作業(yè)硬件防火墻的選購與配置

硬件防火墻的選購與配置選購要點(diǎn)應(yīng)該客觀地看到，沒有一個(gè)防火墻的設(shè)計(jì)能夠適用于所有的環(huán)境，因此企業(yè)應(yīng)根據(jù)站點(diǎn)的特點(diǎn)來選擇合適的防火墻：(1)安全性大多數(shù)企業(yè)在選擇防火墻時(shí)都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務(wù)，但往往忽略了最重要的這一點(diǎn)，防火墻也是網(wǎng)絡(luò)上的主機(jī)之一，也可能存在安全問題，防火墻如果不能確保自身安全，則防火墻的控制功能再強(qiáng)，也終究不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)。談到防火墻的安全性就不得提一下防火墻的配置。防火墻配置有三種：Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最簡單。Dual-homedGateway放置在兩個(gè)網(wǎng)絡(luò)之間，這個(gè)Dual-homedGateway又稱為bastionhost。這種結(jié)構(gòu)成本低，但是它有單點(diǎn)失敗的問題。這種結(jié)構(gòu)沒有增加網(wǎng)絡(luò)安全的自我防衛(wèi)能力，而它往往是受黑客攻擊的首選目標(biāo)，它自己一旦被攻破，整個(gè)網(wǎng)絡(luò)也就暴露了。Screened-host方式中的Screeningrouter為保護(hù)Bastionhost的安全建立了一道屏障。它將所有進(jìn)入的信息先送往Bastionhost，并且只接受來自Bastionhost的數(shù)據(jù)作為出去的數(shù)據(jù)。這種結(jié)構(gòu)依賴Screeningrouter和Bastionhost，只要有一個(gè)失敗，整個(gè)網(wǎng)絡(luò)就暴露了。Screened-subnet包含兩個(gè)Screeningrouter和兩個(gè)Bastionhost。在公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)之間構(gòu)成了一個(gè)隔離網(wǎng)，稱之為"停火區(qū)"(DMZ，即DemilitarizedZone)，Bastionhost放置在"?；饏^(qū)"內(nèi)。這種結(jié)構(gòu)安全性好，只有當(dāng)兩個(gè)安全單元被破壞后，網(wǎng)絡(luò)才被暴露，但是成本也很昂貴。(2)高效性好的防火墻還應(yīng)該向使用者提供完整的安全檢查功能，但是一個(gè)安全的網(wǎng)絡(luò)仍必須依靠使用者的觀察及改進(jìn)，因?yàn)榉阑饓Σ⒉荒苡行У囟沤^所有的惡意封包，企業(yè)想要達(dá)到真正的安全仍然需要內(nèi)部人員不斷記錄、改進(jìn)、追蹤。防火墻可以限制唯有合法的使用者才能進(jìn)行連接，但是否存在利用合法掩護(hù)非法的情形仍需依靠管理者來發(fā)現(xiàn)。防火墻與代理服務(wù)器最大的不同在于防火墻是專門為了保護(hù)網(wǎng)絡(luò)安全而設(shè)計(jì)的，而一個(gè)好的防火墻不但應(yīng)該具備包括檢查、認(rèn)證、警告、記錄的功能，并且能夠?yàn)槭褂谜呖赡苡龅降睦Ь常孪忍岢鼋鉀Q方案，如IP不足形成的IP轉(zhuǎn)換的問題，信息加密/解密的問題，大企業(yè)要求能夠透過Internet集中管理的問題等，這也是選擇防火墻時(shí)必須考慮的問題。(3)配置便利性硬件防火墻系統(tǒng)具有強(qiáng)大的功能，但是其配置安裝也較為復(fù)雜，需要網(wǎng)管員對(duì)原網(wǎng)絡(luò)配置進(jìn)行較大的改動(dòng)。支持透明通信的防火墻在安裝時(shí)不需要對(duì)網(wǎng)絡(luò)配置做任何改動(dòng)。目前在市場(chǎng)上，有些防火墻只能在透明方式下或者網(wǎng)關(guān)方式下工作，而另外一些防火墻則可以在混合方式下工作。能工作于混合方式的防火墻顯然更具方便性。配置方便性還表現(xiàn)為管理方便。用戶在選擇防火墻時(shí)也應(yīng)該看其是否支持串口終端管理。如果防火墻沒有終端管理方式，就不容易確定故障所在。一個(gè)好的防火墻產(chǎn)品必須符合用戶的實(shí)際需要。對(duì)于國內(nèi)用戶來說，防火墻最好是具有中文界面，既能支持命令行方式管理，又能支持GUI和集中式管理。(4)管理的難易度防火墻管理的難易度是防火墻能否達(dá)到目的的主要考慮因素之一。一般企業(yè)之所以很少以已有的網(wǎng)絡(luò)設(shè)備直接當(dāng)作防火墻的原因，除了先前提到的包過濾，并不能達(dá)到完全的控制之外，設(shè)定工作困難、須具備完整的知識(shí)以及不易除錯(cuò)等管理問題，更是一般企業(yè)不愿意使用的主要原因。因此防火墻的管理最好要適合網(wǎng)管員的管理習(xí)慣，設(shè)有遠(yuǎn)程Telnet登錄管理以及管理命令的在線幫助等。GUI類管理器作為防火墻的管理工具，為網(wǎng)管員提供了有效、直觀的管理方式。(5)可靠性對(duì)于防火墻來說，其可靠性直接影響受控網(wǎng)絡(luò)的可用性，它在重要行業(yè)及關(guān)鍵業(yè)務(wù)系統(tǒng)中的重要作用是顯而易見的。提高防火墻的可靠性通常是在設(shè)計(jì)中采取措施，具體措施是提高部件的強(qiáng)健性、增大設(shè)計(jì)閥值和增加冗余部件。此外防火墻應(yīng)對(duì)操作系統(tǒng)應(yīng)提供安全強(qiáng)化功能，最好完全不需要人為操作，就能確實(shí)強(qiáng)化操作系統(tǒng)。這項(xiàng)功能通常會(huì)暫時(shí)停止不必要的服務(wù)，并修補(bǔ)操作系統(tǒng)的安全弱點(diǎn)，雖然不是百分之百有效，但起碼能防止外界一些不必要的干擾。(6)可擴(kuò)展性對(duì)于一個(gè)好的防火墻系統(tǒng)而言，它的規(guī)模和功能應(yīng)該能夠適應(yīng)網(wǎng)絡(luò)規(guī)模和安全策略的變化。理想的防火墻系統(tǒng)應(yīng)該是一個(gè)可隨意伸縮的模塊化解決方案，包括從最基本的包過濾器到帶加密功能的VPN型包過濾器，直至一個(gè)獨(dú)立的應(yīng)用網(wǎng)關(guān)，使用戶有充分的余地構(gòu)建自己所需要的防火墻體系。目前的防火墻一般標(biāo)配三個(gè)網(wǎng)絡(luò)接口，分別連接外部網(wǎng)、內(nèi)部網(wǎng)和SSN。用戶在購買防火墻時(shí)必須弄清楚是否可以增加網(wǎng)絡(luò)接口，因?yàn)橛行┓阑饓o法擴(kuò)展。(7)其它考慮要素企業(yè)安全政策中往往有些特殊需求(如網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、雙重DNS、掃毒等功能)不是每一個(gè)防火墻都會(huì)提供的，這方面常會(huì)成為選擇防火墻的考慮因素之一。此外防火墻的維護(hù)費(fèi)用也是一個(gè)要考慮的問題，一般安全性越高，實(shí)現(xiàn)越復(fù)雜，設(shè)備費(fèi)用相應(yīng)的越高，日后的維護(hù)費(fèi)用相對(duì)來說也是越高。建議：對(duì)于ISP、網(wǎng)站等用戶來說，由于其數(shù)據(jù)流量大，對(duì)速度和穩(wěn)定性要求較高，如果這些用戶需要在外部網(wǎng)絡(luò)發(fā)布Web(將Web服務(wù)器置于外部)，同時(shí)需要保護(hù)數(shù)據(jù)庫或應(yīng)用服務(wù)器(置于防火墻內(nèi))，這就要求所采用的防火墻具有傳送SQL數(shù)據(jù)的功能，而且必須具有較快的傳送速度，建議這些用戶采用高效的包過濾型并且只允許外部Web服務(wù)器和內(nèi)部傳送SQL數(shù)據(jù)使用、100M及以上帶寬的硬件防火墻。中小企業(yè)接入Internet的目的一般是為了方便內(nèi)部用戶瀏覽Web、收發(fā)E-mail以及發(fā)布主頁。這類用戶在選購防火墻時(shí)，要注意考慮保護(hù)內(nèi)部(敏感)數(shù)據(jù)的安全，要格外注重安全性，對(duì)服務(wù)協(xié)議的多樣性以及速度等可以不作特殊要求。建議這類用戶選用一般的代理型防火墻，具有http、mail等代理功能即可。對(duì)于大中型企業(yè)、金融、保險(xiǎn)、政府等機(jī)構(gòu)，共同之處在于網(wǎng)絡(luò)流量不是很大，與外部聯(lián)系較多，且內(nèi)部數(shù)據(jù)比較重要。因此在選購防火墻時(shí)首先要考慮的就是安全性問題。從整體規(guī)劃上，防火墻至少要能夠?qū)?nèi)部網(wǎng)分成兩部分，即內(nèi)部存放重要數(shù)據(jù)的網(wǎng)絡(luò)與存放可提供外部訪問數(shù)據(jù)的網(wǎng)絡(luò)的分離。對(duì)于重要數(shù)據(jù)的傳送，防火墻必須要提供加密的VPN通訊。這類用戶選購10M或100M的防火墻就足夠了。三、硬件防火墻產(chǎn)品一覽1、東方龍馬硬件防火墻東方龍馬防火墻是東方龍馬公司結(jié)合當(dāng)前最新的網(wǎng)絡(luò)安全技術(shù)，自行開發(fā)的網(wǎng)絡(luò)安全產(chǎn)品。它的基本功能有：實(shí)時(shí)的連接狀態(tài)監(jiān)控功能;動(dòng)態(tài)設(shè)置過濾規(guī)則的功能;雙向的網(wǎng)絡(luò)地址轉(zhuǎn)換功能;對(duì)ftp、telnet、http、smtp、pop3應(yīng)用的透明代理訪問方式;提供應(yīng)用層url級(jí)的統(tǒng)計(jì)、屏蔽功能;安全的體系結(jié)構(gòu);安全的網(wǎng)絡(luò)結(jié)構(gòu)、采用內(nèi)部網(wǎng)，DMZ區(qū)，控制區(qū)分離的網(wǎng)絡(luò)結(jié)構(gòu);支持透明模式運(yùn)行方式;MAC地址綁定功能;抗攻擊和自我保護(hù)能力;通過雙機(jī)熱備份，提供可靠容錯(cuò)/熱待機(jī)功能;具有審計(jì)日志功能;網(wǎng)絡(luò)工作情況事后分析和查詢功能;提供報(bào)表功能;提供對(duì)通過防火墻使用網(wǎng)絡(luò)資源的終端身份認(rèn)證的功能，提供操作簡單的圖形化用戶界面，面向?qū)ο蟮目梢暬?guī)則編輯以及監(jiān)控和管理防火墻。硬件配置指標(biāo)：網(wǎng)絡(luò)接口，四個(gè)10/100M自適應(yīng)網(wǎng)卡接口，或千兆網(wǎng)卡接口;外設(shè)接口，終端接口(RS-232)。2、清華紫光NISECUREUF3500防火墻清華紫光NISECUREUF3500防火墻采用基于SSL的瀏覽器管理界面，允許通過流行的WEB瀏覽器使用https協(xié)議管理和配置防火墻，保證了防火墻管理的安全性和易用性。支持網(wǎng)絡(luò)瀏覽器超時(shí)退出的功能，保證了管理員離開管理計(jì)算機(jī)后的安全。具有網(wǎng)絡(luò)地址轉(zhuǎn)換、流量控制、用戶認(rèn)證、支持虛擬專用網(wǎng)(VPN)和網(wǎng)絡(luò)管理等功能，結(jié)合了網(wǎng)絡(luò)級(jí)包過濾(Network-levelPacketFilter)和應(yīng)用級(jí)代理服務(wù)器(Application-levelProxyServer)的功能。廣泛的網(wǎng)絡(luò)服務(wù)支持：支持ARP、DNS、FINGER、FTP、GOPHER、HTTP、HTTPS、ICMP、IRC、MAIL、NFS、SNMP、NNTP、POP3、RLOGIN、TELNET、WAIS和其它協(xié)議。硬件配置指標(biāo)：3個(gè)以太網(wǎng)RJ-45端口(10/100Mbps自適應(yīng)，全雙工)，每個(gè)以太網(wǎng)接口有兩個(gè)LED指示燈，電源LED指示燈，LCD液晶顯示屏系統(tǒng)狀態(tài)，串行控制口。3、NetScreen防火墻NetScreen公司的NetScreen防火墻產(chǎn)品可以說是硬件防火墻領(lǐng)域內(nèi)的新貴。NetScreen的產(chǎn)品完全基于硬件ASIC芯片，它就像個(gè)盒子一樣安裝使用起來很簡單。同時(shí)它還是一種集防火墻、VPN、流量控制三種功能于一體的網(wǎng)絡(luò)產(chǎn)品。NetScreen把多種安全功能集成在一個(gè)ASIC芯片上，將防火墻、虛擬專用網(wǎng)(VPN)、網(wǎng)絡(luò)流量控制和寬帶接入這些功能全部集成在專有的一體硬件中，該項(xiàng)技術(shù)能有效消除傳統(tǒng)防火墻實(shí)現(xiàn)數(shù)據(jù)加密時(shí)的性能瓶頸，能實(shí)現(xiàn)最高級(jí)別的Ipsec。NetScreen防火墻的配置可在網(wǎng)絡(luò)上任何一臺(tái)帶有瀏覽器的機(jī)器上完成，NetScreen的優(yōu)勢(shì)之一是采用了新的體系結(jié)構(gòu)，可以有效地消除傳統(tǒng)防火墻實(shí)現(xiàn)數(shù)據(jù)加盟時(shí)的性能瓶頸，能實(shí)現(xiàn)最高級(jí)別的IP安全保護(hù)。下面我簡單介紹其主要產(chǎn)品中的三個(gè)系列：(1)NetScreen-100NetScreen-100是一個(gè)專門為網(wǎng)絡(luò)安全方面設(shè)計(jì)的Internet安全設(shè)備，它為電子商務(wù)站點(diǎn)、ASP/ISP數(shù)據(jù)中心和企業(yè)中心站點(diǎn)提供專門優(yōu)化的防火墻、VPN流量控制(帶寬監(jiān)控)功能NetScreen-100包括了一個(gè)專門設(shè)計(jì)的ASIC以加速加密工程和防火墻功能，一個(gè)高性能的多總線結(jié)構(gòu)，高速RISCCPU和專用的軟件。它的專利--獨(dú)特的體系結(jié)構(gòu)消除了傳統(tǒng)系統(tǒng)中由于在通用處理器、PC或工作站上運(yùn)行軟件的防火墻、VPN、加密所導(dǎo)致的性能瓶頸、NetScreen在消除了性能瓶頸的同時(shí)依然提供了ICSA認(rèn)證的全狀態(tài)監(jiān)測(cè)防火墻安全和最高級(jí)的3DESIPSec加密的數(shù)據(jù)安全。應(yīng)用領(lǐng)域：電子商務(wù)站點(diǎn)、ASP站點(diǎn)、應(yīng)用服務(wù)提供商、企業(yè)中心站點(diǎn)。(2)NetScreen-200由于增加的端口可以將網(wǎng)絡(luò)劃分為多個(gè)監(jiān)控區(qū)域，NetScreen-200系列能夠在多個(gè)監(jiān)控區(qū)域之間即網(wǎng)絡(luò)內(nèi)部建立VPN通道，NetScreen-200系列具有采用ASIC安全機(jī)制、提供多個(gè)接口、所有接口皆具防火墻防御功能、所有的接口皆有VPN通道、集中星型VPN(Hub-and-Spoke)的中心站點(diǎn)、高可靠性(設(shè)備的冗余性HA)等特性。NetScreen-200系列包括NetScreen-204和NetScreen-208產(chǎn)品，兩者的區(qū)別在于10/100兆以太網(wǎng)接口數(shù)量。NetScreen-208和NetScreen-204支持1000個(gè)IPSecVPN通道和128000個(gè)并發(fā)會(huì)話，具有每秒鐘處理10000多個(gè)新會(huì)話的能力，能夠有效防止拒絕服務(wù)攻擊。NetScreen-208防火墻和VPN的傳輸速率分別為550Mbps和200Mbps。NetScreen-204防火墻和VPN的傳輸速率分別為400Mbps和200Mbps。同時(shí)提供的多個(gè)以太網(wǎng)口，每個(gè)以太網(wǎng)口都可靈活設(shè)定為信任區(qū)，非信任區(qū)或DMZ。NetScreen-200系列裝載了最新版本的ScreenOS3.1操作系統(tǒng)。ScreenOS3.1的優(yōu)化功能使用戶能夠更加容易設(shè)定和配置網(wǎng)絡(luò)內(nèi)的安全區(qū)域。應(yīng)用領(lǐng)域：大、中型企業(yè)，服務(wù)提供商。(3)NetScreen-1000NetScreen-1000防火墻，是一種面向大多數(shù)數(shù)據(jù)中心環(huán)境需求的互聯(lián)網(wǎng)安全系統(tǒng)，其中包括：電子商務(wù)站點(diǎn)、Web主機(jī)托管網(wǎng)站和ASP。NetScreen防火墻結(jié)合了防火墻和VPN安全加密的功能并擁有千兆以太網(wǎng)的吞吐處理能力。并發(fā)進(jìn)程與硬件加速相結(jié)合的NetScreenGigaScreenASIC體系結(jié)構(gòu)，使其具有了高速傳輸和有效的加密加速引擎的特性，NetScreen的高效傳輸能滿足寬帶數(shù)據(jù)的應(yīng)用，NetScreen-1000的可升級(jí)的體系結(jié)構(gòu)不斷的滿足客戶需求，如業(yè)務(wù)的增長，NetScreen-1000能滿足絕大多數(shù)環(huán)境的需求。4、CiscoPIX500系列防火墻美國Cisco系統(tǒng)公司PIX500系列防火墻采用了專用的操作系統(tǒng)，減少了黑客利用操作系統(tǒng)BUG攻擊的可能性，其內(nèi)核采用的是基于適用的安全策略(AdaptiveSecurityAlgorithm)的保護(hù)機(jī)制，ASA把內(nèi)部網(wǎng)絡(luò)與未經(jīng)認(rèn)證的用戶完全隔絕。每當(dāng)一個(gè)內(nèi)部網(wǎng)絡(luò)的用戶訪問Internet，PIX防火墻從用戶的IP數(shù)據(jù)包中卸下IP地址，用一個(gè)存儲(chǔ)在PIX防火墻內(nèi)已登記的有效IP地址代替它，把真正的IP地址隱藏起來。PIX防火墻還具有審計(jì)日志功能，并支持SNMP協(xié)議，用戶可以利用防火墻系統(tǒng)的包含實(shí)時(shí)報(bào)警功能的網(wǎng)絡(luò)瀏覽器，產(chǎn)生報(bào)警報(bào)告。PIX500防火墻通過一個(gè)cut-through代理要求用戶最初類似一個(gè)代理服務(wù)器，在應(yīng)用層工作，但是用戶一旦被認(rèn)證，PIX防火墻切換會(huì)話流和所有的通信流量，保持會(huì)話狀態(tài)的雙方就會(huì)快速和直接地進(jìn)行通信。一.防火墻的基本配置原則默認(rèn)情況下，所有的防火墻都是按以下兩種情況配置的：●拒絕所有的流量，這需要在你的網(wǎng)絡(luò)中特殊指定能夠進(jìn)入和出去的流量的一些類型?！裨试S所有的流量，這種情況需要你特殊指定要拒絕的流量的類型。可論證地，大多數(shù)防火墻默認(rèn)都是拒絕所有的流量作為安全選項(xiàng)。一旦你安裝防火墻后，你需要打開一些必要的端口來使防火墻內(nèi)的用戶在通過驗(yàn)證之后可以訪問系統(tǒng)。換句話說，如果你想讓你的員工們能夠發(fā)送和接收Email，你必須在防火墻上設(shè)置相應(yīng)的規(guī)則或開啟允許POP3和SMTP的進(jìn)程。在防火墻的配置中，我們首先要遵循的原則就是安全實(shí)用，從這個(gè)角度考慮，在防火墻的配置過程中需堅(jiān)持以下三個(gè)基本原則：(1).簡單實(shí)用：對(duì)防火墻環(huán)境設(shè)計(jì)來講，首要的就是越簡單越好。其實(shí)這也是任何事物的基本原則。越簡單的實(shí)現(xiàn)方式，越容易理解和使用。而且是設(shè)計(jì)越簡單，越不容易出錯(cuò)，防火墻的安全功能越容易得到保證，管理也越可靠和簡便。每種產(chǎn)品在開發(fā)前都會(huì)有其主要功能定位，比如防火墻產(chǎn)品的初衷就是實(shí)現(xiàn)網(wǎng)絡(luò)之間的安全控制，入侵檢測(cè)產(chǎn)品主要針對(duì)網(wǎng)絡(luò)非法行為進(jìn)行監(jiān)控。但是隨著技術(shù)的成熟和發(fā)展，這些產(chǎn)品在原來的主要功能之外或多或少地增加了一些增值功能，比如在防火墻上增加了查殺病毒、入侵檢測(cè)等功能，在入侵檢測(cè)上增加了病毒查殺功能。但是這些增值功能并不是所有應(yīng)用環(huán)境都需要，在配置時(shí)我們也可針對(duì)具體應(yīng)用環(huán)境進(jìn)行配置，不必要對(duì)每一功能都詳細(xì)配置，這樣一則會(huì)大大增強(qiáng)配置難度，同時(shí)還可能因各方面配置不協(xié)調(diào)，引起新的安全漏洞，得不償失。(2).全面深入：單一的防御措施是難以保障系統(tǒng)的安全的，只有采用全面的、多層次的深層防御戰(zhàn)略體系才能實(shí)現(xiàn)系統(tǒng)的真正安全。在防火墻配置中，我們不要停留在幾個(gè)表面的防火墻語句上，而應(yīng)系統(tǒng)地看等整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系，盡量使各方面的配置相互加強(qiáng)，從深層次上防護(hù)整個(gè)系統(tǒng)。這方面可以體現(xiàn)在兩個(gè)方面：一方面體現(xiàn)在防火墻系統(tǒng)的部署上，多層次的防火墻部署體系，即采用集互聯(lián)網(wǎng)邊界防火墻、部門邊界防火墻和主機(jī)防火墻于一體的層次防御;另一方面將入侵檢測(cè)、網(wǎng)絡(luò)加密、病毒查殺等多種安全措施結(jié)合在一起的多層安全體系。(3).內(nèi)外兼顧：防火墻的一個(gè)特點(diǎn)是防外不防內(nèi)，其實(shí)在現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境中，80%以上的威脅都來自內(nèi)部，所以我們要樹立防內(nèi)的觀念，從根本上改變過去那種防外不防內(nèi)的傳統(tǒng)觀念。對(duì)內(nèi)部威脅可以采取其它安全措施，比如入侵檢測(cè)、主機(jī)防護(hù)、漏洞掃描、病毒查殺。這方面體現(xiàn)在防火墻配置方面就是要引入全面防護(hù)的觀念，最好能部署與上述內(nèi)部防護(hù)手段一起聯(lián)動(dòng)的機(jī)制。目前來說，要做到這一點(diǎn)比較困難。二、防火墻的初始配置像路由器一樣，在使用之前，防火墻也需要經(jīng)過基本的初始配置。但因各種防火墻的初始配置基本類似，所以在此僅以CiscoPIX防火墻為例進(jìn)行介紹。防火墻的初始配置也是通過控制端口(Console)與PC機(jī)(通常是便于移動(dòng)的筆記本電腦)的串口連接，再通過Windows系統(tǒng)自帶的超級(jí)終端(HyperTerminal)程序進(jìn)行選項(xiàng)配置。防火墻的初始配置物理連接與前面介紹的交換機(jī)初始配置連接方法一樣。防火墻除了以上所說的通過控制端口(Console)進(jìn)行初始配置外，也可以通過telnet和Tffp配置方式進(jìn)行高級(jí)配置，但Telnet配置方式都是在命令方式中配置，難度較大，而Tffp方式需要專用的Tffp服務(wù)器軟件，但配置界面比較