webshell,能够很容易地避开杀毒软件的检测和穿透防火墙

是的。

WebShell确实可以避开杀毒软件的检测和穿透防火墙。这是因为它与正常网页具有相同的运行环境和服务端口，使得它很难被识别和检测。同时，由于它可以嵌套在正常网页中运行，且不容易被查杀，因此它能够轻松地穿越服务器防火墙，也不会被记录在系统日志中。

这使得WebShell成为了一种非常危险的攻击工具，需要采取有效的措施来防范和应对。

不用使用这个命令。还有一种方法

在内网的接口上使用nat ser 命令将外网接口上发布的命令重新写一遍。也就是说端口映射的信息在内外网接口都有，且一模一样。

之后写一条acl

acl num 3005

rule per ip sou 19216810 000255 de 1921681100 0

写一条规则，内网所有ip地址到内网的服务器ip。

之后在内网接口上

nat out 3005

将acl3005做nat out转换

这样2个步骤能够解决内网使用公网ip或者域名访问内网的服务器。原理是将数据流在防火墙上内部回流。。

采用如下的思路配置STelnet/SFTP客户端（USG_A）连接SSH服务器（USG_B）：

1 在USG_B上创建SSH用户。

2 在USG_B上生成本地密钥对。

3 启用USG_B的STelnet/SFTP服务。

4 用户Client通过USG_A登录USG_B。

当主机与某WEB服务器同在防火墙的INSIDE口，但DNS服务器只存在于公网中，(OUTSIDE口)且防火墙上对内网的WEB服务器进行了静态NAT映射以与外界通信并被外界DNS解析，为了防止本地用户在访问WEB服务器URL时被外网解析DNS为防火墙映射公网地址，需要对外网DNS reply进行修改。1用户穿过查询web服务器DNSDNS回应给用户WEB服务器的公网地址防火墙上收到该DNS reply，并进行修改用户得到一个将WEB服务器解析为内网地址的DNS reply相关命令：static (inside,outside) 公网地址 内网地址 netmask dns

为了提高计算机系统的安全性，越来越多的用户通过防火墙对其内部应用系统进行有效的安全保护。随之而来的是各种防火墙隔离模式下的统一数据保护管理成为了一个非常困难的问题。

在CommVault最新的Simpana90软件系统中加入了大量支持各种防火墙配置模式的功能代码，用户甚至只需要开放某一台服务器的一个端口，就能通过相应的防火墙穿越设置实现对被防火墙隔离的所有其他应用系统的统一备份管理。

当在CommVault的主控服务器上根据用户的防火墙安全规则设置好了防火墙穿越配置之后，CommVault的客户端软件在安装的过程中就能通过相应的防火墙守护程序经由防火墙允许的穿越代理服务器或端口转发网关与CommVault主控服务器取得通讯，从而使隐藏在防火墙之后的服务器也能通过CommVault的数据备份管理软件进行统一的备份与恢复管理。

配置FW作为FTP服务器

介绍配置FW作为FTP服务器的方法。

操作步骤

执行命令system-view，进入系统视图。

执行命令ftp server enable，启动FTP服务器。

创建FTP管理员。

执行命令aaa，进入AAA视图。

执行命令manager-user user-name，配置管理员账号并进入管理员视图。

执行命令password [ cipher cipher-password ]，配置管理员账号对应的密码。

说明：

荐采用交互式方式创建管理员密码，通过cipher cipher-password配置密码时存在密码泄露的危险。

执行命令level level，配置管理员的级别。

说明：

为了保证管理员能正常登录设备，请将管理员级别配置在3级或3级以上。

执行命令service-type ftp，配置管理员拥有的服务类型为FTP。

执行命令ftp-directory directory，配置管理员账号的FTP服务目录。

执行命令access-limit max-number，配置使用本管理员账号同时可登录的最大管理员数量。

执行命令quit，退回到AAA视图。

执行命令quit，退回到系统视图。

可选：执行命令ftp timeout minutes，配置FTP服务器超时断连时间。

为了防止未授权者的非法入侵，如果在一定时间内没有收到FTP管理员的服务请求，则系统会断开与该FTP客户端的连接。当FTP管理员再需要服务时，需要重新进行登录操作。

缺省情况下，系统的连接空闲时间为30分钟。

可选：配置FTP的访问控制列表。

通过配置FTP访问控制列表，可提高FTP服务器的安全性。

执行命令acl [ number ] acl-number [ ***-instance ***-instance ]，进入ACL视图。

说明：

FTP只支持基本访问控制列表，因此acl-number的取值范围是2000～2999。

执行命令rule [ rule-id ] { deny | permit } [ logging | source { source-ip-address soucer-wildcard | any } | time-range time-name ]，配置ACL规则。

执行命令quit，退回到系统视图。

执行命令ftp acl acl-number，配置FTP基本访问控制列表。

USG5150HSR这个系列的防火墙我没用过，不过原理应该差不多。

原有链路所在端口设置为域network1，后租用链路设置为域network2。

现在针对你的目标：

1、在两条链路都通畅时，内网用户在访问外网58000/8这个网段的网站时，流量走原有的链路；当用户访问其他非58000/8这个网段的网站时，流量走后租用的这条链路。

---配置静态路由 ip static-route 58000 255000 10100101 //目的地址为58000/8的下一跳10100101。另外再配置一条缺省路由 ip static-route 0000 0000 172100101 //目的地址为非58000/8的，下一跳为172100101

2、 当两条链路中的任意一条链路出现故障断开时，用户访问外网的所有流量走没有故障的链路。

---这个可以通过配置静态路由优先级的做法来实现，静态路由默认优先级为60，可以加一条优先级为70的静态路由ip static-route 58000 255000 172100101 preference 70， ip static-route 0000 0000 10100101 preference 70。

假设内网服务器所连接的防火墙端口为域trust，然后设置trust域到network2域的域间nat outbound，做ACL为允许583000/24段放通，做nat转换，地址池为2192492392—2192492394。这样基本就完成你所需达到目标的配置了，当然我所说的这些指令是华为“一道门”系列防火墙的配置指令，USG5150HSR可能指令略有出入，但思路基本一样。

另外回答你的问题：

用户在访问外网时，是先根据数据包的源或目标地址在路由表中查找走哪一条链路，然后把数据发送到指定链路接口，并对用户地址做转换（NAT）；还是在根据数据包的源或目标地址在路由表中查找路由的同时就把用户的IP地址做NAT转换，然后再把数据包发送到指定的链路接口。

---以上面的配置为例，trust域的服务器通过你后租用链路访问公网，首先数据包送到防火墙时，防火墙会根据你包的目的地址判断应该走的接口为network2域这个端口，因为跨域了，会去匹配域间规则，匹配顺序为先检测是否能够从trust域放通到network2域，如果通过，继续做nat规则匹配，如果匹配上nat规则，做nat转换后送往下一跳访问公网。

不知道我的答案说的是否明白？

不容易啊，给个好评吧 ：）