Hillstone基本部署培训文档ForSE课件

Hillstone安全网关基本部署Hillstone安全网关基本部署日程安排准备工作安全策略网络地址转换VPN部署QoS流量管理报表统计网关防病毒IPS入侵防护NBC上网行为管理HSM日程安排准备工作安全策略网络地址转换VPN部署QoS流量管理一、准备工作通过完成此章节课程，您将可以实现：完成设备基本管理搭建基本实验环境一、准备工作通过完成此章节课程，您将可以实现：管理接口用户管理接口类型:CLI:ConsoleTelnetSSHWebUI:HTTPHTTPS管理接口用户管理接口类型:不同管理方式支持本地与远程两种环境配置方法，可以通过CLI和WebUI两种方式进行配置支持Console、telnet、ssh、http、https管理参数数值波特率9600bit/s数据位8停止位1校验/流控无参数数值接口Eth0/0用户名hillstone密码hillstone管理IP不同管理方式支持本地与远程两种环境配置方法，可以通过CLI图形化管理界面-WebUI基于浏览器的WebUI管理方式简单灵活，可以完成常用的各种配置。准备工作：

安全网关设备的e0/0接口配有默认IP地址，该接口的各种管理功能均为开启状态。初次使用可以通过该接口管理设备，具体操作为：

将管理PC的IP地址设置为与/24同网段的IP地址，打开PC的Web浏览器，输入

设备默认管理员用户名及密码均为“hillstone”登陆后图形化管理界面-WebUI基于浏览器的WebUI管理方式简单WebUI界面初始页面结构导航菜单设备面板的端口连接状态CPU、内存、会话数等设备运行情况设备基本信息，包括：序列号、运行时间、软件版本、AV及特征库版本等WebUI界面初始页面结构导航菜单设备面板的端口连接状态CP搭建基本实验环境基本配置步骤:配置接口配置默认路由配置允许访问策略搭建基本实验环境基本配置步骤:1）配置接口网络>接口

编辑网络>接口点击需配置接口右侧编辑按钮1）配置接口网络>接口编辑网络>接口点击需配置2）配置默认路由网络>路由>目的路由

新建2）配置默认路由网络>路由>目的路由新建3）配置上网策略防火墙>策略点击需配置接口右侧编辑按钮内部上网是从Trust到untrust的访问，因此创建从内到外的访问策略防火墙>策略点击需配置接口右侧编辑按钮“源地址”处选择要被限制的IP地址范围，若选择“Any”则会对经过设备的所有地址有效3）配置上网策略防火墙>策略点击需配置接口右侧编辑按钮配置系统管理员系统管理安全网关设备由系统管理员（Administrator）管理、配置。系统管理员的配置包括创建管理员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。安全网关拥有一个默认管理员“hillstone”，用户可以对管理员“hillstone”进行编辑，但是不能删除该管理员。管理员分为读写执行权限管理员、只读执行权限管理员。配置系统管理员系统管理配置系统管理员系统>设备管理>基本信息配置系统管理员系统>设备管理>基本信息配置系统管理员系统>设备管理>基本信息新建配置系统管理员系统>设备管理>基本信息新建配置文件管理系统>配置管理员可以导入、导出或者将系统恢复出厂配置当前配置窗口提供对current配置的Web方式查阅配置文件管理系统>配置StoneOS升级通过WebUI升级StoneOS：系统>系统软件选择<上载新系统固件>单选按钮。选中<备份当前系统固件>复选框。系统将在上载的同时备份当前运行的StoneOS。如不选中该选项，系统将用新上载的StoneOS覆盖当前运行的StoneOS。点击『浏览』按钮并且选中要上载的StoneOS。点击『确定』按钮，系统开始上载指定的StoneOS。完成升级后，需要重启安全网关启动新升级的StoneOS。StoneOS升级通过WebUI升级StoneOS：系统诊断工具（WebUI）系统>工具:安全网关提供基本的诊断工具方便，用户可以通过这些工具察看网络和路由是否连通。系统诊断工具（WebUI）系统>工具:二、安全策略通过完成此章节课程，您将可以：理解安全策略的用途通过安全策略保护网络资源二、安全策略通过完成此章节课程，您将可以：安全策略基础安全策略策略是网络安全设备的基本功能。默认情况下，安全设备会拒绝设备上所有安全域之间的信息传输。而策略则通过策略规则（PolicyRule）决定从一个安全域到另一个安全域的哪些流量该被允许，哪些流量该被拒绝。哪些网络流量可以允许通过？安全策略基础安全策略哪些网络流量可以允许通过？地址（Address）地址簿是StoneOS系统中用来储存IP地址范围与其名称的对应关系的数据库。地址簿中的IP地址与名称的对应关系条目被称作地址条目（AddressEntry）。地址条目的IP地址改变时，StoneOS会自动更新引用了该地址条目的模块。地址（Address）地址簿是StoneOS系统中用来储存配置地址本（WebUI）对象>地址簿>新建配置地址本（WebUI）对象>地址簿>新建配置地址本（WebUI）对象>地址簿>编辑配置地址本（WebUI）对象>地址簿>编辑服务（Service）服务（Service）：具有协议标准的信息流。服务具有一定的特征，例如相应的协议、端口号等。服务组：将一些服务组织到一起便组成了服务组。用户可以直接将服务组应用到安全网关策略中，这样便简化了管理。服务（Service）服务（Service）：具有协议标准的系统预定义服务对象>服务簿>预定义>列出用户可以查看或修改系统预定义服务，预定义服务只提供对服务超时时间进行修改。系统预定义服务对象>服务簿>预定义>列出系统预定义服务组对象>服务组>预定义>列出用户可以查看系统预定义服务组，预定义服务组不可修改。系统预定义服务组对象>服务组>预定义>列出用户自定义服务除了使用StoneOS提供的预定义服务以外，用户还可以很容易地创建自己的自定义服务。用户自定义服务可包含最多8条服务条目。用户需指定的自定义服务条目的参数包括：名称传输协议TCP或UDP类型服务的源和目标端口号或者ICMP类型服务的type和code值超时时间应用类型用户自定义服务除了使用StoneOS提供的预定义服务以外，配置自定义服务对象>服务簿>自定义>新建配置自定义服务对象>服务簿>自定义>新建配置服务组对象>服务簿>组>新建配置服务组对象>服务簿>组>新建配置策略规则（WebUI）安全>策略>列出配置策略规则（WebUI）安全>策略>列出配置策略规则（WebUI）安全>策略>基本配置配置策略规则（WebUI）安全>策略>基本配置检查/移动策略规则安全>策略>列出检查/移动策略规则安全>策略>列出小结在本章中讲述了以下内容：安全策略的用途配置安全策略使用的地址薄配置服务簿和服务组配置安全策略保护网络资源小结在本章中讲述了以下内容：源NAT目的NATNAT与相关策略三、网络地址转换源NAT三、网络地址转换源NAT配置示例配置SNAT步骤：第一步，配置源NAT规则第二步，配置访问策略示例环境描述：系统部署模式为路由模式，外网接口为Eth0/4所有用户上网均需NAT成防火墙外网接口IP地址源NAT配置示例配置SNAT步骤：示例环境描述：第一步，配置源NAT规则创建源NAT规则，将上网流量数据包源接口转换为外网IP。第一步，配置源NAT规则创建源NAT规则，将上网流量数据包源第二步，配置访问策略源NAT规则只是定义了网络层面的转换，如需上网，则要添加相应访问策略。第二步，配置访问策略源NAT规则只是定义了网络层面的转换，如源NAT目的NATNAT与相关策略议程：网络地址转换源NAT议程：网络地址转换示例一端口映射DNAT（VIP）DMZ安全域有FTP服务器和WEB服务器，IP如下图所示，现有公网IP地址可用，通过此IP将上述两服务器发布。示例一端口映射DNAT（VIP）DMZ安全域有FTP服第一步，配置地址簿分别添加和0、1的地址簿。39第一步，配置地址簿分别添加和10.1.2.第二步，配置目的NAT规则添加端口映射的目的NAT策略，将访问到的FTP服务的流量转到0的21端口。40第二步，配置目的NAT规则添加端口映射的目的NAT策略，将访第二步，配置目的NAT规则（续）添加端口映射的目的NAT策略，将访问到的HTTP服务的流量转到1的80端口。41第二步，配置目的NAT规则（续）添加端口映射的目的NAT策略第三步，配置访问策略上述NAT规则已经定义了网络层面的对应关系，如需开放外网到服务器的访问，需添加相应访问策略，策略目的IP为服务器映射所对应的公网IP，如下图依次添加untrust>dmz，目的IP为映射虚IP，服务为FTP和HTTP的策略。42第三步，配置访问策略上述NAT规则已经定义了网络层面的对应关示例二IP映射（MIP）DMZ安全域有FTP服务器和WEB服务器，IP如下图所示，现有公网IP地址和可用，通过IP映射将上述两服务器发布。示例二IP映射（MIP）DMZ安全域有FTP服务器和W第一步，配置地址簿分别添加、和0、1的地址簿。44第一步，配置地址簿分别添加、202.1.1第二步，配置目的NAT规则添加IP映射的目的NAT规则，将访问到的流量转到0，访问到的流量转到1。45第二步，配置目的NAT规则添加IP映射的目的NAT规则，将访第三步，配置访问策略上述NAT规则已经定义了网络层面的对应关系，如需开放外网到服务器的访问，需添加相应访问策略，策略目的IP为服务器映射所对应的公网IP，如下图依次添加untrust>dmz，目的IP为映射虚IP（/）的策略。46第三步，配置访问策略上述NAT规则已经定义了网络层面的对应关小结在本章中讲述了以下内容：NAT的分类源和目的NAT的应用小结在本章中讲述了以下内容：VPN介绍Hillstone

IPSec

VPN配置基于策略VPN配置基于路由VPN配置LabHillstone

SSL

VPN配置SecureConnectVPNLab四、VPN部署VPN介绍四、VPN部署VirturalPrivateNetworkVPN（VirtualPrivateNetwork）在公网上建立的虚拟私有网络节约成本简化了企业联网和广域网操作VPN网络有很好的兼容性和可扩展性企业可以利用VPN迅速开展新的服务和连接全球的设施通过隧道协议需要加密、完整性校验、用户认证等安全措施VirturalPrivateNetworkVPN（ViVirturalPrivateNetwork总部XYFromAtoBFromAtoBFromXtoYFromAtoB分公司ABInternet•VirtualPrivatenetworks(VPNs)在公网上为两个私域网络提供安全通信通道•通过加密通道保证连接的安全–在两个公共网关间提供私密数据的封包服务VirturalPrivateNetwork总部XYFrVPN介绍Hillstone

IPSec

VPN配置基于策略VPN配置基于路由VPN配置LabHillstone

SSL

VPN配置SecureConnectVPNLab议程：VPN部署VPN介绍议程：VPN部署Site-to-Site按照VPN的数据驱动类型分为：基于策略的（Policy-based）基于路由的（Route-based）LANSite1ServerSite2InternetSite-to-Site按照VPN的数据驱动类型分为：LAN配置过程IKEVPN为自动协商方式，配置包括：第一步，配置IKEVPN配置P1提议（可选）配置ISAKMP网关配置P2提议（可选）配置隧道第二步A（基于策略）：配置VPN安全策略，策略行为选择隧道或来自隧道第二步B（基于路由）：绑定Tunnel接口,添加通过Tunnel接口到对端访问的路由，根据Tunnel接口绑定安全域配置普通流量策略配置过程IKEVPN为自动协商方式，配置包括：配置IKE

VPN-P1提议配置P1提议WebUI：VPN>IPSecVPN>P1提议配置IKEVPN-P1提议配置P1提议配置IKEVPN-对端网关配置ISAKMP网关（对端）WebUI:VPN>IPSecVPN>VPN对端配置IKEVPN-对端网关配置ISAKMP网关（对端）WebUI:VPN>IPSecVPN>P2提议

配置IKEVPN-P2提议WebUI:VPN>IPSecVPN>P2提WebUI:VPN>IPSecVPN>IPSecVPN导入对端，点击“步骤2：隧道”配置IKEVPN-隧道WebUI:VPN>IPSecVPN>IPSA.基于策略VPN--2选1配置策略(WebUI)：配置策略指定哪些流量通过VPN转发，并指明转发所使用隧道，如果需双向策略，可以根据提示自动生成反向策略，然后根据需求到相应反向策略中修改。配置策略前需先定义本地及对端IP地址A.基于策略VPN--2选1配置策略(WebUI)：添加不做NAT规则防火墙>NAT

>源NAT添加不做NAT规则防火墙>NAT>源NATB.基于路由VPN--2选1配置隧道接口(WebUI)：网络>接口>新建下拉框选择<隧道接口>B.基于路由VPN--2选1配置隧道接口(WebUI)：B.基于路由VPN创建到隧道接口的路由(WebUI)：网络>路由>目的路由>新建B.基于路由VPN创建到隧道接口的路由(WebUI)：B.基于路由VPN创建普通permit策略(WebUI)：根据tunnel接口绑定的安全域，需要添加相应安全策略，action为普通permit策略如需双向访问，需添加进站策略，按上图交换源、目的安全域即可B.基于路由VPN创建普通permit策略(WebUI)：如IPSecVPNLab服务器/数据库InternetLAN公司总部分支机构E0/1：/24PC1：0/24E0/0：/24E0/1：/24E0/0：/24Server1：0/24IPSecVPNLab服务器/数据库InternetLAVPN介绍Hillstone

IPSec

VPN配置基于策略VPN配置基于路由VPN配置LabHillstone

SSL

VPN配置SecureConnectVPNLab议程：VPN部署VPN介绍议程：VPN部署SCVPN概念为解决远程用户安全访问私网数据的问题，Hillstone系列安全网关提供基于SSL的远程登录解决方案——SecureConnectVPN，简称为SCVPN。InternetSSLVPNSSLVPN移动用户移动用户SCVPN概念为解决远程用户安全访问私网数据的问题，HillSCVPN基本配置步骤配置SCVPN，步骤包括：第一步，配置SCVPN地址池第二步，配置SCVPN实例第三步，创建三层安全域第四步，创建隧道接口第五步，创建VPN访问策略第六步，创建VPN登陆用户SCVPN基本配置步骤配置SCVPN，步骤包括：第一步，配置SCVPN地址池通过配置SCVPN地址池为VPN接入用户分配IP地址，地址池需配置网络中未使用网段。67第一步，配置SCVPN地址池通过配置SCVPN地址池为VPN第二步，配置SCVPN实例按照下图流程新建SCVPN实例，绑定出接口、地址池后点击确认。68待续第二步，配置SCVPN实例按照下图流程新建SCVPN实例，绑第二步，配置SCVPN实例（续）创建SCVPN实例后，编辑该实例，添加隧道路由和AAA服务器。69第二步，配置SCVPN实例（续）创建SCVPN实例后，编辑该第三步，新建安全域新建一个三层安全域，以便SCVPN隧道接口绑定并实施策略控制。70第三步，新建安全域新建一个三层安全域，以便SCVPN隧道接口第四步，创建隧道接口创建隧道接口，并按下图配置接口参数。71第四步，创建隧道接口创建隧道接口，并按下图配置接口参数。71第四步，创建VPN访问策略添加访问策略，允许通过SCVPN到内网的访问。72第四步，创建VPN访问策略添加访问策略，允许通过SCVPN到第五步，创建登陆用户账号创建SCVPN登陆账户，因本例中SCVPN实例使用local认证，所以需在AAA服务器local中添加用户。73第五步，创建登陆用户账号创建SCVPN登陆账户，因本例中SCSCVPN登陆SCVPN登陆登陆SCVPN用户可通过互联网测试SCVPN接入，开启浏览器，通过HTTPS方式访问SCVPN实例所绑定的设备外网接口IP，默认端口为443375登陆SCVPN用户可通过互联网测试SCVPN接入，开启浏览器登陆SCVPN用户可通过互联网测试SCVPN接入，开启浏览器，通过HTTPS方式访问SCVPN实例所绑定的设备外网接口IP，默认端口为443376登陆SCVPN用户可通过互联网测试SCVPN接入，开启浏览器登陆SCVPN77若浏览器阻挡ActiveX控件，请允许安装控件，以便安装SCVPN客户端插件。登陆SCVPN77若浏览器阻挡ActiveX控件，请允许安装登陆SCVPN78连接成功后在系统托盘可以看到绿色图标，双机该图标可以查看IP及路由分配状况登陆SCVPN78连接成功后在系统托盘可以看到绿色图标小结在本章中讲述了以下内容：VPN的概念如何配置基于策略的VPN如何配置基于路由的VPN如何配置SCVPN小结在本章中讲述了以下内容：QoS基本概念IPQoS应用QoS五、QoS流量管理QoS基本概念五、QoS流量管理为什么需要QoS大流量时关键应用运行受冲击带宽没有充分利用TCP突发特性不受控制大流量时关键应用运行受保护带宽充分利用TCP突发特性受到控制为什么需要QoS大流量时关键应用运行受冲击大流量时关键应用运IPQoS示例用户环境描述：出口带宽50Mbps，外网为E0/1接口内网连接两个网段：/24和/24用户需求描述：-00需限制其下载带宽为500K/IP，如出口带宽空闲时可最高到5M/IP，上传不做限制/24网段中每IP下载300K，上传整个网段共享10M82IPQoS示例用户环境描述：82第二步---指定接口带宽接口默认带宽为物理最高支持带宽而非ISP承诺带宽，用户需根据实际带宽值指定接口上/下行带宽。第二步---指定接口带宽接口默认带宽为物理最高支持带宽而非I第三步---配置IPQoS策略限制-100每IP下载带宽500K，并在出口带宽空闲时允许突破500K/IP限制，每IP最大占用5M带宽。第三步---配置IPQoS策略限制-1第三步---配置IPQoS策略（续）限制/24每IP下载带宽最大300K，上传整个网段最大占用10M带宽。第三步---配置IPQoS策略（续）限制192.168.1显示已配置控制策略添加后策略会在IPQoS列表显示，如多条策略的IP地址范围重叠，请点击策略右侧箭头移动策略位置，从上至下第一条匹配到的策略生效。显示已配置控制策略添加后策略会在IPQoS列表显示，如多条应用QoS应用QoS应用QoS功能介绍基于应用的QoS可以实现保障关键应用的带宽或者限制非关键应用的带宽。应用QoS全局有效。可以实现基于时间表的应用QoS限制。应用QoS可以绑定在出接口和入接口。应用QoS可以实现上下行带宽独立限制。88应用QoS功能介绍基于应用的QoS可以实现保障关键应用的带应用QoS示例用户环境描述：出口带宽50Mbps，外网为E0/1接口，内网连接E0/0内网连接两个网段：/24和/24用户需求描述：P2P应用需限制其下行带宽为10M，上传最大5MHTTP和SMTP应用下载保障20M，上传保障10M89应用QoS示例用户环境描述：89第二步---指定接口带宽90接口默认带宽为物理最高支持带宽而非ISP承诺带宽，用户需根据实际带宽值指定接口上/下行带宽。第二步---指定接口带宽90接口默认带宽为物理最高支持带宽而第三步---开启应用识别91防火墙默认不对带*号服务做应用层识别，如需对BT、xunlei等应用做基于应用的QoS控制，需要开启外网安全域的应用识别功能。第三步---开启应用识别91防火墙默认不对带*号服务做应用层第四步---配置应用QoS策略92限制P2P应用下行带宽为10M，上传最大5M。第四步---配置应用QoS策略92限制P2P应用下行带宽为第四步---配置应用QoS策略（续）93HTTP和SMTP应用上行保障10M。第四步---配置应用QoS策略（续）93HTTP和SMTP第四步---配置应用QoS策略（续）94HTTP和SMTP应用下行保障20M。保证带宽功能为出接口工具，所以对下载流量保证带宽需要配置在内网接口保证上行带宽。第四步---配置应用QoS策略（续）94HTTP和SMTP显示已配置控制策略95添加后策略会在应用QoS列表显示，如多条策略的应用重叠，请点击策略右侧箭头移动策略位置，从上至下第一条匹配到的策略生效。显示已配置控制策略95添加后策略会在应用QoS列表显示，如多小结在本章中讲述了以下内容：基本QoS概念基于IP-QoS配置基于应用QoS配置基于角色QoS配置小结在本章中讲述了以下内容：通过完成此章节课程，您将可以：描述IPS功能配置IPS防护您的网络六、报表统计通过完成此章节课程，您将可以：六、报表统计统计集功能介绍StoneOS的统计集功能允许用户查看实时的或者一定统计周期内（5分钟或者24小时）基于不同统计数据类型（如带宽、会话、新建会话数速率、攻击速率和病毒个数）以及数据组织方式（如IP、接口、安全域、攻击类型、应用、病毒和用户）的系统统计信息，并且可以根据不同需求过滤统计信息，从而帮助用户更加详细和精确地了解系统的资源分配及网络安全状态。98统计集功能介绍StoneOS的统计集功能允许用户查看实时的预定义统计集预定义统计集启用预定义统计集系统已经预置常见的统计集供用户选择启用，启用统计集按照右图流程勾选相应统计集并启用即可。100启用预定义统计集系统已经预置常见的统计集供用户选择启用，启用查看统计数据101启用统计集后，点击统计集名称即可显示实时统计数据。点击查看处的5分钟或24小时可查看该时间范围内的历史曲线。查看统计数据101启用统计集后，点击统计集名称即可显示实时统自定义统计集自定义统计集新建自定义统计集103对于某些特定需求的统计，可以通过自定义统计集实现。新建自定义统计集103对于某些特定需求的统计，可以通过自定义查看自定义统计数据104查看自定义统计数据104关闭统计功能关闭统计功能关闭预定义统计集统计集功能需要占用系统大量运算能力，关闭非必要统计集有利于节约系统资源。106关闭预定义统计集统计集功能需要占用系统大量运算能力，关闭非必关闭自定义统计集107对于自定义统计集，可以编辑其状态为非活跃暂时关闭统计功能。如果不再需要该统计集，可以直接点击统计集右侧删除。关闭自定义统计集107对于自定义统计集，可以编辑其状态为非活SA防病毒功能通过策略机制实现，即用户需要首先配置防病毒Profile，并且将防病毒Profile添加到Profile组中，然后将该Profile组绑定到策略规则上，以此实现基于策略的防病毒扫描和处理。SA采用卡巴斯基病毒库，包含万余种病毒特征，支持病毒库的每日自动升级，也可以手动实时升级。SA防病毒功能可扫描协议类型包括POP3、HTTP、SMTP、IMAP4以及FTP；可扫描文件类型包括存档文件（包含压缩存档文件，支持压缩类型有GZIP、ZIP和RAR）、PE、HTML、Mail、RIFF、CryptFF和JPEG。七、网关防病毒SA防病毒功能通过策略机制实现，即用户需要首先配置防病毒P防病毒全局配置防病毒>配置勾选防病毒“启用”，开启防病毒功能配置压缩包最大过滤层数及超出行为SA支持自动在线更新病毒特征库，可以按需配置每天/每周升级防病毒全局配置防病毒>配置配置防病毒步骤实现SA的防病毒过滤功能，用户需要按照以下步骤进行操作：1.创建防病毒Profile，在Profile中指定扫描文件类型、扫描协议以及系统发现病毒后采取的动作。2.将防病毒Profile绑定到安全域。配置防病毒步骤实现SA的防病毒过滤功能，用户需要按照以下步骤配置防病毒功能防病毒>配置新建防病毒Profile，勾选需检测文件类型和需检测协议，并设置对该协议中所发现病毒的处理动作配置防病毒功能防病毒>配置绑定防病毒Profile安全域防病毒>安全域绑定新建或编辑绑定列表，将上述所创建防病毒Profile绑定到需实现病毒防护的目的安全域。绑定防病毒Profile安全域防病毒>安全域绑定查看病毒检测日志日志报表>安全日志查看病毒检测日志日志报表>安全日志小结在本章中讲述了以下内容：描述SA防病毒功能配置病毒防护小结在本章中讲述了以下内容：通过完成此章节课程，您将可以：描述IPS功能配置IPS防护您的网络八、IPS入侵防护通过完成此章节课程，您将可以：八、IPS入侵防护从网络层防火墙到入侵防御网络层防火墙入侵检测入侵防御第二阶段–入侵检测旁路接入分析网络中的攻击并告警无法实时阻断攻击没有和FW联动的标准的协议第一阶段–三四层防护仅仅检测三四层攻击第三阶段–入侵防御串联入网络，实时攻击源阻断深度应用防护应用层网络层从网络层防火墙到入侵防御网络层防火墙入侵检测入侵防御第二阶段传统安全系统部署方式InternetAVIPSURL设备独立运行，管理复杂设备越多，性能影响越大，可靠性越低安全状态分析复杂高投资，高维护成本安全问题依然存在，安全事件频发串行部署方式，安全设备越来越多传统安全系统部署方式InternetAVIPSURL设备独UTM面临的问题InternetAVIPSURL将安全功能简单的叠加，导致系统性能急剧下降，系统不可用所有安全功能单独运行，仅是简单集成到了一个系统平台上安全模块没有做到内部互动，安全问题依然存在第一代UTM越来越成为了概念，离使用越来越远…

有限的安全功能集成，离客户的安全需求越来越远…第一代UTM仅解决了统一管理问题，但问题…UTMFWURLIPSAVUTM面临的问题InternetAVIPSURL将安全功能简Hillstone解决方案-在线阻断攻击Internet在线检测并阻断攻击，实现主动防护整合防火墙、IPS、流控、上网行为管理等，统一管理，提供整体解决方案基于多核全并行架构，提供高性能应用层检测及防护能力

多引擎协同工作，保证AV、IPS多功能启用下的优异处理能力新一代Hillstone入侵防御方案，提供多重优势Hillstone解决方案-在线阻断攻击Internet在Hillstone山石网科入侵防御基于深度应用识别全新一代基于应用行为和特征的应用识别超过几百种以上的应用特征库支持针对HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBIOS、TFTP等多种协议和应用的攻击检测和防御基于多核plusG2架构，高性能提供强劲的处理能力全并行的流引擎提供统一内容引擎处理，内容安全部再是性能瓶颈基于深度攻击检测，高精准基于深度应用状态、精准的高性能攻击检测和防御实时攻击源阻断、IP屏蔽、攻击事件记录攻击迅速响应防御最新攻击支持超过3,000种的攻击检测和防御

安全专家，安全专员分析，积极应对新攻击支持攻击特征库离线在线更新，定期自动更新Hillstone山石网科入侵防御基于深度应用识别IPS特征库包含多种攻击特征，特征根据协议进行分类，以特征ID作为特征的唯一标识。特征ID由两部分构成，分别为协议ID（第1位或者第1和第2位）和攻击特征ID（后5位），例如ID“600120”中，“6”表示Telnet协议，“00120”表示攻击特征ID。攻击特征ID大于60000的为协议异常特征，攻击特征小于60000的为攻击特征。协议ID与协议对应关系：攻击特征IPS特征库包含多种攻击特征，特征根据协议进行分类，以特征StoneOS支持两种IPS工作模式，分别是IPS在线模拟模式和IPS模式。IPS在线模拟模式提供协议异常和网络攻击行为的告警、日志功能，不对检出攻击做重置和阻断操作；IPS模式在提供协议异常和网络攻击行为的告警、日志功能的同时，还对检出攻击做重置和阻断操作。系统默认情况下工作在IPS模式下。IPS工作模式StoneOS支持两种IPS工作模式，分别是IPS在线IPS配置流程配置IPS功能防护您的网络，需要按照以下步骤进行操作：1.确认StoneOS版本支持IPS功能（StoneOS4.0以上）。2.安装IPS许可证，然后重启设备。3.升级IPS攻击特征库。4.创建IPSProfile。5.将IPSProfile绑定到安全域。以下范例从第四步开始演示IPS配置流程配置IPS功能防护您的网络，需要按照以下步骤进创建IPSProfileIPS>Profile新建选择需要检测的协议创建IPSProfileIPS>Profile新建修改IPSProfile协议配置IPS>ProfileStoneOS提供对每种协议的单独配置，可以根据需要细化协议具体检测。具体配置内容包括对该协议下不同严重等级的攻击的动作、以及针对不同协议解析的具体防护参数配置修改IPSProfile协议配置IPS>Profile具绑定IPSProfile到安全域IPS>安全域绑定新建IPS防护功能可以基于安全域启用，绑定到安全域上的IPS策略对该安全域全局生效，并可根据需要选择对不同攻击方向进行防护。绑定IPSProfile到安全域IPS>安全域绑定新查看IPS攻击日志日志报表>IPS日志查看IPS攻击日志日志报表>IPS日志小结在本章中讲述了以下内容：描述安全网关IPS功能配置IPS防护网络小结在本章中讲述了以下内容：通过完成此章节课程，您将可以：描述NBC功能配置NBC以实现上网行为管理九、NBC上网行为管理通过完成此章节课程，您将可以：九、NBC上网行为管理StoneOS上网行为管理功能对网络游戏、在线聊天、在线炒股、P2P下载、网页访问、邮件外发及论坛发帖等各种网络行为进行全面控制管理，并可以根据需要针对不同用户、不同网络行为、不同时间进行灵活的管理策略设置和日志记录。上网行为管理（NBC）StoneOS上网行为管理功能对网络游戏、在线聊天、在线炒股StoneOS上网行为管理主要功能（续）：上网行为管理（NBC）StoneOS上网行为管理主要功能（续）：上网行为管理（NBStoneOS上网行为管理主要功能（续）：上网行为管理（NBC）StoneOS上网行为管理主要功能（续）：上网行为管理（NB配置NBC步骤实现安全网关的NBC功能，用户需要按照以下步骤进行操作：1.转换防火墙为全局策略模式。2.创建NBC策略，并指定目的安全域。3.根据需要配置例外设置。配置NBC步骤实现安全网关的NBC功能，用户需要按照以下步骤全局策略模式NBC功能需在全局策略模式下配置，默认情况下，系统处于安全域策略模式，用户需要将安全域策略模式转换为全局策略模式。上网行为>策略点击全局策略并重启全局策略模式NBC功能需在全局策略模式下配置，默认情况下，系配置NBC策略NBC上网行为管理功能分三部分：网络应用、网页内容、外发信息。其中外发信息监控需要配合硬盘卡及HSM实现。上网行为>策略选定目的安全域并点击新建配置NBC策略NBC上网行为管理功能分三部分：网络应用、网页监控IM聊天记录及阻断非法应用监控IM聊天记录阻断P2P应用监控IM聊天记录及阻断非法应用监控IM聊天记录阻断P2P应用FTP及HTTP应用控制FTP及HTTP应用控制配置URL过滤策略NBC上网行为管理可以基于URL分类控制上网访问，并对控制URL类别选择是否记录日志。配置URL过滤策略NBC上网行为管理可以基于URL分类控制上配置邮件控制策略配置邮件控制策略配置论坛发帖控制策略配置论坛发帖控制策略配置例外设置对于特殊情况下不需要上网行为管理策略规则进行控制的对象，可以通过例外设置实现。例外设置包括免监督用户、黑白名单和Bypass域名。。配置例外设置对于特殊情况下不需要上网行为管理策略规则进行控制小结在本章中讲述了以下内容：描述上网行为管理功能根据需要配置NBC功能小结在本章中讲述了以下内容：十、HSMHSM是山石网科自主研发的集中网络安全管理系统，能够对网络中的多台Hillstone安全设备进行集中控制和管理。HSM系统分为三部分，即HSM代理（HSMAgent）、HSM服务器（HSMServer）和HSM客户端（HSMClient）。将这三部分合理部署到网络中，并且实现安全连接后，用户可以通过客户端程序，查看被管理安全设备的日志信息、统计信息、设备属性等，实时监控被管理设备的运行状态和流量信息等。十、HSMHSM是山石网科自主研发的集中网络安全管理系统，能HSM网管系统典型拓扑HSM网管系统典型拓扑

客户端窗口介绍客户端工作窗口包含以下各部分：菜单栏、工具栏、过滤栏、导航窗口、主窗口、过滤窗口、告警窗口以及状态栏。工作窗口具体布局请参阅下图：客户端窗口介绍客户端工作窗口包含以下各部分：菜单栏、工具栏

设备管理HSM提供三种方式添加设备添加单个设备批量添加设备从文件导入方式（支持后缀为txt和xls的文件）HSM系统最多同时管理200台设备只有root用户才有权限添加、删除设备，给设备重命名添加设备界面如下：设备管理HSM提供三种方式添加设备

设备管理HSM设备默认注册密码为“123456”，管理员可以自行修改注册密码在线设备不允许彻底删除，如需删除请先关闭设备的网络管理功能修改注册密码界面如下：设备管理HSM设备默认注册密码为“123456”，管理员可用户管理HSM系统用户权限分三级超级管理员（默认用户名root，密码123456；root用户拥有一切权限）编辑权限的管理员（可以新建组，删除组，并给本域内的设备分组，将组内的设备从组中删除）只读权限的管理员（只能看，没有任何编辑权限）HSM系统最多支持10个用户同时在线HSM系统最多可以添加50个用户（含root用户）root管理员可以重置其他管理员的密码，重置后密码为“123456”添加用户界面如下：用户管理HSM系统用户权限分三级域和组为了方便用户对多设备的管理，HSM系统采用了域和组的形式。使得用户可以将大地域范围内的设备划分到一个域中。在一个域中将小地域范围内的设备划分到各个组中。组是域的下一级，一个域中可以包含多个组一个设备可以同时属于不同的域，不同的组添加域和组的界面如下：域和组为了方便用户对多设备的管理，HSM系统采用了域和组的形编辑权限为了防止不同用户对同一对象做修改而导致错误，HSM的编辑权限做了如下定义：用户开始编辑之前系统首先检查其编辑权限，没有权限将不允许进行编辑操作对于没有被编辑的域，用户对该域做编辑操作时自动拥有该域的编辑权限同一时间只能有一个用户对同一个域有编辑权限不同用户可以同时对不同的域进行编辑用户使用完编辑权限后，需要释放编辑权限长时间不做任何操作，2小时候后编辑权限被自动释放编辑权限的获得与释放编辑开始编辑结束编辑权限为了防止不同用户对同一对象做修改而导致错误，HSM的证书为了保证通信的安全性，HSM系统提供了SSL加密的数据通道。SSL通道存在于HSM服务器与HSM代理，HSM服务器与HSM客户端之间由于采用了SSL通道，所以需要在服务器端、HSM代理、HSM客户端分别导入证书HSM系统在版本发布时已经在各个部分导入一个证书。如果用户认为此证书不可靠可以自己产生一个证书并导入用户证书的产生与导入：在用户信任的CA中心生成公私密钥对用用户公钥产生的证书在该CA中心进行签名，生成后缀为“.pfx”（如sm.pfx）的证书文件将证书文件“sm.pfx”导入到HSM服务器端:命令为HSMloadcertificate<pathname>password<password>将该CA中心root证书（root公钥产生的证书）分别导入到HSM代理、HSM客户端

HSM代理证书导入见第12，13页，代理配置

HSM客户端证书导入，windows系统开始菜单-所有程序-HillstoneHSM-导入文件证书证书为了保证通信的安全性，HSM系统提供了SSL加密的数据通

监控查看设备属性信息，在导航树或者<设备列表>中选中需要查看的设备，设备的属性信息将显示在界面右侧主窗口中。监控窗口显示从当前时间到前30分钟的统计数据，除病毒监控信息5分钟刷新一次外统计数据信息每5秒钟刷新一次。监控查看设备属性信息，在导航树或者<设备列表>中选中需要查

监控默认情况下，选中客户端菜单栏的“工具》接收告警”后，<系统告警>窗口将输出警告和警告以上级别的日志信息。监控默认情况下，选中客户端菜单栏的“工具》接收告警”后，<日志浏览HSM提供日志查询功能，用户可点击日志浏览按条件查询所需日志。日志浏览HSM提供日志查询功能，用户可点击日志浏览按条件查询历史查询HSM提供多种历史趋势供用户查询，用户可以指定查询条件查询所询内容。历史查询HSM提供多种历史趋势供用户查询，用户可以指定查询条小结在本章中讲述了以下内容：描述HSM的主要功能如何通过HSM查询日志及历史信息小结在本章中讲述了以下内容：Q/AQ/AQ/AQ/AHillstone基本部署培训文档ForSE演讲完毕，谢谢观看！演讲完毕，谢谢观看！Hillstone安全网关基本部署Hillstone安全网关基本部署日程安排准备工作安全策略网络地址转换VPN部署QoS流量管理报表统计网关防病毒IPS入侵防护NBC上网行为管理HSM日程安排准备工作安全策略网络地址转换VPN部署QoS流量管理一、准备工作通过完成此章节课程，您将可以实现：完成设备基本管理搭建基本实验环境一、准备工作通过完成此章节课程，您将可以实现：管理接口用户管理接口类型:CLI:ConsoleTelnetSSHWebUI:HTTPHTTPS管理接口用户管理接口类型:不同管理方式支持本地与远程两种环境配置方法，可以通过CLI和WebUI两种方式进行配置支持Console、telnet、ssh、http、https管理参数数值波特率9600bit/s数据位8停止位1校验/流控无参数数值接口Eth0/0用户名hillstone密码hillstone管理IP不同管理方式支持本地与远程两种环境配置方法，可以通过CLI图形化管理界面-WebUI基于浏览器的WebUI管理方式简单灵活，可以完成常用的各种配置。准备工作：

安全网关设备的e0/0接口配有默认IP地址，该接口的各种管理功能均为开启状态。初次使用可以通过该接口管理设备，具体操作为：

将管理PC的IP地址设置为与/24同网段的IP地址，打开PC的Web浏览器，输入

设备默认管理员用户名及密码均为“hillstone”登陆后图形化管理界面-WebUI基于浏览器的WebUI管理方式简单WebUI界面初始页面结构导航菜单设备面板的端口连接状态CPU、内存、会话数等设备运行情况设备基本信息，包括：序列号、运行时间、软件版本、AV及特征库版本等WebUI界面初始页面结构导航菜单设备面板的端口连接状态CP搭建基本实验环境基本配置步骤:配置接口配置默认路由配置允许访问策略搭建基本实验环境基本配置步骤:1）配置接口网络>接口

编辑网络>接口点击需配置接口右侧编辑按钮1）配置接口网络>接口编辑网络>接口点击需配置2）配置默认路由网络>路由>目的路由

新建2）配置默认路由网络>路由>目的路由新建3）配置上网策略防火墙>策略点击需配置接口右侧编辑按钮内部上网是从Trust到untrust的访问，因此创建从内到外的访问策略防火墙>策略点击需配置接口右侧编辑按钮“源地址”处选择要被限制的IP地址范围，若选择“Any”则会对经过设备的所有地址有效3）配置上网策略防火墙>策略点击需配置接口右侧编辑按钮配置系统管理员系统管理安全网关设备由系统管理员（Administrator）管理、配置。系统管理员的配置包括创建管理员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。安全网关拥有一个默认管理员“hillstone”，用户可以对管理员“hillstone”进行编辑，但是不能删除该管理员。管理员分为读写执行权限管理员、只读执行权限管理员。配置系统管理员系统管理配置系统管理员系统>设备管理>基本信息配置系统管理员系统>设备管理>基本信息配置系统管理员系统>设备管理>基本信息新建配置系统管理员系统>设备管理>基本信息新建配置文件管理系统>配置管理员可以导入、导出或者将系统恢复出厂配置当前配置窗口提供对current配置的Web方式查阅配置文件管理系统>配置StoneOS升级通过WebUI升级StoneOS：系统>系统软件选择<上载新系统固件>单选按钮。选中<备份当前系统固件>复选框。系统将在上载的同时备份当前运行的StoneOS。如不选中该选项，系统将用新上载的StoneOS覆盖当前运行的StoneOS。点击『浏览』按钮并且选中要上载的StoneOS。点击『确定』按钮，系统开始上载指定的StoneOS。完成升级后，需要重启安全网关启动新升级的StoneOS。StoneOS升级通过WebUI升级StoneOS：系统诊断工具（WebUI）系统>工具:安全网关提供基本的诊断工具方便，用户可以通过这些工具察看网络和路由是否连通。系统诊断工具（WebUI）系统>工具:二、安全策略通过完成此章节课程，您将可以：理解安全策略的用途通过安全策略保护网络资源二、安全策略通过完成此章节课程，您将可以：安全策略基础安全策略策略是网络安全设备的基本功能。默认情况下，安全设备会拒绝设备上所有安全域之间的信息传输。而策略则通过策略规则（PolicyRule）决定从一个安全域到另一个安全域的哪些流量该被允许，哪些流量该被拒绝。哪些网络流量可以允许通过？安全策略基础安全策略哪些网络流量可以允许通过？地址（Address）地址簿是StoneOS系统中用来储存IP地址范围与其名称的对应关系的数据库。地址簿中的IP地址与名称的对应关系条目被称作地址条目（AddressEntry）。地址条目的IP地址改变时，StoneOS会自动更新引用了该地址条目的模块。地址（Address）地址簿是StoneOS系统中用来储存配置地址本（WebUI）对象>地址簿>新建配置地址本（WebUI）对象>地址簿>新建配置地址本（WebUI）对象>地址簿>编辑配置地址本（WebUI）对象>地址簿>编辑服务（Service）服务（Service）：具有协议标准的信息流。服务具有一定的特征，例如相应的协议、端口号等。服务组：将一些服务组织到一起便组成了服务组。用户可以直接将服务组应用到安全网关策略中，这样便简化了管理。服务（Service）服务（Service）：具有协议标准的系统预定义服务对象>服务簿>预定义>列出用户可以查看或修改系统预定义服务，预定义服务只提供对服务超时时间进行修改。系统预定义服务对象>服务簿>预定义>列出系统预定义服务组对象>服务组>预定义>列出用户可以查看系统预定义服务组，预定义服务组不可修改。系统预定义服务组对象>服务组>预定义>列出用户自定义服务除了使用StoneOS提供的预定义服务以外，用户还可以很容易地创建自己的自定义服务。用户自定义服务可包含最多8条服务条目。用户需指定的自定义服务条目的参数包括：名称传输协议TCP或UDP类型服务的源和目标端口号或者ICMP类型服务的type和code值超时时间应用类型用户自定义服务除了使用StoneOS提供的预定义服务以外，配置自定义服务对象>服务簿>自定义>新建配置自定义服务对象>服务簿>自定义>新建配置服务组对象>服务簿>组>新建配置服务组对象>服务簿>组>新建配置策略规则（WebUI）安全>策略>列出配置策略规则（WebUI）安全>策略>列出配置策略规则（WebUI）安全>策略>基本配置配置策略规则（WebUI）安全>策略>基本配置检查/移动策略规则安全>策略>列出检查/移动策略规则安全>策略>列出小结在本章中讲述了以下内容：安全策略的用途配置安全策略使用的地址薄配置服务簿和服务组配置安全策略保护网络资源小结在本章中讲述了以下内容：源NAT目的NATNAT与相关策略三、网络地址转换源NAT三、网络地址转换源NAT配置示例配置SNAT步骤：第一步，配置源NAT规则第二步，配置访问策略示例环境描述：系统部署模式为路由模式，外网接口为Eth0/4所有用户上网均需NAT成防火墙外网接口IP地址源NAT配置示例配置SNAT步骤：示例环境描述：第一步，配置源NAT规则创建源NAT规则，将上网流量数据包源接口转换为外网IP。第一步，配置源NAT规则创建源NAT规则，将上网流量数据包源第二步，配置访问策略源NAT规则只是定义了网络层面的转换，如需上网，则要添加相应访问策略。第二步，配置访问策略源NAT规则只是定义了网络层面的转换，如源NAT目的NATNAT与相关策略议程：网络地址转换源NAT议程：网络地址转换示例一端口映射DNAT（VIP）DMZ安全域有FTP服务器和WEB服务器，IP如下图所示，现有公网IP地址可用，通过此IP将上述两服务器发布。示例一端口映射DNAT（VIP）DMZ安全域有FTP服第一步，配置地址簿分别添加和0、1的地址簿。198第一步，配置地址簿分别添加和10.1.2.第二步，配置目的NAT规则添加端口映射的目的NAT策略，将访问到的FTP服务的流量转到0的21端口。199第二步，配置目的NAT规则添加端口映射的目的NAT策略，将访第二步，配置目的NAT规则（续）添加端口映射的目的NAT策略，将访问到的HTTP服务的流量转到1的80端口。200第二步，配置目的NAT规则（续）添加端口映射的目的NAT策略第三步，配置访问策略上述NAT规则已经定义了网络层面的对应关系，如需开放外网到服务器的访问，需添加相应访问策略，策略目的IP为服务器映射所对应的公网IP，如下图依次添加untrust>dmz，目的IP为映射虚IP，服务为FTP和HTTP的策略。201第三步，配置访问策略上述NAT规则已经定义了网络层面的对应关示例二IP映射（MIP）DMZ安全域有FTP服务器和WEB服务器，IP如下图所示，现有公网IP地址和可用，通过IP映射将上述两服务器发布。示例二IP映射（MIP）DMZ安全域有FTP服务器和W第一步，配置地址簿分别添加、和0、1的地址簿。203第一步，配置地址簿分别添加、202.1.1第二步，配置目的NAT规则添加IP映射的目的NAT规则，将访问到的流量转到0，访问到的流量转到1。204第二步，配置目的NAT规则添加IP映射的目的NAT规则，将访第三步，配置访问策略上述NAT规则已经定义了网络层面的对应关系，如需开放外网到服务器的访问，需添加相应访问策略，策略目的IP为服务器映射所对应的公网IP，如下图依次添加untrust>dmz，目的IP为映射虚IP（/）的策略。205第三步，配置访问策略上述NAT规则已经定义了网络层面的对应关小结在本章中讲述了以下内容：NAT的分类源和目的NAT的应用小结在本章中讲述了以下内容：VPN介绍Hillstone

IPSec

VPN配置基于策略VPN配置基于路由VPN配置LabHillstone

SSL

VPN配置SecureConnectVPNLab四、VPN部署VPN介绍四、VPN部署VirturalPrivateNetworkVPN（VirtualPrivateNetwork）在公网上建立的虚拟私有网络节约成本简化了企业联网和广域网操作VPN网络有很好的兼容性和可扩展性企业可以利用VPN迅速开展新的服务和连接全球的设施通过隧道协议需要加密、完整性校验、用户认证等安全措施VirturalPrivateNetworkVPN（ViVirturalPrivateNetwork总部XYFromAtoBFromAtoBFromXtoYFromAtoB分公司ABInternet•VirtualPrivatenetworks(VPNs)在公网上为两个私域网络提供安全通信通道•通过加密通道保证连接的安全–在两个公共网关间提供私密数据的封包服务VirturalPrivateNetwork总部XYFrVPN介绍Hillstone

IPSec

VPN配置基于策略VPN配置基于路由VPN配置LabHillstone

SSL

VPN配置SecureConnectVPNLab议程：VPN部署VPN介绍议程：VPN部署Site-to-Site按照VPN的数据驱动类型分为：基于策略的（Policy-based）基于路由的（Route-based）LANSite1ServerSite2InternetSite-to-Site按照VPN的数据驱动类型分为：LAN配置过程IKEVPN为自动协商方式，配置包括：第一步，配置IKEVPN配置P1提议（可选）配置ISAKMP网关配置P2提议（可选）配置隧道第二步A（基于策略）：配置VPN安全策略，策略行为选择隧道或来自隧道第二步B（基于路由）：绑定Tunnel接口,添加通过Tunnel接口到对端访问的路由，根据Tunnel接口绑定安全域配置普通流量策略配置过程IKEVPN为自动协商方式，配置包括：配置IKE

VPN-P1提议配置P1提议WebUI：VPN>IPSecVPN>P1提议配置IKEVPN-P1提议配置P1提议配置IKEVPN-对端网关配置ISAKMP网关（对端）WebUI:VPN>IPSecVPN>VPN对端配置IKEVPN-对端网关配置ISAKMP网关（对端）WebUI:VPN>IPSecVPN>P2提议

配置IKEVPN-P2提议WebUI:VPN>IPSecVPN>P2提WebUI:VPN>IPSecVPN>IPSecVPN导入对端，点击“步骤2：隧道”配置IKEVPN-隧道WebUI:VPN>IPSecVPN>IPSA.基于策略VPN--2选1配置策略(WebUI)：配置策略指定哪些流量通过VPN转发，并指明转发所使用隧道，如果需双向策略，可以根据提示自动生成反向策略，然后根据需求到相应反向策略中修改。配置策略前需先定义本地及对端IP地址A.基于策略VPN--2选1配置策略(WebUI)：添加不做NAT规则防火墙>NAT

>源NAT添加不做NAT规则防火墙>NAT>源NATB.基于路由VPN--2选1配置隧道接口(WebUI)：网络>接口>新建下拉框选择<隧道接口>B.基于路由VPN--2选1配置隧道接口(WebUI)：B.基于路由VPN创建到隧道接口的路由(WebUI)：网络>路由>目的路由>新建B.基于路由VPN创建到隧道接口的路由(WebUI)：B.基于路由VPN创建普通permit策略(WebUI)：根据tunnel接口绑定的安全域，需要添加相应安全策略，action为普通permit策略如需双向访问，需添加进站策略，按上图交换源、目的安全域即可B.基于路由VPN创建普通permit策略(WebUI)：如IPSecVPNLab服务器/数据库InternetLAN公司总部分支机构E0/1：/24PC1：0/24E0/0：/24E0/1：/24E0/0：/24Server1：0/24IPSecVPNLab服务器/数据库InternetLAVPN介绍Hillstone

IPSec

VPN配置基于策略VPN配置基于路由VPN配置LabHillstone

SSL

VPN配置SecureConnectVPNLab议程：VPN部署VPN介绍议程：VPN部署SCVPN概念为解决远程用户安全访问私网数据的问题，Hillstone系列安全网关提供基于SSL的远程登录解决方案——SecureConnectVPN，简称为SCVPN。InternetSSLVPNSSLVPN移动用户移动用户SCVPN概念为解决远程用户安全访问私网数据的问题，HillSCVPN基本配置步骤配置SCVPN，步骤包括：第一步，配置SCVPN地址池第二步，配置SCVPN实例第三步，创建三层安全域第四步，创建隧道接口第五步，创建VPN访问策略第六步，创建VPN登陆用户SCVPN基本配置步骤配置SCVPN，步骤包括：第一步，配置SCVPN地址池通过配置SCVPN地址池为VPN接入用户分配IP地址，地址池需配置网络中未使用网段。226第一步，配置SCVPN地址池通过配置SCVPN地址池为VPN第二步，配置SCVPN实例按照下图流程新建SCVPN实例，绑定出接口、地址池后点击确认。227待续第二步，配置SCVPN实例按照下图流程新建SCVPN实例，绑第二步，配置SCVPN实例（续）创建SCVPN实例后，编辑该实例，添加隧道路由和AAA服务器。228第二步，配置SCVPN实例（续）创建SCVPN实例后，编辑该第三步，新建安全域新建一个三层安全域，以便SCVPN隧道接口绑定并实施策略控制。229第三步，新建安全域新建一个三层安全域，以便SCVPN隧道接口第四步，创建隧道接口创建隧道接口，并按下图配置接口参数。230第四步，创建隧道接口创建隧道接口，并按下图配置接口参数。71第四步，创建VPN访问策略添加访问策略，允许通过SCVPN到内网的访问。231第四步，创建VPN访问策略添加访问策略，允许通过SCVPN到第五步，创建登陆用户账号创建SCVPN登陆账户，因本例中SCVPN实例使用local认证，所以需在AAA服务器local中添加用户。232第五步，创建登陆用户账号创建SCVPN登陆账户，因本例中SCSCVPN登陆SCVPN登陆登陆SCVPN用户可通过互联网测试SCVPN接入，开启浏览器，通过HTTPS方式访问SCVPN实例所绑定的设备外网接口IP，默认端口为4433234登陆SCVPN用户可通过互联网测试SCVPN接入，开启浏览器登陆SCVPN用户可通过互联网测试SCVPN接入，开启浏览器，通过HTTPS方式访问SCVPN实例所绑定的设备外网接口IP，默认端口为4433235登陆SCVPN用户可通过互联网测试SCVPN接入，开启浏览器登陆SCVPN236若浏览器阻挡ActiveX控件，请允许安装控件，以便安装SCVPN客户端插件。登陆SCVPN77若浏览器阻挡ActiveX控件，请允许安装登陆SCVPN237连接成功后在系统托盘可以看到绿色图标，双机该图标可以查看IP及路由分配状况登陆SCVPN78连接成功后在系统托盘可以看到绿色图标小结在本章中讲述了以下内容：VPN的概念如何配置基于策略的VPN如何配置基于路由的VPN如何配置SCVPN小结在本章中讲述了以下内容：QoS基本概念IPQoS应用QoS五、QoS流量管理QoS基本概念五、QoS流量管理为什么需要QoS大流量时关键应用运行受冲击带宽没有充分利用TCP突发特性不受控制大流量时关键应用运行受保护带宽充分利用TCP突发特性受到控制为什么需要QoS大流量时关键应用运行受冲击大流量时关键应用运IPQoS示例用户环境描述：出口带宽50Mbps，外网为E0/1接口内网连接两个网段：/24和/24用户需求描述：-00需限制其下载带宽为500K/IP，如出口带宽空闲时可最高到5M/IP，上传不做限制/24网段中每IP下载300K，上传整个网段共享10M241IPQoS示例用户环境描述：82第二步