山石网科防火墙作为企业网络安全架构中的重要组成部分,其命令行界面(CLI)提供了高效、灵活的配置与管理能力,掌握山石网科防火墙命令,能够帮助网络管理员精准实现安全策略部署、流量监控、故障排查等核心操作,以下从基础命令、安全策略配置、NAT配置、高可用与日志管理等方面进行详细说明,并结合表格形式归纳常用命令,最后附相关FAQs。
基础操作与系统管理命令
登录山石网科防火墙CLI后,首先需掌握基础系统管理命令,通过show version可查看设备型号、软件版本及运行时间,show system resource实时监控CPU、内存使用率,show interface则显示接口状态、流量统计等信息,若需重启设备,使用reboot命令,并可通过set system hostname修改设备名称,方便多设备管理,配置文件管理方面,save命令用于保存当前配置到启动配置,display current-configuration查看当前生效的配置,而compare configuration则对比当前配置与启动配置的差异,避免误操作。
安全策略配置命令
安全策略是防火墙的核心功能,山石网科防火墙通过policy命令进行策略配置,基础语法为config security policy,进入策略配置模式后,需定义策略名称、源/目的区域、源/目的地址、服务(端口)及动作(允许/拒绝),配置允许内网访问外网的HTTP流量策略:
config security policy
edit policy1
set src-zone internal
set dst-zone external
set src-ip 192.168.1.0/24
set dst-ip any
set service http
set action permit
set log enable
next
commit set log enable开启策略日志,便于审计,策略优先级可通过set order调整,数值越小优先级越高,删除策略时,先进入edit模式,再执行delete或unset命令。
NAT配置命令
网络地址转换(NAT)分为源NAT(SNAT)和目的NAT(DNAT),配置SNAT时,需指定源地址区域和转换后地址池,
config nat source
edit snat1
set src-zone internal
set dst-zone external
set original-src 192.168.1.0/24
set translated-ip 202.96.1.100-202.96.1.200
next
commit DNAT配置则需修改目的地址,常用于将公网IP映射至内网服务器,
config nat destination
edit dnat1
set original-src any
set original-dst 202.96.1.50
set translated-ip 192.168.1.100
set service http
next
commit NAT策略需与安全策略配合使用,确保流量匹配。
高可用与日志管理命令
为保障业务连续性,山石网科防火墙支持主备模式高可用(HA),通过show ha status查看HA状态,set ha mode active-passive配置主备模式,set ha peer-ip设置对端设备管理IP,日志管理方面,log configure命令可配置日志服务器地址、级别(如debug、info、error),show log system查看系统日志,show log security查看安全策略日志,结合filter参数可筛选特定日志内容。
常用命令速查表
| 功能分类 | 命令示例 | 说明 |
|---|---|---|
| 系统信息查看 | show version | 查看设备版本与运行时间 |
| 接口状态查看 | show interface GigabitEthernet 1/1 | 查看指定接口流量与状态 |
| 安全策略配置 | config security policy | 进入安全策略配置模式 |
| NAT配置 | config nat source | 进入源NAT配置模式 |
| 配置保存 | save | 保存当前配置到启动配置 |
| HA状态查看 | show ha status | 查看高可用模式与状态 |
| 日志查看 | show log security filter action=permit | 筛选查看允许策略的日志 |
相关问答FAQs
Q1:如何批量导入山石网科防火墙配置?
A:可通过TFTP/FTP服务器批量导入配置文件,首先将配置文件(如config.cfg)上传至服务器,然后在CLI执行import tftp://[服务器IP]/config.cfg,导入后需执行commit生效,建议导入前备份原配置,避免配置冲突。
Q2:防火墙策略不生效,如何排查?
A:排查步骤如下:
- 使用
show security policy match检查流量是否匹配策略条件(如区域、地址、服务); - 确认策略状态为
enabled,优先级正确; - 检查NAT配置是否影响流量(如SNAT后源地址变化);
- 查看接口安全域划分是否正确,
show zone确认接口所属区域; - 开启策略调试日志
set debug enable,实时跟踪流量匹配过程。
