一、管理员角色

1.1 管理员角色分类

1、系统管理员（admin）：拥有读、写、执行和写权限，可以在任何模式下对设备所有功能模块进行配置；

2、系统操作员（operator）：可以修改除管理员配置以外的其他功能模块配置，但是不能查看日志信息；

3、系统审计员（auditor）：只可以对日志信息进行操作，包括查看、到处和清除；

4、只读系统管理员（admin-read-only)：拥有读和写执行权限，可查看当前或者历史配置信息。

除系统管理员（admin）以外，其他管理员只能执行修改自身密码以及自身权限的行为。

1.2 通过命令行设置自定义管理员

除管理员角色外，另三种角色的权限是不同的，可以自己独立修改密码，管理员可以给这三种角色设置不同的登录类型、审计查看日志的类型。

1、设置用户名和密码

SG-6000(config)# admin user username

SG-6000(config-admin)# password

WORD (length: 1-31) Password of administrator

2、设置管理员权限

SG-6000(config-admin)# role ?

admin Administrator role

admin-read-only Admin read only role

auditor Auditor role

operator Operator role

3、设置管理员登录类型

SG-6000(config-admin)# access

any Allowed any login type

console Allowed login from console

http Allowed login from HTTP

https Allowed login from HTTPS

ssh Allowed login from SSH

telnet Allowed login from telnet

4、查看设置的管理员

SG-6000# show admin user

================================================================

Username Role Console Telnet SSH HTTP HTTPS

----------------------------------------------------------------------------------

hillstone Admin Y Y Y Y Y

admin1 Admin-Read-Only - - - - Y

auditor1 Auditor - - - - Y

operator1 Operator - - Y - Y

1.3 可信主机

可信主机：安全网关使用可信主机来进一步保证系统安全，管理员可以指定一个IP地址范围，在该范围内的主机为可信主机，只有可信主机才会对安全网关进行管理。

默认情况下，安全网关的可信主机范围是0.0.0.0/0，即所有主机都是可信主机，所有可信主机列表中可信主机范围都是有效的，因此，建议用户创建好合适的可信主机后，将系统原有的“0.0.0.0/0”可信主机范围删除。

按照IP地址掩码方式添加子网，如192.168.1.0/24，也可以添加地址范围，如192.168.1.1~192.168.1.100，

当地址掩码为192.168.1.10/24时，等同于192.168.1.0/24，所以，如果只允许一台主机192.168.1.10管理，需要使用32位掩码。

1.3.1 通过命令行配置可信主机

1、配置可信主机

SG-6000(config)# admin host

any Any ip address

range Add a host range login type

A.B.C.D Host IP address

A.B.C.D/M Host IP address and mask length

2、查询可信主机

SG-6000(config)# show admin host

=====================================

IP range Login type

-------------------------------------------------------------------------

0.0.0.0/0 Telnet SSH HTTP HTTPS

-------------------------------------------------------------------------

1.4 管理接口

设备支持修改默认端口，同时支持双因素证书认证方式，需要在设备中配置PKI证书功能。

1.4.1 通过命令行配置管理接口

1、Console

SG-6000(config)# console timeout

<0-60> Idle time in minutes

2、Telnet

SG-6000(config)# telnet port 2323

<1-65535> Telnet service port(23: default)

SG-6000(config)# telnet timeout

3、SSH

SG-6000(config)# ssh port 2222

<1-65535> SSH service port(22: default)

SG-6000(config)# ssh timeout

4、HTTP

SG-6000(config)# http port 8080

<1-65535> HTTP port (1-65535)

5、HTTPS

SG-6000(config)# https port 4311

6、查看配置信息

show console

show telnet

show ssh

show http

1.5 系统时间

设备的系统时间影响到日志记录的时间、VPN 隧道的建立和时间表的时间。日志都是基于系统时间记录的，因此系统时间的精确性十分重要。

1.5.1 系统时间调整方式

1、与本地电脑同步

2、人工设定时间和时区

3、使用NTP时钟协议进行同步（本机去匹配客户端）

1.6 第三方AAA服务器管理员认证

支持Radius和Tacas+服务器提供设备管理员认证功能

二、配置文件管理（StoneOS可保存10份配置信息，2份固件信息）

2.1 配置信息详解

1、以命令行的格式保存安全网关的配置信息；

2、1台安全网关可最多支持保存10份配置；

3、配置文件中保存的用来初始化安全网关的配置信息称作起始配置信息，安全网关通过读取起始配置信息进行启动时的初始化工作；

4、如果找不到起始配置信息，安全网关则使用安全网关的缺省配置初始化；

5、系统纪录最近十次保存的配置信息，最近一次保存的配置信息会纪录为系统的当前起始配置信息，当前系统配置信息以“Startup”作为标记；前九次的配置信息按照保存时间的先后以Backup 0~8（倒序，最近的信息数字越大）作为标记。

2.2 配置信息相关命令行

1、查看当前配置：show configuration

2、回退起始配置信息：rollback configuration backup {number}

3、保存配置信息：save[string]（string：对所保存配置信息的描述）

4、恢复出厂配置：unset all

三、StoneOS版本升级

3.1 版本升级

系统中最多可以保存两个StoneOS 供用户选择使用。默认情况下，系统下次启动时将使用新上载成功的StoneOS。用户也可以指定使用其他StoneOS 作为下次启动时使用的StoneOS。请按照以下步骤指定下次启动时使用的StoneOS（WebUI）：

1. 访问页面“系统管理>版本升级”。

2. 选择<还原为已保存的软件版本>单选按钮。

3. 在下拉菜单中选择下次启动时使用的StoneOS 名称。

4. 点击『下一步』按钮。

不同StoneOS版本命令格式会有部分差异，升级版本前建议保存设备配置，升级完成后连接console方式监控启动过程，及时发现是否有配置无法加载。

3.2 特征库升级

特征库升级有两种方式：在线升级和离线本地升级。

在线升级方式请务必保证设备正常连通互联网，并且设备内部配置有DNS服务器（PPPoE拨号和DHCP方式可自动获得DNS）。

离线下载IPS、AV和URL库需要打开网页update1.hillstonenet.com按要求填写信息进行下载。

3.3 设备启动过程

安全网关的启动系统分为三个部分：

—Bootloader：安全网关加电后最先运行的程序，Bootloader装载执行StoneOS或者Sysloader；

—Sysloader：升级StoneOS；

—StoneOS：安全网关的操作系统软件。

系统启动以后，Bootloader尝试启动StoneOS或者Sysloader，StoneOS是安全网关的操作系统软件，Sysloader实现StoneOS的更新和选择，支持FTP、TFTP以及直接通过USB Host接口升级，Sysloader本身的升级由Bootloader通过TFTP下载完成。

Bootloader 有两种工作模式，分别是自动模式和交互模式。自动模式下Bootloader 试图启动配置的StoneOS，如果没有StoneOS 或者StoneOS 不合法，系统将终止运行，此时用户必须使用Sysloader 升级StoneOS。用户在启动时根据提示按下“ESC”键后，Bootloader 进入交互模式。交互模式的主要功能是启动Sysloader。在交互模式下，可以选择启动保存在Flash 中的Sysloader，也可以通过TFTP 下载新的Sysloader 然后启动。

3.4 恢复出厂配置

1、命令行：unset al

2、WebUI：系统-配置文件管理-备份恢复-恢复出厂配置

3、硬件CLR：CLR按键位于前面板的针孔内，其功能为恢复安全网关的出厂配置，用户忘记密码无法登陆时，可通过此方法重新登录。

步骤如下：

1、关闭安全网关的电源；

2、用针状物按住CLR按键，打开安全网关的电源；

3、保持按住状态直到指示灯STA和ALM均变为红色常亮，释放CLR按键，此时系统开始恢复出厂配置；

4、出厂配置回恢复完成，系统会自动重新启动。

四、许可证管理

许可证（license）：用来授权用户使用一些功能、服务，或者用来扩展性能，对于基于许可证的功能、服务和性能来说，如果没有购买和安装相应的许可证，该功能和服务就无法使用，或不能达到更高的性能。

4.1 申请许可证

4.1.1 WebUI

WebUI：系统-许可证-填入信息-点击生成

4.1.2 Hillstone Partner

通过Hillstone Partner平台提交申请，复制申请许可证请求字符串后，通过登录Partner系统提交申请，内容包括：测试设备型号、用户名称、联系人、联系方式、需要申请的功能模块（如平台试用、防病毒、Qos等）、申请许可证的代码

4.2 许可证样式

以“license”开头，以“==”结尾

4.3 安装许可证

在获得新的许可证后，可以登录安全网关上装载许可证激活新功能或者提高设备的性能，对于改变系统会话数以及新增功能的License，首次安装需要重启安全网关以使许可证生效

4.3.1 WebUI安装
系统-许可证，选中以后手动输入，粘贴许可证字符串，点击确定

4.3.2 命令行安装许可证

hostname（config）#exec licens install +“license代码”
回车后几秒钟，出现“successfully install the license！”；对于需要重启生效的license，请重启安全网关。

示意图：

4.3.3 命令行删除许可证

hostname（config）#exec licens uninstall +license

示意图：

4.4 许可证的分类

1、平台许可证

平台许可证	说明	许可证过期
平台试用许可证	平台许可证是其他许可证运行的基础，如果平台许可证无效，其他许可证均不生效	到期后，已有的配置不能修改，若设备重启，系统恢复出厂配置
	设备出厂时预装15天的平台试用许可证，支持功能通正式许可证
平台正式许可证	设备正式销售后，可以安装平台正式许可证，该许可证可提供基础防火墙功能和VPN功能	到期后，设备仍可正常试用，但不能升级到期后的StoneOS版本

2、功能许可证

功能许可证	说明	许可证过期
VSYS许可证（虚拟防火墙）	授权VSYS的可用数量	无过期
SSL VPN许可证（扩大用户）	授权SSL VPN的最大接入数量，多个SSL VPN许可证可以叠加允许接入用户的最大数量	无过期
Qos许可证	开启Qos功能	无过期
WAP分流许可证	提供WAP分流功能	无过期

3、服务许可证

功能许可证	说明	许可证过期
病毒过滤（AV）许可证	提供病毒过滤功能和病毒特征库的升级	过期后不能升级AV特征库，功能正常使用
入侵防御（IPS）许可证	提供入侵防御功能和IPS特征库的升级	过期后不能升级IPS特征库，功能正常试用
URL DB许可证	提供URL分类库和URL分类库的在线查询功能	过期不能提供URL分类库在线查询功能，自定义URL和URL过滤功能可正常使用
APP DB许可证	提供APP库升级功能，APP DB许可证不需要单独申请，岁平台许可证一同发放，有效期也同平台许可证	过期后不能升级APP特征库
威胁防护（TP）许可证	打包提供AV、IPS、边界流量过滤（PTF）功能，和相应特征库升级（应用在T系列设备）	过期后，不能提供其包含的特征库的升级，包含的功能可正常使用，PTF特征库到期后，系统会自动删除该特征库
StoneShield许可证	打包提供异常行为检测（ABD）、高级威胁检测（ATD）功能、和相应特征库的升级（应用在T系列设备）	过期后，不能提供其包含的特征库的升级，包含的功能仍可正常试用

4、扩展许可证

扩展增强许可证	说明	许可证过期
AEL许可证	提高并发会话数量（session）和处理能力（performance）的最大值	无过期

5、测试许可证

feature trial ：测试功能许可证中的相关内容，用于测试功能是否可以使用

许可证的种类分为平台License、服务License、特性License；

StoneOS支持的许可证类型：使用许可证、正式许可证、扩展许可证；

平台许可证分为使用许可证（15天）和标准许可

HCSA-03 Hillstone系统管理员分类、配置文件信息、版本升级、恢复出厂设置、许可证相关推荐

思科从服务器恢复配置文件,cisco ap恢复出厂设置详细方法
原标题:"cisco ap恢复出厂设置"相关路由器设置经验分享. - 来源:191路由网朋友问191路由网cisco ap怎么恢复出厂设置?其实类似于交换机一样,按住MODE键开 ...
调试路由器----恢复出厂设置、修改特权密码、备份配置文件、升级操作系统
一.恢复出厂设置 1.为了完成恢复出厂设置,先给路由器端口配个地址,保存. 2.输入恢复出厂命令 3.输入show run查看,端口没有地址说明成功. 二.修改特权密码 1.给路由器配置一些,设置密码 ...
HILLSTONE sg6000 g5150 怎么恢复出厂设置
hillstone恢复出厂设置的方法(忘记密码的情况) 口令丢失情况下的处理如果口令丢失,用户无法登录安全路由器进行配置,请在安全路由器刚启动时按住 CLR 按键大约 5 秒,使设备恢复到出厂配置. ...
路由器的恢复出厂设置、修改特权密码、备份配置文件和升级操作系统实际操作...
1.恢复厂家设置在路由器特权模式输入命令如下: Router#er Router#erase st Router#erase startup-config Erasing the nvram fil ...
路由器的修改特权密码、还原出厂设置、备份配置文件和升级操作系统实际操作...
修改特权密码 1)首先我们在思科的PT文件上创建一个路由器. 2)点开路由器进入命令行,首先设置一个密码,并保存. 3)保存成功后,假设你现在忘记了密码,那么现在关机重启,在启动过程中,按下Ctrl+ ...
读取jar包内部配置文件信息的解析
读取jar文件内部的配置信息是在进行开发基于java程序组件时必然会遇到的问题,这里所遇到的问题是在开发测试和部署(也就是将程序打成jar包之后供其他组件调用)时往往会不一致.也就是开发的时候我们的代 ...
SpringBoot项目中，获取配置文件信息
1.在配置文件中设置信息,格式如下 wechat:mpAppId: wxdf2b09f280e6e6e2mpAppSecret: f924b2e9f140ac98f9cb5317a8951c71 如果 ...
java 读取配置文件工具_java读取配置文件信息properties的工具类
java读取配置文件信息properties的工具类,介绍一个工具PropertyReader.java,读取项目配置文件信息 package mymail; import java.io.File; ...
uni-app cli创建项目打包并配置多环境读取配置文件信息
uni-app cli创建配置多环境读取配置文件信息在项目src下创建以下配置文件在package.json中添加以下代码 VUE_APP_ENV:用来区分环境 NODE_ENV:用来定死打包目录 ...

HCSA-03 Hillstone系统管理员分类、配置文件信息、版本升级、恢复出厂设置、许可证

一、管理员角色

二、配置文件管理（StoneOS可保存10份配置信息，2份固件信息）

三、StoneOS版本升级

四、许可证管理

HCSA-03 Hillstone系统管理员分类、配置文件信息、版本升级、恢复出厂设置、许可证相关推荐

最新文章

热门文章