山石网科安全网关配置命令

Hillstone山石网科

下一代防火墙

基础配置手册

V5.5版本

Hillstone Networks Inc.

服务热线：400 828 6655

内容提交人审核人更新内容日期

陈天骄陈天骄初次编写2016/1/14

目录

1 设备管理 (3)

1.1 终端console登录 (3)

1.2 网页WebUI登录 (3)

1.3 恢复出厂设置 (5)

1.3.1 CLI命令行操作 (5)

1.3.2 WebUI图形化界面操作 (5)

1.3.3 硬件CLR操作 (6)

1.4 设备系统（StoneOS）升级 (6)

1.4.1 通过sysloader升级 (6)

1.4.2 通过CLI升级 (9)

1.4.3 通过WebUI升级 (9)

1.5 许可证安装 (10)

1.5.1 CLI命令行安装 (10)

1.5.2 WebUI安装 (11)

2 基础上网配置 (11)

2.1 接口配置 (11)

2.2 路由配置 (13)

2.3 策略配置 (14)

2.4 源地址转换配置（SNAT） (15)

3 常用功能配置 (16)

3.1 PPPoE拨号配置 (16)

3.2 动态地址分配（DHCP）配置 (17)

3.3 IP-MAC地址绑定配置 (20)

3.4 端到端IPSec VPN配置 (21)

3.4.1 配置第一阶段P1提议 (22)

3.4.2 配置ISAKMP网关 (23)

3.4.3 配置第二阶段P2提议 (24)

3.4.4 配置隧道 (25)

3.4.5 配置隧道接口 (26)

3.4.6 配置隧道路由和策略 (28)

3.4.7 查看VPN状态 (29)

山石防火墙命令

表29-1：手动同步配置命令列表；HA同步信息show命令手动同步命令；配置信息showconfigurationexe；文件信息showfileexechasyncfi；ARP表项showarpexechasyncrd；DNS配置信息showiphostsexecha；DHCP配置信息show dhcpexechasy；MAC地址表showmacexecha

表 29-1：手动同步配置命令列表

HA 同步信息 show 命令手动同步命令

配置信息show configuration exec ha sync configuration

文件信息 show file exec ha sync file file-name

ARP 表项show arp exec ha sync rdo arp

DNS 配置信息show ip hosts exec ha sync rdo dns

DHCP 配置信息show dhcp exec ha sync rdo dhcp

MAC 地址表show mac exec ha sync rdo mac

show pki key

PKI 配置信息

show pki trust-domain

exec ha sync rdo pki

会话信息 show session exec ha sync rdo session

show ipsec sa

IPSec VPN 信息

show isakmp sa

exec ha sync rdo vpn show scvpn client test show scvpn

Version5.5R8

Copyright2020Hillstone Networks.All rights reserved.

Information in this document is subject to change without notice.The software described in this document is furnished under a license agreement or nondisclosure agreement.The software may be used or copied only in accordance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hill-stone Networks.

Hillstone Networks

本文档禁止用于任何商业用途。

联系信息

北京苏州

Hillstone山石网科多核安全网关

快速配置手册

Hillstone山石网科

QS-UG0509-V1.1-01

前言

手册内容

首先感谢您使用山石网科的网络安全产品。本手册为Hillstone山石网科多核系列安全网关的快速配置手册，对Hillstone山石网科多核系列安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI的配置。

本手册的内容包括以下各章：

♦搭建配置环境。介绍配置环境信息以及WebUI配置环境的搭建。

♦第2章系统管理。介绍系统固件StoneOS的升级、配置文件的备份等。

♦第3章快速部署安全网关。介绍安全网关的路由应用模式部署。

♦第4章对外发布服务器。介绍DNAT的基本配置。

♦第5章IP QoS。介绍IP QoS的配置用例。

♦第6章应用QoS。介绍应用QoS的配置用例。

♦第7章SCVPN。介绍SCVPN的配置用例。

手册约定

为方便用户阅读与理解，本手册遵循以下约定：

内容约定

本手册内容约定如下：

♦提示：为用户提供相关参考信息。

♦说明：为用户提供有助于理解内容的说明信息。

♦注意：如果该操作不正确，会导致系统出错。

♦『』：用该方式表示WebUI页面上的链接、标签或者按钮。

♦< >：用该方式表示WebUI页面上提供的文本信息，包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。

目录

第1章搭建配置环境 (1)

配置环境介绍 (1)

搭建WebUI配置环境 (1)

搭建Console配置环境 (3)

安全网关的基本配置 (3)

第2章系统管理 (5)

介绍 (5)

Web界面配置指导

Version 5.0

Hillstone Networks

目录

Web界面配置指导Version 5.0 (1)

目录 (2)

一设备的登录 (1)

二基本上网配置 (1)

1.设置接口信息 (1)

2.增加内网上网的目的路由 (3)

3.增加内网用户上网的NAT配置 (3)

4.增加内网用户访问外网的策略 (4)

5.命令行配置 (5)

三端口映射 (7)

四IPSecVPN两种模式的配置 (10)

1.创建IPSecVPN (10)

2.路由模式VPN (11)

3.策略模式VPN (14)

五SSLPN配置 (16)

六Web认证上网功能配置 (20)

七URL日志记录 (23)

八IP-MAC绑定实现IP或MAC变更不能上网 (24)

九设备恢复出厂操作 (26)

十AAA服务器使用AD域类型的配置 (27)

十一SSLVPN调用两个AAA中的用户认证 (30)

十二HA配置注意事项 (31)

一设备的登录

设备默认的管理接口为ethernet0/0，登录的ip为192.168.1.1,，默认的管理账号为hillstone，密码为hillstone。

把本地电脑网卡填写IP为192.168.1.2，使用web、telnet、ssh均可登录，，在浏览器中输入192.168.1.1 就可以通过WEBui的方式登录管理设备。

注意：如果是SG6000-NAV 系列的http的服务端口统一为9090，https的服务端口统一为8443。所以默认登录该设备的WEBui的方式为http://192.168.1.1:9090,或https://192.168.1.1:8443登录的账号密码都为hillstone。

HillStone SA-2001配置手册

1 网络端口配置 (2)

2 防火墙设置 (12)

3 VPN配置 (14)

4 流量控制的配置 (25)

4.1P2P限流 (25)

4。2禁止P2P流量 (26)

4。3IP流量控制 (29)

4.4时间的设置 (30)

4.5统计功能 (33)

5 基础配置 (36)

本文是基于安全网关操作系统为Version 3。5进行编写,如版本不同,配置过程有可能不一样。

1 网络端口配置

SA-2001安全网关前面板有5个千兆电口、1个配置口、1个CLR按键、1个USB接口以及状态指示灯。下图为SA-2001的前面板示意图：

序号标识及说明序号标识及说明

1 PWR:电源指示灯 5 CLR：CLR按键

2 STA：状态指示灯 6 CON:配置口

3 ALM：警告指示灯7 USB:USB接口

4 VPN：VPN状态指示灯8 e0/0-e0/4：以太网电口

将网线接入到E0/0。防火墙的ethernet0/0接口配有默认IP地址192.168.1.1/24，但该端口没有设置为DHCP服务器为客户端提供IP地址，因此需要将PC机的IP地址设置为同一网段,例如192.168.1.2/24才能连上防火墙.

通过IE打开192.168。1。1，然后输入默认的用户名和密码（均为hillstone）登录后的首页面。可以看到CPU、内存、会话等使用情况.

很多品牌的防火墙或者路由器等，在默认情况下内网端口都是划分好并且形成一个小型交换机的，但是hillstone的产品却需要自己手工设置.在本文档中，我们准备将E0/0划分为UNTRUST口连接互联网,E0/1~E0/4总共4个端口我们则划到一个交换机中并作为TRUST口连接内网。

Version 5.5ST00001B111

1

版权所有，保留所有权利Copyright © 2021, Hillstone Networks

TW-RN-OSG-V5.5ST00001B111-CN-V1.0-Y21M01

山石网科运维安全网关V5.5ST00001B111

发布概述

发布日期：2021年1月11日

本次发布重点新增RDP运维支持NLA网络基本身份验证、新增AD域认证用户同步、针对Windows类资产账号改密中新增“winRM服务方式”改密方式；新增图形应用Chrome浏览器支持http/https资产运维等新功能，同时优化和修复了一些功能问题。在升级V5.5ST00001B111版本时，请务必查看“升级注意事项”进行升级。

产品型号和升级包文件

新增功能

已解决问题

升级注意事项

1、在升级到V5.5ST00001B111版本后，无法通过IE8浏览器访问设备页面。建议用户不要使用IE8浏览

器进行升级。如在某些环境中，需要使用IE8访问设备页面，可以在升级V5.5ST00001B111版本之后，再使用“openssl配置回退包（upgrade_iam_090_openssl_back.tar.gz）”进行回退。

2、在升级到V5.5ST00001B111版本后，如果用户需要导入新的授权文件，请先导入“授权清理包

（upgrade_iam_license_clean.tar.gz）”清除原授权文件。

3、集群/热备环境升级前需要解除集群/热备环境。确保单机环境升级。

4、在升级到V5.5ST00001B111版本后，请先清除浏览器页面缓存，重启设备

服务热线：400 828 6655

Hillstone山石网科

多核安全网关

基础配置手册

V 4.0版本

目录

一．设备管理 (1)

1.1终端CONSOLE登录 (1)

1.2网页W EB UI登录 (1)

1.3恢复出厂设置 (2)

1.4设备软件S TONE-OS升级 (4)

1.5许可证安装 (7)

二．基础上网配置 (8)

2.1接口配置 (8)

2.2路由配置 (10)

2.3策略配置 (11)

2.4源地址转换配置 (12)

三．常用功能配置 (13)

3.1PPP O E拨号配置 (13)

3.2动态地址分配DHCP配置 (15)

3.3I P-M AC地址绑定配置 (17)

3.4端到端I PSEC VPN配置 (19)

3.5远程接入SCVPN配置 (26)

3.6目的地址转换DNAT配置 (34)

3.6.1一对一IP映射 (34)

3.6.2一对一端口映射 (38)

3.6.3多对多端口映射 (43)

3.6.4一对多映射（服务器负载均衡） (49)

一．设备管理

安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。

1.1 终端console登录

通过Console 口配置安全网关时需要在计算机上运行终端仿真程序（系统的超级终端、SecureCRT等）建立与安全网关的连接，并按如下表所示设置参数（与连接Cisco设备的参数一致）：

1.2网页WebUI登录

WebUI同时支持http和https两种访问方式，首次登录设备可通过默认接口ethernet0/0来进行，登录方法为：

Web界面配置指导

Version 4.0

Hillstone山石网科

目录

一、设备的登录 (2)

二、基本上网配置 (3)

三、端口映射 (8)

四、IPSECVPN两种模式的配置 (14)

五、SCVPN配置 (19)

六、WEB认证上网功能配置 (23)

七、URL日志记录 (26)

八、IP-MAC绑定实现IP或MAC变更不能上网 (28)

九、设备恢复出厂操作 (30)

十、AAA服务器使用AD域类型的配置 (31)

十一、SCVPN调用两个AAA服务器中的用户认证登录 (34)

十二、HA配置注意事项 (35)

一、设备的登录

设备默认的管理接口为ethernet0/0，登录的ip为192.168.1.1,，默认的管理账号为hillstone，密码为hillstone。

把本地电脑网卡填写IP为192.168.1.2，使用web、telnet、ssh均可登录，，在浏览器中输入192.168.1.1 就可以通过WEBui的方式登录管理设备。

注意：如果是SG6000-NAV 系列的http的服务端口统一为9090，https的服务端口统一为8443。所以默认登录该设备的WEBui的方式为http://192.168.1.1:9090,或

h ttps://192.168.1.1:8443登录的账号密码都为hillstone

二、基本上网配置

1.设置接口信息

购买的宽带地址是静态IP，一般会营业厅会告知IP地址、子网掩码、网关、DNS。

例如IP地址200.0.0.188 子网掩码255.255.255.0 或24，网关200.0.0.1

Hillstone常用配置命令整理

The default initial password: hillstone/hillstone

View commands: show, which can be used directly in configuration mode, but needs to be done.

Show conf int eth0/0 to view the subitems under the configuration file, commonly used with interface, address, policy,

Show conf record: view the time generated by the configuration file

Show version: view the system version information, boot time

Show service: view the defined service (port) information

Show reference service XXXX: see what the service XXXX is referenced

Show admin auth-server: see the administrator login authentication server

Show aaa - server radius: view the configuration of the radius server

山石网科运维安全网关V5.5ST00001B108 发布概述

发布日期：2019年10月23日

本次为正式版首次公开发布，主要内容为产品型号、产品功能列表和注意事项。

产品型号

产品功能列表

注意事项

山石网科

申请功能

（平台）

QOS 流量分配

AV 复合端口

IPS 入侵

NBC 网络行为管理支持SG型号

URLDB 是NBC子键支持SG型号

HSM 设备集

4GE-B 当断电后仍然可以通讯

SSH secure Shell 安全外壳协议

是一种在不安全网络上提供安全登录和其他安全网络服务的协议。

NAT 步骤：

①，接口IP

②，配路由

缺省路由：0.0.0.0 0.0.0.0 192.168.1.2

回值路由：0.0.0.0 192.168.1.x 192.168.1.1

策略路由：

③，NAT

SNAT

DNAT

MAP ( IP PORT )

④，policy(策略)

检查配置环境

show seccion generic 显示连接数

show interface (name) 显示接口信息

show zone(zone name) 显示安全域类型

show admin user 显示系统管理员信息

show admin user (name)显示系统管理员配置信息

show version 显示版本号信息

show arp 显示解析地址

show fib 显示路由信息

show snat 显示nat 配置

no snatrule id 号删除NAT配置

show ip route 显示路由信息

save 保存配置

unset all 清楚配置(恢复出厂设

置。

配接口

(config)# interface Ethernet0/2

(config-if-0/2)# zone trust 或/untrust 建立区信任/不信任

(config-if-0/2)# ip add 192.168.1.1/24

Hillstone安装配置⼿册

Hillstone安全⽹关NAV50配置⼿册

⼀、配置准备

Hillstone ⼭⽯⽹科多核安全⽹关提供WebUI 界⾯，使⽤户能够更简便与直观地对设备进⾏管理与配置。安全⽹关的ethernet0/0 接⼝配有默认IP 地址192.168.1.1/24，并且该接⼝的各种管理功能均为开启状态。初次使⽤安全⽹关时，可以通过该接⼝访问安全⽹关的WebUI 页⾯。请按照以下步骤搭建WebUI 配置环境：

1. 将管理PC 的IP 地址设置为与19

2.168.1.1/24 同⽹段的IP 地址，并且⽤⽹线将管理PC与安全⽹关的ethernet0/0 接⼝进⾏连接。

2. 在管理PC 的Web 浏览器中访问地址https://192.168.1.1 并按回车键。出现登录页⾯如下图所⽰：

3.输⼊⽤户名和密码。安全⽹关提供的默认⽤户名和密码均为“hillstone”。点击『登录』按钮进⼊安全⽹关的主页。

⼆、版本升级

设备出⼚时为默认版本Version4.0。最新的版本Version4.5更强⼤。建议升级到最新版本。点击软件版本后的升级选项。

弹出如下页⾯：

点击升级，弹出如下页⾯

点击浏览，选中电脑本地的软件版本。

选择后出现如下页⾯：

加载完后，选择下次启动时使⽤的系统软件会现实为4.5版本。点击确定按钮

点击确定

重启设备

点击确定

重启后的页⾯

三、更新系统时间（时间与⽣成⽇志有关）

点击同步，然后点击确定。

四、修改登录密码和添加新账号

五、安装正式许可证

六、配置内外⽹接⼝地址

点击“配置”栏中的“⽹络连接”，选中“Ethernet0/X”，点击“编辑”，如下图所⽰。

版本说明

本文件为SG-6000系列安全网关系统固件StoneOS的版本说明，描述版本信息、软件功能以及版本中的已知问题等。

StoneOS 5.0R3P6

本节为StoneOS 5.0R3P6版本说明。

产品和版本信息

产品名称：Hillstone SG-6000系列安全网关

产品型号和系统文件：

发布日期：2014年06月06日

文档说明

Hillstone SG-6000系列安全网关配有以下手册：

✹《Hillstone山石网科多核安全网关使用手册》

✹《Hillstone山石网科多核安全网关命令手册》

✹《Hillstone SG-6000多核安全网关安装手册》

✹《Hillstone山石网科多核安全网关扩展模块手册》

✹《Hillstone山石网科多核安全网关日志信息参考手册》

✹《Hillstone山石网科SNMP私有MIB信息参考手册》

版本升级说明

从低版本升级到StoneOS 5.0R3P6时，有以下几个问题需要注意：

✹系统文件升级说明

✹地址簿功能相关配置升级说明

✹策略规则相关配置升级说明

✹统计集功能相关配置升级说明

✹接口镜像功能相关配置升级说明

✹攻击防护功能相关配置升级说明

系统文件升级说明

因较早版本曾对系统文件的大小进行了限制，所以当从4.0R6P15.1（包括4.0R6P15.1）之前的版本升级到5.0R3P6时，用户需要通过sysloader才能升级成功。

可以直接升级5.0R3P6的系统版本包括5.0R2P2之后的5.0R版本、4.5R3P8以及4.5R4P1，更低版本建议先升级到上述版本，然后再升级到5.0R3P6。