Hillstone基本部署培训文档

安全网关基本部署成都办事处向明旺第一页，共八十八页。日程安排产品简介准备工作安全策略网络地址转换流量管理报表统计第二页，共八十八页。一、产品简介系统简介功能组件接口、安全域、、、防火墙策略功能介绍交换&路由

防火墙策略控制

（扛攻击）

注意：以上所列出的通用功能在所有硬件平台及版本上均支持，前提是具备相应的。第三页，共八十八页。报文处理流程系统架构第四页，共八十八页。报文处理流程系统架构第五页，共八十八页。防火墙报文处理流程接口和安全域绑定关系第六页，共八十八页。报文处理流程接口和安全域绑定应用案例第七页，共八十八页。报文处理流程第八页，共八十八页。二、准备工作通过完成此章节课程，您将可以实现：完成设备基本管理搭建基本实验环境第九页，共八十八页。管理接口用户管理接口类型::

:第十页，共八十八页。不同管理方式支持本地与远程两种环境配置方法，可以通过和两种方式进行配置支持、、、、管理参数数值波特率9600数据位8停止位1校验/流控无参数数值接口0/0用户名密码管理192.168.1.1第十一页，共八十八页。图形化管理界面基于浏览器的管理方式简单灵活，可以完成常用的各种配置。准备工作：安全网关设备的e0/0接口配有默认地址192.168.1.1，该接口的各种管理功能均为开启状态。初次使用可以通过该接口管理设备，具体操作为：将管理的地址设置为与192.168.1.1/24同网段的地址，打开的浏览器，输入设备默认管理员用户名及密码均为“”登陆后第十二页，共八十八页。界面初始页面结构导航菜单设备面板的端口连接状态、内存、会话数等设备运行情况设备基本信息，包括：序列号、运行时间、软件版本、及特征库版本等第十三页，共八十八页。搭建基本实验环境基本配置步骤:配置接口配置默认路由配置允许访问策略第十四页，共八十八页。1）配置接口网络>接口编辑网络>接口点击需配置接口右侧编辑按钮第十五页，共八十八页。2）配置默认路由网络>路由>目的路由新建第十六页，共八十八页。3）配置上网策略防火墙>策略点击需配置接口右侧编辑按钮内部上网是从到的访问，因此创建从内到外的访问策略防火墙>策略点击需配置接口右侧编辑按钮“源地址”处选择要被限制的地址范围，若选择“”则会对经过设备的所有地址有效第十七页，共八十八页。配置系统管理员系统管理安全网关设备由系统管理员（）管理、配置。系统管理员的配置包括创建管理员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。安全网关拥有一个默认管理员“”，用户可以对管理员“”进行编辑，但是不能删除该管理员。管理员分为读写执行权限管理员、只读执行权限管理员。第十八页，共八十八页。配置系统管理员系统>设备管理>基本信息第十九页，共八十八页。配置系统管理员系统>设备管理>基本信息新建第二十页，共八十八页。配置文件管理系统>配置管理员可以导入、导出或者将系统恢复出厂配置当前配置窗口提供对配置的方式查阅第二十一页，共八十八页。升级通过升级：系统>系统软件选择<上载新系统固件>单选按钮。选中<备份当前系统固件>复选框。系统将在上载的同时备份当前运行的。如不选中该选项，系统将用新上载的覆盖当前运行的。点击『浏览』按钮并且选中要上载的。点击『确定』按钮，系统开始上载指定的。完成升级后，需要重启安全网关启动新升级的。第二十二页，共八十八页。系统诊断工具（）系统>工具:安全网关提供基本的诊断工具，方便用户可以通过这些工具察看网络和路由是否连通。第二十三页，共八十八页。三、安全策略通过完成此章节课程，您将可以：理解安全策略的用途通过安全策略保护网络资源第二十四页，共八十八页。安全策略基础安全策略策略是网络安全设备的基本功能。默认情况下，安全设备会拒绝设备上所有安全域之间的信息传输。而策略则通过策略规则（）决定从一个安全域到另一个安全域的哪些流量该被允许，哪些流量该被拒绝。哪些网络流量可以允许通过？第二十五页，共八十八页。防火墙的核心功能组件会话状态表五元组：源IP源端口目的IP目的端口传输协议安全策略五元组：源IP源安全域目的IP目的安全域服务传输协议+端口第二十六页，共八十八页。防火墙综合技术原理策略控制：会话检测：对防火墙在不同安全域或安全级别之间的访问配置相应的策略规则后，数据报文入防火墙时防火墙会基于五元组去查询与之匹配的策略规则（每种报文只会匹配一次，如所有的规则都不匹配则匹配默认的策略规则），然后执行规则中定义的相应动作（）。对于已经成功建立的会话，防火墙会为之建立会话表，以记录报文的相关信息（五元组），新的报文进入防火墙之后防火墙会先查询是否有与之相匹配的会话条目，如有则直接按会话状态走处理，以节约等资源。如不是已经存在的会话，则查询策略规则并安装会话状态表，以便快速处理后续同一会话的其它报文。第二十七页，共八十八页。地址（）地址簿是系统中用来储存地址范围与其名称的对应关系的数据库。地址簿中的地址与名称的对应关系条目被称作地址条目（）。地址条目的地址改变时，会自动更新引用了该地址条目的模块。第二十八页，共八十八页。配置地址本（）对象>地址簿>新建地址薄名称地址薄成员第二十九页，共八十八页。配置地址本（）对象>地址簿>编辑地址薄成员第三十页，共八十八页。服务（）服务（）：具有协议标准的信息流。服务具有一定的特征，例如相应的协议、端口号等。服务组：将一些服务组织到一起便组成了服务组。用户可以直接将服务组应用到安全网关策略中，这样便简化了管理。第三十一页，共八十八页。系统预定义服务对象>服务簿用户可以查看或修改系统预定义服务，预定义服务只提供对服务超时时间进行修改。第三十二页，共八十八页。系统预定义服务组对象>服务薄用户可以查看系统预定义服务组，预定义服务组不可修改。第三十三页，共八十八页。用户自定义服务除了使用提供的预定义服务以外，用户还可以很容易地创建自己的自定义服务。用户自定义服务可包含最多8条服务条目。用户需指定的自定义服务条目的参数包括：名称传输协议或类型服务的源和目标端口号或者类型服务的和值超时时间应用类型第三十四页，共八十八页。配置自定义服务对象>服务簿>自定义服务>新建服务名称协议源、目的端口第三十五页，共八十八页。配置服务组对象>服务簿>自定义服务组第三十六页，共八十八页。配置策略规则（）防火墙>策略第三十七页，共八十八页。配置策略规则（）安全>策略第三十八页，共八十八页。检查/移动策略规则安全>策略第三十九页，共八十八页。小结在本章中讲述了以下内容：安全策略的用途配置安全策略使用的地址薄配置服务簿和服务组配置安全策略保护网络资源第四十页，共八十八页。源目的与相关策略四、网络地址转换第四十一页，共八十八页。源配置示例配置步骤：第一步，配置源规则第二步，配置访问策略示例环境描述：系统部署模式为路由模式，外网接口为0/4所有用户上网均需成防火墙外网接口地址第四十二页，共八十八页。第一步，配置源规则创建源规则，将上网流量数据包源接口转换为外网。第四十三页，共八十八页。第二步，配置访问策略源规则只是定义了网络层面的转换，如需上网，则要添加相应访问策略。第四十四页，共八十八页。源目的与相关策略议程：网络地址转换第四十五页，共八十八页。示例一端口映射（）安全域有服务器和服务器，如下图所示，现有公网地址202.1.1.3可用，通过此将上述两服务器发布。第四十六页，共八十八页。第一步，配置地址簿分别添加202.1.1.3和10.1.2.10、10.1.2.11的地址簿。47第四十七页，共八十八页。第二步，配置目的规则添加端口映射的目的策略，将访问到202.1.1.3的服务的流量转到10.1.2.10的21端口。第四十八页，共八十八页。第二步，配置目的规则（续）添加端口映射的目的策略，将访问到202.1.1.3的服务的流量转到10.1.2.11的80端口。第四十九页，共八十八页。第三步，配置访问策略上述规则已经定义了网络层面的对应关系，如需开放外网到服务器的访问，需添加相应访问策略，策略目的为服务器映射所对应的公网，如下图依次添加>，目的为映射虚，服务为和的策略。第五十页，共八十八页。示例二映射（）安全域有服务器和服务器，如下图所示，现有公网地址202.1.1.4和202.1.1.5可用，通过映射将上述两服务器发布。第五十一页，共八十八页。第一步，配置地址簿分别添加202.1.1.4、202.1.1.5和10.1.2.10、10.1.2.11的地址簿。52第五十二页，共八十八页。第二步，配置目的规则添加映射的目的规则，将访问到202.1.1.4的流量转到10.1.2.10，访问到202.1.1.5的流量转到10.1.2.11。53第五十三页，共八十八页。第三步，配置访问策略上述规则已经定义了网络层面的对应关系，如需开放外网到服务器的访问，需添加相应访问策略，策略目的为服务器映射所对应的公网，如下图依次添加>，目的为映射虚（202.1.1.4/202.1.1.5）的策略。54第五十四页，共八十八页。小结在本章中讲述了以下内容：的分类源和目的的应用第五十五页，共八十八页。基本概念

应用五、流量管理第五十六页，共八十八页。为什么需要大流量时关键应用运行受冲击带宽没有充分利用突发特性不受控制大流量时关键应用运行受保护带宽充分利用突发特性受到控制第五十七页，共八十八页。

第五十八页，共八十八页。功能介绍基于的可以实现保障关键网段的带宽或者限制非关键网段的带宽。全局有效。可以实现基于时间表的限制。可以绑定在出接口和入接口。可以实现上下行带宽独立限制。59第五十九页，共八十八页。示例用户环境描述：出口带宽50，外网为E0/1接口内网连接两个网段：172.16.1.0/24和192.168.1.0/24用户需求描述：172.16.1.1-172.16.1.100需限制其下载带宽为500，如出口带宽空闲时可最高到5，上传不做限制192.168.1.0/24网段中每下载300K，上传整个网段共享10M60第六十页，共八十八页。第二步指定接口带宽接口默认带宽为物理最高支持带宽而非承诺带宽，用户需根据实际带宽值指定接口上/下行带宽。第六十一页，共八十八页。第三步配置策略限制172.16.1.1-100每下载带宽500K，并在出口带宽空闲时允许突破500限制，每最大占用5M带宽。第六十二页，共八十八页。第三步配置策略（续）限制192.168.1.0/24每下载带宽最大300K，上传整个网段最大占用10M带宽。第六十三页，共八十八页。显示已配置控制策略添加后策略会在列表显示，如多条策略的地址范围重叠，请点击策略右侧箭头移动策略位置，从上至下第一条匹配到的策略生效。第六十四页，共八十八页。应用第六十五页，共八十八页。应用功能介绍基于应用的可以实现保障关键应用的带宽或者限制非关键应用的带宽。应用全局有效。可以实现基于时间表的应用限制。应用可以绑定在出接口和入接口。应用可以实现上下行带宽独立限制。66第六十六页，共八十八页。应用示例用户环境描述：出口带宽50，外网为E0/1接口，内网连接E0/0内网连接两个网段：172.16.1.0/24和192.168.1.0/24用户需求描述：P2P应用需限制其下行带宽为10M，上传最大5M和应用下载保障20M，上传保障10M67第六十七页，共八十八页。第二步指定接口带宽68接口默认带宽为物理最高支持带宽而非承诺带宽，用户需根据实际带宽值指定接口上/下行带宽。第六十八页，共八十八页。第三步开启应用识别69防火墙默认不对带*号服务做应用层识别，如需对、等应用做基于应用的控制，需要开启外网安全域的应用识别功能。第六十九页，共八十八页。第四步配置应用策略70限制P2P应用下行带宽为10M，上传最大5M。第七十页，共八十八页。第四步配置应用策略（续）71和应用上行保障10M。第七十一页，共八十八页。第四步配置应用策略（续）72和应用下行保障20M。保证带宽功能为出接口工具，所以对下载流量保证带宽需要配置在内网接口保证上行带宽。第七十二页，共八十八页。显示已配置控制策略73添加后策略会在应用列表显示，如多条策略的应用重叠，请点击策略右侧箭头移动策略位置，从上至下第一条匹配到的策略生效。第七十三页，共八十八页。小结在本章中讲述了以下内容：基本概念基于配置基于应用配置第七十四页，共八十八页。六、报表统计报表统计功能简介：可统计的数据类型流量、会话、新建会话数速率、攻击速率、病毒个数、入侵次数、命中次数、关键字阻断次数和应用阻断次数支持的数据组织方式、接口、安全域、攻击类型、应用、病毒、用户、特征、、类别、关键字和阻断类型第七十五页，共八十八页。统计集功能介绍的统计集功能允许用户查看实时的或者一定统计周期内（5分钟或者24小时）基于不同统计数据类型（如带宽、会话、新建会话数速率、攻击速率和病毒个数）以及数据组织方式（如、接口、安全域、攻击类型、应用、病毒和用户）的系统统计信息，并且可以根据不同需求过滤统计信息，从而帮助用户更加详细和精确地了解系统的资源分配及网络安全状态。76第七十六页，共八十八页。预定义统计集第七十七页，共八十八页。启用预定义统计集系统已经预置常见的统计集供用户选择启用，启用统计集按照右图流程勾选相应统计集并启用即可。78第七十八页，共八十八页。查看统计