Hillstone防火墙维护手册

2010/10/17

1. 概述

防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。

Hillstone防火墙提供了丰富的冗余保护机制和故障诊断、排查方法，通过日常管理维护可以使防火墙运行在可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对Hillstone防火墙日常维护进行较系统的总结，为防火墙维护人员提供设备运维指导。

2. Hillstone防火墙日常维护

围绕防火墙可靠运行和出现故障时能够快速恢复为目标，Hillstone防火墙维护主要思路为：通过积极主动的日常维护将故障隐患消除在萌芽状态；故障发生时，使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行；故障处理后及时进行总结与改进避免故障再次发生。

2.1. 防火墙硬件部分日常维护

2.1.1. 防火墙机房要求

机房的卫生状况，要求清洁，防火墙上没有灰尘。

温度（摄氏 ℃）

工作环境温度0 ℃－40℃

工作环境湿度（%）10% －95%

2.1.2. 防火墙电源检查

检查防火墙电源插头有无松动。

检查防火墙LED电源指示灯颜色：

电源指示灯颜色:

    低端产品防火墙风扇固定在产品内；

    高端产品风扇为模块化设计，可热插拔；

    检测防火墙风扇风扇指示灯有否告警；

    检测风扇风力是否适中

风扇指示灯颜色:

根据防火墙指示灯状况，可迅速查看防火墙某部分出现故障，以及防火墙运行情况。

系统防火墙接口状态检查

检查模块安装是否松动，接口模块上指示灯是否正常。已接有链路的端口link端为绿色常亮，ACT指示灯为黄色闪烁。

防火墙接口状态指示灯颜色:

2.2.1. 防火墙OS版本检查

在防火墙上运行show version 查看当前软件版本和防火墙硬件设备系统持续运行时间及上次系统重启时间。

hillstone(config)# show version 

Hillstone StoneOS software, Version 3.5

Copyright (c) 2006-2009 by Hillstone Networks, Inc.

Product name: VR5600T S/N: 0802027090006741 Assembly number: B045

Boot file is SA2000-3.5R2p4.bin from flash

Built by buildmaster2 2009/07/07 12:34:08

Uptime is 0 day 0 hour 55 minutes 46 seconds

2.2.2. 防火墙温度和风扇检查

检查防火墙温度如有超出标准值并是否处于正常状态，检查风扇及机扇环境，及时更换部件。

hillstone(config)# show environment 

Both the temperature and fan are in normal state.

2.2.3. 防火墙session利用率检查

每个防火墙的并发会话数都有一个最值，如果超出最大值说明防火墙并发会话已经达到极限，防火墙成为一性能瓶颈，需要升级到更高档次防火墙。

会话信息如包含alloc failed说明防火墙会话曾经达到最大值，防火墙会话建立失败，可能是防火墙性能的问题或曾经出现网络攻击现象。

hillstone# show session generic 

VSYS 0, max 200000, alloced 0, deny session 0, free 200000, tunnel 0, alloc failed 0

2.2.4. 防火墙CPU利用率检查

hillstone防火墙的CPU主要任务为执行功能、会话、日志等管理功能，一般情况下CPU利用率不会太高，一般超出60%以上要检查网络是否有攻击行为或网络流量异常行为。

    防火墙CPU统计有1分钟、5分钟、15分钟平均值。在某一时间段CPU利率较高，属异常现象，可能有攻击等情况发生。CPU利用率持续较高，说明防火墙配置错误，需要调整防火墙配置，以降低CPU利用率。

hillstone# show cpu 

Average cpu utilization : 0.2%

current cpu utilization : 2.0%

Last 1 minute : 0.1%

Last 5 minutes : 0.2%

Last 15 minutes : 0.2%

2.2.5. 防火墙内存利用率检查

在防火墙内执行 show memory 查看内存利用率，防火墙利用率平时最好不能超过70%,如果超过要检查网络是否存在攻击行为。

hillstone# show memory 

The percentage of memory utilization: 25%

   total(kB)    used(kB)   free(kB)

   524288       132793     391495  

2.2.6. 防火墙接口状态检查

在防火墙执行show interface检查接口状态或者检查某个接口的状态情况详细信息。

SA-2001# show interface 

H:physical state;A:admin state;L:link state;P:protocol state;U:up;D:down

=============================================================Interface name      IP address/mask     Zone name       H A L P MAC address    

------------------------------------------------------------------------------

ethernet0/0         192.168.10.1/24     trust           U U U U 001c.5403.e100 

ethernet0/1         192.168.1.200/24    untrust         D U D D 001c.5403.e101 

ethernet0/2         0.0.0.0/0           NULL            D U D D 001c.5403.e102 

ethernet0/3         0.0.0.0/0           NULL            D U D D 001c.5403.e103 

ethernet0/4         0.0.0.0/0           NULL            D U D D 001c.5403.e104 

vswitchif1          0.0.0.0/0           NULL            D U D D 001c.5403.e10d 

SA-2001# show interface eth0/0 

------------------------------------------------------------------------------

Interface ethernet0/0                     

description:

                Physical up                    Admin up        

                Link up                        Protocol up     

                Interface ID:8

                IP address:192.168.10.1

                IP address mask:255.255.255.0

                MAC address:001c.5403.e100

                Ip mtu:1500

                ARP learn:enable

                ARP disable-dynamic-entry:disable

                ARP timeout:1200

                Speed mode:1000

                Duplex mode:full

                media type:copper

                QoS input profile : 1st-level -- 

                                    2nd-level -- 

                QoS output profile: 1st-level -- 

                                    2nd-level -- 

                downstream bandwidth is 1000000000

                upstream   bandwidth is 1000000000

                Bind to zone trust

                Belong to vsys root

                Auth-arp disable

                manage service:SSH;TELNET;PING;SNMP;HTTP;HTTPS;

                Secondary IP address0: 0.0.0.0 mask:0.0.0.0

                Secondary IP address1: 0.0.0.0 mask:0.0.0.0

2.2.7. 防火墙路由检查

防火墙在透明模式只有vswicthif1或者设备interface eth0/0口通过默认IP地址登录，用来管理防火墙，透明模式下，路由只与管理有关，与数据转发无关。

防火墙在路由模式下工作时，防火墙数据转发跟系统路由相关。

检查路由设置是否正确。Show ip route

hillstone# show ip route 

Codes: K - kernel route, C - connected, S - static, I - ISP, R - RIP, O - OSPF,

       B - BGP, D - DHCP, P - PPPoE, H - HOST, G - SCVPN, V - VPN, M - IMPORT,

> - selected route, * - FIB route

Routing Table for Virtual Router

====================================================================

C>* 192.168.1.0/24 is directly connected, ethernet0/0

H>* 192.168.1.1/32 [0/0/1] is local address, ethernet0/0

====================================================================

2.2.8. 防火墙fib状态检查

通过防火墙fib查看信息连接表情况

SA-2001# show fib 

U-up; G-gateway; H-host; C-connected; B-blackhole; N-subnet broadcast;

P-ping track; S-switch over; I-interface; V-vrouter

Forwarding Table for Virutal Router

======================================================================

Destination          Gateway         Flags    Interface           Weight       

------------------------------------------------------------------------------

192.168.10.0/24      0.0.0.0         UC       ethernet0/0         1/1/1        

192.168.10.1/32      192.168.10.1    UH       ethernet0/0         1/1/1        

192.168.10.255/32    192.168.10.255  UN       ethernet0/0         1/1/1        

2.2.9. 防火墙日志检查

     hillstone 提供了用于监控系统事件和网络流量的事件日志以及便于系统管理员分析和跟踪设备各种问题情况。Stoneos的日志信息分为七种，分别是事件（Event）日志信息、告警（Alarm）日志信息、安全（Security）日志信息、配置（Configuration）日志信息、网络（network）日志信息、流量（Traffic）日志信息和调试（Debug）日志信息。日志信息根据严重级别的不同，又可以分为8级别。

日志信息严重性级别分类：

Emergency （紧急）级别0：系统不可用信息。

 Alert（警示）级别1：需要立即处理的信息，如设备受到攻击灯。

Critical（关键）级别2：危急信息，如硬件出错。

Error （错误）级别3： 错误信息。

Warning（警告）级别4： 报警信息。

Notification （通知）级别5：非错误信息，但需要特殊处理。

Information （信息）级别6： 通知信息。

Debugging（调试）级别7： 调试信息，包括正常的使用信息。

查看一些日志告警信息如下：

show logging event

show logging security

2.3. 常见故障排查指南

2.3.1. 防火墙CPU过高的处理

查看设备当前吞吐是否到达设备极限，如果到达设备极限，建议通过减少通过设备流量，或者更换其他高性能防火墙的方式来解决。

查看设备是否开启太多的统计集，如果统计集功能开启较多会占用较大cpu，建议通过关闭统计集的方法来降低cpu的使用率。如果确实需要开启统计集，建议在一定时间内开启，待结果统计出来后即刻关闭统计集。

查看设备是否开启debug，cli下输入 show debug 如果开启建议关闭debug，方法：连续按两次ESC键。

设备开启太多占用cpu资源的功能，建议暂时关闭部分功能，或者更换高性能防火墙。

2.3.2. 设备session数过多的处理

通过show session generic 或web 查看到设备session数使用过多，解决方法：

在统计集中开启基于用户的session数统计，查看具体session数字过大的ip，手动将该ip的session删除，命令：clear session src-ip ip-address，来暂时降低设备的session。

通过配置session-limit的形式来控制用户的session数，操作方法（web）：请根据实际情况配置上面数值。

2.3.3. HA异常的处理

在HA正常配置后，如果网络结果不发生变化，很少出现问题。如果出现问题一般是由于HA心跳线由于某种原因断开所致。

建议出现问题后先通过下面的几个命令查看HA状态，可以先暂时将备用设备的HA功能关闭，检查两台设备HA部分配置是否一致，确认无误后再开启备用设备的HA功能。

查看HA状态命令:

show ha link status  //查看HA link 状态 ，确认HA link接口状态是否正常。

 show ha group config //查看HA group 配置状态 ，确认HA group相关配置。

 show ha group 0     //通过查看HA group 0 状态 ，确认对端状态是否正常。

show ha cluster   //查HA簇配置信息。

show ha sync state config   //查看HA配置同步状态。

no ha cluster   //关闭HA配置。

2.3.4. 内网用户丢包的处理

确认用户到到网关是否丢包，如果内网网关丢包请检查内网交换、路由问题。

确认到内网不丢包，到网关丢包，请检查从防火墙上到网关是否有丢包，如果丢包请联系线路供应商检查链路质量。

确认从防火墙上到网关不丢包，请检查防火墙cpu是否很高，如果cpu高请根据cpu高的处理方法操作。

确认cpu不高，请开启接口带宽统计集，查看接口带宽是否占满，如果带宽占满，请考虑通过配置qos功能对流量做控制。

2.3.5. 目的NAT不生效的处理

检查服务器本身端口是否开启。

检查是否有从外到内的策略是否有放行，源地址为any 目的地址为映射后的公网地址。

检查内网服务器网关配置是否正确

2.3.6. 设备无法管理的处理

设备不能通过某些pc实现管理，原因：

查看设备时候配置有可信任主机，并且该地址是否在可信任主机列表中。

 web下位置：系统-设备管理-可信任主机

  cli下命令：show admin host

添加可信任主机及权限方法：

  web下位置：系统-设备管理-可信任主机-新建 

   cli下命令：SA(config)# admin host A.B.C.D/M  any 

2.4. 策略配置与优化(policy)

防火墙策略优化与调整是网络维护工作的重要内容，策略是否优化将对设备运行性能产生显著影响。考虑到企业中业务流向复杂、业务种类往往比较多，因此建议在设置策略时尽量保证统一规划以提高设置效率，提高可读性，降低维护难度。

2.4.1. 策略配置与维护

●简化的策略表不仅便于维护，而且有助于快速匹配。尽量保持策略表简洁和简短，规则越多越容易犯错误。通过定义地址组和服务组可以将多个单一策略合并到一条组合策略中。

●防火墙按从上至下顺序搜索策略表进行策略匹配，策略顺序对连接建立速度会有影响，建议将流量大的应用和延时敏感应用放于策略表的顶部，将较为特殊的策略定位在不太特殊的策略上面。

●防火墙管理存在多个管理员情况,平时防火墙策略可能出现重复叠加情况,导致策略数过多,时间一长会耗尽防火墙策略资源,为了更好策略数过多而且存在重复情况,采用策略规则匹配次数统计功能在观察一些没有匹配流量的策略并进行确认后删除.

show policy hit-count {id id | [from src-zone] [to dst-zone] top {10 | 20

| 50}}

♦ id id – 显示指定ID 规则的匹配次数统计信息。

♦ from src-zone – 显示源安全域为指定域的规则的匹配次数统计信息

♦ to dst-zone – 显示目标安全域为指定域的规则的匹配次数统计信息。

♦ top {10 | 20 | 50} – 显示匹配次数位于前10、20 或者50

计信息。

2.5. 故障处理工具

2.5.1. 系统诊断工具

安全网关支持网络连接测试工具Ping 和Traceroute，当网络出现问题时，用户可以用这些工具对网络进行测试，查找故障原因。安全网关同时具有调试功能，供用户查阅与分析。 

Ping 命令主要用于检查网络连接状态以及主机是否可达。

ping {ip-address | hostname} [count number] [size number] [source ip-address] [timeout time]

Traceroute 用于测试数据包从发送主机到目的地所经过的网关。它主要用于检查网络连接是否可达，以及分析网络什么地方发生了故障。

traceroute {ip-address | hostname} [numberic] [port port-number]

[probe probe-number] [timeout time] [ttl [min-ttl] [max-ttl]]

[source interface] [use-icmp]

2.5.2. debug诊断与排错

DEBUG数据流基本步骤

1、关闭debug信息输出到console

no logging debug to console

2、设置debug过滤器 

debug dp filter {src-ip | src-port | proto | dst-ip | dst-port} 

3、开启debug功能 

debug dp basic

4、清除缓存debug日志信息 

clear logging debug

5、发起数据流访问 

6、查看debug日志信息 

show logging debug

7、关闭debug

undebug all 或 连击“ESC”两次 

8、查看调试功能开启或者关闭状态

show debug 

正常访问debug信息:

hostname(config)# sh log deb 

2009-03-04 16:17:39, DEBUG@FLOW: core 0 (sys up 0x8e65ae ms): 001d.7294.e5f6->00

1c.5402.8c00, size 73, type 0x800, vid 0, port ethernet0/0

Switchid is 8(interface ethernet0/0) port ethernet0/0

Start l3 forward

Packet: 192.168.1.12 -> 202.106.0.20, id: 8369, ip size 59, prot: 17(UDP): 3332

-> 53

1No session found, try to create session

----------------First path creating new session-----------------

--------VR:trust-vr start--------

192.168.1.12:3332->202.106.0.20:53

2No DNAT configured for this VR

3Get nexthop if_id: 10, flags: 0, nexthop: 10.188.9.1

4Found the reverse route for force revs-route setting

5Matched source NAT: snat rule id:1

Matched source NAT: source port3332->port3332

--------VR:trust-vr end--------

6Pak src zone trust, dst zone untrust, prot 17, dst-port 53.

Policy 1 matches, ===PERMIT===

7Identified as app DNS (prot=17). timeout 60.

flow0 src 192.168.1.12 --> dst 202.106.0.20 with nexthop 0.0.0.0 ifindex 0

flow1 src 202.106.0.20 --> dst 10.188.9.100 with nexthop 192.168.1.12 ifindex 8

flow0's next hop: 192.168.1.12 flow1's next hop: 10.188.9.1

crt_sess->revs_rres.nextop: 192.168.1.12, crt_sess->revs_rres.nexthop 10.188.9.1

Application 7 hasn't been registered, don't need do ALG

APP inited for application 7

The following session is installed

8session: id 99962, prot 17, flag a, created 9332, life 60

flow0(if id: 8 flow id: 199924 flag: 801): 192.168.1.12:3332->202.106.0.20:53

flow1(if id: 10 flow id: 199925 flag: 800): 202.106.0.20:53->10.188.9.100:3332

Session installed successfully

-----------------------First path over---------------------

9Found the session 99962

session: id 99962, prot 17, flag 4a, created 9332, life 60

flow0(if id: 8 flow id: 199924 flag: 811): 192.168.1.12:3332->202.106.0.20:53

flow1(if id: 10 flow id: 199925 flag: 810): 202.106.0.20:53->10.188.9.100:3332

Set fast code to fe proc

Go to fe proc directly

Got mac: ip:10.188.9.1, mac:001c.5400.1dc1

L3 forward, out if is ethernet0/2

msw_dsa_tag_encap_from_cpu: TX packet from interface ethernet0/2, vid 0 cos 0.

路由问题DEBUG信息

-----------------First path creating new session-----------------

--------VR:trust-vr start--------

192.168.1.12:55577->10.188.7.10:53

No DNAT configured for this VR

Failed to get route to 10.188.7.10  (找不到路由存在)

Dropped: Can't find forwarding route. Abort!!

deny session:flow0 src 192.168.1.12 --> dst 10.188.7.10 Deny session installed s

uccessfully 

--------VR:trust-vr end--------

-----------------------First path over (session not created)

Droppped: failed to create session, drop the packet

策略问题DEBUG信息

-----------------First path creating new session-----------------

--------VR:trust-vr start--------

192.168.1.12:4716->202.106.0.20:53

No DNAT configured for this VR

Get nexthop if_id: 10, flags: 0, nexthop: 10.188.9.1

Found the reverse route for force revs-route setting

Matched source NAT: snat rule id:1

Matched source NAT: source port4716->port4716

--------VR:trust-vr end--------

Pak src zone trust, dst zone untrust, prot 17, dst-port 53.

No policy set in this ctxt, default ===DENY=== (找不到策略允许)

Dropped: Can't find policy/policy denied. Abort!!

deny session:flow0 src 192.168.1.12 --> dst 202.106.0.20 Deny session installed successfully

-----------------------First path over (session not created)

VPN问题DEBUG信息

安全网关提供VPN的Debug命令：debug ，通过该命令可以帮助我们定位VPN无法正常协商成功的原因。 

针对VPN容易由于配置问题导致无法协商建立，可以通过一下命令VPN排错： 

Debug  

Show logging debug | begin {No suitable | mismatched | failed to get sainfo}

如出现相应日志，对照上述DEBUG信息描述即可定位问题所在。 例如下面debug 信息

第一阶段提议不匹配： 

2009-03-04 17:33:41, DEBUG@VPN: [200.0.0.2:500]: No suitable proposal found

2009-03-04 17:33:41, DEBUG@VPN: [200.0.0.2:500]: phase 1 (aggressive mode): failed to get valid proposal. 第一阶段参数没有协商成功

第一阶段预共享密钥不匹配（需要从VPN发起端查看）： 

2009-03-04 19:11:45, DEBUG@VPN: [200.0.0.1:500]: Compute phase1 HASH successful!

2009-03-04 19:11:45, DEBUG@VPN: [200.0.0.1:500]: HASH mismatched 密钥不匹配

2009-03-04 19:11:45, DEBUG@VPN: [200.0.0.1:500]: Begin encryption ...

2009-03-04 19:11:45, DEBUG@VPN: [200.0.0.1:500]: Encrypted successful! 

第二阶段提议不匹配： 

2009-03-04 17:46:29, DEBUG@VPN: [200.0.0.2:500]: No suitable proposals found. 第二阶段参数没有协商成功

2009-03-04 17:46:29, DEBUG@VPN: [200.0.0.2:500]: ++++++++Phase 2 (quick mode) first msg receive END.++++++++

第二阶段proxy-id不匹配： 

2009-03-04 18:56:13, DEBUG@VPN: [200.0.0.2:500]: failed to get sainfo.

2009-03-04 18:56:13, DEBUG@VPN: [200.0.0.2:500]: phase 2 (quick mode) : failed to get sainfo. 

2.6. 防火墙备份和恢复

2.6.1. 防火墙配置备份

通过Webui登录防火墙依次点系统►配置►配置管理框点下载按钮可以下载备份防火墙当前（current配置）或者通过配置记录框导出按钮同样可以实现防火墙配置的备份。配置记录框最多可以显示十个配置0－8和current，也就是在防火墙最多实现存10个配置包括当前运行的配置（current 配置）。

通过CLI管理配置文件，如查看当前防火墙配置或者0－8个备份配置记录。

●查看当前配置：show configuration

●查安全网管的当前运行配置文件current作为标记，前九次的配置信息按照时间的先后数字0到8作为标记：show configuration saved [current]

●查看安全网关的备份配置信息：show configuration saved number

●查看安全网关备份配置信息记录：show configuration saved record

●回退配置信息：rollback configuration saved {number}

●删除配置文件：delete configuration save{current | number}

● 保存配置信息：save[string] string是对所保存配置信息的描述

●在执行模式下导出配置信息：export configuration {current | number} to ftp | tftp |usb0 | usb1}

●在执行模式下导入配置信息：Import configuration {current | number} to ftp | tftp |usb0 | usb1}

2.6.2. 防火墙配置恢复

上传已备份配置文件，选择浏览按钮选择相应备份配置文件并点上传按钮防火墙就上传备份文件，如果要使用备份文件为current运行配置，必须重启设备。

2.6.3. 防火墙出厂配置

恢复出厂配置：unset all (对于正在运行的设备小心使用该命令) 。

2.6.4. 防火墙软件升级

安全网关的启动系统分为三个部分，分别是 Bootloader、Sysloader 和StoneOS。它们各自的作用如下：

♦ Bootloader – 安全网关上电后最先运行的程序。Bootloader 装载执行StoneOS 或者

Sysloader。

♦ Sysloader - 升级StoneOS。

♦ StoneOS – 安全网关的操作系统软件。

系统启动后，Bootloader 尝试启动 StoneOS 或者Sysloader。StoneOS 是安全网关的操作系统软件。Sysloader 实现StoneOS 的更新和选择，支持FTP、TFTP 以及直接通过USB Host接口升级。Sysloader 本身的升级由Bootloader 通过TFTP 下载完成。

⏹Bootloader的工作模式

Bootloader 有两种工作模式，分别是自动模式和交互模式。

自动模式下 Bootloader 试图启动配置的StoneOS，如果没有StoneOS 或者StoneOS 不合法，系统将终止运行，此时用户必须使用Sysloader 升级StoneOS。

用户在启动时根据提示按下“ESC”键后，Bootloader 进入交互模式。交互模式的主要功能是启动Sysloader。在交互模式下，可以选择启动保存在Flash 中的Sysloader，也可以通过TFTP下载新的Sysloader 然后启动。

⏹通过网络迅速升级StoneOS（TFTP为例）

Sysloader 可以从TFTP 服务器获取StoneOS，从而保证用户能够通过网络迅速升级

StoneOS。请按照以下步骤进行操作：

1. 给设备上电并且进入 Sysloader。参照以下操作提示：

HILLSTONE NETWORKS

Hillstone Bootloader 1.3.2 Aug 14 2008-19:09:37

DRAM: 2048 MB

BOOTROM: 512 KB

Press ESC to stop autoboot: 4 （5 秒倒计时结束前按“ESC”键）

Run on-board sysloader? [y]/n: y （键入字母“y”或者敲回车键）

Loading: ##########################

2. 从 Sysloader 的操作选择菜单选择通过TFTP 升级StoneOS。参照以下操作提示：

Sysloader 1.2.13 Aug 14 2008 - 16:53:42

1 Load firmware via TFTP

2 Load firmware via FTP

3 Load firmware from USB disks (not available)

4 Select backup firmware as active

5 Show on-board firmware

6 Reset

Please select: 1 （在此处键入“1”并敲回车键）

3. 依次配置 Sysloader 的IP 地址、TFTP 服务器的IP 地址、网关IP 地址以及StoneOS 名

称。参照以下操作提示：

Local ip address [ ]: 10.2.2.10/16（输入Sysloader 的IP 地址并敲回车

键）

Server ip address [ ]: 10.2.2.3（输入TFTP 服务器的IP 地址并敲回车键）

Gateway ip address [ ]: 10.2.2.1（如果Sysloader 与TFTP 服务器的IP 地

址不属于同一个网段，输入网关的IP 地址并敲回车键；否则直接敲回车键）

File name : StoneOS-3.5R2（输入StoneOS 名称并敲回车键，系统开始通过TFTP 获

取StoneOS）

###################################################################

4. 保存 StoneOS。参照以下操作提示：

File total length 10482508

Checking the image...

Verified OK

Save this image? [y]/n: y（键入字母“y”或者敲回车键，保存获得的StoneOS）

Saving .........................................

Set StoneOS-3.5R2 as active boot image

5. 重启系统将使用新的 StoneOS 启动。参照以下操作提示：

Please reset board to boot this image

1 Load firmware via TFTP

2 Load firmware via FTP

3 Load firmware from USB disks (not available)

4 Select backup firmware as active

5 Show on-board firmware

6 Reset

Please select: 6（在此处键入“6”并敲回车键，系统开始重启）

设备的 Flash 中最多可以储存两个StoneOS。如果Flash 中已经保存了两个StoneOS，

请根据提示对储存的StoneOS 进行删除。

⏹通过CLI升级StoneOS

除了可以在Sysloader 中升级StoneOS 以外，用户还可以在CLI 中通过FTP 服务器、TFTP服务器或者U 盘升级StoneOS。 

登录进入 CLI 后，在执行模式下，使用以下命令通过FTP 服务器升级StoneOS：

import image from ftp server ip-address user user-name password password

file-name

♦ ip-address – 指定FTP 服务器的IP 地址。

♦ user user-name password password – 指定FTP 服务器的用户名和密码。

♦ file-name – 指定 StoneOS 名称。

登录进入 CLI 后，在执行模式下，使用以下命令通过TFTP 服务器升级StoneOS：

import image from tftp server ip-address file-name

登录进入 CLI 后，在执行模式下，使用以下命令通过U 盘升级StoneOS：：

import image from {usb0 | usb1} file-name

升级StoneOS 成功后，重启系统使新的StoneOS 生效。

⏹通过WebUI升级StoneOS

用户也可以通过WebUI 升级StoneOS。请按照以下步骤通过WebUI 升级StoneOS：

1. 将新的 StoneOS 保存到本地。

2. 访问页面“系统􀁨系统软件”。

3. 点击『升级』按钮，系统弹出<升级系统固件>对话框。

4. 点击『浏览』按钮并选中新的系统软件。

5. 从<备份当前系统软件>下拉菜单中选择需要备份的系统软件。系统将在上载的同时备份选中的StoneOS。默认情况下，系统将备份当前运行的StoneOS。

6. 点击『确定』按钮，系统开始上载指定的 StoneOS。系统中最多可以保存两个 StoneOS 供用户选择使用。默认情况下，系统下次启动时将使用新上载成功的StoneOS。用户也可以指定使用其他StoneOS 作为下次启动时使用的StoneOS。请按照以下步骤指定下次启动时使用的StoneOS：

1）. 访问页面“系统􀁨系统软件”。

2）. 从<选择下次启动时使用的系统固件>下拉菜单选择需要的StoneOS。

3）. 点击『确定』按钮。

2.7. 防火墙常用命令

2.7.1. 查看设备序列号

SA-2001# show version 

Hillstone StoneOS software, Version 4.0

Copyright (c) 2006-2009 by Hillstone Networks, Inc.

Product name: SA-2001 S/N: 0802050080008637 Assembly number: B034

Boot file is SA2000-4.0R1b3.bin from flash

Built by buildmaster 2009/08/31 20:15:48

Uptime is 0 day 1 hour 45 minutes 24 seconds

System language is "en"

APP feature: enabled

APP magic: 79fbfd615aafb8e5bab513abf6ec59134e66

2.7.2. 重启防火墙

在重启防火墙的时候防火墙会先提示是否确认要重启, 然后列出重启后运行的防火墙配置记录框, 如果要在加载当前配置时在Please choose one: a

SA-2001# reboot  

System reboot, are you sure? [y]/n: y

3 configuration in system, please choose one to be loaded.

=============================================================

         Name    Version Save Time           Size (bytes)

----------------------------------------------------------------------

    [a]: current 4.0     2010-09-02 06:50:02 19908

    [b]: 1       4.0     2010-09-02 02:08:21 19050

    [c]: 0       4.0     2010-09-02 02:08:45 19050

=============================================================

Press enter to use system current setting

Please choose one: a

2.7.3. 查看防火墙接口状态

SA-2001# show interface  

H:physical state;A:admin state;L:link state;P:protocol state;U:up;D:down

======================================================================

Interface name      IP address/mask     Zone name       H A L P MAC address    

------------------------------------------------------------------------------

ethernet0/0         192.168.10.1/24     trust           U U U U 001c.5403.e100 

ethernet0/1         192.168.1.200/24    untrust         D U D D 001c.5403.e101 

ethernet0/2         0.0.0.0/0           NULL            U U U D 001c.5403.e102 

ethernet0/3         0.0.0.0/0           NULL            D U D D 001c.5403.e103 

ethernet0/4         0.0.0.0/0           NULL            D U D D 001c.5403.e104 

vswitchif1          0.0.0.0/0           NULL            D U D D 001c.5403.e10d 

2.7.4. 查看防火墙安全区域

SA-2001# show zone 

Total zone count: 8

======================================================================

 Name                             Type  VR/Vswitch            If-count

----------------------------------------------------------------------

 trust                            L3    trust-vr                   1

 untrust                          L3    trust-vr                   1

 dmz                              L3    trust-vr                   0

 l2-trust                         L2    vswitch1                   0

 l2-untrust                       L2    vswitch1                   0

 l2-dmz                           L2    vswitch1                   0

 VPNHub                           L3    trust-vr                   0

 HA                               L3    trust-vr                   0

======================================================================

2.7.5. 查看防火墙路由表

SA-2001# show ip route 

Codes: K - kernel route, C - connected, S - static, I - ISP, R - RIP, O - OSPF,

Routing Table for Virtual Router

======================================================================

C>* 192.168.10.0/24 is directly connected, ethernet0/0

H>* 192.168.10.1/32 [0/0/1] is local address, ethernet0/0

2.7.6. 查看防火墙安全策略

SA-2001# show policy 

Total rules count: 2

S: Rule Status (E - Enabled;  D - Disabled)

Flag: * - Need Application Identification

trust => trust: Total rules 1. Default DENY. Default log OFF

======================================================================

S    Id RBNS_Attr   Source           Destination      Service      Action   Flag

--------------------------------------------------------------------------------

E     1             Any              Any              Any          PERMIT    

======================================================================

trust => untrust: Total rules 1. Default DENY. Default log OFF

======================================================================

S    Id RBNS_Attr   Source           Destination      Service      Action   Flag

--------------------------------------------------------------------------------

E     2             Any              Any              Any          PERMIT    SE-