山石网科防火墙检查命令

Hillstone防火墙维护手册Hillstone 山石网科20XX年X月目录1概述 (3)2Hillstone防火墙日常维护 (4)** 防火墙硬件部分日常维护 (5)** 防火墙机房要求 (5)** 防火墙电源检查 (5)** 防火墙风扇 (5)** 防火墙前面板指示灯检查 (6)** 防火墙模块及数据接口检查 (7)** 防火墙系统部分日常维护 (7)** 防火墙OS版本检查 (7)** 防火墙温度和风扇检查 (8)** 防火墙session利用率检查 (8)** 防火墙CPU利用率检查 (8)** 防火墙内存利用率检查 (9)** 防火墙接口状态检查 (9)** 防火墙路由检查 (11)** 防火墙fib状态检查 (11)** 防火墙日志检查 (12)** 常见故障排查指南 (13)** 防火墙CPU过高的处理 (13)** 设备session数过多的处理 (14)** HA异常的处理 (14)** 内网用户丢包的处理 (15)** 目的NA T不生效的处理 (16)** 设备无法管理的处理 (16)** 策略配置与优化(policy) (16)** 故障处理工具 (17)** 系统诊断工具 (17)** debug诊断与排错 (18)** 防火墙备份和恢复 (22)** 防火墙配置备份 (22)** 防火墙配置恢复 (23)** 防火墙出厂配置 (24)** 防火墙软件升级 (24)** 防火墙常用命令 (28)** 查看设备序列号 (28)** 重启防火墙 (29)** 查看防火墙接口状态 (30)** 查看防火墙安全区域 (30)** 查看防火墙路由表 (31)** 查看防火墙安全策略311概述防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。

Hillstone山石网科下一代防火墙基础配置手册V5.5版本Hillstone Networks Inc.服务热线：400 828 6655内容提交人审核人更新内容日期陈天骄陈天骄初次编写2016/1/14目录1 设备管理 (3)1.1 终端console登录 (3)1.2 网页WebUI登录 (3)1.3 恢复出厂设置 (5)1.3.1 CLI命令行操作 (5)1.3.2 WebUI图形化界面操作 (5)1.3.3 硬件CLR操作 (6)1.4 设备系统（StoneOS）升级 (6)1.4.1 通过sysloader升级 (6)1.4.2 通过CLI升级 (9)1.4.3 通过WebUI升级 (9)1.5 许可证安装 (10)1.5.1 CLI命令行安装 (10)1.5.2 WebUI安装 (11)2 基础上网配置 (11)2.1 接口配置 (11)2.2 路由配置 (13)2.3 策略配置 (14)2.4 源地址转换配置（SNAT） (15)3 常用功能配置 (16)3.1 PPPoE拨号配置 (16)3.2 动态地址分配（DHCP）配置 (17)3.3 IP-MAC地址绑定配置 (20)3.4 端到端IPSec VPN配置 (21)3.4.1 配置第一阶段P1提议 (22)3.4.2 配置ISAKMP网关 (23)3.4.3 配置第二阶段P2提议 (24)3.4.4 配置隧道 (25)3.4.5 配置隧道接口 (26)3.4.6 配置隧道路由和策略 (28)3.4.7 查看VPN状态 (29)3.5 远程接入SCVPN配置 (30)3.6 目的地址转换DNAT配置 (38)3.6.1 IP映射 (39)3.6.2 端口映射 (41)1设备管理安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、Telnet、SSH等主流通信管理协议。

Version5.5R8Copyright2020Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is furnished under a license agreement or nondisclosure agreement.The software may be used or copied only in accordance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hill-stone Networks.Hillstone Networks本文档禁止用于任何商业用途。

联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州高新区科技城景润路181号邮编：100192邮编：215000联系我们：/about/contact_Hillstone.html关于本手册本手册介绍山石网科的产品系统的使用方法。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：*************************山石网科https://TWNO:TW-CUG-UNI-VSY-5.5R8-CN-V1.0-11/11/2020目录目录1关于本手册1手册约定1内容约定1CLI约定1命令行接口（CLI）2CLI介绍2命令模式和提示符2执行模式2全局配置模式2子模块配置模式3CLI命令模式切换3命令行错误信息提示3命令行的输入4命令行的缩写形式4自动列出命令关键字4自动补齐命令关键字4命令行的编辑4查看历史命令4快捷键5过滤CLI输出信息5分页显示CLI输出信息6设置终端属性7设置连接超时时间7重定向输出7诊断命令8虚拟系统9 VSYS对象9根VSYS和非根VSYS9管理员10 VRouter、VSwitch、安全域和接口12共享VRouter12共享VSwitch13共享域13共享接口13创建接口13配置VSYS13创建非根VSYS14配置非根VSYS的描述信息14创建VSYS Profile14设置资源配额15设置日志的缓存配额17配置URL过滤18配置入侵防御19配置病毒过滤19配置边界流量过滤20配置QoS20启用/禁用CPU资源配额21绑定Profile到VSYS21进入非根VSYS22配置共享属性22导入/导出物理接口23分配逻辑接口23绑定监测对象23监测指定VSYS状态24回退配置信息（非根VSYS）24退出配置回滚模式25配置退出配置回滚模式的动作26配置VSYS日志功能26配置跨VSYS转发功能27开启跨VSYS转发功能27配置Simple-Switch27创建Simple-Switch27绑定二层安全域到Simple-Switch28创建VWANIF接口28创建VPort接口29配置VWANIF接口29分配VWANIF接口29显示跨VSYS转发功能信息29显示VWANIF接口配置信息30显示VWANIF接口IPv6配置信息30显示VSYS信息30显示VSYS Profile信息30 VSYS配置举例30例1：VSYS在三层流量转发中的应用（通过单一VSYS）31组网需求31配置步骤31例2：VSYS在三层流量转发中的应用（通过共享VRouter）33组网需求33配置步骤34例3：VSYS在二层流量转发中的应用（通过共享VSwitch）37组网需求37配置步骤38例4：跨VSYS的流量转发（通过Simple-Switch）42组网需求42配置步骤43关于本手册手册约定为方便用户阅读与理解，本手册遵循以下约定：内容约定本手册内容约定如下：l提示：为用户提供相关参考信息。

Version v3.6目录目录1介绍1文档内容1目标读者1产品信息1虚拟许可证管理系统的功能1许可证3平台许可证3平台类许可证3导入许可证3在KVM上部署vLMS5系统要求5虚拟防火墙的工作原理5准备工作5安装步骤6步骤一：获取防火墙软件包6步骤二：导入脚本和系统文件6步骤三：首次登录防火墙8将vFW联网9步骤一：查看接口的信息。

10步骤二：连接接口10其他操作11查看虚拟防火墙11启动虚拟防火墙12关闭虚拟防火墙12升级虚拟防火墙12重启虚拟防火墙12卸载虚拟防火墙12访问虚拟防火墙的WebUI界面13在OpenStack上部署vLMS14系统要求14安装步骤14步骤一：导入镜像文件14步骤二：创建实例类型16步骤三：创建网络16步骤四：启动实例17步骤五：登录vLMS19在阿里云AliCloud上部署vLMS20准备工作20部署虚拟许可证管理系统20步骤一：创建对象存储21步骤二：导入镜像22步骤三：创建ECS实例23步骤四：访问vLMS26使用SSH2远程登录vLMS：26使用HTTPS远程登录vLMS：28在华为云上部署vLMS29系统要求29安装步骤29步骤一：创建虚拟私有云29步骤二：创建对象存储服务32步骤三：创建私有镜像34步骤四：创建云服务器/部署vLMS36步骤五：访问vLMS39通过外网访问vLMS40使用SSH2远程登录40使用HTTPS远程登录41在VMware ESXi上部署vLMS42系统要求和限制42安装vLMS42通过OVA模板安装vLMS42通过VMDK文件安装vLMS43第一步：导入VMDK文件44第二步：创建虚拟机44启动和访问vLMS45介绍山石网科的虚拟许可证管理系统，简称为vLMS，是一个软件形态的产品，是运行在虚拟机上的LMS系统。

文档内容本手册介绍如何将vLMS虚拟许可证管理系统部署到不同的环境中，包括Openstack、华为云和阿里云中。

本文仅讲述虚拟许可证系统的部署步骤，LMS系统本身的功能将不做讲解。

Version1.0Copyright 2022Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is fur-nished under a license agreement or nondisclosure agreement.The software may be used or copied only in accord-ance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrievalsystem,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks.Hillstone Networks本文档仅面向山石网科内部读者，禁止外传及用于任何商业用途。

联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州高新区科技城景润路181号邮编：100192邮编：215000联系我们：/about/contact_Hillstone.html关于本手册本手册为山石网科防火墙设备使用过程中的常见问题及解答。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：*************************山石网科https://TWNO:TW-FAQ-AKXE-CN-V1.0-6/27/2022用内部使用内部使用内部使用内部使用内部使用内部使用内部使用内部使用目录目录常见问题及解答介绍目标读者10更多资源10产品优势及定位A系列防火墙优势及定位问答121.A系列防火墙产品定位是什么？122.A系列防火墙有哪些主要特点，这些特点有哪些优势？123.A系列智能下一代防火墙有哪些应用场景？13K系列防火墙优势及定位问答144.K系列防火墙产品定位是什么？145.K系列防火墙有哪些主要功能亮点？14X系列防火墙优势及定位问答156.X系列数据中心防火墙产品定位是什么？157.X系列数据中心防火墙有哪些主要特点，这些特点有哪些优势？158.X系列数据中心防火墙在软件上有哪些优势功能？159.X系列数据中心防火墙有哪些应用场景？1610.X系列防火墙在选型时，参照客户现网业务流量该如何选择配置模型？16功能类问答硬件平台18TOC -1用内部使用内部使用内部使用内部使用内部使用内部使用内部使用内部使用1.A系列产品的型号及支持的扩展模块有哪些？182.A系列设备可以安装哪些硬盘？183.A系列设备支持的电源情况？184.K系列产品的型号及支持的扩展模块有哪些？195.K系列设备可以安装哪些硬盘？196.K系列设备支持的电源情况？197.X系列防火墙的CPU是什么架构？208.X系列产品的型号及支持的扩展模块有哪些？209.X系列设备需要哪些扩展模块才能正常工作？2110.X系列设备的扩展模块是否支持热插拔？2111.X10800和X9180电源线是16A的还是10A的？2112.X系列QSM扩展模块与IOM/SIOM扩展模块在实现QoS功能上有什么区别？2113.E系列设备最多可以安装几块万兆接口扩展模块？2114.防火墙设备支持40G光模块型号TRAN-QSFP+BiDi吗？2215.防火墙哪些光接口支持拆分？2216.如何拆分100GE(QSFP28)光接口和40GE(QSFP+)光接口？2217.防火墙哪些光接口支持降速？2318.防火墙光接口如何进行降速？2419.防火墙哪些光接口支持光转电？2520.防火墙光接口如何进行光转电？2521.防火墙设备的硬盘可以保存多久的日志信息？2622.山石网科设备可以使用其他厂商的光模块吗？26TOC -2用内内部使用内部使用内部使用内部使用内部使用内部使用内部使用23.光纤连接器的接口有哪些类型？2624.B系列产品的型号及支持的扩展模块有哪些？2725.C系列产品的型号及支持的扩展模块有哪些？27规格参数/许可证/特征库2726.A系列设备的IPS特征库数量为多少个？2727.A系列防火墙能满足10万以上用户的添加和管理吗？2828.A系列的病毒库能支持到300W吗？2829.StoneOS支持的VSYS有无数量限制？2830.A5500支持的VSYS最大数量是多少？2831.防火墙的IPS、AV、僵尸网络防御（C2）特征库分别是和哪些厂商合作的？2832.如何查看垃圾邮件过滤功能的特征库？2933.如何查看特征库的历史升级情况?2934.部分功能测试许可到期后功能仍可以正常使用吗？2935.僵尸网络防御许可证过期后，还能使用该功能吗？2936.僵尸网络防御特征库数量是多少？2937.僵尸网络防御特征库会自动更新到最新版本吗？3038.防火墙许可证导入后是否需要重启设备？30版本升级3139.防火墙升级版本前要注意什么？3140.防火墙正式平台许可证过期，对版本升级有影响吗？3241.A系列防火墙能使用StoneOS 5.5R8软件版本吗？3242.A系列防火墙升级是否有限制？32TOC -3用内内部使用内部使用内部使用内部使用内部使用内部使用内部使用系统管理3343.A系列和X系列防火墙设备是否可以强制断电？3344.StoneOS支持其他语言吗？3345.系统的默认管理员可以编辑或删除吗？3346.防火墙支持哪些配置管理方式？3347.如何查看设备的推荐版本？3348.如何查询设备售后服务到期时间和硬件保修时间？3449.如何查看当前运行的版本和运行时间？3450.如何关闭系统调试功能？3451.如何查看设备的配置信息？3452.如何查看SNMP OID值？34零信任3553.零信任支持基于哪些维度进行权限控制？3554.零信任支持哪些双因子认证方式？3555.零信任使用什么客户端接入？3556.因为终端状态原因而无法访问特定资源的用户，可以通过调整终端设备的配置获取访问权限吗？35策略3557.防火墙安全域之间默认是允许信息传输的吗？3558.策略规则的匹配顺序是什么？3659.防火墙是否支持导入安全策略？3660.未匹配到任何防火墙安全策略的流量默认是允许通过还是拒绝通过？3661.防火墙是否支持策略的五元组快速查询以及针对策略未命中时间进行查询？36TOC -4用内内部使用内部使用内部使用内部使用内部使用内部使用内部使用62.什么是失效策略？3663.防火墙最大策略数量和策略中的源/目的IP或者端口数量有关联吗？3764.策略规则调用的源地址条目/目的地址条目数量有限制吗？3765.在两个内网区域间通过防火墙做内网隔离，如何配置防火墙策略？37VSYS3766.VSYS支持Netflow吗？3767.防火墙中存在多个VSYS时，可以实现单个VSYS重启吗？3868.VSYS的数量增加，是否会影响根VSYS的性能？38路由3869.路由的优先级顺序是什么？3870.哪些类型的路由支持IPv6？3871.哪些类型的路由支持BFD功能？38VPN3872.StoneOS支持哪些VPN？3873.SSL VPN支持对接手机身份验证器吗？如Google Authenticator。

山石防火墙常用命令一、查看防火墙状态在使用山石防火墙时，我们常常需要了解防火墙的状态，以便及时调整和优化配置。

通过以下命令可以查看防火墙的状态信息：1. show firewall status：显示防火墙的状态信息，包括是否启用、当前运行模式等。

二、配置防火墙规则配置防火墙规则是使用山石防火墙的重要任务之一，它决定了哪些网络流量可以通过防火墙，哪些需要被阻止。

以下是常用的配置防火墙规则的命令：1. firewall policy：进入防火墙规则配置模式。

2. show firewall policy：显示当前配置的防火墙规则。

3. add firewall policy：添加一条新的防火墙规则。

4. set firewall policy：修改已存在的防火墙规则。

三、网络地址转换(NAT)防火墙中的网络地址转换(NAT)功能可以将内部网络的私有IP地址转换为公网IP地址，实现内部网络与外部网络的通信。

以下是常用的NAT命令：1. nat enable：启用NAT功能。

2. nat inside：指定内部网络。

3. nat outside：指定外部网络。

4. nat pool：配置NAT地址池。

5. nat static：配置静态NAT。

四、配置端口映射端口映射是防火墙的重要功能之一，它允许外部网络通过特定的端口访问内部网络的特定服务。

以下是常用的端口映射命令：1. port-map enable：启用端口映射功能。

2. port-map inside：指定内部网络。

3. port-map outside：指定外部网络。

4. port-map static：配置静态端口映射。

五、配置访问控制列表(ACL)访问控制列表(ACL)用于控制网络流量的进出规则，可以实现对特定IP地址、端口或协议的访问控制。

以下是常用的ACL命令：1. access-list enable：启用ACL功能。

2. access-list inbound：配置流量进入规则。

山石网科申请功能（平台）QOS 流量分配AV 复合端口IPS 入侵NBC 网络行为管理支持SG型号URLDB 是NBC子键支持SG型号HSM 设备集4GE-B 当断电后仍然可以通讯SSH secure Shell 安全外壳协议是一种在不安全网络上提供安全登录和其他安全网络服务的协议。

NAT 步骤：①，接口IP②，配路由缺省路由：0.0.0.0 0.0.0.0 192.168.1.2回值路由：0.0.0.0 192.168.1.x 192.168.1.1策略路由：③，NATSNATDNATMAP ( IP PORT )④，policy(策略)检查配置环境show seccion generic 显示连接数show interface (name) 显示接口信息show zone(zone name) 显示安全域类型show admin user 显示系统管理员信息show admin user (name)显示系统管理员配置信息show version 显示版本号信息show arp 显示解析地址show fib 显示路由信息show snat 显示nat 配置no snatrule id 号删除NAT配置show ip route 显示路由信息save 保存配置unset all 清楚配置(恢复出厂设置。

配接口(config)# interface Ethernet0/2(config-if-0/2)# zone trust 或/untrust 建立区信任/不信任(config-if-0/2)# ip add 192.168.1.1/24(config-if-0/2)# manage ping 开通PING(config-if-0/3)# manage http 开通HTTP(config-if-0/3)# manage telnet 开通telnet配路由(config)# ip vrouter trust-vr 这个命令意思是可以配置多个路由(config-route)# ip route 0.0.0.0/0 192.168.1.1配NAT(config)# nat(config-nat)# snatrule id 1 from any to any trans-to eif-ip mode dynamicport(config)#policy# rule from any to any server any dynamicport系统管理web：系统--设备管理--基本信息CLI：(config)# hostname (name) 配置安全网关名(config)# no hostname 清楚安全网关名管理员密码策略配置模式hostname(config)# password policy 进入管理员策略配置式hostname(config-pwd-policy)# admin complexity 1 启用密码复杂度限制hostname(config=pwd-policy)# admin min-length (length value) 启用密码最少位限制配置系统管理员(config)# admin user (user-name) 配置管理员名称(config)# no admin user (user-name) 删除管理员名称(config-hostname)# privilege PX/RXW 管理员模式下：配置管理员特权 PX是读，执行 PXW 是读，执行，写。