防火墙模块操作手册

防火墙模块手册

北京爱赛立技术有限公司

ICG Networks Technologies Co., Ltd.

All rights reserved

版权所有侵权必究

目录

1简介................................................................................................... 错误!未定义书签。

1.1概述....................................................................................... 错误!未定义书签。

1.2防火墙功能点....................................................................... 错误!未定义书签。

1.2.1连接监测描述............................................................... 错误!未定义书签。

1.2.2包过滤策略描述........................................................... 错误!未定义书签。

1.2.3基于策略的连接数限制............................................... 错误!未定义书签。

1.2.4协议状态检测............................................................... 错误!未定义书签。

1.2.5基于MAC地址的帧过滤.............................................. 错误!未定义书签。

1.2.6连接监测模块功能定义............................................... 错误!未定义书签。

1.2.7具体协议连接监测状态转换....................................... 错误!未定义书签。

1.2.8松散TCP状态检查 ....................................................... 错误!未定义书签。

1.2.9包过滤策略功能定义................................................... 错误!未定义书签。

地址对象....................................................................... 错误!未定义书签。

业务类型对象............................................................... 错误!未定义书签。

时间范围对象............................................................... 错误!未定义书签。2配置防火墙....................................................................................... 错误!未定义书签。

3配置举例........................................................................................... 错误!未定义书签。

1 简介

1.1 概述

本模块主要描述ICG系统中防火墙模块的基本处理流程和机制。

本版本包括连接监测，包过滤策略功能模块和基于MAC地址的帧过滤。

1.2 防火墙功能点

系统实现了对以下协议的状态检测功能：FTP，H323和SIP。

1.2.1连接监测描述

基于状态的资源和连接控制基于这样的观点：如果连接长时间没有应答，一直处于半连接状态，会浪费连接资源。同样虽然连接已经建立，但长时间没有数据流穿过，也会浪费了连接资源。

连接监测功能通过追踪和统计连接建立的过程和数量，来管理系统和ICMP，TCP，UDP，Generic协议的连接状态，提高网络访问的性能。

1.2.2包过滤策略描述

包过滤策略能够保护内部网络资源，防止外来者接触。同时限制内部网络用户对外部网络的访问。

防火墙包过滤策略根据IP包中IP、TCP、UDP协议的头部信息，IP报文进入系统的入口设备以及IP报文离开系统的出口设备决定对IP包进行的操作，由此控制对网络内部或网络外部资源的访问，提高网络的安全性能。

由于包过滤策略只处理IP，TCP，UDP协议的头部信息，这样既控制了网络中的通过系统数据流量，又能维持一定的系统性能。

1.2.3基于策略的连接数限制

基于策略的连接数限制功能统计匹配每个策略的总连接数和每个主机的连接数，并能够对这些连接数量加以限制。

1.2.4协议状态检测

系统实现了对以下协议的状态检测功能：FTP，H323和SIP。在这些协议当中，主连接的净载荷中，包含有动态协商的附加连接的信息（端口号和IP地址）。系统不要求配置附加连接的包过滤策略。而当进行conntrack时，通过对可能产生附加连接的报文进行检查，可以在附加连接建立之前获得精确的信息，利用这些信息就可以检测出这些附加连接并对附加连接实施与主连接一样的包过滤策略。

FTP

在FTP的控制通道（缺省端口号为21）净载荷中, 包含有为FTP数据通道连接动态分配的目IP地址和目的端口号，或目的端口号。FTP的状态监测能够探测使用的数据通道连接，并为数据通道连接应用与控制通道连接相同的包过滤策略。FTP连接空闲时间为5分钟。

H323

H.323协议的信令过程可分为3个步骤：

RAS (登记、接纳和状态)消息用于H.323终端与关守之间的注册、鉴权、申请发起业务等信息的交互；

Q.931消息用于建立呼叫的控制信令，以实现主叫用户到被叫用户的端到端连接的建立、维护和释放；

H.245消息用于建立逻辑通道，交换主叫与被叫能力，确定主从关系等。

根据协议，H.323下一级信令地址和端口参数值在上一级信令中交换，由于防火墙通常被设置成限制未经请求的外部数据包进入，因此防火墙内部的终端不能接收外部的呼叫，即使防火墙打开一个端口接收呼叫的初始数据包，H.323协议还要求动态分配一些端口用来接收呼叫控制信息和建立语音、视频数据通道，因此除非打开防火墙的所有端口，才可以进行H.323通信，而防火墙也就失去了意义。

因此连接监测功能，检测H.323包，解释各种H.323控制信令。

连接监测功能检测

在RAS协议中协商用于Q.931协议的TCP端口号。

在Q.931协议中协商用于H.245协议的TCP端口号和用于媒体流的UDP端口号。

在H.245协议中协商用于媒体流的UDP端口号。

SIP

SIP终端设备会周期性地发送Register消息到注册服务器上，防火墙系统会为它们之间

的通信保持一个会话。这样SIP终端就可以收到来自外网的呼叫请求。呼叫方的Invite消息和响应方的200(OK)消息中都携带了用于描述与会话相关的信息及与流媒体相关参数的SDP(Session Description Protocol)消息体。当呼叫方收到200(OK)消息时就能从SDP消息体中获取该IP地址和端口等信息并发送ACK确认消息，从而完成一个呼叫的建立。

ICG系统的协议状态监测功能分析Invite和200(OK)消息中的SDP消息体中“Media Description”和“Connection Information”行，据此能够探测SDP消息里面的RTP地址和端口，事先感知用于流媒体的RTP连接，并对RTP连接应用与SIP控制协议相同的包过滤策略。SIP连接空闲时间为5分钟。

1.2.5基于MAC地址的帧过滤

在桥模式（bridge mode）下，系统支持对以太网帧进行基于MAC地址的过滤。

系统在对以太网帧进行路由之前进行MAC地址的过滤。

基于MAC地址的过滤实现以下三种过滤：

●对封装内容不是IP协议包的以太网帧进行过滤。

●对目的MAC地址是组播地址的以太网帧进行过滤。

●对帧头中的源MAC地址或目的MAC地址匹配配置的MAC过滤条目的以太网帧

进行过滤。

对于每个被过滤的以太网帧产生系统日志。

对所有的组播帧，其目的MAC地址的第一个字节都是0x01。

1.2.6连接监测模块功能定义

连接监测功能能够监测关于系统和各协议：正在连接建立速率，处于半开放状态的连接计数，和所有连接计数。并由此限制连接建立的速率，处于半开放状态的连接数量，和所有连接数量。

连接监测将连接划分为三种状态：

●一分钟内半开放状态的连接(Rate)：从收到该连接的第一个报文起，到连接成功建

立为止，或一分钟为止。处于该状态的连接同时也处于半开放状态。

●半开放状态(Half-open)：从收到该连接的第一个报文起，到连接成功建立为止。

●开放状态(Open)。

连接监测统计以下连接计数：

系统连接建立速率（一分钟内半系统开放连接数）

系统半开放状态的连接数

系统所有连接数

协议连接建立速率（一分钟内某协议半开放连接数）

协议半开放状态的连接数

协议所有连接数

连接监测使用以下的指标控制连接的建立：

系统最大连接数

系统半开放状态连接数高水准

系统半开放状态连接数低水准

系统连接建立速率低水准

系统连接建立速率高水准

协议最大连接数

协议半开放状态连接数高水准

协议半开放状态连接数低水准

协议连接建立速率低水准

协议连接建立速率高水准

这些指标可以通过用户接口进行调整，以下是这些指标之间的约束关系：系统最大连接数应该大于或等于系统半开放状态连接数高水准

系统半开放状态连接数高水准应该大于或等于系统半开放状态连接数低水准系统半开放状态连接数高水准应该大于或等于一分钟系统连接建立速率高水准系统连接建立速率高水准应该大于或等于系统连接建立速率低水准

协议最大连接数应该大于或等于协议半开放状态连接数高水准

协议半开放状态连接数高水准应该大于或等于协议半开放状态连接数低水准协议半开放状态连接数高水准应该大于或等于一分钟协议连接建立速率高水准协议连接建立速率高水准应该大于或等于协议连接建立速率底水准

图1 连接监测状态迁移图

图1为连接监测模块中，连接状态迁移图。其中：

S01: Rate

S02: Half-open

S03: Open

E01: 收到连接的第一个报文

E02: 1分钟内连接没有被成功建立

E03: 连接被成功建立

E04: 连接被关闭或超时

主要处理过程描述：

收到该连接的第一个报文，建立一个连接。

如果系统连接数超过系统最大连接数，则不能建立新连接。如果该协议连接数超过该协议最大连接数，则不能建立新连接。

如果系统连接建立速率超过系统连接建立速率最大数，则一些一分钟内半开放状态连接会被清除，只保留对应系统连接建立速率低水准连接数。然后建立新连接。

如果协议连接建立速率超过协议正在连接建立速率最大数，则一些协议一分钟内半开放状态连接会被清除，只保留对应协议连接建立速率低水准连接数。然后建立新连接。

如果系统半开放状态连接数超过系统半开放状态最大连接数，则一些系统半开放状态连接会被清除，只保留系统半开放状态连接数低水准连接数。然后建立新连接。

如果协议半开放状态连接数超过协议半开放状态最大连接数，则一些协议半开放状态连接会被清除，只保留协议半开放状态连接数低水准连接数。然后建立新连接。

Rate定时器到期，连接被从一分钟内半开放状态迁移到半开放状态。

连接状态空闲定时器到期，连接被删除。

可以通过用户接口调整各协议处于各个状态的空闲时间。

系统日志

对每个因连接个数、连接速率限制而拒绝的流产生系统日志

1.2.7具体协议连接监测状态转换

关于TCP协议的状态迁移过程，请参阅有关的标准文档。连接监测通过检查TCP头部的控制位尽力与连接端点的状态保持一致。

连接监测不仅支持基于TCP的应用，而且支持基于无连接的协议。对于无连接的协议，连接请求和应答没有区别。连接监测通过保持一个虚拟连接来实现状态信息追踪。允许通过的包被记录，当对应包在相反方向上通过时，连接监测依据连接状态确定该包是否被授权，若已被授权，则通过，否则拒绝。如果在指定的一段时间内响应数据包没有到达，即连接超时，则该连接被阻塞。采取这种原理可以阻塞攻击，实现安全。

对UDP,Gre或generic（其它协议）协议，当收到第一个被允许通过包时，虚拟连接被建立并且处于半开放状态。当收到相反方向应答包后，又收到该连接的另一个包时，连接被认为建立成功，连接状态转换为全开放。注意对于generic协议，连接处于半开放状态和全开放状态时的空闲时间是一样的。

对于ICMP协议，虚拟连接只有半开放状态。当收到应答后，连接切换为全开放状态时，会立即被删除。ICMP协议数据没有流的概念。当收到第一个被允许通过包时，虚拟连接被建立并且处于半开放状态。当收到相反方向应答包后，状态转换为全开放状态并立即被删除。

1.2.8松散TCP状态检查

连接监测功能假定IP连接的所有包必须通过防火墙，并通过检查经过防火墙的每个TCP/IP包的IP/TCP头部来监测TCP连接状态。

但是，连接监测功能的TCP连接状态有时并不与TCP连接发送端和接收端的状态完全一致。这是由IP包在网络中的丢弃引起，也会由连接监测功能的TCP连接状态定时器并不与TCP连接发送端和接收端的状态定时器完全同时触发引起（网络中包传送延迟）。

防火墙收到连接接收端的确认报文后，更新连接状态，向连接发送端转发。如果连接发

送端没有收到这个报文，连接发送端就会由定时器触发重新传送没有被确认的报文。防火墙收到这样的重新传送报文会导致连接状态监测错误而丢弃该报文。

当执行松散的TCP状态检查时，如果防火墙连接监测功能发现TCP连接状态与TCP连接发送端或接收端的状态不完全一致，则转发收到关于该连接的IP报文。

当不执行松散的TCP状态检查时，如果防火墙连接监测功能发现TCP连接状态与TCP连接发送端或接收端的状态不完全一致，则丢弃收到关于该连接的IP报文。

1.2.9包过滤策略功能定义

包过滤策略功能在对IP包转发之前，检查IP包中的一些头部信息。

这些头部信息有：

IP包头中的源IP地址，目的IP地址，协议号

TCP包头中的源端口，目的端口

UDP包头中的源端口，目的端口。

如果IP包中的这些信息匹配预先配置的一个包过滤策略条目，则根据这条过滤策略条目规定的方法，接收或丢弃该IP包。

决定包过滤策略条目的项目有：IP包入口/出口，源/目的IP地址，传输层协议，目的端口号，起作用的时间。

包过滤策略向netfilter注册一个nf_hook，每当netfilter有IP包需要转发时都会通过这个nf_hook调用包过滤策略，由后者确定对该IP包的操作（转发或丢弃）。

包过滤策略条目的顺序起着之关重要的作用。排在前面的优先于排在后面的包过滤策略条目。为IP包进行包过滤策略时执行顺序查找，如果一类IP包找到了一个匹配的包过滤策略条目，该条目就对这一类IP包生效。后面即使有能匹配的包过滤策略条目也被忽略。

包过滤策略统计匹配每个策略的总连接数、每个源主机发起或终止于每个目的主机的连接数。用户可以配置这些连接数的上限，从而对这些连接数量加以限制。

系统日志

包过滤策略功能能够对由于包过滤策略被拒绝通过的包产生系统日志。

包过滤策略功能能够对每个由于包过滤策略而通过的流产生流日志。

1.2.10地址对象

配置包过滤策略条目时需要引用到IP地址对象address。

系统通过IP地址对象，对需要过滤的网络会话作统一管理。系统允许配置多达512个IP 地址对象。

地址对象address可以是单个主机地址，网段地址，或地址范围。也可以是以上几个地址类型的任意组合。

1.2.11业务类型对象

配置包过滤策略条目时可能引用到业务类型对象(service)。系统初始化时已经创建了一些知名的业务类型对象，如果这些缺省的业务类型对象仍不能满足需求，可以通过创建业务类型对象自己定制业务。

业务类型对象可以是TCP协议的源、目的端口的组合，UDP协议的源、目的端口的组合，ICMP协议的type/code，也可以是这几种协议的组合。

系统预定义的知名业务类型对象不能被修改。

包括系统预定义的知名业务类型对象，最多可以创建200个业务类型对象。

1.2.12时间范围对象

配置包过滤策略条目时需要引用到时间范围对象（timerange），以便确定包过滤策略条目起作用的时间段。

时间范围对象有两种类型：绝对时间和重复发生。

绝对时间范围对象允许定义发生的起始时间和终止时间。而重复发生时间范围对象允许定义在发生的起始时间和终止时间内，以一周为周期发生一些时间段。

系统预定义的时间范围对象是always。

包括系统最多可以创建20个时间范围对象。每个可以周期发生的时间范围对象最多可以有20个时间段。

2 配置防火墙

关闭。

参数：无

3 配置举例

下图为连接监测和包过滤策略配置图。假定防火墙接口eth0连接Internet，其他接口连接企业内部网络。其中Eth1连接研发部，Eth2连接财务部。要求财务部不能访问外网，研发部只能在周一直周五的18~21点之间才能访问外网。

图2 连接监测和包过滤策略配置

步骤1：配置接口

Host> enable

Host# host# configure terminal

host(config)# host(config)# interface eth0

host(config-eth0)#ip address

host(config-eth0)# interface eth1

host(config-eth1)#ip address

host(config-eth1)#interface eth2

host(config-eth2)#ip address

host(config-eth2)#exit

步骤2：配置地址对象，时间范围对象

host(config)# address addr_rnd

host(config-addr)# net-address

host(config-addr)# address addr_fin

host(config-addr)# net-address

host(config-addr)# exit

host(config)#timerange recurring afterwork

host(config-tr)# absolute 09-09-01 00:00:00 09-12-30 00:00:00

host(config)#

步骤3：配置包过滤策略，请注意包过滤策略顺序

host(config)# policy 9910 eth1 eth0 addr_rnd any any afterwork permit host(config-policy)# total-flows limit 1000

host(config-policy)# per-host-flows limit src 100

host(config-policy)# per-host-flows limit dst 100

host(config-policy)# enable

host(config-policy)# exit

host(config)#

host(config)# policy 9920 eth1 eth0 any any any always deny

host(config-policy)# enable

host(config-policy)# exit

host(config)#

host(config)# policy 9810 eth2 eth0 addr_fin any any always deny

host(config-policy)# enable

host(config-policy)# exit

host(config)#

步骤4：配置连接监测

限制系统和各个协议连接速率，半开放连接数的最高和最底水准线，最大连接数：host(config)# ip inspect limit halfopen-rate low 150 tcp

host(config)# ip inspect limit halfopen-rate low 150 udp

host(config)# ip inspect limit halfopen-rate low 150 icmp

host(config)# ip inspect limit halfopen-rate low 150 generic

host(config)# ip inspect limit halfopen-rate low 400

host(config)# ip inspect limit halfopen-rate high 200 tcp

host(config)# ip inspect limit halfopen-rate high 200 udp

host(config)# ip inspect limit halfopen-rate high 200 icmp

host(config)# ip inspect limit halfopen-rate high 200 generic

host(config)# ip inspect limit halfopen-rate high 600

host(config)# ip inspect limit halfopen low 300 tcp

host(config)# ip inspect limit halfopen low 300 udp

host(config)# ip inspect limit halfopen low 300 icmp

host(config)# ip inspect limit halfopen low 300 generic

host(config)# ip inspect limit halfopen low 900

host(config)# ip inspect limit halfopen high 500 tcp

host(config)# ip inspect limit halfopen high 500 udp

host(config)# ip inspect limit halfopen high 500 icmp

host(config)# ip inspect limit halfopen high 500 generic

host(config)# ip inspect limit halfopen high 1500

host(config)# ip inspect limit connection max 600 tcp

host(config)# ip inspect limit connection max 600 udp

host(config)# ip inspect limit connection max 600 icmp

host(config)# ip inspect limit connection max 600 generic

host(config)# ip inspect limit connection max 2000

配置各协议连接空闲时间：

host(config)# ip inspect idletime tcp close-time 5

host(config)# ip inspect idletime tcp closewait-time 5 host(config)# ip inspect idletime tcp established-time 1800 host(config)# ip inspect idletime tcp finwait-time 5

host(config)# ip inspect idletime tcp lastack-time 5

host(config)# ip inspect idletime tcp synrecv-time 10 host(config)# ip inspect idletime tcp synsent-time 20

host(config)# ip inspect idletime tcp timewait-time 5

host(config)# ip inspect idletime udp halfopen 10

host(config)# ip inspect idletime udp stream 30

host(config)# ip inspect idletime icmp-idletime 20

host(config)# ip inspect idletime generic-idletime 20

打开连接监测开关

host(config)# ip inspect on

显示连接监测计数：

host# show ip inspect count

System:

Connect sum count: 2

Halfopen connect count: 2

Halfopen connect rate count: 2

TCP:

Connect sum count: 0

Halfopen connect count: 0

Halfopen connect rate count: 0

UDP:

Connect sum count: 2

Halfopen connect count: 2

DPtech FW1000系列防火墙系统用户配置手册解析

DPtech FW1000系列防火墙用户配置 手册

杭州迪普科技有限公司为客户提供全方位的技术支持。 通过杭州迪普科技有限公司代理商购买产品的用户，请直接与销售代理商联系；直接向杭州迪普科技有限公司购买产品的用户，可直接与公司联系。 杭州迪普科技有限公司 地址：杭州市滨江区火炬大道581号三维大厦B座901室 邮编：310053

声明 Copyright 2010 杭州迪普科技有限公司 版权所有，保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。 由于产品版本升级或其他原因，本手册内容有可能变更。杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导，杭州迪普科技有限公司尽全力在本手册中提供准确的信息，但是杭州迪普科技有限公司并不确保手册内容完全没有错误，本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

目录 第1章产品概述1-1 1.1产品简介1-1 1.2WEB管理1-1 1. 2.1登录WEB管理界面1-1 1.2.2WEB界面布局介绍1-2 第2章系统管理2-1 2.1简介2-1 2.2设备管理2-1 2.2.1设备信息2-1 2.2.2设备状态2-3 2.2.3设备设置2-4 2.3SNMP配置2-7 2. 3.1简介2-7 2.3.2配置信息2-7 2.3.3IP地址列表2-8 2.4管理员2-8 2. 4.1简介2-8 2.4.2当前管理员2-9 2.4.3管理员设置2-9 2.4.4登录参数设置2-11 2.5配置文件2-12 2.6特征库2-13 2.6.1APP特征库2-13 2.6.2URL分类过滤特征库2-16 2.6.3L ICENSE文件管理2-17 2.7软件版本2-18 2.8NTP配置2-19 第3章网络管理3-1 3.1简介3-1 3.2接口管理3-2 3.2.1简介3-2 3.2.2组网配置3-2 3.3网络对象3-9

juniper防火墙配置手册

JUNIPER 防火墙快速安装手册 目录 1、前言 (4) 1.1、J UNIPER 防火墙配置概述 (4) 1.2、J UNIPER 防火墙管理配置的基本信息 (4) 1.3、J UNIPER 防火墙的常用功能 (6) 2、JUNIPER 防火墙三种部署模式及基本配置 (6) 2.1、NAT 模式 (6) 2.2、R OUTE 模式 (7) 2.3、透明模式 (8) 2.4、基于向导方式的NAT/R OUTE 模式下的基本配置 (9) 2.5、基于非向导方式的NAT/R OUTE 模式下的基本配置 (18) 2.5.1、NS-5GT NAT/Route 模式下的基本配置 (19) 2.5.2、非NS-5GT NAT/Route 模式下的基本配置 (20) 2.6、基于非向导方式的透明模式下的基本配置 (21) 3、JUNIPER 防火墙几种常用功能的配置 (22) 3.1、MIP 的配置 (22) 3.1.1、使用Web 浏览器方式配置MIP (23) 3.1.2、使用命令行方式配置MIP (25) 3.2、VIP 的配置 (25) 3.2.1、使用Web 浏览器方式配置VIP (26) 3.2.2、使用命令行方式配置VIP (27) 3.3、DIP 的配置 (28) 3.3.1、使用Web 浏览器方式配置DIP (28) 3.3.2、使用命令行方式配置DIP (30) 4、JUNIPER 防火墙IPSEC VPN 的配置 (30) 4.1、站点间IPS EC VPN 配置：STAIC IP-TO-STAIC IP (30) 4.1.1、使用Web 浏览器方式配置 (31) 4.1.2、使用命令行方式配置.......................................................................... .. (35) 4.2、站点间IPS EC VPN 配置：STAIC IP-TO-DYNAMIC IP (37) 4.2.1、使用Web 浏览器方式配置 (38) 4.2.1、使用命令行方式配置................................................................................ .. (41) 5、JUNIPER 中低端防火墙的UTM 功能配置 (43) 5.1、防病毒功能的设置..................................................................................... . (44) 5.1.1、Scan Manager 的设置 (44) 5.1.2、Profile 的设置...................................................................................... . (45) 5.1.3、防病毒profile 在安全策略中的引用 (47) 5.2、防垃圾邮件功能的设置................................................................................ .. (49) 5.2.1、Action 设置 (50) 5.2.2、White List 与Black List 的设置 (50)

防火墙操作手册-推荐下载

防火墙操作手册 ----USG6550(V100R001)

1.安装前的准备工作 在安装USG前，请充分了解需要注意的事项和遵循的要求，并准备好安装过程中所需要的工具。 安装注意事项 在安装USG时，不当的操作可能会引起人身伤害或导致USG损坏，请在安装USG前详细阅读本安全注意事项。 检查安装环境 安装USG前，请检查安装环境是否符合要求，以保证USG正常工作并延长使用寿命。 安装工具准备 安装USG过程中需要使用到如下工具，请提前准备好。 2.安装注意事项 1)所有安全注意事项 为保障人身和设备安全，在安装、操作和维护设备时，请遵循设备上标识及手册中说明的所有安全注意事项。 手册中的“注意”、“小心”、“警告”和“危险”事项，并不代表所应遵守的所有安全事项，只作为所有安全注意事项的补充。 2)当地法规和规范

操作设备时，应遵守当地法规和规范。手册中的安全注意事项仅作为当地安全规范的补充。 3)基本安装要求 负责安装维护华为设备的人员，必须先经严格培训，了解各种安全注意事项，掌握正确的操作方法之后，方可安装、操作和维护设备。 只允许有资格和培训过的人员安装、操作和维护设备。 只允许有资格的专业人员拆除安全设施和检修设备。 替换和变更设备或部件（包括软件）必须由华为认证或授权的人员完成。 操作人员应及时向负责人汇报可能导致安全问题的故障或错误。 4)人身安全 禁止在雷雨天气下操作设备和电缆。 为避免电击危险，禁止将安全特低电压（SELV）电路端子连接到通讯网络电压（TNV）电路端子上。 禁止裸眼直视光纤出口，以防止激光束灼伤眼睛。 操作设备前，应穿防静电工作服，佩戴防静电手套和手腕，并去除首饰和手表等易导电物体，以免被电击或灼伤。 如果发生火灾，应撤离建筑物或设备区域并按下火警警铃，或者拨打火警电话。任何情况下，严禁再次进入燃烧的建筑物。

网神SecGate3600防火墙用户手册簿

声明 服务修订： ●本公司保留不预先通知客户而修改本文档所含内容的权利。 有限责任： ●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或 默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。 ●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿 责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。 版权信息： ●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司 书面的有效授权。 网神信息技术（北京）股份有限公司

目录 导言、概述 (13) 第一章、基于web管理界面 (14) 1.web管理界面页面 (15) 2.Web管理界面主菜单 (17) 3.使用web管理界面列表 (18) 4.在web管理界面列表中增加过滤器 (19) 4.1 包含数字栏的滤波器 (21) 4.2 包含文本串的滤波器 (21) 5.在web管理界面列表中使用页面控制 (22) 5.1 使用栏设置来控制显示栏 (24) 5.2 使用带有栏设置的过滤器 (25) 6.常用web管理界面任务 (25) 6.1 连接到web管理界面 (26) 6.2 连接到web管理界面 (27) 7.修改当前设定 (28) 7.1 修改您SecGate管理员密码 (29) 7.2 改变web管理界面语言 (29) 7.3 改变您SecGate设备管理路径 (30)

7.4 改变web管理界面空闲运行时间 (31) 7.5 切换VDOMs (31) 8.联系客户支持 (31) 9.退出 (32) 第二章、系统管理 (32) 1. 系统仪表板 (32) 1.1 仪表板概述 (34) 1.2 添加仪表板 (34) 1.3 系统信息 (37) 1.4 设备操作 (45) 1.5 系统资源 (47) 1.6 最多的会话 (49) 1.7 固件管理条例 (53) 1.8 备份您的配置 (54) 1.9 在升级前测试固件 (57) 1.10 升级您的SecGate设备 (61) 1.11 恢复到以前的固件镜像 (65) 1.12 存储您的配置 (71) 使用虚拟域 (74)

DPtech FW1000系列防火墙系统维护手册

DPtech FW1000维护手册 杭州迪普科技有限公司 2012年01月

目录 DPtech FW1000维护手册 (1) 第1章常见维护事项 (1) 1.1系统基本维护 (1) 1.2日常故障维护 (1) 1.3数据备份管理 (1) 1.4补丁升级管理 (2) 第2章应急处理方案 (4) 2.1运输导致设备无法启动 (4) 2.2互联网访问异常 (4) 2.3集中管理平台无相关日志 (4) 2.4设备工作不正常 (5) 2.5IPSEC-VPN无法正常建立 (5) 2.6访问内网服务器异常 (5) 2.7新加入的设备，内网无法上网 (5) 2.8个别内网地址无法上网 (6) 2.9映射内网服务器访问不了 (6) 2.10用户访问网站慢 (6) 第3章功能项 (7) 3.1用户名/密码 (7) 3.2管理员 (7) 3.3WEB访问 (7) 3.4接口状态 (8) 3.5数据互通 (8) 3.6日志信息 (8) 第4章其他 (10) 4.1注册与申请 (10) 4.2升级与状态 (10) 第5章FAQ (13) 5.1入门篇 (13) 5.2进阶篇 (14)

第1章常见维护事项 1.1 系统基本维护 防火墙应该指派专人管理、维护，管理员的口令要严格保密，不得泄露 防火墙管理员应定期查看统一管理中心（UMC）和防火墙的系统资源(包括内存/CPU/外存)，确认运行状况是否正常 防火墙管理员应定期检查“严重错误”以上级别的系统日志，发现防火墙的异常运行情况 防火墙管理员应定期检查操作日志，确认是否有异常操作（修改、添加、删除策略，删除日志等）、异常登录（非管理员登陆记录、多次登陆密码错误），对此应立即上报并修改密码 防火墙管理员应定期检查和分析自动生成的报表，对报表中的可疑事件进行追踪(例如部分时间段异常攻击等),并出具安全运行报告 防火墙管理帐号用户名：admin，初始口令admin，首次使用需修改，并备份 统一管理中心服务器需要按时进行操作系统的补丁升级和杀毒软件的病毒库升级1.2 日常故障维护 统一管理中心服务器无法登录，请检查能否PING通统一管理中心服务器，其相关服务（UMC数据库服务、UMC Web服务、UMC后台服务）是否启动，管理端口80是否一致 统一管理中心服务器上网络流量快照或FW日志无法生成，先检查端口9502、9516、9514是否开放，防火墙的日志发送配置是否正确，再用抓包工具检查防火墙是否发送日志 防火墙无法登录，请检查防火墙的IP是否可以Ping通，同时检测端口80是否开放1.3 数据备份管理 统一管理中心服务器系统安装后要先进行完全备份 统一管理中心服务器管理员应定期将备份的数据导入到指定的备份机或刻盘存储

华为EUDEMON200 防火墙操作手册

Eudemon 200防火墙操作指导 本文网址:https://www.sodocs.net/doc/9810108931.html,/152970 复制 Prepared by 拟制 赵强 Date 日期 2003/09/08 Reviewed by 评审人 Date 日期 Approved by 批准 Date 日期 Authorized by 签发 Date 日期 Huawei Technologies Co., Ltd. 华为技术有限公司 All rights reserved 版权所有侵权必究

（REP01T01 V2.31/ IPD-CMM V2.0 / for internal use only）（REP01T01 V2.31/ IPD-CMM V2.0 / 仅供内部使用） Revision record 修订记录 Date 日期 Revision V ersion 修订 版本 CR ID / Defect ID CR号 Section Number 修改 章节 Change Description 修改描述 Author 作者 2003-09-10 1.00 initial 初稿完成 赵强 Distribution List 分发记录 Copy No. Holder's Name & Role 持有者和角色 Issue Date 分发日期 1 yyyy-mm-dd

Catalog 目录 1 Introduction 简介 (7) 1.1 目的 (7) 1.2 范围 (7) 1.3 发布对象 (7) 2 Eudemon200防火墙的特点 (8) 2.1 基于状态的防火墙 (8) 2.2 安全域概念介绍 (8) 2.2.1 防火墙的域 (8) 2.2.2 域间概念 (10) 2.2.3 本地域（Local） (10) 2.3 防火墙的模式 (11) 2.3.1 概述 (11) 2.3.2 路由模式 (11) 2.3.3

防火墙模块操作手册

防火墙模块手册 北京爱赛立技术有限公司 ICG Networks Technologies Co., Ltd. All rights reserved 版权所有侵权必究

目录 1简介 (3) 1.1概述 (3) 1.2防火墙功能点 (3) 1.2.1连接监测描述 (3) 1.2.2包过滤策略描述 (3) 1.2.3基于策略的连接数限制 (3) 1.2.4协议状态检测 (4) 1.2.5基于MAC地址的帧过滤 (5) 1.2.6连接监测模块功能定义 (5) 1.2.7具体协议连接监测状态转换 (8) 1.2.8松散TCP状态检查 (8) 1.2.9包过滤策略功能定义 (9) 1.2.10地址对象 (10) 1.2.11业务类型对象 (10) 1.2.12时间范围对象 (10) 2配置防火墙 (10) 3配置举例 (17)

1 简介 1.1 概述 本模块主要描述ICG系统中防火墙模块的基本处理流程和机制。 本版本包括连接监测，包过滤策略功能模块和基于MAC地址的帧过滤。 1.2 防火墙功能点 系统实现了对以下协议的状态检测功能：FTP，H323和SIP。 1.2.1连接监测描述 基于状态的资源和连接控制基于这样的观点：如果连接长时间没有应答，一直处于半连接状态，会浪费连接资源。同样虽然连接已经建立，但长时间没有数据流穿过，也会浪费了连接资源。 连接监测功能通过追踪和统计连接建立的过程和数量，来管理系统和ICMP，TCP，UDP，Generic协议的连接状态，提高网络访问的性能。 1.2.2包过滤策略描述 包过滤策略能够保护内部网络资源，防止外来者接触。同时限制内部网络用户对外部网络的访问。 防火墙包过滤策略根据IP包中IP、TCP、UDP协议的头部信息，IP报文进入系统的入口设备以及IP报文离开系统的出口设备决定对IP包进行的操作，由此控制对网络内部或网络外部资源的访问，提高网络的安全性能。 由于包过滤策略只处理IP，TCP，UDP协议的头部信息，这样既控制了网络中的通过系统数据流量，又能维持一定的系统性能。 1.2.3基于策略的连接数限制 基于策略的连接数限制功能统计匹配每个策略的总连接数和每个主机的连接数，并能够对这些连接数量加以限制。

Juniper防火墙日常维护手册

Juniper防火墙维护手册

目录 1.日常维护内容 (4) 1.1.配置主机名 (4) 1.2.接口配置 (4) 1.3.路由配置 (5) 1.4.高可用性配置（双机配置） (7) 1.5.配置MIP（通过图形界面配置） (9) 1.6.配置访问策略（通过图形界面配置） (11) https://www.sodocs.net/doc/9810108931.html,Screen的管理 (15) 2.1.访问方式 (15) 2.2.用户 (18) 2.3.日志 (19) 2.4.性能 (20) 2.5.其他常用维护命令 (22) 3.其他的配置 (22)

1.日常维护内容 1.1.配置主机名 NetScreen防火墙出厂配置的机器名为netscreen，为了便于区分设备和维护，在对防火墙进行配置前先对防火墙进行命名： Netscreen-> set hostname FW-1-M FW-1-M > 1.2.接口配置 配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段，用于专门对接口进行管理时用。在双机的工作状态下，因为接口的地址只存在于主防火墙上，如果不配置管理IP，则不能对备用防火墙进行登录了。一般在单机时，不需要配置接口的管理IP，但在双机时，建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。 注意：接口的工作模式可以工作在路由模式，NAT模式和透明模式。在产品线应用中，透明模式很少用，而NAT模式只有在trust到untrust的数据流才起作用，建议把防火墙的所有接口都配置成route的工作模式，用命令set interface接口名 route配置即可，缺省情况下需要在trust区段中的接口使用此命令。 本例子中，配置接口ethernet2属于Untrust区，IP地址为202.38.12.23/28，如设置管理方式是Http，命令如下： Ns204 ->set interface ethernet1 zone Trust Ns204 ->set interface ethernet1 ip 10.243.194.194/29 Ns204 ->set interface ethernet1 nat Ns204 ->set interface ethernet1 zone Untrust Ns204 ->set interface ethernet2 ip202.38.12.23/28 Ns204 ->set interface ethernet1 nat

天融信版本防火墙常用功能配置手册v

天融信版本防火墙常用功能配置手册 北京天融信南京分公司 2008年5月

目录

一、前言 我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙（在本安装手册中简称为“天融信防火墙”）时，可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。 二、天融信版本防火墙配置概述 天融信防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对天融信防火墙进行配置和管理。 1、根据网络环境考虑防火墙部署模式（路由模式、透明模式、混合模式），根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。 2、防火墙接口IP配置 3、区域和缺省访问权限配置 4、防火墙管理权限配置 5、路由表配置 6、定义对象（地址对象、服务对象、时间对象） 7、制定地址转换策略（包括四种地址转换策略：源地址转换、目的地址转换、双向转换、不做转换） 8、制定访问控制策略 9、其他特殊应用配置 10、配置保存 11、配置文件备份 ?提示：每次修改配置前，建议首先备份防火墙再修改配置，避免防火墙配置不当造成网络长时间中断。

三、天融信防火墙一些基本概念 接口：和防火墙的物理端口一一对应，如Eth0、Eth1 等。 区域：可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上，防火墙的区域和接口并不是一一对应的，也就是说一个区域可以包括多个接口。在安装防火墙前，首先要对整个受控网络进行分析，并根据网络设备，如主机、服务器等所需要的安全保护等级来划分区域。 对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说，定义各种类型的对象是管理员在对防火墙进行配置前首先要做的工作之一。对象概念的使用大大简化了管理员对防火墙的管理工作。当某个对象的属性发生变化时，管理员只需要修改对象本身的属性即可，而无需修改所有涉及到这个对象的策略或规则。防火墙中，用户可定义的对象类型包括：区域、地址、地址组、服务、服务组、以及时间等。 ?提示：对象名称不允许出现的特殊字符：空格、“'”、“"”、“\”、“/”、“;”、“"”、“$”、“&”、“<”、“>”、“#”、“+”。 ?提示：防火墙所有需要引用对象的配置，请先定义对象，才能引用。四、防火墙管理 防火墙缺省管理接口为eth0口，管理地址为，缺省登录管理员帐号：用户名superman，口令talent。 防火墙出厂配置如下：

22-1用户手册(华为USG防火墙)

华为防火墙配置用户手册 防火墙默认的管理接口为g0/0/0，默认的ip地址为192.168.0.1/24，默认g0/0/0接口开启了dhcp server，默认用户名为admin，默认密码为Admin@123 一、配置案例 1.1 拓扑图 GE 0/0/1：10.10.10.1/24 GE 0/0/2：220.10.10.16/24 GE 0/0/3：10.10.11.1/24 WWW服务器：10.10.11.2/24（DMZ区域） FTP服务器：10.10.11.3/24（DMZ区域） 1.2 Telnet配置 配置VTY 的优先级为3，基于密码验证。 # 进入系统视图。 system-view # 进入用户界面视图 [USG5300] user-interface vty 0 4 # 设置用户界面能够访问的命令级别为level 3 [USG5300-ui-vty0-4] user privilege level 3 配置Password验证 # 配置验证方式为Password验证

[USG5300-ui-vty0-4] authentication-mode password # 配置验证密码为lantian [USG5300-ui-vty0-4]set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei@123 配置空闲断开连接时间 # 设置超时为30分钟 [USG5300-ui-vty0-4] idle-timeout 30 [USG5300] firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能telnet防火墙。 基于用户名和密码验证 user-interface vty 0 4 authentication-mode aaa aaa local-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!! local-user admin service-type telnet local-user admin level 3 firewall packet-filter default permit interzone untrust local direction inbound 如果不开放trust域到local域的缺省包过滤，那么从内网也不能telnet的防火墙，但是默认情况下已经开放了trust域到local域的缺省包过滤。 1.3 地址配置 内网： 进入GigabitEthernet 0/0/1视图 [USG5300] interface GigabitEthernet 0/0/1 配置GigabitEthernet 0/0/1的IP地址 [USG5300-GigabitEthernet0/0/1] ip address 10.10.10.1 255.255.255.0 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 [USG5300-zone-untrust] quit 外网： 进入GigabitEthernet 0/0/2视图 [USG5300] interface GigabitEthernet 0/0/2 配置GigabitEthernet 0/0/2的IP地址 [USG5300-GigabitEthernet0/0/2] ip address 220.10.10.16 255.255.255.0 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 [USG5300-zone-untrust] quit

华为防火墙命令

华为路由器和防火墙配置命令总结 一、access-list 用于创建访问规则。 （1）创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] （2）创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] （3）删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。 port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。 icmp-type[可选] 在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值（如echo-reply）或者是0~255之间的一个数值。 icmp-code在协议为ICMP且没有选择所设定的预设值时出现；代表ICMP码，是0~255之间的一个数值。 log [可选] 表示如果报文符合条件，需要做日志。

DPtechFW系列防火墙系统操作手册

D P t e c h F W系列防火墙 系统操作手册 公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-

DPtech FW1000操作手册杭州迪普科技有限公司 2011年10月

目录

第1章组网模式 1.1 组网模式1-透明模式 组网应用场景 需要二层交换机功能做二层转发 在既有的网络中，不改变网络拓扑，而且需要安全业务 防火墙的不同网口所接的局域网都位于同一网段 特点 对用户是透明的，即用户意识不到防火墙的存在 部署简单，不改变现有的网络拓扑，无需更改其他网络设备的配置支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等配置要点 接口添加到相应的域 接口为二层接口，根据需要，配置接口类型为ACCESS或TRUNK 接口配置VLAN属性 必须配置一个vlan-ifxxx的管理地址，用于设备管理 1.2 组网模式2-路由模式 组网应用场景 需要路由功能做三层转发 需要共享Internet接入 需要对外提供应用服务 需要使用虚拟专用网 特点 提供丰富的路由功能，静态路由、RIP、OSPF等 提供源NAT支持共享Internet接入

提供目的NAT支持对外提供各种服务 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等需要使用WEB认证功能 配置要点 接口添加到相应的域 接口工作于三层接口，并配置接口类型 配置地址分配形式静态IP、DHCP、PPPoE 1.3 组网模式3-混合模式 组网应用场景 需结合透明模式及路由模式 特点 在VLAN内做二层转发 在VLAN间做三层转发 支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等配置要点 接口添加到相应的域 接口为二层接口，根据需要，配置接口类型为ACCESS或TRUNK 接口配置VLAN属性 添加三层接口，用于三层转发 配置一个vlan-ifxxx的地址，用于三层转发

华为防火墙操作手册-入门

目录 第1章防火墙概述 ..................................................................................................................... 1-1 1.1 网络安全概述 ..................................................................................................................... 1-1 1.1.1 安全威胁.................................................................................................................. 1-1 1.1.2 网络安全服务分类 ................................................................................................... 1-1 1.1.3 安全服务的实现方法................................................................................................ 1-2 1.2 防火墙概述......................................................................................................................... 1-4 1.2.1 安全防范体系的第一道防线——防火墙................................................................... 1-4 1.2.2 防火墙发展历史....................................................................................................... 1-4 1.3 Eudemon产品简介............................................................................................................. 1-6 1.3.1 Eudemon产品系列 .................................................................................................. 1-6 1.3.2 Eudemon500/1000防火墙简介................................................................................ 1-6 1.3.3 Eudemon500/1000防火墙功能特性列表 ................................................................. 1-8第2章 Eudemon防火墙配置基础 .............................................................................................. 2-1 2.1 通过Console接口搭建本地配置环境 .................................................................................. 2-1 2.1.1 通过Console接口搭建 ............................................................................................. 2-1 2.1.2 实现设备和Eudemon防火墙互相ping通 .................................................................. 2-4 2.1.3 实现跨越Eudemon防火墙的两个设备互相ping通.................................................... 2-5 2.2 通过其他方式搭建配置环境................................................................................................ 2-6 2.2.1 通过AUX接口搭建 ................................................................................................... 2-7 2.2.2 通过Telnet方式搭建................................................................................................. 2-9 2.2.3 通过SSH方式搭建 ................................................................................................. 2-11 2.3 命令行接口....................................................................................................................... 2-12 2.3.1 命令行级别 ............................................................................................................ 2-12 2.3.2 命令行视图 ............................................................................................................ 2-13 2.3.3 命令行在线帮助..................................................................................................... 2-24 2.3.4 命令行错误信息..................................................................................................... 2-25 2.3.5 历史命令................................................................................................................ 2-26 2.3.6 编辑特性................................................................................................................ 2-26 2.3.7 查看特性................................................................................................................ 2-27 2.3.8 快捷键.................................................................................................................... 2-27 2.4 防火墙的基本配置............................................................................................................ 2-30 2.4.1 进入和退出系统视图.............................................................................................. 2-30 2.4.2 切换语言模式......................................................................................................... 2-30 2.4.3 配置防火墙名称..................................................................................................... 2-31 2.4.4 配置系统时钟......................................................................................................... 2-31

路由器防火墙基本命令手册

一、access-list 用于创建访问规则。 （1）创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] （2）创建<-- Script Filtered/n/n-->扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] （3）删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为 0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。