下载文档原格式
Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS(TFTP) (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (11)基础上网配置介绍 (11)接口配置 (11)路由配置 (12)策略配置 (14)源NAT配置 (15)第3章常用功能配置 (17)常用配置介绍 (17)PPPoE配置 (17)DHCP配置 (19)IP-MAC绑定配置 (21)端到端IPsec VPN配置 (23)SCVPN配置 (30)DNAT配置 (37)一对一IP映射 (38)一对一端口映射 (40)多对多端口映射 (43)一对多映射(服务器负载均衡) (46)第4章链路负载均衡 (48)链路负载均衡介绍 (48)基于目的路由的负载均衡 (49)基于源路由的负载均衡 (50)智能链路负载均衡 (50)第5章QoS配置 (53)QoS介绍 (53)IP QoS配置 (53)应用QoS配置 (55)混合QoS配置 (58)QoS白名单配置 (59)第6章网络行为控制 (60)URL过滤(有URL许可证) (60)配置自定义URL库 (63)URL过滤(无URL许可证) (64)网页关键字过滤 (65)网络聊天控制 (69)第7章VPN高级配置 (72)基于USB Key的SCVPN配置 (72)新建PKI信任域 (72)配置SCVPN (77)制作USB Key (78)使用USB Key方式登录SCVPN (80)PnPVPN (82)用户配置 (83)IKE VPN配置 (84)隧道接口配置 (88)路由配置 (88)策略配置 (89)PnPVPN客户端配置 (90)第8章高可靠性 (92)高可靠性介绍 (92)高可靠性配置 (93)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册,对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍,帮助用户快速掌握安全网关的WebUI配置。
Hillstone山石网科下一代防火墙基础配置手册V5.5版本Hillstone Networks Inc.服务热线:400 828 6655内容提交人审核人更新内容日期陈天骄陈天骄初次编写2016/1/14目录1 设备管理 (3)1.1 终端console登录 (3)1.2 网页WebUI登录 (3)1.3 恢复出厂设置 (5)1.3.1 CLI命令行操作 (5)1.3.2 WebUI图形化界面操作 (5)1.3.3 硬件CLR操作 (6)1.4 设备系统(StoneOS)升级 (6)1.4.1 通过sysloader升级 (6)1.4.2 通过CLI升级 (9)1.4.3 通过WebUI升级 (9)1.5 许可证安装 (10)1.5.1 CLI命令行安装 (10)1.5.2 WebUI安装 (11)2 基础上网配置 (11)2.1 接口配置 (11)2.2 路由配置 (13)2.3 策略配置 (14)2.4 源地址转换配置(SNAT) (15)3 常用功能配置 (16)3.1 PPPoE拨号配置 (16)3.2 动态地址分配(DHCP)配置 (17)3.3 IP-MAC地址绑定配置 (20)3.4 端到端IPSec VPN配置 (21)3.4.1 配置第一阶段P1提议 (22)3.4.2 配置ISAKMP网关 (23)3.4.3 配置第二阶段P2提议 (24)3.4.4 配置隧道 (25)3.4.5 配置隧道接口 (26)3.4.6 配置隧道路由和策略 (28)3.4.7 查看VPN状态 (29)3.5 远程接入SCVPN配置 (30)3.6 目的地址转换DNAT配置 (38)3.6.1 IP映射 (39)3.6.2 端口映射 (41)1设备管理安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。
CLI同时支持Console、Telnet、SSH等主流通信管理协议。
StoneOS SNMP私有MIB信息参考指南Version 5.5R6P20M13Copyright2022Hillstone Networks Inc.All rights reserved.Information in this document is subject to change without notice.The software described in this document is furnished under a license agreement or nondisclosure agreement.The software may be used or copied only in accordance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks Inc.Hillstone Networks Inc本文档禁止用于任何商业用途。
联系信息公司总部(北京总部):地址:北京市海淀区宝盛南路1号院20号楼5层邮编:100192联系我们:https:///about/contact_Hillstone.html关于本手册本手册介绍Hillstone Networks公司的防火墙系统StoneOS所支持的MIB版本等信息。
Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS(TFTP) (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (42)一对多映射(服务器负载均衡) (45)第4章链路负载均衡 (47)链路负载均衡介绍 (47)基于目的路由的负载均衡 (48)基于源路由的负载均衡 (49)智能链路负载均衡 (49)第5章QoS配置 (52)QoS介绍 (52)IP QoS配置 (52)应用QoS配置 (54)混合QoS配置 (57)QoS白名单配置 (58)第6章网络行为控制 (59)URL过滤(有URL许可证) (59)配置自定义URL库 (62)URL过滤(无URL许可证) (63)网页关键字过滤 (64)网络聊天控制 (68)第7章VPN高级配置 (71)基于USB Key的SCVPN配置 (71)新建PKI信任域 (71)配置SCVPN (76)制作USB Key (77)使用USB Key方式登录SCVPN (79)PnPVPN (81)用户配置 (82)IKE VPN配置 (83)隧道接口配置 (87)路由配置 (88)策略配置 (89)PnPVPN客户端配置 (90)第8章高可靠性 (92)高可靠性介绍 (92)高可靠性配置 (93)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册,对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍,帮助用户快速掌握安全网关的WebUI配置。
Version4.16.0版本说明本文档包含HSM4.2.0及以后各版本的新增功能、已知问题等内容。
l HSM4.16.0l HSM4.15.0l HSM4.14.0l HSM4.13.0l HSM4.11.0l HSM4.10.0l HSM4.8.0l HSM4.7.0l HSM4.6.0l HSM4.5.0l HSM4.4.0l HSM4.3.0l HSM4.2.0HSM4.16.0本节为HSM4.16.0的版本说明。
产品和版本信息产品名称:山石网科集中安全管理平台(HSM)产品型号:HSM-50、HSM-100-D4、HSM-200、HSM-500-D4、vHSM 软件名称:HSM pro4.16.0发布日期:2022年5月12日适用StoneOS版本:l StoneOS5.5R9和5.5R8支持除了IPS特征库下发以外的所有功能;l StoneOS5.5R7支持HSM的全部功能;l StoneOS5.0R3F5、5.0R4P6支持HSM除2.5R2及更高版本新增功能外的所有功能;l StoneOS4.5R4、5.0R3支持除配置管理和2.5R2及更高版本新增功能外的所有功能(监控功能为受限支持);l StoneOS4.5R1至4.5R3版本支持注册以及查看设备信息。
适用产品型号:l SG-6000K系列、E系列、X系列、G系列、M系列、T系列、NIP(D)S、ADC、WAF、BDS产品l云•界CloudEdge产品系统文件版本升级说明l vHSM不支持从2.5R3升级到2.5R4P2,但支持从2.5R4升级到2.5R4P1和2.5R4P2。
兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试:l IE11l Chrome新增功能HSM4.15.0本节为HSM4.15.0的版本说明。
产品和版本信息产品名称:山石网科集中安全管理平台(HSM)产品型号:HSM-50、HSM-100-D4、HSM-200、HSM-500-D4、vHSM 软件名称:HSM pro4.15.0发布日期:2022年3月4日适用StoneOS版本:l StoneOS5.5R9和5.5R8支持除了IPS特征库下发以外的所有功能;l StoneOS5.5R7支持HSM的全部功能;l StoneOS5.0R3F5、5.0R4P6支持HSM除2.5R2及更高版本新增功能外的所有功能;l StoneOS4.5R4、5.0R3支持除配置管理和2.5R2及更高版本新增功能外的所有功能(监控功能为受限支持);l StoneOS4.5R1至4.5R3版本支持注册以及查看设备信息。
Version5.3.1版本说明本文档包含HSM5.0.0及以后各版本的版本说明,主要介绍了新增功能,已知问题及已解决问题等内容。
l HSM5.3.1l HSM5.3.0l HSM5.2.0l HSM5.1.0l HSM5.0.0HSM5.3.1本节为HSM5.3.1的版本说明。
产品和版本信息产品名称:山石网科集中安全管理平台(HSM)产品型号:HSM-P100、HSM-P3000、vHSM软件名称:HSMpro2.0-5.3.1发布日期:2022年9月27日适用产品型号:l HSM支持纳管SG-6000A系列、E系列、X系列、K系列、T系列、SDW系列。
注意:若需使用HSM纳管上述型号的防火墙设备,请保证其软件版本为StoneOS5.5R4及以上。
系统文件注意:若需为vHSM获取5.3.1版本的系统文件,即.ova、.qcow2和.vmdk格式的系统文件,请联系山石网科工作人员。
版本升级说明山石网科集中安全管理平台(HSM)不支持从4.X版本升级到5.3.1版本。
兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试:l Edge80及以上l Chrome80及以上新增功能已知问题HSM5.3.0本节为HSM5.3.0的版本说明。
产品和版本信息产品名称:山石网科集中安全管理平台(HSM)产品型号:HSM-P100、HSM-P3000、vHSM软件名称:HSMpro2.0-5.3.0发布日期:2022年8月4日适用StoneOS版本:l建议使用最新的StoneOS5.5R9P2、5.5R9F1,支持HSM的大部分功能;适用产品型号:l SG-6000A系列、E系列、X系列、K系列、T系列、SDW系列。
系统文件版本升级说明山石网科集中安全管理平台(HSM)不支持从4.X版本升级到5.3.0版本。
兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试:l Edge80及以上l Chrome80及以上新增功能已知问题HSM5.2.0本节为HSM5.2.0的版本说明。
Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS(TFTP) (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (41)一对多映射(服务器负载均衡) (44)第4章链路负载均衡 (46)链路负载均衡介绍 (46)基于目的路由的负载均衡 (47)基于源路由的负载均衡 (48)智能链路负载均衡 (48)第5章QoS配置 (51)QoS介绍 (51)IP QoS配置 (51)应用QoS配置 (53)混合QoS配置 (56)QoS白名单配置 (57)第6章网络行为控制 (58)URL过滤(有URL许可证) (58)配置自定义URL库 (61)URL过滤(无URL许可证) (62)网页关键字过滤 (63)网络聊天控制 (67)第7章VPN高级配置 (70)基于USB Key的SCVPN配置 (70)新建PKI信任域 (70)配置SCVPN (75)制作USB Key (76)使用USB Key方式登录SCVPN (78)PnPVPN (80)用户配置 (81)IKE VPN配置 (82)隧道接口配置 (86)路由配置 (87)策略配置 (88)PnPVPN客户端配置 (89)第8章高可靠性 (91)高可靠性介绍 (91)高可靠性配置 (92)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册,对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍,帮助用户快速掌握安全网关的WebUI配置。
Hillstone⼭⽯⽹科防⽕墙⽇常运维操作⼿册⽬录⼀、设备基础管理 (1)1.1设备登录 (1)1.1.1 通过CLI管理设备 (1)1.1.2 通过WebUI管理设备 (2)1.2管理员帐号及权限设置 (4)1.2.1 新增管理员 (4)1.2.1 修改管理员密码 (5)1.3 License安装 (6)1.4设备软件升级 (7)1.5设备配置备份与恢复 (9)1.5.1 备份设备配置 (9)1.5.2 恢复设备配置 (12)1.6系统诊断⼯具的使⽤ (14)⼆、对象配置 (16)2.1 配置地址薄 (16)2.2 配置服务簿 (17)三、⽹络配置 (21)3.1 配置安全域 (21)3.2 配置接⼝ (22)3.3 配置路由 (23)3.4 配置DNS (24)四、防⽕墙配置 (26)4.1 配置防⽕墙策略 (26)4.1.1 新增防⽕墙安全策略 (26)4.1.2 编辑防⽕墙安全策略 (27)4.2 配置NAT (28)4.2.1 配置源NAT (28)4.2.2 配置⽬的NAT (31)4.3 防⽕墙配置举例 (35)五、QOS配置 (44)5.1 配置IP QOS (45)5.2 配置应⽤QOS (46)六、常⽤⽇志配置 (48)⼀、设备基础管理1.1设备登录安全⽹关⽀持本地与远程两种环境配置⽅法,可以通过CLI 和WebUI 两种⽅式进⾏配置。
CLI同时⽀持Console、telnet、SSH 等主流通信管理协议。
1.1.1 通过CLI管理设备通过Console ⼝配置安全⽹关时需要在计算机上运⾏终端仿真程序(系统的超级终端、SecureCRT等)建⽴与安全⽹关的连接,并按如下表所⽰设置参数(与连接Cisco设备的参数⼀致):通过telnet或者SSH管理设备时,需要在相应接⼝下启⽤telnet或SSH 管理服务,然后允许相应⽹段的IP管理设备(可信主机)。
对接⼝启⽤telnet或SSH管理服务的⽅法如下:⾸先在⽹络—>⽹络连接模式下的页⾯下⽅勾选指定接⼝,点击图⽰为的编辑按钮,然后在弹出的接⼝配置窗⼝中对接⼝启⽤相应的管理服务,最后确认即可:1.1.2 通过WebUI管理设备WebUI同时⽀持http和https两种访问⽅式,⾸次登录设备可通过默认接⼝ethernet0/0 (默认IP 地址192.168.1.1/24,该接⼝的所有管理服务默认均已被启⽤)来进⾏,登录⽅法为:1. 将管理PC 的IP 地址设置为与192.168.1.1/24 同⽹段的IP 地址,并且⽤⽹线将管理PC与安全⽹关的ethernet0/0 接⼝进⾏连接。
一、产品外观二、场景说明酒店网络信息:酒店编号:000000IP: 124.237.87.30Mask:255.255.255.252Gateway: 124.237.87.29DNS:222.222.202.202备用DNS:222.222.222.222酒店内网信息:IP:10.35.58.0/24(办公网段)IP:172.16.0.0/24(客房网段)MAC:00-2B-2B-68-5C-4F酒店带宽:20MBHillstone版本信息:Hillstone StoneOS Software Version 5.0三、登录WebUI配置界面安全网关设备的e0/0接口配有默认IP地址192.168.1.1,该接口的各种管理功能均为开启状态。
初次使用可以通过该接口管理设备,具体操作为:将管理PC的IP地址设置为与192.168.1.1/24同网段的IP地址,打开PC的Web浏览器,输入http://192.168.1.1。
设备默认管理员用户名及密码均为“hillstone”四、设备配置1.配置网络>网络连接>eth0/1(外网)>编辑:常规:绑定安全域选择三层安全域安全域选择untrustIP配置:类型选择静态IPIP:124.237.87.30网络掩码:255.255.255.252网络>网络连接>eht0/2(办公)>操作:名字和类型:绑定安全域选择三层安全域安全域选择dmzIP配置:类型选择静态IPIP/网络掩码:10.35.58.1/24网络>网络连接>eht0/3(客房)>操作:名字和类型:绑定安全域选择三层安全域安全域选择trustIP配置:类型选择静态IPIP/网络掩码:172.16.0.1/24管理:只选择Ping2.路由配置网络>路由>目的路由>新建:目的IP:0.0.0.0子网掩码:0.0.0.0下一跳选择网关网关:124.237.87.293.DHCP配置办公网络网络>网络连接>DHCP列表:基本配置:接口:ethernet0/2类型:DHCP服务器网关:10.35.58.1掩码:255.255.255.0DNS1: 222.222.202.202 DNS2: 222.222.222.222起始IP地址:10.35.58.40 结束IP地址:10.35.58.150 高级配置:租约:86400客房网络网络>网络连接>DHCP列表:接口:ethernet0/3类型:DHCP服务器网关:172.16.0.1掩码:255.255.255.0DNS1: 222.222.202.202DNS2: 222.222.222.222起始IP地址:172.16.0..20结束IP地址:172.16.0..254高级配置:租约:864004.DNS配置网络>网络连接>DNS列表>新建:服务器IP:222.222.202.202网络>网络连接>DNS列表>新建:服务器IP:222.222.222.2225.策略配置安全>策略>新建:Trust->untrust名称:Trust->untrust源安全域:trust源地址:any目的安全域:untrust目的地址:any服务簿:any行为:允许Trust->dmz名称:Trust->dmz源安全域:trust源地址:any目的安全域:dmz目的地址:any服务簿:any行为:拒绝Dmz->trust名称:Dmz->trust源安全域:dmz源地址:any目的安全域:trust服务簿:any行为:允许dmz->untrst名称:dmz->untrst源安全域:dmz源地址:any目的安全域:untrust目的地址:any服务簿:any行为:允许Untrust->trust名称:Untrust->trust源安全域:untrust源地址:any目的安全域:trust目的地址:any服务簿:any行为:允许Untrust->dmz名称:Untrust->dmz源安全域:untrust源地址:any目的安全域:dmz目的地址:any服务簿:any行为:允许6.NAT配置网络>NAT>源NAT>新建>源地址:地址条目目的地址:地址条目地址条目:any出接口:eth1转换为:出接口IP模式:动态端口7.限速控制>流量管理>应用Qos>新建规则名称:bangong限流对象:ethernet0/2匹配条件:P2P流媒体;p2p软件;迅雷*等。
Version5.2.0Copyright2022Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is furnished under a license agreement or nondisclosure agreement.The software may be used or copied only in accordance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hill-stone Networks.Hillstone Networks本文档禁止用于任何商业用途。
联系信息北京苏州地址:北京市海淀区宝盛南路1号院20号楼5层地址:苏州高新区科技城景润路181号邮编:100192邮编:215000联系我们:/about/contact_Hillstone.html关于本手册本手册介绍山石网科的HSM的使用方法。
获得更多的文档资料,请访问:https://针对本文档的反馈,请发送邮件到:*************************山石网科https://TWNO:TW-HSM-UNI-5.2.0-CN-V1.0-5/18/2022目录目录1前言1手册约定1第1章HSM介绍1 HSM应用场景1 HSM主机介绍3硬件参数3第2章部署HSM管理环境4配置HSM设备IP4配置HSM系统时间7添加山石网科设备到HSM系统8管理已添加设备8第3章HSM界面介绍9一级导航栏9任务列表9在线帮助10登录信息10修改管理员密码11退出HSM系统11第4章首页12设备信息12告警消息13告警和流量排行13设备分布14个性化配置14全屏模式15第5章设备管理16设备管理窗口17设备导航栏17主窗口17设备详情18基础信息19设备接口20链路管理22路由管理23设备管理26添加被管理设备26添加ZTP设备27添加普通设备32配置被管理设备接口33编辑以太网接口33编辑Cellular接口39新增以太网子接口41新增隧道接口46新增回环接口50新增集聚接口54新增WAN/LAN口59查看接口信息60编辑被管理设备60远程登录被管理设备61远程登录设置61远程访问防火墙设备63镜像切换64重启被管理设备64从HSM系统删除设备64新建设备组65从设备组添加/移出设备65编辑设备组65删除设备组66被管理设备的HA管理66 ZTP模板管理67配置ZTP模板67配置被管理设备平台版本71运维管理74授权管理74导入许可证74安装许可证75删除许可证76查看许可证77设备版本升级77导入/删除设备软件版本文件77本地文件导入78 HTTP导入78 FTP导入78删除软件版本文件79升级设置79新建升级任务79查看升级任务81查看升级日志81查看设备版本分布82特征库升级82查看特征库列表82配置特征库升级模板83新建特征库升级模板83下发特征库升级模板86配置文件管理86获取配置文件87手动获取配置文件87自动获取配置文件88查看配置文件88对比配置文件89编辑/删除/导出配置文件90恢复被管理设备的配置90导入配置文件92创建定时任务定时获取配置文件92用户管理93新建用户94下发用户95第6章告警96告警列表97最近24h告警总览97告警列表97告警规则99纳管设备告警99启用纳管设备预定义告警规则99创建自定义告警规则99创建资源告警规则100创建状态告警规则101创建VPN告警规则103查看纳管设备告警规则105平台告警106第7章配置管理109 VPN110星型组网110配置VPN星型组网111配置被管理设备WAN口111新建星型网络111建立星型网络模型113添加分支设备至星型网络模型115查看/编辑VPN星型网络116网状组网117配置VPN网状组网118配置被管理设备WAN口118新建网状组网118添加/删除组网设备119在表格视图下添加/删除设备119在拓扑视图下添加/删除设备121配置网状组网的非互联设备126查看网状组网隧道详情126隧道地址池126专线组网128配置专线组网128配置设备所属地理位置128配置被管理设备的专线链路出口128新建专线组网129查看专线链路监控131查看基于地图的专线链路状态132策略133业务发布133新建内网业务134新建上网业务138发布业务139回收业务140查看业务详情140删除业务140智能选路141配置链路模型141配置智能选路规则143安全策略149配置安全策略模板150下发/回收安全策略模板155编辑/删除安全策略模板156智能监测157配置监测对象157下发/回收监测对象160编辑/删除监测对象161目的路由162配置目的路由模板162下发/回收目的路由模板165编辑/删除目的路由模板166对象167服务簿167服务167配置自定义服务167查看服务详情171服务组172配置自定义服务组172查看服务组详情173应用簿175应用175应用组175配置自定义应用组176查看应用组详情176地址簿178新增地址簿178查看地址簿详情180时间表181周期计划181绝对计划181创建时间表181查看时间表详情183第8章监控184链路状态监控184配置接口的链路状态监控185一键检测186 WAN链路监控187隧道链路监控188用户监控191用户监控概览191 Top10191用户列表193用户详情193用户数量概览195应用监控198平均速率Top10198设备应用列表200设备应用详情201第9章系统管理203系统管理204系统信息204平台信息204系统资源205编辑系统时间207用户与角色208用户208新增用户209编辑用户211删除用户211重置用户密码212修改用户密码212查看用户213角色213新建角色213编辑角色215删除角色215联系人管理215联系人215联系人组217AAA服务器218配置AAA服务器218配置用户登录信息的认证服务器220升级管理220系统升级220特征库升级221许可证管理222查看许可证信息223申请许可证224安装许可证224备份与恢复225备份配置文件225导入/恢复配置文件226导出配置文件227删除配置文件227系统操作227诊断工具228 DNS查询228 Ping228 Traceroute228系统参数230监控规则设置230通知设置232邮件服务器232企业微信233网络设置234访问设置235访问端口236可信主机237密码策略239日志管理242系统日志242任务日志242升级日志243任务管理244附录:通过Console口管理HSM系统246搭建Console口配置环境246命令介绍247前言首先感谢您使用山石网科的网络安全产品。
![2024版Hillstone山石网科基础配置手册50[1]](https://img.taocdn.com/s1/m/e539e75111a6f524ccbff121dd36a32d7275c74c.png)
Web界面配置指导Version 5.0Hillstone Networks目录Web界面配置指导Version 5.0 (1)目录 (2)一设备的登录 (1)二基本上网配置 (1)1.设置接口信息 (1)2.增加内网上网的目的路由 (3)3.增加内网用户上网的NAT配置 (3)4.增加内网用户访问外网的策略 (4)5.命令行配置 (5)三端口映射 (7)四IPSecVPN两种模式的配置 (10)1.创建IPSecVPN (10)2.路由模式VPN (11)3.策略模式VPN (14)五SSLPN配置 (16)六Web认证上网功能配置 (20)七URL日志记录 (23)八IP-MAC绑定实现IP或MAC变更不能上网 (24)九设备恢复出厂操作 (26)十AAA服务器使用AD域类型的配置 (27)十一SSLVPN调用两个AAA中的用户认证 (30)十二HA配置注意事项 (31)一设备的登录设备默认的管理接口为ethernet0/0,登录的ip为192.168.1.1,,默认的管理账号为hillstone,密码为hillstone。
把本地电脑网卡填写IP为192.168.1.2,使用web、telnet、ssh均可登录,,在浏览器中输入192.168.1.1 就可以通过WEBui的方式登录管理设备。
注意:如果是SG6000-NAV 系列的http的服务端口统一为9090,https的服务端口统一为8443。
所以默认登录该设备的WEBui的方式为http://192.168.1.1:9090,或https://192.168.1.1:8443登录的账号密码都为hillstone。
二基本上网配置1.设置接口信息购买的宽带地址是静态IP,一般会营业厅会告知IP地址、子网掩码、网关、DNS。
例如IP地址00.0.0.188,255.255.255.0或24,网关20.0.0.1 ,DNS 地址202.106.0.20。
Version 5.5-1.9.1Copyright 2021 Hillstone Networks. All rights reserved.Information in this document is subject to change without notice. The software described in this document is furnished under a license agreement or nondisclosure agreement. The software may be used or copied only in accordance with the terms of those agreements. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form or any means electronic or mechanical, including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks.Hillstone Networks本文档禁止用于任何商业用途。
GPL软件使用声明山石网科远程安全评估系统正常运行,包含3款GPL协议的软件(NMAP、hydra、openVAS)。
本公司愿意将GPL软件提供给已购买产品且愿意遵守GPL协议的客户,请需要GPL软件的客户提供(1)已经购买的产品序列号;(2)有效送达GPL软件地址和联系人,包括但不限于姓名、公司、电话、电子邮件、地址、邮编等;(3)人民币70元的U盘费和快递费,客户即可获得产品所包含的GPL软件。
Hillstone安装配置⼿册Hillstone安全⽹关NAV50配置⼿册⼀、配置准备Hillstone ⼭⽯⽹科多核安全⽹关提供WebUI 界⾯,使⽤户能够更简便与直观地对设备进⾏管理与配置。
安全⽹关的ethernet0/0 接⼝配有默认IP 地址192.168.1.1/24,并且该接⼝的各种管理功能均为开启状态。
初次使⽤安全⽹关时,可以通过该接⼝访问安全⽹关的WebUI 页⾯。
请按照以下步骤搭建WebUI 配置环境:1. 将管理PC 的IP 地址设置为与192.168.1.1/24 同⽹段的IP 地址,并且⽤⽹线将管理PC与安全⽹关的ethernet0/0 接⼝进⾏连接。
2. 在管理PC 的Web 浏览器中访问地址https://192.168.1.1 并按回车键。
出现登录页⾯如下图所⽰:3.输⼊⽤户名和密码。
安全⽹关提供的默认⽤户名和密码均为“hillstone”。
点击『登录』按钮进⼊安全⽹关的主页。
⼆、版本升级设备出⼚时为默认版本Version4.0。
最新的版本Version4.5更强⼤。
建议升级到最新版本。
点击软件版本后的升级选项。
弹出如下页⾯:点击升级,弹出如下页⾯点击浏览,选中电脑本地的软件版本。
选择后出现如下页⾯:加载完后,选择下次启动时使⽤的系统软件会现实为4.5版本。
点击确定按钮点击确定重启设备点击确定重启后的页⾯三、更新系统时间(时间与⽣成⽇志有关)点击同步,然后点击确定。
四、修改登录密码和添加新账号五、安装正式许可证六、配置内外⽹接⼝地址点击“配置”栏中的“⽹络连接”,选中“Ethernet0/X”,点击“编辑”,如下图所⽰。
七、配置出⽹路由(根据⽹络情况添加内部⽹络回程路由)⼋、配置策略九、配置安全防护点击左侧攻击防护安全域选择untrust域系统会⾃动开启untrust域的安全防护,直接点击确定⼗、开启监控统计点击监控中流量选项,如果没有开启统计,系统会⾃动弹出选项是否开启统计集,点击确定开启即可,相同的动作完成想要开启的监控。
版本说明
本手册包含了山石网科智铠统一终端安全管理系统所有已发布的版本说明,主要介绍了版本的系统文件、适用联动设备版本、功能列表、已知问题等内容。
l智铠5.0R1
智铠5.0R1
发布日期:2022年10月31日
该版本是山石网科智铠统一终端安全管理系统的首次发布。
山石网科智铠是面向政府、金融、医疗、教育、互联网等企事业单位推出的终端管理、等保基线检查、病毒威胁检测与响应的一体化安全防护方案,在安全能力方面集成了EPP和EDR双重安全能力,实现事前的运维管控和合规检查,事中有效抵御病毒威胁,事后追踪溯源和安全审计。
版本发布信息:https:///show_bug.cgi?id=30681
平台和系统文件
适用联动设备版本
功能列表
已知问题
浏览器兼容性
以下浏览器通过了WebUI测试,推荐用户使用:
l Chrome
l Microsoft Edge
获得帮助
山石网科智铠统一终端安全管理系统配有以下手册,请访问https://进行下载。
l《智铠统一终端安全管理系统WebUI用户手册》
l《智铠终端探针WebUI用户手册》
l《智铠统一终端安全管理系统部署手册》
服务热线:400-828-6655
官方网址:https://。
Hillstoneဝᆀపࣶਖ਼ڔཝᆀਈෘഎ၄ݿྟୈۈ۾:StoneOS 5.0R3关于本手册本手册为Hillstone山石网科多核安全网关命令手册。
详细描述StoneOS中用到的所有命令,具体内容有命令的格式、使用方法、参数、默认值和使用实例等。
文档约定在本手册中,StoneOS命令语法描述使用以下约定:·大括弧({ }):指明该内容为必要元素。
·方括弧([ ]):指明该内容为可选元素。
·竖线(|):分隔可选择的互相排斥的选项。
·粗体:粗体部分为命令的关键字,是命令行中不可变部分,用户必须逐字输入。
·斜体:斜体部分为需要用户提供值的参数。
命令实例约定:·命令实例中需要用户输入部分用粗体标出。
·需要用户提供值的变量用斜体标出。
·命令实例包括不同平台的输出,可能会有些许差别。
目录怎样使用StoneOS CL I (1)CLI介绍 (1)命令模式和提示符 (1)执行模式 (1)全局配置模式 (1)子模块配置模式 (1)CLI命令模式切换 (1)命令行错误信息提示 (2)命令行的输入 (2)命令行的缩写形式 (2)自动列出命令关键字 (2)自动补齐命令关键字 (3)命令行的编辑 (3)查看历史命令 (3)快捷键 (3)过滤CLI输出信息 (4)分页显示CLI输出信息 (4)设置终端属性 (5)设置连接超时时间 (5)重定向输出 (5)StoneOS系统管理命令 (6)access (6)admin (6)admin host (7)admin user (8)allow-pwd-change (8){app | ips signature} stat-report (9)arp (10)bandwidth (11)bandwidth-threshold (12)delay-threshold (12)external-bypass enable (13)clock time (14)clock summer-time (15)clock zone (16)configure (16)console timeout (17)cpu (17)debug (19)delete configuration (20)desc (20)dns (21)dst-addr-based-session-counter (22)exec admin user password update (23)exec console baudrate (23)exec format (24)exec detach (24)exec customize (25)exec license apply (25)exec license install (26)exec license uninstall (27)exec webauth kickout (27)exit (28)expire (28)export configuration (29)group (30)hostname (30)http (31)http port (32)https port (33)https trust-domain (33)ike-id (34)import configuration (34)import customize (35)import image (36)interface (37)ip (37)language (39)match (39)monitor (41)nbt-cache enable (41)nbtstat ip2name (42)network-manager enable (42)network-manager host (43)ntp authentication (44)ntp authentication-key (44)ntp enable (45)ntp max-adjustment (45)ntp query-interval (46)ntp server (47)password (47)password(user) (48)password-policy (48)ping (49)privilege (50)reboot (51)role (51)role-expression (52)role-mapping-rule (52)rollback configuration backup (53)save (54)smtp (54)snmp-server contact (55)snmp-server engineID (55)snmp-server group (56)snmp-server host (57)snmp-server location (58)snmp-server manager (58)snmp-server port (59)snmp-server trap-host (59)snmp-server user (60)ssh port (61)ssh timeout (61)tcp (62)telnet authorization-try-count (63)telnet connection-interval (64)telnet timeout (65)threshold (66)traceroute (66)track (67)user (68)user-binding (69)user-group (69)webauth force-timeout (70)webauth http (71)webauth http-port (71)webauth https (72)webauth https-port (72)webauth reauth (73)webauth redirect (73)webauth sso-ntlm (74)webauth sso-ntlm-timeout (75)webauth timeout (75)web timeout (76)系统结构命令 (77)deny-session deny-type (77)deny-session percentage (77)deny-session timeout (78)fragment chain (79)fragment timeout (79)tcp-mss (80)tcp-rst-bit-check (80)tcp-seq-check-disable (81)tcp-syn-check (82)tcp-syn-bit-check (82)安全网关应用模式命令 (84)exec vrouter enable/disable (84)ip vrouter (84)forward-tagged-packet (85)l2-nonip-action (86)virtual-wire enable (86)virtual-wire set (87)vswitch (88)安全网关网络部署模式命令 (89)tap control-interface (89)tap lan-address (89)zone (绑定接口到Tap域) (90)zone (创建Tap域) (90)域(Zone)命令 (92)bind (92)vrouter (92)zone (93)接口(Interface)命令 (94)aggregate aggregate number (94)arp timeout (94)authenticated-arp (95)bgroup bgroup number (96)clear mac (96)combo (97)duplex (97)ftp (98)ftp port (99)holddown (99)holdup (100)interface aggregate number (101)interface aggregate number.tag (101)interface bgroup number (102)interface ethernet m/n (102)interface ethernetX/Y-pppoeZ (103)interface ethernet m/n.tag (104)interface loopback number (104)interface redundant number (105)interface redundant number.tag (105)interface tunnel number (106)interface vlan id (106)interface supervlan X (107)ip address (108)ip mtu (109)lacp (109)lacp max-bundle (110)lacp min-bundle (111)lacp system-priority (112)lacp period-short (112)load-balance mode (113)mac-clone (114)manage (114)mirror to (115)mirror filter (116)primary (117)proxy-arp (117)redundant redundant number (118)reverse-route (119)shutdown (119)speed (120)tunnel (121)webauth auth-arp-prompt (122)zone (122)地址(Address)命令 (124)address (124)host (124)ip (125)member (126)range (126)rename (127)服务(Service)命令 (128)app cache (128)app cache disable (129)app cache static disable (129)application-identify (130)clear app cache table (130)description (131)icmp (131)icmp type (132)longlife-sess-percent (133)protocol (134)servgroup (134)service (135)service service-name (136)tcp | udp application (137)策略(Policy)命令 (139)absolute (139)action (139)clear policy hit-count (140)clear policy hit-count default-action (141)default-action (141)description (142)disable (142)dst-addr (143)dst-host (143)dst-ip (144)dst-range (145)dst-zone (145)enable (146)log (147)import customize webredirect (147)move (148)name (149)periodic (149)periodic (150)policy-global (151)policy-qos-tag tag (151)role (152)user (152)user-group (153)rule (154)rule id (155)schedule (156)schedule (156)service (157)src-addr (157)src-host (158)src-ip (159)src-range (159)src-zone (160)web-redirect (161)安全控制命令 (163)arp (163)arp-disable-dynamic-entry (164)arp-inspection (164)arp-inspection rate-limit (165)arp-inspection trust (165)arp-inspection vlan (166)arp-l2mode (167)arp-learning (167)behavior-profile (168)clear arp (168)clear arp-spoofing-statistics (169)clear dhcp-snooping binding (170)dhcp-snooping(BGroup或者VSwitch接口) (170)dhcp-snooping(物理接口) (171)dhcp-snooping rate-limit (172)dhcp-snooping vlan (172)exec mac-address dynamic-to-static (173)exec urlfilter apply (173)export urlfilter-database (174)gratuitous-arp-send ip (175)host-blacklist (175)host-blacklist ip (176)host-blacklist mac (177)im (178)import urlfilter-database (178)mac-address-static (179)mac-learning (180)urlfilter (180)urlfilter domain-only (181)urlfilter rule type blacklist (181)urlfilter rule type keyword (182)urlfilter rule type whitelist (183)urlfilter unlimit-ip (183)urlfilter unlimit-ip (184)urlfilter whitelist-only (184)url-profile (185)认证与授权命令 (186)aaa-server (186)accounting (186)accounting enable (187)accounting port (188)accounting secret (188)admin auth-server (189)admin auth-server radius-server-name (190)agent (190)auth-method (191)auto-sync (191)backup-aaa-server (192)backup1 (193)backup2 (194)base-dn (194)debug aaa (195)group-class (195)host (196)login-dn (197)login-password (197)member-attribute (198)naming-attribute (198)port (Active-Directory / LDAP) (199)port (RADIUS) (199)retries (200)role-mapping-rule (201)secret (201)timeout (202)user-black-list (202)802.1X 认证协议命令 (204)aaa-server (204)dot1x allow-multi-logon (204)dot1x allow-multi-logon number (205)dot1x auto-kickout (205)dot1x control-mode (206)dot1x enable (207)dot1x max-user (207)dot1x port-control (208)dot1x profile (209)dot1x timeout (210)exec dot1x kickout (210)quiet-period (211)reauth-period (212)retransmission-count (212)server-timeout (213)tx-period (213)网络地址转换(NAT)命令 (215)dnatrule (215)dnatrule move (216)expanded-port-pool (217)nat (217)nat-enable (218)no dnatrule id (219)no snatrule id (219)snatrule (NAT) (220)snatrule(NAT444) (222)snatrule move (223)应用层识别与控制命令 (225)alg (225)alg h323 session-time (225)IPSec协议命令 (227)accept-all-proxy-id (227)anti-replay (227)authentication (228)auto-connect (229)compression deflate (manual) (229)compression deflate (P2) (230)connection-type (230)df-bit (231)dpd (232)encryption (P1) (232)encryption (manual) (233)encryption (P2) (234)encryption-key (235)group (P2) (236)hash (P1) (236)hash (manual) (237)hash (P2) (238)hash-key (239)id (239)interface (240)ipsec proposal (241)ipsec-proposal (241)isakmp peer (242)isakmp-peer (242)isakmp proposal (243)isakmp-proposal (244)lifesize (244)lifetime (P1) (245)lifetime(P2) (245)local-id (246)mode (协商模式) (247)mode (操作模式) (247)nat-traversal (248)peer (248)peer-id (249)pre-share (250)protocol (250)spi (251)track-event-notify (252)trust-domain (252)tunnel ipsec name auto (253)tunnel ipsec name manual (253)type (254)vpn-track (255)Secure Connect VPN命令 (256)aaa-server (256)anti-replay (256)address (257)allow-multi-logon (258)allow-multi-logon number (258)client-auth-trust-domain (259)client-cert-authentication (260)df-bit (261)dns (261)exclude address (262)exec scvpn approve-binding (263)exec scvpn clear-binding (263)exec scvpn increase-host-binding (264)exec scvpn kickout (265)exec scvpn no-host-binding-check (265)exec scvpn no-user-binding-check (266)exec sms send test-message to (266)export aaa user-password (267)export scvpn user-host-binding (268)host-check (268)https-port (269)idle-time (270)import pki cacert (271)import aaa user-password (271)import scvpn user-host-binding (272)interface (273)ip-binding role (273)ip-binding user (274)link-select (275)move (275)phone (276)pool (277)redirect-url (277)scvpn host-check-profile (278)scvpn pool (279)scvpn-udp-port (280)sms-auth enable (280)sms-auth expiration (281)sms modem (281)split-tunnel-route (282)ssl-protocol (283)trust-domain (283)tunnel scvpn (285)tunnel scvpn (285)user-host-verify (286)wins (287)拨号VPN命令 (288)exec generate-user-key rootkey (288)generate-route (288)ike_id (289)user (290)PnPVPN命令 (291)dhcp-pool-address (291)dhcp-pool-gateway (291)dhcp-pool-netmask (292)dns (293)peer_id fqdn (293)split-tunnel-route (294)tunnel-ip-address (295)user (295)wins (296)GRE命令 (297)destination (297)interface (297)next-tunnel ipsec (298)source (298)tunnel gre (299)L2TP命令 (301)aaa-server (301)accept-client-ip (301)address (302)allow-multi-logon (303)avp-hidden (303)clear l2tp (304)dns (304)exclude address (305)exec l2tp kickout (306)interface (306)ip-binding user (307)ppp-lcp-echo interval (308)keepalive (309)move (309)next-tunnel ipsec (310)pool (311)ppp-auth (311)l2tp pool (312)local-name (312)secret (313)transmit-retry (314)tunnel-authentication (314)tunnel l2tp (315)tunnel l2tp (316)tunnel-receive-window (316)wins (317)攻击防护命令 (318)ad all (318)ad arp-spoofing (318)ad dns-query-flood (319)ad huge-icmp-pak (321)ad icmp-flood (321)ad ip-directed-broadcast (322)ad ip-fragment (323)ad ip-option (324)ad ip-spoofing (324)ad ip-sweep (325)ad land-attack (326)ad ping-of-death (326)ad port-scan (327)ad session-limit (328)ad syn-flood (329)ad syn-proxy (331)ad tcp-anomaly (332)ad tear-drop (332)ad tear-drop (333)ad udp-flood (334)ad winnuke (335)clear ad zone (336)clear session-limit (337)交换命令 (338)bridge priority (338)enable (338)forward-delay (339)hello (339)interface vlan id (340)maximum-age (340)stp (341)stp cost (342)stp enable (342)stp priority (343)sub-vlan (343)supervlan (344)switchmode (344)vlan (345)路由命令 (347)access-list route (347)access-list name description (347)aggregate-address (348)area authentication (349)area default-cost (349)area range (350)area stub (351)area virtual-link (351)area virtual-link authentication (352)auto-cost reference-bandwidth (353)bind pbr-policy (354)clear ip bgp (354)continue (355)default-information originate (356)default-information originate (356)default-metric (357)default-metric(BGP) (357)description (358)distance(BGP) (359)distance (360)distance (360)distance ospf (361)domain (362)dst-addr (362)dst-host (363)dst-ip (364)dst-range (364)ecmp enable (365)ecmp-route-select (365)eif (366)enable (367)exec isp-network clear-predefine (367)iif (368)import vrouter (368)ip (369)ip igmp-proxy enable (370)ip igmp-proxy {router-mode | host-mode} (371)ip igmp-snooping enable (371)ip igmp-snooping {router-mode | host-mode | auto | disable} (372)ip multicast-routing (373)ip mroute (373)ip ospf authentication (374)ip ospf authentication-key (375)ip ospf cost (375)ip ospf dead-interval (376)ip ospf hello-interval (377)ip ospf message-digest-key (377)ip ospf priority (378)ip ospf retransmit-interval (378)ip ospf transmit-delay (379)ip rip authentication mode (380)ip rip authentication string (380)ip rip receive version (381)ip rip send version (381)ip rip split-horizon (382)ip route isp-name (384)ip route source (384)ip route source in-interface (385)ip vrouter (386)isp-network (387)llb inbound smartdns (388)llb-outbd-prox-detect (388)llb-outbd-prox-route (389)llb outbound proximity-route (390)match(OSPF) (390)match(PBR) (391)match id (392)max-route (393)move (394)neighbor(BGP) (394)neighbor A.B.C.D peer-group (395)neighbor {A.B.C.D | peer-group} activate (395)neighbor {A.B.C.D | peer-group} default-originate (396)neighbor {A.B.C.D | peer-group} description (396)neighbor {A.B.C.D | peer-group} next-hop-self (397)neighbor {A.B.C.D | peer-group} password (398)neighbor {A.B.C.D | peer-group} remote-as (398)neighbor {A.B.C.D | peer-group} shutdown (399)neighbor {A.B.C.D | peer-group} timers (399)neighbor(RIP) (400)nexthop (401)network(BGP) (401)network(RIP) (402)network area (403)passive-interface (403)pbr-policy (404)redistribute(BGP) (404)redistribute(RIP) (405)redistribute(OSPF) (406)route-map (406)route enable/disable (407)role (408)router bgp (409)router ospf (409)router rip (410)router-id (BGP) (411)router-id (OSPF) (411)service (412)set (412)src-addr (413)src-host (414)src-ip (414)src-range (415)subnet (416)timers (416)timers basic (417)timers spf (418)unknown-multicast drop (418)user (419)user-group (419)version (420)网络参数命令 (422)ac (422)address (422)authentication (423)auto-config interface (423)auto-connect (424)clear host (425)ddns enable (425)ddns name (426)dhcp-client ip (426)dhcp-client route (427)dhcp-relay enable (428)dhcp-relay server (428)dhcp-server enable (429)dhcp-server pool (429)dns (430)dns-proxy (430)domain (431)gateway (432)exclude address (432)idle-interval (433)ip address dhcp (433)ip dns-proxy black-list enable (434)ip dns-proxy white-list enable (434)ip dns-proxy black-list domain (435)ip dns-proxy white-list domain (435)ip address pppoe (436)ip domain lookup (437)ip domain name (437)ip domain retry (438)ip domain timeout (438)ip host (439)ip name-server (439)ip dns-proxy domain (440)ipmac-bind (441)lease (441)maxupdate interval (442)minupdate interval (443)netmask(DHCP) (443)netmask(PPPoE) (444)news (444)pop3 (445)pppoe enable group (445)pppoe-client group (446)pppoe-client group (446)relay-agent (447)route (448)server (448)schedule (449)service (450)smtp (450)static-ip (451)type (451)user(DDNS) (452)user(PPPoE) (452)wins (453)虚拟系统命令 (454)enter-vsys (454)export-to (454)profile (455)session (456)vsys(创建) (457)vsys(接口) (458)vsys-profile (458)vsys-shared (459)QoS管理命令 (460)bandwidth (460)class (460)class-map (461)exception-list (462)disable (462)flex-qos (463)flex-qos low-water-mark (463)flex-qos max-bandwidth (464)flex-qos-up-rate (465)ip-qos (465)match address (466)match application (467)match cos (467)match dscp (468)match ip-range (468)match policy-qos-tag (469)match precedence (470)match-priority (470)match role (471)police (472)priority (473)qos-profile (473)qos-profile (474)qos-profile(嵌套QoS Profile) (475)random-detect (476)role-qos (476)set cos (477)set dscp (478)set precedence (479)shape (479)shaping-for-egress (480)PKI配置命令 (482)crl (482)crl configure (482)enrollment (483)export pki (PKI信任域信息) (483)export pki (本地证书) (484)import pki (PKI信任域信息) (485)import pki (本地证书) (486)keypair (487)pki authenticate (487)pki crl request (488)pki enroll (488)pki export (489)pki import (490)pki import pkcs12 (490)pki key generate (491)pki key zeroize (491)pki key zeroize noconfirm (492)pki trust-domain (492)subject commonname (493)subject country (493)subject localityname (494)subject organization (495)subject organizationunit (495)subject stateorprovincename (496)url (496)高可靠性命令 (498)arp (498)description (498)exec ha sync (499)ha cluster (499)ha group (500)ha link interface (501)ha link ip (501)ha non-group (502)ha sync rdo session (503)ha traffic delay (503)ha traffic enable (504)hello interval (504)hello threshold (505)interface (506)manage ip (506)monitor track (507)preempt (507)priority (508)send gratuitous-arp (509)病毒过滤命令 (510)anti-malicious-sites (510)av enable (510)av max-decompression-recursion (511)av-profile (512)av signature update mode (512)av signature update schedule (513)av signature update server (513)exec av (514)exec av signature update (515)file-type (515)import av signature (516)label-mail (517)mail-sig (518)protocol-type (518)IPS命令 (520)attack-level (520)banner-protect enable (521)brute-force auth (521)brute-force lookup (522)command-injection-check (523)deny-method (523)exec block-ip remove (524)exec block-service remove (524)exec ips (525)external-link-check (527)ips enable (527)ips log disable (528)ips mode (529)ips profile (529)ips signature (530)ips sigset (530)max-arg-length (531)max-bind-length (532)max-black-list (533)max-cmd-line-length (533)max-content-type-length (534)max-content-filename-length (535)max-content-type-length (536)max-failure (536)max-input-length (537)max-path-length (538)max-reply-line-length (539)max-request-length (539)max-rsp-line-length (540)max-scan-bytes (541)max-text-line-length (541)max-uri-length (542)max-white-list (543)protocol-check (543)signature id (544)signature id number disable (545)sigset (546)sql-injection-check (546)virtual-host (547)web-acl (548)web-acl-check (548)xss-check enable (549)网络行为控制命令 (551)behavior (551)behavior-profile (551)bin-type (552)category (553)clear logging nbc (554)clear sslproxy notification (554)contentfilter(进入内容过滤配置模式) (555)contentfilter(绑定内容过滤Profile到策略规则) (555)contentfilter-profile (556)exec contentfilter apply (557)exec url-db update (557)exclude-html-tag (558)export log nbc (558)export pki (559)ftp (560)http (561)im (561)import pki (562)import sslproxy (563)import url-db (564)im-profile (564)keyword (565)keyword-category(URL过滤) (566)keyword-category(网页关键字) (567)keyword-category(Web外发信息) (567)keyword-category(邮件过滤) (568)logging (569)logging nbc to (569)mail (571)mail any (572)mail attach (572)mail control (573)mail enable (574)mail max-attach-size (575)mail others (576)mail-profile (576)mail {sender | recipient} (577)mail whitelist (578)msn | ymsg | qq (579)nbc-user-notification (579)remove database (580)ssl-decode (581)ssl-notification-disable (582)sslproxy (582)sslproxy exempt-match-subject (583)sslproxy-profile (583)sslproxy require-match-subject (584)sslproxy {require-mode | exempt-mode} (585)sslproxy trust-domain (585)sslproxy trustca-delete (586)url(添加URL条目) (586)url(绑定URL过滤Profile到策略规则) (587)url-category(新建URL类别) (588)url-category(URL过滤) (588)url-category(网页关键字) (589)url-category(Web外发信息) (589)url-db update mode (590)url-db update schedule (591)url-db update server (591)url-db-query (592)url-db-query server (593)url-profile (593)webpost (594)webpost all (595)webpost-profile (595)web-surfing-record (596)统计命令 (597)active (597)export statistics-set (597)filter (598)group-by (600)statistics address (601)statistics servgroup (602)statistics-set (602)target-data (603)日志命令 (605)export log event (605)logging (606)logging app-identification (607)logging alarm to (607)logging configuration to (608)logging content [hostname | username] (609)logging debug to (610)logging email to (610)logging event to (611)logging network to (612)logging facility (613)logging security to (613)logging sms (614)logging syslog (615)logging traffic to (616)logging traffic to syslog (616)GTP防护命令 (618)apn (618)gtp-profile(创建GTP Profile) (618)gtp-profile(绑定GTP Profile到策略规则) (619)imsi (620)imei (621)internal-inspect (621)message-type (622)message gtp-in-gtp-deny (623)message length (623)message log (624)message rate (624)message sanity-check (625)msisdn-filter (626)rat (626)rai (627)uli (628)IPv6命令 (630)ad huge-icmp-pak (630)ad ip-fragment (630)ad ip-spoofing (631)ad ipv6 nd-spoofing (633)ad icmp-flood (633)ad land-attack (634)ad ping-of-death (635)ad port-scan (636)ad syn-flood (636)ad syn-proxy (638)ad tcp-anomaly (639)ad tear-drop (639)ad udp-flood (640)address (641)clear ipv6 host (642)clear ipv6 neighbor (642)clear ipv6 nd-spoofing-statistics (643)clear ipv6 pmtu (643)destination (644)dnatrule (644)dnatrule (NAT64) (646)dnatrule move (647)dst-ip (648)dst-range (648)exec ipv6 nd-dynamic-to-static (649)export configuration (650)export image (650)export license (651)export log (652)export pki (652)export scvpn user-host-binding (653)export urlfilter-database (654)icmpv6 type (654)import application-signature (655)import configuration (656)import image (656)import ispfile (657)import license (658)import pki (658)import scvpn user-host-binding (659)import urlfilter-database (660)interface (660)ip (661)ip vrouter (662)ipv6 address (662)ipv6 address autoconfig (663)ipv6 dns-proxy domain (664)ipv6 dns64-proxy id (665)ipv6 enable (665)ipv6 general-prefix (666)ipv6 host (667)ipv6 mtu (667)ipv6 name-server (668)ipv6 neighbor (669)ipv6 nd adv-linkmtu (669)ipv6 nd hoplimit (670)ipv6 nd dad attempts (670)ipv6 nd-disable-dynamic-entry (671)ipv6 nd hoplimit (672)ipv6 nd-inspection (672)ipv6 nd-inspection deny-ra (673)ipv6 nd-inspection rate-limit (673)ipv6 nd-inspection trust (674)ipv6 nd-learning (675)ipv6 nd {managed-config-flag | other-config-flag} (675)ipv6 nd prefix (676)ipv6 nd ns-interval (677)ipv6 nd ra interval (678)ipv6 nd ra lifetime (678)ipv6 nd ra suppress (679)ipv6 nd reachable-time (680)ipv6 pmtu ageout-time (680)ipv6 pmtu enable (681)ipv6 route (682)ipv6 route source (682)ipv6 route source in-interface (683)ipv6 nd router-preference (684)no dnatrule id (685)no snatrule id (685)ping ipv6 (686)policy (687)range (687)rule (688)rule id (689)service (689)show dnat (690)show dnat server (691)show ipv6 dns (691)show ipv6 host (692)show ipv6 interface (693)show ipv6 neighbor (694)show ipv6 nd-spoofing-statistics (694)show ipv6 pmtu (695)show snat (695)show snat resource (696)snatrule (697)snatrule move (698)snmp-server ipv6-host (699)snmp-server ipv6-trap-host (700)snmp-server user (701)src-ip (702)src-range (702)Show命令 (704)show aaa-server (704)show access-list route (705)show ad zone (705)show address (707)show admin host (708)show admin user (708)show alg (709)show app cache status (710)show app logging (710)show arp (711)show arp-spoofing-statistics (711)show auth-user (712)show auth-user dot1x (712)show auth-user interface (714)show auth-user l2tp (714)show auth-user static (715)show auth-user scvpn (715)show auth-user webauth (716)show auth-user vrouter (717)show av-profile (717)show av signature info (718)show av zone-binding (718)show behavior-object (719)show behavior-profile (719)show block-ip (720)show block-notification (720)show block-service (721)show class-map (722)show clock (722)show configuration (723)show configuration running (723)show configuration backup (724)show configuration record (724)show console (725)show contentfilter-profile (726)show contentfilter category (727)show contentfilter count (727)show contentfilter keyword (728)show cpu (728)show database (729)show debug (729)show dhcp-server (730)show dhcp-snooping binding (730)show dhcp-snooping configuration (731)show dnat (731)show dnat server (732)show dns (733)show dns-address (733)show dot1x (734)show dp-filter ip (734)show external-bypass (735)show fib (736)show file (737)show flow deny-session (737)show fragment (738)show ftp (738)show gtp-profile (739)show ha cluster (740)show ha flow statistics (741)show ha group (741)show ha link status (742)show ha protocol statiscitc (742)show ha sync state (743)show ha sync statistic (744)show ha traffic (745)show host-blacklist (745)show http (746)show im-object (746)show im-profile (747)show image (747)show interface (748)show interface bind-tunnels (748)show interface supervlanX (749)show inventory (750)show ip bgp (750)show ip bgp neighbor (751)show ip bgp paths (751)show ip bgp summary (752)show ip hosts (752)show ip igmp-proxy (753)show ip igmp-snooping (753)show ip mroute (754)show ip ospf (755)show ip ospf database (755)show ip ospf database (756)show ip ospf interface (756)show ip ospf neighbor (757)。
服务热线:400 828 6655Hillstone山石网科多核安全网关高级功能配置手册V 5.0版本一.链路负载均衡 (3)1.1基于目的路由的流量负载 (4)1.2基于源路由的流量负载 (6)1.3基于策略路由的流量负载 (7)1.4智能链路负载均衡 (9)二.流量控制QOS配置 (10)2.1配置IP Q O S (10)2.2配置应用Q O S (14)2.3配置混合Q O S (16)2.4配置Q O S白名单 (18)三.NBC网络行为控制配置 (19)3.1URL过滤(有URL许可证) (20)3.2URL过滤(无URL库许可证) (25)3.3网页关键字过滤 (28)3.4网络聊天控制 (33)四.VPN高级配置 (35)4.1基于USB-KEY的SCVPN配置 (35)4.2P N P-VPN (48)五.高可靠性HA配置 (60)一.链路负载均衡当防火墙有多条链路接入,同时需要对内网的流量根据源地址,目的地址或者服务进行流量的负载分摊时,需要进行负载均衡的配置,以便保证流量的负载分担;在配置源地址,目的地址的负载均衡时,可以实现冗余,当某一条路由失效时,可以保证正常的流量转发。
配置多链路负载均衡前,先保证接口,snat和策略都配置正确。
1.确认接口的地址和掩码都配置正确,其中掩码的位数一定和运行商确认:2.两条源地址转换,使内网的流量可以分别nat成对应公网出口地址池的地址,去访问互联网:3.确认流量穿越防火墙时,防火墙策略允许(源和目的地址以及服务可以根据具体情况作相应修改):1.1基于目的路由的流量负载例:e0/1口接入10M电信,e0/2接入20M网通;实现所有访问公网的流量按1:2的比例分别从e0/1口和e0/2口转发出去。
即当设备总共转发3数值的流量时,e0/1转发1数值;e0/2口转发2数值。
Web页面配置如下:1.网络-〉路由-〉新建 :2.创建一条默认路由权值为2,即可得到配置如下:如此即可实现流量从e0/1转发和从e0/2转发的比是10:20即流量的1:2负载。
Hillstoneဝᆀపࣶਖ਼ڔཝᆀਈ౫ᐱ模块၄ݿྟୈۈ۾:StoneOS 5.0R2P1产品中有毒有害物质或元素的名称及含量前言内容简介感谢您选用Hillstone Networks的网络安全产品。
本手册为Hillstone 山石网科多核安全网关扩展模块手册,能够帮助用户正确使用Hillstone安全网关的各种扩展模块。
本手册的内容包括:·第1章扩展模块介绍·第2章扩展模块的安装与拆卸·第3章扩展模块的配置与使用·第4章常见故障处理手册约定为方便用户阅读与理解,本手册遵循如下约定:·警告:表示如果该项操作不正确,可能会给安全网关或安全网关操作者带来极大危险。
因此操作者必须严格遵守正确的操作规程。
·注意:表示在安装和使用安全网关过程中需要注意的操作。
该操作不正确,可能影响安全网关的正常使用。
·说明:为用户提供有助于理解内容的说明信息。
内容目录第1章扩展模块介绍 (1)介绍 (1)前面板介绍 (1)接口扩展模块 (1)存储扩展模块 (3)应用扩展模块 (3)指示灯含义 (3)SWAP按键 (4)端口属性 (4)千兆电口 (4)SFP接口 (5)XFP接口 (6)第2章扩展模块的安装与拆卸 (7)介绍 (7)扩展模块的安装 (7)扩展模块的拆卸 (7)第3章扩展模块的配置与使用 (8)介绍 (8)接口扩展模块的配置与使用 (8)支持Bypass (8)查看扩展模块的信息 (8)第4章常见故障处理 (9)第1章扩展模块介绍介绍Hillstone山石网科多核安全网关的模块化平台产品支持多种扩展模块,包括接口扩展模块、应用处理扩展模块以及存储扩展模块,用户可根据需求选购。
各种扩展模块的主要功能为:·接口扩展模块:扩展接口。
·应用处理扩展模块:提高防病毒功能的性能。
使用应用处理扩展模块之前,安全网关需要安装防病毒许可证。
