山石网关培训教材

1、 | Hillstone Confidential日程安排一.准备工作二.安全架构三.系统管理四.路由和交换五.基本安全策略六.高级安全策略七 八.应用 九.日志与报表一. 准备工作 通过完成此章节课程，您将可以： 了解设备管理方式 完成根本上网配置管理接口用户管理接口类型: :不同管理方式支持本地与远程两种环境配置方法，可以通过 和 两种方式进行配置支持、管理参数 数值 波特率 9600 数据位 8停止位 1校验/流控无参数 数值 接口0/0用户名密码管理 | Hillstone Confidential图形化管理界面基于浏览器的管理方式简单灵活，可以完成常用的各种配置。准备工作： 平安网关

2、设备的e0/0接口配有默认地址，该接口的各种管理功能均为开启状态。初次使用可以通过该接口管理设备，具体操作为： 将管理的地址设置为与/24同网段的地址，翻开的浏览器，输入 设备默认管理员用户名及密码均为“登陆后 | Hillstone Confidential界面初始页面结构导航菜单设备面板的端口连接状态、内存、会话数等设备运行情况设备根本信息，包括：序列号、运行时间、软件版本、及特征库版本等当前网络中占用带宽最多的排名用户接口通过线连接的串口至平安网关的接口翻开终端模拟器使用以下缺省账户登陆用户名: 密码: 快捷键使用 自动补齐命令使用 ? 查看帮

3、助进入配置模式全局配置模式:全局配置模式允许用户修改平安网关的配置参数。用户在执行模式下，输入 命令，可进入全局配置模式。该模式的提示符如下所示： ()#子模块配置模式：平安网关的不同模块功能需要在其对应的命令行子模块模式下进行配置。用户在全局配置模式输入特定的命令可以进入相应的子模块配置模式。例如，运行 0/0 命令进入0/0 接口配置模式，此时的提示符变更为： (0/0)#初始根本配置 根本配置步骤: 配置接口 配置默认路由 配置允许访问策略1配置接口网络网络 接口接口 编辑编辑网络网络 接口接口 点击需配置接口右侧编辑按钮点击需配置接口右侧编辑按钮2配置默认路由网络网络 路由路由 目的路

4、由目的路由 新建新建3配置上网策略防火墙防火墙 策略策略 点击需配置接口右侧编辑按钮点击需配置接口右侧编辑按钮内部上网是从到的访问，因此创立从内到外的访问策略防火墙防火墙 策略策略 点击需配置接口右侧编辑按钮点击需配置接口右侧编辑按钮“源地址处选择要被限制的地址范围，假设选择“那么会对经过设备的所有地址有效小结v在本章中讲述了以下内容：v系统构件的功能v完成根本上网配置问题1、如何通过浏览器对设备进行管理？2、如何开启从外网接口登陆平安网关？3、如何开放内网用户上网的策略？二. 平安架构 通过完成此章节课程，您将可以： 了解网络平安设备的用途 理解的架构 处理数据包的状态检测技术，通过策略过滤

5、数据包 ( , , ) ( #) (, , ) Source-IPDestination-IP21312Source-Port80Destination-Port6Protocolget http 1.1Data状态检测包状态检测: 基于选定类型检测包的内容来决定转发或丢弃包基于包中多个字段来保持通讯的状态通过检测的新通讯接着添加到状态表中只有在包与先前建立的通讯相关联时，非初始包才会被允许比包过滤提供了更高的平安性比应用代理要快得多，但没有应用代理提供的应用层控制多网络地址转换转换私有地址到公网地址 SRC-IPDST-IP

6、36033SRC-Port80DST-Port6ProtocolSRC-IPDST-IP1025SRC-Port80DST-Port6ProtocolInternet保证关键业务流量应用前关键业务受到冲击应用后关键业务受到保护系统架构图 与 关系接口、平安域、之间严格的等级架构L3绑定到 L2绑定到 绑定到 一个接口只能绑定到一个平安域一个平安域可以包含一个或多个接口L3绑定到L3L2绑定到L2绑定到三层平安域的接口可以配置地址及管理效劳 (L3) (L3)L3 L2 L3L3 为接口配置地址前必须先将接口绑定到三层平安域InterfaceZoneL3-Zo

7、neIPL3-InterfaceL2-ZoneMAC(Auto config)L2-Interface 包转发B B..254.254.1 (1 3) (2 3)SRC-IPSRC-IPDST-IPDST-IP29218SRC-PortSRC-Port80DST-PortDST-Port6ProtocolProtocol1. 已经建立会话?NoAddress PairProtocol Port Pair(no match)Session Table2. 查找路由,目标可达?YesNetInt NHR/24E1(conne

8、cted)/24E2(connected)/24 E/24 E/0E54Routing Table3. 不同Zone之间的流量?YesIntZoneE1PrivateE2PrivateE7PublicE8ExternalZone Table (3 3)4. 策略允许通过?YesFrom Private to ExternalSADAServiceAction/16anyFTPpermit /16anyHTTPpermit/16an

9、ypingpermitanyanyanydenyAction: PermitSRC-IPDST-IP29218SRC-Port80DST-Port6Protocol创建会话Address PairProtocolPort Pair 61042 80Session Table小结v在本章中讲述了如下内容 :v平安网络设备所需具备的功能v的系统架构v处理包的v根据网络环境选择基于的平安网络设备问题1、平安网络设备具备的几大功能？2、 系统架构由接口、平安域、和组成，它们之间的关系？3、介绍处理包的过程？三. 系统管理 通过完成

10、此章节课程，您将可以实现： 系统管理功能 配置文件管理 版本升级密码策略：系统 设备管理 根本信息： v密码策略v 提供密码复杂度检测功能，可以通过启用此功能强制新建管理员账号的密码符合复杂度需求。 系统管理员系统管理平安网关设备由系统管理员管理、配置。系统管理员的配置包括创立管理员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。平安网关拥有一个默认管理员“，用户可以对管理员“进行编辑，但是不能删除该管理员。管理员分为读写执行权限管理员、只读执行权限管理员。配置系统管理员系统 设备管理 根本信息配置系统管理员系统 设备管理 根本信息 新建 可信主机可信主机平安网关使用可信主机来进一步

11、保证系统平安。管理员可以指定一个地址范围，在该指定范围内的主机为可信主机。只有可信主机才可以对平安网关进行管理。配置可信主机系统 设备管理 可信主机管理接口平安网关支持的管理接口类型:、 、 自定义管理接口：各种访问方式的超时时间、端口号以及 的 信任域在一分钟内连续三次登录失败，系统会将登录失败的 地址锁定两分钟。被锁定的 地址在两分钟内不能建立与设备的连接配置管理接口系统 设备管理 用户接口配置文件管理配置文件：以命令行的格式保存平安网关的配置信息1台设备可最大支持保存10份配置配置文件中保存的用来初始化平安网关的配置信息称作起始配置信息，平安网关通过读取起始配置信息进行启动时的初始化工作

12、；如果找不到起始配置信息，平安网关那么使用平安网关的缺省参数初始化系统纪录最近十次保存的配置信息，最近一次保存的配置信息会纪录为系统的当前起始配置信息，当前系统配置信息以“作为标记；前九次的配置信息按照保存时间的先后以数字0 到8 作为标记。配置文件管理系统 配置 管理员可以导入、导出或者将系统恢复出厂配置当前配置窗口提供对配置的方式查阅升级通过 升级：系统 系统软件选择单项选择按钮。选中复选框。系统将在上载的同时备份当前运行的。如不选中该选项，系统将用新上载的 覆盖当前运行的。点击浏览按钮并且选中要上载的。点击确定按钮，系统开始上载指定的。完成升级后，需要重启平安网关启动新升级的。系统时间平

13、安网关的时间影响到 隧道的建立和时间表的时间，并且日志都是基于系统时间记录的，因此系统时间的精确性十分重要。平安网关支持两种设置时间的方式，分别是手动设置和通过 与效劳器同步。系统时间手动设置系统时间:系统 日期/时间可以手动设置系统时间，或者点击“同步按钮通过浏览器获取管理员本地电脑时间。系统诊断工具系统系统 工具工具:平安网关提供根本的诊断工具方便，用户可以通过这些工具观察网络和平安网关提供根本的诊断工具方便，用户可以通过这些工具观察网络和路由是否连通。路由是否连通。小结v在本章中讲述了以下内容v配置系统管理员/可信主机v配置管理接口v配置文件管理v版本升级v配置系统时间v系统诊断工具问题

14、1、如何回退到以前保存的配置？2、升级系统 的方法？四. 交换与路由 通过完成此章节课程，您将可以： 平安网关工作模式配置 接口配置 路由配置设备工作模式平安网关支持以下工作模式：路由应用模式透明应用模式混合应用模式系统架构图平安域在 中，域是一个逻辑的实体，一个或多个接口可以绑定到域，而被应用了策略规那么的域即为平安域。域具有以下特点：接口绑定到域二层和三层域决定其接口工作在二层模式或是三层模式 支持域内部策略规那么，比方“从 到的策略规那么绑定关系接口、平安域、 和 之间的绑定关系接口绑定到平安域。绑定到二层平安域的接口为二层接口，绑定到三层平安域的接口为三层接口。平安域绑定到 或者。二层

15、平安域绑定到，三层平安域绑定到。由此，也实现了接口与 或者 的绑定。策略策略那么通过策略规那么 决定从一个平安域到另一个平安域的哪些流量该被允许，哪些流量该被拒绝。域间策略：域间策略对平安域间的流量进行控制。可通过设置域间策略来拒绝、允许从一个平安域到另一个平安域的流量。域内策略：平安域内策略对绑定到同一平安域的接口间流量进行控制。源地址和目的地址都在同一平安域中，但是通过平安网关的不同接口到达。虚拟交换机()一个 就是一个二层转发域每个 都有自己独立的 地址表 中的接口之间的数据包会被按照二层转发规则进行转发在 中，用户可以方便地配置策略规则 接口相当于实际交换机的上连口，通过 接口，数据包

16、可以实现二层与三层之间的转发 中的转发规那么在一个，即一个二层转发域中， 平安网关通过源地址学习建立 地址转发表。每个 都有自己的 地址转发表。 根据数据包的类型 数据包、 包和非 且非 包，分别进行不同的处理。对未知单播的转发采用策略限制下的播送对于非 包且非 包， 用户可以在全局配置模式下通过配置l2 命令指定处理方式。l2 | 丢弃 转发透明模式为实现透明应用模式，需要根据策略规那么创立一些二层平安域，并且把接口绑定到二层平安域上，同时将二层平安域绑定到 上。可以创立多个，即多个二层转发域。透明应用模式有以下优点：无需修改受保护网络的 设置。无需为进入受保护网络的报文创立 规那么。配置

17、默认有一个，即1，1 不能被删除。用户可以根据需要创立其它，也可以随时查看 的配置信息。用户在新建一个 的同时，也新建了与 相对应的 接口。:创立查看 表信息通过 ，用户可以查看所有 或者某个指定接口的 表项，用户还可以去除所有 或者某个指定接口的 表项。路由模式接口绑定到三层平安域上配置接口 地址、基于平安域的策略规那么在这种配置应用下，设备具有路由功能可以配置 规那么地址转换功能接口接口允许流量进出平安域。因此，为使流量能够流入和流出某个平安域，必须将接口绑定到该平安域，并且，如果是三层平安域，还需要为接口配置 地址。然后，必须配置相应的策略规那么，允许流量在不同平安域中的接口之间传输。多

18、个接口可以被绑定到一个平安域，但是一个接口不能被绑定到多个平安域。接口配置三层模式v方式接口配置二层模式v方式v方式接口配置高级配置静态路由静态路由是手工定义的路由条目，根据目的地址指定下一跳，也称作目的路由对外连接较少或者内网连接相比照较稳定的网络通常使用静态路由默认路由是静态路由的一种通过配置静态路由，如以下图：小结v在本章中讲述了以下内容：v系统架构v接口配置v静态路由配置五. 根本平安策略 通过完成此章节课程，您将可以： 理解平安策略的用途 通过平安策略保护网络资源平安策略根底平安策略策略是网络平安设备的根本功能。默认情况下，平安设备会拒绝设备上所有平安域之间的信息传输。而策略那么通过

19、策略规那么 决定从一个平安域到另一个平安域的哪些流量该被允许，哪些流量该被拒绝。策略分类策略分为两种：域间策略：域间策略对平安域间的流量进行控制。可通过设置域间策略来拒绝、允许从一个平安域到另一个平安域的流量。域内策略：平安域内策略对绑定到同一平安域的接口间流量进行控制。源地址和目的地址都在同一平安域中，但是通过平安网关的不同接口到达。策略规那么的根本元素策略规那么允许或者拒绝从一个平安域到另一个平安域的流量。流量的类型、流量的源地址与目标地址以及行为构成策略规那么的根本元素。 - 两个平安域之间的流量的方向，指从源平安域到目标平安域。 - 流量的源地址。 流量的目标地址。 流量的效劳类型。

20、平安设备在遇到指定类型流量时所做的行为， 包括允许、拒绝、隧道、来自隧道、认证五个行为。策略规那么策略规那么分为两局部：过滤条件和行为平安域间流量的源地址和目的地址以及效劳类型构成策略规那么的过滤条件。对于匹配过滤条件的流量可以制定处理行为，如或等。策略匹配顺序：系统查找策略顺序为由上至下，对流量按照找到的第一条与过滤条件相匹配的策略规那么进行处理。系统缺省的策略是拒绝所有的流量平安策略布署流程平安策略布署流程网络安全分析制定安全策略布署安全策略安全效果检验存在安全需求配置策略的步骤高级特性设定策略生效的时间、QoS标签、Profile组（IM、URL过滤）采取的动作允许通过，还是拒绝通过等服

21、务信息什么服务如：http、ftp、bt等网络层的信息源自哪个IP/段，到哪个IP/段如:从/24any策略的方向从哪个安全域，到哪个安全域如:从trustuntrust策略定义的步骤面向对象的策略管理通过采用面向对象方式来实现访问控制，可以合并类似的访问控制规那么，减少访问规那么数量。并且对象内容的修改，平安策略可自动更新，减少平安策略的维护量。面向对象的策略实现方法：第一步，定义对象地址对象效劳对象时间对象等第二步，配置面向对象的平安策略 | Hillstone Confidential地址 地址簿是 系统中用来储存 地址范围与其名称的对应关系的数据库。 地址簿中的

22、地址与名称的对应关系条目被称作地址条目 。 地址条目的 地址改变时， 会自动更新引用了该地址条目的模块。配置地址本对象 地址簿 新建配置地址本对象 地址簿 编辑 | Hillstone Confidential效劳 效劳：具有协议标准的信息流。效劳具有效劳：具有协议标准的信息流。效劳具有一定的特征，例如相应的协议、端口号等。一定的特征，例如相应的协议、端口号等。 效劳组：将一些效劳组织到一起便组成了效劳效劳组：将一些效劳组织到一起便组成了效劳组。用户可以直接将效劳组应用到平安网关策组。用户可以直接将效劳组应用到平安网关策略中，这样便简化了管理。略中，这样便简化了管理。 | Hillstone

23、Confidential系统预定义效劳对象 效劳簿 预定义 列出用户可以查看或修改系统预定义效劳，预定义效劳只提供对效劳超时时间进行修改。 | Hillstone Confidential系统预定义效劳组对象 效劳组 预定义 列出用户可以查看系统预定义效劳组，预定义效劳组不可修改。 | Hillstone Confidential用户自定义效劳 除了使用 提供的预定义效劳以外，用户还可以很容易地创立自己的自定义效劳。用户自定义效劳可包含最多8 条效劳条目。用户需指定的自定义效劳条目的参数包括： 名称 传输协议 或 类型效劳的源和目标端口号或者 类型效劳的 和 值 超时时间 应用类型 | Hil

24、lstone Confidential配置自定义效劳对象 效劳簿 自定义 新建 | Hillstone Confidential配置效劳组对象 效劳簿 组 新建 | Hillstone Confidential配置策略规那么平安 策略 列出 | Hillstone Confidential配置策略规那么平安 策略 根本配置检查/移动策略规那么平安 策略 列出小结v在本章中讲述了以下内容：v平安策略的用途v配置平安策略使用的地址薄v配置效劳簿和效劳组v配置平安策略保护网络资源问题1、平安策略由哪几局部组成？2、平安策略规那么的动作支持哪几种？3、平安策略执行的顺序？4、同一个平安域内的策略，缺省

25、的动作是什么？5、状态检测与包过滤两种实现方式有何不同？六. 高级平安策略 通过完成此章节课程，您将可以： 配置基于时间表的策略 配置平安网关实现对网络攻击防护 配置平安网关抵御攻击平安网关支持时间表功能。时间表功能可以使策略规那么在指定的时间生效，也可以控制 接口与因特网的连接时间。时间表包含绝对时间和周期。周期通过周期条目指定时间表的时间点或者时间段；而绝对时间决定周期的生效时间。每个周期最多可以拥有16 条周期条目。时间表对象 时间表 新建时间表提供“绝对时间和“周期两种类型时间表平安 策略 根本配置调用时间表的策略，只在时间表范围内生效应用时间表到策略平安 策略 列出调用时间表的策略，

26、只在时间表范围内生效查看调用时间表的策略 基于时间表的策略 网络攻击防护 攻击防御议程：平安策略高级特性攻击防护v网络中存在多种防不胜防的攻击，如侵入或破坏网络上的效劳器、盗取效劳器的敏感数据、破坏效劳器对外提供的效劳，或者直接破坏网络设备导致网络效劳异常甚至中断。作为网络平安设备的平安网关，必须具备攻击防护功能来检测各种类型的网络攻击，从而采取相应的措施保护内部网络免受恶意攻击，以保证内部网络及系统正常运行。 平安网关提供基于域的攻击防护功能。平安 攻击防护 编辑攻击防护 基于角色和时间表的策略 网络攻击防护 攻击防御议程：平安策略高级特性主机防御平安网关的主机防御功能即平安网关代替不同主机

27、发送免费 包，保护被代理主机免受 攻击。防御平安 防御 通过使用 学习、 学习、 认证以及 检查功能， 能够很好的防御 欺骗攻击。并且， 能够对 欺骗攻击进行统计，显示 欺骗攻击统计信息。绑定为加强网络平安控制，平安网关支持 地址绑定、端口绑定以及端口 绑定。这些绑定信息分为静态和动态两种。通过 学习功能、 扫描功能以及 学习功能获得绑定信息为动态绑定信息；而手工配置的绑定信息为静态信息。同时，平安网关还具有 检查功能。绑定平安 静态绑定小结v在本章中讲述了以下内容：v基于时间表配置平安策略v配置网络攻击防护v配置主机防御及绑定 | Hillstone Confidential七、 通过完成此

28、章节课程，您将可以：理解的用途配置功能 | Hillstone Confidential 功能介绍 基于的，即 ，能够为局域网里的每一个或每一段进行最大带宽限制或者预留带宽。 匹配类型支持地址范围或者地址簿条目。 上/下行流量可以独立限制，并可结合时间表对不同时段做不同控制。 控制策略需要绑定到接口上生效，绑定到外网接口的上行/下行控制策略对应内网用户上传/下载，绑定到内网接口上行/下行对应下载/上传。 | Hillstone Confidential 例如用户环境描述：出口带宽50，外网为E0/1接口用户需求描述：-00需限制其下载带宽为500，如出口

29、带宽空闲时可最高到5，上传不做限制/24网段中每下载300K，上传整个网段共享10M | Hillstone Confidential第一步登陆防火墙103在浏览器输入防火墙缺省管理地址： 默认用户名 密码 | Hillstone Confidential第二步指定接口带宽104接口默认带宽为物理最高支持带宽而非承诺带宽，用户需根据实际带宽值指定接口上/下行带宽。如需使用弹性功能，需点击开启弹性全局配置。 | Hillstone Confidential第三步配置 策略105限制-100每下载带宽500K，并在出口带宽空闲时允许突

30、破500限制，每最大占用5M带宽。 | Hillstone Confidential第三步配置 策略续106限制/24每下载带宽最大300K，上传整个网段最大占用10M带宽。 | Hillstone Confidential显示已配置控制策略107添加后策略会在 列表显示，如多条策略的地址范围重叠，请点击策略右侧箭头移动策略位置，从上至下第一条匹配到的策略生效。 | Hillstone Confidential八、应用通过完成此章节课程，您将可以：理解应用的用途配置应用 | Hillstone Confidential应用 功能介绍 基于应用的可以实现保障关键应用的带宽或者限制非关键应用的带宽。 应用全局有效。 可以实现基于时间表的应用限制。 应用可以绑定在出接口和入接口。 应用可以实现上下行带宽独立限制。 | Hillstone Confidential应用 例如用户环境描述：出口带宽50，外网为E0/1接口，内网连接E0/0用户需求描述：P2P应用需限