Hillstone山石网科多核安全网关安装手册_3.5R2

Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS（TFTP） (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (42)一对多映射（服务器负载均衡） (45)第4章链路负载均衡 (47)链路负载均衡介绍 (47)基于目的路由的负载均衡 (48)基于源路由的负载均衡 (49)智能链路负载均衡 (49)第5章QoS配置 (52)QoS介绍 (52)IP QoS配置 (52)应用QoS配置 (54)混合QoS配置 (57)QoS白名单配置 (58)第6章网络行为控制 (59)URL过滤（有URL许可证） (59)配置自定义URL库 (62)URL过滤（无URL许可证） (63)网页关键字过滤 (64)网络聊天控制 (68)第7章VPN高级配置 (71)基于USB Key的SCVPN配置 (71)新建PKI信任域 (71)配置SCVPN (76)制作USB Key (77)使用USB Key方式登录SCVPN (79)PnPVPN (81)用户配置 (82)IKE VPN配置 (83)隧道接口配置 (87)路由配置 (88)策略配置 (89)PnPVPN客户端配置 (90)第8章高可靠性 (92)高可靠性介绍 (92)高可靠性配置 (93)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册，对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI配置。

Version5.5R8Copyright2020Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is furnished under a license agreement or nondisclosure agreement.The software may be used or copied only in accordance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hill-stone Networks.Hillstone Networks本文档禁止用于任何商业用途。

联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州高新区科技城景润路181号邮编：100192邮编：215000联系我们：/about/contact_Hillstone.html关于本手册本手册介绍山石网科的产品系统的使用方法。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：*************************山石网科https://TWNO:TW-CUG-UNI-VSY-5.5R8-CN-V1.0-11/11/2020目录目录1关于本手册1手册约定1内容约定1CLI约定1命令行接口（CLI）2CLI介绍2命令模式和提示符2执行模式2全局配置模式2子模块配置模式3CLI命令模式切换3命令行错误信息提示3命令行的输入4命令行的缩写形式4自动列出命令关键字4自动补齐命令关键字4命令行的编辑4查看历史命令4快捷键5过滤CLI输出信息5分页显示CLI输出信息6设置终端属性7设置连接超时时间7重定向输出7诊断命令8虚拟系统9 VSYS对象9根VSYS和非根VSYS9管理员10 VRouter、VSwitch、安全域和接口12共享VRouter12共享VSwitch13共享域13共享接口13创建接口13配置VSYS13创建非根VSYS14配置非根VSYS的描述信息14创建VSYS Profile14设置资源配额15设置日志的缓存配额17配置URL过滤18配置入侵防御19配置病毒过滤19配置边界流量过滤20配置QoS20启用/禁用CPU资源配额21绑定Profile到VSYS21进入非根VSYS22配置共享属性22导入/导出物理接口23分配逻辑接口23绑定监测对象23监测指定VSYS状态24回退配置信息（非根VSYS）24退出配置回滚模式25配置退出配置回滚模式的动作26配置VSYS日志功能26配置跨VSYS转发功能27开启跨VSYS转发功能27配置Simple-Switch27创建Simple-Switch27绑定二层安全域到Simple-Switch28创建VWANIF接口28创建VPort接口29配置VWANIF接口29分配VWANIF接口29显示跨VSYS转发功能信息29显示VWANIF接口配置信息30显示VWANIF接口IPv6配置信息30显示VSYS信息30显示VSYS Profile信息30 VSYS配置举例30例1：VSYS在三层流量转发中的应用（通过单一VSYS）31组网需求31配置步骤31例2：VSYS在三层流量转发中的应用（通过共享VRouter）33组网需求33配置步骤34例3：VSYS在二层流量转发中的应用（通过共享VSwitch）37组网需求37配置步骤38例4：跨VSYS的流量转发（通过Simple-Switch）42组网需求42配置步骤43关于本手册手册约定为方便用户阅读与理解，本手册遵循以下约定：内容约定本手册内容约定如下：l提示：为用户提供相关参考信息。

服务热线：400 828 6655Hillstone山石网科多核安全网关高级功能配置手册V 5.0版本一．链路负载均衡 (3)**基于目的路由的流量负载 (4)**基于源路由的流量负载 (6)**基于策略路由的流量负载 (7)**智能链路负载均衡 (9)二．流量控制QOS配置10**配置IP Q O S (10)**配置应用Q O S (14)**配置混合Q O S (16)**配置Q O S白名单 (18)三．NBC网络行为控制配置19**URL过滤(有URL许可证) (20)**URL过滤（无URL库许可证） (25)**网页关键字过滤 (28)**网络聊天控制 (33)四．VPN高级配置37**基于USB-KEY的SCVPN配置 (35)**P N P-VPN (48)五．高可靠性HA配置63一．链路负载均衡当防火墙有多条链路接入，同时需要对内网的流量根据源地址，目的地址或者服务进行流量的负载分摊时，需要进行负载均衡的配置，以便保证流量的负载分担；在配置源地址，目的地址的负载均衡时，可以实现冗余，当某一条路由失效时，可以保证正常的流量转发。

配置多链路负载均衡前，先保证接口，snat和策略都配置正确。

1.确认接口的地址和掩码都配置正确，其中掩码的位数一定和运行商确认：2.两条源地址转换，使内网的流量可以分别nat成对应公网出口地址池的地址，去访问互联网：3.确认流量穿越防火墙时，防火墙策略允许（源和目的地址以及服务可以根据具体情况作相应修改）：**基于目的路由的流量负载例：e0/1口接入10M电信，e0/2接入20M网通；实现所有访问公网的流量按1：2的比例分别从e0/1口和e0/2口转发出去。

即当设备总共转发3数值的流量时，e0/1转发1数值；e0/2口转发2数值。

Web页面配置如下：1．网络-〉路由-〉新建 :2．创建一条默认路由权值为2，即可得到配置如下：如此即可实现流量从e0/1转发和从e0/2转发的比是10：20即流量的1：2负载。

目录一、设备基础管理 (1)1.1设备登录 (1)1.1.1 通过CLI管理设备 (1)1.1.2 通过WebUI管理设备 (2)1.2管理员帐号及权限设置 (4)1.2.1 新增管理员 (4)1.2.1 修改管理员密码 (5)1.3 License安装 (6)1.4设备软件升级 (7)1.5设备配置备份与恢复 (9)1.5.1 备份设备配置 (9)1.5.2 恢复设备配置 (12)1.6系统诊断工具的使用 (14)二、对象配置 (16)2.1 配置地址薄 (16)2.2 配置服务簿 (17)三、网络配置 (21)3.1 配置安全域 (21)3.2 配置接口 (22)3.3 配置路由 (23)3.4 配置DNS (24)四、防火墙配置 (26)4.1 配置防火墙策略 (26)4.1.1 新增防火墙安全策略 (26)4.1.2 编辑防火墙安全策略 (27)4.2 配置NAT (28)4.2.1 配置源NAT (28)4.2.2 配置目的NAT (31)4.3 防火墙配置举例 (35)五、QOS配置 (44)5.1 配置IP QOS (45)5.2 配置应用QOS (46)六、常用日志配置 (48)一、设备基础管理1.1设备登录安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、telnet、SSH等主流通信管理协议。

1.1.1 通过CLI管理设备通过Console 口配置安全网关时需要在计算机上运行终端仿真程序（系统的超级终端、SecureCRT等）建立与安全网关的连接，并按如下表所示设置参数（与连接Cisco设备的参数一致）：通过telnet或者SSH管理设备时，需要在相应接口下启用telnet或SSH 管理服务，然后允许相应网段的IP管理设备（可信主机）。

对接口启用telnet或SSH管理服务的方法如下：首先在网络—>网络连接模式下的页面下方勾选指定接口，点击图示为的编辑按钮，然后在弹出的接口配置窗口中对接口启用相应的管理服务，最后确认即可：1.1.2 通过WebUI管理设备WebUI同时支持http和https两种访问方式，首次登录设备可通过默认接口ethernet0/0 （默认IP 地址192.168.1.1/24，该接口的所有管理服务默认均已被启用）来进行，登录方法为：1. 将管理PC 的IP 地址设置为与192.168.1.1/24 同网段的IP 地址，并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。

Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS（TFTP） (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (41)一对多映射（服务器负载均衡） (44)第4章链路负载均衡 (46)链路负载均衡介绍 (46)基于目的路由的负载均衡 (47)基于源路由的负载均衡 (48)智能链路负载均衡 (48)第5章QoS配置 (51)QoS介绍 (51)IP QoS配置 (51)应用QoS配置 (53)混合QoS配置 (56)QoS白名单配置 (57)第6章网络行为控制 (58)URL过滤（有URL许可证） (58)配置自定义URL库 (61)URL过滤（无URL许可证） (62)网页关键字过滤 (63)网络聊天控制 (67)第7章VPN高级配置 (70)基于USB Key的SCVPN配置 (70)新建PKI信任域 (70)配置SCVPN (75)制作USB Key (76)使用USB Key方式登录SCVPN (78)PnPVPN (80)用户配置 (81)IKE VPN配置 (82)隧道接口配置 (86)路由配置 (87)策略配置 (88)PnPVPN客户端配置 (89)第8章高可靠性 (91)高可靠性介绍 (91)高可靠性配置 (92)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册，对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI配置。

服务热线：400 828 6655Hillstone山石网科多核安全网关基础配置手册V 4.0版本目录一．设备管理 (1)1.1终端CONSOLE登录 (1)1.2网页W EB UI登录 (1)1.3恢复出厂设置 (2)1.4设备软件S TONE-OS升级 (4)1.5许可证安装 (7)二．基础上网配置 (8)2.1接口配置 (8)2.2路由配置 (10)2.3策略配置 (11)2.4源地址转换配置 (12)三．常用功能配置 (13)3.1PPP O E拨号配置 (13)3.2动态地址分配DHCP配置 (15)3.3I P-M AC地址绑定配置 (17)3.4端到端I PSEC VPN配置 (19)3.5远程接入SCVPN配置 (26)3.6目的地址转换DNAT配置 (34)3.6.1一对一IP映射 (34)3.6.2一对一端口映射 (38)3.6.3多对多端口映射 (43)3.6.4一对多映射（服务器负载均衡） (49)一．设备管理安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、telnet、SSH等主流通信管理协议。

1.1 终端console登录通过Console 口配置安全网关时需要在计算机上运行终端仿真程序（系统的超级终端、SecureCRT等）建立与安全网关的连接，并按如下表所示设置参数（与连接Cisco设备的参数一致）：1.2网页WebUI登录WebUI同时支持http和https两种访问方式，首次登录设备可通过默认接口ethernet0/0来进行，登录方法为：1. 将管理 PC 的IP 地址设置为与192.168.1.1/24 同网段的IP 地址，并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。

2. 在管理 PC 的Web 浏览器中访问地址http://192.168.1.1 并按回车键。

出现的登录页面如下图所示：1.3 恢复出厂设置1．CLI命令行操作a.输入：Unset allb.根据提示，选择是否保存当前配置：y/nc.选择是否重启：y/nd.系统重启后即恢复到出厂设置。

Hillstone Security Management安装手册Hillstone山石网科HSM-IM0110-2.2.2.31C-01前言内容简介感谢您选用Hillstone山石网科的网络安全产品。

本手册为Hillstone Security Management的安装手册，能够帮助用户正确安装Hillstone Security Management。

本手册的内容包括：• 1 产品介绍• 2 服务器的安装与升级•3客户端的安装与卸载• 4 配置Hillstone Security Management代理手册约定为方便用户阅读与理解，本手册遵循如下约定：•警告：表示如果该项操作不正确，可能会给安全网关或安全网关操作者带来极大危险。

因此操作者必须严格遵守正确的操作规程。

•注意：表示在安装和使用安全网关过程中需要注意的操作。

该操作不正确，可能影响安全网关的正常使用。

•说明：为用户提供有助于理解内容的说明信息。

内容目录1产品介绍 (2)1.1简介 (2)1.2HSM代理 (2)1.3HSM服务器 (2)1.4HSM客户端 (2)2服务器的安装与升级 (3)2.1服务器安装环境说明 (3)2.2安装HSM Server软件 (3)2.2.1管理HSM Server (5)2.2.2HSM Server配置 (6)2.2.3卸载HSM Server (7)2.3安装HSM Backup Server (8)2.3.1配置HSM Backup Server (9)2.3.2卸载HSM Backup Server (10)3客户端的安装与卸载 (11)3.1介绍 (11)3.2安装HSM客户端 (11)3.3卸载HSM客户端 (11)4代理的配置 (13)4.1介绍 (13)4.2配置SA/SG设备的HSM代理 (13)4.3配置SR设备的HSM代理 (14)1 产品介绍1.1 简介Hillstone Security Management TM（简称为HSM）是Hillstone山石网科自主研发的集中网络安全管理系统，能够对网络中的多台Hillstone安全设备进行集中控制和管理。

Hillstone VR5600T多核安全网关安装手册山石网科通信技术（北京）有限公司VR5600T-IM0709-3.5R2C-01前言内容简介感谢您选用Hillstone山石网科的网络安全产品。

本手册为Hillstone VR5600T多核安全网关的安装手册，能够帮助用户正确安装VR5600T多核安全网关。

本手册的内容包括：•第1章产品介绍•第2章安全网关安装前的准备工作•第3章安全网关的安装•第4章安全网关的启动和配置•第5章常见故障处理手册约定为方便用户阅读与理解，本手册遵循如下约定：•警告：表示如果该项操作不正确，可能会给安全网关或安全网关操作者带来极大危险。

因此操作者必须严格遵守正确的操作规程。

•注意：表示在安装和使用安全网关过程中需要注意的操作。

该操作不正确，可能影响安全网关的正常使用。

•说明：为用户提供有助于理解内容的说明信息。

内容目录第1章产品介绍 (1)简介 (1)VR5600T多核安全网关特点 (1)领先的系统结构设计 (1)强健的专用实时操作系统 (2)最低的总体拥有成本 (2)硬件外观特征 (2)前面板介绍 (3)后面板介绍 (3)指示灯含义 (4)系统参数 (5)端口属性 (5)CLR按键 (6)第2章安全网关安装前的准备工作 (8)介绍 (8)洁净度要求 (8)防静电要求 (8)电磁环境要求 (9)接地要求 (9)检查安装台 (9)其它安全注意事项 (10)检查安全网关及其附件 (10)安装设备、工具和电缆 (10)第3章安全网关的安装 (11)安装前说明 (11)将安全网关安装在工作台上 (11)将安全网关安装到标准机柜中 (12)线缆连接 (12)连接地线 (12)连接配置电缆 (13)连接以太网电缆 (13)连接电源线 (14)安装完成后的检查 (14)第4章安全网关的启动和配置 (16)介绍 (16)搭建配置环境 (16)搭建配置口（CON口）的配置环境 (16)搭建WebUI配置环境 (18)搭建Telnet和SSH配置环境 (19)安全网关的基本配置 (20)第5章常见故障处理 (21)介绍 (21)口令丢失情况下的处理 (21)电源系统故障处理 (21)配置系统故障处理 (21)插图目录图1-1：VR5600T前面板示意图 (3)图1-2：VR5600T后面板示意图 (3)图4-1：配置口（CON口）配置环境 (17)图4-2：设置终端通讯参数 (17)图4-3：登录页面 (19)表格目录表1-1：VR5600T前面板标识说明 (3)表1-2：VR5600T多核安全网关前面板指示灯含义 (4)表1-3：VR5600T安全网关系统参数 (5)表1-4：配置口属性 (6)表1-5：VR5600T多核安全网关千兆电口属性 (6)表2-1：机房灰尘浓度范围表 (8)第1章产品介绍简介Hillstone VR5600T多核安全网关是山石网科通信技术（北京）有限公司自主开发、拥有知识产权的新一代高性能纯硬件网络安全产品，能够为大中型企业、政府机关、教育机构等的网络安全问题提供安全高速的解决方案。

Hillstone SR系列安全路由器安装手册山石网科通信技术（北京）有限公司SR500/300-IM0309-3.5R1C-01前言内容简介感谢选用Hillstone Networks Inc.的网络安全产品。

本手册为Hillstone SR系列安全路由器的安装手册，能够帮助用户正确安装和快速配置Hillstone SR系列安全路由器。

本手册的内容包括：•第1章产品介绍•第2章安全路由器安装前准备工作•第3章安全路由器的安装•第4章快速配置安全路由器•第5章维护与常见故障处理手册约定为方便用户阅读与理解，本手册遵循以下约定：•警告：表示如果该项操作不正确，可能会给安全路由器或安全路由器操作者带来极大危险。

因此操作者必须严格遵守正确的操作规程。

•注意：表示在安装和使用安全路由器过程中需要注意的操作。

该操作不正确，可能影响安全路由器的正常使用。

•说明：为用户提供有助于理解内容的说明信息。

•『』：用该方式表示安全路由器WebUI界面上的链接、标签或者按钮。

例如，“点击『登录』按钮进入安全路由器的主页”。

•< >：用该方式表示WebUI界面上提供的文本信息，包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。

例如，“如果选择动态获取IP接入方式，请选择<动态获取IP>单选按钮”。

内容目录第1章产品介绍 (1)简介 (1)硬件外观特征 (1)前面板介绍 (2)后面板介绍 (6)指示灯含义 (6)系统参数 (7)端口属性 (9)CLR按键 (10)第2章安全路由器安装前准备工作 (12)介绍 (12)温度/湿度要求 (12)洁净度要求 (12)防静电要求 (13)电磁环境要求 (14)接地要求 (14)检查安装台 (14)其它安全注意事项 (15)检查安全路由器及其附件 (15)安装工具、仪表和设备 (15)第3章安全路由器的安装 (16)安装前说明 (16)将安全路由器安装在工作台上 (16)将安全路由器安装到标准机柜中 (17)线缆连接 (18)前面板线缆连接 (19)后面板线缆连接 (19)安装完成后的检查 (20)第4章快速配置安全路由器 (22)介绍 (22)登录安全路由器 (22)快速配置向导 (24)第一步：设置管理员密码 (24)第二步：设置时间和时区 (25)第三步：设置广域网接口 (26)第四步：确认配置 (29)第5 章常见故障处理 (31)介绍 (31)口令丢失情况下的处理 (31)电源系统故障处理 (31)插图目录图1-1：SR-560前面板示意图 (2)图1-2：SR-550前面板示意图 (3)图1-3：SR-530前面板示意图 (3)图1-4：SR-520前面板示意图 (4)图1-5：SR-330前面板示意图 (5)图1-6：SR-320前面板示意图 (5)图1-7：SR系列安全路由器后面板示意图 (6)图3-1：脚垫安装示意图 (17)图3-2：挂耳安装示意图 (18)图3-3：机柜安装示意图 (18)图3-4：前面板典型线缆连接示意图 (19)图4-1：登录页面 (23)图4-2：安全路由器主页 (24)图4-3：设置管理员密码 (25)图4-4：设置时间和时区 (26)图4-5：设置WAN1口网络接入方式 (27)图4-6：设置网络接入方式（动态获取IP） (27)图4-7：设置网络接入方式（静态指定IP） (28)图4-8：设置网络接入方式（PPPoE） (28)图4-9：确认配置 (29)表格目录表1-1：SR-560前面板标识说明 (2)表1-2：SR-550前面板标识说明 (3)表1-3：SR-530前面板标识说明 (4)表1-4：SR-520前面板标识说明 (4)表1-5：SR-330前面板标识说明 (5)表1-6：SR-320前面板标识说明 (5)表1-7：SR系列安全路由器前面板指示灯含义 (6)表1-8：SR系列安全路由器CPU负载率指示灯说明 (7)表1-9：SR系列安全路由器系统参数 (8)表1-10：WAN口属性 (9)表1-11：LAN端口属性 (10)表2-1：机房温度与湿度范围表 (12)表2-2：机房灰尘浓度范围表 (13)表2-3：机房有害气体含量限值表 (13)表2-4：安装工具、仪表和设备列表 (15)第1章产品介绍简介Hillstone SR系列安全路由器是山石网科通信技术（北京）有限公司自主开发、拥有知识产权的新一代高性能纯硬件网络安全产品，能够为大中型企业、政府机关、教育机构和网吧等用户的网络安全问题提供安全高速的解决方案。

Hillstone山石网科多核安全网关扩展模块手册Hillstone山石网科C-IM1009-V2.0-01产品中有毒有害物质或元素的名称及含量有毒有害物质或元素部件名称铅 汞 镉 六价铬多溴联苯 多溴二苯醚金属零部件（包括紧固件）²|||||印刷电路板组件和元件²|||||线缆和线缆组件²|||||塑料和聚合物²|||²²除印刷电路板以外的其它电子组件²||||| |：代表此种部件的所有均质材料中所含有的该种有毒有害物质均低于中华人民共和国信息产业部颁布的《电子信息产品中有毒有害物质的限量要求》（SJ/T11363-2006）规定的限量。

²：代表此种部件的所有均质材料中，至少有一类材料其所含有的有毒有害物质高于中华人民共和国信息产业部颁布的《电子信息产品中有毒有害物质的限量要求》（SJ/T11363-2006）规定的限量。

注：并非上述所有部件都含有在内装产品中。

所有产品及其部件的环保实用期限均由此符号表示。

此环保使用期限只适用于该手册中所规定的正常使用条件。

前言内容简介感谢您选用Hillstone Networks的网络安全产品。

本手册为Hillstone 山石网科多核安全网关扩展模块手册，能够帮助用户正确使用Hillstone安全网关的各种扩展模块。

本手册的内容包括：•第1章扩展模块介绍•第2章扩展模块的安装与拆卸•第3章扩展模块的配置与使用•第4章常见故障处理手册约定为方便用户阅读与理解，本手册遵循如下约定：•警告：表示如果该项操作不正确，可能会给安全网关或安全网关操作者带来极大危险。

因此操作者必须严格遵守正确的操作规程。

•注意：表示在安装和使用安全网关过程中需要注意的操作。

该操作不正确，可能影响安全网关的正常使用。

•说明：为用户提供有助于理解内容的说明信息。

内容目录第1章扩展模块介绍 (1)1.1.介绍 (1)1.2.前面板介绍 (1)1.3.指示灯含义 (2)1.4.SWAP按键 (3)1.5.端口属性 (3)1.5.1.千兆电口 (3)1.5.2.SFP接口 (4)1.5.3.XFP接口 (5)第2章扩展模块的安装与拆卸 (6)2.1.介绍 (6)2.2.扩展模块的安装 (6)2.3.扩展模块的拆卸 (6)第3章扩展模块的配置与使用 (7)3.1.介绍 (7)3.2.接口扩展模块的配置与使用 (7)3.2.1.支持Bypass (7)3.3.查看扩展模块的信息 (7)第4章常见故障处理 (8)第1章扩展模块介绍1.1. 介绍Hillstone山石网科多核安全网关的模块化平台产品支持多种扩展模块，包括接口扩展模块、应用处理扩展模块以及存储扩展模块，用户可根据需求选购。

【关键字】手册Hillstone安全网关NAV50配置手册一、配置准备Hillstone 山石网科多核安全网关提供WebUI 界面，使用户能够更简便与直观地对设备进行管理与配置。

安全网关的ethernet0/0 接口配有默认IP 地址，并且该接口的各种管理功能均为开启状态。

初次使用安全网关时，可以通过该接口访问安全网关的WebUI 页面。

请按照以下步骤搭建WebUI 配置环境：1. 将管理PC 的IP 地址设置为与同网段的IP 地址，并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。

2. 在管理PC 的Web 浏览器中访问地址.1 并按回车键。

出现登录页面如下图所示：3.输入用户名和密码。

安全网关提供的默认用户名和密码均为“hillstone”。

点击『登录』按钮进入安全网关的主页。

二、版本升级设备出厂时为默认版本Version4.0。

最新的版本Version4.5更强大。

建议升级到最新版本。

点击软件版本后的升级选项。

弹出如下页面：点击升级，弹出如下页面点击浏览，选中电脑本地的软件版本。

选择后出现如下页面：加载完后，选择下次启动时使用的系统软件会现实为4.5版本。

点击确定按钮点击确定重启设备点击确定重启后的页面三、更新系统时间（时间与生成日志有关）点击同步，然后点击确定。

四、修改登录密码和添加新账号五、安装正式许可证六、配置内外网接口地址点击“配置”栏中的“网络连接”，选中“Ethernet0/X”，点击“编辑”，如下图所示。

七、配置出网路由（根据网络情况添加内部网络回程路由）八、配置策略九、配置安全防备点击左侧攻击防备安全域选择untrust域系统会自动开启untrust域的安全防备，直接点击确定十、开启监控统计点击监控中流量选项，如果没有开启统计，系统会自动弹出选项是否开启统计集，点击确定开启即可，相同的动作完成想要开启的监控。

开启后系统会生成监控图像。

联系电话：联系人：张立为此文档是由网络收集并进行重新排版整理.word可编辑版本！。

Hillstone࿍ဝᆀపࣶਖ਼ڔཝᆀਈෘഎ၄ݿྟୈۈ۾੓：StoneOS 5.0R3关于本手册本手册为Hillstone山石网科多核安全网关命令手册。

详细描述StoneOS中用到的所有命令，具体内容有命令的格式、使用方法、参数、默认值和使用实例等。

文档约定在本手册中，StoneOS命令语法描述使用以下约定：·大括弧（{ }）：指明该内容为必要元素。

·方括弧（[ ]）：指明该内容为可选元素。

·竖线（|）：分隔可选择的互相排斥的选项。

·粗体：粗体部分为命令的关键字，是命令行中不可变部分，用户必须逐字输入。

·斜体：斜体部分为需要用户提供值的参数。

命令实例约定：·命令实例中需要用户输入部分用粗体标出。

·需要用户提供值的变量用斜体标出。

·命令实例包括不同平台的输出，可能会有些许差别。

目录怎样使用StoneOS CL I (1)CLI介绍 (1)命令模式和提示符 (1)执行模式 (1)全局配置模式 (1)子模块配置模式 (1)CLI命令模式切换 (1)命令行错误信息提示 (2)命令行的输入 (2)命令行的缩写形式 (2)自动列出命令关键字 (2)自动补齐命令关键字 (3)命令行的编辑 (3)查看历史命令 (3)快捷键 (3)过滤CLI输出信息 (4)分页显示CLI输出信息 (4)设置终端属性 (5)设置连接超时时间 (5)重定向输出 (5)StoneOS系统管理命令 (6)access (6)admin (6)admin host (7)admin user (8)allow-pwd-change (8){app | ips signature} stat-report (9)arp (10)bandwidth (11)bandwidth-threshold (12)delay-threshold (12)external-bypass enable (13)clock time (14)clock summer-time (15)clock zone (16)configure (16)console timeout (17)cpu (17)debug (19)delete configuration (20)desc (20)dns (21)dst-addr-based-session-counter (22)exec admin user password update (23)exec console baudrate (23)exec format (24)exec detach (24)exec customize (25)exec license apply (25)exec license install (26)exec license uninstall (27)exec webauth kickout (27)exit (28)expire (28)export configuration (29)group (30)hostname (30)http (31)http port (32)https port (33)https trust-domain (33)ike-id (34)import configuration (34)import customize (35)import image (36)interface (37)ip (37)language (39)match (39)monitor (41)nbt-cache enable (41)nbtstat ip2name (42)network-manager enable (42)network-manager host (43)ntp authentication (44)ntp authentication-key (44)ntp enable (45)ntp max-adjustment (45)ntp query-interval (46)ntp server (47)password (47)password（user） (48)password-policy (48)ping (49)privilege (50)reboot (51)role (51)role-expression (52)role-mapping-rule (52)rollback configuration backup (53)save (54)smtp (54)snmp-server contact (55)snmp-server engineID (55)snmp-server group (56)snmp-server host (57)snmp-server location (58)snmp-server manager (58)snmp-server port (59)snmp-server trap-host (59)snmp-server user (60)ssh port (61)ssh timeout (61)tcp (62)telnet authorization-try-count (63)telnet connection-interval (64)telnet timeout (65)threshold (66)traceroute (66)track (67)user (68)user-binding (69)user-group (69)webauth force-timeout (70)webauth http (71)webauth http-port (71)webauth https (72)webauth https-port (72)webauth reauth (73)webauth redirect (73)webauth sso-ntlm (74)webauth sso-ntlm-timeout (75)webauth timeout (75)web timeout (76)系统结构命令 (77)deny-session deny-type (77)deny-session percentage (77)deny-session timeout (78)fragment chain (79)fragment timeout (79)tcp-mss (80)tcp-rst-bit-check (80)tcp-seq-check-disable (81)tcp-syn-check (82)tcp-syn-bit-check (82)安全网关应用模式命令 (84)exec vrouter enable/disable (84)ip vrouter (84)forward-tagged-packet (85)l2-nonip-action (86)virtual-wire enable (86)virtual-wire set (87)vswitch (88)安全网关网络部署模式命令 (89)tap control-interface (89)tap lan-address (89)zone （绑定接口到Tap域） (90)zone （创建Tap域） (90)域（Zone）命令 (92)bind (92)vrouter (92)zone (93)接口（Interface）命令 (94)aggregate aggregate number (94)arp timeout (94)authenticated-arp (95)bgroup bgroup number (96)clear mac (96)combo (97)duplex (97)ftp (98)ftp port (99)holddown (99)holdup (100)interface aggregate number (101)interface aggregate number.tag (101)interface bgroup number (102)interface ethernet m/n (102)interface ethernetX/Y-pppoeZ (103)interface ethernet m/n.tag (104)interface loopback number (104)interface redundant number (105)interface redundant number.tag (105)interface tunnel number (106)interface vlan id (106)interface supervlan X (107)ip address (108)ip mtu (109)lacp (109)lacp max-bundle (110)lacp min-bundle (111)lacp system-priority (112)lacp period-short (112)load-balance mode (113)mac-clone (114)manage (114)mirror to (115)mirror filter (116)primary (117)proxy-arp (117)redundant redundant number (118)reverse-route (119)shutdown (119)speed (120)tunnel (121)webauth auth-arp-prompt (122)zone (122)地址（Address）命令 (124)address (124)host (124)ip (125)member (126)range (126)rename (127)服务（Service）命令 (128)app cache (128)app cache disable (129)app cache static disable (129)application-identify (130)clear app cache table (130)description (131)icmp (131)icmp type (132)longlife-sess-percent (133)protocol (134)servgroup (134)service (135)service service-name (136)tcp | udp application (137)策略（Policy）命令 (139)absolute (139)action (139)clear policy hit-count (140)clear policy hit-count default-action (141)default-action (141)description (142)disable (142)dst-addr (143)dst-host (143)dst-ip (144)dst-range (145)dst-zone (145)enable (146)log (147)import customize webredirect (147)move (148)name (149)periodic (149)periodic (150)policy-global (151)policy-qos-tag tag (151)role (152)user (152)user-group (153)rule (154)rule id (155)schedule (156)schedule (156)service (157)src-addr (157)src-host (158)src-ip (159)src-range (159)src-zone (160)web-redirect (161)安全控制命令 (163)arp (163)arp-disable-dynamic-entry (164)arp-inspection (164)arp-inspection rate-limit (165)arp-inspection trust (165)arp-inspection vlan (166)arp-l2mode (167)arp-learning (167)behavior-profile (168)clear arp (168)clear arp-spoofing-statistics (169)clear dhcp-snooping binding (170)dhcp-snooping（BGroup或者VSwitch接口） (170)dhcp-snooping（物理接口） (171)dhcp-snooping rate-limit (172)dhcp-snooping vlan (172)exec mac-address dynamic-to-static (173)exec urlfilter apply (173)export urlfilter-database (174)gratuitous-arp-send ip (175)host-blacklist (175)host-blacklist ip (176)host-blacklist mac (177)im (178)import urlfilter-database (178)mac-address-static (179)mac-learning (180)urlfilter (180)urlfilter domain-only (181)urlfilter rule type blacklist (181)urlfilter rule type keyword (182)urlfilter rule type whitelist (183)urlfilter unlimit-ip (183)urlfilter unlimit-ip (184)urlfilter whitelist-only (184)url-profile (185)认证与授权命令 (186)aaa-server (186)accounting (186)accounting enable (187)accounting port (188)accounting secret (188)admin auth-server (189)admin auth-server radius-server-name (190)agent (190)auth-method (191)auto-sync (191)backup-aaa-server (192)backup1 (193)backup2 (194)base-dn (194)debug aaa (195)group-class (195)host (196)login-dn (197)login-password (197)member-attribute (198)naming-attribute (198)port （Active-Directory / LDAP） (199)port （RADIUS） (199)retries (200)role-mapping-rule (201)secret (201)timeout (202)user-black-list (202)802.1X 认证协议命令 (204)aaa-server (204)dot1x allow-multi-logon (204)dot1x allow-multi-logon number (205)dot1x auto-kickout (205)dot1x control-mode (206)dot1x enable (207)dot1x max-user (207)dot1x port-control (208)dot1x profile (209)dot1x timeout (210)exec dot1x kickout (210)quiet-period (211)reauth-period (212)retransmission-count (212)server-timeout (213)tx-period (213)网络地址转换（NAT）命令 (215)dnatrule (215)dnatrule move (216)expanded-port-pool (217)nat (217)nat-enable (218)no dnatrule id (219)no snatrule id (219)snatrule （NAT） (220)snatrule（NAT444） (222)snatrule move (223)应用层识别与控制命令 (225)alg (225)alg h323 session-time (225)IPSec协议命令 (227)accept-all-proxy-id (227)anti-replay (227)authentication (228)auto-connect (229)compression deflate （manual） (229)compression deflate （P2） (230)connection-type (230)df-bit (231)dpd (232)encryption （P1） (232)encryption （manual） (233)encryption （P2） (234)encryption-key (235)group （P2） (236)hash （P1） (236)hash （manual） (237)hash （P2） (238)hash-key (239)id (239)interface (240)ipsec proposal (241)ipsec-proposal (241)isakmp peer (242)isakmp-peer (242)isakmp proposal (243)isakmp-proposal (244)lifesize (244)lifetime （P1） (245)lifetime（P2） (245)local-id (246)mode （协商模式） (247)mode （操作模式） (247)nat-traversal (248)peer (248)peer-id (249)pre-share (250)protocol (250)spi (251)track-event-notify (252)trust-domain (252)tunnel ipsec name auto (253)tunnel ipsec name manual (253)type (254)vpn-track (255)Secure Connect VPN命令 (256)aaa-server (256)anti-replay (256)address (257)allow-multi-logon (258)allow-multi-logon number (258)client-auth-trust-domain (259)client-cert-authentication (260)df-bit (261)dns (261)exclude address (262)exec scvpn approve-binding (263)exec scvpn clear-binding (263)exec scvpn increase-host-binding (264)exec scvpn kickout (265)exec scvpn no-host-binding-check (265)exec scvpn no-user-binding-check (266)exec sms send test-message to (266)export aaa user-password (267)export scvpn user-host-binding (268)host-check (268)https-port (269)idle-time (270)import pki cacert (271)import aaa user-password (271)import scvpn user-host-binding (272)interface (273)ip-binding role (273)ip-binding user (274)link-select (275)move (275)phone (276)pool (277)redirect-url (277)scvpn host-check-profile (278)scvpn pool (279)scvpn-udp-port (280)sms-auth enable (280)sms-auth expiration (281)sms modem (281)split-tunnel-route (282)ssl-protocol (283)trust-domain (283)tunnel scvpn (285)tunnel scvpn (285)user-host-verify (286)wins (287)拨号VPN命令 (288)exec generate-user-key rootkey (288)generate-route (288)ike_id (289)user (290)PnPVPN命令 (291)dhcp-pool-address (291)dhcp-pool-gateway (291)dhcp-pool-netmask (292)dns (293)peer_id fqdn (293)split-tunnel-route (294)tunnel-ip-address (295)user (295)wins (296)GRE命令 (297)destination (297)interface (297)next-tunnel ipsec (298)source (298)tunnel gre (299)L2TP命令 (301)aaa-server (301)accept-client-ip (301)address (302)allow-multi-logon (303)avp-hidden (303)clear l2tp (304)dns (304)exclude address (305)exec l2tp kickout (306)interface (306)ip-binding user (307)ppp-lcp-echo interval (308)keepalive (309)move (309)next-tunnel ipsec (310)pool (311)ppp-auth (311)l2tp pool (312)local-name (312)secret (313)transmit-retry (314)tunnel-authentication (314)tunnel l2tp (315)tunnel l2tp (316)tunnel-receive-window (316)wins (317)攻击防护命令 (318)ad all (318)ad arp-spoofing (318)ad dns-query-flood (319)ad huge-icmp-pak (321)ad icmp-flood (321)ad ip-directed-broadcast (322)ad ip-fragment (323)ad ip-option (324)ad ip-spoofing (324)ad ip-sweep (325)ad land-attack (326)ad ping-of-death (326)ad port-scan (327)ad session-limit (328)ad syn-flood (329)ad syn-proxy (331)ad tcp-anomaly (332)ad tear-drop (332)ad tear-drop (333)ad udp-flood (334)ad winnuke (335)clear ad zone (336)clear session-limit (337)交换命令 (338)bridge priority (338)enable (338)forward-delay (339)hello (339)interface vlan id (340)maximum-age (340)stp (341)stp cost (342)stp enable (342)stp priority (343)sub-vlan (343)supervlan (344)switchmode (344)vlan (345)路由命令 (347)access-list route (347)access-list name description (347)aggregate-address (348)area authentication (349)area default-cost (349)area range (350)area stub (351)area virtual-link (351)area virtual-link authentication (352)auto-cost reference-bandwidth (353)bind pbr-policy (354)clear ip bgp (354)continue (355)default-information originate (356)default-information originate (356)default-metric (357)default-metric（BGP） (357)description (358)distance（BGP） (359)distance (360)distance (360)distance ospf (361)domain (362)dst-addr (362)dst-host (363)dst-ip (364)dst-range (364)ecmp enable (365)ecmp-route-select (365)eif (366)enable (367)exec isp-network clear-predefine (367)iif (368)import vrouter (368)ip (369)ip igmp-proxy enable (370)ip igmp-proxy {router-mode | host-mode} (371)ip igmp-snooping enable (371)ip igmp-snooping {router-mode | host-mode | auto | disable} (372)ip multicast-routing (373)ip mroute (373)ip ospf authentication (374)ip ospf authentication-key (375)ip ospf cost (375)ip ospf dead-interval (376)ip ospf hello-interval (377)ip ospf message-digest-key (377)ip ospf priority (378)ip ospf retransmit-interval (378)ip ospf transmit-delay (379)ip rip authentication mode (380)ip rip authentication string (380)ip rip receive version (381)ip rip send version (381)ip rip split-horizon (382)ip route isp-name (384)ip route source (384)ip route source in-interface (385)ip vrouter (386)isp-network (387)llb inbound smartdns (388)llb-outbd-prox-detect (388)llb-outbd-prox-route (389)llb outbound proximity-route (390)match（OSPF） (390)match（PBR） (391)match id (392)max-route (393)move (394)neighbor（BGP） (394)neighbor A.B.C.D peer-group (395)neighbor {A.B.C.D | peer-group} activate (395)neighbor {A.B.C.D | peer-group} default-originate (396)neighbor {A.B.C.D | peer-group} description (396)neighbor {A.B.C.D | peer-group} next-hop-self (397)neighbor {A.B.C.D | peer-group} password (398)neighbor {A.B.C.D | peer-group} remote-as (398)neighbor {A.B.C.D | peer-group} shutdown (399)neighbor {A.B.C.D | peer-group} timers (399)neighbor（RIP） (400)nexthop (401)network（BGP） (401)network（RIP） (402)network area (403)passive-interface (403)pbr-policy (404)redistribute（BGP） (404)redistribute（RIP） (405)redistribute（OSPF） (406)route-map (406)route enable/disable (407)role (408)router bgp (409)router ospf (409)router rip (410)router-id （BGP） (411)router-id （OSPF） (411)service (412)set (412)src-addr (413)src-host (414)src-ip (414)src-range (415)subnet (416)timers (416)timers basic (417)timers spf (418)unknown-multicast drop (418)user (419)user-group (419)version (420)网络参数命令 (422)ac (422)address (422)authentication (423)auto-config interface (423)auto-connect (424)clear host (425)ddns enable (425)ddns name (426)dhcp-client ip (426)dhcp-client route (427)dhcp-relay enable (428)dhcp-relay server (428)dhcp-server enable (429)dhcp-server pool (429)dns (430)dns-proxy (430)domain (431)gateway (432)exclude address (432)idle-interval (433)ip address dhcp (433)ip dns-proxy black-list enable (434)ip dns-proxy white-list enable (434)ip dns-proxy black-list domain (435)ip dns-proxy white-list domain (435)ip address pppoe (436)ip domain lookup (437)ip domain name (437)ip domain retry (438)ip domain timeout (438)ip host (439)ip name-server (439)ip dns-proxy domain (440)ipmac-bind (441)lease (441)maxupdate interval (442)minupdate interval (443)netmask（DHCP） (443)netmask（PPPoE） (444)news (444)pop3 (445)pppoe enable group (445)pppoe-client group (446)pppoe-client group (446)relay-agent (447)route (448)server (448)schedule (449)service (450)smtp (450)static-ip (451)type (451)user（DDNS） (452)user（PPPoE） (452)wins (453)虚拟系统命令 (454)enter-vsys (454)export-to (454)profile (455)session (456)vsys（创建） (457)vsys（接口） (458)vsys-profile (458)vsys-shared (459)QoS管理命令 (460)bandwidth (460)class (460)class-map (461)exception-list (462)disable (462)flex-qos (463)flex-qos low-water-mark (463)flex-qos max-bandwidth (464)flex-qos-up-rate (465)ip-qos (465)match address (466)match application (467)match cos (467)match dscp (468)match ip-range (468)match policy-qos-tag (469)match precedence (470)match-priority (470)match role (471)police (472)priority (473)qos-profile (473)qos-profile (474)qos-profile（嵌套QoS Profile） (475)random-detect (476)role-qos (476)set cos (477)set dscp (478)set precedence (479)shape (479)shaping-for-egress (480)PKI配置命令 (482)crl (482)crl configure (482)enrollment (483)export pki （PKI信任域信息） (483)export pki （本地证书） (484)import pki （PKI信任域信息） (485)import pki （本地证书） (486)keypair (487)pki authenticate (487)pki crl request (488)pki enroll (488)pki export (489)pki import (490)pki import pkcs12 (490)pki key generate (491)pki key zeroize (491)pki key zeroize noconfirm (492)pki trust-domain (492)subject commonname (493)subject country (493)subject localityname (494)subject organization (495)subject organizationunit (495)subject stateorprovincename (496)url (496)高可靠性命令 (498)arp (498)description (498)exec ha sync (499)ha cluster (499)ha group (500)ha link interface (501)ha link ip (501)ha non-group (502)ha sync rdo session (503)ha traffic delay (503)ha traffic enable (504)hello interval (504)hello threshold (505)interface (506)manage ip (506)monitor track (507)preempt (507)priority (508)send gratuitous-arp (509)病毒过滤命令 (510)anti-malicious-sites (510)av enable (510)av max-decompression-recursion (511)av-profile (512)av signature update mode (512)av signature update schedule (513)av signature update server (513)exec av (514)exec av signature update (515)file-type (515)import av signature (516)label-mail (517)mail-sig (518)protocol-type (518)IPS命令 (520)attack-level (520)banner-protect enable (521)brute-force auth (521)brute-force lookup (522)command-injection-check (523)deny-method (523)exec block-ip remove (524)exec block-service remove (524)exec ips (525)external-link-check (527)ips enable (527)ips log disable (528)ips mode (529)ips profile (529)ips signature (530)ips sigset (530)max-arg-length (531)max-bind-length (532)max-black-list (533)max-cmd-line-length (533)max-content-type-length (534)max-content-filename-length (535)max-content-type-length (536)max-failure (536)max-input-length (537)max-path-length (538)max-reply-line-length (539)max-request-length (539)max-rsp-line-length (540)max-scan-bytes (541)max-text-line-length (541)max-uri-length (542)max-white-list (543)protocol-check (543)signature id (544)signature id number disable (545)sigset (546)sql-injection-check (546)virtual-host (547)web-acl (548)web-acl-check (548)xss-check enable (549)网络行为控制命令 (551)behavior (551)behavior-profile (551)bin-type (552)category (553)clear logging nbc (554)clear sslproxy notification (554)contentfilter（进入内容过滤配置模式） (555)contentfilter（绑定内容过滤Profile到策略规则） (555)contentfilter-profile (556)exec contentfilter apply (557)exec url-db update (557)exclude-html-tag (558)export log nbc (558)export pki (559)ftp (560)http (561)im (561)import pki (562)import sslproxy (563)import url-db (564)im-profile (564)keyword (565)keyword-category（URL过滤） (566)keyword-category（网页关键字） (567)keyword-category（Web外发信息） (567)keyword-category（邮件过滤） (568)logging (569)logging nbc to (569)mail (571)mail any (572)mail attach (572)mail control (573)mail enable (574)mail max-attach-size (575)mail others (576)mail-profile (576)mail {sender | recipient} (577)mail whitelist (578)msn | ymsg | qq (579)nbc-user-notification (579)remove database (580)ssl-decode (581)ssl-notification-disable (582)sslproxy (582)sslproxy exempt-match-subject (583)sslproxy-profile (583)sslproxy require-match-subject (584)sslproxy {require-mode | exempt-mode} (585)sslproxy trust-domain (585)sslproxy trustca-delete (586)url（添加URL条目） (586)url（绑定URL过滤Profile到策略规则） (587)url-category（新建URL类别） (588)url-category（URL过滤） (588)url-category（网页关键字） (589)url-category（Web外发信息） (589)url-db update mode (590)url-db update schedule (591)url-db update server (591)url-db-query (592)url-db-query server (593)url-profile (593)webpost (594)webpost all (595)webpost-profile (595)web-surfing-record (596)统计命令 (597)active (597)export statistics-set (597)filter (598)group-by (600)statistics address (601)statistics servgroup (602)statistics-set (602)target-data (603)日志命令 (605)export log event (605)logging (606)logging app-identification (607)logging alarm to (607)logging configuration to (608)logging content [hostname | username] (609)logging debug to (610)logging email to (610)logging event to (611)logging network to (612)logging facility (613)logging security to (613)logging sms (614)logging syslog (615)logging traffic to (616)logging traffic to syslog (616)GTP防护命令 (618)apn (618)gtp-profile（创建GTP Profile） (618)gtp-profile（绑定GTP Profile到策略规则） (619)imsi (620)imei (621)internal-inspect (621)message-type (622)message gtp-in-gtp-deny (623)message length (623)message log (624)message rate (624)message sanity-check (625)msisdn-filter (626)rat (626)rai (627)uli (628)IPv6命令 (630)ad huge-icmp-pak (630)ad ip-fragment (630)ad ip-spoofing (631)ad ipv6 nd-spoofing (633)ad icmp-flood (633)ad land-attack (634)ad ping-of-death (635)ad port-scan (636)ad syn-flood (636)ad syn-proxy (638)ad tcp-anomaly (639)ad tear-drop (639)ad udp-flood (640)address (641)clear ipv6 host (642)clear ipv6 neighbor (642)clear ipv6 nd-spoofing-statistics (643)clear ipv6 pmtu (643)destination (644)dnatrule (644)dnatrule (NAT64) (646)dnatrule move (647)dst-ip (648)dst-range (648)exec ipv6 nd-dynamic-to-static (649)export configuration (650)export image (650)export license (651)export log (652)export pki (652)export scvpn user-host-binding (653)export urlfilter-database (654)icmpv6 type (654)import application-signature (655)import configuration (656)import image (656)import ispfile (657)import license (658)import pki (658)import scvpn user-host-binding (659)import urlfilter-database (660)interface (660)ip (661)ip vrouter (662)ipv6 address (662)ipv6 address autoconfig (663)ipv6 dns-proxy domain (664)ipv6 dns64-proxy id (665)ipv6 enable (665)ipv6 general-prefix (666)ipv6 host (667)ipv6 mtu (667)ipv6 name-server (668)ipv6 neighbor (669)ipv6 nd adv-linkmtu (669)ipv6 nd hoplimit (670)ipv6 nd dad attempts (670)ipv6 nd-disable-dynamic-entry (671)ipv6 nd hoplimit (672)ipv6 nd-inspection (672)ipv6 nd-inspection deny-ra (673)ipv6 nd-inspection rate-limit (673)ipv6 nd-inspection trust (674)ipv6 nd-learning (675)ipv6 nd {managed-config-flag | other-config-flag} (675)ipv6 nd prefix (676)ipv6 nd ns-interval (677)ipv6 nd ra interval (678)ipv6 nd ra lifetime (678)ipv6 nd ra suppress (679)ipv6 nd reachable-time (680)ipv6 pmtu ageout-time (680)ipv6 pmtu enable (681)ipv6 route (682)ipv6 route source (682)ipv6 route source in-interface (683)ipv6 nd router-preference (684)no dnatrule id (685)no snatrule id (685)ping ipv6 (686)policy (687)range (687)rule (688)rule id (689)service (689)show dnat (690)show dnat server (691)show ipv6 dns (691)show ipv6 host (692)show ipv6 interface (693)show ipv6 neighbor (694)show ipv6 nd-spoofing-statistics (694)show ipv6 pmtu (695)show snat (695)show snat resource (696)snatrule (697)snatrule move (698)snmp-server ipv6-host (699)snmp-server ipv6-trap-host (700)snmp-server user (701)src-ip (702)src-range (702)Show命令 (704)show aaa-server (704)show access-list route (705)show ad zone (705)show address (707)show admin host (708)show admin user (708)show alg (709)show app cache status (710)show app logging (710)show arp (711)show arp-spoofing-statistics (711)show auth-user (712)show auth-user dot1x (712)show auth-user interface (714)show auth-user l2tp (714)show auth-user static (715)show auth-user scvpn (715)show auth-user webauth (716)show auth-user vrouter (717)show av-profile (717)show av signature info (718)show av zone-binding (718)show behavior-object (719)show behavior-profile (719)show block-ip (720)show block-notification (720)show block-service (721)show class-map (722)show clock (722)show configuration (723)show configuration running (723)show configuration backup (724)show configuration record (724)show console (725)show contentfilter-profile (726)show contentfilter category (727)show contentfilter count (727)show contentfilter keyword (728)show cpu (728)show database (729)show debug (729)show dhcp-server (730)show dhcp-snooping binding (730)show dhcp-snooping configuration (731)show dnat (731)show dnat server (732)show dns (733)show dns-address (733)show dot1x (734)show dp-filter ip (734)show external-bypass (735)show fib (736)show file (737)show flow deny-session (737)show fragment (738)show ftp (738)show gtp-profile (739)show ha cluster (740)show ha flow statistics (741)show ha group (741)show ha link status (742)show ha protocol statiscitc (742)show ha sync state (743)show ha sync statistic (744)show ha traffic (745)show host-blacklist (745)show http (746)show im-object (746)show im-profile (747)show image (747)show interface (748)show interface bind-tunnels (748)show interface supervlanX (749)show inventory (750)show ip bgp (750)show ip bgp neighbor (751)show ip bgp paths (751)show ip bgp summary (752)show ip hosts (752)show ip igmp-proxy (753)show ip igmp-snooping (753)show ip mroute (754)show ip ospf (755)show ip ospf database (755)show ip ospf database (756)show ip ospf interface (756)show ip ospf neighbor (757)。

Hillstone山石网科多核安全网关快速配置手册Hillstone山石网科QS-UG0509-V1.1-01前言手册内容首先感谢您使用山石网科的网络安全产品。

本手册为Hillstone山石网科多核系列安全网关的快速配置手册，对Hillstone山石网科多核系列安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI的配置。

本手册的内容包括以下各章：♦搭建配置环境。

介绍配置环境信息以及WebUI配置环境的搭建。

♦第2章系统管理。

介绍系统固件StoneOS的升级、配置文件的备份等。

♦第3章快速部署安全网关。

介绍安全网关的路由应用模式部署。

♦第4章对外发布服务器。

介绍DNAT的基本配置。

♦第5章IP QoS。

介绍IP QoS的配置用例。

♦第6章应用QoS。

介绍应用QoS的配置用例。

♦第7章SCVPN。

介绍SCVPN的配置用例。

手册约定为方便用户阅读与理解，本手册遵循以下约定：内容约定本手册内容约定如下：♦提示：为用户提供相关参考信息。

♦说明：为用户提供有助于理解内容的说明信息。

♦注意：如果该操作不正确，会导致系统出错。

♦『』：用该方式表示WebUI页面上的链接、标签或者按钮。

♦< >：用该方式表示WebUI页面上提供的文本信息，包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。

目录第1章搭建配置环境 (1)配置环境介绍 (1)搭建WebUI配置环境 (1)搭建Console配置环境 (3)安全网关的基本配置 (3)第2章系统管理 (5)介绍 (5)时间配置 (5)升级StoneOS (5)配置信息操作 (6)保存配置信息 (6)导出配置信息 (7)导入配置信息 (7)恢复出厂配置 (8)第3章快速部署安全网关 (9)介绍 (9)组网 (9)配置步骤 (9)第4章对外发布服务器 (15)介绍 (15)组网 (15)配置步骤 (16)第5章IP QoS (23)介绍 (23)配置需求 (23)配置步骤 (23)第6章应用QoS (25)介绍 (25)配置需求 (25)配置步骤 (25)第7章SCVPN (26)介绍 (26)组网 (26)配置步骤 (26)第1章搭建配置环境配置环境介绍Hillstone山石网科多核安全网关是山石网科自主研发的专用高性能纯硬件安全网关，可应用于大中小型企业、大型区域办事结构、电信运营商、数据中心等。

Version 5.5-1.9.1Copyright 2021 Hillstone Networks. All rights reserved.Information in this document is subject to change without notice. The software described in this document is furnished under a license agreement or nondisclosure agreement. The software may be used or copied only in accordance with the terms of those agreements. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form or any means electronic or mechanical, including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks.Hillstone Networks本文档禁止用于任何商业用途。

GPL软件使用声明山石网科远程安全评估系统正常运行，包含3款GPL协议的软件（NMAP、hydra、openVAS）。

本公司愿意将GPL软件提供给已购买产品且愿意遵守GPL协议的客户，请需要GPL软件的客户提供（1）已经购买的产品序列号；（2）有效送达GPL软件地址和联系人，包括但不限于姓名、公司、电话、电子邮件、地址、邮编等；（3）人民币70元的U盘费和快递费，客户即可获得产品所包含的GPL软件。

Hi山石网科通信技术(北京)有限公司Hillstone 助力网吧业网络安全接入与管控网吧安全解决方案2008年 6月销售/服务热线：400-650-0259 Hillstone网吧行业安全解决方案Hillstone助力网吧业网络安全接入与管控一、概述随着互联网产业的蓬勃发展，传统网吧在速度、稳定性、安全性方面等都不尽如人意，已经很难承载网民们喜爱的各式各样的互联网服务了，包括视频聊天、网络游戏等。

同时，随着网吧市场的竞争加剧，高速网吧的概念逐渐清晰，网吧业主纷纷注资于网吧的线路改造，不断提升的网络带宽需求也加大了网吧业主的经济负担。

有调查表明，网吧业主的信息服务水平在很大程度上影响着网吧用户对该网吧的喜欢程度和忠诚度。

因此对于网吧业主来说，建设一个高速、高安全、高可靠、可管理、易维护的宽带网络，是构建网吧的主要目标，选取专业的网络设备和专业的解决方案是重中之重，这就需要有专业的网络设备厂商来参与策划和实施。

二、需求分析网吧是比较特殊的网络环境，路由器作为网吧的核心接入设备，必须要满足和适合网吧的特点，概括起来有以下几个方面：•规模大，用户多，设备不间断运行大型网吧的机器数量在500台以上，运营商提供的接入带宽往往满足不了需求，需要有效控制带宽，精打细算使用。

网吧多为游戏、聊天和网页浏览等，传输的均是小数据包，因此需要较大的并发连接数和极高的包转发能力。

•需要带宽管理功能网吧业主最苦恼的莫过于网速慢的问题，虽然不断增加成本扩充带宽，但却仍有用户抱怨游戏卡、上网慢，简单的接入功能无法满足网吧现状，一款带有流量分析、流量管理的安全路由器才是用户迫切需要的。

•需要高稳定性网吧作为服务型营业场所，服务质量至关重要，而随着网吧行业不断发展，市场相对饱和后加剧竞争，频繁断线或大延迟网络将直接影响网吧的声誉和收益。

•多线路接入和负载均衡为扩大接入带宽和优化电信/网通访问速度，很多网吧采用多链路接入方式，需要支持多链路负载均衡和电信/网通链路优选的设备来支持。