山石防火墙配置命令有哪些常用指令？

山石防火墙配置命令是网络安全管理中的核心操作，涉及接口管理、安全策略、NAT转换、用户认证等多个模块，以下从基础配置到高级策略进行详细说明,并结合实际场景举例说明命令使用方法。

在开始配置前，需通过Console线或远程登录（如SSH）进入防火墙命令行界面，默认进入用户模式，输入”enable”进入特权模式，再进入全局配置模式（”configure terminal”），接口配置是基础步骤，例如配置接口IP地址需进入接口模式，命令为”interface GigabitEthernet 1/1/1″，然后设置IP和掩码：”ip address 192.168.1.1 255.255.255.0″，最后激活接口：”no shutdown”，若接口为Trunk模式，需添加命令”switchport mode trunk”并指定允许的VLAN。

安全策略配置是防火墙的核心，需定义源/目的地址、服务、动作等，允许内网192.168.1.0/24段访问外网HTTP服务，命令为：

1. 定义地址对象：”config object address-group LAN_NET 192.168.1.0 255.255.255.0″
2. 定义服务对象：”config object service-group HTTP tcp 80″
3. 创建策略：”config security-policy policy 1 name permit_http source LAN_NET destination any service HTTP action permit log enable”
   NAT配置分为源NAT和目的NAT，源NAT通常用于内网用户访问外网时转换IP，”config source-nat policy 1 source LAN_NET destination any interface GigabitEthernet 1/1/2 translation dynamic-pool POOL1″，其中POOL1需提前通过”ip pool POOL1 203.0.113.10 203.0.113.100″定义，目的NAT用于将外网访问的公网IP映射到内网服务器，如：”config destination-nat policy 1 destination any tcp 80 translate 192.168.1.100 80″。

用户认证配置可提升安全性，例如配置802.1X认证：”config authentication dot1x interface GigabitEthernet 1/1/1 method mac-radius”，并关联RADIUS服务器：”config radius server 1 address 192.168.1.100 key secret123″，日志与监控方面，需启用系统日志：”config log host 192.168.1.100 facility local7″，并设置策略日志记录,便于后续审计。

高级功能如VPN配置，IPSec VPN示例命令为：

1. 定义IKE提议：”config ike proposal 1 encryption aes-256 hash sha256 group 14″
2. 定义IPSec提议：”config ipsec proposal 1 esp aes-256 sha256″
3. 配置VPN隧道：”config vpn tunnel 1 ike-proposal 1 ipsec-proposal 1 local-address 203.0.113.1 remote-address 203.0.113.2 traffic-match 1″

以下为常用配置命令速查表：
| 功能分类 | 命令示例 | 说明 |
|—————-|———————————————|———————————–|
| 接口配置 | interface GigabitEthernet 1/1/1; ip address 192.168.1.1/24 | 进入接口模式并配置IP |
| 安全策略 | config security-policy policy 1 source any destination any service any action permit | 允许所有流量（测试用） |
| 源NAT | config source-nat policy 1 source any destination any interface GigabitEthernet 1/1/2 translation dynamic-pool POOL1 | 动态NAT转换 |
| 静态路由 | ip route 0.0.0.0 0.0.0.0 203.0.113.2 | 配置默认路由 |
| VLAN配置 | vlan 10; name “VLAN10”; interface GigabitEthernet 1/1/1.10 | 创建VLAN并绑定接口 |

相关问答FAQs

Q1: 如何配置防火墙禁止特定IP地址访问？
A1: 可通过安全策略实现，首先定义地址对象：”config object address-group BLOCKED_IP 192.168.1.100 255.255.255.255″，然后创建拒绝策略：”config security-policy policy 2 name deny_blocked source BLOCKED_IP destination any service any action deny log enable”，注意策略顺序，拒绝策略应置于允许策略之前。

Q2: 防火墙配置完成后如何验证策略是否生效？
A2: 可通过以下命令验证：

1. 查看策略匹配情况：”show security-policy policy statistics”，显示数据包和字节数统计；
2. 使用”debug security-policy policy-name”实时调试策略匹配过程；
3. 从内网客户端测试访问，结合”show log”查看日志记录,确认是否按预期放行或阻断。