企業(yè)網(wǎng)絡(luò)安全設(shè)計方案論文

編號：ABS20160501企業(yè)網(wǎng)絡(luò)設(shè)計方案關(guān)鍵字：網(wǎng)絡(luò)，平安，VPN，防火墻，防病毒班級：AY姓名：AY日期：2016-05-19

目錄摘要 1第一章企業(yè)網(wǎng)絡(luò)平安概述 21.1企業(yè)網(wǎng)絡(luò)的主要平安隱患 21.2企業(yè)網(wǎng)絡(luò)的平安誤區(qū) 2其次章企業(yè)網(wǎng)絡(luò)平安現(xiàn)狀分析 42.1公司背景 42.2企業(yè)網(wǎng)絡(luò)平安需求 42.3需求分析 42.4企業(yè)網(wǎng)絡(luò)結(jié)構(gòu) 5第三章企業(yè)網(wǎng)絡(luò)平安解決實施 63.1物理平安 63.2企業(yè)網(wǎng)絡(luò)接入配置 73.3網(wǎng)絡(luò)防火墻配置 103.4配置驗證查看 183.5網(wǎng)絡(luò)防病毒措施 21總結(jié) 23摘要近幾年來，Internet技術(shù)日趨成熟，已經(jīng)起先了從以供應(yīng)和保證網(wǎng)絡(luò)聯(lián)通性為主要目標(biāo)的第一代Internet技術(shù)向以供應(yīng)網(wǎng)絡(luò)數(shù)據(jù)信息服務(wù)為特征的其次代Internet技術(shù)的過渡。這些都促使了計算機網(wǎng)絡(luò)互聯(lián)技術(shù)快速的大規(guī)模運用。眾所周知，作為全球運用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開放性極大地便利了各種計算機連網(wǎng)，拓寬了共享資源。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計上對平安問題的忽視，以及在管理和運用上的無政府狀態(tài)，漸漸使Internet自身平安受到嚴(yán)峻威逼，與它有關(guān)的平安事故屢有發(fā)生。網(wǎng)絡(luò)平安的威逼主要表現(xiàn)在：非授權(quán)訪問，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運行，利用網(wǎng)絡(luò)傳播病毒，線路竊聽等方面。因此本論文為企業(yè)構(gòu)架網(wǎng)絡(luò)平安體系，主要運用vlan劃分、防火墻技術(shù)、vpn、病毒防護等技術(shù)，來實現(xiàn)企業(yè)的網(wǎng)絡(luò)平安。

第一章企業(yè)網(wǎng)絡(luò)平安概述1.1企業(yè)網(wǎng)絡(luò)的主要平安隱患現(xiàn)在網(wǎng)絡(luò)平安系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問，同時企業(yè)網(wǎng)絡(luò)平安隱患的來源有內(nèi)、外網(wǎng)之分，很多狀況下內(nèi)部網(wǎng)絡(luò)平安威逼要遠遠大于外部網(wǎng)絡(luò)，因為內(nèi)部中實施入侵和攻擊更加簡潔，企業(yè)網(wǎng)絡(luò)平安威逼的主要來源主要包括。病毒、木馬和惡意軟件的入侵。網(wǎng)絡(luò)黑客的攻擊。重要文件或郵件的非法竊取、訪問與操作。關(guān)鍵部門的非法訪問和敏感信息外泄。外網(wǎng)的非法入侵。備份數(shù)據(jù)和存儲媒體的損壞、丟失。針對這些平安隱患，所實行的平安策略可以通過安裝專業(yè)的網(wǎng)絡(luò)版病毒防護系統(tǒng)，同時也要加強內(nèi)部網(wǎng)絡(luò)的平安管理，配置好防火墻過濾策略和系統(tǒng)本身的各項平安措施，剛好安裝系統(tǒng)平安補丁，有條件的還可以在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測、網(wǎng)絡(luò)嗅探器、IDS、IPS系統(tǒng)，甚至配置網(wǎng)絡(luò)平安隔離系統(tǒng)，對內(nèi)、外網(wǎng)絡(luò)進行平安隔離；加強內(nèi)部網(wǎng)絡(luò)的平安管理，嚴(yán)格實行“最小權(quán)限”原則，為各個用戶配置好恰當(dāng)?shù)挠脩魴?quán)限；同時對一些敏感數(shù)據(jù)進行加密愛護，對數(shù)據(jù)還可以進行數(shù)字簽名措施；依據(jù)企業(yè)實際須要配置好相應(yīng)的數(shù)據(jù)策略，并按策略仔細執(zhí)行。1.2企業(yè)網(wǎng)絡(luò)的平安誤區(qū)安裝防火墻就平安了防火墻主要工作都是限制存取與過濾封包，所以對DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以供應(yīng)網(wǎng)絡(luò)周邊的平安防護。但假如攻擊行為不經(jīng)過防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，很多防火墻只是工作在網(wǎng)絡(luò)層。防火墻的原理是“防外不防內(nèi)”，對內(nèi)部網(wǎng)絡(luò)的訪問不進行任何阻撓，而事實上，企業(yè)網(wǎng)絡(luò)平安事務(wù)絕大部分還是源于企業(yè)內(nèi)部。安裝了最新的殺毒軟件就不怕病毒了安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計算機病毒，但這并不能保證就沒有病毒入侵了，因為殺毒軟件查殺某一病毒的實力總是滯后于該病毒的出現(xiàn)。在每臺計算機上安裝單機版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺服務(wù)器上通過平安中心限制整個網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個網(wǎng)絡(luò)的病毒。同時對于整個網(wǎng)絡(luò)，管理特別便利，對于單機版是不行能做到的。只要不上網(wǎng)就不會中毒雖然不少病毒是通過網(wǎng)頁傳播的，但像QQ閑聊接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機開著，就要防范病毒。文件設(shè)置只讀就可以避開感染病毒設(shè)置只讀只是調(diào)用系統(tǒng)的幾個吩咐，而病毒或黑客程序也可以做到這一點，設(shè)置只讀并不能有效防毒，不過在局域網(wǎng)中為了共享平安，放置誤刪除，還是比較有用的。網(wǎng)絡(luò)平安主要來自外部基于內(nèi)部的網(wǎng)絡(luò)攻擊更加簡潔，不須要借助于其他的網(wǎng)絡(luò)連接方式，就可以干脆在內(nèi)部網(wǎng)絡(luò)中實施攻擊。所以，加強內(nèi)部網(wǎng)絡(luò)平安管理，特殊是用戶帳戶管理，如帳戶密碼、臨時帳戶、過期帳戶和權(quán)限等方面的管理特別必要了。

其次章企業(yè)網(wǎng)絡(luò)平安現(xiàn)狀分析2.1公司背景XX科技有限公司是一家有100名員工的中小型科技公司，主要以軟件應(yīng)用開發(fā)為主營項目的軟件企業(yè)。公司有一個局域網(wǎng)，約100臺計算機，服務(wù)器的操作系統(tǒng)是WindowsServer2008,客戶機的操作系統(tǒng)是Windows7，在工作組的模式下一人一機辦公。公司對網(wǎng)絡(luò)的依靠性很強，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。隨著公司的發(fā)呈現(xiàn)有的網(wǎng)絡(luò)平安已經(jīng)不能滿意公司的須要，因此構(gòu)建健全的網(wǎng)絡(luò)平安體系是當(dāng)前的重中之重。2.2企業(yè)網(wǎng)絡(luò)平安需求XX科技有限公司依據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個小型的企業(yè)網(wǎng)，有Web、Mail等服務(wù)器和辦公區(qū)客戶機。企業(yè)分為財務(wù)部門和業(yè)務(wù)部門，須要他們之間相互隔離。同時由于考慮到Inteneter的平安性，以及網(wǎng)絡(luò)平安等一些因素，如DDoS、ARP等。因此本企業(yè)的網(wǎng)絡(luò)平安構(gòu)架要求如下：依據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃愛護網(wǎng)絡(luò)系統(tǒng)的可用性愛護網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問防范入侵者的惡意攻擊與破壞愛護企業(yè)信息通過網(wǎng)上傳輸過程中的機密性、完整性防范病毒的侵害實現(xiàn)網(wǎng)絡(luò)的平安管理。2.3需求分析通過了解XX科技有限公司的需求與現(xiàn)狀，為實現(xiàn)XX科技有限公司的網(wǎng)絡(luò)平安建設(shè)實施網(wǎng)絡(luò)系統(tǒng)改造，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運行的穩(wěn)定性，保證企業(yè)各種設(shè)計信息的平安性，避開圖紙、文檔的丟失和外泄。通過軟件或平安手段對客戶端的計算機加以愛護，記錄用戶對客戶端計算機中關(guān)鍵書目和文件的操作，使企業(yè)有手段對用戶在客戶端計算機的運用狀況進行追蹤，防范外來計算機的侵入而造成破壞。通過網(wǎng)絡(luò)的改造，使管理者更加便于對網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進行全面的監(jiān)控和管理。因此須要構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的平安劃分VLAN限制內(nèi)網(wǎng)平安安裝防火墻體系建立VPN(虛擬專用網(wǎng)絡(luò))確保數(shù)據(jù)平安安裝防病毒服務(wù)器加強企業(yè)對網(wǎng)絡(luò)資源的管理2.4企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)拓撲圖，如下圖所示:總部網(wǎng)絡(luò)狀況：防火墻FW1作為出口NAT設(shè)備，從網(wǎng)絡(luò)運營商處獲得接入固定IP為，網(wǎng)關(guān)IP為202.10.1.1/30，經(jīng)由防火墻分為DMZ區(qū)域和trust區(qū)域。防火墻上FW1做NAT轉(zhuǎn)換。安排給trust區(qū)域的地址為.0/24,通過FW1上GE0/0/0端口連接網(wǎng)絡(luò)，接口/24。DMZ內(nèi)主要有各類的服務(wù)器，地址安排為10.1.2.0/24。通過FW1上GE0/0/1端口連接網(wǎng)絡(luò)，接口地址為10.1.2.1/24。建立IPSec隧道，使總部和分支可以互訪。分部網(wǎng)絡(luò)狀況：防火墻FW2作為出口NAT設(shè)備，從網(wǎng)絡(luò)運營商處獲得接入固定IP為202.20.1.2/30，網(wǎng)關(guān)IP為202.20.1.1/30。通過FW1上GE0/0/1端口連接內(nèi)部網(wǎng)絡(luò)，接口地址為10.1.1.1/24。建立IPSec隧道，使分部和總部可以互訪。

第三章企業(yè)網(wǎng)絡(luò)平安解決實施3.1物理平安企業(yè)網(wǎng)絡(luò)中愛護網(wǎng)絡(luò)設(shè)備的物理平安是其整個計算機網(wǎng)絡(luò)系統(tǒng)平安的前提，物理平安是指愛護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計算機犯罪行為導(dǎo)致的破壞。針對網(wǎng)絡(luò)的物理平安主要考慮的問題是環(huán)境、場地和設(shè)備的平安及物理訪問限制和應(yīng)急處置安排等。物理平安在整個計算機網(wǎng)絡(luò)信息系統(tǒng)平安中占有重要地位。它主要包括以下幾個方面：保證機房環(huán)境平安信息系統(tǒng)中的計算機硬件、網(wǎng)絡(luò)設(shè)施以及運行環(huán)境是信息系統(tǒng)運行的最基本的環(huán)境。要從一下三個方面考慮：a.自然災(zāi)難、物理損壞和設(shè)備故障b.電磁輻射、乘機而入、痕跡泄漏等c.操作失誤、意外疏漏等2)選用合適的傳輸介質(zhì)屏蔽式雙絞線的抗干擾實力更強，且要求必需配有支持屏蔽功能的連接器件和要求介質(zhì)有良好的接地（最好多處接地），對于干擾嚴(yán)峻的區(qū)域應(yīng)運用屏蔽式雙絞線，并將其放在金屬管內(nèi)以增加抗干擾實力。光纖是超長距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，無論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠、抗雷電和電磁的干擾性好保密性好，不易被竊聽或被截獲數(shù)據(jù)、傳輸?shù)恼`碼率很低，牢靠性高，體積小和重量輕等特點。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻擋竊聽。3)保證供電平安牢靠計算機和網(wǎng)絡(luò)主干設(shè)備對溝通電源的質(zhì)量要求特別嚴(yán)格，對溝通電的電壓和頻率，對電源波形的正弦性，對三相電源的對稱性，對供電的連續(xù)性、牢靠性穩(wěn)定性和抗干擾性等各項指標(biāo)，都要求保持在允許偏差范圍內(nèi)。機房的供配電系統(tǒng)設(shè)計既要滿意設(shè)備自身運轉(zhuǎn)的要求，又要滿意網(wǎng)絡(luò)應(yīng)用的要求，必需做到保證網(wǎng)絡(luò)系統(tǒng)運行的牢靠性，保證設(shè)備的設(shè)計壽命保證信息平安保證機房人員的工作環(huán)境。3.2企業(yè)網(wǎng)絡(luò)接入配置VLAN技術(shù)能有效隔離局域網(wǎng)，防止網(wǎng)內(nèi)的攻擊，所以部署網(wǎng)絡(luò)中按部門進行了VLAN劃分，劃分為以下兩個VLAN：業(yè)務(wù)部門VLAN10交換機SW1接入核心交換機財務(wù)部門VLAN20交換機SW2接入核心交換機核心交換機VLAN間路由核心交換機HSW1核心交換機HSW1配置步驟:建立VLAN1020100GE0/0/1加入vlan10,GE0/0/2加入vlan30,GE0/0/24加入vlan100建立SVI并配置相應(yīng)IP地址:VVV配置RIP路由協(xié)議：NNN配置ACL拒絕其它部門對財務(wù)部訪問，outbound→GE0/0/2。具體配置：#sysnameHSW1#info-centersourceDSchannel0logstateofftrapstateoff#vlanbatch1020100#clusterenablentdpenablendpenable#dropillegal-macalarm#dhcpenable#diffservdomaindefault#aclnumber3001rule5denyipsource192.168.1.00.0.0.255destination192.168.2.00.0.0.255rule15denyipsource20.0.0.00.255.255.255destination192.168.2.00.0.0.255#trafficclassifiertc1operatorandif-matchacl3001#trafficbehaviortb1deny#trafficpolicytp1classifiertc1behaviortb1#drop-profiledefault#ippoolqqwwgateway-list192.168.1.1network192.168.1.0mask255.255.255.0excluded-ip-address192.168.1.254#ippoolvlan20gateway-list192.168.2.1network192.168.2.0mask255.255.255.0excluded-ip-address192.168.2.200192.168.2.254#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordsimpleadminlocal-useradminservice-type#interfaceVlanif1#interfaceVlanif10ipaddress192.168.1.1255.255.255.0dhcpselectglobal#interfaceVlanif20ipaddress192.168.2.1255.255.255.0dhcpselectglobal#interfaceVlanif100ipaddress10.1.1.2255.255.255.0#interfaceMEth0/0/1#interfaceGigabitEthernet0/0/1portlink-typeaccessportdefaultvlan10#interfaceGigabitEthernet0/0/2portlink-typeaccessportdefaultvlan20traffic-policytp1outbound#interfaceGigabitEthernet0/0/3#interfaceGigabitEthernet0/0/4#interfaceGigabitEthernet0/0/5#interfaceGigabitEthernet0/0/6#interfaceGigabitEthernet0/0/7#interfaceGigabitEthernet0/0/8#interfaceGigabitEthernet0/0/9#interfaceGigabitEthernet0/0/10#interfaceGigabitEthernet0/0/11#interfaceGigabitEthernet0/0/12#interfaceGigabitEthernet0/0/13#interfaceGigabitEthernet0/0/14#interfaceGigabitEthernet0/0/15#interfaceGigabitEthernet0/0/16#interfaceGigabitEthernet0/0/17#interfaceGigabitEthernet0/0/18#interfaceGigabitEthernet0/0/19#interfaceGigabitEthernet0/0/20#interfaceGigabitEthernet0/0/21#interfaceGigabitEthernet0/0/22#interfaceGigabitEthernet0/0/23#interfaceGigabitEthernet0/0/24portlink-typeaccessportdefaultvlan100#interfaceNULL0#rip1version2##user-interfacecon0user-interfacevty04#port-groupde#return3.3網(wǎng)絡(luò)防火墻配置防火墻FW1基本配置步驟：配置GE0/0/0的IP地址10.1.1.1/24，并加入TRUST區(qū)域；配置GE0/0/1的IP地址10.1.2.1/24，并加入DMZ區(qū)域；30，并加入UNTRUST區(qū)域；配置允許平安區(qū)域間包過濾。配置RIP路由協(xié)議：NN配置NAT，出口GE0/0/2。配置總部至分部的點到點IPSce隧道：配置ACL，匹配IPSec流量配置IPSec平安提議1配置IKE平安提議配置IKEPEER配置IPSec平安策略在接口GE0/0/2上應(yīng)用策略具體配置：#CLI_VERSION=V300R001#Lastconfigurationwaschangedat2016/05/1816:22:21fromconsole0#*****BEGIN****public****##stpregion-configurationregion-nameb05fe31530c0activeregion-configuration#aclnumber3002rule5permitipsource192.168.0.00.0.255.255destination20.1.0.00.0.255.255rule10permitipsource10.1.0.00.0.255.255destination20.1.0.00.0.255.255#ikeproposal1#ikepeer1exchange-modeaggressivepre-shared-key%$%$UPiwVOh!8>qmd(CFw@>F+,#w%$%$ike-proposal1#ipsecproposal1#ipsecpolicymap1isakmpsecurityacl3002ike-peer1proposal1#interfaceGigabitEthernet0/0/0aliasGE0/MGMTipaddress10.1.1.1255.255.255.0#interfaceGigabitEthernet0/0/1ipaddress10.1.2.1255.255.255.0#interfaceGigabitEthernet0/0/2ipaddress202.10.1.2255.255.255.252ipsecpolicymap#interfaceGigabitEthernet0/0/3#interfaceGigabitEthernet0/0/4#interfaceGigabitEthernet0/0/5#interfaceGigabitEthernet0/0/6#interfaceGigabitEthernet0/0/7#interfaceGigabitEthernet0/0/8#interfaceNULL0aliasNULL0#firewallzonelocalsetpriority100#firewallzonetrustsetpriority85addinterfaceGigabitEthernet0/0/0#firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet0/0/2#firewallzonedmzsetpriority50addinterfaceGigabitEthernet0/0/1#aaalocal-useradminpasswordcipher%$%$I$6`RBf34,paQv9B&7i4*"vm%$%$local-useradminservice-typewebterminaltelnetlocal-useradminlevel15authentication-schemedefault#authorization-schemedefault#accounting-schemedefault#domaindefault##rip1version2#nqa-jittertag-version1#bannerenable#user-interfacecon0authentication-modenoneuser-interfacevty04authentication-modenoneprotocolinboundall#slb#right-managerserver-group#sysnameFW1#l2tpdomainsuffix-separator@#firewallpacket-filterdefaultpermitinterzonelocaltrustdirectioninboundfirewallpacket-filterdefaultpermitinterzonelocaltrustdirectionoutboundfirewallpacket-filterdefaultpermitinterzonelocaluntrustdirectionoutboundfirewallpacket-filterdefaultpermitinterzonelocaldmzdirectionoutbound#ipdf-unreachablesenable#firewallipv6sessionlink-statecheckfirewallipv6statisticsystemenable#dnsresolve#firewallstatisticsystemenable#pkiocspresponsecacherefreshinterval0pkiocspresponsecachenumber0#undodnsproxy##web-managerenable#policyinterzonelocaluntrustinboundpolicy1actionpermit#policyinterzonelocaldmzinboundpolicy1actionpermit#policyinterzonetrustuntrustinboundpolicy1actionpermit#policyinterzonetrustuntrustoutboundpolicy1actionpermit#policyinterzonetrustdmzinboundpolicy1actionpermit#policyinterzonetrustdmzoutboundpolicy1actionpermit#nat-policyinterzonetrustuntrustoutboundpolicy1actionsource-nateasy-ipGigabitEthernet0/0/2#return#END#防火墻FW2基本配置步驟如下：配置GE0/0/0的IP地址202.230，并加入UNTRUST區(qū)域；配置GE0/0/1的IP地址20.1.1.1/24，并加入TRUST區(qū)域；配置允許平安區(qū)域間包過濾。配置RIP路由協(xié)議：NN配置NAT，出口GE0/0/0。配置分部至總部的點到點IPSce隧道：配置ACL，匹配IPSec流量配置IPSec平安提議1配置IKE平安提議配置IKEPEER配置IPSec平安策略在接口GE0/0/2上應(yīng)用策略具體配置：#CLI_VERSION=V300R001#Lastconfigurationwaschangedat2016/05/1816:22:59fromconsole0#*****BEGIN****public****##stpregion-configurationregion-name405fd915c0bfactiveregion-configuration#aclnumber3002rule5permitipsource20.1.0.00.0.255.255destination10.1.0.00.0.255.255rule10permitipsource20.1.0.00.0.255.255destination192.168.0.00.0.255.255#ikeproposal1#ikepeer1exchange-modeaggressivepre-shared-key%$%$;3C|#{7eS#uD2wS|"x<6+=4+%$%$ike-proposal1#ipsecproposal1#ipsecpolicymap1isakmpsecurityacl3002ike-peer1proposal1#interfaceGigabitEthernet0/0/0aliasGE0/MGMTipaddress202.20.1.2255.255.255.252ipsecpolicymap#interfaceGigabitEthernet0/0/1ipaddress20.1.1.1255.255.255.0#interfaceGigabitEthernet0/0/2#interfaceGigabitEthernet0/0/3#interfaceGigabitEthernet0/0/4#interfaceGigabitEthernet0/0/5#interfaceGigabitEthernet0/0/6#interfaceGigabitEthernet0/0/7#interfaceGigabitEthernet0/0/8#interfaceNULL0aliasNULL0#firewallzonelocalsetpriority100#firewallzonetrustsetpriority85addinterfaceGigabitEthernet0/0/1#firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet0/0/0#firewallzonedmzsetpriority50#aaalocal-useradminpasswordcipher%$%$dJ"t@"DxqH@383<@pQl#*~6-%$%$local-useradminservice-typewebterminaltelnetlocal-useradminlevel15authentication-schemedefault#authorization-schemedefault#accounting-schemedefault#domaindefault##rip1version2#nqa-jittertag-version1#bannerenable#user-interfacecon0authentication-modenoneuser-interfacevty04authentication-modenoneprotocolinboundall#slb#right-managerserver-group#sysnameFW2#l2tpdomainsuffix-separator@#firewallpacket-filterdefaultpermitinterzonelocaltrustdirectioninboundfirewallpacket-filterdefaultpermitinterzonelocaltrustdirectionoutboundfirewallpacket-filterdefaultpermitinterzonelocaluntrustdirectionoutboundfirewallpacket-filterdefaultpermitinterzonelocaldmzdirectionoutbound#ipdf-unreachablesenable#firewallipv6sessionlink-statecheckfirewallipv6statisticsystemenable#dnsresolve#firewallstatisticsystemenable#pkiocspresponsecacherefreshinterval0pkiocspresponsecachenumber0#undodnsproxy##web-managerenable#policyinterzonelocaluntrustinboundpolicy1actionpermit#policyinterzonelocaldmzinboundpolicy1actionpermit#policyinterzone