串口命令

一、控制台登陆防火墙

控制台登陆方法

超级终端

：

起好名子：“确定”

选好接口：

点击：“还原为默认值”然后“确定”

而后：

出现“防火墙的登陆对话框”

输入用用名：fw密码：sys123

然后再输入：su -

再输入密码：sys123

就可以登陆防火墙了。

二、常用命令

然后输入命令：

Secuadm 加回车，显示如下：

TYLM# secuadm

Usage: secuadm [ Paramenter ]

* Paramenter are list bellow:

* -------------------------------------------------

InitNat * Load NAT Rule

InitFlt * Set Secondary and Load Rules

InitIpsec * Load Ipsec Algrorithm

InitVpn * Load Vpn Rules

InitProxy * Set proxy process status

InitIds * Set Ids process status

InitNas * Set Nas process status

InitSSH * Set SSH process status

InitSNMP * Set SNMP process status

StrtNat * Start NAT

StrtFlt * Start Filter

StrtMac * Start MAC

StrtIpsec * Start IPSEC

StrtIds * Start Ids

StrtNas * Start Nas

StrtSSH * Start SSH

StrtSNMP * Start SNMP

StrtFtp * Start Ftp Proxy

StrtTelnet * Start Telnet Proxy

StrtHttp * Start Http Proxy

StrtSmtp * Start Smtp Proxy

StrtPop3 * Start Pop3 Proxy

StrtDns * Start Dns Proxy

StrtSms * Start Msg Filter

StrtPxyIdsCheck * Start Proxy Ids Check

StopNat * Stop NAT

StopFlt * Stop Filter

StopMac * Stop MAC

StopIpsec * Stop IPSEC

StopIds * Stop Ids

StopNas * Stop Nas

StopSSH * Stop SSH

StopSNMP * Stop SNMP

StopPxy * Stop All Proxy Service

StopFtpPxy * Stop Ftp Service

StopTelnetPxy * Stop Telnet Service

StopHttpPxy * Stop Http Service

StopSmtpPxy * Stop Smtp Service

StopPop3Pxy * Stop Pop3 Service

StopDnsPxy * Stop Dns Service

StopSmsPxy * Stop Msg Filter Service

StopPxyIdsCheck * Stop Proxy Ids Check Service

SetPrimary * Set Server As Primary

SetSecondary * Set Server As Secondary

SetStandalone * Set Server As Standalone

SetPasswd * Reset Admin's Password

QryNatStat * Display Nat Current Status

and Address Map Summary

QryFltStat * Display Filter Current Status

QryPxyStat * Display Proxy Services Status

QryIpsecStat * Display Ipsec Services Status

QryIdsStat * Display Ids Service Status

QryNasStat * Display Nas Service Status

QrySSHStat * Display SSH Service Status

QrySNMPStat * Display SNMP Service Status

QryFltCon * Display Connection Summary

QryNatRule * Display Nat Current Rule Entries

QryFltRule * Display Filter Current Rule Entries

QryMacRule * Display MAC Binding Current

Rule Entries

lock * Lock a user

unlock * Unlock a user

setmaxfailcnt * set lock max failure count

resetcfg * reset the configuration

RegLicense * Register License

showVersion * Show Module Version

TYLM#

常用命令如下：

Secuadm stopflt

在命令行下停止安全策略（包过滤）。如果在配置安全策略后，

无法登陆，可用此命令停止安全策略（包过滤），停止后就可以正常登陆了。

在进行一些业务测试时，也可以使用此命令先停止。安全策略（包过滤）确保接口ip和路由没有问题好，在开启之，测试策略问题。

Secuadm strtflt

启用安全策略（包过滤）服务

Secuadm unlock

用户在登陆时，如果出现三次登陆失误。防火墙会自动锁定用户。可以用串口登陆使用此命令可以解开用户。使用此命令后就可以登陆了。

Secuadm setpasswd

使用此命令可以设置admin用户的密码。

Secuadm showversion

使用此命令可以查看防火墙系统的版本号

三、防火墙管理

防火墙管理策略：

在安全通道里面建立一个管理接口到lo的通道，在通道里面添加一个管理策略，源地址为all，目的地址为all，服务为tcp-all就可以了。

服务启停：

使用命令secuadm strtflt secuadm stopflt启停服务。

也可以在管理软件中，---状态监控---服务-里面可以启停服务。

四、抓包命令

在串口下面输入下面命令进行抓包，已经行分析。

Tcpdump –i eth0 host 192.168.10.10

如下：

Eth0:接口为要抓包的接口。

192.168.10.10 ：是要监测的地址。

例子如下：

以上是两个公网ip 122.139.63.66 218.249.62.10

之间的ping信息。为了更精确的获得包数据。添加了对ping协议过滤。

通过tcpdump命令，可以对网络进行分析。以确定问题的所在。

如果防火墙上数据包的进接口有（repuest reply）出接口也有（request reply）那网络是没有问题的。

如果防火墙上数据包的进接口有（repuest 无 reply）出接口有（request reply）。那问题出现在防火墙上的路由设置上。

如果防火墙上数据包的进接口有（repuest 无reply）出接口有（request 无reply）那是防火墙的下一跳出了问题,可检查其路由设置。

五、安全策略设置

如果确定了路由没有问题。可以启用安全策略。以测试策略有没有问题。如果策略有问题，可以根据业务现像，修改其所在的通道中的安全策略设置。以保证业务畅通。

如果在业务所在的通道中添加了策略还是不通，可以试着在其反向通道中也加入相应的策略。因为有的业务是双方向的。