山石网科防火墙检查命令

2024年5月30日发(作者：)

表 29-1：手动同步配置命令列表

HA 同步信息 show 命令 手动同步命令

配置信息show configuration exec ha sync configuration

文件信息 show file exec ha sync file

file-name

ARP 表项show arp exec ha sync rdo arp

DNS 配置信息show ip hosts exec ha sync rdo dns

DHCP 配置信息show dhcp exec ha sync rdo dhcp

MAC 地址表show mac exec ha sync rdo mac

show pki key

PKI 配置信息

show pki trust-domain

exec ha sync rdo pki

会话信息 show session exec ha sync rdo session

show ipsec sa

IPSec VPN 信息

show isakmp sa

exec ha sync rdo vpn

show scvpn client test

show scvpn

host-check-profile

show scvpn pool

show scvpn

user-host-binding

show scvpn session

SCVPN 信息

show auth-user scvpn

exec ha sync rdo scvpn

show l2tp tunnel

show l2tp pool

show l2tp client

{tunnel-name

name

[user

user-name

]| tunnel-id

ID

}

L2TP 信息

show auth-user l2tp

{interface

interface-name

| vrouter

vrouter-name

}

exec ha sync rdo l2tp

Web 认证信息show auth-user webauth exec ha sync rdo webauth

NTP 信息show ntp exec ha sync rdo ntp

SCVPN 信息show scvpn exec ha sync rdo scvpn

路由信息show ip route exec ha sync rdo route

显示HA配置

系统提供相应的 show 命令，查看HA 配置信息。

♦ 查看 HA 簇配置信息：show ha cluster

♦ 查看 HA 组配置信息：show ha group {config |

group-id

}

♦ 查看 HA 连接配置状态：show ha link status

Hillstone 山石网科多核安全网关使用手册

519

♦ 查看 HA 同步状态：show ha sync state {pki | dns | dhcp | vpn | ntp | config

| flow | scvpn | l2tp | route}

♦ 查看 HA 同步统计信息：show ha sync statistic {pki | dns | dhcp | vpn |

ntp | config | scvpn | route}

♦ 显示接收和发送的 HA 协议统计信息：show ha protocol statiscitc

♦ 显示已同步或未同步的 HA 会话信息：show session {sync | unsync}

♦ 显示 HA 统计信息：show ha flow statistics

Hillstone 防火墙系统管理配置：

1、 语言配置：language zh_CN 设置为中文

2、 管理员用户访问权限：

在管理员配置模式下，输入以下命令配置管理员的访问方式：

access {console | http | https | ssh | telnet | any}

3、 限制IP地址对防火墙管理

配置系统的可信主机，在全局配置模式下，使用以下命令：

admin host {

A.B.C.D A.B.C.D |

any} {http | https | ssh | telnet | any}

用户可以在任何模式下，随时使用 show 命令查看可信主机配置：

show admin host

4、 配置描述

配置用户描述信息，为用户提供描述信息，在用户配置模式下，使用以下命令：

desc string

5、 配置Console管理接口

配置波特率 exec console baudrate 9600 默认9600

配置超时时间 console timeout

timeout-value

范围是0 到60 分钟，0 表示

无时间限制。默认值是10 分钟。

配置Telnet管理接口 telnet timeout

timeout-value

范围是1 到60 分钟。默认值

是10 分钟 telnet port

port-number

默认值是23

telnet authorization-try-count

count-number

范围是1 到10 次默认为3 次

6、 配置WEB认证服务器端口号

webauth http-port

port-number

默认值是 8181。

webauth https-port

port-number

默认值是44433。

webauth timeout

timeout-value

取值范围是10 到3600*24 秒。默认为60 秒

7、 强制用户重新登录

webauth force-timeout

timeout-value

范围为10 到60*24*100 分钟。

♦ 显示 Console 配置：show console

♦ 显示 Telnet 配置：show telnet

♦ 显示 SSH 配置：show ssh

♦ 显示 Web 配置：show http

8、 查看配置信息

系统起始配置信息包括系统的当前起始配置信息（系统启动时使用的配置信息），和系

统的备份起始信息。系统纪录最近十次保存的配置信息，最近一次保存的配置信息会纪录

为系统的当前起始配置信息，当前系统配置信息以“current”作为标记。前九次的配置信

息按照保存时间的先后以数字0 到8 作为标

查看安全网关的当前起始配置信息，在任何命令模式下输入以下命令：

show configuration saved [current]

查看安全网关的备份起始信息，在任何命令模式下使用以下命令：

show configuration saved

number

查看安全网关的备份起始信息记录，在任何命令模式下输入以下命令：

show configuration saved record

9、 回退起始配置信息

系统能够纪录最近十次保存的起始配置信息，用户可以根据需要回退到已保存的指定

的起始配

置信息。系统重启后，系统将会使用该命令指定的配置信息。在执行模式下，使用以

下命令：

rollback configuration saved {number}

10、 删除配置文件

用户可以删除设备的起始配置信息。删除起始配置信息，在执行模式下，使用以下命

令：

delete configuration saved {current |

number

}

导出配置信息

用户可以导出系统的当前配置信息和备份配置信息到 FTP 服务器、TFTP 服务器或者

U 盘。

导出系统配置信息到 FTP 服务器，在执行模式下使用以下命令：

export configuration {current |

number

} to ftp server

ip-address

[user

user-name

password

password

] [

file-name

]

import configuration from ftp server

ip-address

user

user-name

password

password file-name

11、 恢复出厂配置

用户除使用设备上的 CRL 按键使系统恢复到出厂配置外，也可以使用命令恢复。恢

复出厂配

置，在执行模式下，使用以下命令：

unset all

12、 日志管理

将事件日志信息输出到内存缓存，并且对日志信息进行过滤，在全局配置模式下使用

以下命令：

logging event to buffer [severity

severity-level

] [size

buffer-size

]

♦ severity

severity-level

– 指定输出的事件日志信息的级别从而对事件日志信息

进行过滤。日志信息的级别和对应的级别号请参阅表4-2。输出信息的级别将会是指定

级

别或者高于指定级别，即数字等于或者小于指定级别。例如指定级别是通告，StoneOS

将

会输出通告、警告和错误级别的日志信息。

♦ size

buffer-size

–指定内存缓存的大小。范围是4096 到4294967295 字节。默

认值为1048576。

级别 级别号 描述 日志定义

紧急（Emergencies） 0 系统不可用信息。LOG_EMERG

警报（Alerts） 1 需要立即处理的信息，如设备受到攻击等。LOG_ALERT

严重（Critical） 2 危急信息，如硬件出错。LOG_CRIT

错误（Errors） 3 错误信息。LOG_ERR

警告（Warnings） 4 报警信息。LOG_WARNING

通告（Notifications） 5 非错误信息，但需要特殊处理。LOG_NOTICE

信息（Informational） 6 通知信息。LOG_INFO

调试（Debugging） 7 调试信息，包括正常的使用信息。LOG_DEBUG

开启：logging {event | alarm | security | configuration | network |

traffic | debug | ips} on

size

buffer-size

- 内存缓存的大小。范围是4096 到4294967295 字节。默认值

为1048576

示例 1：向Console口输出事件日志信息

第一步：开启事件日志功能。

hostname# configure

hostname(config)# logging event on

第二步：配置Console 口日志输出，信息级别为Debugging。

hostname(config)# logging event to console severity debugging

示例 2：向Syslog Server输出事件日志信息

第一步：开启安全网关的日志功能，将IP 地址为202.38.1.10 的工作站用作Syslog

Server，

类型为UDP，设置信息级别为Informational。

hostname(config)# logging event on

hostname(config)# logging syslog 202.38.1.10 udp 514

hostname(config)# logging event to syslog severity informational

13、 显示基于接口的统计信息

show statistics interface-counter interface interface-name {second| minute

| hour}

♦ interface-name – 指定接口名称。

♦ second – 指定显示接口前60 秒钟每秒的流量统计信息。

♦ minute – 指定显示接口前60 分钟每分钟的流量统计信息。

♦ hour – 指定显示接口前24 小时每小时的流量统计信息。

14、 安全网关的SNMP功能

开启或者关闭SNMP代理功能

默认情况下，系统的 SNMP 代理功能是关闭的。开启安全网关的SNMP 代理功能，

请在全局

配置模式下使用以下命令。用该命令no 的形式关闭SNMP 代理功能。

♦ snmp-server manager

配置SNMP代理设备端口号

配置 SNMP 代理设备端口号，在全局配置模式下，使用以下命令：

snmp-server port

port-number

♦

port-number

– 指定SNMP 代理设备的端口号。范围为1 到65535。默认值为161。

配置SNMP引擎ID

SNMP 引擎ID 唯一标识一个引擎，SNMP 引擎是SNMP 实体（网络管理平台或者

被管理网络

设备）的重要组成部分，完成SNMP 消息的收发、验证、提取PDU、组装消息与SNMP

应用程序

通信等功能。配置本地设备的SNMP 引擎ID，在全局配置模式下使用以下命令：

snmp-server engineID

string

♦

string

– 指定引擎 ID 号。取值范围为1 到23 个字符

创建SNMPv3 用户组

配置 SNMPv3 用户组，请在全局配置模式下使用以下命令：

snmp-server group

group-name

v3 {noauth | auth | auth-enc} [read-view

read-view

] [write-view

writeview

]

♦

group-name

– 指定用户组的名称。取值范围为1 到31 个字符。

♦ noauth | auth | auth-enc – 指定用户组的安全级别。可以为noAuth、Auth 或

者

Auth-Enc。安全级别决定了在处理一个SNMP 数据包时所采用的安全机制。noAuth

即无

认证和加密；Auth 提供基于MD5 或SHA 算法的认证；Auth-Enc 提供基于MD5 或

SHA

算法的认证和基于AES 和DES 的报文加密。

♦ read-view

read-view

– 指定该用户组的只读MIB 视图名。如不指定该参数，系

统默

认为所有视图均为该用户组的只读MIB 视图。

♦ write-view

writeview

–指定该用户组的可写MIB 视图名。如不指定该参数，系

统

默认为所有视图均为该用户组的可写MIB 视图。

系统最多允许配置 5 个用户组，且每个用户组最多可包含5 个用户。在全局配置模

式下使用

no snmp-server group

group-name

命令删除指定的用户组

创建SNMPv3 用户

配置 SNMPv3 用户，请在全局配置模式下使用以下命令：

snmp-server user

user-name

group

group-name

v3 remote

remote-ip

[auth-protocol {md5 | sha}

auth-pass

[enc-protocol {des | aes}

enc-pass

]]

♦ user

user-name

– 指定用户名称。取值范围为 1 到31 个字符。

♦ group

group-name

– 为所创建的用户指定已经配置好的用户组。

♦ remote

remote-ip

– 指定远程管理主机的IP 地址。

♦ auth-protocol {md5| sha} – 指定用户安全级别为需要认证且认证协议可以为

MD5

或SHA 算法。如不输入此参数，则默认是无认证，无加密模式。

♦

auth-pass

– 指定认证密码。取值范围为8 到40 个字符。

♦ enc-protocol {des| aes} – 指定用户安全级别为加密且加密协议为DES或者AES。

♦

enc-pass

– 指定加密密码。取值范围为8 到40 个字符。

系统最多允许配置 25 个用户。在全局配置模式下使用no snmp-server user

user-name

命令删除指定的用户

配置管理主机地址

配置管理主机地址，请在全局配置模式下使用以下命令：

snmp-server host {

host-name

|

host-ip

} {version [

1

|

2c

] community

string

[ro | rw] | version

3

}

♦

host-name

|

host-ip

– 指定管理主机的主机名称或者IP 地址。

♦ version [

1

|

2c

] – 指定 SNMP 的版本为SNMPv1 或者SNMPv2C。

♦ community

string

–团体字是管理进程和代理进程之间的口令，因此与安全网关

认可

的团体字不符的SNMP 报文将被丢弃。该参数指定主机的团体字，取值范围为一个最

多31

位的字符串，且仅当SNMP 为v1 和v2C 版本时有效。

♦ ro | rw – 指定该团体字的读写权限。ro 为只读，此类团体字只可读取MIB 中的

信息；

rw 为可读可写，此类团体字不仅可以读取MIB 中的信息，还可以对信息进行修改。

此项

为可选，默认情况下，团体字的访问权限为只读。

♦ version

3

–指定 SNMP 的版本为SNMPv3

配置trap报文目标主机地址

用户可以配置接收 SNMP trap 报文的主机。配置SNMP trap 报文目标主机地址，

请在全局

配置模式下使用以下命令：

snmp-server trap-host {

host-name

|

host-ip

} {version {

1

|

2c

} community

string

| version

3

user

user-name

engineID

string

} [port

port-number

]

♦

host-name

|

host-ip

– 指定 trap 报文目标主机的主机名称或者IP 地址。

♦ port

port-number

– 指定接收 trap 报文的目标主机端口号。取值范围为1 到

65535，

默认值为162。

♦ version {

1

|

2c

} – 指定使用 SNMPv1 或者SNMPv2C 发送trap 报文。

♦ community

string

– 指定 SNMPv1 或者SNMPv2C 的团体字。

♦ version

3

– 指定使用SNMPv3 发送trap 报文。

♦ user

string

– 指定已配置的SNMPv3 用户名。

♦ engineID

string

– 指定 trap 报文目标主机的引擎ID 号。

♦ port

port-number

– 指定接收 trap 报文的目标主机端口号。取值范围为1 到

65535，

默认值为162。

。配置管理员的标识及联系方法，请在全局配置模式下使用以下命令：

snmp-server contact

string

♦

string

– 描述系统联络信息的字符串

15、 NET协议

手动配置时间

手动配置系统的时间，请在全局配置模式下使用 clock time 命令。具体命令及描述

以下：

clock time

HH:MM:SS Month Day Year

Month

的取值范围是1 到12；

Day

的取值范围是1 到31；

Year

的取值范围是2000

到2035。

以下是设置时间的命令配置示例：

hostname(config)# clock time 14:26:00 6 22 2007

手动配置时区

手动设置系统的时区，请在全局配置模式下使用 clock zone 命令。具体命令及描述

如下：

clock zone

timezone-name

♦ 启用：ntp enable

ntp server {

ip-address

|

host-name

} [key

number

] [source

interface-name

]

[prefer]

♦

ip-address

|

host-name

– 指定时钟服务器的IP 地址或主机名称。

♦ key

number

– 指定可以通过该服务器的验证密钥。如果要在配置的时钟服务器上

使用

NTP 身份验证功能，用户必须指定key 参数值。

♦ source

interface-name

– 指定安全网关上发送和接收NTP 包的接

♦ prefer – 如果指定了多个时钟服务器，该关键字用来指定该服务器为主时钟服务

器。安

全网关首先与主服务器进行时间同步，如果失败，再查找下一个时钟服务器。

以下是时钟服务器配置示例：

hostname(config)# ntp server 10.160.64.5 prefer

NTP配置示例

NTP 服务器的IP 地址是10.10.10.10；身份验证密钥ID 和MD5 验证密钥分别是1

和aaaa；

查询间隔为3 分钟；最大调整时间为5 秒。配置完成后开启安全网关的NTP 身份验

证功能和NTP

功能。最后查看NTP 配置信息和状态。请参考以下配置命令：

hostname(config)# ntp authentication-key 1 md5 aaaa

hostname(config)# ntp server 10.10.10.10 key 1 prefer

hostname(config)# ntp query-interval 3

hostname(config)# ntp max-adjustment 5

hostname(config)# ntp authentication

hostname(config)# ntp enable

hostname(config)# show ntp status

ntp client is enabled, authentication is enabled

ntp query-interval is 3, max-adjustment time is 5

ntp server 10.10.10.10, key 1, prefer