山石防火墙SG6000深度解析：命令行配置、安全策略与实战应用全攻略-拾贝生活号

在企业级网络安全架构中，山石网科（Hillstone Networks）SG6000系列下一代防火墙凭借其高性能、高可靠性以及全面的安全防护能力，成为众多政企用户的首选。无论是应对复杂的网络威胁，还是实现精细化的访问控制，SG6000都能提供稳定且高效的解决方案。

山石防火墙SG6000深度解析：命令行配置、安全策略与实战应用全攻略

本文将围绕山石SG6000防火墙的核心功能、命令行配置技巧、安全策略部署及实际应用场景，为网络管理员和IT从业者提供一份详尽的技术指南，帮助您快速掌握SG6000的运维与优化方法。

山石SG6000防火墙简介

山石SG6000是面向中大型企业设计的高性能下一代防火墙（NGFW），支持：

深度包检测（DPI）
应用识别与控制
入侵防御系统（IPS）
防病毒（AV）
URL过滤
SSL/TLS解密代理
高可用性（HA）双机热备
灵活的NAT与路由策略

SG6000支持图形化管理界面（GUI）和命令行接口（CLI），其中CLI在批量配置、故障排查和自动化运维方面具有显著优势。

SG6000常用命令行配置示例

虽然GUI操作直观，但在某些场景下，使用命令行可以大幅提升效率。以下是SG6000防火墙常见的CLI配置命令，适用于日常维护与策略调整。

1. 创建服务（Service）

用于定义协议和端口，便于后续策略调用。

# 单个TCP端口
service "tcp-901" tcp dst-port 901

# 端口范围
service "tcp-10000-65535" tcp dst-port 10000 65535

# 服务组（类似Cisco的object-group）
servgroup "Management" service "SSH" service "HTTPS" service "tcp-901"

⚠️ 注意：引号可省略，但建议保留以避免特殊字符冲突。

2. 配置IP地址对象

支持单IP、IP段、子网等多种形式。

# 单个IP
address "RDM-WaiGua-System-10.248.68.114" ip 10.248.68.114/32

# IP范围
address "10.248.68.5-40" range 10.248.68.5 10.248.68.40

# 子网
address "10.248.1.0/24" ip 10.248.1.0/24

# 多个IP合并为一个地址对象
address "Logistics" ip 10.248.33.89/32 ip 10.248.33.88/32

查看地址对象：

show address Logistics

3. 配置时间计划（Schedule）

用于限定策略生效时间段，常用于临时放行或维护窗口。

# 结束时间为2025年1月18日0点
schedule "2025.1.17" absolute end 01/18/2025 00:00:00

# 指定起止时间
schedule "2021/7/1" absolute start 01/01/1970 00:00:00 end 07/01/2021 23:59:00

4. 配置安全策略（Rule / Policy）

这是最核心的部分——定义流量的放行或拒绝规则。

# 放行从生产区到CR区的HTTP/HTTPS流量
rule id 401 action permit src-zone "SC" dst-zone "CR" \
src-addr "Data-1" dst-addr "wan-1" service http service https name Colasoft

# 带时间限制的策略（如仅在特定日期开放数据库访问）
rule id 3019 action permit src-zone "INSIDE" dst-zone "OUTSIDE" \
src-ip 10.248.1.1/32 dst-addr "AI-10.248.1.1-10" \
service "tcp-1521" schedule "2025.1.17"

查看策略状态：

show policy id 3019

策略管理命令：

# 将新规则插入最前面
rule top action permit src-ip 1.1.1.1/32 dst-ip 2.1.1.1/32 service any

# 删除规则
no rule 3029

# 禁用/启用规则（不删除）
rule id 3029 disable
rule id 3029 enable

5. 路由与接口配置

静态路由配置：

ip vrouter "mgt-vr"
ip route 0.0.0.0/0 10.19.254.254

接口绑定安全域并配置IP：

interface aggregate1.1101
 zone "SC"
 ip address 10.19.255.161 255.255.255.248
 manage ip 10.19.255.162
 manage ping
 description "ShengChan"
 exit

💡 提示：manage ip 是设备自身的管理IP，而 ip address 是虚拟IP（VIP），常用于HA双机环境。

6. 系统基础设置

设置时区与DNS：

clock zone china
ip name-server 223.5.5.5 vrouter "mgt-vr"

配置NTP同步时间：

ntp enable
ntp query-interval 1
ntp server "100.64.1.1" vrouter "mgt-vr" source MGT0

创建管理员账户：

admin user "hillstone"
 password 123123123
 role "admin"
 access console ssh http https
 exit

限制管理登录源IP（增强安全性）：

admin host 10.248.1.0/24 ssh
telnet timeout 20
ssh timeout 60

典型应用场景：终端安全防护与病毒拦截

根据CSDN实验案例，某企业因员工频繁访问恶意网站导致PC中毒，严重影响业务。通过部署SG6000并启用防病毒策略+SSL解密代理，成功实现威胁阻断。

实施步骤：

开启杀毒引擎：在安全策略中绑定病毒扫描Profile。
启用SSL解密：防止加密流量绕过检测。
配置安全策略放行内网上网行为。
测试验证：访问已知含病毒链接，观察是否被拦截。

✅ 效果：防火墙实时识别并阻断病毒文件下载，日志中可追溯攻击详情，有效保护终端安全。

最佳实践建议

项目	建议
策略排序	关键策略使用 `rule top` 置顶，避免被后续deny规则覆盖
对象命名规范	使用清晰命名如 `"Web_Server_80"`，避免后期维护困难
定期备份配置	使用 `save config` 或导出至TFTP服务器
启用日志审计	开启流量日志、安全事件日志，便于溯源分析
双机热备（HA）	关键业务部署AP模式HA，保障高可用

常见问题解答（FAQ）

Q1：如何查看某条策略的命中次数？

show policy id <ID>

输出中的 Hit xxx times 表示该策略匹配的流量次数。

Q2：为什么策略配置了却不生效？

检查策略是否 disable
检查源/目的区域是否正确
是否有更高优先级的deny规则阻挡
时间计划是否在有效期内

Q3：能否通过命令行批量添加多个IP？

可以！使用 address 后接多个 ip 或 range 即可：

address "Office-Network" ip 192.168.10.0/24 ip 192.168.20.0/24

山石SG6000防火墙不仅是一款强大的边界防护设备，更是构建零信任网络的重要基石。通过熟练掌握其命令行配置语法、安全策略逻辑与高级功能（如AV、IPS、SSL解密），您可以大幅提升网络安全管理水平。

无论是在数据中心、分支机构还是云边协同场景中，SG6000都展现出卓越的适应性和稳定性。希望本文能为您在实际工作中带来帮助！

📌 关注我，获取更多山石防火墙、网络安全架构与自动化运维干货内容！