Hillstone基本部署培训文档(WEB介绍)03版

Hillstone平安网关根本部署WEB介绍一、准备工作通过完成此章节课程，您将可以实现：完成设备根本管理搭建根本实验环境管理接口用户管理接口类型:CLI:ConsoleTelnetSSHWebUI:HTTPHTTPS不同管理方式支持本地与远程两种环境配置方法，可以通过CLI和WebUI两种方式进行配置支持Console、telnet、ssh、、s管理参数数值波特率9600bit/s数据位8停止位1校验/流控无参数数值接口Eth0/0用户名hillstone密码hillstone管理IP图形化管理界面-WebUI基于浏览器的WebUI管理方式简单灵活，可以完成常用的各种配置。准备工作：平安网关设备的e0/0接口配有默认IP地址，该接口的各种管理功能均为开启状态。初次使用可以通过该接口管理设备，具体操作为：将管理PC的IP地址设置为与同网段的IP地址，翻开PC的Web浏览器，输入设备默认管理员用户名及密码均为“hillstone”登陆后WebUI界面初始页面结构导航菜单设备面板的端口连接状态CPU、内存、会话数等设备运行情况设备根本信息，包括：序列号、运行时间、软件版本、AV及特征库版本等搭建根本实验环境根本配置步骤:配置接口配置默认路由配置允许访问策略1〕配置接口网络>接口

编辑网络>接口点击需配置接口右侧编辑按钮2〕配置默认路由网络>路由>目的路由

新建3〕配置上网策略防火墙>策略点击需配置接口右侧编辑按钮内部上网是从Trust到untrust的访问，因此创立从内到外的访问策略防火墙>策略点击需配置接口右侧编辑按钮“源地址”处选择要被限制的IP地址范围，假设选择“Any”那么会对经过设备的所有地址有效配置系统管理员系统管理平安网关设备由系统管理员〔Administrator〕管理、配置。系统管理员的配置包括创立管理员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。平安网关拥有一个默认管理员“hillstone”，用户可以对管理员“hillstone”进行编辑，但是不能删除该管理员。管理员分为读写执行权限管理员、只读执行权限管理员。配置系统管理员系统>设备管理>根本信息配置系统管理员系统>设备管理>根本信息新建配置文件管理系统>配置管理员可以导入、导出或者将系统恢复出厂配置当前配置窗口提供对current配置的Web方式查阅StoneOS升级通过WebUI升级StoneOS：系统>系统软件选择<上载新系统固件>单项选择按钮。选中<备份当前系统固件>复选框。系统将在上载的同时备份当前运行的StoneOS。如不选中该选项，系统将用新上载的StoneOS覆盖当前运行的StoneOS。点击『浏览』按钮并且选中要上载的StoneOS。点击『确定』按钮，系统开始上载指定的StoneOS。完成升级后，需要重启平安网关启动新升级的StoneOS。系统诊断工具〔WebUI〕系统>工具:平安网关提供根本的诊断工具方便，用户可以通过这些工具观察网络和路由是否连通。平安策略通过完成此章节课程，您将可以：理解平安策略的用途通过平安策略保护网络资源平安策略根底平安策略策略是网络平安设备的根本功能。默认情况下，平安设备会拒绝设备上所有平安域之间的信息传输。而策略那么通过策略规那么〔PolicyRule〕决定从一个平安域到另一个平安域的哪些流量该被允许，哪些流量该被拒绝。哪些网络流量可以允许通过？地址〔Address〕地址簿是StoneOS系统中用来储存IP地址范围与其名称的对应关系的数据库。地址簿中的IP地址与名称的对应关系条目被称作地址条目〔AddressEntry〕。地址条目的IP地址改变时，StoneOS会自动更新引用了该地址条目的模块。配置地址本〔WebUI〕对象>地址簿>新建配置地址本〔WebUI〕对象>地址簿>编辑效劳〔Service〕效劳〔Service〕：具有协议标准的信息流。效劳具有一定的特征，例如相应的协议、端口号等。效劳组：将一些效劳组织到一起便组成了效劳组。用户可以直接将效劳组应用到平安网关策略中，这样便简化了管理。系统预定义效劳对象>效劳簿>预定义>列出用户可以查看或修改系统预定义效劳，预定义效劳只提供对效劳超时时间进行修改。系统预定义效劳组对象>效劳组>预定义>列出用户可以查看系统预定义效劳组，预定义效劳组不可修改。用户自定义效劳除了使用StoneOS提供的预定义效劳以外，用户还可以很容易地创立自己的自定义效劳。用户自定义效劳可包含最多8条效劳条目。用户需指定的自定义效劳条目的参数包括：名称传输协议TCP或UDP类型效劳的源和目标端口号或者ICMP类型效劳的type和code值超时时间应用类型配置自定义效劳对象>效劳簿>自定义>新建配置效劳组对象>效劳簿>组>新建配置策略规那么〔WebUI〕平安>策略>列出配置策略规那么〔WebUI〕平安>策略>根本配置检查/移动策略规那么平安>策略>列出小结在本章中讲述了以下内容：平安策略的用途配置平安策略使用的地址薄配置效劳簿和效劳组配置平安策略保护网络资源源NAT目的NATNAT与相关策略网络地址转换源NAT配置例如配置SNAT步骤：第一步，配置源NAT规那么第二步，配置访问策略例如环境描述：系统部署模式为路由模式，外网接口为Eth0/4所有用户上网均需NAT成防火墙外网接口IP地址第一步，配置源NAT规那么创立源NAT规那么，将上网流量数据包源接口转换为外网IP。第二步，配置访问策略源NAT规那么只是定义了网络层面的转换，如需上网，那么要添加相应访问策略。源NAT目的NATNAT与相关策略议程：网络地址转换例如一端口映射DNAT〔VIP〕DMZ平安域有FTP效劳器和WEB效劳器，IP如以下图所示，现有公网IP地址可用，通过此IP将上述两效劳器发布。第一步，配置地址簿分别添加和、的地址簿。38第二步，配置目的NAT规那么添加端口映射的目的NAT策略，将访问到的FTP效劳的流量转到的21端口。39第二步，配置目的NAT规那么〔续〕添加端口映射的目的NAT策略，将访问到的HTTP效劳的流量转到的80端口。40第三步，配置访问策略上述NAT规那么已经定义了网络层面的对应关系，如需开放外网到效劳器的访问，需添加相应访问策略，策略目的IP为效劳器映射所对应的公网IP，如以下图依次添加untrust>dmz，目的IP为映射虚IP，效劳为FTP和HTTP的策略。41例如二IP映射〔MIP〕DMZ平安域有FTP效劳器和WEB效劳器，IP如以下图所示，现有公网IP地址和可用，通过IP映射将上述两效劳器发布。第一步，配置地址簿分别添加、和、的地址簿。43第二步，配置目的NAT规那么添加IP映射的目的NAT规那么，将访问到的流量转到，访问到的流量转到。44第三步，配置访问策略上述NAT规那么已经定义了网络层面的对应关系，如需开放外网到效劳器的访问，需添加相应访问策略，策略目的IP为效劳器映射所对应的公网IP，如以下图依次添加untrust>dmz，目的IP为映射虚IP〔〕的策略。45小结在本章中讲述了以下内容：NAT的分类源和目的NAT的应用QoS根本概念IPQoS应用QoSQoS流量管理为什么需要QoS大流量时关键应用运行受冲击带宽没有充分利用TCP突发特性不受控制大流量时关键应用运行受保护带宽充分利用TCP突发特性受到控制IPQoS例如用户环境描述：出口带宽50Mbps，外网为E0/1接口内网连接两个网段：和用户需求描述：需限制其下载带宽为500K/IP，如出口带宽空闲时可最高到5M/IP，上传不做限制网段中每IP下载300K，上传整个网段共享10M49第二步---指定接口带宽接口默认带宽为物理最高支持带宽而非ISP承诺带宽，用户需根据实际带宽值指定接口上/下行带宽。第三步---配置IPQoS策略限制每IP下载带宽500K，并在出口带宽空闲时允许突破500K/IP限制，每IP最大占用5M带宽。第三步---配置IPQoS策略〔续〕限制每IP下载带宽最大300K，上传整个网段最大占用10M带宽。显示已配置控制策略添加后策略会在IPQoS列表显示，如多条策略的IP地址范围重叠，请点击策略右侧箭头移动策略位置，从上至下第一条匹配到的策略生效。应用QoS应用QoS功能介绍基于应用的QoS可以实现保障关键应用的带宽或者限制非关键应用的带宽。应用QoS全局有效。可以实现基于时间表的应用QoS限制。应用QoS可以绑定在出接口和入接口。应用QoS可以实现上下行带宽独立限制。55应用QoS例如用户环境描述：出口带宽50Mbps，外网为E0/1接口，内网连接E0/0内网连接两个网段：和用户需求描述：P2P应用需限制其下行带宽为10M，上传最大5MHTTP和SMTP应用下载保障20M，上传保障10M56第二步---指定接口带宽57接口默认带宽为物理最高支持带宽而非ISP承诺带宽，用户需根据实际带宽值指定接口上/下行带宽。第三步---开启应用识别58防火墙默认不对带*号效劳做应用层识别，如需对BT、xunlei等应用做基于应用的QoS控制，需要开启外网平安域的应用识别功能。第四步---配置应用QoS策略59限制P2P应用下行带宽为1