hillstone培训-路由器部分

部署Hillstone安全网关宋正锟francisco.song.zk@日程安排准备工作设备的简单配置上网行为管理实验Q/A一.准备工作通过完成此章节课程，您将可以：了解设备管理方式完成基本上网配置管理接口用户管理接口类型:CLI:ConsoleTelnetSSHWebUI:HTTPHTTPS不同管理方式支持本地与远程两种环境配置方法，可以通过CLI和WebUI两种方式进行配置支持Console、telnet、ssh、http、https管理参数数值波特率9600bit/s数据位8停止位1校验/流控无参数数值接口Eth0/0用户名hillstone密码hillstone管理IP图形化管理界面-WebUI基于浏览器的WebUI管理方式简单灵活，可以完成常用的各种配置。准备工作：

安全网关设备的e0/0接口配有默认IP地址，该接口的各种管理功能均为开启状态。初次使用可以通过该接口管理设备，具体操作为：

将管理PC的IP地址设置为与/24同网段的IP地址，打开PC的Web浏览器，输入

设备默认管理员用户名及密码均为“hillstone”登陆后WebUI界面初始页面结构导航菜单设备面板的端口连接状态CPU、内存、会话数等设备运行情况设备基本信息，包括：序列号、运行时间、软件版本、AV及特征库版本等当前网络中占用带宽最多的IP排名CLI用户接口通过Console线连接PC的串口至安全网关的CON接口打开终端模拟器使用以下缺省账户登陆用户名:hillstone

密码:hillstoneCLI快捷键使用Tab自动补齐命令使用

?

查看帮助进入配置模式全局配置模式:全局配置模式允许用户修改安全网关的配置参数。用户在执行模式下，输入configure命令，可进入全局配置模式。该模式的提示符如下所示：

hostname(config)#子模块配置模式：安全网关的不同模块功能需要在其对应的命令行子模块模式下进行配置。用户在全局配置模式输入特定的命令可以进入相应的子模块配置模式。例如，运行interfaceethernet0/0命令进入ethernet0/0接口配置模式，此时的提示符变更为：

hostname(config-if-eth0/0)#初始基本配置基本配置步骤:配置接口配置默认路由配置允许访问策略1）配置接口（WebUI）网络>接口

编辑网络>接口点击需配置接口右侧编辑按钮2）配置默认路由（WebUI）网络>路由>目的路由

新建3）配置上网策略（WebUI）防火墙>策略点击需配置接口右侧编辑按钮内部上网是从Trust到untrust的访问，因此创建从内到外的访问策略防火墙>策略点击需配置接口右侧编辑按钮“源地址”处选择要被限制的IP地址范围，若选择“Any”则会对经过设备的所有地址有效小结在本章中讲述了以下内容：系统构件的功能完成基本上网配置问题1、如何通过浏览器对设备进行管理？2、如何开放内网用户上网的策略？密码策略WebUI：系统>设备管理>基本信息：

密码策略hillstone提供密码复杂度检测功能，可以通过启用此功能强制新建管理员账号的密码符合复杂度需求。

系统管理员系统管理安全网关设备由系统管理员（Administrator）管理、配置。系统管理员的配置包括创建管理员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。安全网关拥有一个默认管理员“hillstone”，用户可以对管理员“hillstone”进行编辑，但是不能删除该管理员。管理员分为读写执行权限管理员、只读执行权限管理员。配置系统管理员（WebUI）系统>设备管理>基本信息配置系统管理员（WebUI）系统>设备管理>基本信息新建可信主机可信主机安全网关使用可信主机来进一步保证系统安全。管理员可以指定一个IP地址范围，在该指定范围内的主机为可信主机。只有可信主机才可以对安全网关进行管理。配置可信主机（WebUI）系统>设备管理>可信主机管理接口安全网关支持的管理接口类型:Console、Telnet、SSH、WebUI自定义管理接口：各种访问方式的超时时间、端口号以及HTTPS的PKI信任域在一分钟内连续三次登录失败，系统会将登录失败的IP地址锁定两分钟。被锁定的IP地址在两分钟内不能建立与设备的连接配置管理接口（WebUI）系统>设备管理>用户接口配置文件管理配置文件：以命令行的格式保存安全网关的配置信息1台设备可最大支持保存10份配置配置文件中保存的用来初始化安全网关的配置信息称作起始配置信息，安全网关通过读取起始配置信息进行启动时的初始化工作；如果找不到起始配置信息，安全网关则使用安全网关的缺省参数初始化系统纪录最近十次保存的配置信息，最近一次保存的配置信息会纪录为系统的当前起始配置信息，当前系统配置信息以“current”作为标记；前九次的配置信息按照保存时间的先后以数字0到8作为标记。配置文件管理（WebUI）系统>配置管理员可以导入、导出或者将系统恢复出厂配置当前配置窗口提供对current配置的Web方式查阅StoneOS升级通过WebUI升级StoneOS：系统>系统软件选择<上载新系统固件>单选按钮。选中<备份当前系统固件>复选框。系统将在上载的同时备份当前运行的StoneOS。如不选中该选项，系统将用新上载的StoneOS覆盖当前运行的StoneOS。点击『浏览』按钮并且选中要上载的StoneOS。点击『确定』按钮，系统开始上载指定的StoneOS。完成升级后，需要重启安全网关启动新升级的StoneOS。系统时间安全网关的时间影响到VPN隧道的建立和时间表的时间，并且日志都是基于系统时间记录的，因此系统时间的精确性十分重要。安全网关支持两种设置时间的方式，分别是手动设置和通过NTP与服务器同步。系统时间（WebUI）手动设置系统时间:系统>日期/时间可以手动设置系统时间，或者点击“同步”按钮通过浏览器获取管理员本地电脑时间。系统诊断工具（WebUI）系统>工具:安全网关提供基本的诊断工具方便，用户可以通过这些工具察看网络和路由是否连通。小结在本章中讲述了以下内容配置系统管理员/可信主机配置管理接口配置文件管理StoneOS版本升级配置系统时间系统诊断工具问题1、如何回退到以前保存的配置？2、升级系统Image（StoneOS）的方法？五.基本安全策略通过完成此章节课程，您将可以：理解安全策略的用途通过安全策略保护网络资源IP-MAC绑定为加强网络安全控制，安全网关支持IP-MAC地址绑定、MAC-端口绑定以及IP-MAC-端口绑定。这些绑定信息分为静态和动态两种。通过ARP学习功能、ARP扫描功能以及MAC学习功能获得绑定信息为动态绑定信息；而手工配置的绑定信息为静态信息。同时，安全网关还具有ARP检查功能。IP-MAC绑定安全>IP-MAC>静态绑定小结在本章中讲述了以下内容：基于时间表配置安全策略配置网络攻击防护配置主机防御及IP-MAC绑定七.日志报表通过完成此章节课程，您将可以：熟悉日志分类及日志的管理熟悉安全网关产品的历史统计报表功能日志类型事件日志EventLog告警日志AlarmLog安全日志securityLog配置日志ConfigurationLog网络日志NetworkLog流量日志TrafficLog日志输出Console终端（Remote）内存缓存（Buffer