山石防火墙命令
山石防火墙命令
表29-1:手动同步配置命令列表;HA同步信息show命令手动同步命令;配置信息showconfigurationexe;文件信息showfileexechasyncfi;ARP表项s howarpexechasyncrd;DNS配置信息showiphostsexecha;DHCP配置信息s howdhcpexechasy;MAC地址表showmacexecha表29-1:手动同步配置命令列表HA 同步信息show 命令手动同步命令配置信息show configuration exec ha sync configuration文件信息show file exec ha sync file file-nameARP 表项show arp exec ha sync rdo arpDNS 配置信息show ip hosts exec ha sync rdo dnsDHCP 配置信息show dhcp exec ha sync rdo dhcpMAC 地址表show mac exec ha sync rdo macshow pki keyPKI 配置信息show pki trust-domainexec ha sync rdo pki会话信息show session exec ha sync rdo session show ipsec saIPSec VPN 信息show isakmp saexec ha sync rdo vpnshow scvpn client testshow scvpnhost-check-profileshow scvpn poolshow scvpnuser-host-bindingshow scvpn sessionSCVPN 信息show auth-user scvpnexec ha sync rdo scvpnshow l2tp tunnelshow l2tp poolshow l2tp client{tunnel-name name [useruser-name]| tunnel-id ID}L2TP 信息show auth-user l2tp{interface interface-name| vrouter vrouter-name}exec ha sync rdo l2tpWeb 认证信息show auth-user webauth exec ha sync rdo webauth NTP 信息show ntp exec ha sync rdo ntpSCVPN 信息show scvpn exec ha sync rdo scvpn路由信息show ip route exec ha sync rdo route显示HA配置系统提供相应的show 命令,查看HA 配置信息。
山石网科 Hillstone山石网科 下一代防火墙 配置指南说明书
Hillstone山石网科下一代防火墙基础配置手册V5.5版本Hillstone Networks Inc.服务热线:400 828 6655内容提交人审核人更新内容日期陈天骄陈天骄初次编写2016/1/14目录1 设备管理 (3)1.1 终端console登录 (3)1.2 网页WebUI登录 (3)1.3 恢复出厂设置 (5)1.3.1 CLI命令行操作 (5)1.3.2 WebUI图形化界面操作 (5)1.3.3 硬件CLR操作 (6)1.4 设备系统(StoneOS)升级 (6)1.4.1 通过sysloader升级 (6)1.4.2 通过CLI升级 (9)1.4.3 通过WebUI升级 (9)1.5 许可证安装 (10)1.5.1 CLI命令行安装 (10)1.5.2 WebUI安装 (11)2 基础上网配置 (11)2.1 接口配置 (11)2.2 路由配置 (13)2.3 策略配置 (14)2.4 源地址转换配置(SNAT) (15)3 常用功能配置 (16)3.1 PPPoE拨号配置 (16)3.2 动态地址分配(DHCP)配置 (17)3.3 IP-MAC地址绑定配置 (20)3.4 端到端IPSec VPN配置 (21)3.4.1 配置第一阶段P1提议 (22)3.4.2 配置ISAKMP网关 (23)3.4.3 配置第二阶段P2提议 (24)3.4.4 配置隧道 (25)3.4.5 配置隧道接口 (26)3.4.6 配置隧道路由和策略 (28)3.4.7 查看VPN状态 (29)3.5 远程接入SCVPN配置 (30)3.6 目的地址转换DNAT配置 (38)3.6.1 IP映射 (39)3.6.2 端口映射 (41)1设备管理安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。
CLI同时支持Console、Telnet、SSH等主流通信管理协议。
Hillstone常用配置命令整理
preempt:只需要Master上设置争抢模式
monitor track 1:设置failover触发的监控条件
manage ip ip-address:配置备机的管理IP地址
track 1:配置监控条件
int eth0/0 weight xx:指定监控端口,并配置权重值。监控条件还可以配置arp/bandwidth/delay/dns/http/ip/tcp等
admin lockout-duration 5:密码试错后的锁定时间,5分钟
admin host:定义管理控制台IP地址,可设置网段、单机、IP范围,并在指定以上参数后,定义远程登录的方式。
password-policy:管理员密码策略,进入子命令配置项。注:仅可指定长度与复杂度,有效周期没有。
rule from any to any from-zone App to-zone App service any permit:同zone,不同子网下的互通策略。缺省是阻断的,没有screenos下的全通选项,只能通过策略来打通。
id 2:进入指定id号的策略子命令集
move 3 before 1:将id3策略移到id1前,即调整策略顺序
snmp-server engineID Hillstone-test:定义snmp v3的引擎ID
snmp-server user mgmtv3 group xxxxx v3 remote 192.168.0.223 auth sha xxxxxx(key)
snmp-server host 192.168.0.223 version 3:配置远程管理服务器的IP
山石防火墙HA双主Peer-mode模式配置教程
⼭⽯防⽕墙HA双主Peer-mode模式配置教程⼭⽯防⽕墙HA主备模式上⾏路由器VRRP模式协商失败都是Master状态,所以要将防⽕墙HA改为双主Peer-mode模式,⼩编和⼤家分享下HA双主配置的⽅法和注意事项,期望⼤家遇到少踩坑。
⼀、⽹络拓扑⼆、路由器双Master分析在防⽕墙上放⾏组播地址,源地址any,⽬的地址组播地址224.0.0.18,服务any。
因为HA是主备模式,备墙是不⾛流量的,相当于是断开状态,所以上⾏路由器VRRP会协商失败,都认为⾃⼰主Master。
ps:但若是双主模式,两个墙都⾛流量,上⾏路由器VRRP就能协商成功了,所以提前在防⽕墙中增加上⾯的策略放⾏组播策略。
三、双主Peer-mode模式配置1、配置管理⼝(1)中⼼思想:两台墙各配置管理⼝IP,取消HA同步,Local IP选项也不⽤勾选,这样按照上⾯的⽹络拓扑可以正常连接访问。
(2)配置管理⼝FW1:FW2:ps:1、管理⼝的逆向路由相关不⽤管。
2、管理⼝配置遇到了挺多的坑,实验坏境和⽣产环境上FW1配置100.251,创建管理⼝虚拟转发⼝0/1:1配置100.250,管理⼝HA同步开启,HA双主模式⽣效后,FW1和FW1上⾯都有251和250两个地址,但是FW1防⽕墙管理⼝192.168.100.251连接正常,FW2防⽕墙192.168.100.250只能在直连的交换机ping通,跨路由器就⽆法访问了,这个暂未解决,后⾯继续研究。
2、配置业务上下联接⼝这⾥只需要配置FW1的即可,FW2的等HA状态协商后会⾃动同步的,注意勾选HA同步和安全域配置即可。
FW1(这⾥是透明模式,不⽤配置接⼝IP):上⾏链路连接路由器:下⾏链路连接交换机FW2:不⽤配置,等HA状态协商成功,⾃动同步到FW2.3、配置HA包含:HA控制连接接⼝e0/2、HA数据连接接⼝e0/3,FW1的HA地址,FW2的HA地址,组0和组1。
备注:1、HA簇和节点先不启⽤,不然HA状态就开始协商了,等两台墙HA地址都配置好了再协商HA开启Peer-mode。
山石网科防火墙配置手册
山石网科防火墙配置手册
群山石网科防火墙配置手册群山石网科防火墙是一款专为企业网络安全而设计的防火墙产品,具有高性能、高安全性和可靠性等特点。
其采用七层防火墙、IPS、防拒绝服务攻击、
防恶意网络入侵、拦截病毒木马等多重安全技术,可以满足企业网络的安全需求。
群山石网科防火墙的配置主要包括以下几步:
1. 安装群山石网科防火墙:安装前需要确保防火墙与企业网络的网络拓扑架构完全一致,以保证防火墙的正常运行。
2. 配置网络访问控制规则:根据企业网络环境,定义不同类型的网络访问控制规则,以便根据不同的需求实施网络访问控制。
3. 配置安全服务:配置安全服务,如IPS、防拒绝服务攻击、防恶意网络入侵、拦截病毒木马等,以确保企业网络的安全性。
4. 设置安全日志:定期记录防火墙的运行状态,以便及时发现可能的安全漏洞,并及时采取有效的安全措施。
5. 配置安全策略:根据企业网络的实际情况,设置合理的安全策略,以便有效地防范网络安全攻击,保护企业网络安全。
通过以上步骤,可以完成群山石网科防火墙的配置,为企业网络提供安全的保障。
群山石网科防火墙的配置,不仅可以保护企业网络免受外部恶意攻击,而且可以让企业的网络运行更加安全可靠。
Hillstone山石网科防火墙日常运维操作手册
Hillstone⼭⽯⽹科防⽕墙⽇常运维操作⼿册⽬录⼀、设备基础管理 (1)1.1设备登录 (1)1.1.1 通过CLI管理设备 (1)1.1.2 通过WebUI管理设备 (2)1.2管理员帐号及权限设置 (4)1.2.1 新增管理员 (4)1.2.1 修改管理员密码 (5)1.3 License安装 (6)1.4设备软件升级 (7)1.5设备配置备份与恢复 (9)1.5.1 备份设备配置 (9)1.5.2 恢复设备配置 (12)1.6系统诊断⼯具的使⽤ (14)⼆、对象配置 (16)2.1 配置地址薄 (16)2.2 配置服务簿 (17)三、⽹络配置 (21)3.1 配置安全域 (21)3.2 配置接⼝ (22)3.3 配置路由 (23)3.4 配置DNS (24)四、防⽕墙配置 (26)4.1 配置防⽕墙策略 (26)4.1.1 新增防⽕墙安全策略 (26)4.1.2 编辑防⽕墙安全策略 (27)4.2 配置NAT (28)4.2.1 配置源NAT (28)4.2.2 配置⽬的NAT (31)4.3 防⽕墙配置举例 (35)五、QOS配置 (44)5.1 配置IP QOS (45)5.2 配置应⽤QOS (46)六、常⽤⽇志配置 (48)⼀、设备基础管理1.1设备登录安全⽹关⽀持本地与远程两种环境配置⽅法,可以通过CLI 和WebUI 两种⽅式进⾏配置。
CLI同时⽀持Console、telnet、SSH 等主流通信管理协议。
1.1.1 通过CLI管理设备通过Console ⼝配置安全⽹关时需要在计算机上运⾏终端仿真程序(系统的超级终端、SecureCRT等)建⽴与安全⽹关的连接,并按如下表所⽰设置参数(与连接Cisco设备的参数⼀致):通过telnet或者SSH管理设备时,需要在相应接⼝下启⽤telnet或SSH 管理服务,然后允许相应⽹段的IP管理设备(可信主机)。
对接⼝启⽤telnet或SSH管理服务的⽅法如下:⾸先在⽹络—>⽹络连接模式下的页⾯下⽅勾选指定接⼝,点击图⽰为的编辑按钮,然后在弹出的接⼝配置窗⼝中对接⼝启⽤相应的管理服务,最后确认即可:1.1.2 通过WebUI管理设备WebUI同时⽀持http和https两种访问⽅式,⾸次登录设备可通过默认接⼝ethernet0/0 (默认IP 地址192.168.1.1/24,该接⼝的所有管理服务默认均已被启⽤)来进⾏,登录⽅法为:1. 将管理PC 的IP 地址设置为与192.168.1.1/24 同⽹段的IP 地址,并且⽤⽹线将管理PC与安全⽹关的ethernet0/0 接⼝进⾏连接。
hillstone防火墙如何设置
hillstone防火墙如何设置hillstone防火墙如何设置hillstone防火墙设置怎么样设置才最好呢?能起到最大的作用!下面由店铺给你做出详细的hillstone防火墙设置方法介绍!希望对你有帮助!hillstone防火墙设置方法一:Hillstone路由器自带了邮件相关的端口协议服务组,可以登录路由器找到,对象-- 服务里面点击自定义,添加设置。
把需要映射的端口,SMTP POP IMAP 等端口加到协议组里面设置端口映射选择需要映射的公网接口设置好需要映射的协议组,然后选择启用。
即可hillstone防火墙设置方法二:口令丢失情况下的处理如果口令丢失,用户无法登录安全路由器进行配置,请在安全路由器刚启动时按住 CLR 按键大约 5 秒,使设备恢复到出厂配置。
此时用户可以使用默认管理员“hillstone”登录重新配置。
操作步骤如下:1.关闭安全路由器电源。
2.用针状物按住 CLR 按键的同时打开安全路由器电源。
3.保持按住状态直到指示灯 STA 和 ALM 均变为红色常亮,释放 CLR 按键。
此时系统开始恢复出厂配置。
4.出厂配置恢复完毕,系统将会自动重新启动。
默认IP : 192.168.1.1默认用户名: hillstone默认密码:hillstone请注意把PC的IP改为和路由器同一网段(比如:192.168.1.2)后访问hillstone防火墙设置方法三:CMD,端口需开启telent,命令行模式配置。
以下是命令:confhost-blacklist mac *.*.*(*.*.*=需要禁止的MAC地址)save。
hillstone防火墙配置实例介绍
目录一.基本情况介绍 (2)1.车管所机房情况: (2)2.通璟检测站: (2)3.风顺、安运检测站: (2)4.关于防火墙的配置方式: (3)5.关于配置文件: (3)6.关于授权证书: (4)二.车管所防火墙配置说明 (5)1.第12行: (5)2.第90行,地址薄的设置: (5)3.第316行,接口的设置: (7)4.第371行,虚拟路由的配置: (9)5.第381行,策略的配置: (11)三.通璟检测站防火墙的配置: (13)1.第83行,地址薄的设置: (13)2.第290行,接口的配置: (14)3.第312行,虚拟路由的设置: (15)4.第317行,策略的配置: (16)四.风顺检测站防火墙的配置: (17)1.第86行,地址薄的配置: (17)2.第305行,接口的配置: (18)3.第328行,虚拟路由的配置: (19)4.第335行,策略的设置: (21)五.总结 (22)一.基本情况介绍本文档适用于HillStone SG-6000 M2105(车管所)和HillStone SG-6000 NA V20(检测站),网络连接方式为车管所与检测站防火墙用网线直连、车管所与检测站防火墙在同一公安网IP段内两种。
具体配置如下:1.车管所机房情况:数据服务器、应用/通讯服务器、hillstone防火墙、审核电脑1/2的IP分别10.137.186.78/62/68/36/37,系统管理员给的IP地址格式为:;防火墙配置完毕后,车管所服务器设置的IP格式为:webserviceIP:10.136.46.23。
2.通璟检测站:局域网IP地址为192.168.11.*段,网关192.168.11.1。
因为距离短,有一条一百多米网线直接通到车管所机房。
站点服务器、签证申请岗、查验岗、无线路由、PDA、检测线主控、登录机等都接在交换机上,然后交换机接网线到hillstone防火墙的0/1口,到车管所机房的网线接防火墙0/0口。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
表29-1:手动同步配置命令列表;HA同步信息show命令手动同步命令;配置信息showconfigurationexe;文件信息showfileexechasyncfi;ARP表项sh owarpexechasyncrd;DNS配置信息showiphostsexecha;DHCP配置信息showdh cpexechasy;MAC地址表showmacexecha表 29-1:手动同步配置命令列表HA 同步信息 show 命令手动同步命令配置信息show configuration exec ha sync configuration文件信息 show file exec ha sync file file-nameARP 表项show arp exec ha sync rdoarpDNS 配置信息show ip hosts exec ha sync rdodnsDHCP 配置信息show dhcp exec ha sync rdodhcpMAC 地址表show mac exec ha sync rdo macshowpki keyPKI 配置信息showpki trust-domainexec ha sync rdopki会话信息 show session exec ha sync rdo sessionshowipsecsaIPSec VPN 信息showisakmpsaexec ha sync rdovpn showscvpn client test showscvpnhost-check-profile showscvpn pool showscvpnuser-host-binding showscvpn session SCVPN 信息showauth-user scvpn exec ha sync rdoscvpn show l2tp tunnel show l2tp poolshow l2tp client{tunnel-name name [useruser-name]| tunnel-id ID}L2TP 信息showauth-user l2tp{interface interface-name| vroutervrouter-name}exec ha sync rdo l2tpWeb 认证信息show auth-user webauth exec ha sync rdowebauth NTP 信息show ntp exec ha sync rdontpSCVPN 信息show scvpn exec ha sync rdoscvpn路由信息show ip route exec ha sync rdo route显示HA配置系统提供相应的 show 命令,查看HA 配置信息。
? 查看 HA 簇配置信息:show ha cluster? 查看 HA 组配置信息:show ha group {config | group-id}? 查看 HA 连接配置状态:show ha link statusHillstone山石网科多核安全网关使用手册519? 查看 HA 同步状态:show ha sync state {pki | dns | dhcp | vpn | ntp | config| flow | scvpn | l2tp | route}? 查看 HA 同步统计信息:show ha sync statistic {pki | dns | dhcp | vpn |ntp | config | scvpn | route}? 显示接收和发送的 HA 协议统计信息:show ha protocol statiscitc? 显示已同步或未同步的 HA 会话信息:show session {sync | unsync} ? 显示 HA 统计信息:show ha flow statisticsHillstone 防火墙系统管理配置:1、语言配置:language zh_CN 设置为中文2、管理员用户访问权限:在管理员配置模式下,输入以下命令配置管理员的访问方式:access {console | http | https | ssh | telnet | any}3、限制IP地址对防火墙管理配置系统的可信主机,在全局配置模式下,使用以下命令:admin host {A.B.C.D A.B.C.D | any} {http | https | ssh | telnet | any} 用户可以在任何模式下,随时使用 show 命令查看可信主机配置:show admin host4、配置描述配置用户描述信息,为用户提供描述信息,在用户配置模式下,使用以下命令:desc string5、配置Console管理接口配置波特率 exec console baudrate 9600 默认9600配置超时时间 console timeout timeout-value 范围是0 到60 分钟,0 表示无时间限制。
默认值是10 分钟。
配置Telnet管理接口 telnet timeout timeout-value 范围是1 到60 分钟。
默认值是10 分钟 telnet port port-number 默认值是23 telnet authorization-try-count count-number 范围是1 到10 次默认为3 次6、配置WEB认证服务器端口号webauth http-port port-number 默认值是 8181。
webauth https-port port-number 默认值是44433。
webauth timeout timeout-value 取值范围是10 到3600*24 秒。
默认为6 0 秒7、强制用户重新登录webauth force-timeout timeout-value 范围为10 到60*24*100 分钟。
? 显示 Console 配置:show console? 显示 Telnet 配置:show telnet? 显示 SSH 配置:showssh? 显示 Web 配置:show http8、查看配置信息系统起始配置信息包括系统的当前起始配置信息(系统启动时使用的配置信息),和系统的备份起始信息。
系统纪录最近十次保存的配置信息,最近一次保存的配置信息会纪录为系统的当前起始配置信息,当前系统配置信息以“curre nt”作为标记。
前九次的配置信息按照保存时间的先后以数字0 到8 作为标查看安全网关的当前起始配置信息,在任何命令模式下输入以下命令:show configuration saved [current]查看安全网关的备份起始信息,在任何命令模式下使用以下命令:show configuration saved number查看安全网关的备份起始信息记录,在任何命令模式下输入以下命令:show configuration saved record9、回退起始配置信息系统能够纪录最近十次保存的起始配置信息,用户可以根据需要回退到已保存的指定的起始配置信息。
系统重启后,系统将会使用该命令指定的配置信息。
在执行模式下,使用以下命令: rollback configuration saved {number}10、删除配置文件用户可以删除设备的起始配置信息。
删除起始配置信息,在执行模式下,使用以下命令: delete configuration saved {current | number} 导出配置信息用户可以导出系统的当前配置信息和备份配置信息到 FTP 服务器、TFTP 服务器或者U 盘。
导出系统配置信息到 FTP 服务器,在执行模式下使用以下命令:export configuration {current | number} to ftp server ip-address [user user-name password password] [file-name]import configuration from ftp server ip-address user user-name pa sswordpassword file-name11、恢复出厂配置用户除使用设备上的 CRL 按键使系统恢复到出厂配置外,也可以使用命令恢复。
恢复出厂配置,在执行模式下,使用以下命令:unset all12、日志管理将事件日志信息输出到内存缓存,并且对日志信息进行过滤,在全局配置模式下使用以下命令:logging event to buffer [severity severity-level] [size buffer-si ze] ? severity severity-level –指定输出的事件日志信息的级别从而对事件日志信息进行过滤。
日志信息的级别和对应的级别号请参阅表4-2。
输出信息的级别将会是指定级别或者高于指定级别,即数字等于或者小于指定级别。
例如指定级别是通告,StoneOS 将会输出通告、警告和错误级别的日志信息。
? size buffer-size –指定内存缓存的大小。
范围是4096 到4294967295 字节。
默认值为1048576。
级别级别号描述日志定义紧急(Emergencies) 0 系统不可用信息。
LOG_EMERG警报(Alerts) 1 需要立即处理的信息,如设备受到攻击等。
LOG_ALERT 严重(Critical) 2 危急信息,如硬件出错。
LOG_CRIT错误(Errors) 3 错误信息。
LOG_ERR警告(Warnings) 4 报警信息。
LOG_WARNING通告(Notifications) 5 非错误信息,但需要特殊处理。
LOG_NOTICE信息(Informational) 6 通知信息。
LOG_INFO调试(Debugging) 7 调试信息,包括正常的使用信息。
LOG_DEBUG开启:logging {event | alarm | security | configuration | network | traffic | debug | ips} onsize buffer-size - 内存缓存的大小。
范围是4096 到4294967295 字节。
默认值为1048576示例1:向Console口输出事件日志信息;第一步:开启事件日志功能;ho stname#configure;hostname(config)#logging;第二步:配置Console口日志输出,信息级别为;hostname(config)#logging;示例2:向SyslogServer输出事件日志信;第一步:开启安全网关的日志功能,将IP地址为20;类示例 1:向Console口输出事件日志信息第一步:开启事件日志功能。