32 元
下载资源

山石防火墙命令.doc

上传人:最*** 文档编号:1578174 上传时间:2019-10-29 格式:DOC 页数:28 大小:26.34KB
返回 下载 相关 举报
山石防火墙命令.doc_第1页
第1页 / 共28页
山石防火墙命令.doc_第2页
第2页 / 共28页
山石防火墙命令.doc_第3页
第3页 / 共28页
点击查看更多>>
资源描述
表29-1:手动同步配置命令列表;HA同步信息show命令手动同步命令;配置信息showconfigurationexe;文件信息showfileexechasyncfi;ARP表项showarpexechasyncrd;DNS配置信息showiphostsexecha;DHCP配置信息showdhcpexechasy;MAC地址表showmacexecha表 29-1:手动同步配置命令列表HA 同步信息 show 命令 手动同步命令配置信息show configuration exec ha sync configuration文件信息 show file exec ha sync file file-nameARP 表项show arp exec ha sync rdo arpDNS 配置信息show ip hosts exec ha sync rdo dnsDHCP 配置信息show dhcp exec ha sync rdo dhcpMAC 地址表show mac exec ha sync rdo macshow pki keyPKI 配置信息show pki trust-domainexec ha sync rdo pki会话信息 show session exec ha sync rdo sessionshow ipsec saIPSec VPN 信息show isakmp saexec ha sync rdo vpnshow scvpn client testshow scvpnhost-check-profileshow scvpn poolshow scvpnuser-host-bindingshow scvpn sessionSCVPN 信息show auth-user scvpnexec ha sync rdo scvpnshow l2tp tunnelshow l2tp poolshow l2tp clienttunnel-name name useruser-name| tunnel-id IDL2TP 信息show auth-user l2tpinterface interface-name| vrouter vrouter-nameexec ha sync rdo l2tpWeb 认证信息show auth-user webauth exec ha sync rdo webauthNTP 信息show ntp exec ha sync rdo ntpSCVPN 信息show scvpn exec ha sync rdo scvpn路由信息show ip route exec ha sync rdo route显示HA配置系统提供相应的 show 命令,查看HA 配置信息。? 查看 HA 簇配置信息:show ha cluster? 查看 HA 组配置信息:show ha group config | group-id? 查看 HA 连接配置状态:show ha link statusHillstone 山石网科多核安全网关使用手册519? 查看 HA 同步状态:show ha sync state pki | dns | dhcp | vpn | ntp | config| flow | scvpn | l2tp | route? 查看 HA 同步统计信息:show ha sync statistic pki | dns | dhcp | vpn |ntp | config | scvpn | route? 显示接收和发送的 HA 协议统计信息:show ha protocol statiscitc? 显示已同步或未同步的 HA 会话信息:show session sync | unsync? 显示 HA 统计信息:show ha flow statisticsHillstone 防火墙系统管理配置:1、 语言配置:language zh_CN 设置为中文2、 管理员用户访问权限:在管理员配置模式下,输入以下命令配置管理员的访问方式:access console | http | https | ssh | telnet | any3、 限制IP地址对防火墙管理配置系统的可信主机,在全局配置模式下,使用以下命令:admin host A.B.C.D A.B.C.D | any http | https | ssh | telnet | any 用户可以在任何模式下,随时使用 show 命令查看可信主机配置:show admin host4、 配置描述配置用户描述信息,为用户提供描述信息,在用户配置模式下,使用以下命令:desc string5、 配置Console管理接口配置波特率 exec console baudrate 9600 默认9600配置超时时间 console timeout timeout-value 范围是0 到60 分钟,0 表示 无时间限制。默认值是10 分钟。配置Telnet管理接口 telnet timeout timeout-value 范围是1 到60 分钟。默认值是10 分钟 telnet port port-number 默认值是23telnet authorization-try-count count-number 范围是1 到10 次默认为3 次6、 配置WEB认证服务器端口号webauth http-port port-number 默认值是 8181。webauth https-port port-number 默认值是44433。webauth timeout timeout-value 取值范围是10 到3600*24 秒。默认为60 秒7、 强制用户重新登录webauth force-timeout timeout-value 范围为10 到60*24*100 分钟。? 显示 Console 配置:show console? 显示 Telnet 配置:show telnet? 显示 SSH 配置:show ssh? 显示 Web 配置:show http8、 查看配置信息系统起始配置信息包括系统的当前起始配置信息(系统启动时使用的配置信息),和系统的备份起始信息。系统纪录最近十次保存的配置信息,最近一次保存的配置信息会纪录为系统的当前起始配置信息,当前系统配置信息以“current”作为标记。前九次的配置信息按照保存时间的先后以数字0 到8 作为标查看安全网关的当前起始配置信息,在任何命令模式下输入以下命令:show configuration saved current查看安全网关的备份起始信息,在任何命令模式下使用以下命令:show configuration saved number查看安全网关的备份起始信息记录,在任何命令模式下输入以下命令:show configuration saved record9、 回退起始配置信息系统能够纪录最近十次保存的起始配置信息,用户可以根据需要回退到已保存的指定的起始配置信息。系统重启后,系统将会使用该命令指定的配置信息。在执行模式下,使用以下命令: rollback configuration saved number10、 删除配置文件用户可以删除设备的起始配置信息。删除起始配置信息,在执行模式下,使用以下命令: delete configuration saved current | number导出配置信息用户可以导出系统的当前配置信息和备份配置信息到 FTP 服务器、TFTP 服务器或者U 盘。导出系统配置信息到 FTP 服务器,在执行模式下使用以下命令:export configuration current | number to ftp server ip-address user user-name password password file-nameimport configuration from ftp server ip-address user user-name passwordpassword file-name11、 恢复出厂配置用户除使用设备上的 CRL 按键使系统恢复到出厂配置外,也可以使用命令恢复。恢复出厂配置,在执行模式下,使用以下命令:unset all12、 日志管理将事件日志信息输出到内存缓存,并且对日志信息进行过滤,在全局配置模式下使用以下命令:logging event to buffer severity severity-level size buffer-size ? severity severity-level 指定输出的事件日志信息的级别从而对事件日志信息 进行过滤。日志信息的级别和对应的级别号请参阅表4-2。输出信息的级别将会是指定级 别或者高于指定级别,即数字等于或者小于指定级别。例如指定级别是通告,StoneOS 将 会输出通告、警告和错误级别的日志信息。? size buffer-size 指定内存缓存的大小。范围是4096 到4294967295 字节。默 认值为1048576。级别 级别号 描述 日志定义紧急(Emergencies) 0 系统不可用信息。LOG_EMERG警报(Alerts) 1 需要立即处理的信息,如设备受到攻击等。LOG_ALERT严重(Critical) 2 危急信息,如硬件出错。LOG_CRIT错误(Errors) 3 错误信息。LOG_ERR警告(Warnings) 4 报警信息。LOG_WARNING通告(Notifications) 5 非错误信息,但需要特殊处理。LOG_NOTICE信息(Informational) 6 通知信息。LOG_INFO调试(Debugging) 7 调试信息,包括正常的使用信息。LOG_DEBUG开启:logging event | alarm | security | configuration | network | traffic | debug | ips onsize buffer-size - 内存缓存的大小。范围是4096 到4294967295 字节。默认值 为1048576示例1:向Console口输出事件日志信息;第一步:开启事件日志功能;hostname#configure;hostname(config)#logging;第二步:配置Console口日志输出,信息级别为;hostname(config)#logging;示例2:向SyslogServer输出事件日志信;第一步:开启安全网关的日志功能,将IP地址为20;类示例 1:向Console口输出事件日志信息第一步:开启事件日志功能。hostname# configurehostname(config)# logging event on第二步:配置Console 口日志输出,信息级别为Debugging。hostname(config)# logging event to console severity debugging示例 2:向Syslog Server输出事件日志信息第一步:开启安全网关的日志功能,将IP 地址为202.38.1.10 的工作站用作Syslog Server,类型为UDP,设置信息级别为Informational。hostname(config)# logging event onhostname(config)# logging syslog 202.38.1.10 udp 514hostname(config)# logging event to syslog severity informational13、 显示基于接口的统计信息show statistics interface-counter interface interface-name second| minute | hour? interface-name 指定接口名称。? second 指定显示接口前60 秒钟每秒的流量统计信息。? minute 指定显示接口前60 分钟每分钟的流量统计信息。? hour 指定显示接口前24 小时每小时的流量统计信息。14、 安全网关的SNMP功能开启或者关闭SNMP代理功能默认情况下,系统的 SNMP 代理功能是关闭的。开启安全网关的SNMP 代理功能,请在全局 配置模式下使用以下命令。用该命令no 的形式关闭SNMP 代理功能。? snmp-server manager配置SNMP代理设备端口号配置 SNMP 代理设备端口号,在全局配置模式下,使用以下命令:snmp-server port port-number? port-number 指定SNMP 代理设备的端口号。范围为1 到65535。默认值为161。配置SNMP引擎IDSNMP 引擎ID 唯一标识一个引擎,SNMP 引擎是SNMP 实体(网络管理平台或者被管理网络设备)的重要组成部分,完成SNMP 消息的收发、验证、提取PDU、组装消息与SNMP 应用程序通信等功能。配置本地设备的SNMP 引擎ID,在全局配置模式下使用以下命令:snmp-server engineID string? string 指定引擎 ID 号。取值范围为1 到23 个字符创建SNMPv3 用户组配置 SNMPv3 用户组,请在全局配置模式下使用以下命令:snmp-server group group-name v3 noauth | auth | auth-enc read-view read-view write-view writeview? group-name 指定用户组的名称。取值范围为1 到31 个字符。? noauth | auth | auth-enc 指定用户组的安全级别。可以为noAuth、Auth 或者Auth-Enc。安全级别决定了在处理一个SNMP 数据包时所采用的安全机制。noAuth 即无 认证和加密;Auth 提供基于MD5 或SHA 算法的认证;Auth-Enc 提供基于MD5 或SHA 算法的认证和基于AES 和DES 的报文加密。? read-view read-view 指定该用户组的只读MIB 视图名。如不指定该参数,系统默认为所有视图均为该用户组的只读MIB 视图。? write-view writeview 指定该用户组的可写MIB 视图名。如不指定该参数,系统 默认为所有视图均为该用户组的可写MIB 视图。系统最多允许配置 5 个用户组,且每个用户组最多可包含5 个用户。在全局配置模式下使用no snmp-server group group-name 命令删除指定的用户组创建SNMPv3 用户配置 SNMPv3 用户,请在全局配置模式下使用以下命令:snmp-server user user-name group group-name v3 remote remote-ipauth-protocol md5 | sha auth-pass enc-protocol des | aes enc-pass? user user-name 指定用户名称。取值范围为 1 到31 个字符。? group group-name 为所创建的用户指定已经配置好的用户组。? remote remote-ip 指定远程管理主机的IP 地址。? auth-protocol md5| sha 指定用户安全级别为需要认证且认证协议可以为 MD5或SHA 算法。如不输入此参数,则默认是无认证,无加密模式。? auth-pass 指定认证密码。取值范围为8 到40 个字符。? enc-protocol des| aes 指定用户安全级别为加密且加密协议为DES或者AES。 ? enc-pass 指定加密密码。取值范围为8 到40 个字符。系统最多允许配置 25 个用户。在全局配置模式下使用no snmp-server user user-name命令删除指定的用户配置管理主机地址配置管理主机地址,请在全局配置模式下使用以下命令:snmp-server host host-name | host-ip version 1 | 2c community stringro | rw | version 3? host-name | host-ip 指定管理主机的主机名称或者IP 地址。? version 1 | 2c 指定 SNMP 的版本为SNMPv1 或者SNMPv2C。? community string 团体字是管理进程和代理进程之间的口令,因此与安全网关认可的团体字不符的SNMP 报文将被丢弃。该参数指定主机的团体字,取值范围为一个最多31 位的字符串,且仅当SNMP 为v1 和v2C 版本时有效。? ro | rw 指定该团体字的读写权限。ro 为只读,此类团体字只可读取MIB 中的信息;rw 为可读可写,此类团体字不仅可以读取MIB 中的信息,还可以对信息进行修改。此项 为可选,默认情况下,团体字的访问权限为只读。? version 3 指定 SNMP 的版本为SNMPv3配置trap报文目标主机地址用户可以配置接收 SNMP trap 报文的主机。配置SNMP trap 报文目标主机地址,请在全局配置模式下使用以下命令:snmp-server trap-host host-name | host-ip version 1 | 2c community string | version 3 user user-name engineID string port port-number ? host-name | host-ip 指定 trap 报文目标主机的主机名称或者IP 地址。 ? port port-number 指定接收 trap 报文的目标主机端口号。取值范围为1 到65535,默认值为162。? version 1 | 2c 指定使用 SNMPv1 或者SNMPv2C 发送trap 报文。 ? community string 指定 SNMPv1 或者SNMPv2C 的团体字。? version 3 指定使用SNMPv3 发送trap 报文。? user string 指定已配置的SNMPv3 用户名。? engineID string 指定 trap 报文目标主机的引擎ID 号。? port port-number 指定接收 trap 报文的目标主机端口号。取值范围为1 到65535,默认值为162。配置管理员的标识及联系方法,请在全局配置模式下使用以下命令:snmp-server contact string? string 描述系统联络信息的字符串15、 NET协议手动配置时间手动配置系统的时间,请在全局配置模式下使用 clock time 命令。具体命令及描述以下:clock time HH:MM:SS Month Day YearMonth 的取值范围是1 到12;Day 的取值范围是1 到31;Year 的取值范围是2000 到2035。以下是设置时间的命令配置示例:hostname(config)# clock time 14:26:00 6 22 2007手动配置时区手动设置系统的时区,请在全局配置模式下使用 clock zone 命令。具体命令及描述如下: clock zone timezone-name? 启用:ntp enablentp server ip-address | host-name key number sourceinterface-nameprefer? ip-address | host-name 指定时钟服务器的IP 地址或主机名称。? key number 指定可以通过该服务器的验证密钥。如果要在配置的时钟服务器上使用 NTP 身份验证功能,用户必须指定key 参数值。? source interface-name 指定安全网关上发送和接收NTP 包的接? prefer 如果指定了多个时钟服务器,该关键字用来指定该服务器为主时钟服务器。安全网关首先与主服务器进行时间同步,如果失败,再查找下一个时钟服务器。以下是时钟服务器配置示例:hostname(config)# ntp server 10.160.64.5 preferNTP配置示例NTP 服务器的IP 地址是10.10.10.10;身份验证密钥ID 和MD5 验证密钥分别是1 和aaaa;查询间隔为3 分钟;最大调整时间为5 秒。配置完成后开启安全网关的NTP 身份验证功能和NTP功能。最后查看NTP 配置信息和状态。请参考以下配置命令:hostname(config)# ntp authentication-key 1 md5 aaaahostname(config)# ntp server 10.10.10.10 key 1 preferhostname(config)# ntp query-interval 3hostname(config)# ntp max-adjustment 5hostname(config)# ntp authenticationhostname(config)# ntp enablehostname(config)# show ntp statusntp client is enabled, authentication is enabledntp query-interval is 3, max-adjustment time is 5ntp server 10.10.10.10, key 1, prefer山石网科安全网关配置命令27山石网科;申请功能;(平台);QOS流量分配;AV复合端口;IPS入侵;NBC网络行为管理支持SG型号;URLDB是NBC子键支持SG型号;HSM设备集;4GE-B当断电后仍然可以通讯;SSHsecureShell安全外壳协议;是一种在不安全网络上提供安全登录和其他安全网络服;NAT步骤:;,接口IP;,配路由;缺省路由:0.0.0.00.0.0.019山石网科申请功能(平台)QOS 流量分配AV 复合端口IPS 入侵NBC 网络行为管理 支持SG型号URLDB 是NBC子键 支持SG型号HSM 设备集4GE-B 当断电后仍然可以通讯SSH secure Shell 安全外壳协议是一种在不安全网络上提供安全登录和其他安全网络服务的协议。NAT 步骤:,接口IP,配路由缺省路由:0.0.0.0 0.0.0.0 192.168.1.2回值路由:0.0.0.0 192.168.1.x 192.168.1.1策略路由:,NATSNATDNATMAP ( IP PORT ),policy(策略)检查配置环境show seccion generic 显示连接数show interface (name) 显示接口信息show zone(zone name) 显示安全域类型show admin user 显示系统管理员信息show admin user (name)显示系统管理员配置信息show version 显示版本号信息show arp 显示解析地址show fib 显示路由信息show snat 显示nat 配置no snatrule id 号 删除NAT配置show ip route 显示路由信息save 保存配置unset all 清楚配置(恢复出厂设置。配接口(config)# interface Ethernet0/2(config-if-0/2)# zone trust 或/untrust 建立区信任/不信任(config-if-0/2)# ip add 192.168.1.1/24(config-if-0/2)# manage ping 开通PING(config-if-0/3)# manage http 开通HTTP(config-if-0/3)# manage telnet 开通telnet配路由(config)# ip vrouter trust-vr 这个命令意思是可以配置多个路由(config-route)# ip route 0.0.0.0/0 192.168.1.1配NAT(config)# nat(config-nat)# snatrule id 1 from any to any trans-to eif-ip mode dynamicport (config)#policy# rule from any to any server any dynamicport系统管理web:系统-设备管理-基本信息CLI:(config)# hostname (name) 配置安全网关名(config)# no hostname 清楚安全网关名管理员密码策略配置模式hostname(config)# password policy 进入管理员策略配置式hostname(config-pwd-policy)# admin complexity 1 启用密码复杂度限制hostname(config=pwd-policy)# admin min-length (length value) 启用密码最少位限制配置系统管理员(config)# admin user (user-name) 配置管理员名称(config)# no admin user (user-name) 删除管理员名称(config-hostname)# privilege PX/RXW 管理员模式下:配置管理员特权 PX是读,执行 PXW 是读,执行,写。(config-hostname)# password password 配置管理员密码(config-hostname)# accessconsole|https|ssh|telnet|any 配置管理员的访问方式show admin user 显示管理员信息show admin user (user-name) 显示管理员配置信息配置可信主机web:系统-设备管理-可信主机可以添加子网 如192.168.1.0/24 也可以按IPrange 添加 如:192.168.1.1-192.168.1.100 CLI:(config)# admin host 192.168.1.0 255.255.255.0 http |https |ssh |telnet| 配置可信主机IP 指定可信主机的登录方式(config)# admin host any any 配置任意可信地址 允许任意登录方式(config)# no admin host 192.168.1.0 255.255.255.0 取消可信主机(config)# no admin host 192.168.1.0 255.255.255.0 http| telnet | 取消可信主机登录方式用户接口类型:Console telnet ssh webUI各种访问方式的超时时间,端口号以及https的PKI信任域在一分钟内连续三次登录失败,系统将会将登陆失败的IP锁定两分钟。被锁定的IP地址在两分钟之内不能建立设备的连接web:系统-设备管理-用户接口CLI:(config)# telnet timeout (timeout-value 单位分钟) 配置telnet超时时间(config)# telnet port (port-number端口号) 配置端口号(config)# telnet authorization-try-count (count-number次数号) 配置telnet最大登陆次数配置SSH管理接口(config)# ssh timeout (timeout-value)(config)# ssh port (port-unmber)(config)# ssh connection-interval (interval-time 配置ssh连接时间间隔)配置webUI管理接口(config)# web timeout (timeout-value)(config)# http port (port-unmber)(config)# https port (port-unmber)(config)# https trust-domain trust-domain-name( 指定https方式访问时使用的PKI信任域)显示用户使用接口配置show consoleshow telnetshow sshshow http配置防NAT配置原NatwebBUI防火墙-nat-原NATnat规则基于Vrouter创建并生效配置SNAT和DNAT (CLI)eig(config)#net(config-net)#snatrule id 1 from any to any eif ethernet0/0 trans-to eif-ip mode dynameicport (config-net)#exit配置DNAT(config)#net(config-net)#dnatrule id 2 from any to 222.243.12.12 service ftp trans-to 192.168.1.250 port 21 (config-net)#exit调整规则排列顺序,在nat模式下配置使用以下命令snatrule move id before id |after id| top| bottomdnatrule move id before id |after id| top| bottom删除规则(config-net)# no snatrule id 1(config-net)# no dnatrule id 2显示NET配置信息show snat (id)show dnat resourceshow dnat (id)显示配置负载功能的DNAT规则信息show load-balance rule 显示负载均衡服务器状态,使用一下命令show load-balance server安全策略高级特性防火墙二层防护ARP防御配置ARP学习功能 在接口模式下开启ARP学习功能 ARP-learning关闭ARP学习功能 no ARP-learning在group接口或vswitch接口下开启MAC学习功能 mac-learning关闭MAC学习功能 no mac-learning
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 模板表格


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!