下载文档原格式
Version2.11.0山石网科安全审计平台版本说明本文档包含了山石网科安全审计平台2.5.0到2.11.0版本的版本说明,主要介绍了各版本的新增功能和已知问题等内容。
l HSA2.11.0l HSA2.10.0l HSA2.9.0l HSA2.8.0l HSA2.7.1l HSA2.6.0l HSA2.5.0HSA2.11.0发布概述发布日期:2021年1月8日平台和系统文件适用StoneOS版本适用于StoneOS4.0R6及更高的版本,建议使用最新的StoneOS版本。
新增功能已知问题HSA2.10.0发布概述发布日期:2020年9月30日平台和系统文件适用StoneOS版本适用于StoneOS4.0R6及更高的版本,建议使用最新的StoneOS版本。
新增功能已知问题HSA2.9.0发布概述发布日期:2020年8月5日平台和系统文件适用StoneOS版本适用于StoneOS4.0R6及更高的版本,建议使用最新的StoneOS版本。
新增功能HSA2.8.0发布概述发布日期:2020年5月20日平台和系统文件适用StoneOS版本适用于StoneOS4.0R6及更高的版本,建议使用最新的StoneOS版本。
已知问题HSA2.7.1发布概述发布日期:2020年2月28日平台和系统文件适用StoneOS版本适用于StoneOS4.0R6及更高的版本,建议使用最新的StoneOS版本。
新增功能已知问题HSA2.6.0发布概述发布日期:2019年8月12日平台和系统文件适用StoneOS版本适用于StoneOS4.0R6及更高的版本,建议使用最新的StoneOS版本。
新增功能已知问题HSA2.5.0发布概述发布日期:2020年4月8日平台和系统文件适用StoneOS版本适用于StoneOS4.0R6及更高的版本,建议使用最新的StoneOS版本。
新增功能已知问题版本升级说明l当HSA2.0R3P3及以前版本升级到该版本时,需要首先升级过渡版本HSApro2.0R3P3_transition.bin。
Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS(TFTP) (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (11)基础上网配置介绍 (11)接口配置 (11)路由配置 (12)策略配置 (14)源NAT配置 (15)第3章常用功能配置 (17)常用配置介绍 (17)PPPoE配置 (17)DHCP配置 (19)IP-MAC绑定配置 (21)端到端IPsec VPN配置 (23)SCVPN配置 (30)DNAT配置 (37)一对一IP映射 (38)一对一端口映射 (40)多对多端口映射 (43)一对多映射(服务器负载均衡) (46)第4章链路负载均衡 (48)链路负载均衡介绍 (48)基于目的路由的负载均衡 (49)基于源路由的负载均衡 (50)智能链路负载均衡 (50)第5章QoS配置 (53)QoS介绍 (53)IP QoS配置 (53)应用QoS配置 (55)混合QoS配置 (58)QoS白名单配置 (59)第6章网络行为控制 (60)URL过滤(有URL许可证) (60)配置自定义URL库 (63)URL过滤(无URL许可证) (64)网页关键字过滤 (65)网络聊天控制 (69)第7章VPN高级配置 (72)基于USB Key的SCVPN配置 (72)新建PKI信任域 (72)配置SCVPN (77)制作USB Key (78)使用USB Key方式登录SCVPN (80)PnPVPN (82)用户配置 (83)IKE VPN配置 (84)隧道接口配置 (88)路由配置 (88)策略配置 (89)PnPVPN客户端配置 (90)第8章高可靠性 (92)高可靠性介绍 (92)高可靠性配置 (93)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册,对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍,帮助用户快速掌握安全网关的WebUI配置。
Version4.16.0版本说明本文档包含HSM4.2.0及以后各版本的新增功能、已知问题等内容。
l HSM4.16.0l HSM4.15.0l HSM4.14.0l HSM4.13.0l HSM4.11.0l HSM4.10.0l HSM4.8.0l HSM4.7.0l HSM4.6.0l HSM4.5.0l HSM4.4.0l HSM4.3.0l HSM4.2.0HSM4.16.0本节为HSM4.16.0的版本说明。
产品和版本信息产品名称:山石网科集中安全管理平台(HSM)产品型号:HSM-50、HSM-100-D4、HSM-200、HSM-500-D4、vHSM 软件名称:HSM pro4.16.0发布日期:2022年5月12日适用StoneOS版本:l StoneOS5.5R9和5.5R8支持除了IPS特征库下发以外的所有功能;l StoneOS5.5R7支持HSM的全部功能;l StoneOS5.0R3F5、5.0R4P6支持HSM除2.5R2及更高版本新增功能外的所有功能;l StoneOS4.5R4、5.0R3支持除配置管理和2.5R2及更高版本新增功能外的所有功能(监控功能为受限支持);l StoneOS4.5R1至4.5R3版本支持注册以及查看设备信息。
适用产品型号:l SG-6000K系列、E系列、X系列、G系列、M系列、T系列、NIP(D)S、ADC、WAF、BDS产品l云•界CloudEdge产品系统文件版本升级说明l vHSM不支持从2.5R3升级到2.5R4P2,但支持从2.5R4升级到2.5R4P1和2.5R4P2。
兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试:l IE11l Chrome新增功能HSM4.15.0本节为HSM4.15.0的版本说明。
产品和版本信息产品名称:山石网科集中安全管理平台(HSM)产品型号:HSM-50、HSM-100-D4、HSM-200、HSM-500-D4、vHSM 软件名称:HSM pro4.15.0发布日期:2022年3月4日适用StoneOS版本:l StoneOS5.5R9和5.5R8支持除了IPS特征库下发以外的所有功能;l StoneOS5.5R7支持HSM的全部功能;l StoneOS5.0R3F5、5.0R4P6支持HSM除2.5R2及更高版本新增功能外的所有功能;l StoneOS4.5R4、5.0R3支持除配置管理和2.5R2及更高版本新增功能外的所有功能(监控功能为受限支持);l StoneOS4.5R1至4.5R3版本支持注册以及查看设备信息。
Version5.3.1版本说明本文档包含HSM5.0.0及以后各版本的版本说明,主要介绍了新增功能,已知问题及已解决问题等内容。
l HSM5.3.1l HSM5.3.0l HSM5.2.0l HSM5.1.0l HSM5.0.0HSM5.3.1本节为HSM5.3.1的版本说明。
产品和版本信息产品名称:山石网科集中安全管理平台(HSM)产品型号:HSM-P100、HSM-P3000、vHSM软件名称:HSMpro2.0-5.3.1发布日期:2022年9月27日适用产品型号:l HSM支持纳管SG-6000A系列、E系列、X系列、K系列、T系列、SDW系列。
注意:若需使用HSM纳管上述型号的防火墙设备,请保证其软件版本为StoneOS5.5R4及以上。
系统文件注意:若需为vHSM获取5.3.1版本的系统文件,即.ova、.qcow2和.vmdk格式的系统文件,请联系山石网科工作人员。
版本升级说明山石网科集中安全管理平台(HSM)不支持从4.X版本升级到5.3.1版本。
兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试:l Edge80及以上l Chrome80及以上新增功能已知问题HSM5.3.0本节为HSM5.3.0的版本说明。
产品和版本信息产品名称:山石网科集中安全管理平台(HSM)产品型号:HSM-P100、HSM-P3000、vHSM软件名称:HSMpro2.0-5.3.0发布日期:2022年8月4日适用StoneOS版本:l建议使用最新的StoneOS5.5R9P2、5.5R9F1,支持HSM的大部分功能;适用产品型号:l SG-6000A系列、E系列、X系列、K系列、T系列、SDW系列。
系统文件版本升级说明山石网科集中安全管理平台(HSM)不支持从4.X版本升级到5.3.0版本。
兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试:l Edge80及以上l Chrome80及以上新增功能已知问题HSM5.2.0本节为HSM5.2.0的版本说明。
Version5.5R8MTechDocs|Copyright2021Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is furnished under a license agreement or nondisclosure agreement.The software may be used or copied only in accordance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hill-stone Networks.本文档禁止用于任何商业用途。
联系信息北京苏州地址:北京市海淀区宝盛南路1号院20号楼5层地址:苏州高新区科技城景润路181号邮编:100192邮编:215000联系我们:/about/contact_Hillstone.html关于本手册本手册介绍山石网科的产品系统的使用方法。
获得更多的文档资料,请访问:https://针对本文档的反馈,请发送邮件到:*************************山石网科https://TWNO:TW-NFB-UNI-A-5.5R8M-CN-V1.0-10/26/2021M版本新功能说明概述《StoneOS5.5R8M版本新功能说明》是StoneOS手册的补充说明。
Hillstone 山石网科流量管理白皮书Hillstone 山石网科流量管理白皮书1. 概述随着互联网的应用和企事业应用的快速发展,爆发出来种类繁多的新应用正在一点一点的蚕食着用户网络中带宽,你也许会碰到下面的一些问题:●即使把带宽增加了,正常业务访问还是变慢了?● 有没有办法保证重要业务不受到影响?● 有没有办法查看到底是谁在蚕食我的带宽?从根本上来讲,QOS 功能能够为特定类型的流量提供更好的服务,特定类型既可以是针对某个角色,比如老板的流量访问、财务部门的流量,也可以针对某种应用,比如针对企事业重要的正常业务。
从技术实现来看,主要是通过提高这些特定类型的流量优先级和带宽配额或者降低其他流量的优先级和带宽配额来实现,比如降低P2P 下载应用的带宽。
StoneOS ® QoS是一个工具箱,能够保证服务的可用性,能够有效管理带宽资源和区分网络应用的优先级。
同时,StoneOS ® QoS是建立在Hillstone 山石网科多核Plus ® G2安全架构之上,能提供基于深度应用、角色等流量管理。
2. StoneOS® QoS基本结构StoneOS ®的QoS 基于以下基本模块实现:● QoS识别和标记技术。
用于网络元素间从点到点的QoS 协调● 单一网络元素内的QoS(例如:队列、拥塞避免、调度、管制以及流量整形工具● 统计功能。
基于角色、应用的实时流量统计,用于控制和管理流量。
Hillstone 山石网科流量管理白皮书3. Hillstone 山石网科解决方案通过结合以下技术,StoneOS ®用创新的专有的技术实现强大而灵活的QoS 解决方案:● 基于RFC 的DSCP 标记●IP QoS● 角色QOS ● 应用QoS ● 混合QOS ● 应用标记● 弹性QoS3.1 与第三方设备互通QoS 是不同品牌网络设备之间共同努力的结果。
以一个大型企业的网络环境为例,Hillstone 山石网科设备可以被部署为分支办公室的网关设备,它可能与Cisco 的路由器共同工作。
Version1.0Copyright 2022Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is fur-nished under a license agreement or nondisclosure agreement.The software may be used or copied only in accord-ance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrievalsystem,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks.Hillstone Networks本文档仅面向山石网科内部读者,禁止外传及用于任何商业用途。
联系信息北京苏州地址:北京市海淀区宝盛南路1号院20号楼5层地址:苏州高新区科技城景润路181号邮编:100192邮编:215000联系我们:/about/contact_Hillstone.html关于本手册本手册为山石网科防火墙设备使用过程中的常见问题及解答。
获得更多的文档资料,请访问:https://针对本文档的反馈,请发送邮件到:*************************山石网科https://TWNO:TW-FAQ-AKXE-CN-V1.0-6/27/2022用内部使用内部使用内部使用内部使用内部使用内部使用内部使用内部使用目录目录常见问题及解答介绍目标读者10更多资源10产品优势及定位A系列防火墙优势及定位问答121.A系列防火墙产品定位是什么?122.A系列防火墙有哪些主要特点,这些特点有哪些优势?123.A系列智能下一代防火墙有哪些应用场景?13K系列防火墙优势及定位问答144.K系列防火墙产品定位是什么?145.K系列防火墙有哪些主要功能亮点?14X系列防火墙优势及定位问答156.X系列数据中心防火墙产品定位是什么?157.X系列数据中心防火墙有哪些主要特点,这些特点有哪些优势?158.X系列数据中心防火墙在软件上有哪些优势功能?159.X系列数据中心防火墙有哪些应用场景?1610.X系列防火墙在选型时,参照客户现网业务流量该如何选择配置模型?16功能类问答硬件平台18TOC -1用内部使用内部使用内部使用内部使用内部使用内部使用内部使用内部使用1.A系列产品的型号及支持的扩展模块有哪些?182.A系列设备可以安装哪些硬盘?183.A系列设备支持的电源情况?184.K系列产品的型号及支持的扩展模块有哪些?195.K系列设备可以安装哪些硬盘?196.K系列设备支持的电源情况?197.X系列防火墙的CPU是什么架构?208.X系列产品的型号及支持的扩展模块有哪些?209.X系列设备需要哪些扩展模块才能正常工作?2110.X系列设备的扩展模块是否支持热插拔?2111.X10800和X9180电源线是16A的还是10A的?2112.X系列QSM扩展模块与IOM/SIOM扩展模块在实现QoS功能上有什么区别?2113.E系列设备最多可以安装几块万兆接口扩展模块?2114.防火墙设备支持40G光模块型号TRAN-QSFP+BiDi吗?2215.防火墙哪些光接口支持拆分?2216.如何拆分100GE(QSFP28)光接口和40GE(QSFP+)光接口?2217.防火墙哪些光接口支持降速?2318.防火墙光接口如何进行降速?2419.防火墙哪些光接口支持光转电?2520.防火墙光接口如何进行光转电?2521.防火墙设备的硬盘可以保存多久的日志信息?2622.山石网科设备可以使用其他厂商的光模块吗?26TOC -2用内内部使用内部使用内部使用内部使用内部使用内部使用内部使用23.光纤连接器的接口有哪些类型?2624.B系列产品的型号及支持的扩展模块有哪些?2725.C系列产品的型号及支持的扩展模块有哪些?27规格参数/许可证/特征库2726.A系列设备的IPS特征库数量为多少个?2727.A系列防火墙能满足10万以上用户的添加和管理吗?2828.A系列的病毒库能支持到300W吗?2829.StoneOS支持的VSYS有无数量限制?2830.A5500支持的VSYS最大数量是多少?2831.防火墙的IPS、AV、僵尸网络防御(C2)特征库分别是和哪些厂商合作的?2832.如何查看垃圾邮件过滤功能的特征库?2933.如何查看特征库的历史升级情况?2934.部分功能测试许可到期后功能仍可以正常使用吗?2935.僵尸网络防御许可证过期后,还能使用该功能吗?2936.僵尸网络防御特征库数量是多少?2937.僵尸网络防御特征库会自动更新到最新版本吗?3038.防火墙许可证导入后是否需要重启设备?30版本升级3139.防火墙升级版本前要注意什么?3140.防火墙正式平台许可证过期,对版本升级有影响吗?3241.A系列防火墙能使用StoneOS 5.5R8软件版本吗?3242.A系列防火墙升级是否有限制?32TOC -3用内内部使用内部使用内部使用内部使用内部使用内部使用内部使用系统管理3343.A系列和X系列防火墙设备是否可以强制断电?3344.StoneOS支持其他语言吗?3345.系统的默认管理员可以编辑或删除吗?3346.防火墙支持哪些配置管理方式?3347.如何查看设备的推荐版本?3348.如何查询设备售后服务到期时间和硬件保修时间?3449.如何查看当前运行的版本和运行时间?3450.如何关闭系统调试功能?3451.如何查看设备的配置信息?3452.如何查看SNMP OID值?34零信任3553.零信任支持基于哪些维度进行权限控制?3554.零信任支持哪些双因子认证方式?3555.零信任使用什么客户端接入?3556.因为终端状态原因而无法访问特定资源的用户,可以通过调整终端设备的配置获取访问权限吗?35策略3557.防火墙安全域之间默认是允许信息传输的吗?3558.策略规则的匹配顺序是什么?3659.防火墙是否支持导入安全策略?3660.未匹配到任何防火墙安全策略的流量默认是允许通过还是拒绝通过?3661.防火墙是否支持策略的五元组快速查询以及针对策略未命中时间进行查询?36TOC -4用内内部使用内部使用内部使用内部使用内部使用内部使用内部使用62.什么是失效策略?3663.防火墙最大策略数量和策略中的源/目的IP或者端口数量有关联吗?3764.策略规则调用的源地址条目/目的地址条目数量有限制吗?3765.在两个内网区域间通过防火墙做内网隔离,如何配置防火墙策略?37VSYS3766.VSYS支持Netflow吗?3767.防火墙中存在多个VSYS时,可以实现单个VSYS重启吗?3868.VSYS的数量增加,是否会影响根VSYS的性能?38路由3869.路由的优先级顺序是什么?3870.哪些类型的路由支持IPv6?3871.哪些类型的路由支持BFD功能?38VPN3872.StoneOS支持哪些VPN?3873.SSL VPN支持对接手机身份验证器吗?如Google Authenticator。
Hillstone山石网科HSM(Hillstone SecurityManagement TM)白皮书概述HSM是为了使企业和服务提供商可以很容易地管理多个设备,最大程度地降低了配置,管理,监控及维护设备的投入成本。
支持企业和服务提供商集中高效地完成和管理多台设备的需求。
结合山石网科上网行为管理,为企业提供了全方位基于用户和应用的审计。
可针对Web访问、论坛发帖、P2P、IM(即时通讯)、游戏等等进行细粒度审计,能够满足公安部82号令要求,提供长期的审计数据保存和维护。
通过集中的对全网设备进行状态监控、流量监控、行为分析,总结出用户网络的安全威胁和安全漏洞,通过保持持续的安全定义和策略的应用提高了系统的安全,最终构成安全闭环,达到动态安全防护。
产品架构HSM系统分为三部分,即HSM代理(Hillstone Security Management Agent)、HSM服务器(Hillstone Security Management Server)和HSM客户端(Hillstone Security Management Client)。
将这三部分合理部署到网络中,并且实现安全连接后,用户可以通过客户端程序,查看被管理安全设备的日志信息、统计信息、设备属性等,监控被管理设备的运行状态和流量信息。
HSM代理HSM系统对Hillstone安全设备进行管理和控制,因此,每台Hillstone安全设备运行的StoneOS都包含HSM代理模块,通过对代理模块的配置,使Hillstone安全设备与服务器相连,从而实现管理和控制。
HSM服务器HSM服务器是网管系统的管理中心,完成信息及数据的存储、分析和转发,实时接收并监控所有被管理设备的运行信息,实时接收安全告警消息,实时接收各种日志消息,且可提供长达半年的日志信息多条件查询和过滤。
HSM客户端HSM客户端是一个安装在Windows 2000/2003/XP操作系统的应用程序,提供简单友好的用户操作界面。
Vpn基本配置与简单排错前言本手册来源于在山石学习期间做实验与工作时候遇到的问题总结,web配置以5.R4版本为主,其中内容层次不深,只希望对还在学习的同学有一点借鉴作用此类文章是第一次书写,写的不周全的地方还请包含,如果中间有错误的地方请及时联系我任鹏实习生Hillstoneipsecvpn(web ui和cli)Webui配置方法:1.配置端到端的vpn第一步需要建立ipsecVPN隧道,如下图:选择IPsec VPN 新建(俩边都是固定公网ip的情况下)配置第一阶段对端的时候注意:1.接口选择公网接口2.模式模式可以任意选择,但是俩端模式必须相同3.类型静态ip4.对端地址对方公网地址5.该环境下的vpn不需要填写本地id和对端的FQDN6.提议任意填写,但是俩端必须相同7.秘钥任意填写,但是俩端必须相同一阶段完成,配置二阶段隧道二阶段注意事项1.二阶段提议俩端要相同2.代理id 如果俩端都是我们山石的设备可以选择自动(juniper也可以)和别的厂家的vpn不能选择自动需要手动填写对端id和本地id (都是内网地址)3. 选择高级配置开启自动连接配置完ipsecvpn隧道后将协议绑定到隧道中如下图:创建隧道接口隧道接口创建隧道名称只能填1-8 建议写描述方便以后查看安全域建议自定义一个vpn安全域方便与策略管理隧道接口ip地址如果两端走静态路由访问可以不填ip地址(对方有特殊要求除外)如果俩端走动态路由的访问一定要填写ip地址,且隧道ip地址要与对端隧道ip地址在同一网段隧道绑定静态或者这个接口下只绑定一个vpn时不需要填写网关动态或者绑定多接口的时候需要填写网关完成以上配置后再添加路由和策略在没有策略路由,源路由和源接口的路由情况下:建立一条目的地址是对方私网的地址,下一条为tunnel隧道的路由如果有上述路由,请用优先级高的路由进行流量引流策略放行根据个人设置的安全域进行放行放行隧道接口安全域到内网安全域的策略再放行一条反向的策略如果有特殊需求,可以自行更改自此之上为web界面配置方法。
【关键字】手册Hillstone安全网关NAV50配置手册一、配置准备Hillstone 山石网科多核安全网关提供WebUI 界面,使用户能够更简便与直观地对设备进行管理与配置。
安全网关的ethernet0/0 接口配有默认IP 地址,并且该接口的各种管理功能均为开启状态。
初次使用安全网关时,可以通过该接口访问安全网关的WebUI 页面。
请按照以下步骤搭建WebUI 配置环境:1. 将管理PC 的IP 地址设置为与同网段的IP 地址,并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。
2. 在管理PC 的Web 浏览器中访问地址.1 并按回车键。
出现登录页面如下图所示:3.输入用户名和密码。
安全网关提供的默认用户名和密码均为“hillstone”。
点击『登录』按钮进入安全网关的主页。
二、版本升级设备出厂时为默认版本Version4.0。
最新的版本Version4.5更强大。
建议升级到最新版本。
点击软件版本后的升级选项。
弹出如下页面:点击升级,弹出如下页面点击浏览,选中电脑本地的软件版本。
选择后出现如下页面:加载完后,选择下次启动时使用的系统软件会现实为4.5版本。
点击确定按钮点击确定重启设备点击确定重启后的页面三、更新系统时间(时间与生成日志有关)点击同步,然后点击确定。
四、修改登录密码和添加新账号五、安装正式许可证六、配置内外网接口地址点击“配置”栏中的“网络连接”,选中“Ethernet0/X”,点击“编辑”,如下图所示。
七、配置出网路由(根据网络情况添加内部网络回程路由)八、配置策略九、配置安全防备点击左侧攻击防备安全域选择untrust域系统会自动开启untrust域的安全防备,直接点击确定十、开启监控统计点击监控中流量选项,如果没有开启统计,系统会自动弹出选项是否开启统计集,点击确定开启即可,相同的动作完成想要开启的监控。
开启后系统会生成监控图像。
联系电话:联系人:张立为此文档是由网络收集并进行重新排版整理.word可编辑版本!。
Version3.0Copyright2022Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is fur-nished under a license agreement or nondisclosure agreement.The software may be used or copied only in accord-ance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks. Hillstone Networks本文档禁止用于任何商业用途。
关于本手册本手册为硬件参考指南,帮助用户正确安装山石网科的设备。
获得更多的文档资料,请访问:https://针对本文档的反馈,请发送邮件到:*************************联系信息北京苏州地址:北京市海淀区宝盛南路1号院20号楼5层地址:苏州市高新区科技城景润路181号邮编:100192邮编:215000联系我们:https:///about/contact_Hillstone.html山石网科https://TWNO:TW-HW-KS-CN-V3.0-5/26/2022目录目录I 产品中有毒有害物质或元素的名称及含量VI 前言1内容简介1手册约定1第1章产品介绍2简介2主机硬件介绍2前面板介绍2后面板介绍6指示灯含义8系统参数9端口属性13配置口(CON口)13USB接口14千兆电口14VGA接口15SFP接口15SFP+接口17扩展槽18电源18电源模块19硬盘模块21国家商用密码算法21扩展模块21扩展模块与设备型号对应关系22扩展模块前面板23指示灯含义26端口属性28千兆电口28 SFP接口28 SFP+接口29 QSFP+接口29查看扩展模块信息30第2章设备安装前的准备工作31介绍31安装场所要求31温度/湿度要求31洁净度要求31防静电要求32电磁环境要求32接地要求32检查安装台32机柜要求33机柜尺寸和间距33机柜通风要求33机架要求33机架尺寸和承重要求33机架间距要求33机架固定要求34其它安全注意事项34确认收到的物品34安装设备、工具和电缆34第3章设备的安装35将设备安装在工作台上35将设备安装到标准机架中36使用托盘安装36使用后挂耳安装38使用导轨安装41线缆连接43连接地线43连接配置电缆43连接以太网线缆44连接以太网电口线缆44连接以太网光口线缆44连接交流电源线45连接直流电源线46连接电源适配器48安装完成后的检查48第4章设备的启动和配置49介绍49搭建配置环境49搭建配置口(CON口)的配置环境49搭建WebUI配置环境50搭建Telnet和SSH配置环境51设备的基本配置51使用路由模式连通网络52第5章设备的硬件维护55介绍55开机55关机55电源模块的安装与拆卸56扩展模块的安装与拆卸57第6章常见故障处理59介绍59口令丢失情况下的处理59扩展模块故障处理59电源系统故障处理60配置系统故障处理60产品中有毒有害物质或元素的名称及含量注:并非上述所有部件都含有在内装产品中。
Hillstoneဝᆀపࣶਖ਼ڔཝᆀਈෘഎ၄ݿྟୈۈ۾:StoneOS 5.0R3关于本手册本手册为Hillstone山石网科多核安全网关命令手册。
详细描述StoneOS中用到的所有命令,具体内容有命令的格式、使用方法、参数、默认值和使用实例等。
文档约定在本手册中,StoneOS命令语法描述使用以下约定:·大括弧({ }):指明该内容为必要元素。
·方括弧([ ]):指明该内容为可选元素。
·竖线(|):分隔可选择的互相排斥的选项。
·粗体:粗体部分为命令的关键字,是命令行中不可变部分,用户必须逐字输入。
·斜体:斜体部分为需要用户提供值的参数。
命令实例约定:·命令实例中需要用户输入部分用粗体标出。
·需要用户提供值的变量用斜体标出。
·命令实例包括不同平台的输出,可能会有些许差别。
目录怎样使用StoneOS CL I (1)CLI介绍 (1)命令模式和提示符 (1)执行模式 (1)全局配置模式 (1)子模块配置模式 (1)CLI命令模式切换 (1)命令行错误信息提示 (2)命令行的输入 (2)命令行的缩写形式 (2)自动列出命令关键字 (2)自动补齐命令关键字 (3)命令行的编辑 (3)查看历史命令 (3)快捷键 (3)过滤CLI输出信息 (4)分页显示CLI输出信息 (4)设置终端属性 (5)设置连接超时时间 (5)重定向输出 (5)StoneOS系统管理命令 (6)access (6)admin (6)admin host (7)admin user (8)allow-pwd-change (8){app | ips signature} stat-report (9)arp (10)bandwidth (11)bandwidth-threshold (12)delay-threshold (12)external-bypass enable (13)clock time (14)clock summer-time (15)clock zone (16)configure (16)console timeout (17)cpu (17)debug (19)delete configuration (20)desc (20)dns (21)dst-addr-based-session-counter (22)exec admin user password update (23)exec console baudrate (23)exec format (24)exec detach (24)exec customize (25)exec license apply (25)exec license install (26)exec license uninstall (27)exec webauth kickout (27)exit (28)expire (28)export configuration (29)group (30)hostname (30)http (31)http port (32)https port (33)https trust-domain (33)ike-id (34)import configuration (34)import customize (35)import image (36)interface (37)ip (37)language (39)match (39)monitor (41)nbt-cache enable (41)nbtstat ip2name (42)network-manager enable (42)network-manager host (43)ntp authentication (44)ntp authentication-key (44)ntp enable (45)ntp max-adjustment (45)ntp query-interval (46)ntp server (47)password (47)password(user) (48)password-policy (48)ping (49)privilege (50)reboot (51)role (51)role-expression (52)role-mapping-rule (52)rollback configuration backup (53)save (54)smtp (54)snmp-server contact (55)snmp-server engineID (55)snmp-server group (56)snmp-server host (57)snmp-server location (58)snmp-server manager (58)snmp-server port (59)snmp-server trap-host (59)snmp-server user (60)ssh port (61)ssh timeout (61)tcp (62)telnet authorization-try-count (63)telnet connection-interval (64)telnet timeout (65)threshold (66)traceroute (66)track (67)user (68)user-binding (69)user-group (69)webauth force-timeout (70)webauth http (71)webauth http-port (71)webauth https (72)webauth https-port (72)webauth reauth (73)webauth redirect (73)webauth sso-ntlm (74)webauth sso-ntlm-timeout (75)webauth timeout (75)web timeout (76)系统结构命令 (77)deny-session deny-type (77)deny-session percentage (77)deny-session timeout (78)fragment chain (79)fragment timeout (79)tcp-mss (80)tcp-rst-bit-check (80)tcp-seq-check-disable (81)tcp-syn-check (82)tcp-syn-bit-check (82)安全网关应用模式命令 (84)exec vrouter enable/disable (84)ip vrouter (84)forward-tagged-packet (85)l2-nonip-action (86)virtual-wire enable (86)virtual-wire set (87)vswitch (88)安全网关网络部署模式命令 (89)tap control-interface (89)tap lan-address (89)zone (绑定接口到Tap域) (90)zone (创建Tap域) (90)域(Zone)命令 (92)bind (92)vrouter (92)zone (93)接口(Interface)命令 (94)aggregate aggregate number (94)arp timeout (94)authenticated-arp (95)bgroup bgroup number (96)clear mac (96)combo (97)duplex (97)ftp (98)ftp port (99)holddown (99)holdup (100)interface aggregate number (101)interface aggregate number.tag (101)interface bgroup number (102)interface ethernet m/n (102)interface ethernetX/Y-pppoeZ (103)interface ethernet m/n.tag (104)interface loopback number (104)interface redundant number (105)interface redundant number.tag (105)interface tunnel number (106)interface vlan id (106)interface supervlan X (107)ip address (108)ip mtu (109)lacp (109)lacp max-bundle (110)lacp min-bundle (111)lacp system-priority (112)lacp period-short (112)load-balance mode (113)mac-clone (114)manage (114)mirror to (115)mirror filter (116)primary (117)proxy-arp (117)redundant redundant number (118)reverse-route (119)shutdown (119)speed (120)tunnel (121)webauth auth-arp-prompt (122)zone (122)地址(Address)命令 (124)address (124)host (124)ip (125)member (126)range (126)rename (127)服务(Service)命令 (128)app cache (128)app cache disable (129)app cache static disable (129)application-identify (130)clear app cache table (130)description (131)icmp (131)icmp type (132)longlife-sess-percent (133)protocol (134)servgroup (134)service (135)service service-name (136)tcp | udp application (137)策略(Policy)命令 (139)absolute (139)action (139)clear policy hit-count (140)clear policy hit-count default-action (141)default-action (141)description (142)disable (142)dst-addr (143)dst-host (143)dst-ip (144)dst-range (145)dst-zone (145)enable (146)log (147)import customize webredirect (147)move (148)name (149)periodic (149)periodic (150)policy-global (151)policy-qos-tag tag (151)role (152)user (152)user-group (153)rule (154)rule id (155)schedule (156)schedule (156)service (157)src-addr (157)src-host (158)src-ip (159)src-range (159)src-zone (160)web-redirect (161)安全控制命令 (163)arp (163)arp-disable-dynamic-entry (164)arp-inspection (164)arp-inspection rate-limit (165)arp-inspection trust (165)arp-inspection vlan (166)arp-l2mode (167)arp-learning (167)behavior-profile (168)clear arp (168)clear arp-spoofing-statistics (169)clear dhcp-snooping binding (170)dhcp-snooping(BGroup或者VSwitch接口) (170)dhcp-snooping(物理接口) (171)dhcp-snooping rate-limit (172)dhcp-snooping vlan (172)exec mac-address dynamic-to-static (173)exec urlfilter apply (173)export urlfilter-database (174)gratuitous-arp-send ip (175)host-blacklist (175)host-blacklist ip (176)host-blacklist mac (177)im (178)import urlfilter-database (178)mac-address-static (179)mac-learning (180)urlfilter (180)urlfilter domain-only (181)urlfilter rule type blacklist (181)urlfilter rule type keyword (182)urlfilter rule type whitelist (183)urlfilter unlimit-ip (183)urlfilter unlimit-ip (184)urlfilter whitelist-only (184)url-profile (185)认证与授权命令 (186)aaa-server (186)accounting (186)accounting enable (187)accounting port (188)accounting secret (188)admin auth-server (189)admin auth-server radius-server-name (190)agent (190)auth-method (191)auto-sync (191)backup-aaa-server (192)backup1 (193)backup2 (194)base-dn (194)debug aaa (195)group-class (195)host (196)login-dn (197)login-password (197)member-attribute (198)naming-attribute (198)port (Active-Directory / LDAP) (199)port (RADIUS) (199)retries (200)role-mapping-rule (201)secret (201)timeout (202)user-black-list (202)802.1X 认证协议命令 (204)aaa-server (204)dot1x allow-multi-logon (204)dot1x allow-multi-logon number (205)dot1x auto-kickout (205)dot1x control-mode (206)dot1x enable (207)dot1x max-user (207)dot1x port-control (208)dot1x profile (209)dot1x timeout (210)exec dot1x kickout (210)quiet-period (211)reauth-period (212)retransmission-count (212)server-timeout (213)tx-period (213)网络地址转换(NAT)命令 (215)dnatrule (215)dnatrule move (216)expanded-port-pool (217)nat (217)nat-enable (218)no dnatrule id (219)no snatrule id (219)snatrule (NAT) (220)snatrule(NAT444) (222)snatrule move (223)应用层识别与控制命令 (225)alg (225)alg h323 session-time (225)IPSec协议命令 (227)accept-all-proxy-id (227)anti-replay (227)authentication (228)auto-connect (229)compression deflate (manual) (229)compression deflate (P2) (230)connection-type (230)df-bit (231)dpd (232)encryption (P1) (232)encryption (manual) (233)encryption (P2) (234)encryption-key (235)group (P2) (236)hash (P1) (236)hash (manual) (237)hash (P2) (238)hash-key (239)id (239)interface (240)ipsec proposal (241)ipsec-proposal (241)isakmp peer (242)isakmp-peer (242)isakmp proposal (243)isakmp-proposal (244)lifesize (244)lifetime (P1) (245)lifetime(P2) (245)local-id (246)mode (协商模式) (247)mode (操作模式) (247)nat-traversal (248)peer (248)peer-id (249)pre-share (250)protocol (250)spi (251)track-event-notify (252)trust-domain (252)tunnel ipsec name auto (253)tunnel ipsec name manual (253)type (254)vpn-track (255)Secure Connect VPN命令 (256)aaa-server (256)anti-replay (256)address (257)allow-multi-logon (258)allow-multi-logon number (258)client-auth-trust-domain (259)client-cert-authentication (260)df-bit (261)dns (261)exclude address (262)exec scvpn approve-binding (263)exec scvpn clear-binding (263)exec scvpn increase-host-binding (264)exec scvpn kickout (265)exec scvpn no-host-binding-check (265)exec scvpn no-user-binding-check (266)exec sms send test-message to (266)export aaa user-password (267)export scvpn user-host-binding (268)host-check (268)https-port (269)idle-time (270)import pki cacert (271)import aaa user-password (271)import scvpn user-host-binding (272)interface (273)ip-binding role (273)ip-binding user (274)link-select (275)move (275)phone (276)pool (277)redirect-url (277)scvpn host-check-profile (278)scvpn pool (279)scvpn-udp-port (280)sms-auth enable (280)sms-auth expiration (281)sms modem (281)split-tunnel-route (282)ssl-protocol (283)trust-domain (283)tunnel scvpn (285)tunnel scvpn (285)user-host-verify (286)wins (287)拨号VPN命令 (288)exec generate-user-key rootkey (288)generate-route (288)ike_id (289)user (290)PnPVPN命令 (291)dhcp-pool-address (291)dhcp-pool-gateway (291)dhcp-pool-netmask (292)dns (293)peer_id fqdn (293)split-tunnel-route (294)tunnel-ip-address (295)user (295)wins (296)GRE命令 (297)destination (297)interface (297)next-tunnel ipsec (298)source (298)tunnel gre (299)L2TP命令 (301)aaa-server (301)accept-client-ip (301)address (302)allow-multi-logon (303)avp-hidden (303)clear l2tp (304)dns (304)exclude address (305)exec l2tp kickout (306)interface (306)ip-binding user (307)ppp-lcp-echo interval (308)keepalive (309)move (309)next-tunnel ipsec (310)pool (311)ppp-auth (311)l2tp pool (312)local-name (312)secret (313)transmit-retry (314)tunnel-authentication (314)tunnel l2tp (315)tunnel l2tp (316)tunnel-receive-window (316)wins (317)攻击防护命令 (318)ad all (318)ad arp-spoofing (318)ad dns-query-flood (319)ad huge-icmp-pak (321)ad icmp-flood (321)ad ip-directed-broadcast (322)ad ip-fragment (323)ad ip-option (324)ad ip-spoofing (324)ad ip-sweep (325)ad land-attack (326)ad ping-of-death (326)ad port-scan (327)ad session-limit (328)ad syn-flood (329)ad syn-proxy (331)ad tcp-anomaly (332)ad tear-drop (332)ad tear-drop (333)ad udp-flood (334)ad winnuke (335)clear ad zone (336)clear session-limit (337)交换命令 (338)bridge priority (338)enable (338)forward-delay (339)hello (339)interface vlan id (340)maximum-age (340)stp (341)stp cost (342)stp enable (342)stp priority (343)sub-vlan (343)supervlan (344)switchmode (344)vlan (345)路由命令 (347)access-list route (347)access-list name description (347)aggregate-address (348)area authentication (349)area default-cost (349)area range (350)area stub (351)area virtual-link (351)area virtual-link authentication (352)auto-cost reference-bandwidth (353)bind pbr-policy (354)clear ip bgp (354)continue (355)default-information originate (356)default-information originate (356)default-metric (357)default-metric(BGP) (357)description (358)distance(BGP) (359)distance (360)distance (360)distance ospf (361)domain (362)dst-addr (362)dst-host (363)dst-ip (364)dst-range (364)ecmp enable (365)ecmp-route-select (365)eif (366)enable (367)exec isp-network clear-predefine (367)iif (368)import vrouter (368)ip (369)ip igmp-proxy enable (370)ip igmp-proxy {router-mode | host-mode} (371)ip igmp-snooping enable (371)ip igmp-snooping {router-mode | host-mode | auto | disable} (372)ip multicast-routing (373)ip mroute (373)ip ospf authentication (374)ip ospf authentication-key (375)ip ospf cost (375)ip ospf dead-interval (376)ip ospf hello-interval (377)ip ospf message-digest-key (377)ip ospf priority (378)ip ospf retransmit-interval (378)ip ospf transmit-delay (379)ip rip authentication mode (380)ip rip authentication string (380)ip rip receive version (381)ip rip send version (381)ip rip split-horizon (382)ip route isp-name (384)ip route source (384)ip route source in-interface (385)ip vrouter (386)isp-network (387)llb inbound smartdns (388)llb-outbd-prox-detect (388)llb-outbd-prox-route (389)llb outbound proximity-route (390)match(OSPF) (390)match(PBR) (391)match id (392)max-route (393)move (394)neighbor(BGP) (394)neighbor A.B.C.D peer-group (395)neighbor {A.B.C.D | peer-group} activate (395)neighbor {A.B.C.D | peer-group} default-originate (396)neighbor {A.B.C.D | peer-group} description (396)neighbor {A.B.C.D | peer-group} next-hop-self (397)neighbor {A.B.C.D | peer-group} password (398)neighbor {A.B.C.D | peer-group} remote-as (398)neighbor {A.B.C.D | peer-group} shutdown (399)neighbor {A.B.C.D | peer-group} timers (399)neighbor(RIP) (400)nexthop (401)network(BGP) (401)network(RIP) (402)network area (403)passive-interface (403)pbr-policy (404)redistribute(BGP) (404)redistribute(RIP) (405)redistribute(OSPF) (406)route-map (406)route enable/disable (407)role (408)router bgp (409)router ospf (409)router rip (410)router-id (BGP) (411)router-id (OSPF) (411)service (412)set (412)src-addr (413)src-host (414)src-ip (414)src-range (415)subnet (416)timers (416)timers basic (417)timers spf (418)unknown-multicast drop (418)user (419)user-group (419)version (420)网络参数命令 (422)ac (422)address (422)authentication (423)auto-config interface (423)auto-connect (424)clear host (425)ddns enable (425)ddns name (426)dhcp-client ip (426)dhcp-client route (427)dhcp-relay enable (428)dhcp-relay server (428)dhcp-server enable (429)dhcp-server pool (429)dns (430)dns-proxy (430)domain (431)gateway (432)exclude address (432)idle-interval (433)ip address dhcp (433)ip dns-proxy black-list enable (434)ip dns-proxy white-list enable (434)ip dns-proxy black-list domain (435)ip dns-proxy white-list domain (435)ip address pppoe (436)ip domain lookup (437)ip domain name (437)ip domain retry (438)ip domain timeout (438)ip host (439)ip name-server (439)ip dns-proxy domain (440)ipmac-bind (441)lease (441)maxupdate interval (442)minupdate interval (443)netmask(DHCP) (443)netmask(PPPoE) (444)news (444)pop3 (445)pppoe enable group (445)pppoe-client group (446)pppoe-client group (446)relay-agent (447)route (448)server (448)schedule (449)service (450)smtp (450)static-ip (451)type (451)user(DDNS) (452)user(PPPoE) (452)wins (453)虚拟系统命令 (454)enter-vsys (454)export-to (454)profile (455)session (456)vsys(创建) (457)vsys(接口) (458)vsys-profile (458)vsys-shared (459)QoS管理命令 (460)bandwidth (460)class (460)class-map (461)exception-list (462)disable (462)flex-qos (463)flex-qos low-water-mark (463)flex-qos max-bandwidth (464)flex-qos-up-rate (465)ip-qos (465)match address (466)match application (467)match cos (467)match dscp (468)match ip-range (468)match policy-qos-tag (469)match precedence (470)match-priority (470)match role (471)police (472)priority (473)qos-profile (473)qos-profile (474)qos-profile(嵌套QoS Profile) (475)random-detect (476)role-qos (476)set cos (477)set dscp (478)set precedence (479)shape (479)shaping-for-egress (480)PKI配置命令 (482)crl (482)crl configure (482)enrollment (483)export pki (PKI信任域信息) (483)export pki (本地证书) (484)import pki (PKI信任域信息) (485)import pki (本地证书) (486)keypair (487)pki authenticate (487)pki crl request (488)pki enroll (488)pki export (489)pki import (490)pki import pkcs12 (490)pki key generate (491)pki key zeroize (491)pki key zeroize noconfirm (492)pki trust-domain (492)subject commonname (493)subject country (493)subject localityname (494)subject organization (495)subject organizationunit (495)subject stateorprovincename (496)url (496)高可靠性命令 (498)arp (498)description (498)exec ha sync (499)ha cluster (499)ha group (500)ha link interface (501)ha link ip (501)ha non-group (502)ha sync rdo session (503)ha traffic delay (503)ha traffic enable (504)hello interval (504)hello threshold (505)interface (506)manage ip (506)monitor track (507)preempt (507)priority (508)send gratuitous-arp (509)病毒过滤命令 (510)anti-malicious-sites (510)av enable (510)av max-decompression-recursion (511)av-profile (512)av signature update mode (512)av signature update schedule (513)av signature update server (513)exec av (514)exec av signature update (515)file-type (515)import av signature (516)label-mail (517)mail-sig (518)protocol-type (518)IPS命令 (520)attack-level (520)banner-protect enable (521)brute-force auth (521)brute-force lookup (522)command-injection-check (523)deny-method (523)exec block-ip remove (524)exec block-service remove (524)exec ips (525)external-link-check (527)ips enable (527)ips log disable (528)ips mode (529)ips profile (529)ips signature (530)ips sigset (530)max-arg-length (531)max-bind-length (532)max-black-list (533)max-cmd-line-length (533)max-content-type-length (534)max-content-filename-length (535)max-content-type-length (536)max-failure (536)max-input-length (537)max-path-length (538)max-reply-line-length (539)max-request-length (539)max-rsp-line-length (540)max-scan-bytes (541)max-text-line-length (541)max-uri-length (542)max-white-list (543)protocol-check (543)signature id (544)signature id number disable (545)sigset (546)sql-injection-check (546)virtual-host (547)web-acl (548)web-acl-check (548)xss-check enable (549)网络行为控制命令 (551)behavior (551)behavior-profile (551)bin-type (552)category (553)clear logging nbc (554)clear sslproxy notification (554)contentfilter(进入内容过滤配置模式) (555)contentfilter(绑定内容过滤Profile到策略规则) (555)contentfilter-profile (556)exec contentfilter apply (557)exec url-db update (557)exclude-html-tag (558)export log nbc (558)export pki (559)ftp (560)http (561)im (561)import pki (562)import sslproxy (563)import url-db (564)im-profile (564)keyword (565)keyword-category(URL过滤) (566)keyword-category(网页关键字) (567)keyword-category(Web外发信息) (567)keyword-category(邮件过滤) (568)logging (569)logging nbc to (569)mail (571)mail any (572)mail attach (572)mail control (573)mail enable (574)mail max-attach-size (575)mail others (576)mail-profile (576)mail {sender | recipient} (577)mail whitelist (578)msn | ymsg | qq (579)nbc-user-notification (579)remove database (580)ssl-decode (581)ssl-notification-disable (582)sslproxy (582)sslproxy exempt-match-subject (583)sslproxy-profile (583)sslproxy require-match-subject (584)sslproxy {require-mode | exempt-mode} (585)sslproxy trust-domain (585)sslproxy trustca-delete (586)url(添加URL条目) (586)url(绑定URL过滤Profile到策略规则) (587)url-category(新建URL类别) (588)url-category(URL过滤) (588)url-category(网页关键字) (589)url-category(Web外发信息) (589)url-db update mode (590)url-db update schedule (591)url-db update server (591)url-db-query (592)url-db-query server (593)url-profile (593)webpost (594)webpost all (595)webpost-profile (595)web-surfing-record (596)统计命令 (597)active (597)export statistics-set (597)filter (598)group-by (600)statistics address (601)statistics servgroup (602)statistics-set (602)target-data (603)日志命令 (605)export log event (605)logging (606)logging app-identification (607)logging alarm to (607)logging configuration to (608)logging content [hostname | username] (609)logging debug to (610)logging email to (610)logging event to (611)logging network to (612)logging facility (613)logging security to (613)logging sms (614)logging syslog (615)logging traffic to (616)logging traffic to syslog (616)GTP防护命令 (618)apn (618)gtp-profile(创建GTP Profile) (618)gtp-profile(绑定GTP Profile到策略规则) (619)imsi (620)imei (621)internal-inspect (621)message-type (622)message gtp-in-gtp-deny (623)message length (623)message log (624)message rate (624)message sanity-check (625)msisdn-filter (626)rat (626)rai (627)uli (628)IPv6命令 (630)ad huge-icmp-pak (630)ad ip-fragment (630)ad ip-spoofing (631)ad ipv6 nd-spoofing (633)ad icmp-flood (633)ad land-attack (634)ad ping-of-death (635)ad port-scan (636)ad syn-flood (636)ad syn-proxy (638)ad tcp-anomaly (639)ad tear-drop (639)ad udp-flood (640)address (641)clear ipv6 host (642)clear ipv6 neighbor (642)clear ipv6 nd-spoofing-statistics (643)clear ipv6 pmtu (643)destination (644)dnatrule (644)dnatrule (NAT64) (646)dnatrule move (647)dst-ip (648)dst-range (648)exec ipv6 nd-dynamic-to-static (649)export configuration (650)export image (650)export license (651)export log (652)export pki (652)export scvpn user-host-binding (653)export urlfilter-database (654)icmpv6 type (654)import application-signature (655)import configuration (656)import image (656)import ispfile (657)import license (658)import pki (658)import scvpn user-host-binding (659)import urlfilter-database (660)interface (660)ip (661)ip vrouter (662)ipv6 address (662)ipv6 address autoconfig (663)ipv6 dns-proxy domain (664)ipv6 dns64-proxy id (665)ipv6 enable (665)ipv6 general-prefix (666)ipv6 host (667)ipv6 mtu (667)ipv6 name-server (668)ipv6 neighbor (669)ipv6 nd adv-linkmtu (669)ipv6 nd hoplimit (670)ipv6 nd dad attempts (670)ipv6 nd-disable-dynamic-entry (671)ipv6 nd hoplimit (672)ipv6 nd-inspection (672)ipv6 nd-inspection deny-ra (673)ipv6 nd-inspection rate-limit (673)ipv6 nd-inspection trust (674)ipv6 nd-learning (675)ipv6 nd {managed-config-flag | other-config-flag} (675)ipv6 nd prefix (676)ipv6 nd ns-interval (677)ipv6 nd ra interval (678)ipv6 nd ra lifetime (678)ipv6 nd ra suppress (679)ipv6 nd reachable-time (680)ipv6 pmtu ageout-time (680)ipv6 pmtu enable (681)ipv6 route (682)ipv6 route source (682)ipv6 route source in-interface (683)ipv6 nd router-preference (684)no dnatrule id (685)no snatrule id (685)ping ipv6 (686)policy (687)range (687)rule (688)rule id (689)service (689)show dnat (690)show dnat server (691)show ipv6 dns (691)show ipv6 host (692)show ipv6 interface (693)show ipv6 neighbor (694)show ipv6 nd-spoofing-statistics (694)show ipv6 pmtu (695)show snat (695)show snat resource (696)snatrule (697)snatrule move (698)snmp-server ipv6-host (699)snmp-server ipv6-trap-host (700)snmp-server user (701)src-ip (702)src-range (702)Show命令 (704)show aaa-server (704)show access-list route (705)show ad zone (705)show address (707)show admin host (708)show admin user (708)show alg (709)show app cache status (710)show app logging (710)show arp (711)show arp-spoofing-statistics (711)show auth-user (712)show auth-user dot1x (712)show auth-user interface (714)show auth-user l2tp (714)show auth-user static (715)show auth-user scvpn (715)show auth-user webauth (716)show auth-user vrouter (717)show av-profile (717)show av signature info (718)show av zone-binding (718)show behavior-object (719)show behavior-profile (719)show block-ip (720)show block-notification (720)show block-service (721)show class-map (722)show clock (722)show configuration (723)show configuration running (723)show configuration backup (724)show configuration record (724)show console (725)show contentfilter-profile (726)show contentfilter category (727)show contentfilter count (727)show contentfilter keyword (728)show cpu (728)show database (729)show debug (729)show dhcp-server (730)show dhcp-snooping binding (730)show dhcp-snooping configuration (731)show dnat (731)show dnat server (732)show dns (733)show dns-address (733)show dot1x (734)show dp-filter ip (734)show external-bypass (735)show fib (736)show file (737)show flow deny-session (737)show fragment (738)show ftp (738)show gtp-profile (739)show ha cluster (740)show ha flow statistics (741)show ha group (741)show ha link status (742)show ha protocol statiscitc (742)show ha sync state (743)show ha sync statistic (744)show ha traffic (745)show host-blacklist (745)show http (746)show im-object (746)show im-profile (747)show image (747)show interface (748)show interface bind-tunnels (748)show interface supervlanX (749)show inventory (750)show ip bgp (750)show ip bgp neighbor (751)show ip bgp paths (751)show ip bgp summary (752)show ip hosts (752)show ip igmp-proxy (753)show ip igmp-snooping (753)show ip mroute (754)show ip ospf (755)show ip ospf database (755)show ip ospf database (756)show ip ospf interface (756)show ip ospf neighbor (757)。
版本说明本文件为SG-6000系列安全网关系统固件StoneOS的版本说明,描述版本信息、软件功能以及版本中的已知问题等。
StoneOS 5.0R3P6本节为StoneOS 5.0R3P6版本说明。
产品和版本信息产品名称:Hillstone SG-6000系列安全网关产品型号和系统文件:发布日期:2014年06月06日文档说明Hillstone SG-6000系列安全网关配有以下手册:✹《Hillstone山石网科多核安全网关使用手册》✹《Hillstone山石网科多核安全网关命令手册》✹《Hillstone SG-6000多核安全网关安装手册》✹《Hillstone山石网科多核安全网关扩展模块手册》✹《Hillstone山石网科多核安全网关日志信息参考手册》✹《Hillstone山石网科SNMP私有MIB信息参考手册》版本升级说明从低版本升级到StoneOS 5.0R3P6时,有以下几个问题需要注意:✹系统文件升级说明✹地址簿功能相关配置升级说明✹策略规则相关配置升级说明✹统计集功能相关配置升级说明✹接口镜像功能相关配置升级说明✹攻击防护功能相关配置升级说明系统文件升级说明因较早版本曾对系统文件的大小进行了限制,所以当从4.0R6P15.1(包括4.0R6P15.1)之前的版本升级到5.0R3P6时,用户需要通过sysloader才能升级成功。
可以直接升级5.0R3P6的系统版本包括5.0R2P2之后的5.0R版本、4.5R3P8以及4.5R4P1,更低版本建议先升级到上述版本,然后再升级到5.0R3P6。
地址簿功能相关配置升级说明StoneOS 5.0R3P6为地址条目增加了ID属性。
当把系统从低版本升级到5.0R3P6时,系统会对已有地址簿配置做平滑处理,不影响用户使用。
当把系统从5.0R3P6降级时,已有地址簿配置会丢失。
策略规则相关配置升级说明StoneOS 5.0R3P6将策略规则的默认模式转变为全局配置模式。
服务热线:400 828 6655Hillstone山石网科多核安全网关高级功能配置手册V 5.0版本一.链路负载均衡 (3)1.1基于目的路由的流量负载 (4)1.2基于源路由的流量负载 (6)1.3基于策略路由的流量负载 (7)1.4智能链路负载均衡 (9)二.流量控制QOS配置 (10)2.1配置IP Q O S (10)2.2配置应用Q O S (14)2.3配置混合Q O S (16)2.4配置Q O S白名单 (18)三.NBC网络行为控制配置 (19)3.1URL过滤(有URL许可证) (20)3.2URL过滤(无URL库许可证) (25)3.3网页关键字过滤 (28)3.4网络聊天控制 (33)四.VPN高级配置 (35)4.1基于USB-KEY的SCVPN配置 (35)4.2P N P-VPN (48)五.高可靠性HA配置 (60)一.链路负载均衡当防火墙有多条链路接入,同时需要对内网的流量根据源地址,目的地址或者服务进行流量的负载分摊时,需要进行负载均衡的配置,以便保证流量的负载分担;在配置源地址,目的地址的负载均衡时,可以实现冗余,当某一条路由失效时,可以保证正常的流量转发。
配置多链路负载均衡前,先保证接口,snat和策略都配置正确。
1.确认接口的地址和掩码都配置正确,其中掩码的位数一定和运行商确认:2.两条源地址转换,使内网的流量可以分别nat成对应公网出口地址池的地址,去访问互联网:3.确认流量穿越防火墙时,防火墙策略允许(源和目的地址以及服务可以根据具体情况作相应修改):1.1基于目的路由的流量负载例:e0/1口接入10M电信,e0/2接入20M网通;实现所有访问公网的流量按1:2的比例分别从e0/1口和e0/2口转发出去。
即当设备总共转发3数值的流量时,e0/1转发1数值;e0/2口转发2数值。
Web页面配置如下:1.网络-〉路由-〉新建 :2.创建一条默认路由权值为2,即可得到配置如下:如此即可实现流量从e0/1转发和从e0/2转发的比是10:20即流量的1:2负载。
