山石网科防火墙检查命令

Hillstone防火墙维护手册Hillstone 山石网科20XX年X月目录1概述 (3)2Hillstone防火墙日常维护 (4)** 防火墙硬件部分日常维护 (5)** 防火墙机房要求 (5)** 防火墙电源检查 (5)** 防火墙风扇 (5)** 防火墙前面板指示灯检查 (6)** 防火墙模块及数据接口检查 (7)** 防火墙系统部分日常维护 (7)** 防火墙OS版本检查 (7)** 防火墙温度和风扇检查 (8)** 防火墙session利用率检查 (8)** 防火墙CPU利用率检查 (8)** 防火墙内存利用率检查 (9)** 防火墙接口状态检查 (9)** 防火墙路由检查 (11)** 防火墙fib状态检查 (11)** 防火墙日志检查 (12)** 常见故障排查指南 (13)** 防火墙CPU过高的处理 (13)** 设备session数过多的处理 (14)** HA异常的处理 (14)** 内网用户丢包的处理 (15)** 目的NA T不生效的处理 (16)** 设备无法管理的处理 (16)** 策略配置与优化(policy) (16)** 故障处理工具 (17)** 系统诊断工具 (17)** debug诊断与排错 (18)** 防火墙备份和恢复 (22)** 防火墙配置备份 (22)** 防火墙配置恢复 (23)** 防火墙出厂配置 (24)** 防火墙软件升级 (24)** 防火墙常用命令 (28)** 查看设备序列号 (28)** 重启防火墙 (29)** 查看防火墙接口状态 (30)** 查看防火墙安全区域 (30)** 查看防火墙路由表 (31)** 查看防火墙安全策略311概述防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。

Hillstone山石网科下一代防火墙基础配置手册V5.5版本Hillstone Networks Inc.服务热线：400 828 6655内容提交人审核人更新内容日期陈天骄陈天骄初次编写2016/1/14目录1 设备管理 (3)1.1 终端console登录 (3)1.2 网页WebUI登录 (3)1.3 恢复出厂设置 (5)1.3.1 CLI命令行操作 (5)1.3.2 WebUI图形化界面操作 (5)1.3.3 硬件CLR操作 (6)1.4 设备系统（StoneOS）升级 (6)1.4.1 通过sysloader升级 (6)1.4.2 通过CLI升级 (9)1.4.3 通过WebUI升级 (9)1.5 许可证安装 (10)1.5.1 CLI命令行安装 (10)1.5.2 WebUI安装 (11)2 基础上网配置 (11)2.1 接口配置 (11)2.2 路由配置 (13)2.3 策略配置 (14)2.4 源地址转换配置（SNAT） (15)3 常用功能配置 (16)3.1 PPPoE拨号配置 (16)3.2 动态地址分配（DHCP）配置 (17)3.3 IP-MAC地址绑定配置 (20)3.4 端到端IPSec VPN配置 (21)3.4.1 配置第一阶段P1提议 (22)3.4.2 配置ISAKMP网关 (23)3.4.3 配置第二阶段P2提议 (24)3.4.4 配置隧道 (25)3.4.5 配置隧道接口 (26)3.4.6 配置隧道路由和策略 (28)3.4.7 查看VPN状态 (29)3.5 远程接入SCVPN配置 (30)3.6 目的地址转换DNAT配置 (38)3.6.1 IP映射 (39)3.6.2 端口映射 (41)1设备管理安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、Telnet、SSH等主流通信管理协议。

Hi StoneOS安全模式山石网科通信技术(北京)有限公司Hillstone防火墙技术StoneOS安全模式1. 介绍传统防火墙通常可以在两种模式下进行操作：NAT/路由模式和透明模式。

NAT/路由模式部署灵活，并且支持防火墙和路由器两种设备的功能。

尽管如此，许多希望通过最少的网络中断而实现安全保护的客户却会选择透明模式。

随着二层与三层转换的扩展，安全集成到网络中变成一个更加困难的选择。

那么，在哪里部署能够控制所有二层和三层的所有类型流量的安全功能呢？Hillstone的StoneOS提供了一个强大的安全平台，它为安全管理者提供了“集成安全控制和网络管理的底层网络结构”。

StoneOS通过将网络功能从安全功能中分离出来，扩展了NAT/路由模式。

这样，用户就可以在一个完全灵活的环境下使用NAT功能。

StoneOS通过引入专有的Virtual Switch（虚拟交换机）的概念极大地扩展了透明模式。

在二层，用户可以定义VLAN域，并且可以将不同的安全策略应用到每一个VLAN。

StoneOS还拥有重新标记VLAN tag功能，这种功能只有高端的交换机才能实现。

StoneOS混合模式将NAT/路由模式与透明模式结合到同一个设备上。

根据配置的安全策略，部分数据在二层进行处理，而其它数据进行三层处理。

这个强大的功能将路由器和交换机的功能进行完美结合，并且能够降低网络部署的复杂性。

2. NAT/路由模式路由在NAT/路由模式下，设备被划分为多个三层域。

流量会在三层域之间进行转发，并且被转发的流量会被进行安全检查。

对于路由模式，IP地址不会被转换。

对于NAT模式，IP数据包在不同域间转发的过程中，其IP地址和端口号可以被转换。

Hillstone设备将安全管理从网络管理中分离出来。

Hillstone NAT策略是网络管理的一部分，用户可以基于特定接口或者五元组（IP地址、端口号和服务）进行灵活配置，或者将两者相结合。

⼭⽯hillstone-⽇常维护⼿册（234）Hillstone防⽕墙维护⼿册Hillstone ⼭⽯⽹科20XX年X⽉⽬录1概述 (3)2Hillstone防⽕墙⽇常维护 (4)** 防⽕墙硬件部分⽇常维护 (5)** 防⽕墙机房要求 (5)** 防⽕墙电源检查 (5)** 防⽕墙风扇 (5)** 防⽕墙前⾯板指⽰灯检查 (6)** 防⽕墙模块及数据接⼝检查 (7)** 防⽕墙系统部分⽇常维护 (7)** 防⽕墙OS版本检查 (7)** 防⽕墙温度和风扇检查 (8)** 防⽕墙session利⽤率检查 (8)** 防⽕墙CPU利⽤率检查 (8)** 防⽕墙内存利⽤率检查 (9)** 防⽕墙接⼝状态检查 (9)** 防⽕墙路由检查 (11)** 防⽕墙fib状态检查 (11)** 防⽕墙⽇志检查 (12)** 常见故障排查指南 (13)** 防⽕墙CPU过⾼的处理 (13)** 设备session数过多的处理 (14)** HA异常的处理 (14)** 内⽹⽤户丢包的处理 (15)** ⽬的NA T不⽣效的处理 (16)** 设备⽆法管理的处理 (16)** 策略配置与优化(policy) (16)** 故障处理⼯具 (17)** 系统诊断⼯具 (17)** debug诊断与排错 (18)** 防⽕墙备份和恢复 (22)** 防⽕墙配置备份 (22)** 防⽕墙配置恢复 (23)** 防⽕墙出⼚配置 (24)** 防⽕墙软件升级 (24)** 防⽕墙常⽤命令 (28)** 查看设备序列号 (28)** 重启防⽕墙 (29)** 查看防⽕墙接⼝状态 (30)** 查看防⽕墙安全区域 (30)** 查看防⽕墙路由表 (31)** 查看防⽕墙安全策略311概述防⽕墙作为企业核⼼⽹络中的关键设备，需要为所有进出⽹络的信息流提供安全保护，对于企业关键的实时业务系统，要求⽹络能够提供7*24⼩时的不间断保护，保持防⽕墙系统可靠运⾏及在故障情况下快速诊断恢复成为维护⼈员的⼯作重点。

山石网科防火墙配置手册
群山石网科防火墙配置手册群山石网科防火墙是一款专为企业网络安全而设计的防火墙产品，具有高性能、高安全性和可靠性等特点。

其采用七层防火墙、IPS、防拒绝服务攻击、
防恶意网络入侵、拦截病毒木马等多重安全技术，可以满足企业网络的安全需求。

群山石网科防火墙的配置主要包括以下几步：
1. 安装群山石网科防火墙：安装前需要确保防火墙与企业网络的网络拓扑架构完全一致，以保证防火墙的正常运行。

2. 配置网络访问控制规则：根据企业网络环境，定义不同类型的网络访问控制规则，以便根据不同的需求实施网络访问控制。

3. 配置安全服务：配置安全服务，如IPS、防拒绝服务攻击、防恶意网络入侵、拦截病毒木马等，以确保企业网络的安全性。

4. 设置安全日志：定期记录防火墙的运行状态，以便及时发现可能的安全漏洞，并及时采取有效的安全措施。

5. 配置安全策略：根据企业网络的实际情况，设置合理的安全策略，以便有效地防范网络安全攻击，保护企业网络安全。

通过以上步骤，可以完成群山石网科防火墙的配置，为企业网络提供安全的保障。

群山石网科防火墙的配置，不仅可以保护企业网络免受外部恶意攻击，而且可以让企业的网络运行更加安全可靠。

Version1.0Copyright 2022Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is fur-nished under a license agreement or nondisclosure agreement.The software may be used or copied only in accord-ance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrievalsystem,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks.Hillstone Networks本文档仅面向山石网科内部读者，禁止外传及用于任何商业用途。

联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州高新区科技城景润路181号邮编：100192邮编：215000联系我们：/about/contact_Hillstone.html关于本手册本手册为山石网科防火墙设备使用过程中的常见问题及解答。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：*************************山石网科https://TWNO:TW-FAQ-AKXE-CN-V1.0-6/27/2022用内部使用内部使用内部使用内部使用内部使用内部使用内部使用内部使用目录目录常见问题及解答介绍目标读者10更多资源10产品优势及定位A系列防火墙优势及定位问答121.A系列防火墙产品定位是什么？122.A系列防火墙有哪些主要特点，这些特点有哪些优势？123.A系列智能下一代防火墙有哪些应用场景？13K系列防火墙优势及定位问答144.K系列防火墙产品定位是什么？145.K系列防火墙有哪些主要功能亮点？14X系列防火墙优势及定位问答156.X系列数据中心防火墙产品定位是什么？157.X系列数据中心防火墙有哪些主要特点，这些特点有哪些优势？158.X系列数据中心防火墙在软件上有哪些优势功能？159.X系列数据中心防火墙有哪些应用场景？1610.X系列防火墙在选型时，参照客户现网业务流量该如何选择配置模型？16功能类问答硬件平台18TOC -1用内部使用内部使用内部使用内部使用内部使用内部使用内部使用内部使用1.A系列产品的型号及支持的扩展模块有哪些？182.A系列设备可以安装哪些硬盘？183.A系列设备支持的电源情况？184.K系列产品的型号及支持的扩展模块有哪些？195.K系列设备可以安装哪些硬盘？196.K系列设备支持的电源情况？197.X系列防火墙的CPU是什么架构？208.X系列产品的型号及支持的扩展模块有哪些？209.X系列设备需要哪些扩展模块才能正常工作？2110.X系列设备的扩展模块是否支持热插拔？2111.X10800和X9180电源线是16A的还是10A的？2112.X系列QSM扩展模块与IOM/SIOM扩展模块在实现QoS功能上有什么区别？2113.E系列设备最多可以安装几块万兆接口扩展模块？2114.防火墙设备支持40G光模块型号TRAN-QSFP+BiDi吗？2215.防火墙哪些光接口支持拆分？2216.如何拆分100GE(QSFP28)光接口和40GE(QSFP+)光接口？2217.防火墙哪些光接口支持降速？2318.防火墙光接口如何进行降速？2419.防火墙哪些光接口支持光转电？2520.防火墙光接口如何进行光转电？2521.防火墙设备的硬盘可以保存多久的日志信息？2622.山石网科设备可以使用其他厂商的光模块吗？26TOC -2用内内部使用内部使用内部使用内部使用内部使用内部使用内部使用23.光纤连接器的接口有哪些类型？2624.B系列产品的型号及支持的扩展模块有哪些？2725.C系列产品的型号及支持的扩展模块有哪些？27规格参数/许可证/特征库2726.A系列设备的IPS特征库数量为多少个？2727.A系列防火墙能满足10万以上用户的添加和管理吗？2828.A系列的病毒库能支持到300W吗？2829.StoneOS支持的VSYS有无数量限制？2830.A5500支持的VSYS最大数量是多少？2831.防火墙的IPS、AV、僵尸网络防御（C2）特征库分别是和哪些厂商合作的？2832.如何查看垃圾邮件过滤功能的特征库？2933.如何查看特征库的历史升级情况?2934.部分功能测试许可到期后功能仍可以正常使用吗？2935.僵尸网络防御许可证过期后，还能使用该功能吗？2936.僵尸网络防御特征库数量是多少？2937.僵尸网络防御特征库会自动更新到最新版本吗？3038.防火墙许可证导入后是否需要重启设备？30版本升级3139.防火墙升级版本前要注意什么？3140.防火墙正式平台许可证过期，对版本升级有影响吗？3241.A系列防火墙能使用StoneOS 5.5R8软件版本吗？3242.A系列防火墙升级是否有限制？32TOC -3用内内部使用内部使用内部使用内部使用内部使用内部使用内部使用系统管理3343.A系列和X系列防火墙设备是否可以强制断电？3344.StoneOS支持其他语言吗？3345.系统的默认管理员可以编辑或删除吗？3346.防火墙支持哪些配置管理方式？3347.如何查看设备的推荐版本？3348.如何查询设备售后服务到期时间和硬件保修时间？3449.如何查看当前运行的版本和运行时间？3450.如何关闭系统调试功能？3451.如何查看设备的配置信息？3452.如何查看SNMP OID值？34零信任3553.零信任支持基于哪些维度进行权限控制？3554.零信任支持哪些双因子认证方式？3555.零信任使用什么客户端接入？3556.因为终端状态原因而无法访问特定资源的用户，可以通过调整终端设备的配置获取访问权限吗？35策略3557.防火墙安全域之间默认是允许信息传输的吗？3558.策略规则的匹配顺序是什么？3659.防火墙是否支持导入安全策略？3660.未匹配到任何防火墙安全策略的流量默认是允许通过还是拒绝通过？3661.防火墙是否支持策略的五元组快速查询以及针对策略未命中时间进行查询？36TOC -4用内内部使用内部使用内部使用内部使用内部使用内部使用内部使用62.什么是失效策略？3663.防火墙最大策略数量和策略中的源/目的IP或者端口数量有关联吗？3764.策略规则调用的源地址条目/目的地址条目数量有限制吗？3765.在两个内网区域间通过防火墙做内网隔离，如何配置防火墙策略？37VSYS3766.VSYS支持Netflow吗？3767.防火墙中存在多个VSYS时，可以实现单个VSYS重启吗？3868.VSYS的数量增加，是否会影响根VSYS的性能？38路由3869.路由的优先级顺序是什么？3870.哪些类型的路由支持IPv6？3871.哪些类型的路由支持BFD功能？38VPN3872.StoneOS支持哪些VPN？3873.SSL VPN支持对接手机身份验证器吗？如Google Authenticator。

Hillstone山石网科SG-6000-X6150防火墙评测报告作者老韩 | 2010-10-14 11:38 | 类型互联网, 弯曲推荐, 研发动态, 网络安全 | 75条用户评论»4年时间完成从0到100G的跨越，山石网科让人无话可说。

再过4年，中国信息安全行业的格局是否会被改变？10月21日，山石网科将在北京正式发布这款百G级别的产品，感兴趣的话可以猛击这里查看官方专题页。

原文发布于《计算机世界》。

本文尽量注意在正文中不出现带有个人感情色彩的语言；另一方面，拓展表现形式，用视频保存下测试中的经典瞬间，编辑后以更易于接受、传播的方式加以体现。

（对于镜头晃动带来的眩晕感我非常抱歉，此外请忽略鼻炎导致偶发的怪腔怪调……）Hillstone山石网科（以下简称“山石网科”）是一个令人惊叹的安全企业。

自成立以来，该公司保持着稳定、高速的产品研发速度，有步骤地推出了一系列多功能安全网关产品，占据了市场先机。

但所有这些产品，其形态都属于“盒子（Appliance）”的范畴，固化的业务处理单元决定了其防火墙性能无法突破20G 这条水平线。

而在云计算从未来时发展为现在进行时的今天，运营商、金融、教育等大型行业用户有了更高的业务需求，百G级别的防火墙在骨干网、数据中心等环境开始进入实际应用阶段。

为了应对新的需求变化，山石网科又于近期推出了SG-6000-X6150（以下简称X6150）高性能防火墙，我们也在第一时间对该产品进行了测试分析。

为了达到百G级别的处理能力，X6150改用“机框（Chassis）”式产品形态，实现了可插拔部件全冗余及业务的智能分布式处理。

该产品采用5U规格设计，共内置了12个扩展槽位，其中10个可用于接口模块（IOM）、安全服务模块（SSM）或QoS服务模块（QSM），2个用于系统主控模块（SCM）。

设备亦采用了高速大容量交换背板，为每个模块提供了足够大的数据通路。

对于高端电信级产品来说，供电子系统与散热子系统的重要性亦不容忽视。

Version2.0
TechDocs|
版本说明
本手册包含了IFW2_2.0版本以及后续版本的版本说明，主要介绍了各版本的新增功能、已知问题等内容。

l IFW22.0
IFW22.0
发布日期：2022年6月24日
本版本是山石网科IFW2系列工控防火墙的首次发布。

山石网科IFW2系列工控防火墙满足工业场景的各种需求，有无风扇、低噪音、适用于宽温宽湿工作条件的特点。

可以识别S7comm、PROFINET-IO、Modbus、IEC-61850、IEC-60870-5-104、FINS、DNP3、EthernetIP以及IEC-60850-MMS多种工业协议。

工控协议白名单防护中，对Modbus、OPC、IEC104这三种工业协议满足主机级、协议级、功能级和值域级四级深度解析和管控。

可以对工业设备进行进行资产发现和资产拓扑关系展示，做到可知、可控、可管、可靠。

版本发布相关信息：https:///show_bug.cgi?id=28672
平台和系统文件
新增功能
2Title-ReleaseNote
Title-ReleaseNote3
浏览器兼容性
以下浏览器通过了WebUI测试，推荐用户使用：
l IE11
l Chrome
获得帮助
Hillstone Web应用防火墙设备配有以下手册：请访问https://进行下载。

l《IFW2_WebUI用户手册》
l《IFW2_CLI命令行手册》
l《IFW2_硬件参考指南》
服务热线：400-828-6655
官方网址：https://
4Title-ReleaseNote。

Version 5.5R8Copyright 2022 Hillstone Networks. All rights reserved.Information in this document is subject to change without notice. The software described in this document is furnished under a license agreement or nondisclosure agreement. The software may be used or copied only in accordance with the terms of those agreements. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form or any means electronic or mechanical, including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks.Hillstone Networks本文档禁止用于任何商业用途。

联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州高新区科技城景润路181号邮编：100192 邮编：215000联系我们：https:///about/contact_Hillstone.html关于本手册本手册为硬件参考指南，帮助用户正确安装山石网科E系列的设备。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：*************************山石网科TWNO: TW-HW-ES-CN-V6.7-Y22M02产品中有毒有害物质或元素的名称及含量前言内容简介感谢您选用山石网科的网络安全产品。

山石防火墙常用命令一、查看防火墙状态在使用山石防火墙时，我们常常需要了解防火墙的状态，以便及时调整和优化配置。

通过以下命令可以查看防火墙的状态信息：1. show firewall status：显示防火墙的状态信息，包括是否启用、当前运行模式等。

二、配置防火墙规则配置防火墙规则是使用山石防火墙的重要任务之一，它决定了哪些网络流量可以通过防火墙，哪些需要被阻止。

以下是常用的配置防火墙规则的命令：1. firewall policy：进入防火墙规则配置模式。

2. show firewall policy：显示当前配置的防火墙规则。

3. add firewall policy：添加一条新的防火墙规则。

4. set firewall policy：修改已存在的防火墙规则。

三、网络地址转换(NAT)防火墙中的网络地址转换(NAT)功能可以将内部网络的私有IP地址转换为公网IP地址，实现内部网络与外部网络的通信。

以下是常用的NAT命令：1. nat enable：启用NAT功能。

2. nat inside：指定内部网络。

3. nat outside：指定外部网络。

4. nat pool：配置NAT地址池。

5. nat static：配置静态NAT。

四、配置端口映射端口映射是防火墙的重要功能之一，它允许外部网络通过特定的端口访问内部网络的特定服务。

以下是常用的端口映射命令：1. port-map enable：启用端口映射功能。

2. port-map inside：指定内部网络。

3. port-map outside：指定外部网络。

4. port-map static：配置静态端口映射。

五、配置访问控制列表(ACL)访问控制列表(ACL)用于控制网络流量的进出规则，可以实现对特定IP地址、端口或协议的访问控制。

以下是常用的ACL命令：1. access-list enable：启用ACL功能。

2. access-list inbound：配置流量进入规则。

山石网科防火墙检查命令表29-1：手动同步配置命令列表HA 同步信息show 命令手动同步命令配置信息show configuration exec ha sync configuration 文件信息show file exec ha sync file file-nameARP 表项show arp exec ha sync rdo arpDNS 配置信息show ip hosts exec ha sync rdo dns DHCP 配置信息show dhcp exec ha sync rdo dhcp MAC 地址表show mac exec ha sync rdo macshow pki keyPKI 配置信息show pki trust-domainexec ha sync rdo pki会话信息show session exec ha sync rdo sessionshow ipsec saIPSec VPN 信息show isakmp saexec ha sync rdo vpnshow scvpn client testshow scvpnhost-check-profileshow scvpn poolshow scvpnuser-host-bindingshow scvpn sessionSCVPN 信息show auth-user scvpnexec ha sync rdo scvpnshow l2tp tunnel show l2tp pool show l2tp client{tunnel-name name [useruser-name]| tunnel-id ID} L2TP 信息show auth-user l2tp{interface interface-name| vrouter vrouter-name}exec ha sync rdo l2tpWeb 认证信息show auth-user webauth exec ha sync rdo webauthNTP 信息show ntp exec ha sync rdo ntpSCVPN 信息show scvpn exec ha sync rdo scvpn路由信息show ip route exec ha sync rdo route显示HA配置系统提供相应的show 命令，查看HA 配置信息。

网络防火墙是维护网络安全的重要工具，它可以过滤和拦截入侵、恶意攻击和其他潜在威胁。

为了实现网络安全，我们需要了解并掌握一些常用的网络防火墙管理命令与技巧。

本文将介绍一些常用的命令和技巧，帮助读者更好地管理和配置网络防火墙。

1. 查看防火墙状态和配置首先，为了了解防火墙的状态和配置，我们可以使用以下命令：- `iptables -L`：该命令用于查看防火墙规则列表。

- `iptables -nvL`：该命令提供更详细的信息，包括包计数和字节计数。

- `iptables -t nat -L`：该命令用于查看防火墙的网络地址转换规则。

通过查看防火墙状态和配置，我们可以快速了解网络环境中的规则和设置，为后续的管理和配置提供基础。

2. 添加、编辑和删除防火墙规则要调整防火墙的行为，我们需要添加、编辑和删除相应的规则。

以下是一些常用的命令：- `iptables -A <chain> -p <protocol> --dport <port> -j<action>`：该命令用于添加规则，其中`<chain>`表示规则的链（例如INPUT、FORWARD、OUTPUT），`<protocol>`表示要匹配的协议（例如TCP、UDP），`<port>`表示要匹配的端口号，`<action>`表示通过规则的操作（例如ACCEPT、DROP）。

- `iptables -R <chain> <rule_num> -p <protocol> --dport<port> -j <action>`：该命令用于替换指定编号的规则。

- `iptables -D <chain> <rule_num>`：该命令用于删除指定编号的规则。

通过添加、编辑和删除防火墙规则，我们可以灵活地配置防火墙，以适应不同的安全需求。

Version 2.8Copyright 2021 Hillstone Networks.All rights reserved.Information in this document is subject to change without notice. The software described in this document is furnished under a license agreement or nondisclosure agreement. The software may be used or copied only in accordance with the terms of those agreements. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form or any means electronic or mechanical, including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks.Hillstone Networks本文档禁止用于任何商业用途。

联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州高新区科技城景润路181号邮编：100192 邮编：215000联系我们：https:///about/contact_Hillstone.html关于本手册本手册介绍山石网科公司的Web应用防火墙（W1060-GC）的硬件相关信息。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：***********************山石网科https://TWNO: TW-HW-WAF(GC)-CN-V1.0-Y21M11产品中有毒有害物质或元素的名称及含量前言内容简介感谢您选用Hillstone Networks的Web应用安全产品-Web应用防火墙。

山石网科防火墙检查命令防火墙作为网络安全的重要组成部分，常常需要进行定期的检查以确保其有效性和安全性。

本文将介绍山石网科防火墙的检查命令，并对各项命令进行详细讲解。

登录防火墙在进行防火墙的检查之前，首先需要登录到防火墙的管理界面。

登录方式通常为通过SSH协议远程登录或使用管理电脑直接连接防火墙。

登录时需要输入用户名和密码，用户名默认为admin，密码则根据具体情况而定。

检查命令1. show version该命令用于显示防火墙的版本信息，包括版本号、版本日期等详细信息。

使用方式如下：[admin@FW]#show version2. show interface该命令用于显示防火墙的网络接口信息，包括接口名称、MAC地址、IP地址、子网掩码等详细信息。

使用方式如下：[admin@FW]#show interface3. show route该命令用于显示防火墙的路由表信息，包括目的地址、网关、出口接口、路由类型等详细信息。

使用方式如下：[admin@FW]#show route4. show policy该命令用于显示防火墙的安全策略信息，包括被允许或拒绝的流量类型、源IP地址、目的IP地址、协议类型等详细信息。

使用方式如下：[admin@FW]#show policy5. show session该命令用于显示防火墙的会话信息，包括当前连接的源IP地址、目的IP地址、协议类型、端口号等详细信息。

使用方式如下：[admin@FW]#show session6. show session table该命令用于显示防火墙的会话表信息，包括当前的活动会话以及已经结束的会话等详细信息。

使用方式如下：[admin@FW]#show session table7. show nat该命令用于显示防火墙的NAT（网络地址转换）信息，包括源地址转换、目的地址转换等详细信息。

使用方式如下：[admin@FW]#show nat8. show vpn该命令用于显示防火墙的VPN（虚拟专用网络）信息，包括加密算法、密钥长度、认证方式等详细信息。

Version5.5R9TechDocs|目录目录1介绍1文档内容1目标读者1产品信息1虚拟防火墙的功能2 VMware Tools的功能2 Cloud-init的功能3许可证4许可证机制4平台类许可证4订阅类许可证5功能服务类许可证6申请许可证7安装许可证7许可证校验8在KVM上部署云·界10系统要求10虚拟防火墙的工作原理10准备工作10安装步骤11步骤一：获取防火墙软件包11步骤二：导入脚本和系统文件11步骤三：首次登录防火墙13将vFW联网14步骤一：查看接口的信息。

15步骤二：连接接口15其他操作16查看虚拟防火墙16启动虚拟防火墙17关闭虚拟防火墙17升级虚拟防火墙17重启虚拟防火墙17卸载虚拟防火墙17访问虚拟防火墙的WebUI界面18在OpenStack上部署云·界19部署场景19系统要求20安装步骤20步骤一：导入镜像文件21步骤二：创建实例类型22步骤三：创建网络23步骤四：启动实例24步骤五：登录及配置云·界虚拟防火墙25步骤六：重新配置OpenStack的路由器26步骤七：关闭OpenStack对云.界接口的IP检查27步骤八：在云·界上配置路由、NAT及安全策略28配置完成31使用云·界替换Openstack虚拟路由器32系统要求32安装步骤32步骤一：获取Hillstone-Agent插件文件32步骤二：配置port_security33步骤三：安装hs-manager33步骤四：在hs-manager上进行相关配置33步骤五：在hs-manager上安装CloudEdge34附：hs-manager命令行37步骤六：在控制节点上安装patch文件38步骤七：配置完成40访问云·界虚拟防火墙41使用SSH2远程登录vFW：42使用HTTPS远程登录vFW：42在VMware ESXi上部署云·界43支持的部署场景43系统要求和限制43部署防火墙45安装防火墙45通过OVA模板安装防火墙45通过VMDK文件安装防火墙47第一步：导入VMDK文件47第二步：创建虚拟机48第三步：添加硬盘49启动和访问虚拟防火墙50防火墙初始配置50升级防火墙52在Xen平台上部署云·界53系统要求53部署虚拟防火墙53步骤一：获取防火墙软件包53步骤二：导入镜像文件53步骤三：首次登录防火墙55访问虚拟防火墙的WebUI界面56升级虚拟防火墙56在Hyper-V上部署云·界57系统要求57虚拟防火墙的工作原理57准备工作58安装步骤58步骤一：获取防火墙软件包58步骤二：创建虚拟机58步骤三：首次登录防火墙62访问虚拟防火墙的WebUI界面62升级虚拟防火墙63在AWS上部署云·界64 AWS介绍64位于AWS的云·界65场景介绍65虚拟防火墙作为互联网网关65虚拟防火墙作为VPN网关65服务器负载均衡66本手册的组网设计67准备您的VPC68第一步：登录AWS账户68第二步：为VPC添加子网69第三步：为子网添加路由70在亚马逊云AWS上部署虚拟防火墙71创建防火墙实例71第一步：创建EC2实例71第二步：为实例选择AMI模板72第三步：选择实例类型72第四步：配置实例详细信息73第五步：添加存储73第六步：标签实例74第七步：配置安全组74第八步：启动实例75配置子网和接口76分配弹性IP地址76在主控台查看实例76购买并申请许可证77访问云·界虚拟防火墙77使用PuTTy访问CLI管理界面77步骤一：使用PuTTYgen转换密钥对77步骤二：使用PuTTY访问CLI界面78访问WebUI界面80配置虚拟防火墙82创建策略82测试AWS上的虚拟防火墙连通性84创建测试用虚拟机（Windows）84第一步：配置路由表84第二步：创建EC2实例。