cml 436/tcp dna-cml 436/udp comscm 437/tcp comscm 437/udp dsfgw 438/tcp dsfgw 438/udp OCS_CMU OCS_CMU OCS_AMU OCS_AMU UTMPSD UTMPSD UTMPCD UTMPCD IASD IASD NNSP NNSP MobileIP-Agent MobileIP-Agent MobilIP-MN MobilIP-MN DNA-CML DNA-CML Comscm Comscm Dsfgw Dsfgw dasp 439/tcp Dasp Thomas Obermair dasp 439/udp Dasp tommy@inlab.m.eunet.de sgcp 440/tcp sgcp 440/udp decvms-sysmgt 441/tcp decvms-sysmgt 441/udp cvc_hostd 442/tcp cvc_hostd 442/udp https

443/tcp

Sgcp Sgcp decvms-sysmgt decvms-sysmgt cvc_hostd cvc_hostd encrypted http server (SSL - RSA,rc4/des)

©版权所有：神州数码网络有限公司 - 151 -

神州数码DCFW-1800防火墙用户手册

Simple Network Paging Protocol Simple Network Paging Protocol

snpp snpp

444/tcp 444/udp

microsoft-ds 445/tcp Microsoft-DS microsoft-ds 445/udp Microsoft-DS ddm-rdb 446/tcp ddm-rdb 446/udp ddm-dfm 447/tcp ddm-dfm 447/udp ddm-byte 448/tcp ddm-byte 448/udp as-servermap as-servermap

449/tcp 449/udp

DDM-RDB DDM-RDB DDM-RFM DDM-RFM DDM-SSL DDM-SSL AS Server Mapper AS Server Mapper

TServer TServer tserver 450/tcp tserver 450/udp sfs-smp-net sfs-smp-net

451/tcp 451/udp

Cray Network Semaphore server Cray Network Semaphore server

sfs-config 452/tcp Cray SFS config server sfs-config 452/udp Cray SFS config server creativeserver 453/tcp creativeserver 453/udp contentserver 4/tcp contentserver 4/udp creativepartnr 455/tcp creativepartnr 455/udp macon-tcp 456/tcp macon-udp 456/udp scohelp 457/tcp scohelp 457/udp appleqtc 458/tcp appleqtc 458/udp ampr-rcmd 459/tcp ampr-rcmd 459/udp skronk 460/tcp skronk 460/udp datasurfsrv 461/tcp datasurfsrv 461/udp datasurfsrvsec 462/tcp datasurfsrvsec 462/udp CreativeServer CreativeServer ContentServer ContentServer CreativePartnr CreativePartnr macon-tcp macon-tcp Scohelp Scohelp apple quick time apple quick time ampr-rcmd ampr-rcmd Skronk Skronk DataRampSrv DataRampSrv DataRampSrvSec DataRampSrvSec Alpes Alpes alpes 463/tcp alpes 463/udp biff exec login

512/udp 512/tcp 513/tcp

comsat used by mail system to notify users

remote process execution; remote login a la telnet;

©版权所有：神州数码网络有限公司 - 152 -

神州数码DCFW-1800防火墙用户手册

whod maintains data bases showing who's

shell like exec, but automatic rlogin style exec (rshd)

spooler (lpd) spooler (lpd) who cmd shell

513/udp 514/tcp 514/tcp

syslog 514/udp printer 515/tcp printer 515/udp talk talk

517/tcp 517/udp

like tenex link, but across like tenex link, but across

(talkd) (talkd) unixtime unixtime ntalk 518/tcp ntalk 518/udp utime 519/tcp utime 519/udp efs router

520/tcp 520/udp

extended file name server

local routing process (on site); uses variant of Xerox

timeserver timeserver newdate newdate rpc rpc chat chat readnews readnews timed 525/tcp timed 525/udp tempo 526/tcp tempo 526/udp courier 530/tcp courier 530/udp conference 531/tcp conference 531/udp netnews 532/tcp netnews 532/udp netwall netwall

533/tcp 533/udp

for emergency broadcasts for emergency broadcasts

apertus-ldp 539/tcp Apertus Technologies Load Determination apertus-ldp 539/udp Apertus Technologies Load Determination uucp 0/tcp uucp 0/udp uucp-rlogin 1/tcp uucp-rlogin 1/udp uucpd uucpd uucp-rlogin uucp-rlogin klogin 3/tcp Kerberos (v4/v5) klogin 3/udp Kerberos (v4/v5) kshell kshell

4/tcp 4/udp

krcmd Kerberos (v4/v5) krcmd Kerberos (v4/v5)

Appleqtcsrvr Appleqtcsrvr new-who new-who Cybercash Cybercash appleqtcsrvr 5/tcp appleqtcsrvr 5/udp new-rwho 550/tcp new-rwho 550/udp cybercash 551/tcp cybercash 551/udp ©版权所有：神州数码网络有限公司 - 153 -

神州数码DCFW-1800防火墙用户手册

Deviceshare Deviceshare Pirp Pirp deviceshare 552/tcp deviceshare 552/udp pirp 553/tcp pirp 553/udp dsf 555/tcp dsf 555/udp remotefs

556/udp

remotefs 556/tcp rfs rfs_server Brunhoff remote filesystem

rfs rfs_server Brunhoff remote filesystem

openvms-sysipc openvms-sysipc SDNSKMP SDNSKMP TEEDTAP TEEDTAP Rmonitord Rmonitord Chcmd Chcmd openvms-sysipc 557/tcp openvms-sysipc 557/udp sdnskmp 558/tcp sdnskmp 558/udp teedtap 559/tcp teedtap 559/udp rmonitor 560/tcp rmonitor 560/udp monitor 561/tcp monitor 561/udp chshell 562/tcp chshell 562/udp nntps nntps 9pfs 9pfs

563/tcp 563/udp 5/tcp 5/udp

nntp protocol over TLS/SSL(was snntp) nntp protocol over TLS/SSL(was snntp)

plan 9 file service plan 9 file service

whoami whoami demon demon udemon udemon udemon udemon Sun IPC server Sun IPC server

ECD Integrated PC board srvr Cray Unified Resource Manager Cray Unified Resource Manager

Nqs Nqs whoami 565/tcp whoami 565/udp meter 570/tcp meter 570/udp meter 571/tcp meter 571/udp umeter 571/tcp umeter 571/udp ipcserver ipcserver pcserver urm urm

600/tcp 600/udp 600/tcp 606/tcp 606/udp

nqs 607/tcp nqs 607/udp sift-uft 608/tcp Sender-Initiated/Unsolicited File Transfer sift-uft 608/udp Sender-Initiated/Unsolicited File Transfer npmp-trap 609/tcp npmp-trap 609/udp npmp-trap npmp-trap ©版权所有：神州数码网络有限公司 - 1 -

神州数码DCFW-1800防火墙用户手册

npmp-local npmp-local npmp-gui npmp-gui Ginad Ginad npmp-local 610/tcp npmp-local 610/udp npmp-gui 611/tcp npmp-gui 611/udp ginad 634/tcp ginad 634/udp mount

635/udp

NFS Mount Service

pcnfs 0/udp PC-NFS DOS Authentication bwnfs 650/udp BW-NFS DOS Authentication doom doom

666/tcp 666/udp

doom Id Software doom Id Software

mdqs 666/tcp mdqs 666/udp elcsd 704/tcp errlog copy/server daemon elcsd 704/udp errlog copy/server daemon entrustmanager entrustmanager netviewdm1 netviewdm1 netviewdm2 netviewdm2 netviewdm3 netviewdm3 netcp netcp

709/tcp 709/udp 729/tcp 729/udp 730/tcp 730/udp 731/tcp 731/udp 740/tcp 740/udp

EntrustManager - NorTel DES auth network

see 3/tcp EntrustManager - NorTel DES auth network

see 3/tcp IBM NetView DM/6000 Server/Client IBM NetView DM/6000 Server/Client IBM NetView DM/6000 send/tcp IBM NetView DM/6000 send/tcp IBM NetView DM/6000 receive/tcp IBM NetView DM/6000 receive/tcp NETscout Control Protocol [AXS2] NETscout Control Protocol [AXS2]

netgw 741/tcp netGW [OXK] netgw 741/udp netGW [OXK] netrcs netrcs flexlm flexlm fujitsu-dev fujitsu-dev ris-cm ris-cm

742/tcp 742/udp 744/tcp 744/udp 747/tcp 747/udp 748/tcp 748/udp

Network based Rev. Cont. Sys. [GXC2] Network based Rev. Cont. Sys. [GXC2] Flexible License Manager [MXC2] Flexible License Manager [MXC2]

Fujitsu Device Control Fujitsu Device Control Russell Info Sci Calendar Manager Russell Info Sci Calendar Manager

kerberos administration kerberos administration kerberos-adm 749/tcp kerberos-adm 749/udp kerberos 750/tcp kdc Kerberos (v4) kerberos 750/udp kdc Kerberos (v4) loadav 750/udp rfile 750/tcp ©版权所有：神州数码网络有限公司 - 155 -

神州数码DCFW-1800防火墙用户手册

Kerberos `kadmin' (v4) Kerberos `kadmin' (v4)

kerberos_master kerberos_master

751/tcp 751/udp

pump 751/tcp pump 751/udp qrh 752/tcp qrh 752/udp rrh 753/tcp rrh 753/udp tell 7/tcp Send tell 7/udp Send nlogin 758/tcp nlogin 758/udp con 759/tcp con 759/udp krbupdate

760/tcp

ns 760/tcp ns 760/udp kpasswd

761/tcp

rxe 761/tcp rxe 761/udp quotad 762/tcp quotad 762/udp cycleserv 763/tcp cycleserv 763/udp omserv 7/tcp omserv 7/udp webster 765/tcp webster 765/udp phonebook 767/tcp phonebook 767/udp vid 769/tcp vid 769/udp cadlock 770/tcp cadlock 770/udp rtip 771/tcp rtip 771/udp cycleserv2 772/tcp cycleserv2 772/udp notify 773/udp submit 773/tcp acmaint_dbd 774/udp rpasswd 774/tcp acmaint_transd 775/udp phone phone

kreg Kerberos (v4) registration

kpwd Kerberos (v4) \"passwd\"

©版权所有：神州数码网络有限公司 - 156 -

神州数码DCFW-1800防火墙用户手册

entomb 775/tcp wpages 776/tcp wpages 776/udp wpgs 780/tcp wpgs 780/udp hp-collector hp-collector hp-managed-node hp-managed-node hp-alarm-mgr hp-alarm-mgr

781/tcp 781/udp 782/tcp 782/udp 783/tcp 783/udp

hp performance data collector hp performance data collector hp performance data managed node hp performance data managed node hp performance data alarm manager hp performance data alarm manager

Concert for SUP concert 786/tcp mdbs_daemon 800/tcp mdbs_daemon 800/udp device 801/tcp device 801/udp supfilesrv 871/tcp concert 786/udp Concert accessbuilder 888/tcp AccessBuilder accessbuilder 888/udp AccessBuilder vsinet 996/tcp vsinet 996/udp xtreelic xtreelic

996/tcp 996/udp

Vsinet Vsinet XTREE License Server XTREE License Server

Applix ac network blackjack network blackjack maitrd 997/tcp maitrd 997/udp busboy 998/tcp puparp 998/udp applix 999/udp garcon 999/tcp puprouter 999/tcp puprouter 999/udp cadlock 1000/tcp ock 1000/udp blackjack 1025/tcp blackjack 1025/udp listen

1025/tcp

listener RFS remote_file_sharing

nterm 1026/tcp remote_login network_terminal iad1 1030/tcp BBN IAD iad1 1030/udp BBN IAD iad2 1031/tcp BBN IAD iad2 1031/udp BBN IAD iad3 1032/tcp BBN IAD ©版权所有：神州数码网络有限公司 - 157 -

神州数码DCFW-1800防火墙用户手册

iad3 1032/udp BBN IAD nim 1058/tcp nim 1058/udp nimreg 1059/tcp nimreg 1059/udp instl_boots instl_boots instl_bootc instl_bootc

1067/tcp 1067/udp 1068/tcp 1068/udp

Nim Nim Nimreg Nimreg Installation Bootstrap Proto. Serv. Installation Bootstrap Proto. Serv. Installation Bootstrap Proto. Cli. Installation Bootstrap Proto. Cli.

Socks Socks socks 1080/tcp socks 1080/udp ansoft-lm-1 ansoft-lm-1 ansoft-lm-2 ansoft-lm-2

1083/tcp 1083/udp 1084/tcp 1084/udp

Anasoft License Manager Anasoft License Manager Anasoft License Manager Anasoft License Manager

Client status info Cluster status info for SUP

nfsd-keepalive 1110/udp nfsd-status 1110/tcp supfiledbg 1127/tcp msql 1112/tcp mini-sql server nfa 1155/tcp Network File Access nfa 1155/udp Network File Access lupa 1212/tcp lupa 1212/udp nerv nerv

1222/tcp 1222/udp

Lupa Lupa SNI R&D network SNI R&D network

Hermes Hermes msg 1241/tcp remote message server hermes 1248/tcp hermes 1248/udp alta-ana-lm 1346/tcp Alta Analytics License Manager alta-ana-lm 1346/udp Alta Analytics License Manager bbn-mmc bbn-mmc bbn-mmx bbn-mmx sbook sbook editbench editbench equationbuilder equationbuilder lotusnote lotusnote

1347/tcp 1347/udp 1348/tcp 1348/udp 1349/tcp 1349/udp 1350/tcp 1350/udp 1351/tcp 1351/udp 1352/tcp 1352/udp

multi media conferencing multi media conferencing multi media conferencing multi media conferencing Registration Network Protocol [SXS4] Registration Network Protocol [SXS4] Registration Network Protocol [SXS4] Registration Network Protocol [SXS4] Digital Tool Works (MIT) [TXT1] Digital Tool Works (MIT) [TXT1]

Lotus Note [GXP1] Lotus Note [GXP1]

relief 1353/tcp Relief Consulting ©版权所有：神州数码网络有限公司 - 158 -

神州数码DCFW-1800防火墙用户手册

relief 1353/udp Relief Consulting rightbrain 13/tcp RightBrain Software rightbrain 13/udp RightBrain Software intuitive-edge 1355/tcp intuitive-edge 1355/udp cuillamartin 1356/tcp cuillamartin 1356/udp Intuitive Edge Intuitive Edge CuillaMartin Company CuillaMartin Company pegboard 1357/tcp Electronic PegBoard pegboard 1357/udp Electronic PegBoard connlcli 1358/tcp connlcli 1358/udp ftsrv 1359/tcp ftsrv 1359/udp mimer 1360/tcp mimer 1360/udp linx 1361/tcp linx 1361/udp timeflies 1362/tcp timeflies 1362/udp ndm-requester ndm-requester ndm-server ndm-server

1363/tcp 1363/udp 13/tcp 13/udp

Network DataMover Requester Network DataMover Requester Network DataMover Server Network DataMover Server

adapt-sna 1365/tcp Network Software Associates adapt-sna 1365/udp Network Software Associates netware-csp netware-csp

1366/tcp 1366/udp

Novell NetWare Comm Service Platform Novell NetWare Comm Service Platform

GlobalView to Unix Shell GlobalView to Unix Shell Unix Shell to GlobalView Unix Shell to GlobalView Fujitsu Config Protocol Fujitsu Config Protocol Fujitsu Config Protocol Fujitsu Config Protocol

EPI Software Systems EPI Software Systems

dcs 1367/tcp dcs 1367/udp screencast 1368/tcp screencast 1368/udp gv-us gv-us us-gv us-gv fc-cli fc-cli fc-ser fc-ser

1369/tcp 1369/udp 1370/tcp 1370/udp 1371/tcp 1371/udp 1372/tcp 1372/udp

chromagrafx 1373/tcp chromagrafx 1373/udp molly molly

1374/tcp 1374/udp

©版权所有：神州数码网络有限公司 - 159 -

神州数码DCFW-1800防火墙用户手册

bytex 1375/tcp bytex 1375/udp ibm-pps ibm-pps cichlid cichlid

1376/tcp 1376/udp 1377/tcp 1377/udp

IBM Person to Person Software IBM Person to Person Software Cichlid License Manager Cichlid License Manager

elan 1378/tcp Elan License Manager elan 1378/udp Elan License Manager dbreporter 1379/tcp dbreporter 1379/udp telesis-licman telesis-licman apple-licman apple-licman gwha gwha os-licman os-licman atex_elmd atex_elmd checksum checksum cadsi-lm cadsi-lm objective-dbc objective-dbc

1380/tcp 1380/udp 1381/tcp 1381/udp 1383/tcp 1383/udp 1384/tcp 1384/udp 1385/tcp 1385/udp 1386/tcp 1386/udp 1387/tcp 1387/udp 1388/tcp 1388/udp

Integrity Solutions Integrity Solutions Telesis Network License Manager Telesis Network License Manager Apple Network License Manager Apple Network License Manager GW Hannaway Network License Manager GW Hannaway Network License Manager Objective Solutions License Manager Objective Solutions License Manager Atex Publishing License Manager Atex Publishing License Manager CheckSum License Manager CheckSum License Manager Computer Aided Design Software Inc LM Computer Aided Design Software Inc LM Objective Solutions DataBase Cache Objective Solutions DataBase Cache

iclpv-dm 13/tcp Document Manager iclpv-dm 13/udp Document Manager iclpv-sc 1390/tcp Storage Controller iclpv-sc 1390/udp Storage Controller iclpv-sas 1391/tcp Storage Access Server iclpv-sas 1391/udp Storage Access Server iclpv-pm 1392/tcp iclpv-pm 1392/udp Print Manager Print Manager iclpv-nls 1393/tcp Network Log Server iclpv-nls 1393/udp Network Log Server iclpv-nlc 1394/tcp Network Log Client iclpv-nlc 1394/udp Network Log Client iclpv-wsm iclpv-wsm

1395/tcp 1395/udp

PC Workstation Manager software PC Workstation Manager software

DVL Active Mail DVL Active Mail Audio Active Mail

dvl-activemail 1396/tcp dvl-activemail 1396/udp audio-activmail 1397/tcp ©版权所有：神州数码网络有限公司 - 160 -

神州数码DCFW-1800防火墙用户手册

Audio Active Mail Video Active Mail Video Active Mail Cadkey License Manager Cadkey License Manager

Cadkey Tablet Daemon Cadkey Tablet Daemon Goldleaf License Manager Goldleaf License Manager

audio-activmail 1397/udp video-activmail 1398/tcp video-activmail 1398/udp cadkey-licman cadkey-licman

1399/tcp 1399/udp

cadkey-tablet 1400/tcp cadkey-tablet 1400/udp goldleaf-licman goldleaf-licman

1401/tcp 1401/udp

prm-sm-np 1402/tcp Prospero Resource Manager prm-sm-np 1402/udp Prospero Resource Manager prm-nm-np 1403/tcp Prospero Resource Manager prm-nm-np 1403/udp Prospero Resource Manager igi-lm igi-lm ibm-res ibm-res

1404/tcp 1404/udp 1405/tcp 1405/udp

Infinite Graphics License Manager Infinite Graphics License Manager IBM Remote Execution Starter IBM Remote Execution Starter

netlabs-lm 1406/tcp NetLabs License Manager netlabs-lm 1406/udp NetLabs License Manager dbsa-lm dbsa-lm sophia-lm sophia-lm

1407/tcp 1407/udp 1408/tcp 1408/udp

DBSA License Manager DBSA License Manager Sophia License Manager Sophia License Manager

here-lm 1409/tcp Here License Manager here-lm 1409/udp Here License Manager hiq 1410/tcp HiQ License Manager hiq 1410/udp HiQ License Manager vpad vpad vpac vpac

1516/tcp 1516/udp 1517/tcp 1517/udp

Virtual Places Audio data Virtual Places Audio data Virtual Places Audio control Virtual Places Audio control

vpvd 1518/tcp Virtual Places Video data vpvd 1518/udp Virtual Places Video data vpvc vpvc atm-zip-office atm-zip-office cfs

1519/tcp 1519/udp 1520/tcp 1520/udp 3049/udp

Virtual Places Video control Virtual Places Video control

atm zip office atm zip office

cryptographic file system (nfs)

NV Video default NV Video default radio free ethernet radio free ethernet

nv-video 4444/tcp nv-video 4444/udp fax rfe rfe

4557/tcp 5002/tcp 5002/udp

FlexFax FAX transmission service

©版权所有：神州数码网络有限公司 - 161 -

神州数码DCFW-1800防火墙用户手册

aol 5190/tcp America-Online aol 5190/udp America-Online eworld sgi-dgl

5190/tcp 5232/tcp

goto.eworld.com PC <-> eworld protocol

SGI Distributed Graphics

proshare conf audio proshare conf audio proshare conf video proshare conf video NCD preferences tcp port NCD diagnostic tcp port NCD configuration tcp port NCD diagnostic telnet port NCD configuration telnet port

internet relay chat file server itself file server itself

msdos volume location database volume location database postgres 32/tcp postgres database server proshareaudio 5713/tcp proshareaudio 5713/udp prosharevideo 5714/tcp prosharevideo 5714/udp ncd-pref-tcp ncd-diag-tcp ncd-conf-tcp ncd-diag ncd-conf irc

afs3-fileserver afs3-fileserver

5977/tcp 5978/tcp 5979/tcp 5998/tcp 5999/tcp 6667/tcp 7000/tcp 7000/udp

ncd-pref 5997/tcp NCD preferences telnet port

irc-serv 6666/tcp internet relay chat server

dos 7000/tcp afs3-vlserver 7003/tcp afs3-vlserver 7003/udp afs3-volser 7005/tcp volume managment server afs3-volser 7005/udp volume managment server cucme-1 cucme-2 cucme-3 cucme-4 stel biimenu biimenu

78/udp 79/udp 7650/udp 7651/udp 10005/tcp 18000/tcp 18000/udp

cucme live video/audio server cucme live video/audio server cucme live video/audio server cucme live video/audio server

Secure telnet (diffie-helman,des/idea) - cert.it

Beckman Instruments, Inc. Beckman Instruments, Inc.

dbbrowse 47557/tcp Databeam Corporation ©版权所有：神州数码网络有限公司 - 162 -

神州数码DCFW-1800防火墙用户手册

附录5:http,ftp代理常用命令集

http命令集：

1． OPTIONS url ：此命令用来确定所要访问资源允许进行的操作或是服务器的性能，而不取得该

指定url的内容。

2． GET url：此命令用来取得任何指定url中的内容。

3． HEAD url：与GET相同，但不返回Message-body,可用于验证超链接的有效性、可达性和最近

的修改情况。

4． TRACE url：让客户端了解将收到什么信息并用它作为检测和调试信息。

5． POST url：请求目标服务器将附加在请求行后的内容作为新的资源附加到服务器上。可用于投

递信息给BBS、newsgroup。

6． PUT url：请求目标服务器接受附加在请求行后的内容作为服务器的附加资源，如果指定的资

源已存在，则修改该资源；如果指定的资源不存在，则创建该资源。

DELETE url：删除指定url的内容。

FTP的命令行格式为： ftp -v -d -i -n -g [主机名] ，其中 -v 显示远程服务器的所有响应信息； -i ftp的自动登录，即不使用； -n etrc文件； -d 使用调试方式； -g 取消全局文件名。

ftp使用的内部命令如下(中括号表示可选项):

1. ![cmd[args]]：在本地机中执行交互shell，exit回到ftp环境，如：!ls*.zip。 2. $ macro-ame[args]：执行宏定义macro-name。

3. account[password]：提供登录远程系统成功后访问系统资源所需的补充口令。

4. append local-file[remote-file]：将本地文件追加到远程系统主机，若未指定远程系统文件名，则使用本地文件名。

5. ascii：使用ascii类型传输方式。 6. bell：每个命令执行完毕后计算机响铃一次。 7. bin：使用二进制文件传输方式。 8. bye：退出ftp会话过程。

9. case：在使用mget时，将远程主机文件名中的大写转为小写字母。 10. cd remote-dir：进入远程主机目录。 11. cdup：进入远程主机目录的父目录。

©版权所有：神州数码网络有限公司 - 163 -

神州数码DCFW-1800防火墙用户手册

12. chmod mode file-name：将远程主机文件file-name的存取方式设置为mode，如： chmod 777 a.out 。 13. close：中断与远程服务器的ftp会话(与open对应)。 14. cr：使用asscii方式传输文件时，将回车换行转换为回行。 15. delete remote-file：删除远程主机文件。

16. debug[debug-value]：设置调试方式， 显示发送至远程主机的每条命令，如： deb up 3，若设为0，表示取消debug。

17. dir[remote-dir][local-file]：显示远程主机目录，并将结果存入本地文件local-file。 18. disconnection：同close。

19. form format：将文件传输方式设置为format，缺省为file方式。

20. get remote-file[local-file]： 将远程主机的文件remote-file传至本地硬盘的local-file。 21. glob：设置mdelete，mget，mput的文件名扩展，缺省时不扩展文件名，同命令行的-g参数。 22. hash：每传输1024字节，显示一个hash符号(#)。

23. help[cmd]：显示ftp内部命令cmd的帮助信息，如：help get。 24. idle[seconds]：将远程服务器的休眠计时器设为[seconds]秒。 25. image：设置二进制传输方式(同binary)。 26. lcd[dir]：将本地工作目录切换至dir。

27. ls[remote-dir][local-file]：显示远程目录remote-dir， 并存入本地文件local-file。 28. macdef macro-name：定义一个宏，遇到macdef下的空行时，宏定义结束。 29. mdelete[remote-file]：删除远程主机文件。

30. mdir remote-files local-file：与dir类似，但可指定多个远程文件，如： mdir *.o.*.zipoutfile 。 31. mget remote-files：传输多个远程文件。 32. mkdir dir-name：在远程主机中建一目录。

33. mls remote-file local-file：同nlist，但可指定多个文件名。 34. mode[modename]：将文件传输方式设置为modename， 缺省为stream方式。 35. modtime file-name：显示远程主机文件的最后修改时间。 36. mput local-file：将多个文件传输至远程主机。

37. newer file-name： 如果远程机中file-name的修改时间比本地硬盘同名文件的时间更近，则重传该文件。 38. nlist[remote-dir][local-file]：显示远程主机目录的文件清单，并存入本地硬盘的local-file。 39. nmap[inpattern outpattern]：设置文件名映射机制， 使得文件传输时，文件中的某些字符相互转换，如：nmap $1.$2.$3[$1，$2].[$2，$3]，则传输文件a1.a2.a3时，文件名变为a1，a2。该命令特别适用于远程主 ©版权所有：神州数码网络有限公司 - 1 -

神州数码DCFW-1800防火墙用户手册

机为非UNIX机的情况。

40. ntrans[inchars[outchars]]：设置文件名字符的翻译机制，如ntrans1R，则文件名LLL将变为RRR。 41. open host[port]：建立指定ftp服务器连接，可指定连接端口。 42. passive：进入被动传输方式。

43. prompt：设置多个文件传输时的交互提示。

44. proxy ftp-cmd：在次要控制连接中，执行一条ftp命令，该命令允许连接两个ftp服务器，以在两个服务器间传输文件。第一条ftp命令必须为open，以首先建立两个服务器间的连接。 45. put local-file[remote-file]：将本地文件local-file传送至远程主机。 46. pwd：显示远程主机的当前工作目录。 47. quit：同bye，退出ftp会话。

48. quote arg1，arg2...：将参数逐字发至远程ftp服务器，如：quote syst。 49. recv remote-file[local-file]：同get。

50. reget remote-file[local-file]：类似于get，但若local-file存在，则从上次传输中断处续传。 51. rhelp[cmd-name]：请求获得远程主机的帮助。

52. rstatus[file-name]：若未指定文件名，则显示远程主机的状态，否则显示文件状态。 53. rename[from][to]：更改远程主机文件名。 . reset：清除回答队列。

55. restart marker：从指定的标志marker处，重新开始get或put，如：restart 130。 56. rmdir dir-name：删除远程主机目录。 57. runique：设置文件名唯一性存储。 58. send local-file[remote-file]：同put。 59. sendport：设置PORT命令的使用。

60. site arg1，arg2...：将参数作为SITE命令逐字发送至远程ftp主机。 61. size file-name：显示远程主机文件大小，如：site idle 7200。 62. status：显示当前ftp状态。

63. struct[struct-name]：将文件传输结构设置为struct-name，缺省时使用stream结构。 . sunique：将远程主机文件名存储设置为唯一(与runique对应)。 65. system：显示远程主机的操作系统类型。

66. tenex：将文件传输类型设置为TENEX机的所需的类型。

67. tick：设置传输时的字节计数器。 ©版权所有：神州数码网络有限公司 - 165 -

神州数码DCFW-1800防火墙用户手册

68. trace：设置包跟踪。

69. type[type-name]：设置文件传输类型为type-name，缺省为ascii，如：type binary，设置二进制传输方式。

70. umask[newmask]：将远程服务器的缺省umask设置为newmask，如：umask 3。

71. user user-name[password][account]：向远程主机表明自己的身份，需要口令时，必须输入口令，如：user anonymous my@email。

72. verbose：同命令行的-v参数，即设置详尽报告方式，ftp服务器的所有响应都将显示给用户，缺省为on。 73. ?[cmd]：同help。

©版权所有：神州数码网络有限公司 - 166 -

神州数码DCFW-1800防火墙用户手册

附录6：常见问题分析

关于系统

1. 新版防火墙新增功能包括哪些，有哪些优势？

z 规则的匹配方式不同，防火墙中内置INPUT,OUTPUT,FORWARD三条规则链，在新的防火墙中，任何一个包仅仅只在这三个链中的任何一个上应用，不象在旧版中任何一个包如果是穿过这台防火墙总要同时击中三个规则。

z 可外界对防火墙自身接口的访问。

z 新版防火墙将源地址转换与目的地址转换分开，地址转换与过滤规则配置分开，结构更加清晰，实现的功能更加灵活。如双向NAT，端口映射。可根据源地址、目的地址、所访问的服务区别转换地址。源地址转换支持地址池。 z 支持带宽控制功能。

z 增强的网桥方式：可任意两个接口起网桥或三个接口同时起网桥；起网桥的接口可只存在一个IP地址或没有地址，安全性更高；网桥模式下可支持双机热备、802.1q、带宽控制、流量控制等各项功能。

z 防火墙规则管理使用安全策略对象：对象就是防火墙系统要保护和防范的主机、网络、时间段以及服务。管理员为了设置有效策略，需要了解所有主机的IP地址和协议类型使用的端口号。制定策略时往往需要参照IP地址和协议/端口列表，工作量非常繁重，而且不易管理和记忆。因此有必要将这些 IP地址定义成有意义的名称，并根据需要编组使用于策略中。新版防火墙将主机IP地址注册为对象，在设置策略时利用注册对象而不是IP地址，同样，对特定协议和端口也定义为一个服务对象，可以简化策略设置，同时增强安全策略的可管理性。 z 规则的修改及顺序的调整更方便。

z 日志信息采用数据库存储：将日志信息的收集、存储提高到相当重要的地位。适应银行、证券、、保密、、税务等对日志敏感、重要的部门的需求。具有与防火墙互动使用、记录内容准确广泛、不改变网络系统的拓扑结构、系统安全可靠的特点。目前防火墙支持多个日志服务器同步接收，主日志服务器向下一级服务器转发的功能。日志服务器接收六大类日志信息，具有查看、查询、用户管理、导入、导出等主要功能。

z 增强了防火墙的IDS功能。防火墙支持35大类入侵检测：包括拒绝服务攻击、分布式拒绝服务攻击、系统溢出、扫描类、异常的ICMP包等攻击，可针对网络的实际状况设置防火墙对何种攻击类型作出响应，以获得较好的性能及应用效果。可以选择的响应的方式记录日志、报警及阻断。 z VPN功能：利用神州数码DCFW-1800防火墙可以利用因特网（Internet）IP 通道为用户提供具有保密性，安全性，低成本，配置简单等特性的虚拟专网服务。 z 用户认证：一般用于保密性较强，而又有远程访问需求的情况。目前采用一次一密的认证方式，依照s/key原理产生单次密钥。用户每次使用时，系统告知用户目前的序列号，用户输入对应该序列号的密码。经过认证的用户方可在认证有效期内（一次认证有效期，表示认证成功后该认证的有效期限，即在该时间段内可以使用预先定义好的网络资源，超过该时间段用户还需要访问特定网络资源则需要再次进行认证。）访问该资源。序列号不同产生的密码是不同的，并且算法不可逆（根据现有的密码无法计算出后续密码的值）。

z 增加了对TRUNK技术的支持，目前已实现在防火墙的不同区域的VLAN互相通信并在包过滤规则中对其进行规则控制。

关于WEB

2. 为什么访问Web页面，长时间不操作，再去连接其它页面会让用户重新登录？

©版权所有：神州数码网络有限公司 - 167 -

神州数码DCFW-1800防火墙用户手册

为保证系统安全，如果在15 分钟之内没有人在防火墙的Web 页面上操作，它会自动断掉连接，用户再操作时候，防火墙回到重新登录的界面。

关于安装

3. 无法PING防火墙的接口?

检查源主机是否能正常路由到该防火墙接口，而且防火墙是否设置允许访问防火墙接口的规则。

4. 防火墙主机应如何设定其默认网关？

防火墙主机是建立在企业网络与因特网的网关上，有条件地将企业网络与因特网的数据交通做路由转换，所以防火墙主机的路由功能必须启动，同时也必需设定其“默认网关”，即下一站的路由器的位置，以便将非直接连接的IP地址的封包送往默认网关。神州数码DCFW-1800防火墙主机有三个以太网口，其中一个以太口连接对外的路由器，那么这个以太口的默认网关就应设在路由器。注意∶一部具路由功能的主机只能设一个默认网关，设二个或二个以上的默认网关时，其路由功能将不正常。

5. 不能增加一目标网段的路由？ 检查防火墙是否能解析该网关。

6. 为什么初始化防火墙后，防火墙的地址没有改变？ 修改防火墙址或路由后必须要初始化才能生效，但初始化之前要确保修改以后的接口地址及路由已经上传至防火墙。

7. 防火墙与不能通讯，可能是哪几个方面的原因？ 防火墙是否配置了缺省网关；防火墙接口的IP地址与网络中的地址是否有冲突；在NAT 规则配置时，映射的地址是否有冲突。

8. 如果防火墙内部主机不能访问的站点，可能是什么原因？

内网主机的网关是否指向了防火墙的内网接口地址，是否正确的配置了DNS服务器；查看用户IP地址是否已经做了NAT；检查流量管理中是否该用户的流量已经用完；在包过滤策略的配置中，检查是否配置了允许由内到外的DNS 服务通过；该内部主机是否在策略配置的阻止主机列表中。

9. 为什么启动流量服务后控制不了流量？

启动流量前先要在“流量配置”项中配置流量服务参数。IP地址要填写日志服务器的IP地址；端口号为514；起始时间为每天计流量的起始时间；时间间隔为防火墙采样的周期。

10. 为什么管理员无法登录防火墙？ 查看是否有其他管理员（管理用户）已经登录防火墙，因为防火墙同一时刻只允许一个管理员登录。或者管理员登录IP与预设定的管理员IP地址范围不符,GUI的预共享密钥与防火墙密钥不匹配。

11. 忘记了管理员密码(预共享密钥、管理机地址)怎么办？

如果忘记了管理员密码(预共享密钥、管理机地址)则只能通过恢复出厂设置来解决。具体操作步骤如下：用防火墙附带的串口线连接防火墙的CONSOLE口，在命令行方式下依次执行“restore”“reboot”命令。防火墙启动后所有的配置即恢复出厂时的状态。 此时所有的设置需要重新配置。因此，我们建议在防火墙所有规则配置完毕后，修改管理员密码(预共享密钥、管理机地址)之前要

©版权所有：神州数码网络有限公司 - 168 -

神州数码DCFW-1800防火墙用户手册

把当前配置保存成文件，并妥善保存。以便必要时能很快恢复防火墙的正常工作状态。

12. 超级终端无法连接防火墙？

设置正确的通信参数（9600-8-N-1)及终端类型,并检查线缆连接正确。

13. 如何判断双机中哪一台机器正在工作？

以防火墙双机热备参数中的主机内网地址连接到防火墙，查看系统配置中的双机热备选项页，可以看到此机器在双机热备中的“双机热备地位”。

关于系统管理

14. ＨuaTech-2000提供的GUI远程配置防火墙的方式，是否安全？ 神州数码DCFW-1800 FirewalL的设定、监控电脑与防火墙主机的连接，用下列的机制运作，以确保网络及数据安全.首先,GUI启动时先向防火墙发出请求连接信息，防火墙则管理员向防火墙确认身份时，设定工具软件根据用户输入的密码，产生单次的密码以传回防火墙，因此管理员的密码在每一次连接都不相同，进而防止密码在因特网上遭截取并重新利用的危险。再者，设定数据与监控数据经DES加密后，才在网络上传送，即使被截取，也是乱码的格式，不易被解 读。而每次加密都使用不同的密钥，更加强了安全性。

15. 神州数码DCFW-1800 Firewall的设定文件可不可以备份？

可以。防火墙管理员可将设定文件备份，在必要时可重新读入，上传至防火墙。

关于网络访问控制规则

16. 如何调整规则顺序？

用鼠标拖动规则至正确的位置即可。序号不影响规则的先后。按左侧的刷新按钮可以将序号修改为正确的顺序。

关于网络服务代理(Proxy)

17. 防火墙的DNS客户端设定有什么作用？ 防火墙本身的DNS客户端如果设定不正确，会造成Proxy的过滤规则工作不正常，例如防火墙上的HTTP Proxy会因为查询不到URL的IP而无法正确正确的执行过滤规则。

18. 我启动了HTTP代理为什么不能浏览网页。

防火墙在启动透明代理的情况下，需要单独加入规则放过内部请求域名解析的数据包。

19. 哪些通过防火墙的网络封包会通过代理的机制？

基本上，使用封包过滤即可控制的网络封包，就不必通过proxy处理，只有需要做内容过滤的情况下才需要使用代理。在神州数码DCFW-1800中代理的优先级最高，如果启动了http、FTP、smtp代理服务那么所有访问www、ftp、smtp服务的数据包都会转发至代理进程，包过滤规则无法对此进行控制。而且想要一部分网段通过代理访问Internet而另一部分通过地址转换访问也是不可能的。

©版权所有：神州数码网络有限公司 - 169 -

神州数码DCFW-1800防火墙用户手册

关于网络地址转换(NAT)

20. 多对一的地址转换有什么？

答案∶为了解决IP地址不足的问题，神州数码DCFW-1800防火墙允许许多内部的机器对应到一个合法的NIC IP地址，使得这些内部机器可同时用一个合法NIC IP连上因特网。但是从因特网无法初始一个连接到内部多对一的机器，因为防火墙不知道因特网传来的连接传给哪一部机器。如果内部有服务器对外提供服务则需要一对一的地址转换

关于用户认证

21. 使用用户认证用户登录成功后，刚开始可以访问，过一段时间后不能访问？

可能有如下原因：认证的时限已到。在这段时间内，防火墙重启，或修改了规则配置。

©版权所有：神州数码网络有限公司 - 170 -

神州数码DCFW-1800防火墙用户手册

附录7：防火墙使用案例

案例一

省内广域网络VPN市区城域网络百兆×4区、县局域网移动用户、拨号2兆×3VPN路由1IP公共网络百兆百兆百兆工作组交换机路由2千兆防火墙路由3防火墙1主机防火墙5百兆千兆×4防火墙2从机WEB服务器防火墙3VPN百兆百兆中心千兆三层交换机(两台,千兆连接)金融机构1VPN千兆防火墙服务器群组千兆防火墙6防火墙4局域网百兆百兆金融机构2

案例图示一

某市级单位网络中心交换机采用两台带千兆模块三层交换，内部有局域网用户，服务器群组对外提供服务。对外出口主要包括三部分：通过路由器1对上连接省内广域网，通过路由器2对下连接区县局域网，并且本单位移动办公、出差人员及客户可以通过拨号上本地Internet网络通过路由器3连接访问本单位内部资源。本单位散布在市内的各营业网点通过光纤城域网与单位局域网相联，与单位局域网属于同一局域网。内部局域网通过路由器3和4同两个金融机构相连。

网络安全主要考虑保护单位局域网和服务器群组不受外部黑客的攻击、阻止外部不可信用户对内网的访问、保障内网用户和服务器群组正常访问省内广域网络和金融机构并向外提供服务。

如图所示，通过路由器1、2、3的对外出口由一台工作组交换机连接到中心交换机，用两台神州数码DCFW-1800防火墙进行防护。防火墙提供的功能主要有：允许内部用户通过源地址转换、状态包过滤访问省内广域网络以及区、县局域网；允许省内广域网、区、县局域网用户通过目的地址转换功能、状态包过滤访问内部的部分服务器；允许移动用户和拨号上网用户经过用户认证和源地址转换功能访问内部的指定服务器；允许外部用户登录到内部FTP服务器下载文件，但防火墙对用户名、内部、和FTP命令要进行过滤。此外，防火墙启用双机保障对外通信的不间断性，启用IDS

©版权所有：神州数码网络有限公司 - 171 -

神州数码DCFW-1800防火墙用户手册

功能和与内部IDS服务器联动，最大程度的免受黑客攻击。

对金融机构一的联接用一台神州数码DCFW-1800防火墙进行隔离。DMZ区放置一台WEB器，防火墙启用透明方式允许金融机构和内网对WEB服务器的访问；防火墙采用源地址转换允许内网用户访问金融机构指定的IP，但不允许金融机构的用户对内网的任何访问。对金融机构二的联接用一台神州数码DCFW-1800普通型防火墙，接入采用网桥模式，启用状态包过滤功能允许内网和的用户访问对方的部分IP地址和服务。防火墙3、4均启用本身自带的IDS功能。

案例2 Server Server

HostHost Router 分公司 RouterRouter Router DCFW-1800DCFW-1800 FireWalFireWal DCFW-1800DCFW-1800FireWalFireWal Switch Router DDNRouter Router Internet ISDNISDN 分公司 总公司 某行网络中心路由器采用两台cisco路由器，内部有局域网用户，服务器群组对外提供服务。对外出口主要包括四部分：1.与分行互连。2.与总行互连。3.与internet互连。4.与金融机构互连。

网络安全主要考虑保护单位局域网和服务器群组不受外部黑客的攻击、阻止外部不可信用户对内网的访问、保障内网用户和服务器群组正常访问分行，总公司和金融机构并向外提供服务。

如图所示，两台中心路由器通过神州数码DCFW-1800防火墙进行防护。防火墙提供的功能主要有：允许内部某些用户通过源地址转换、状态包过滤访问分公司，总公司和internet；允许分公司和总公司用户通过目的地址转换功能、状态包过滤访问内部的部分服务器；允许移动用户和拨号上网用户经过用户认证和源地址转换功能访问内部的指定服务器；允许外部用户登录到内部FTP服务器下载文件，但防火墙对用户名、内部、和FTP命令要进行过滤。此外，防火墙启用IDS功能和与内部IDS服务器联动，最大程度的免受黑客攻击。

对外联机构的联接用神州数码DCFW-1800防火墙进行隔离。接入采用网桥模式。防火墙采用源地址转换允许内网用户访问外联机构指定的IP，但不允许外联机构的用户对内网的任何访问。

©版权所有：神州数码网络有限公司 - 172 -

神州数码DCFW-1800防火墙用户手册

附录8:IP地址及其分类

假设有一个互联网，它内部可能含有X.25网、帧中继网、DDN网、电话网、以太网等各种形式的网络，所涉及到的地址空间也是非常复杂的：X.25网的X.121地址协议、以太网物理地址、帧中继的PVC、DDN专线连接，电话网使用电话号码标识・・・・・・如何将这些复杂的地址安排，以及它们之间的转换统一起来？IP协议采用了一个简单的方法，我们可以不管这些物理网络具有什么样的构网形式，也不管他们的地址是如何安排的，我们给互联网中的每台机器编号，这个编号的号码就是所谓的IP地址。

对机器编号时，不是简单地进行1，2，3，4编号，为了从编号上能体现与区分一些不同网络的特征，需要遵循一些规则，这个规则就是IP地址编码规则。 1、IP地址的命名

z IP地址是用四个字节表示的，这就留下了一个巨大的地址空间，共有232个不同地

址。

z 每个字节用10进制数字表示。 z 字节之间用小数点分开。

如某台机器可以编号为：192.9.200.100，另一台机器可编号为：192.9.200.101等。

2、IP地址的分类

在一个互联网中，我们的编号最好能区分各种不同类型的网络，这样能在寻址和管理时一目了然，因此将IP地址的四个字节又分为两部分，一部分用来区分网络类型，即所谓的“子网号”，另一部分用来表示在该子网中每台机器的编号，即所谓的“主机号”。

IP地址子网号主机号4bytes 为了能大致反映互联网的规模，如子网构成多少等，可将IP地址进行分类，一般地分为A、

B、C三类。

第1字节A子网号主机号第2字节第3字节7 6 5 4 3 2 1 0第4字节7 6 5 4 3 2 1 0bit7 6 5 4 3 2 1 07 6 5 4 3 2 1 0A类地址中，第一个字节表示子网号，最高位为0，可表示27-1=127个不同子网。（第一个字节不能为全0），后面三个字节表示主机号，不能为全0，因此每个子网中可表示224-1台不同机器。

A类地址适用子网不多但每个子网中主机非常多的互联网类型。

©版权所有：神州数码网络有限公司 - 173 -

神州数码DCFW-1800防火墙用户手册

第1字节B子网号第2字节第3字节7 6 5 4 3 2 1 0第4字节7 6 5 4 3 2 1 0bit7 6 5 4 3 2 1 07 6 5 4 3 2 1 0主机号B类地址中，前两个字节表示子网号，第一个字节最高两位为10可表示214个不同子网，后两个字节表示主机号，可表示每台子网中有216-1个不同主机，该类地址适宜于表示子网较多，每个子网中主机也较多的互联网络。

第1字节C110第2字节第3字节第4字节7 6 5 4 3 2 1 0bit7 6 5 4 3 2 1 07 6 5 4 3 2 1 07 6 5 4 3 2 1 0子网号主机号C类地址中，前三个字节表示子网号，第一个字节前三位为110，可表示221个不同子网。最后一个字节表示主机号，每一子网中可有2个不同主机。

一般地，如果不是特别地规定网络掩码，根据IP地址第一个字节可以迅速判断出其类型：

IP地址第一字节取值 A类： 0---127 B类： 128---191 C类： 192---223

上面讨论的IP地址关于子网号和主机号的划分是一般推荐使用的。实际上，可以通过定义一个称为网络掩码（netmask）的四字节值来指定IP地址中前多少位表示子网号，netmask中为1的位表示IP地址中对应的位属于子网号的编码位。如：

IP地址网络掩码1 1 1 1 1 1 1 1netmask1 1 1 1 0 0 0 0子网号主机号

netmask为：255.240.0.0，则IP地址第一个字节的8位，第二个字节的前4位共12位来表示子网号，可表示子网212=4096个不同子网，网络掩码可由用户定义，缺省掩码如下：

A类： 255.0.0.0 B类： 255.255.0.0 C类： 255.255.255.0

©版权所有：神州数码网络有限公司 - 174 -