山石网科安全网关配置命令

Hillstone山石网科多核安全网关安装手册Hillstone山石网科SG-6000-IM0609-3.5R2C-01前言内容简介感谢您选用Hillstone Networks的网络安全产品。

本手册为Hillstone山石网科多核安全网关的安装手册，能够帮助用户正确安装Hillstone山石网科多核安全网关。

本手册的内容包括：•第1章产品介绍•第2章安全网关安装前的准备工作•第3章安全网关的安装•第4章安全网关的启动和配置•第5章安全网关的硬件维护•第6章常见故障处理手册约定为方便用户阅读与理解，本手册遵循如下约定：•警告：表示如果该项操作不正确，可能会给安全网关或安全网关操作者带来极大危险。

因此操作者必须严格遵守正确的操作规程。

•注意：表示在安装和使用安全网关过程中需要注意的操作。

该操作不正确，可能影响安全网关的正常使用。

•说明：为用户提供有助于理解内容的说明信息。

内容目录第1章产品介绍 (1)简介 (1)SG-6000系列多核安全网关的特点 (1)创新的多核Plus TM网络安全构 (1)强健的实时操作系统Hillstone (1)主机硬件介绍 (1)前面板介绍 (1)后面板介绍 (4)指示灯含义 (4)系统参数 (6)端口属性 (7)CLR按键 (9)电源 (10)第2章安全网关安装前的准备工作 (11)介绍 (11)洁净度要求 (11)防静电要求 (11)电磁环境要求 (11)接地要求 (11)检查安装台 (12)其它安全注意事项 (12)检查安全网关及其附件 (12)安装设备、工具和电缆 (12)第3章安全网关的安装 (13)安装前说明 (13)将安全网关安装在工作台上 (13)将安全网关安装到标准机柜中 (14)线缆连接 (14)连接地线 (15)连接配置电缆 (15)连接以太网电缆或光纤 (15)连接电源线 (16)安装完成后的检查 (16)第4章安全网关的启动和配置 (17)介绍 (17)搭建配置环境 (17)搭建配置口（CON口）的配置环境 (17)搭建WebUI配置环境 (18)搭建Telnet和SSH配置环境 (18)安全网关的基本配置 (18)第5章安全网关的硬件维护 (20)介绍 (20)电源模块的安装与拆卸 (20)风扇盘的安装与拆卸 (20)第6章常见故障处理 (22)介绍 (22)口令丢失情况下的处理 (22)电源系统故障处理 (22)配置系统故障处理 (22)插图目录图1-1：SG-6000-X5100前面板示意图 (2)图1-2：SG-6000-G6100前面板示意图 (2)图1-3：SG-6000-G3100前面板示意图 (3)图1-4：SG-6000-M3100前面板示意图 (3)图1-5：SG-6000-M2100前面板示意图 (3)图1-6：SG-6000-X5100/SG-6000-G6100后面板示意图 (4)图1-7：SG-6000-G3100后面板示意图 (4)图1-8：SG-6000-M3100后面板示意图 (4)图1-9：SG-6000-M2100后面板示意图 (4)图3-1：脚垫安装示意图 (13)图3-2：挂耳安装示意图 (14)图3-3：机柜安装示意图 (14)图4-1：配置口（CON口）配置环境 (17)图4-2：设置终端通讯参数 (18)表格目录表1-1：SG-6000-X5100前面板标识说明 (2)表1-2：SG-6000-G6100前面板标识说明 (2)表1-3：SG-6000-G3100前面板标识说明 (3)表1-4：SG-6000-M3100前面板标识说明 (3)表1-5：SG-6000-M2100前面板标识说明 (3)表1-6：Hillstone山石网科多核安全网关前面板指示灯含义 (5)表1-7：Hillstone山石网科多核安全网关系统参数 (7)表1-8：配置口属性 (7)表1-9：辅助口属性 (7)表1-10：USB Host接口属性 (8)表1-11：千兆电口属性 (8)表1-12：SFP接口属性 (8)表1-13：SFP光接口模块属性 (9)表1-14：SFP-T电接口模块属性 (9)表1-15：XFP接口属性 (9)表1-16：XFP光接口模块属性 (9)表2-1：机房灰尘浓度范围表 (11)第1章产品介绍简介Hillstone SG-6000系列多核安全网关是Hillstone山石网科自主开发、拥有知识产权的新一代安全网关。

表29-1：手动同步配置命令列表；HA同步信息show命令手动同步命令；配置信息showconfigurationexe；文件信息showfileexechasyncfi；ARP表项s howarpexechasyncrd；DNS配置信息showiphostsexecha；DHCP配置信息s howdhcpexechasy；MAC地址表showmacexecha表29-1：手动同步配置命令列表HA 同步信息show 命令手动同步命令配置信息show configuration exec ha sync configuration文件信息show file exec ha sync file file-nameARP 表项show arp exec ha sync rdo arpDNS 配置信息show ip hosts exec ha sync rdo dnsDHCP 配置信息show dhcp exec ha sync rdo dhcpMAC 地址表show mac exec ha sync rdo macshow pki keyPKI 配置信息show pki trust-domainexec ha sync rdo pki会话信息show session exec ha sync rdo session show ipsec saIPSec VPN 信息show isakmp saexec ha sync rdo vpnshow scvpn client testshow scvpnhost-check-profileshow scvpn poolshow scvpnuser-host-bindingshow scvpn sessionSCVPN 信息show auth-user scvpnexec ha sync rdo scvpnshow l2tp tunnelshow l2tp poolshow l2tp client{tunnel-name name [useruser-name]| tunnel-id ID}L2TP 信息show auth-user l2tp{interface interface-name| vrouter vrouter-name}exec ha sync rdo l2tpWeb 认证信息show auth-user webauth exec ha sync rdo webauth NTP 信息show ntp exec ha sync rdo ntpSCVPN 信息show scvpn exec ha sync rdo scvpn路由信息show ip route exec ha sync rdo route显示HA配置系统提供相应的show 命令，查看HA 配置信息。

Hillstone山石网科多核安全网关快速配置手册Hillstone山石网科QS-UG0509-V1.1-01前言手册内容首先感谢您使用山石网科的网络安全产品。

本手册为Hillstone山石网科多核系列安全网关的快速配置手册，对Hillstone山石网科多核系列安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI的配置。

本手册的内容包括以下各章：♦搭建配置环境。

介绍配置环境信息以及WebUI配置环境的搭建。

♦第2章系统管理。

介绍系统固件StoneOS的升级、配置文件的备份等。

♦第3章快速部署安全网关。

介绍安全网关的路由应用模式部署。

♦第4章对外发布服务器。

介绍DNAT的基本配置。

♦第5章IP QoS。

介绍IP QoS的配置用例。

♦第6章应用QoS。

介绍应用QoS的配置用例。

♦第7章SCVPN。

介绍SCVPN的配置用例。

手册约定为方便用户阅读与理解，本手册遵循以下约定：内容约定本手册内容约定如下：♦提示：为用户提供相关参考信息。

♦说明：为用户提供有助于理解内容的说明信息。

♦注意：如果该操作不正确，会导致系统出错。

♦『』：用该方式表示WebUI页面上的链接、标签或者按钮。

♦< >：用该方式表示WebUI页面上提供的文本信息，包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。

目录第1章搭建配置环境 (1)配置环境介绍 (1)搭建WebUI配置环境 (1)搭建Console配置环境 (3)安全网关的基本配置 (3)第2章系统管理 (5)介绍 (5)时间配置 (5)升级StoneOS (5)配置信息操作 (6)保存配置信息 (6)导出配置信息 (7)导入配置信息 (7)恢复出厂配置 (8)第3章快速部署安全网关 (9)介绍 (9)组网 (9)配置步骤 (9)第4章对外发布服务器 (15)介绍 (15)组网 (15)配置步骤 (16)第5章IP QoS (23)介绍 (23)配置需求 (23)配置步骤 (23)第6章应用QoS (25)介绍 (25)配置需求 (25)配置步骤 (25)第7章SCVPN (26)介绍 (26)组网 (26)配置步骤 (26)第1章搭建配置环境配置环境介绍Hillstone山石网科多核安全网关是山石网科自主研发的专用高性能纯硬件安全网关，可应用于大中小型企业、大型区域办事结构、电信运营商、数据中心等。

Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS（TFTP） (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (42)一对多映射（服务器负载均衡） (45)第4章链路负载均衡 (47)链路负载均衡介绍 (47)基于目的路由的负载均衡 (48)基于源路由的负载均衡 (49)智能链路负载均衡 (49)第5章QoS配置 (52)QoS介绍 (52)IP QoS配置 (52)应用QoS配置 (54)混合QoS配置 (57)QoS白名单配置 (58)第6章网络行为控制 (59)URL过滤（有URL许可证） (59)配置自定义URL库 (62)URL过滤（无URL许可证） (63)网页关键字过滤 (64)网络聊天控制 (68)第7章VPN高级配置 (71)基于USB Key的SCVPN配置 (71)新建PKI信任域 (71)配置SCVPN (76)制作USB Key (77)使用USB Key方式登录SCVPN (79)PnPVPN (81)用户配置 (82)IKE VPN配置 (83)隧道接口配置 (87)路由配置 (88)策略配置 (89)PnPVPN客户端配置 (90)第8章高可靠性 (92)高可靠性介绍 (92)高可靠性配置 (93)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册，对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI配置。

Version5.5R8Copyright2020Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is furnished under a license agreement or nondisclosure agreement.The software may be used or copied only in accordance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hill-stone Networks.Hillstone Networks本文档禁止用于任何商业用途。

联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州高新区科技城景润路181号邮编：100192邮编：215000联系我们：/about/contact_Hillstone.html关于本手册本手册介绍山石网科的产品系统的使用方法。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：*************************山石网科https://TWNO:TW-CUG-UNI-VSY-5.5R8-CN-V1.0-11/11/2020目录目录1关于本手册1手册约定1内容约定1CLI约定1命令行接口（CLI）2CLI介绍2命令模式和提示符2执行模式2全局配置模式2子模块配置模式3CLI命令模式切换3命令行错误信息提示3命令行的输入4命令行的缩写形式4自动列出命令关键字4自动补齐命令关键字4命令行的编辑4查看历史命令4快捷键5过滤CLI输出信息5分页显示CLI输出信息6设置终端属性7设置连接超时时间7重定向输出7诊断命令8虚拟系统9 VSYS对象9根VSYS和非根VSYS9管理员10 VRouter、VSwitch、安全域和接口12共享VRouter12共享VSwitch13共享域13共享接口13创建接口13配置VSYS13创建非根VSYS14配置非根VSYS的描述信息14创建VSYS Profile14设置资源配额15设置日志的缓存配额17配置URL过滤18配置入侵防御19配置病毒过滤19配置边界流量过滤20配置QoS20启用/禁用CPU资源配额21绑定Profile到VSYS21进入非根VSYS22配置共享属性22导入/导出物理接口23分配逻辑接口23绑定监测对象23监测指定VSYS状态24回退配置信息（非根VSYS）24退出配置回滚模式25配置退出配置回滚模式的动作26配置VSYS日志功能26配置跨VSYS转发功能27开启跨VSYS转发功能27配置Simple-Switch27创建Simple-Switch27绑定二层安全域到Simple-Switch28创建VWANIF接口28创建VPort接口29配置VWANIF接口29分配VWANIF接口29显示跨VSYS转发功能信息29显示VWANIF接口配置信息30显示VWANIF接口IPv6配置信息30显示VSYS信息30显示VSYS Profile信息30 VSYS配置举例30例1：VSYS在三层流量转发中的应用（通过单一VSYS）31组网需求31配置步骤31例2：VSYS在三层流量转发中的应用（通过共享VRouter）33组网需求33配置步骤34例3：VSYS在二层流量转发中的应用（通过共享VSwitch）37组网需求37配置步骤38例4：跨VSYS的流量转发（通过Simple-Switch）42组网需求42配置步骤43关于本手册手册约定为方便用户阅读与理解，本手册遵循以下约定：内容约定本手册内容约定如下：l提示：为用户提供相关参考信息。

Web界面配置指导Version 4.0Hillstone山石网科目录一、设备的登录 (2)二、基本上网配置 (3)三、端口映射 (8)四、IPSECVPN两种模式的配置 (14)五、SCVPN配置 (19)六、WEB认证上网功能配置 (23)七、URL日志记录 (26)八、IP-MAC绑定实现IP或MAC变更不能上网 (28)九、设备恢复出厂操作 (30)十、AAA服务器使用AD域类型的配置 (31)十一、SCVPN调用两个AAA服务器中的用户认证登录 (34)十二、HA配置注意事项 (35)一、设备的登录设备默认的管理接口为ethernet0/0，登录的ip为192.168.1.1,，默认的管理账号为hillstone，密码为hillstone。

把本地电脑网卡填写IP为192.168.1.2，使用web、telnet、ssh均可登录，，在浏览器中输入192.168.1.1 就可以通过WEBui的方式登录管理设备。

注意：如果是SG6000-NAV 系列的http的服务端口统一为9090，https的服务端口统一为8443。

所以默认登录该设备的WEBui的方式为http://192.168.1.1:9090,或h ttps://192.168.1.1:8443登录的账号密码都为hillstone二、基本上网配置1.设置接口信息购买的宽带地址是静态IP，一般会营业厅会告知IP地址、子网掩码、网关、DNS。

例如IP地址200.0.0.188 子网掩码255.255.255.0 或24，网关200.0.0.1DNS 202.106.0.20配置外网接口，ethernet0/1 为连接外网的接口【网络】>>【接口】，在接口列表中选择ethernet0/1，点击该接口后面的“编辑”按钮显示接口配置界面如下：配置完基本信息，点击“确认”上面是静态IP的使用，如果是ADSL拨号，【网络】>>【PPPoE客户端】新建填写使用的用户名和密码外网接口调用PPPoE，选择【设置路由】启用，勾选后不需要创建第2步的目的路由配置内网口，比如ethernet0/3连接内网：ethernet0/3的配置界面如下：配置完基本信息，点击“确认”2.增加内网上网的目的路由【网络】>>【路由】>>【目的路由】，填写完信息，点击“确认”3．增加内网用户上网的NAT配置【防火墙】>>【NAT】>>【源NAT】，点击“新建”选择“基本配置”：选择出接口，点击“确认”。

目录一、设备基础管理 (1)1.1设备登录 (1)1.1.1 通过CLI管理设备 (1)1.1.2 通过WebUI管理设备 (2)1.2管理员帐号及权限设置 (4)1.2.1 新增管理员 (4)1.2.1 修改管理员密码 (5)1.3 License安装 (6)1.4设备软件升级 (7)1.5设备配置备份与恢复 (9)1.5.1 备份设备配置 (9)1.5.2 恢复设备配置 (12)1.6系统诊断工具的使用 (14)二、对象配置 (16)2.1 配置地址薄 (16)2.2 配置服务簿 (17)三、网络配置 (21)3.1 配置安全域 (21)3.2 配置接口 (22)3.3 配置路由 (23)3.4 配置DNS (24)四、防火墙配置 (26)4.1 配置防火墙策略 (26)4.1.1 新增防火墙安全策略 (26)4.1.2 编辑防火墙安全策略 (27)4.2 配置NAT (28)4.2.1 配置源NAT (28)4.2.2 配置目的NAT (31)4.3 防火墙配置举例 (35)五、QOS配置 (44)5.1 配置IP QOS (45)5.2 配置应用QOS (46)六、常用日志配置 (48)一、设备基础管理1.1设备登录安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、telnet、SSH等主流通信管理协议。

1.1.1 通过CLI管理设备通过Console 口配置安全网关时需要在计算机上运行终端仿真程序（系统的超级终端、SecureCRT等）建立与安全网关的连接，并按如下表所示设置参数（与连接Cisco设备的参数一致）：通过telnet或者SSH管理设备时，需要在相应接口下启用telnet或SSH 管理服务，然后允许相应网段的IP管理设备（可信主机）。

对接口启用telnet或SSH管理服务的方法如下：首先在网络—>网络连接模式下的页面下方勾选指定接口，点击图示为的编辑按钮，然后在弹出的接口配置窗口中对接口启用相应的管理服务，最后确认即可：1.1.2 通过WebUI管理设备WebUI同时支持http和https两种访问方式，首次登录设备可通过默认接口ethernet0/0 （默认IP 地址192.168.1.1/24，该接口的所有管理服务默认均已被启用）来进行，登录方法为：1. 将管理PC 的IP 地址设置为与192.168.1.1/24 同网段的IP 地址，并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。

Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS（TFTP） (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (41)一对多映射（服务器负载均衡） (44)第4章链路负载均衡 (46)链路负载均衡介绍 (46)基于目的路由的负载均衡 (47)基于源路由的负载均衡 (48)智能链路负载均衡 (48)第5章QoS配置 (51)QoS介绍 (51)IP QoS配置 (51)应用QoS配置 (53)混合QoS配置 (56)QoS白名单配置 (57)第6章网络行为控制 (58)URL过滤（有URL许可证） (58)配置自定义URL库 (61)URL过滤（无URL许可证） (62)网页关键字过滤 (63)网络聊天控制 (67)第7章VPN高级配置 (70)基于USB Key的SCVPN配置 (70)新建PKI信任域 (70)配置SCVPN (75)制作USB Key (76)使用USB Key方式登录SCVPN (78)PnPVPN (80)用户配置 (81)IKE VPN配置 (82)隧道接口配置 (86)路由配置 (87)策略配置 (88)PnPVPN客户端配置 (89)第8章高可靠性 (91)高可靠性介绍 (91)高可靠性配置 (92)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册，对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI配置。

Version 5.5ST00001B1111版权所有，保留所有权利Copyright © 2021, Hillstone NetworksTW-RN-OSG-V5.5ST00001B111-CN-V1.0-Y21M01山石网科运维安全网关V5.5ST00001B111发布概述发布日期：2021年1月11日本次发布重点新增RDP运维支持NLA网络基本身份验证、新增AD域认证用户同步、针对Windows类资产账号改密中新增“winRM服务方式”改密方式；新增图形应用Chrome浏览器支持http/https资产运维等新功能，同时优化和修复了一些功能问题。

在升级V5.5ST00001B111版本时，请务必查看“升级注意事项”进行升级。

产品型号和升级包文件新增功能已解决问题升级注意事项1、在升级到V5.5ST00001B111版本后，无法通过IE8浏览器访问设备页面。

建议用户不要使用IE8浏览器进行升级。

如在某些环境中，需要使用IE8访问设备页面，可以在升级V5.5ST00001B111版本之后，再使用“openssl配置回退包（upgrade_iam_090_openssl_back.tar.gz）”进行回退。

2、在升级到V5.5ST00001B111版本后，如果用户需要导入新的授权文件，请先导入“授权清理包（upgrade_iam_license_clean.tar.gz）”清除原授权文件。

3、集群/热备环境升级前需要解除集群/热备环境。

确保单机环境升级。

4、在升级到V5.5ST00001B111版本后，请先清除浏览器页面缓存，重启设备5、由于修改了V5.5ST00001B111版本中hillstoneotp.cab插件，会造成之前已经部署的设备无法调用，在升级到该版本后，请先替换hillstoneotp.cab插件。

6、RESTful API接口功能开放：根据项目需求，收费支持。

7、内置应用发布中心的操作系统及RDS授权未激活，部署时需要手动激活。

服务热线：400 828 6655Hillstone山石网科多核安全网关基础配置手册V 4.0版本目录一．设备管理 (1)1.1终端CONSOLE登录 (1)1.2网页W EB UI登录 (1)1.3恢复出厂设置 (2)1.4设备软件S TONE-OS升级 (4)1.5许可证安装 (7)二．基础上网配置 (8)2.1接口配置 (8)2.2路由配置 (10)2.3策略配置 (11)2.4源地址转换配置 (12)三．常用功能配置 (13)3.1PPP O E拨号配置 (13)3.2动态地址分配DHCP配置 (15)3.3I P-M AC地址绑定配置 (17)3.4端到端I PSEC VPN配置 (19)3.5远程接入SCVPN配置 (26)3.6目的地址转换DNAT配置 (34)3.6.1一对一IP映射 (34)3.6.2一对一端口映射 (38)3.6.3多对多端口映射 (43)3.6.4一对多映射（服务器负载均衡） (49)一．设备管理安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、telnet、SSH等主流通信管理协议。

1.1 终端console登录通过Console 口配置安全网关时需要在计算机上运行终端仿真程序（系统的超级终端、SecureCRT等）建立与安全网关的连接，并按如下表所示设置参数（与连接Cisco设备的参数一致）：1.2网页WebUI登录WebUI同时支持http和https两种访问方式，首次登录设备可通过默认接口ethernet0/0来进行，登录方法为：1. 将管理 PC 的IP 地址设置为与192.168.1.1/24 同网段的IP 地址，并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。

2. 在管理 PC 的Web 浏览器中访问地址http://192.168.1.1 并按回车键。

出现的登录页面如下图所示：1.3 恢复出厂设置1．CLI命令行操作a.输入：Unset allb.根据提示，选择是否保存当前配置：y/nc.选择是否重启：y/nd.系统重启后即恢复到出厂设置。

销售与服务热线:400-828-6655密过的数据流也能应付自如。

StoneOS ®识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P 、IM(即时通讯)、游戏、办公软件以及基于SIP 、H.323、HTTP 等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN 解决方案SG-6000多核安全网关支持多种IPSec VPN 的部署，它能够完全兼容标准的IPSec VPN 。

SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN 解决方案。

Hillstone 山石网科独具特色的即插即用VPN ，可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置，完全解决了传统IPSec VPN 设备配置难、使用难、维护成本高的缺点。

SG-6000多核安全网关还通过集成第三代SSL VPN 实现角色访问控制和即插即用特性，为用户提供方便、快捷的安全远程接入服务。

因此SG-6000较业界其他的多核或NP/ASIC 系统在同档的硬件配置下有多达5倍的性能提升，为同时开启多项防护功能奠定了性能基础，突破了传统安全网关的功能实用性和性能无法两全的局限。

另外SG-6000多核安全网关还支持通过软件license 方式进行设备高级扩展，例如提升设备的最大并发会话数等。

电信级硬件设计SG-6000-X5100采用电信级高可靠、高冗余设计。

电源模块化，并提供交流/直流两种输入选择。

双热插拔冗余电源保证在任何一路电源输入故障的时候系统运行不间断。

SG-6000-X5100除系统风扇盘外，全部采用固态器件，保障系统的高可靠性。

风扇盘是热插拔设计，并且配置专业监控电路，一旦有单个风扇故障，系统会自动报警，但仍能继续运行。

功能规格除非另有说明，否则所列出的性能，容量和特性是基于运行StoneOS ®4.0的系统，实际结果可能会因StoneOS ®版本和部署情况而异。

Version 5.5ST00001B112
1
版权所有，保留所有权利Copyright © 2021, Hillstone Networks
TW-RN-OSG-V5.5ST00001B112-CN-V1.0-Y21M12
山石网科运维安全网关V5.5ST00001B112
发布概述
发布日期：2021年12月30日
本次版本升级，主要新增了H5方式运维、三级会同审批、支持人大金仓、达梦数据库工具单点登录等新功能，优化修复了一些漏洞和问题。

在升级V5.5ST00001B1112版本时，请务必查看“升级注意事项”进行升级。

产品型号和升级包文件
新增功能
已解决问题
升级注意事项
1、集群/热备环境升级前需要解除集群/热备环境，确保单机环境升级。

2、在升级到V5.5ST00001B112版本后，请先清除浏览器页面缓存，重启设备。

浏览器兼容性
以下浏览器推荐用户使用：
♦IE11
获得帮助
山石网科运维安全网关配有以下手册，请访问获取：♦《山石网科运维安全网关部署手册_V5.5ST00001B112》
♦《山石网科运维安全网关用户手册-管理员分册_V5.5ST00001B112》
♦《山石网科运维安全网关用户手册-用户分册_V5.5ST00001B112》
服务热线：400-828-6655
官方网址：。

山石网科申请功能（平台）QOS 流量分配AV 复合端口IPS 入侵NBC 网络行为管理支持SG型号URLDB 是NBC子键支持SG型号HSM 设备集4GE-B 当断电后仍然可以通讯SSH secure Shell 安全外壳协议是一种在不安全网络上提供安全登录和其他安全网络服务的协议。

NAT 步骤：①，接口IP②，配路由缺省路由：0.0.0.0 0.0.0.0 192.168.1.2回值路由：0.0.0.0 192.168.1.x 192.168.1.1策略路由：③，NATSNATDNATMAP ( IP PORT )④，policy(策略)检查配置环境show seccion generic 显示连接数show interface (name) 显示接口信息show zone(zone name) 显示安全域类型show admin user 显示系统管理员信息show admin user (name)显示系统管理员配置信息show version 显示版本号信息show arp 显示解析地址show fib 显示路由信息show snat 显示nat 配置no snatrule id 号删除NAT配置show ip route 显示路由信息save 保存配置unset all 清楚配置(恢复出厂设置。

配接口(config)# interface Ethernet0/2(config-if-0/2)# zone trust 或/untrust 建立区信任/不信任(config-if-0/2)# ip add 192.168.1.1/24(config-if-0/2)# manage ping 开通PING(config-if-0/3)# manage http 开通HTTP(config-if-0/3)# manage telnet 开通telnet配路由(config)# ip vrouter trust-vr 这个命令意思是可以配置多个路由(config-route)# ip route 0.0.0.0/0 192.168.1.1配NAT(config)# nat(config-nat)# snatrule id 1 from any to any trans-to eif-ip mode dynamicport(config)#policy# rule from any to any server any dynamicport系统管理web：系统--设备管理--基本信息CLI：(config)# hostname (name) 配置安全网关名(config)# no hostname 清楚安全网关名管理员密码策略配置模式hostname(config)# password policy 进入管理员策略配置式hostname(config-pwd-policy)# admin complexity 1 启用密码复杂度限制hostname(config=pwd-policy)# admin min-length (length value) 启用密码最少位限制配置系统管理员(config)# admin user (user-name) 配置管理员名称(config)# no admin user (user-name) 删除管理员名称(config-hostname)# privilege PX/RXW 管理员模式下：配置管理员特权 PX是读，执行 PXW 是读，执行，写。

Hillstone安装配置⼿册Hillstone安全⽹关NAV50配置⼿册⼀、配置准备Hillstone ⼭⽯⽹科多核安全⽹关提供WebUI 界⾯，使⽤户能够更简便与直观地对设备进⾏管理与配置。

安全⽹关的ethernet0/0 接⼝配有默认IP 地址192.168.1.1/24，并且该接⼝的各种管理功能均为开启状态。

初次使⽤安全⽹关时，可以通过该接⼝访问安全⽹关的WebUI 页⾯。

请按照以下步骤搭建WebUI 配置环境：1. 将管理PC 的IP 地址设置为与192.168.1.1/24 同⽹段的IP 地址，并且⽤⽹线将管理PC与安全⽹关的ethernet0/0 接⼝进⾏连接。

2. 在管理PC 的Web 浏览器中访问地址https://192.168.1.1 并按回车键。

出现登录页⾯如下图所⽰：3.输⼊⽤户名和密码。

安全⽹关提供的默认⽤户名和密码均为“hillstone”。

点击『登录』按钮进⼊安全⽹关的主页。

⼆、版本升级设备出⼚时为默认版本Version4.0。

最新的版本Version4.5更强⼤。

建议升级到最新版本。

点击软件版本后的升级选项。

弹出如下页⾯：点击升级，弹出如下页⾯点击浏览，选中电脑本地的软件版本。

选择后出现如下页⾯：加载完后，选择下次启动时使⽤的系统软件会现实为4.5版本。

点击确定按钮点击确定重启设备点击确定重启后的页⾯三、更新系统时间（时间与⽣成⽇志有关）点击同步，然后点击确定。

四、修改登录密码和添加新账号五、安装正式许可证六、配置内外⽹接⼝地址点击“配置”栏中的“⽹络连接”，选中“Ethernet0/X”，点击“编辑”，如下图所⽰。

七、配置出⽹路由（根据⽹络情况添加内部⽹络回程路由）⼋、配置策略九、配置安全防护点击左侧攻击防护安全域选择untrust域系统会⾃动开启untrust域的安全防护，直接点击确定⼗、开启监控统计点击监控中流量选项，如果没有开启统计，系统会⾃动弹出选项是否开启统计集，点击确定开启即可，相同的动作完成想要开启的监控。

Hillstone࿍ဝᆀపࣶਖ਼ڔཝᆀਈෘഎ၄ݿྟୈۈ۾੓：StoneOS 5.0R3关于本手册本手册为Hillstone山石网科多核安全网关命令手册。

详细描述StoneOS中用到的所有命令，具体内容有命令的格式、使用方法、参数、默认值和使用实例等。

文档约定在本手册中，StoneOS命令语法描述使用以下约定：·大括弧（{ }）：指明该内容为必要元素。

·方括弧（[ ]）：指明该内容为可选元素。

·竖线（|）：分隔可选择的互相排斥的选项。

·粗体：粗体部分为命令的关键字，是命令行中不可变部分，用户必须逐字输入。

·斜体：斜体部分为需要用户提供值的参数。

命令实例约定：·命令实例中需要用户输入部分用粗体标出。

·需要用户提供值的变量用斜体标出。

·命令实例包括不同平台的输出，可能会有些许差别。

目录怎样使用StoneOS CL I (1)CLI介绍 (1)命令模式和提示符 (1)执行模式 (1)全局配置模式 (1)子模块配置模式 (1)CLI命令模式切换 (1)命令行错误信息提示 (2)命令行的输入 (2)命令行的缩写形式 (2)自动列出命令关键字 (2)自动补齐命令关键字 (3)命令行的编辑 (3)查看历史命令 (3)快捷键 (3)过滤CLI输出信息 (4)分页显示CLI输出信息 (4)设置终端属性 (5)设置连接超时时间 (5)重定向输出 (5)StoneOS系统管理命令 (6)access (6)admin (6)admin host (7)admin user (8)allow-pwd-change (8){app | ips signature} stat-report (9)arp (10)bandwidth (11)bandwidth-threshold (12)delay-threshold (12)external-bypass enable (13)clock time (14)clock summer-time (15)clock zone (16)configure (16)console timeout (17)cpu (17)debug (19)delete configuration (20)desc (20)dns (21)dst-addr-based-session-counter (22)exec admin user password update (23)exec console baudrate (23)exec format (24)exec detach (24)exec customize (25)exec license apply (25)exec license install (26)exec license uninstall (27)exec webauth kickout (27)exit (28)expire (28)export configuration (29)group (30)hostname (30)http (31)http port (32)https port (33)https trust-domain (33)ike-id (34)import configuration (34)import customize (35)import image (36)interface (37)ip (37)language (39)match (39)monitor (41)nbt-cache enable (41)nbtstat ip2name (42)network-manager enable (42)network-manager host (43)ntp authentication (44)ntp authentication-key (44)ntp enable (45)ntp max-adjustment (45)ntp query-interval (46)ntp server (47)password (47)password（user） (48)password-policy (48)ping (49)privilege (50)reboot (51)role (51)role-expression (52)role-mapping-rule (52)rollback configuration backup (53)save (54)smtp (54)snmp-server contact (55)snmp-server engineID (55)snmp-server group (56)snmp-server host (57)snmp-server location (58)snmp-server manager (58)snmp-server port (59)snmp-server trap-host (59)snmp-server user (60)ssh port (61)ssh timeout (61)tcp (62)telnet authorization-try-count (63)telnet connection-interval (64)telnet timeout (65)threshold (66)traceroute (66)track (67)user (68)user-binding (69)user-group (69)webauth force-timeout (70)webauth http (71)webauth http-port (71)webauth https (72)webauth https-port (72)webauth reauth (73)webauth redirect (73)webauth sso-ntlm (74)webauth sso-ntlm-timeout (75)webauth timeout (75)web timeout (76)系统结构命令 (77)deny-session deny-type (77)deny-session percentage (77)deny-session timeout (78)fragment chain (79)fragment timeout (79)tcp-mss (80)tcp-rst-bit-check (80)tcp-seq-check-disable (81)tcp-syn-check (82)tcp-syn-bit-check (82)安全网关应用模式命令 (84)exec vrouter enable/disable (84)ip vrouter (84)forward-tagged-packet (85)l2-nonip-action (86)virtual-wire enable (86)virtual-wire set (87)vswitch (88)安全网关网络部署模式命令 (89)tap control-interface (89)tap lan-address (89)zone （绑定接口到Tap域） (90)zone （创建Tap域） (90)域（Zone）命令 (92)bind (92)vrouter (92)zone (93)接口（Interface）命令 (94)aggregate aggregate number (94)arp timeout (94)authenticated-arp (95)bgroup bgroup number (96)clear mac (96)combo (97)duplex (97)ftp (98)ftp port (99)holddown (99)holdup (100)interface aggregate number (101)interface aggregate number.tag (101)interface bgroup number (102)interface ethernet m/n (102)interface ethernetX/Y-pppoeZ (103)interface ethernet m/n.tag (104)interface loopback number (104)interface redundant number (105)interface redundant number.tag (105)interface tunnel number (106)interface vlan id (106)interface supervlan X (107)ip address (108)ip mtu (109)lacp (109)lacp max-bundle (110)lacp min-bundle (111)lacp system-priority (112)lacp period-short (112)load-balance mode (113)mac-clone (114)manage (114)mirror to (115)mirror filter (116)primary (117)proxy-arp (117)redundant redundant number (118)reverse-route (119)shutdown (119)speed (120)tunnel (121)webauth auth-arp-prompt (122)zone (122)地址（Address）命令 (124)address (124)host (124)ip (125)member (126)range (126)rename (127)服务（Service）命令 (128)app cache (128)app cache disable (129)app cache static disable (129)application-identify (130)clear app cache table (130)description (131)icmp (131)icmp type (132)longlife-sess-percent (133)protocol (134)servgroup (134)service (135)service service-name (136)tcp | udp application (137)策略（Policy）命令 (139)absolute (139)action (139)clear policy hit-count (140)clear policy hit-count default-action (141)default-action (141)description (142)disable (142)dst-addr (143)dst-host (143)dst-ip (144)dst-range (145)dst-zone (145)enable (146)log (147)import customize webredirect (147)move (148)name (149)periodic (149)periodic (150)policy-global (151)policy-qos-tag tag (151)role (152)user (152)user-group (153)rule (154)rule id (155)schedule (156)schedule (156)service (157)src-addr (157)src-host (158)src-ip (159)src-range (159)src-zone (160)web-redirect (161)安全控制命令 (163)arp (163)arp-disable-dynamic-entry (164)arp-inspection (164)arp-inspection rate-limit (165)arp-inspection trust (165)arp-inspection vlan (166)arp-l2mode (167)arp-learning (167)behavior-profile (168)clear arp (168)clear arp-spoofing-statistics (169)clear dhcp-snooping binding (170)dhcp-snooping（BGroup或者VSwitch接口） (170)dhcp-snooping（物理接口） (171)dhcp-snooping rate-limit (172)dhcp-snooping vlan (172)exec mac-address dynamic-to-static (173)exec urlfilter apply (173)export urlfilter-database (174)gratuitous-arp-send ip (175)host-blacklist (175)host-blacklist ip (176)host-blacklist mac (177)im (178)import urlfilter-database (178)mac-address-static (179)mac-learning (180)urlfilter (180)urlfilter domain-only (181)urlfilter rule type blacklist (181)urlfilter rule type keyword (182)urlfilter rule type whitelist (183)urlfilter unlimit-ip (183)urlfilter unlimit-ip (184)urlfilter whitelist-only (184)url-profile (185)认证与授权命令 (186)aaa-server (186)accounting (186)accounting enable (187)accounting port (188)accounting secret (188)admin auth-server (189)admin auth-server radius-server-name (190)agent (190)auth-method (191)auto-sync (191)backup-aaa-server (192)backup1 (193)backup2 (194)base-dn (194)debug aaa (195)group-class (195)host (196)login-dn (197)login-password (197)member-attribute (198)naming-attribute (198)port （Active-Directory / LDAP） (199)port （RADIUS） (199)retries (200)role-mapping-rule (201)secret (201)timeout (202)user-black-list (202)802.1X 认证协议命令 (204)aaa-server (204)dot1x allow-multi-logon (204)dot1x allow-multi-logon number (205)dot1x auto-kickout (205)dot1x control-mode (206)dot1x enable (207)dot1x max-user (207)dot1x port-control (208)dot1x profile (209)dot1x timeout (210)exec dot1x kickout (210)quiet-period (211)reauth-period (212)retransmission-count (212)server-timeout (213)tx-period (213)网络地址转换（NAT）命令 (215)dnatrule (215)dnatrule move (216)expanded-port-pool (217)nat (217)nat-enable (218)no dnatrule id (219)no snatrule id (219)snatrule （NAT） (220)snatrule（NAT444） (222)snatrule move (223)应用层识别与控制命令 (225)alg (225)alg h323 session-time (225)IPSec协议命令 (227)accept-all-proxy-id (227)anti-replay (227)authentication (228)auto-connect (229)compression deflate （manual） (229)compression deflate （P2） (230)connection-type (230)df-bit (231)dpd (232)encryption （P1） (232)encryption （manual） (233)encryption （P2） (234)encryption-key (235)group （P2） (236)hash （P1） (236)hash （manual） (237)hash （P2） (238)hash-key (239)id (239)interface (240)ipsec proposal (241)ipsec-proposal (241)isakmp peer (242)isakmp-peer (242)isakmp proposal (243)isakmp-proposal (244)lifesize (244)lifetime （P1） (245)lifetime（P2） (245)local-id (246)mode （协商模式） (247)mode （操作模式） (247)nat-traversal (248)peer (248)peer-id (249)pre-share (250)protocol (250)spi (251)track-event-notify (252)trust-domain (252)tunnel ipsec name auto (253)tunnel ipsec name manual (253)type (254)vpn-track (255)Secure Connect VPN命令 (256)aaa-server (256)anti-replay (256)address (257)allow-multi-logon (258)allow-multi-logon number (258)client-auth-trust-domain (259)client-cert-authentication (260)df-bit (261)dns (261)exclude address (262)exec scvpn approve-binding (263)exec scvpn clear-binding (263)exec scvpn increase-host-binding (264)exec scvpn kickout (265)exec scvpn no-host-binding-check (265)exec scvpn no-user-binding-check (266)exec sms send test-message to (266)export aaa user-password (267)export scvpn user-host-binding (268)host-check (268)https-port (269)idle-time (270)import pki cacert (271)import aaa user-password (271)import scvpn user-host-binding (272)interface (273)ip-binding role (273)ip-binding user (274)link-select (275)move (275)phone (276)pool (277)redirect-url (277)scvpn host-check-profile (278)scvpn pool (279)scvpn-udp-port (280)sms-auth enable (280)sms-auth expiration (281)sms modem (281)split-tunnel-route (282)ssl-protocol (283)trust-domain (283)tunnel scvpn (285)tunnel scvpn (285)user-host-verify (286)wins (287)拨号VPN命令 (288)exec generate-user-key rootkey (288)generate-route (288)ike_id (289)user (290)PnPVPN命令 (291)dhcp-pool-address (291)dhcp-pool-gateway (291)dhcp-pool-netmask (292)dns (293)peer_id fqdn (293)split-tunnel-route (294)tunnel-ip-address (295)user (295)wins (296)GRE命令 (297)destination (297)interface (297)next-tunnel ipsec (298)source (298)tunnel gre (299)L2TP命令 (301)aaa-server (301)accept-client-ip (301)address (302)allow-multi-logon (303)avp-hidden (303)clear l2tp (304)dns (304)exclude address (305)exec l2tp kickout (306)interface (306)ip-binding user (307)ppp-lcp-echo interval (308)keepalive (309)move (309)next-tunnel ipsec (310)pool (311)ppp-auth (311)l2tp pool (312)local-name (312)secret (313)transmit-retry (314)tunnel-authentication (314)tunnel l2tp (315)tunnel l2tp (316)tunnel-receive-window (316)wins (317)攻击防护命令 (318)ad all (318)ad arp-spoofing (318)ad dns-query-flood (319)ad huge-icmp-pak (321)ad icmp-flood (321)ad ip-directed-broadcast (322)ad ip-fragment (323)ad ip-option (324)ad ip-spoofing (324)ad ip-sweep (325)ad land-attack (326)ad ping-of-death (326)ad port-scan (327)ad session-limit (328)ad syn-flood (329)ad syn-proxy (331)ad tcp-anomaly (332)ad tear-drop (332)ad tear-drop (333)ad udp-flood (334)ad winnuke (335)clear ad zone (336)clear session-limit (337)交换命令 (338)bridge priority (338)enable (338)forward-delay (339)hello (339)interface vlan id (340)maximum-age (340)stp (341)stp cost (342)stp enable (342)stp priority (343)sub-vlan (343)supervlan (344)switchmode (344)vlan (345)路由命令 (347)access-list route (347)access-list name description (347)aggregate-address (348)area authentication (349)area default-cost (349)area range (350)area stub (351)area virtual-link (351)area virtual-link authentication (352)auto-cost reference-bandwidth (353)bind pbr-policy (354)clear ip bgp (354)continue (355)default-information originate (356)default-information originate (356)default-metric (357)default-metric（BGP） (357)description (358)distance（BGP） (359)distance (360)distance (360)distance ospf (361)domain (362)dst-addr (362)dst-host (363)dst-ip (364)dst-range (364)ecmp enable (365)ecmp-route-select (365)eif (366)enable (367)exec isp-network clear-predefine (367)iif (368)import vrouter (368)ip (369)ip igmp-proxy enable (370)ip igmp-proxy {router-mode | host-mode} (371)ip igmp-snooping enable (371)ip igmp-snooping {router-mode | host-mode | auto | disable} (372)ip multicast-routing (373)ip mroute (373)ip ospf authentication (374)ip ospf authentication-key (375)ip ospf cost (375)ip ospf dead-interval (376)ip ospf hello-interval (377)ip ospf message-digest-key (377)ip ospf priority (378)ip ospf retransmit-interval (378)ip ospf transmit-delay (379)ip rip authentication mode (380)ip rip authentication string (380)ip rip receive version (381)ip rip send version (381)ip rip split-horizon (382)ip route isp-name (384)ip route source (384)ip route source in-interface (385)ip vrouter (386)isp-network (387)llb inbound smartdns (388)llb-outbd-prox-detect (388)llb-outbd-prox-route (389)llb outbound proximity-route (390)match（OSPF） (390)match（PBR） (391)match id (392)max-route (393)move (394)neighbor（BGP） (394)neighbor A.B.C.D peer-group (395)neighbor {A.B.C.D | peer-group} activate (395)neighbor {A.B.C.D | peer-group} default-originate (396)neighbor {A.B.C.D | peer-group} description (396)neighbor {A.B.C.D | peer-group} next-hop-self (397)neighbor {A.B.C.D | peer-group} password (398)neighbor {A.B.C.D | peer-group} remote-as (398)neighbor {A.B.C.D | peer-group} shutdown (399)neighbor {A.B.C.D | peer-group} timers (399)neighbor（RIP） (400)nexthop (401)network（BGP） (401)network（RIP） (402)network area (403)passive-interface (403)pbr-policy (404)redistribute（BGP） (404)redistribute（RIP） (405)redistribute（OSPF） (406)route-map (406)route enable/disable (407)role (408)router bgp (409)router ospf (409)router rip (410)router-id （BGP） (411)router-id （OSPF） (411)service (412)set (412)src-addr (413)src-host (414)src-ip (414)src-range (415)subnet (416)timers (416)timers basic (417)timers spf (418)unknown-multicast drop (418)user (419)user-group (419)version (420)网络参数命令 (422)ac (422)address (422)authentication (423)auto-config interface (423)auto-connect (424)clear host (425)ddns enable (425)ddns name (426)dhcp-client ip (426)dhcp-client route (427)dhcp-relay enable (428)dhcp-relay server (428)dhcp-server enable (429)dhcp-server pool (429)dns (430)dns-proxy (430)domain (431)gateway (432)exclude address (432)idle-interval (433)ip address dhcp (433)ip dns-proxy black-list enable (434)ip dns-proxy white-list enable (434)ip dns-proxy black-list domain (435)ip dns-proxy white-list domain (435)ip address pppoe (436)ip domain lookup (437)ip domain name (437)ip domain retry (438)ip domain timeout (438)ip host (439)ip name-server (439)ip dns-proxy domain (440)ipmac-bind (441)lease (441)maxupdate interval (442)minupdate interval (443)netmask（DHCP） (443)netmask（PPPoE） (444)news (444)pop3 (445)pppoe enable group (445)pppoe-client group (446)pppoe-client group (446)relay-agent (447)route (448)server (448)schedule (449)service (450)smtp (450)static-ip (451)type (451)user（DDNS） (452)user（PPPoE） (452)wins (453)虚拟系统命令 (454)enter-vsys (454)export-to (454)profile (455)session (456)vsys（创建） (457)vsys（接口） (458)vsys-profile (458)vsys-shared (459)QoS管理命令 (460)bandwidth (460)class (460)class-map (461)exception-list (462)disable (462)flex-qos (463)flex-qos low-water-mark (463)flex-qos max-bandwidth (464)flex-qos-up-rate (465)ip-qos (465)match address (466)match application (467)match cos (467)match dscp (468)match ip-range (468)match policy-qos-tag (469)match precedence (470)match-priority (470)match role (471)police (472)priority (473)qos-profile (473)qos-profile (474)qos-profile（嵌套QoS Profile） (475)random-detect (476)role-qos (476)set cos (477)set dscp (478)set precedence (479)shape (479)shaping-for-egress (480)PKI配置命令 (482)crl (482)crl configure (482)enrollment (483)export pki （PKI信任域信息） (483)export pki （本地证书） (484)import pki （PKI信任域信息） (485)import pki （本地证书） (486)keypair (487)pki authenticate (487)pki crl request (488)pki enroll (488)pki export (489)pki import (490)pki import pkcs12 (490)pki key generate (491)pki key zeroize (491)pki key zeroize noconfirm (492)pki trust-domain (492)subject commonname (493)subject country (493)subject localityname (494)subject organization (495)subject organizationunit (495)subject stateorprovincename (496)url (496)高可靠性命令 (498)arp (498)description (498)exec ha sync (499)ha cluster (499)ha group (500)ha link interface (501)ha link ip (501)ha non-group (502)ha sync rdo session (503)ha traffic delay (503)ha traffic enable (504)hello interval (504)hello threshold (505)interface (506)manage ip (506)monitor track (507)preempt (507)priority (508)send gratuitous-arp (509)病毒过滤命令 (510)anti-malicious-sites (510)av enable (510)av max-decompression-recursion (511)av-profile (512)av signature update mode (512)av signature update schedule (513)av signature update server (513)exec av (514)exec av signature update (515)file-type (515)import av signature (516)label-mail (517)mail-sig (518)protocol-type (518)IPS命令 (520)attack-level (520)banner-protect enable (521)brute-force auth (521)brute-force lookup (522)command-injection-check (523)deny-method (523)exec block-ip remove (524)exec block-service remove (524)exec ips (525)external-link-check (527)ips enable (527)ips log disable (528)ips mode (529)ips profile (529)ips signature (530)ips sigset (530)max-arg-length (531)max-bind-length (532)max-black-list (533)max-cmd-line-length (533)max-content-type-length (534)max-content-filename-length (535)max-content-type-length (536)max-failure (536)max-input-length (537)max-path-length (538)max-reply-line-length (539)max-request-length (539)max-rsp-line-length (540)max-scan-bytes (541)max-text-line-length (541)max-uri-length (542)max-white-list (543)protocol-check (543)signature id (544)signature id number disable (545)sigset (546)sql-injection-check (546)virtual-host (547)web-acl (548)web-acl-check (548)xss-check enable (549)网络行为控制命令 (551)behavior (551)behavior-profile (551)bin-type (552)category (553)clear logging nbc (554)clear sslproxy notification (554)contentfilter（进入内容过滤配置模式） (555)contentfilter（绑定内容过滤Profile到策略规则） (555)contentfilter-profile (556)exec contentfilter apply (557)exec url-db update (557)exclude-html-tag (558)export log nbc (558)export pki (559)ftp (560)http (561)im (561)import pki (562)import sslproxy (563)import url-db (564)im-profile (564)keyword (565)keyword-category（URL过滤） (566)keyword-category（网页关键字） (567)keyword-category（Web外发信息） (567)keyword-category（邮件过滤） (568)logging (569)logging nbc to (569)mail (571)mail any (572)mail attach (572)mail control (573)mail enable (574)mail max-attach-size (575)mail others (576)mail-profile (576)mail {sender | recipient} (577)mail whitelist (578)msn | ymsg | qq (579)nbc-user-notification (579)remove database (580)ssl-decode (581)ssl-notification-disable (582)sslproxy (582)sslproxy exempt-match-subject (583)sslproxy-profile (583)sslproxy require-match-subject (584)sslproxy {require-mode | exempt-mode} (585)sslproxy trust-domain (585)sslproxy trustca-delete (586)url（添加URL条目） (586)url（绑定URL过滤Profile到策略规则） (587)url-category（新建URL类别） (588)url-category（URL过滤） (588)url-category（网页关键字） (589)url-category（Web外发信息） (589)url-db update mode (590)url-db update schedule (591)url-db update server (591)url-db-query (592)url-db-query server (593)url-profile (593)webpost (594)webpost all (595)webpost-profile (595)web-surfing-record (596)统计命令 (597)active (597)export statistics-set (597)filter (598)group-by (600)statistics address (601)statistics servgroup (602)statistics-set (602)target-data (603)日志命令 (605)export log event (605)logging (606)logging app-identification (607)logging alarm to (607)logging configuration to (608)logging content [hostname | username] (609)logging debug to (610)logging email to (610)logging event to (611)logging network to (612)logging facility (613)logging security to (613)logging sms (614)logging syslog (615)logging traffic to (616)logging traffic to syslog (616)GTP防护命令 (618)apn (618)gtp-profile（创建GTP Profile） (618)gtp-profile（绑定GTP Profile到策略规则） (619)imsi (620)imei (621)internal-inspect (621)message-type (622)message gtp-in-gtp-deny (623)message length (623)message log (624)message rate (624)message sanity-check (625)msisdn-filter (626)rat (626)rai (627)uli (628)IPv6命令 (630)ad huge-icmp-pak (630)ad ip-fragment (630)ad ip-spoofing (631)ad ipv6 nd-spoofing (633)ad icmp-flood (633)ad land-attack (634)ad ping-of-death (635)ad port-scan (636)ad syn-flood (636)ad syn-proxy (638)ad tcp-anomaly (639)ad tear-drop (639)ad udp-flood (640)address (641)clear ipv6 host (642)clear ipv6 neighbor (642)clear ipv6 nd-spoofing-statistics (643)clear ipv6 pmtu (643)destination (644)dnatrule (644)dnatrule (NAT64) (646)dnatrule move (647)dst-ip (648)dst-range (648)exec ipv6 nd-dynamic-to-static (649)export configuration (650)export image (650)export license (651)export log (652)export pki (652)export scvpn user-host-binding (653)export urlfilter-database (654)icmpv6 type (654)import application-signature (655)import configuration (656)import image (656)import ispfile (657)import license (658)import pki (658)import scvpn user-host-binding (659)import urlfilter-database (660)interface (660)ip (661)ip vrouter (662)ipv6 address (662)ipv6 address autoconfig (663)ipv6 dns-proxy domain (664)ipv6 dns64-proxy id (665)ipv6 enable (665)ipv6 general-prefix (666)ipv6 host (667)ipv6 mtu (667)ipv6 name-server (668)ipv6 neighbor (669)ipv6 nd adv-linkmtu (669)ipv6 nd hoplimit (670)ipv6 nd dad attempts (670)ipv6 nd-disable-dynamic-entry (671)ipv6 nd hoplimit (672)ipv6 nd-inspection (672)ipv6 nd-inspection deny-ra (673)ipv6 nd-inspection rate-limit (673)ipv6 nd-inspection trust (674)ipv6 nd-learning (675)ipv6 nd {managed-config-flag | other-config-flag} (675)ipv6 nd prefix (676)ipv6 nd ns-interval (677)ipv6 nd ra interval (678)ipv6 nd ra lifetime (678)ipv6 nd ra suppress (679)ipv6 nd reachable-time (680)ipv6 pmtu ageout-time (680)ipv6 pmtu enable (681)ipv6 route (682)ipv6 route source (682)ipv6 route source in-interface (683)ipv6 nd router-preference (684)no dnatrule id (685)no snatrule id (685)ping ipv6 (686)policy (687)range (687)rule (688)rule id (689)service (689)show dnat (690)show dnat server (691)show ipv6 dns (691)show ipv6 host (692)show ipv6 interface (693)show ipv6 neighbor (694)show ipv6 nd-spoofing-statistics (694)show ipv6 pmtu (695)show snat (695)show snat resource (696)snatrule (697)snatrule move (698)snmp-server ipv6-host (699)snmp-server ipv6-trap-host (700)snmp-server user (701)src-ip (702)src-range (702)Show命令 (704)show aaa-server (704)show access-list route (705)show ad zone (705)show address (707)show admin host (708)show admin user (708)show alg (709)show app cache status (710)show app logging (710)show arp (711)show arp-spoofing-statistics (711)show auth-user (712)show auth-user dot1x (712)show auth-user interface (714)show auth-user l2tp (714)show auth-user static (715)show auth-user scvpn (715)show auth-user webauth (716)show auth-user vrouter (717)show av-profile (717)show av signature info (718)show av zone-binding (718)show behavior-object (719)show behavior-profile (719)show block-ip (720)show block-notification (720)show block-service (721)show class-map (722)show clock (722)show configuration (723)show configuration running (723)show configuration backup (724)show configuration record (724)show console (725)show contentfilter-profile (726)show contentfilter category (727)show contentfilter count (727)show contentfilter keyword (728)show cpu (728)show database (729)show debug (729)show dhcp-server (730)show dhcp-snooping binding (730)show dhcp-snooping configuration (731)show dnat (731)show dnat server (732)show dns (733)show dns-address (733)show dot1x (734)show dp-filter ip (734)show external-bypass (735)show fib (736)show file (737)show flow deny-session (737)show fragment (738)show ftp (738)show gtp-profile (739)show ha cluster (740)show ha flow statistics (741)show ha group (741)show ha link status (742)show ha protocol statiscitc (742)show ha sync state (743)show ha sync statistic (744)show ha traffic (745)show host-blacklist (745)show http (746)show im-object (746)show im-profile (747)show image (747)show interface (748)show interface bind-tunnels (748)show interface supervlanX (749)show inventory (750)show ip bgp (750)show ip bgp neighbor (751)show ip bgp paths (751)show ip bgp summary (752)show ip hosts (752)show ip igmp-proxy (753)show ip igmp-snooping (753)show ip mroute (754)show ip ospf (755)show ip ospf database (755)show ip ospf database (756)show ip ospf interface (756)show ip ospf neighbor (757)。

版本说明本文件为SG-6000系列安全网关系统固件StoneOS的版本说明，描述版本信息、软件功能以及版本中的已知问题等。

StoneOS 5.0R3P6本节为StoneOS 5.0R3P6版本说明。

产品和版本信息产品名称：Hillstone SG-6000系列安全网关产品型号和系统文件：发布日期：2014年06月06日文档说明Hillstone SG-6000系列安全网关配有以下手册：✹《Hillstone山石网科多核安全网关使用手册》✹《Hillstone山石网科多核安全网关命令手册》✹《Hillstone SG-6000多核安全网关安装手册》✹《Hillstone山石网科多核安全网关扩展模块手册》✹《Hillstone山石网科多核安全网关日志信息参考手册》✹《Hillstone山石网科SNMP私有MIB信息参考手册》版本升级说明从低版本升级到StoneOS 5.0R3P6时，有以下几个问题需要注意：✹系统文件升级说明✹地址簿功能相关配置升级说明✹策略规则相关配置升级说明✹统计集功能相关配置升级说明✹接口镜像功能相关配置升级说明✹攻击防护功能相关配置升级说明系统文件升级说明因较早版本曾对系统文件的大小进行了限制，所以当从4.0R6P15.1（包括4.0R6P15.1）之前的版本升级到5.0R3P6时，用户需要通过sysloader才能升级成功。

可以直接升级5.0R3P6的系统版本包括5.0R2P2之后的5.0R版本、4.5R3P8以及4.5R4P1，更低版本建议先升级到上述版本，然后再升级到5.0R3P6。

地址簿功能相关配置升级说明StoneOS 5.0R3P6为地址条目增加了ID属性。

当把系统从低版本升级到5.0R3P6时，系统会对已有地址簿配置做平滑处理，不影响用户使用。

当把系统从5.0R3P6降级时，已有地址簿配置会丢失。

策略规则相关配置升级说明StoneOS 5.0R3P6将策略规则的默认模式转变为全局配置模式。

Hillstone࿍ဝᆀపࣶਖ਼ڔཝᆀਈ౫ᐱ模块၄ݿྟୈۈ۾੓：StoneOS 5.0R2P1产品中有毒有害物质或元素的名称及含量前言内容简介感谢您选用Hillstone Networks的网络安全产品。

本手册为Hillstone 山石网科多核安全网关扩展模块手册，能够帮助用户正确使用Hillstone安全网关的各种扩展模块。

本手册的内容包括：·第1章扩展模块介绍·第2章扩展模块的安装与拆卸·第3章扩展模块的配置与使用·第4章常见故障处理手册约定为方便用户阅读与理解，本手册遵循如下约定：·警告：表示如果该项操作不正确，可能会给安全网关或安全网关操作者带来极大危险。

因此操作者必须严格遵守正确的操作规程。

·注意：表示在安装和使用安全网关过程中需要注意的操作。

该操作不正确，可能影响安全网关的正常使用。

·说明：为用户提供有助于理解内容的说明信息。

内容目录第1章扩展模块介绍 (1)介绍 (1)前面板介绍 (1)接口扩展模块 (1)存储扩展模块 (3)应用扩展模块 (3)指示灯含义 (3)SWAP按键 (4)端口属性 (4)千兆电口 (4)SFP接口 (5)XFP接口 (6)第2章扩展模块的安装与拆卸 (7)介绍 (7)扩展模块的安装 (7)扩展模块的拆卸 (7)第3章扩展模块的配置与使用 (8)介绍 (8)接口扩展模块的配置与使用 (8)支持Bypass (8)查看扩展模块的信息 (8)第4章常见故障处理 (9)第1章扩展模块介绍介绍Hillstone山石网科多核安全网关的模块化平台产品支持多种扩展模块，包括接口扩展模块、应用处理扩展模块以及存储扩展模块，用户可根据需求选购。

各种扩展模块的主要功能为：·接口扩展模块：扩展接口。

·应用处理扩展模块：提高防病毒功能的性能。

使用应用处理扩展模块之前，安全网关需要安装防病毒许可证。