山石防火墙命令.docx
《山石防火墙命令.docx》由会员分享,可在线阅读,更多相关《山石防火墙命令.docx(19页珍藏版)》请在冰豆网上搜索。
山石防火墙命令
表29-1:
手动同步配置命令列表;HA同步信息show命令手动同步命令;配置信息showconfigurationexe;文件信息showfileexechasyncfi;ARP表项showarpexechasyncrd;DNS配置信息showiphostsexecha;DHCP配置信息showdhcpexechasy;MAC地址表showmacexecha
表29-1:
手动同步配置命令列表
HA同步信息show命令手动同步命令
配置信息showconfigurationexechasyncconfiguration
文件信息showfileexechasyncfilefile-name
ARP表项showarpexechasyncrdoarp
DNS配置信息showiphostsexechasyncrdodns
DHCP配置信息showdhcpexechasyncrdodhcp
MAC地址表showmacexechasyncrdomac
showpkikey
PKI配置信息
showpkitrust-domain
exechasyncrdopki
会话信息showsessionexechasyncrdosession
showipsecsa
IPSecVPN信息
showisakmpsa
exechasyncrdovpn
showscvpnclienttest
showscvpn
host-check-profile
showscvpnpool
showscvpn
user-host-binding
showscvpnsession
SCVPN信息
showauth-userscvpn
exechasyncrdoscvpn
showl2tptunnel
showl2tppool
showl2tpclient
{tunnel-namename[user
user-name]|tunnel-idID}
L2TP信息
showauth-userl2tp
{interfaceinterface-name
|vroutervrouter-name}
exechasyncrdol2tp
Web认证信息showauth-userwebauthexechasyncrdowebauth
NTP信息showntpexechasyncrdontp
SCVPN信息showscvpnexechasyncrdoscvpn
路由信息showiprouteexechasyncrdoroute
显示HA配置
系统提供相应的show命令,查看HA配置信息。
?
查看HA簇配置信息:
showhacluster
?
查看HA组配置信息:
showhagroup{config|group-id}
?
查看HA连接配置状态:
showhalinkstatus
Hillstone山石网科多核安全网关使用手册
519
?
查看HA同步状态:
showhasyncstate{pki|dns|dhcp|vpn|ntp|config
|flow|scvpn|l2tp|route}
?
查看HA同步统计信息:
showhasyncstatistic{pki|dns|dhcp|vpn|
ntp|config|scvpn|route}
?
显示接收和发送的HA协议统计信息:
showhaprotocolstatiscitc
?
显示已同步或未同步的HA会话信息:
showsession{sync|unsync}
?
显示HA统计信息:
showhaflowstatistics
Hillstone防火墙系统管理配置:
1、语言配置:
languagezh_CN设置为中文
2、管理员用户访问权限:
在管理员配置模式下,输入以下命令配置管理员的访问方式:
access{console|http|https|ssh|telnet|any}
3、限制IP地址对防火墙管理
配置系统的可信主机,在全局配置模式下,使用以下命令:
adminhost{A.B.C.DA.B.C.D|any}{http|https|ssh|telnet|any}用户可以在任何模式下,随时使用show命令查看可信主机配置:
showadminhost
4、配置描述
配置用户描述信息,为用户提供描述信息,在用户配置模式下,使用以下命令:
descstring
5、配置Console管理接口
配置波特率execconsolebaudrate9600默认9600
配置超时时间consoletimeouttimeout-value范围是0到60分钟,0表示无时间限制。
默认值是10分钟。
配置Telnet管理接口telnettimeouttimeout-value范围是1到60分钟。
默认值是10分钟telnetportport-number默认值是23
telnetauthorization-try-countcount-number范围是1到10次默认为3次
6、配置WEB认证服务器端口号
webauthhttp-portport-number默认值是8181。
webauthhttps-portport-number默认值是44433。
webauthtimeouttimeout-value取值范围是10到3600*24秒。
默认为60秒
7、强制用户重新登录
webauthforce-timeouttimeout-value范围为10到60*24*100分钟。
?
显示Console配置:
showconsole
?
显示Telnet配置:
showtelnet
?
显示SSH配置:
showssh
?
显示Web配置:
showhttp
8、查看配置信息
系统起始配置信息包括系统的当前起始配置信息(系统启动时使用的配置信息),和系统的备份起始信息。
系统纪录最近十次保存的配置信息,最近一次保存的配置信息会纪录为系统的当前起始配置信息,当前系统配置信息以“current”作为标记。
前九次的配置信息按照保存时间的先后以数字0到8作为标
查看安全网关的当前起始配置信息,在任何命令模式下输入以下命令:
showconfigurationsaved[current]
查看安全网关的备份起始信息,在任何命令模式下使用以下命令:
showconfigurationsavednumber
查看安全网关的备份起始信息记录,在任何命令模式下输入以下命令:
showconfigurationsavedrecord
9、回退起始配置信息
系统能够纪录最近十次保存的起始配置信息,用户可以根据需要回退到已保存的指定的起始配
置信息。
系统重启后,系统将会使用该命令指定的配置信息。
在执行模式下,使用以下命令:
rollbackconfigurationsaved{number}
10、删除配置文件
用户可以删除设备的起始配置信息。
删除起始配置信息,在执行模式下,使用以下命令:
deleteconfigurationsaved{current|number}
导出配置信息
用户可以导出系统的当前配置信息和备份配置信息到FTP服务器、TFTP服务器或者U盘。
导出系统配置信息到FTP服务器,在执行模式下使用以下命令:
exportconfiguration{current|number}toftpserverip-address[useruser-namepasswordpassword][file-name]
importconfigurationfromftpserverip-addressuseruser-namepassword
passwordfile-name
11、恢复出厂配置
用户除使用设备上的CRL按键使系统恢复到出厂配置外,也可以使用命令恢复。
恢复出厂配
置,在执行模式下,使用以下命令:
unsetall
12、日志管理
将事件日志信息输出到内存缓存,并且对日志信息进行过滤,在全局配置模式下使用以下命令:
loggingeventtobuffer[severityseverity-level][sizebuffer-size]?
severityseverity-level–指定输出的事件日志信息的级别从而对事件日志信息进行过滤。
日志信息的级别和对应的级别号请参阅表4-2。
输出信息的级别将会是指定级别或者高于指定级别,即数字等于或者小于指定级别。
例如指定级别是通告,StoneOS将会输出通告、警告和错误级别的日志信息。
?
sizebuffer-size–指定内存缓存的大小。
范围是4096到4294967295字节。
默认值为1048576。
级别级别号描述日志定义
紧急(Emergencies)0系统不可用信息。
LOG_EMERG
警报(Alerts)1需要立即处理的信息,如设备受到攻击等。
LOG_ALERT
严重(Critical)2危急信息,如硬件出错。
LOG_CRIT
错误(Errors)3错误信息。
LOG_ERR
警告(Warnings)4报警信息。
LOG_WARNING
通告(Notifications)5非错误信息,但需要特殊处理。
LOG_NOTICE
信息(Informational)6通知信息。
LOG_INFO
调试(Debugging)7调试信息,包括正常的使用信息。
LOG_DEBUG
开启:
logging{event|alarm|security|configuration|network|traffic|debug|ips}on
sizebuffer-size-内存缓存的大小。
范围是4096到4294967295字节。
默认值为1048576
示例1:
向Console口输出事件日志信息;第一步:
开启事件日志功能;hostname#configure;hostname(config)#logging;第二步:
配置Console口日志输出,信息级别为;hostname(config)#logging;示例2:
向SyslogServer输出事件日志信;第一步:
开启安全网关的日志功能,将IP地址为20;类
示例1:
向Console口输出事件日志信息
第一步:
开启事件日志功能。
hostname#configure
hostname(config)#loggingeventon
第二步:
配置Console口日志输出,信息级别为Debugging。
hostname(config)#loggingeventtoconsoleseveritydebugging
示例2:
向SyslogServer输出事件日志信息
第一步:
开启安全网关的日志功能,将IP地址为202.38.1.10的工作站用作SyslogServer,
类型为UDP,设置信息级别为Informational。
hostname(config)#loggingeventon
hostname(config)#loggingsyslog202.38.1.10udp514
hostname(config)#loggingeventtosyslogseverityinformational
13、显示基于接口的统计信息
showstatisticsinterface-counterinterfaceinterface-name{second|minute|hour}
?
interface-name–指定接口名称。
?
second–指定显示接口前60秒钟每秒的流量统计信息。
?
minute–指定显示接口前60分钟每分钟的流量统计信息。
?
hour–指定显示接口前24小时每小时的流量统计信息。
14、安全网关的SNMP功能
开启或者关闭SNMP代理功能
默认情况下,系统的SNMP代理功能是关闭的。
开启安全网关的SNMP代理功能,请在全局配置模式下使用以下命令。
用该命令no的形式关闭SNMP代理功能。
?
snmp-servermanager
配置SNMP代理设备端口号
配置SNMP代理设备端口号,在全局配置模式下,使用以下命令:
snmp-serverportport-number
?
port-number–指定SNMP代理设备的端口号。
范围为1到65535。
默认值为161。
配置SNMP引擎ID
SNMP引擎ID唯一标识一个引擎,SNMP引擎是SNMP实体(网络管理平台或者被管理网络
设备)的重要组成部分,完成SNMP消息的收发、验证、提取PDU、组装消息与SNMP应用程序
通信等功能。
配置本地设备的SNMP引擎ID,在全局配置模式下使用以下命令:
snmp-serverengineIDstring
?
string–指定引擎ID号。
取值范围为1到23个字符
创建SNMPv3用户组
配置SNMPv3用户组,请在全局配置模式下使用以下命令:
snmp-servergroupgroup-namev3{noauth|auth|auth-enc}[read-viewread-view][write-viewwriteview]
?
group-name–指定用户组的名称。
取值范围为1到31个字符。
?
noauth|auth|auth-enc–指定用户组的安全级别。
可以为noAuth、Auth或者
Auth-Enc。
安全级别决定了在处理一个SNMP数据包时所采用的安全机制。
noAuth即无认证和加密;Auth提供基于MD5或SHA算法的认证;Auth-Enc提供基于MD5或SHA算法的认证和基于AES和DES的报文加密。
?
read-viewread-view–指定该用户组的只读MIB视图名。
如不指定该参数,系统默
认为所有视图均为该用户组的只读MIB视图。
?
write-viewwriteview–指定该用户组的可写MIB视图名。
如不指定该参数,系统默认为所有视图均为该用户组的可写MIB视图。
系统最多允许配置5个用户组,且每个用户组最多可包含5个用户。
在全局配置模式下使用
nosnmp-servergroupgroup-name命令删除指定的用户组
创建SNMPv3用户
配置SNMPv3用户,请在全局配置模式下使用以下命令:
snmp-serveruseruser-namegroupgroup-namev3remoteremote-ip
[auth-protocol{md5|sha}auth-pass[enc-protocol{des|aes}enc-pass]]
?
useruser-name–指定用户名称。
取值范围为1到31个字符。
?
groupgroup-name–为所创建的用户指定已经配置好的用户组。
?
remoteremote-ip–指定远程管理主机的IP地址。
?
auth-protocol{md5|sha}–指定用户安全级别为需要认证且认证协议可以为MD5
或SHA算法。
如不输入此参数,则默认是无认证,无加密模式。
?
auth-pass–指定认证密码。
取值范围为8到40个字符。
?
enc-protocol{des|aes}–指定用户安全级别为加密且加密协议为DES或者AES。
?
enc-pass–指定加密密码。
取值范围为8到40个字符。
系统最多允许配置25个用户。
在全局配置模式下使用nosnmp-serveruseruser-name
命令删除指定的用户
配置管理主机地址
配置管理主机地址,请在全局配置模式下使用以下命令:
snmp-serverhost{host-name|host-ip}{version[1|2c]communitystring
[ro|rw]|version3}
?
host-name|host-ip–指定管理主机的主机名称或者IP地址。
?
version[1|2c]–指定SNMP的版本为SNMPv1或者SNMPv2C。
?
communitystring–团体字是管理进程和代理进程之间的口令,因此与安全网关认可
的团体字不符的SNMP报文将被丢弃。
该参数指定主机的团体字,取值范围为一个最多31位的字符串,且仅当SNMP为v1和v2C版本时有效。
?
ro|rw–指定该团体字的读写权限。
ro为只读,此类团体字只可读取MIB中的信息;
rw为可读可写,此类团体字不仅可以读取MIB中的信息,还可以对信息进行修改。
此项为可选,默认情况下,团体字的访问权限为只读。
?
version3–指定SNMP的版本为SNMPv3
配置trap报文目标主机地址
用户可以配置接收SNMPtrap报文的主机。
配置SNMPtrap报文目标主机地址,请在全局
配置模式下使用以下命令:
snmp-servertrap-host{host-name|host-ip}{version{1|2c}communitystring|version3useruser-nameengineIDstring}[portport-number]?
host-name|host-ip–指定trap报文目标主机的主机名称或者IP地址。
?
portport-number–指定接收trap报文的目标主机端口号。
取值范围为1到65535,
默认值为162。
?
version{1|2c}–指定使用SNMPv1或者SNMPv2C发送trap报文。
?
communitystring–指定SNMPv1或者SNMPv2C的团体字。
?
version3–指定使用SNMPv3发送trap报文。
?
userstring–指定已配置的SNMPv3用户名。
?
engineIDstring–指定trap报文目标主机的引擎ID号。
?
portport-number–指定接收trap报文的目标主机端口号。
取值范围为1到65535,
默认值为162。
。
配置管理员的标识及联系方法,请在全局配置模式下使用以下命令:
snmp-servercontactstring
?
string–描述系统联络信息的字符串
15、NET协议
手动配置时间
手动配置系统的时间,请在全局配置模式下使用clocktime命令。
具体命令及描述以下:
clocktimeHH:
MM:
SSMonthDayYear
Month的取值范围是1到12;Day的取值范围是1到31;Year的取值范围是2000到2035。
以下是设置时间的命令配置示例:
hostname(config)#clocktime14:
26:
006222007
手动配置时区
手动设置系统的时区,请在全局配置模式下使用clockzone命令。
具体命令及描述如下:
clockzonetimezone-name
?
启用:
ntpenable
ntpserver{ip-address|host-name}[keynumber][source
interface-name]
[prefer]
?
ip-address|host-name–指定时钟服务器的IP地址或主机名称。
?
keynumber–指定可以通过该服务器的验证密钥。
如果要在配置的时钟服务器上使用NTP身份验证功能,用户必须指定key参数值。
?
sourceinterface-name–指定安全网关上发送和接收NTP包的接
?
prefer–如果指定了多个时钟服务器,该关键字用来指定该服务器为主时钟服务器。
安
全网关首先与主服务器进行时间同步,如果失败,再查找下一个时钟服务器。
以下是时钟服务器配置示例:
hostname(config)#ntpserver10.160.64.5prefer
NTP配置示例
NTP服务器的IP地址是10.10.10.10;身份验证密钥ID和MD5验证密钥分别是1和aaaa;
查询间隔为3分钟;最大调整时间为5秒。
配置完成后开启安全网关的NTP身份验证功能和NTP
功能。
最后查看NTP配置信息和状态。
请参考以下配置命令:
hostname(config)#ntpauthentication-key1md5aaaa
hostname(config)#ntpserver10.10.10.10key1prefer
hostname(config)#ntpquery-interval3
hostname(config)#ntpmax-adjustment5
hostname(config)#ntpauthentication
hostname(config)#ntpenable
hostname(config)#showntpstatus
ntpclientisenabled,authenticationisenabled
ntpquery-intervalis3,max-adjustmenttimeis5
ntpserver10.10.10.10,key1,prefer
山石网科安全网关配置命令27
山石网科;申请功能;(平台);QOS流量分配;AV复合端口;IPS入侵;NBC网络行为管理支持SG型号;URLDB是NBC子键支持SG型号;HSM设备集;4GE-B当断电后仍然可以通讯;SSHsecureShell安全外壳协议;是一种在不安全网络上提供安全登录和其他安全网络服;NAT步骤:
;①,接口IP;②,配路由;缺省路由:
0.0.0.00.0.0.019
山石网科
申请功能
(平台)
QOS流量分配
AV复合端口
IPS入侵
NBC网络行为管理支持SG型号
URLDB是NBC子键支持SG型号
HSM设备集
4GE-B当断电后仍然可以通讯
SSHsecureS
升级会员 