山石防火墙命令.docx

山石防火墙命令.docx

《山石防火墙命令.docx》由会员分享，可在线阅读，更多相关《山石防火墙命令.docx（19页珍藏版）》请在冰点文库上搜索。

山石防火墙命令

表29-1：

手动同步配置命令列表；HA同步信息show命令手动同步命令；配置信息showconfigurationexe；文件信息showfileexechasyncfi；ARP表项showarpexechasyncrd；DNS配置信息showiphostsexecha；DHCP配置信息showdhcpexechasy；MAC地址表showmacexecha

表29-1：

手动同步配置命令列表

HA同步信息show命令手动同步命令

配置信息showconfigurationexechasyncconfiguration

文件信息showfileexechasyncfilefile-name

ARP表项showarpexechasyncrdoarp

DNS配置信息showiphostsexechasyncrdodns

DHCP配置信息showdhcpexechasyncrdodhcp

MAC地址表showmacexechasyncrdomac

showpkikey

PKI配置信息

showpkitrust-domain

exechasyncrdopki

会话信息showsessionexechasyncrdosession

showipsecsa

IPSecVPN信息

showisakmpsa

exechasyncrdovpn

showscvpnclienttest

showscvpn

host-check-profile

showscvpnpool

showscvpn

user-host-binding

showscvpnsession

SCVPN信息

showauth-userscvpn

exechasyncrdoscvpn

showl2tptunnel

showl2tppool

showl2tpclient

{tunnel-namename[user

user-name]|tunnel-idID}

L2TP信息

showauth-userl2tp

{interfaceinterface-name

|vroutervrouter-name}

exechasyncrdol2tp

Web认证信息showauth-userwebauthexechasyncrdowebauth

NTP信息showntpexechasyncrdontp

SCVPN信息showscvpnexechasyncrdoscvpn

路由信息showiprouteexechasyncrdoroute

显示HA配置

系统提供相应的show命令，查看HA配置信息。

?

查看HA簇配置信息：

showhacluster

?

查看HA组配置信息：

showhagroup{config|group-id}

?

查看HA连接配置状态：

showhalinkstatus

Hillstone山石网科多核安全网关使用手册

519

?

查看HA同步状态：

showhasyncstate{pki|dns|dhcp|vpn|ntp|config

|flow|scvpn|l2tp|route}

?

查看HA同步统计信息：

showhasyncstatistic{pki|dns|dhcp|vpn|

ntp|config|scvpn|route}

?

显示接收和发送的HA协议统计信息：

showhaprotocolstatiscitc

?

显示已同步或未同步的HA会话信息：

showsession{sync|unsync}

?

显示HA统计信息：

showhaflowstatistics

Hillstone防火墙系统管理配置：

1、语言配置：

languagezh_CN设置为中文

2、管理员用户访问权限：

在管理员配置模式下，输入以下命令配置管理员的访问方式：

access{console|http|https|ssh|telnet|any}

3、限制IP地址对防火墙管理

配置系统的可信主机，在全局配置模式下，使用以下命令：

adminhost{A.B.C.DA.B.C.D|any}{http|https|ssh|telnet|any}用户可以在任何模式下，随时使用show命令查看可信主机配置：

showadminhost

4、配置描述

配置用户描述信息，为用户提供描述信息，在用户配置模式下，使用以下命令：

descstring

5、配置Console管理接口

配置波特率execconsolebaudrate9600默认9600

配置超时时间consoletimeouttimeout-value范围是0到60分钟，0表示无时间限制。

默认值是10分钟。

配置Telnet管理接口telnettimeouttimeout-value范围是1到60分钟。

默认值是10分钟telnetportport-number默认值是23

telnetauthorization-try-countcount-number范围是1到10次默认为3次

6、配置WEB认证服务器端口号

webauthhttp-portport-number默认值是8181。

webauthhttps-portport-number默认值是44433。

webauthtimeouttimeout-value取值范围是10到3600*24秒。

默认为60秒

7、强制用户重新登录

webauthforce-timeouttimeout-value范围为10到60*24*100分钟。

?

显示Console配置：

showconsole

?

显示Telnet配置：

showtelnet

?

显示SSH配置：

showssh

?

显示Web配置：

showhttp

8、查看配置信息

系统起始配置信息包括系统的当前起始配置信息（系统启动时使用的配置信息），和系统的备份起始信息。

系统纪录最近十次保存的配置信息，最近一次保存的配置信息会纪录为系统的当前起始配置信息，当前系统配置信息以“current”作为标记。

前九次的配置信息按照保存时间的先后以数字0到8作为标

查看安全网关的当前起始配置信息，在任何命令模式下输入以下命令：

showconfigurationsaved[current]

查看安全网关的备份起始信息，在任何命令模式下使用以下命令：

showconfigurationsavednumber

查看安全网关的备份起始信息记录，在任何命令模式下输入以下命令：

showconfigurationsavedrecord

9、回退起始配置信息

系统能够纪录最近十次保存的起始配置信息，用户可以根据需要回退到已保存的指定的起始配

置信息。

系统重启后，系统将会使用该命令指定的配置信息。

在执行模式下，使用以下命令：

rollbackconfigurationsaved{number}

10、删除配置文件

用户可以删除设备的起始配置信息。

删除起始配置信息，在执行模式下，使用以下命令：

deleteconfigurationsaved{current|number}

导出配置信息

用户可以导出系统的当前配置信息和备份配置信息到FTP服务器、TFTP服务器或者U盘。

导出系统配置信息到FTP服务器，在执行模式下使用以下命令：

exportconfiguration{current|number}toftpserverip-address[useruser-namepasswordpassword][file-name]

importconfigurationfromftpserverip-addressuseruser-namepassword

passwordfile-name

11、恢复出厂配置

用户除使用设备上的CRL按键使系统恢复到出厂配置外，也可以使用命令恢复。

恢复出厂配

置，在执行模式下，使用以下命令：

unsetall

12、日志管理

将事件日志信息输出到内存缓存，并且对日志信息进行过滤，在全局配置模式下使用以下命令：

loggingeventtobuffer[severityseverity-level][sizebuffer-size]?

severityseverity-level–指定输出的事件日志信息的级别从而对事件日志信息进行过滤。

日志信息的级别和对应的级别号请参阅表4-2。

输出信息的级别将会是指定级别或者高于指定级别，即数字等于或者小于指定级别。

例如指定级别是通告，StoneOS将会输出通告、警告和错误级别的日志信息。

?

sizebuffer-size–指定内存缓存的大小。

范围是4096到4294967295字节。

默认值为1048576。

级别级别号描述日志定义

紧急（Emergencies）0系统不可用信息。

LOG_EMERG

警报（Alerts）1需要立即处理的信息，如设备受到攻击等。

LOG_ALERT

严重（Critical）2危急信息，如硬件出错。

LOG_CRIT

错误（Errors）3错误信息。

LOG_ERR

警告（Warnings）4报警信息。

LOG_WARNING

通告（Notifications）5非错误信息，但需要特殊处理。

LOG_NOTICE

信息（Informational）6通知信息。

LOG_INFO

调试（Debugging）7调试信息，包括正常的使用信息。

LOG_DEBUG

开启：

logging{event|alarm|security|configuration|network|traffic|debug|ips}on

sizebuffer-size-内存缓存的大小。

范围是4096到4294967295字节。

默认值为1048576

示例1：

向Console口输出事件日志信息；第一步：

开启事件日志功能；hostname#configure；hostname（config）#logging；第二步：

配置Console口日志输出，信息级别为；hostname（config）#logging；示例2：

向SyslogServer输出事件日志信；第一步：

开启安全网关的日志功能，将IP地址为20；类

示例1：

向Console口输出事件日志信息

第一步：

开启事件日志功能。

hostname#configure

hostname（config）#loggingeventon

第二步：

配置Console口日志输出，信息级别为Debugging。

hostname（config）#loggingeventtoconsoleseveritydebugging

示例2：

向SyslogServer输出事件日志信息

第一步：

开启安全网关的日志功能，将IP地址为202.38.1.10的工作站用作SyslogServer，

类型为UDP，设置信息级别为Informational。

hostname（config）#loggingeventon

hostname（config）#loggingsyslog202.38.1.10udp514

hostname（config）#loggingeventtosyslogseverityinformational

13、显示基于接口的统计信息

showstatisticsinterface-counterinterfaceinterface-name{second|minute|hour}

?

interface-name–指定接口名称。

?

second–指定显示接口前60秒钟每秒的流量统计信息。

?

minute–指定显示接口前60分钟每分钟的流量统计信息。

?

hour–指定显示接口前24小时每小时的流量统计信息。

14、安全网关的SNMP功能

开启或者关闭SNMP代理功能

默认情况下，系统的SNMP代理功能是关闭的。

开启安全网关的SNMP代理功能，请在全局配置模式下使用以下命令。

用该命令no的形式关闭SNMP代理功能。

?

snmp-servermanager

配置SNMP代理设备端口号

配置SNMP代理设备端口号，在全局配置模式下，使用以下命令：

snmp-serverportport-number

?

port-number–指定SNMP代理设备的端口号。

范围为1到65535。

默认值为161。

配置SNMP引擎ID

SNMP引擎ID唯一标识一个引擎，SNMP引擎是SNMP实体（网络管理平台或者被管理网络

设备）的重要组成部分，完成SNMP消息的收发、验证、提取PDU、组装消息与SNMP应用程序

通信等功能。

配置本地设备的SNMP引擎ID，在全局配置模式下使用以下命令：

snmp-serverengineIDstring

?

string–指定引擎ID号。

取值范围为1到23个字符

创建SNMPv3用户组

配置SNMPv3用户组，请在全局配置模式下使用以下命令：

snmp-servergroupgroup-namev3{noauth|auth|auth-enc}[read-viewread-view][write-viewwriteview]

?

group-name–指定用户组的名称。

取值范围为1到31个字符。

?

noauth|auth|auth-enc–指定用户组的安全级别。

可以为noAuth、Auth或者

Auth-Enc。

安全级别决定了在处理一个SNMP数据包时所采用的安全机制。

noAuth即无认证和加密；Auth提供基于MD5或SHA算法的认证；Auth-Enc提供基于MD5或SHA算法的认证和基于AES和DES的报文加密。

?

read-viewread-view–指定该用户组的只读MIB视图名。

如不指定该参数，系统默

认为所有视图均为该用户组的只读MIB视图。

?

write-viewwriteview–指定该用户组的可写MIB视图名。

如不指定该参数，系统默认为所有视图均为该用户组的可写MIB视图。

系统最多允许配置5个用户组，且每个用户组最多可包含5个用户。

在全局配置模式下使用

nosnmp-servergroupgroup-name命令删除指定的用户组

创建SNMPv3用户

配置SNMPv3用户，请在全局配置模式下使用以下命令：

snmp-serveruseruser-namegroupgroup-namev3remoteremote-ip

[auth-protocol{md5|sha}auth-pass[enc-protocol{des|aes}enc-pass]]

?

useruser-name–指定用户名称。

取值范围为1到31个字符。

?

groupgroup-name–为所创建的用户指定已经配置好的用户组。

?

remoteremote-ip–指定远程管理主机的IP地址。

?

auth-protocol{md5|sha}–指定用户安全级别为需要认证且认证协议可以为MD5

或SHA算法。

如不输入此参数，则默认是无认证，无加密模式。

?

auth-pass–指定认证密码。

取值范围为8到40个字符。

?

enc-protocol{des|aes}–指定用户安全级别为加密且加密协议为DES或者AES。

?

enc-pass–指定加密密码。

取值范围为8到40个字符。

系统最多允许配置25个用户。

在全局配置模式下使用nosnmp-serveruseruser-name

命令删除指定的用户

配置管理主机地址

配置管理主机地址，请在全局配置模式下使用以下命令：

snmp-serverhost{host-name|host-ip}{version[1|2c]communitystring

[ro|rw]|version3}

?

host-name|host-ip–指定管理主机的主机名称或者IP地址。

?

version[1|2c]–指定SNMP的版本为SNMPv1或者SNMPv2C。

?

communitystring–团体字是管理进程和代理进程之间的口令，因此与安全网关认可

的团体字不符的SNMP报文将被丢弃。

该参数指定主机的团体字，取值范围为一个最多31位的字符串，且仅当SNMP为v1和v2C版本时有效。

?

ro|rw–指定该团体字的读写权限。

ro为只读，此类团体字只可读取MIB中的信息；

rw为可读可写，此类团体字不仅可以读取MIB中的信息，还可以对信息进行修改。

此项为可选，默认情况下，团体字的访问权限为只读。

?

version3–指定SNMP的版本为SNMPv3

配置trap报文目标主机地址

用户可以配置接收SNMPtrap报文的主机。

配置SNMPtrap报文目标主机地址，请在全局

配置模式下使用以下命令：

snmp-servertrap-host{host-name|host-ip}{version{1|2c}communitystring|version3useruser-nameengineIDstring}[portport-number]?

host-name|host-ip–指定trap报文目标主机的主机名称或者IP地址。

?

portport-number–指定接收trap报文的目标主机端口号。

取值范围为1到65535，

默认值为162。

?

version{1|2c}–指定使用SNMPv1或者SNMPv2C发送trap报文。

?

communitystring–指定SNMPv1或者SNMPv2C的团体字。

?

version3–指定使用SNMPv3发送trap报文。

?

userstring–指定已配置的SNMPv3用户名。

?

engineIDstring–指定trap报文目标主机的引擎ID号。

?

portport-number–指定接收trap报文的目标主机端口号。

取值范围为1到65535，

默认值为162。

。

配置管理员的标识及联系方法，请在全局配置模式下使用以下命令：

snmp-servercontactstring

?

string–描述系统联络信息的字符串

15、NET协议

手动配置时间

手动配置系统的时间，请在全局配置模式下使用clocktime命令。

具体命令及描述以下：

clocktimeHH:

MM:

SSMonthDayYear

Month的取值范围是1到12；Day的取值范围是1到31；Year的取值范围是2000到2035。

以下是设置时间的命令配置示例：

hostname（config）#clocktime14:

26:

006222007

手动配置时区

手动设置系统的时区，请在全局配置模式下使用clockzone命令。

具体命令及描述如下：

clockzonetimezone-name

?

启用：

ntpenable

ntpserver{ip-address|host-name}[keynumber][source

interface-name]

[prefer]

?

ip-address|host-name–指定时钟服务器的IP地址或主机名称。

?

keynumber–指定可以通过该服务器的验证密钥。

如果要在配置的时钟服务器上使用NTP身份验证功能，用户必须指定key参数值。

?

sourceinterface-name–指定安全网关上发送和接收NTP包的接

?

prefer–如果指定了多个时钟服务器，该关键字用来指定该服务器为主时钟服务器。

安

全网关首先与主服务器进行时间同步，如果失败，再查找下一个时钟服务器。

以下是时钟服务器配置示例：

hostname（config）#ntpserver10.160.64.5prefer

NTP配置示例

NTP服务器的IP地址是10.10.10.10；身份验证密钥ID和MD5验证密钥分别是1和aaaa；

查询间隔为3分钟；最大调整时间为5秒。

配置完成后开启安全网关的NTP身份验证功能和NTP

功能。

最后查看NTP配置信息和状态。

请参考以下配置命令：

hostname（config）#ntpauthentication-key1md5aaaa

hostname（config）#ntpserver10.10.10.10key1prefer

hostname（config）#ntpquery-interval3

hostname（config）#ntpmax-adjustment5

hostname（config）#ntpauthentication

hostname（config）#ntpenable

hostname（config）#showntpstatus

ntpclientisenabled,authenticationisenabled

ntpquery-intervalis3,max-adjustmenttimeis5

ntpserver10.10.10.10,key1,prefer

山石网科安全网关配置命令27

山石网科；申请功能；（平台）；QOS流量分配；AV复合端口；IPS入侵；NBC网络行为管理支持SG型号；URLDB是NBC子键支持SG型号；HSM设备集；4GE-B当断电后仍然可以通讯；SSHsecureShell安全外壳协议；是一种在不安全网络上提供安全登录和其他安全网络服；NAT步骤：

；①，接口IP；②，配路由；缺省路由：

0.0.0.00.0.0.019

山石网科

申请功能

（平台）

QOS流量分配

AV复合端口

IPS入侵

NBC网络行为管理支持SG型号

URLDB是NBC子键支持SG型号

HSM设备集

4GE-B当断电后仍然可以通讯

SSHsecureS