山石网科防火墙检查命令

表29-1：手动同步配置命令列表

HA 同步信息show 命令手动同步命令

配置信息show configuration exec ha sync configuration

文件信息show file exec ha sync file file-name

ARP 表项show arp exec ha sync rdo arp

DNS 配置信息show ip hosts exec ha sync rdo dns

DHCP 配置信息show dhcp exec ha sync rdo dhcp

MAC 地址表show mac exec ha sync rdo mac

show pki key

PKI 配置信息

show pki trust-domain

exec ha sync rdo pki

会话信息show session exec ha sync rdo session

show ipsec sa

IPSec VPN 信息

show isakmp sa

exec ha sync rdo vpn

show scvpn client test

show scvpn

host-check-profile

show scvpn pool

show scvpn

user-host-binding

show scvpn session

SCVPN 信息

show auth-user scvpn

exec ha sync rdo scvpn

show l2tp tunnel

show l2tp pool

show l2tp client

{tunnel-name name [user

user-name]| tunnel-id ID}

L2TP 信息

show auth-user l2tp

{interface interface-name

| vrouter vrouter-name}

exec ha sync rdo l2tp

Web 认证信息show auth-user webauth exec ha sync rdo webauth NTP 信息show ntp exec ha sync rdo ntp

SCVPN 信息show scvpn exec ha sync rdo scvpn

路由信息show ip route exec ha sync rdo route

显示HA配置

系统提供相应的show 命令，查看HA 配置信息。

?查看HA 簇配置信息：show ha cluster

?查看HA 组配置信息：show ha group {config | group-id}

?查看HA 连接配置状态：show ha link status

Hillstone 山石网科多核安全网关使用手册

519

?查看HA 同步状态：show ha sync state {pki | dns | dhcp | vpn | ntp | config

| flow | scvpn | l2tp | route}

?查看HA 同步统计信息：show ha sync statistic {pki | dns | dhcp | vpn |

ntp | config | scvpn | route}

?显示接收和发送的HA 协议统计信息：show ha protocol statiscitc

?显示已同步或未同步的HA 会话信息：show session {sync | unsync}

?显示HA 统计信息：show ha flow statistics

Hillstone 防火墙系统管理配置：

1、语言配置：language zh_CN 设置为中文

2、管理员用户访问权限：

在管理员配置模式下，输入以下命令配置管理员的访问方式：

access {console | http | https | ssh | telnet | any}

3、限制IP地址对防火墙管理

配置系统的可信主机，在全局配置模式下，使用以下命令：

admin host {A.B.C.D A.B.C.D | any} {http | https | ssh | telnet | any} 用户可以在任何模式下，随时使用show 命令查看可信主机配置：

show admin host

4、配置描述

配置用户描述信息，为用户提供描述信息，在用户配置模式下，使用以下命令：

desc string

5、配置Console管理接口

配置波特率exec console baudrate 9600 默认9600

配置超时时间console timeout timeout-value 范围是0 到60 分钟，0 表示

无时间限制。默认值是10 分钟。

配置Telnet管理接口telnet timeout timeout-value 范围是1 到60 分钟。

默认值是10 分钟telnet port port-number 默认值是23

telnet authorization-try-count count-number 范围是1 到10 次默认为3 次

6、配置WEB认证服务器端口号

webauth http-port port-number 默认值是8181。

webauth https-port port-number 默认值是44433。

webauth timeout timeout-value 取值范围是10 到3600*24 秒。默认为60 秒7、强制用户重新登录

webauth force-timeout timeout-value 范围为10 到60*24*100 分钟。

?显示Console 配置：show console

?显示Telnet 配置：show telnet

?显示SSH 配置：show ssh

?显示Web 配置：show http

8、查看配置信息

系统起始配置信息包括系统的当前起始配置信息（系统启动时使用的配置信息），和系统的备份起始信息。系统纪录最近十次保存的配置信息，最近一次保存的配置信息会纪录为系统的当前起始配置信息，当前系统配置信息以“current”作为标记。前九次的配置信息按照保存时间的先后以数字0 到8 作为标

查看安全网关的当前起始配置信息，在任何命令模式下输入以下命令：

show configuration saved [current]

查看安全网关的备份起始信息，在任何命令模式下使用以下命令：

show configuration saved number

查看安全网关的备份起始信息记录，在任何命令模式下输入以下命令：

show configuration saved record

9、回退起始配置信息

系统能够纪录最近十次保存的起始配置信息，用户可以根据需要回退到已保存的指定的起始配

置信息。系统重启后，系统将会使用该命令指定的配置信息。在执行模式下，使用以下命令：rollback configuration saved {number}

10、删除配置文件

用户可以删除设备的起始配置信息。删除起始配置信息，在执行模式下，使用以下命令：delete configuration saved {current | number}

导出配置信息

用户可以导出系统的当前配置信息和备份配置信息到FTP 服务器、TFTP 服务器或者U 盘。

导出系统配置信息到FTP 服务器，在执行模式下使用以下命令：

export configuration {current | number} to ftp server ip-address [user user-name password password] [file-name]

import configuration from ftp server ip-address user user-name password

password file-name

11、恢复出厂配置

用户除使用设备上的CRL 按键使系统恢复到出厂配置外，也可以使用命令恢复。恢复出厂配

置，在执行模式下，使用以下命令：

unset all

12、日志管理

将事件日志信息输出到内存缓存，并且对日志信息进行过滤，在全局配置模式下使用以下命令：

logging event to buffer [severity severity-level] [size buffer-size]?severity severity-level –指定输出的事件日志信息的级别从而对事件日志信息进行过滤。日志信息的级别和对应的级别号请参阅表4-2。输出信息的级别将会是指定级

别或者高于指定级别，即数字等于或者小于指定级别。例如指定级别是通告，StoneOS 将会输出通告、警告和错误级别的日志信息。

?size buffer-size –指定内存缓存的大小。范围是4096 到4294967295 字节。默认值为1048576。

级别级别号描述日志定义

紧急（Emergencies）0 系统不可用信息。LOG_EMERG

警报（Alerts） 1 需要立即处理的信息，如设备受到攻击等。LOG_ALERT

严重（Critical） 2 危急信息，如硬件出错。LOG_CRIT

错误（Errors） 3 错误信息。LOG_ERR

警告（Warnings） 4 报警信息。LOG_WARNING

通告（Notifications） 5 非错误信息，但需要特殊处理。LOG_NOTICE

信息（Informational） 6 通知信息。LOG_INFO

调试（Debugging）7 调试信息，包括正常的使用信息。LOG_DEBUG

开启：logging {event | alarm | security | configuration | network | traffic | debug | ips} on

size buffer-size - 内存缓存的大小。范围是4096 到4294967295 字节。默认值为1048576

示例1：向Console口输出事件日志信息

第一步：开启事件日志功能。

hostname# configure

hostname(config)# logging event on

第二步：配置Console 口日志输出，信息级别为Debugging。

hostname(config)# logging event to console severity debugging

示例2：向Syslog Server输出事件日志信息

第一步：开启安全网关的日志功能，将IP 地址为202.38.1.10 的工作站用作Syslog Server，

类型为UDP，设置信息级别为Informational。

hostname(config)# logging event on

hostname(config)# logging syslog 202.38.1.10 udp 514

hostname(config)# logging event to syslog severity informational

13、显示基于接口的统计信息

show statistics interface-counter interface interface-name {second| minute

| hour}

? interface-name –指定接口名称。

? second –指定显示接口前60 秒钟每秒的流量统计信息。

? minute –指定显示接口前60 分钟每分钟的流量统计信息。

? hour –指定显示接口前24 小时每小时的流量统计信息。

14、安全网关的SNMP功能

开启或者关闭SNMP代理功能

默认情况下，系统的 SNMP 代理功能是关闭的。开启安全网关的SNMP 代理功能，请在全局配置模式下使用以下命令。用该命令no 的形式关闭SNMP 代理功能。

? snmp-server manager

配置SNMP代理设备端口号

配置SNMP 代理设备端口号，在全局配置模式下，使用以下命令：

snmp-server port port-number

?port-number –指定SNMP 代理设备的端口号。范围为1 到65535。默认值为161。

配置SNMP引擎ID

SNMP 引擎ID 唯一标识一个引擎，SNMP 引擎是SNMP 实体（网络管理平台或者被管理网络

设备）的重要组成部分，完成SNMP 消息的收发、验证、提取PDU、组装消息与SNMP 应用程序

通信等功能。配置本地设备的SNMP 引擎ID，在全局配置模式下使用以下命令：

snmp-server engineID string

?string –指定引擎ID 号。取值范围为1 到23 个字符

创建SNMPv3 用户组

配置SNMPv3 用户组，请在全局配置模式下使用以下命令：

snmp-server group group-name v3 {noauth | auth | auth-enc} [read-view read-view] [write-view writeview]

?group-name –指定用户组的名称。取值范围为1 到31 个字符。

?noauth | auth | auth-enc –指定用户组的安全级别。可以为noAuth、Auth 或者

Auth-Enc。安全级别决定了在处理一个SNMP 数据包时所采用的安全机制。noAuth 即无认证和加密；Auth 提供基于MD5 或SHA 算法的认证；Auth-Enc 提供基于MD5 或SHA 算法的认证和基于AES 和DES 的报文加密。

?read-view read-view –指定该用户组的只读MIB 视图名。如不指定该参数，系统默

认为所有视图均为该用户组的只读MIB 视图。

?write-view writeview –指定该用户组的可写MIB 视图名。如不指定该参数，系统默认为所有视图均为该用户组的可写MIB 视图。

系统最多允许配置5 个用户组，且每个用户组最多可包含5 个用户。在全局配置模式下使用

no snmp-server group group-name 命令删除指定的用户组

创建SNMPv3 用户

配置SNMPv3 用户，请在全局配置模式下使用以下命令：

snmp-server user user-name group group-name v3 remote remote-ip [auth-protocol {md5 | sha} auth-pass [enc-protocol {des | aes}

enc-pass]]

?user user-name –指定用户名称。取值范围为 1 到31 个字符。

?group group-name –为所创建的用户指定已经配置好的用户组。

?remote remote-ip –指定远程管理主机的IP 地址。

?auth-protocol {md5| sha} –指定用户安全级别为需要认证且认证协议可以为MD5

或SHA 算法。如不输入此参数，则默认是无认证，无加密模式。

?auth-pass –指定认证密码。取值范围为8 到40 个字符。

?enc-protocol {des| aes} –指定用户安全级别为加密且加密协议为DES或者AES。?enc-pass –指定加密密码。取值范围为8 到40 个字符。

系统最多允许配置25 个用户。在全局配置模式下使用no snmp-server user

user-name

命令删除指定的用户

配置管理主机地址

配置管理主机地址，请在全局配置模式下使用以下命令：

snmp-server host {host-name | host-ip} {version [1 | 2c] community string

[ro | rw] | version 3}

?host-name | host-ip –指定管理主机的主机名称或者IP 地址。

?version [1 | 2c] –指定SNMP 的版本为SNMPv1 或者SNMPv2C。

?community string –团体字是管理进程和代理进程之间的口令，因此与安全网关认可

的团体字不符的SNMP 报文将被丢弃。该参数指定主机的团体字，取值范围为一个最多31 位的字符串，且仅当SNMP 为v1 和v2C 版本时有效。

?ro | rw –指定该团体字的读写权限。ro 为只读，此类团体字只可读取MIB 中的信息；

rw 为可读可写，此类团体字不仅可以读取MIB 中的信息，还可以对信息进行修改。此项为可选，默认情况下，团体字的访问权限为只读。

?version 3 –指定SNMP 的版本为SNMPv3

配置trap报文目标主机地址

用户可以配置接收SNMP trap 报文的主机。配置SNMP trap 报文目标主机地址，请在全局

配置模式下使用以下命令：

snmp-server trap-host {host-name | host-ip} {version {1 | 2c} community string | version 3 user user-name engineID string } [port port-number] ?host-name | host-ip –指定trap 报文目标主机的主机名称或者IP 地址。

?port port-number –指定接收trap 报文的目标主机端口号。取值范围为1 到65535，

默认值为162。

?version {1 | 2c} –指定使用SNMPv1 或者SNMPv2C 发送trap 报文。

?community string –指定SNMPv1 或者SNMPv2C 的团体字。

?version 3 –指定使用SNMPv3 发送trap 报文。

?user string –指定已配置的SNMPv3 用户名。

?engineID string –指定trap 报文目标主机的引擎ID 号。

?port port-number –指定接收trap 报文的目标主机端口号。取值范围为1 到65535，

默认值为162。

。配置管理员的标识及联系方法，请在全局配置模式下使用以下命令：

snmp-server contact string

?string –描述系统联络信息的字符串

15、NET协议

手动配置时间

手动配置系统的时间，请在全局配置模式下使用clock time 命令。具体命令及描述以下：

clock time HH:MM:SS Month Day Year

Month 的取值范围是1 到12；Day 的取值范围是1 到31；Year 的取值范围是2000 到2035。

以下是设置时间的命令配置示例：

hostname(config)# clock time 14:26:00 6 22 2007

手动配置时区

手动设置系统的时区，请在全局配置模式下使用clock zone 命令。具体命令及描述如下：clock zone timezone-name

?启用：ntp enable

ntp server {ip-address | host-name} [key number] [source

interface-name]

[prefer]

?ip-address | host-name –指定时钟服务器的IP 地址或主机名称。

?key number –指定可以通过该服务器的验证密钥。如果要在配置的时钟服务器上使用NTP 身份验证功能，用户必须指定key 参数值。

?source interface-name –指定安全网关上发送和接收NTP 包的接

?prefer –如果指定了多个时钟服务器，该关键字用来指定该服务器为主时钟服务器。安

全网关首先与主服务器进行时间同步，如果失败，再查找下一个时钟服务器。

以下是时钟服务器配置示例：

hostname(config)# ntp server 10.160.64.5 prefer

NTP配置示例

NTP 服务器的IP 地址是10.10.10.10；身份验证密钥ID 和MD5 验证密钥分别是1 和aaaa；

查询间隔为3 分钟；最大调整时间为5 秒。配置完成后开启安全网关的NTP 身份验证功能和NTP

功能。最后查看NTP 配置信息和状态。请参考以下配置命令：

hostname(config)# ntp authentication-key 1 md5 aaaa

hostname(config)# ntp server 10.10.10.10 key 1 prefer

hostname(config)# ntp query-interval 3

hostname(config)# ntp max-adjustment 5

hostname(config)# ntp authentication

hostname(config)# ntp enable

hostname(config)# show ntp status

ntp client is enabled, authentication is enabled

ntp query-interval is 3, max-adjustment time is 5

ntp server 10.10.10.10, key 1, prefer

山石网科 防火墙 SG-6000-M2105-M3100-M3108选型说明书

新一代多核安全网关 SG-6000-M2105/M3100/M3108 SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。 产品亮点 安全可视化 ●网络可视化 通过StoneOS?内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。 ●接入可视化 StoneOS?基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。 ●应用可视化 StoneOS?内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。StoneOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包

括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。 全面的VPN解决方案 SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSec VPN。SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。 Hillstone山石网科独具特色的即插即用VPN，可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置，完全解决了传统IPSecVPN设备配置难、使用难、维护成本高的问题。 SG-6000多核安全网关还通过集成第三代SSL VPN实现角色访问控制和即插即用特性，为用户提供方便、快捷的安全远程接入服务。 内容安全(UTM Plus?) SG-6000可选UTMPlus?软件包提供病毒过滤、入侵防御、内容过滤、网页访问控制和应用流量整形等功能，可以防范病毒、间谍软件、蠕虫、木马等网络攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页，提高工作效率和控制对不良网站的访问。病毒库、攻击库、网页库可以通过网络服务实时下载，确保对新爆发的病毒、攻击、新的网页做到及时响应。 模块化、全并行处理的安全架构(多核Plus? G2) Hillstone山石网科自主开发的64位实时安全操作系统StoneOS?采用专利的多处理器全并行架构，和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同；StoneOS?实现了从网络层到应用层的多核全并行处理。 因此SG-6000较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升，为同时开启多项防护功能奠定了性能基础，突破了传统安全网关的功能实用性和性能无法两全的局限。 SG-6000-M3108支持SD卡扩展。通过扩展SD卡可以在设备上实时记录各种审计日志和审计数据，满足公安部82号令的要求，也可以使用外置高性能日志服务器。 另外SG-6000多核安全网关还支持通过软件license方式进行设备高级扩展，

Hillstone山石网科SG-6000-X6150防火墙评测报告

Hillstone山石网科SG-6000-X6150防火墙评测报告 作者老韩 | 2010-10-14 11:38 | 类型互联网, 弯曲推荐, 研发动态, 网络安全 | 75条用户评论? 4年时间完成从0到100G的跨越，山石网科让人无话可说。再过4年，中国信息安全行业的格局是否会被改变？10月21日，山石网科将在北京正式发布这款百G级别的产品，感兴趣的话可以猛击这里查看官方专题页。 原文发布于《计算机世界》。本文尽量注意在正文中不出现带有个人感情色彩的语言；另一方面，拓展表现形式，用视频保存下测试中的经典瞬间，编辑后以更易于接受、传播的方式加以体现。（对于镜头晃动带来的眩晕感我非常抱歉，此外请忽略鼻炎导致偶发的怪腔怪调……） Hillstone山石网科（以下简称“山石网科”）是一个令人惊叹的安全企业。自成立以来，该公司保持着稳定、高速的产品研发速度，有步骤地推出了一系列多功能安全网关产品，占据了市场先机。但所有这些产品，其形态都属于“盒子（Appliance）”的范畴，固化的业务处理单元决定了其防火墙性能无法突破20G 这条水平线。而在云计算从未来时发展为现在进行时的今天，运营商、金融、教育等大型行业用户有了更高的业务需求，百G级别的防火墙在骨干网、数据中心等环境开始进入实际应用阶段。为了应对新的需求变化，山石网科又于近期推出了SG-6000-X6150（以下简称X6150）高性能防火墙，我们也在第一时间对该产品进行了测试分析。

为了达到百G级别的处理能力，X6150改用“机框（Chassis）”式产品形态，实现了可插拔部件全冗余及业务的智能分布式处理。该产品采用5U规格设计，共内置了12个扩展槽位，其中10个可用于接口模块（IOM）、安全服务模块（SSM）或QoS服务模块（QSM），2个用于系统主控模块（SCM）。设备亦采用了高速大容量交换背板，为每个模块提供了足够大的数据通路。对于高端电信级产品来说，供电子系统与散热子系统的重要性亦不容忽视。X6150最多可内置4个电源模块（650W），支持双路主备冗余部署，加上具有热插拔特性的风扇模组，可以最大程度地保障系统的稳定运行。 多核Plus G2的高级形态 目前，通过单独的处理器还很难达到百G级别的防火墙性能，业务的分布式处理是目前市场上百G防火墙产品的主流选择。不同厂商必然有着不同的系统实现方式，对于山石网科来说，经过多次发展演变的多核Plus G2架构则是X6150实现智能分布式处理的基础。

山石网科安全网关配置命令

山石网科 申请功能 （平台） QOS 流量分配 AV 复合端口 IPS 入侵 NBC 网络行为管理支持SG型号 URLDB 是NBC子键支持SG型号 HSM 设备集 4GE-B 当断电后仍然可以通讯 SSH secure Shell 安全外壳协议 是一种在不安全网络上提供安全登录和其他安全网络服务的协议。 NAT 步骤： ①，接口IP ②，配路由 缺省路由：0.0.0.0 0.0.0.0 192.168.1.2 回值路由：0.0.0.0 192.168.1.x 192.168.1.1 策略路由： ③，NAT SNAT DNAT MAP ( IP PORT ) ④，policy(策略) 检查配置环境 show seccion generic 显示连接数 show interface (name) 显示接口信息 show zone(zone name) 显示安全域类型 show admin user 显示系统管理员信息 show admin user (name)显示系统管理员配置信息 show version 显示版本号信息 show arp 显示解析地址 show fib 显示路由信息 show snat 显示nat 配置 no snatrule id 号删除NAT配置 show ip route 显示路由信息 save 保存配置 unset all 清楚配置(恢复出厂设 置。

配接口 (config)# interface Ethernet0/2 (config-if-0/2)# zone trust 或/untrust 建立区信任/不信任 (config-if-0/2)# ip add 192.168.1.1/24 (config-if-0/2)# manage ping 开通PING (config-if-0/3)# manage http 开通HTTP (config-if-0/3)# manage telnet 开通telnet 配路由 (config)# ip vrouter trust-vr 这个命令意思是可以配置多个路由 (config-route)# ip route 0.0.0.0/0 192.168.1.1 配NAT (config)# nat (config-nat)# snatrule id 1 from any to any trans-to eif-ip mode dynamicport (config)#policy # rule from any to any server any dynamicport 系统管理 web： 系统--设备管理--基本信息 CLI： (config)# hostname (name) 配置安全网关名 (config)# no hostname 清楚安全网关名 管理员密码策略配置模式 hostname(config)# password policy 进入管理员策略配置式 hostname(config-pwd-policy)# admin complexity 1 启用密码复杂度限制 hostname(config=pwd-policy)# admin min-length (length value) 启用密码最少位限制 配置系统管理员 (config)# admin user (user-name) 配置管理员名称 (config)# no admin user (user-name) 删除管理员名称 (config-hostname)# privilege PX/RXW 管理员模式下：配置管理员特权 PX是读，执行 PXW 是读，执行，写。 (config-hostname)# password password 配置管理员密码 (config-hostname)# access{console|https|ssh|telnet|any} 配置管理员的访问方式 show admin user 显示管理员信息 show admin user (user-name) 显示管理员配置信息

山石网科防火墙检查命令

表29-1：手动同步配置命令列表 HA 同步信息show 命令手动同步命令 配置信息show configuration exec ha sync configuration 文件信息show file exec ha sync file file-name ARP 表项show arp exec ha sync rdo arp DNS 配置信息show ip hosts exec ha sync rdo dns DHCP 配置信息show dhcp exec ha sync rdo dhcp MAC 地址表show mac exec ha sync rdo mac show pki key PKI 配置信息 show pki trust-domain exec ha sync rdo pki 会话信息show session exec ha sync rdo session show ipsec sa IPSec VPN 信息 show isakmp sa exec ha sync rdo vpn show scvpn client test show scvpn host-check-profile show scvpn pool show scvpn user-host-binding show scvpn session SCVPN 信息 show auth-user scvpn exec ha sync rdo scvpn show l2tp tunnel show l2tp pool show l2tp client {tunnel-name name [user user-name]| tunnel-id ID} L2TP 信息 show auth-user l2tp {interface interface-name | vrouter vrouter-name} exec ha sync rdo l2tp Web 认证信息show auth-user webauth exec ha sync rdo webauth NTP 信息show ntp exec ha sync rdo ntp SCVPN 信息show scvpn exec ha sync rdo scvpn 路由信息show ip route exec ha sync rdo route

山石网科Ipv6整体解决方案

Ipv6整体解决方案 Hillstone Networks Inc. 2016年03月10日

内容提交人审核人更新内容日期 V1 2016/3/10 目录 1需求分析 (3) 2解决方案 (3) 2.1设备信息 (3) 2.2拓扑 (3) 2.3主要配置 (4) 2.3.1总部 (4) 2.3.2分支1（模拟环境，不考虑上互联网问题） (6) 2.3.3分支2 (8) 3建设效果 (8)

1需求分析 某用户有100多个office，都采用电信光纤接入，需要逐步从IPv4演变为IPv6地址，在这种场景下，需要做到IPv4到IPv6内网的互通。 场景模拟如下：一个总部两个分支，总部内网采用IPv6地址，外网地址采用IPv4；分支1外网IPv4，内网IPv6；分支机构2内外网都为IPv4地址。需求如下： A.总部的IPv6地址可以访问到互联网IPv4资源，总部的IPv6地址可以提供互联网用户 访问。 B.总部和分支1的IPv6地址通过公网6in4隧道互相通信。 C.总部和分支2的IPv4地址互相通信。 2解决方案 2.1设备信息 2.2拓扑

分支1 2005::2/96 2.3主要配置 2.3.1总部 A.接口 interface ethernet0/1 zone "untrust" ip address 200.0.0.2 255.255.255.0 manage http exit interface ethernet0/2 zone "trust"

dns-proxy ipv6 enable ipv6 address 2005::1/96 manage ping exit interface tunnel1 zone "trust" ipv6 enable tunnel ip6in4 "fenzhi1" exit B.Nat和路由 ip vrouter "trust-vr" snatrule id 1 from "2005::/96" to "2003::/96" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #总部上网snat snatrule id 2 from "2005::2/96" to "2004::2" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #与分支2通信snat snatrule id 3 from "Any" to "200.0.0.2" service "Any" eif ethernet0/2 trans-to 2005::1 mode dynamicport #公网已知ip访问总部ipv6服务器snat dnatrule id 1 from "2005::/96" to "2003::/96" service "Any" v4-mapped #总部上网dnat dnatrule id 2 from "2005::2/96" to "2004::2" service "Any" trans-to "200.0.0.4" #与分支2通信dnat dnatrule id 3 from "Any" to "200.0.0.2" service "Any" trans-to "2005::2" #公网已知ip访问总部ipv6服务器dnat ip route 0.0.0.0/0 200.0.0.1 ipv6 route 2001::/96 tunnel1 exit C.策略 rule id 1 action permit src-addr "Any" dst-addr "Any" service "Any" exit rule id 2 action permit src-ip 2005::/96 dst-ip 2004::/96 service "Any" exit rule id 3 action permit src-ip 2005::/96

Hillstone防火墙技术

Hi https://www.360docs.net/doc/0b18680425.html, 山石网科通信技术(北京)有限公司 防火墙技术 StoneOS 安全模式

Hillstone防火墙技术 StoneOS安全模式 1. 介绍 传统防火墙通常可以在两种模式下进行操作：NAT/路由模式和透明模式。NAT/路由模式部署灵活，并且支持防火墙和路由器两种设备的功能。尽管如此，许多希望通过最少的网络中断而实现安全保护的客户却会选择透明模式。随着二层与三层转换的扩展，安全集成到网络中变成一个更加困难的选择。那么，在哪里部署能够控制所有二层和三层的所有类型流量的安全功能呢？Hillstone的StoneOS提供了一个强大的安全平台，它为安全管理者提供了“集成安全控制和网络管理的底层网络结构”。 StoneOS通过将网络功能从安全功能中分离出来，扩展了NAT/路由模式。这样，用户就可以在一个完全灵活的环境下使用NAT功能。 StoneOS通过引入专有的Virtual Switch（虚拟交换机）的概念极大地扩展了透明模式。在二层，用户可以定义VLAN域，并且可以将不同的安全策略应用到每一个VLAN。StoneOS还拥有重新标记VLAN tag功能，这种功能只有高端的交换机才能实现。 StoneOS混合模式将NAT/路由模式与透明模式结合到同一个设备上。根据配置的安全策略，部分数据在二层进行处理，而其它数据进行三层处理。这个强大的功能将路由器和交换机的功能进行完美结合，并且能够降低网络部署的复杂性。 2. NAT/路由模式路由 在NAT/路由模式下，设备被划分为多个三层域。流量会在三层域之间进行转发，并且被转发的流量会被进行安全检查。对于路由模式，IP地址不会被转换。对于NAT模式，IP数据包在不同域间转发的过程中，其IP地址和端口号可以被转换。 Hillstone设备将安全管理从网络管理中分离出来。Hillstone NAT策略是网络管理的一部分，用户可以基于特定接口或者五元组（IP地址、端口号和服务）进行灵活配置，或者将两者相结合。Hillstone设备可以同时工作在路由模式和NAT模式下，即对一些数据做三层转发的同时，为另外一些数据做NAT转换。

Hillstone虚拟防火墙技术解决方案白皮书

图1 使用虚拟防火墙进行业务灵活扩展 在传统数据中心方案中，业务服务器与防火墙基本上是一对一配比。因此，当业务增加时，用户需要购置新的防火墙；而当业务减少时，对应的防火墙就闲置下来，导致投资浪费。虚拟防火墙技术以其灵活可扩展的特性帮助用户保护投资，用户可以随时根据业务增减相应的虚拟防火墙。同时，通过使用虚拟防火墙的CPU 资源虚拟化技术，数据中心还可以为客户定量出租虚拟防火墙，例如，可以向某些客户出租10M 吞吐量的虚拟防火墙，而向另一些客户出租100M 吞吐量的虚拟防火墙。

Hillstone 虚拟防火墙功能简介 Hillstone 的虚拟防火墙功能简称为VSYS ，能够将一台物理防火墙在逻辑上划分成多个虚拟防火墙，每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备，拥有独立的系统资源，且能够实现防火墙的大部分功能。每个虚拟防火墙系统之间相互独立，不可直接相互通信。不同型号的Hillstone 物理防火墙设备支持的最大VSYS 个数不同，支持License 控制的VSYS 个数的扩展。 数据中心业务类型多种多样，需要使用的防火墙策略也不同。例如，DNS 服务器需要进行DNS Query Flood 攻击防护，而HTTP 服务器则需要进行HTTP Get Flood 攻击防护。虚拟防火墙的划分能够实现不同业务的专属防护策略配置。同时，CPU 资源虚拟化可隔离虚拟防火墙之间的故障，当单个虚拟防火墙受到攻击或资源耗尽时，其它虚拟防火墙不会受到影响，这样就大大提升了各业务的综合可用性。 图2 使用虚拟防火墙进行业务隔离 Hillstone 虚拟防火墙功能包含以下特性： ■ 每个VSYS 拥有独立的管理员 ■ 每个VSYS 拥有独立的安全域、地址簿、服务簿等■ 每个VSYS 可以拥有独立的物理接口或者逻辑接口■ 每个VSYS 拥有独立的安全策略■ 每个VSYS 拥有独立的日志 1.2 业务隔离，互不影响

Hillstone山石网科防火墙日常运维操作手册

目录 一、设备基础管理 (1) 1.1设备登录 (1) 1.1.1 通过CLI管理设备 (1) 1.1.2 通过WebUI管理设备 (2) 1.2管理员帐号及权限设置 (4) 1.2.1 新增管理员 (4) 1.2.1 修改管理员密码 (5) 1.3 License安装 (6) 1.4设备软件升级 (7) 1.5设备配置备份与恢复 (9) 1.5.1 备份设备配置 (9) 1.5.2 恢复设备配置 (12) 1.6系统诊断工具的使用 (14) 二、对象配置 (16) 2.1 配置地址薄 (16) 2.2 配置服务簿 (17) 三、网络配置 (21) 3.1 配置安全域 (21) 3.2 配置接口 (22) 3.3 配置路由 (23) 3.4 配置DNS (24) 四、防火墙配置 (26) 4.1 配置防火墙策略 (26) 4.1.1 新增防火墙安全策略 (26) 4.1.2 编辑防火墙安全策略 (27) 4.2 配置NAT (28) 4.2.1 配置源NAT (28) 4.2.2 配置目的NAT (31) 4.3 防火墙配置举例 (35) 五、QOS配置 (44) 5.1 配置IP QOS (45) 5.2 配置应用QOS (46) 六、常用日志配置 (48)

一、设备基础管理 1.1设备登录 安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。 1.1.1 通过CLI管理设备 通过Console 口配置安全网关时需要在计算机上运行终端仿真程序（系统的超级终端、SecureCRT等）建立与安全网关的连接，并按如下表所示设置参数（与连接Cisco设备的参数一致）： 通过telnet或者SSH管理设备时，需要在相应接口下启用telnet或SSH 管理服务，然后允许相应网段的IP管理设备（可信主机）。 对接口启用telnet或SSH管理服务的方法如下： 首先在网络—>网络连接模式下的页面下方勾选指定接口，点击图示为 的编辑按钮，

Hillstone防火墙维护手册

Hillstone防火墙维护手册 2010/10/17

1.概述 防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。 Hillstone防火墙提供了丰富的冗余保护机制和故障诊断、排查方法，通过日常管理维护可以使防火墙运行在可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对Hillstone防火墙日常维护进行较系统的总结，为防火墙维护人员提供设备运维指导。

2.Hillstone防火墙日常维护 围绕防火墙可靠运行和出现故障时能够快速恢复为目标，Hillstone防火墙维护主要思路为：通过积极主动的日常维护将故障隐患消除在萌芽状态；故障发生时，使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行；故障处理后及时进行总结与改进避免故障再次发生。 2.1.防火墙硬件部分日常维护 2.1.1.防火墙机房要求 机房的卫生状况，要求清洁，防火墙上没有灰尘。 温度（摄氏℃） 工作环境温度0 ℃－40℃ 工作环境湿度（%）10% －95% 2.1.2.防火墙电源检查 检查防火墙电源插头有无松动。 检查防火墙LED电源指示灯颜色： 电源指示灯颜色:

2.1. 3.防火墙风扇 低端产品防火墙风扇固定在产品内； 高端产品风扇为模块化设计，可热插拔； 检测防火墙风扇风扇指示灯有否告警； 检测风扇风力是否适中 风扇指示灯颜色: 根据防火墙指示灯状况，可迅速查看防火墙某部分出现故障，以 及防火墙运行情况。

山石网科防火墙接入方式之透明模式

山石网科防火墙在接入方面为我们提供了四个方面的选择 1. 透明模式 2. 路由模式 3. 混合模式 4. 旁路模式 今天我们简单的看下透明模式的接入，首先我们来看下拓扑图。 通过这样的一个拓扑图我们发现，在防火墙的左边和右边都是连接的同一个网络，但是我们并没有给防火墙分配地址，而是让防火墙透明的存在这个网络中，这种接入方式就是我们的接入方式的透明模式。既然是透明的，并且没有IP地址，那么我们让他们正常的进行通信就需要通过二层来实现。山石网科的设备在设备内部默认存在一个虚拟交换机，通过这个交换机来实现二层的互联。

下面我们有两种方式来为配置我们的透明模式，一种是命令行方式，还有一种是网页方式。 一：命令行模式 先要把对应的接口划入到对应的zone，如我们的拓扑图所示。 QYTANG(config)# int e0/1 QYTANG(config-if-eth0/1)# zone l2-trust QYTANG(config-if-eth0/1)# no shutdown QYTANG(config-if-eth0/1)# exit QYTANG(config)# int e0/2 QYTANG(config-if-eth0/2)# zone l2-untrust QYTANG(config-if-eth0/2)# no shutdown 现在我们需要在两边的路由器上配置相应的ip地址。 R1(config)#int e0/0 R1(config-if)#ip address 10.1.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit

HillStone最新配置手册

HillStone SA-2001配置手册 1 网络端口配置 (2) 2 防火墙设置 (12) 3 VPN配置 (14) 4 流量控制的配置 (25) 4.1P2P限流 (25) 4.2禁止P2P流量 (26) 4.3IP流量控制 (29) 4.4时间的设置 (30) 4.5统计功能 (33) 5 基础配置 (36)

本文是基于安全网关操作系统为Version 3.5进行编写，如版本不同，配置过程有可能不一样。 1 网络端口配置 SA-2001安全网关前面板有5个千兆电口、1个配置口、1个CLR按键、1个USB接口以及状态指示灯。下图为SA-2001的前面板示意图： 将网线接入到E0/0。防火墙的ethernet0/0接口配有默认IP地址192.168.1.1/24，但该端口没有设置为DHCP服务器为客户端提供IP地址，因此需要将PC机的IP地址设置为同一网段，例如192.168.1.2/24才能连上防火墙。

通过IE打开192.168.1.1，然后输入默认的用户名和密码（均为hillstone） 登录后的首页面。可以看到CPU、内存、会话等使用情况。

很多品牌的防火墙或者路由器等，在默认情况下内网端口都是划分好并且形成一个小型交换机的，但是hillstone的产品却需要自己手工设置。在本文档中，我们准备将E0/0划分为UNTRUST口连接互联网，E0/1～E0/4总共4个端口我们则划到一个交换机中并作为TRUST口连接内网。

在网络－接口界面中，新建一个bgroup端口，该端口是一个虚拟的端口。 因为bgroup1接口需要提供路由功能，因此需要划入到三层安全域（trust）中。输入由集团信息中心提供的IP地址。在管理设置中，尽量将各个管理功能的协议打开，尤其是HTTP 功能。

Hillstone 安全网关 Web 界面配置指导

Web界面配置指导 Version 4.0 Hillstone山石网科

目录 一、设备的登录 (2) 二、基本上网配置 (3) 三、端口映射 (8) 四、IPSECVPN两种模式的配置 (14) 五、SCVPN配置 (19) 六、WEB认证上网功能配置 (23) 七、URL日志记录 (26) 八、IP-MAC绑定实现IP或MAC变更不能上网 (28) 九、设备恢复出厂操作 (30) 十、AAA服务器使用AD域类型的配置 (31) 十一、SCVPN调用两个AAA服务器中的用户认证登录 (34) 十二、HA配置注意事项 (35)

一、设备的登录 设备默认的管理接口为ethernet0/0，登录的ip为192.168.1.1,，默认的管理账号为hillstone，密码为hillstone。 把本地电脑网卡填写IP为192.168.1.2，使用web、telnet、ssh均可登录，，在浏览器中输入192.168.1.1 就可以通过WEBui的方式登录管理设备。 注意：如果是SG6000-NAV 系列的http的服务端口统一为9090，https的服务端口统一为8443。所以默认登录该设备的WEBui的方式为http://192.168.1.1:9090,或 h ttps://192.168.1.1:8443登录的账号密码都为hillstone

二、基本上网配置 1.设置接口信息 购买的宽带地址是静态IP，一般会营业厅会告知IP地址、子网掩码、网关、DNS。 例如IP地址200.0.0.188 子网掩码255.255.255.0 或24，网关200.0.0.1 DNS 202.106.0.20 配置外网接口，ethernet0/1 为连接外网的接口 【网络】>>【接口】，在接口列表中选择ethernet0/1，点击该接口后面的“编辑”按钮 显示接口配置界面如下：配置完基本信息，点击“确认” 上面是静态IP的使用，如果是ADSL拨号， 【网络】>>【PPPoE客户端】新建填写使用的用户名和密码

山石网科 防火墙 SG-6000-M2105-M3100-M3108选型说明手册

新一代多核安全网关SG-6000-M2105/M3100/M3108 SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。 SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。 产品亮点 安全可视化 ●网络可视化 通过StoneOS?内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。 ●接入可视化 StoneOS?基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。 ●应用可视化 StoneOS?内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。StoneOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。 全面的VPN解决方案 SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSecVPN。SG-6000系列产品对VPN(包括SSLVPN)都提供硬件加速，结合

hillstone防火墙配置实例介绍

目录 一．基本情况介绍 (2) 1.车管所机房情况： (2) 2.通璟检测站： (2) 3.风顺、安运检测站： (2) 4.关于防火墙的配置方式： (3) 5.关于配置文件： (3) 6.关于授权证书： (4) 二．车管所防火墙配置说明 (5) 1.第12行： (5) 2.第90行，地址薄的设置： (5) 3.第316行，接口的设置： (7) 4.第371行，虚拟路由的配置： (9) 5.第381行，策略的配置： (11) 三．通璟检测站防火墙的配置： (13) 1.第83行，地址薄的设置： (13) 2.第290行，接口的配置： (14) 3.第312行，虚拟路由的设置： (15) 4.第317行，策略的配置： (16) 四．风顺检测站防火墙的配置： (17) 1.第86行，地址薄的配置： (17) 2.第305行，接口的配置： (18) 3.第328行，虚拟路由的配置： (19) 4.第335行，策略的设置： (21) 五．总结 (22)

一．基本情况介绍 本文档适用于HillStone SG-6000 M2105(车管所)和HillStone SG-6000 NA V20（检测站），网络连接方式为车管所与检测站防火墙用网线直连、车管所与检测站防火墙在同一公安网IP段内两种。具体配置如下： 1．车管所机房情况： 数据服务器、应用/通讯服务器、hillstone防火墙、审核电脑1/2的IP分别10.137.186.78/62/68/36/37，系统管理员给的IP地址格式为： ； 防火墙配置完毕后，车管所服务器设置的IP格式为： webserviceIP:10.136.46.23。 2.通璟检测站： 局域网IP地址为192.168.11.*段，网关192.168.11.1。因为距离短，有一条一百多米网线直接通到车管所机房。站点服务器、签证申请岗、查验岗、无线路由、PDA、检测线主控、登录机等都接在交换机上，然后交换机接网线到hillstone防火墙的0/1口，到车管所机房的网线接防火墙0/0口。 3.风顺、安运检测站： IP段分别是192.168.12.*和192.168.13.*，网关分别是192.168.12.1和192.168.13.1。两个站都是依靠着当地的交警大队，直接把大队公安网接网线到检测站防火墙的0/0口。因为交警大队和交警支队车管所的IP都是一个网段（10.137.186.*），所以两个站防火墙的0/0口IP 分别是10.137.186.97和67。

Hillstone 防火墙技术——StoneOS

Hillstone 防火墙技术——StoneOS 安全架构 1介绍 传统防火墙通常可以在两种模式下进行操作：路由/NAT 模式和透明模式。路由/NAT 模式部署灵活，并且支持防火墙和路由器两种设备的功能。尽管如此，许多希望通过最少的网络中断来实现安全保护的客户却会选择透明模式。随着二层与三层转换的扩展，安全集成到网络中变成一个更加困难的选择。那么，在哪里部署能够控制所有二层和三层的所有类型流量的安全功能呢？Hillstone 的StoneOS 提供了一个强大的安全平台，它为安全管理者提供了“集成安全控制和网络管理的底层网络结构”。 StoneOS 通过将网络功能从安全功能中分离出来，扩展了NAT/ 路由模式。这样，用户就可以在一个完全灵活的环境下使用NAT 功能。 StoneOS 通过引入专有的Virtual Switch（虚拟交换机）的概念极大地扩展了透明模式。在二层，用户可以定义VLAN 域，并且可以将不同的安全策略应用到每一个VLAN 。StoneOS 还拥有重新标记VLAN tag 功能，这种功能只有高端的交换机才能实现。 StoneOS 混合模式将NAT/ 路由模式与透明模式结合到同一个设备上。根据配置的安全策略，部分数据在二层进行处理，而其它数据进行三层处理。这个强大的功能将路由器和交换机的功能进行完美结合，并且能够降低网络部署的复杂性。 2路由/NAT 模式路由 在路由/NAT 模式下，设备被划分为多个三层域。流量会在三层域之间进行转发，并且被转发的流量会被进行安全检查。对于路由模式，IP 地址不会被转换。对于NAT 模式，IP 数据包在不同域间转发的过程中，其IP 地址和端口号可以被转换。 Hillstone 设备将安全管理从网络管理中分离出来。Hillstone NAT 策略是网络管理的一部分，用户可以基于特定接口或者五元组（源和目的IP 地址、端口号和服务）进行灵活配置，或者将两者相结合。Hillstone 设备可以同时工作在路由模式和NAT 模式下，即对一些数据做三层转发的同时，为另外一些数据做NAT 转换。

Hillstone安全网关高级功能配置手册v5.0(初版)

服务热线：400 828 6655 Hillstone山石网科 多核安全网关 高级功能配置手册 V 5.0版本

一．链路负载均衡 (3) 1.1基于目的路由的流量负载 (4) 1.2基于源路由的流量负载 (6) 1.3基于策略路由的流量负载 (7) 1.4智能链路负载均衡 (9) 二．流量控制QOS配置 (10) 2.1配置IP Q O S (10) 2.2配置应用Q O S (14) 2.3配置混合Q O S (16) 2.4配置Q O S白名单 (18) 三．NBC网络行为控制配置 (19) 3.1URL过滤(有URL许可证) (20) 3.2URL过滤（无URL库许可证） (25) 3.3网页关键字过滤 (28) 3.4网络聊天控制 (33) 四．VPN高级配置 (35) 4.1基于USB-KEY的SCVPN配置 (35) 4.2P N P-VPN (48) 五．高可靠性HA配置 (60)

一．链路负载均衡 当防火墙有多条链路接入，同时需要对内网的流量根据源地址，目的地址或者服务进行流量的负载分摊时，需要进行负载均衡的配置，以便保证流量的负载分担；在配置源地址，目的地址的负载均衡时，可以实现冗余，当某一条路由失效时，可以保证正常的流量转发。 配置多链路负载均衡前，先保证接口，snat和策略都配置正确。 1.确认接口的地址和掩码都配置正确，其中掩码的位数一定和运行商确认： 2.两条源地址转换，使内网的流量可以分别nat成对应公网出口地址池的地址，去访问互联网：

3.确认流量穿越防火墙时，防火墙策略允许（源和目的地址以及服务可以根据具体情况作相应修改）： 1.1基于目的路由的流量负载 例：e0/1口接入10M电信，e0/2接入20M网通；实现所有访问公网的流量按1：2的比例分别从e0/1口和e0/2口转发出去。即当设备总共转发3数值的流量时，e0/1转发1数值；e0/2口转发2数值。 Web页面配置如下： 1．网络-〉路由-〉新建 :