Hillstone山石网科基础配置手册5.0
Hillstone山石网科基础配置手册5.0
Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS(TFTP) (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (11)基础上网配置介绍 (11)接口配置 (11)路由配置 (12)策略配置 (14)源NAT配置 (15)第3章常用功能配置 (17)常用配置介绍 (17)PPPoE配置 (17)DHCP配置 (19)IP-MAC绑定配置 (21)端到端IPsec VPN配置 (23)SCVPN配置 (30)DNAT配置 (37)一对一IP映射 (38)一对一端口映射 (40)多对多端口映射 (43)一对多映射(服务器负载均衡) (46)第4章链路负载均衡 (48)链路负载均衡介绍 (48)基于目的路由的负载均衡 (49)基于源路由的负载均衡 (50)智能链路负载均衡 (50)第5章QoS配置 (53)QoS介绍 (53)IP QoS配置 (53)应用QoS配置 (55)混合QoS配置 (58)QoS白名单配置 (59)第6章网络行为控制 (60)URL过滤(有URL许可证) (60)配置自定义URL库 (63)URL过滤(无URL许可证) (64)网页关键字过滤 (65)网络聊天控制 (69)第7章VPN高级配置 (72)基于USB Key的SCVPN配置 (72)新建PKI信任域 (72)配置SCVPN (77)制作USB Key (78)使用USB Key方式登录SCVPN (80)PnPVPN (82)用户配置 (83)IKE VPN配置 (84)隧道接口配置 (88)路由配置 (88)策略配置 (89)PnPVPN客户端配置 (90)第8章高可靠性 (92)高可靠性介绍 (92)高可靠性配置 (93)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册,对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍,帮助用户快速掌握安全网关的WebUI配置。
山石网科 Hillstone山石网科 下一代防火墙 配置指南说明书
Hillstone山石网科下一代防火墙基础配置手册V5.5版本Hillstone Networks Inc.服务热线:400 828 6655内容提交人审核人更新内容日期陈天骄陈天骄初次编写2016/1/14目录1 设备管理 (3)1.1 终端console登录 (3)1.2 网页WebUI登录 (3)1.3 恢复出厂设置 (5)1.3.1 CLI命令行操作 (5)1.3.2 WebUI图形化界面操作 (5)1.3.3 硬件CLR操作 (6)1.4 设备系统(StoneOS)升级 (6)1.4.1 通过sysloader升级 (6)1.4.2 通过CLI升级 (9)1.4.3 通过WebUI升级 (9)1.5 许可证安装 (10)1.5.1 CLI命令行安装 (10)1.5.2 WebUI安装 (11)2 基础上网配置 (11)2.1 接口配置 (11)2.2 路由配置 (13)2.3 策略配置 (14)2.4 源地址转换配置(SNAT) (15)3 常用功能配置 (16)3.1 PPPoE拨号配置 (16)3.2 动态地址分配(DHCP)配置 (17)3.3 IP-MAC地址绑定配置 (20)3.4 端到端IPSec VPN配置 (21)3.4.1 配置第一阶段P1提议 (22)3.4.2 配置ISAKMP网关 (23)3.4.3 配置第二阶段P2提议 (24)3.4.4 配置隧道 (25)3.4.5 配置隧道接口 (26)3.4.6 配置隧道路由和策略 (28)3.4.7 查看VPN状态 (29)3.5 远程接入SCVPN配置 (30)3.6 目的地址转换DNAT配置 (38)3.6.1 IP映射 (39)3.6.2 端口映射 (41)1设备管理安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。
CLI同时支持Console、Telnet、SSH等主流通信管理协议。
1 第一章 课程介绍 v5.0c1
HCSA
HCSP
HCSE
Hillstone Certified Security Associate
• 笔试 • 考试题型,选择题 • 选择题(单选、多选) 70题 • 考试时间,90分钟 • 考试通过分数 ,70% • 认证前提条件,无 • 证书有效期,2年 • 通过此认证验证考生的基础路由交换知识、基础网络安 全知识、基础VPN及QoS等知识
第一章 课程介绍 training@
章节目标
• 通过完成此章节课程,您将可以:
– 了解Hillstone网络安全认证面向的人群,需要具 备的前提条件,认证的目标 – 了解Hillstone认证的课程内容 – 了解Hillstone认证体系
课程内容
• • • • • • • • • • • 第一章 第二章 第三章 第四章 第五章 第六章 第七章 第八章 第九章 第十章 第十一章 课程介绍 安全架构 搭建实验环境 系统管理 工作模式 安全策略基础 网络地址转换(NAT) 安全策略高级特性 日志报表 流量管理 VPN
课程的预备知识
• 学习此课程需要了解以下基本网络知识和经验:
• Internet • 网络基本概念 – TCP/IP – Bridging, Switching, and Routing
课程资源
•
•
在线资源 在线文档 手册文档 安装手册 使用手册 命令手册
认证体系
认证课程
培训课程
培训类型 课程编号 课程 时间
HCSA - Hillstone 认证安全工 HS-101 程师 HCSP - Hillstone 认证资深安 HS-201 全工程师 HS-202 HS-203 HCSE - Hillstone 认证安全专 HS-301 家 HCSS - Hillstone 认证安全销 HS-601 售
StoneOS SNMP 私有 MIB 信息参考 指南说明书
StoneOS SNMP私有MIB信息参考指南Version 5.5R6P20M13Copyright2022Hillstone Networks Inc.All rights reserved.Information in this document is subject to change without notice.The software described in this document is furnished under a license agreement or nondisclosure agreement.The software may be used or copied only in accordance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks Inc.Hillstone Networks Inc本文档禁止用于任何商业用途。
联系信息公司总部(北京总部):地址:北京市海淀区宝盛南路1号院20号楼5层邮编:100192联系我们:https:///about/contact_Hillstone.html关于本手册本手册介绍Hillstone Networks公司的防火墙系统StoneOS所支持的MIB版本等信息。
Hillstone山石网科基础配置手册50
Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS(TFTP) (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (42)一对多映射(服务器负载均衡) (45)第4章链路负载均衡 (47)链路负载均衡介绍 (47)基于目的路由的负载均衡 (48)基于源路由的负载均衡 (49)智能链路负载均衡 (49)第5章QoS配置 (52)QoS介绍 (52)IP QoS配置 (52)应用QoS配置 (54)混合QoS配置 (57)QoS白名单配置 (58)第6章网络行为控制 (59)URL过滤(有URL许可证) (59)配置自定义URL库 (62)URL过滤(无URL许可证) (63)网页关键字过滤 (64)网络聊天控制 (68)第7章VPN高级配置 (71)基于USB Key的SCVPN配置 (71)新建PKI信任域 (71)配置SCVPN (76)制作USB Key (77)使用USB Key方式登录SCVPN (79)PnPVPN (81)用户配置 (82)IKE VPN配置 (83)隧道接口配置 (87)路由配置 (88)策略配置 (89)PnPVPN客户端配置 (90)第8章高可靠性 (92)高可靠性介绍 (92)高可靠性配置 (93)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册,对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍,帮助用户快速掌握安全网关的WebUI配置。
山石网科集中安全管理平台(HSM)版本说明说明书
Version4.16.0版本说明本文档包含HSM4.2.0及以后各版本的新增功能、已知问题等内容。
l HSM4.16.0l HSM4.15.0l HSM4.14.0l HSM4.13.0l HSM4.11.0l HSM4.10.0l HSM4.8.0l HSM4.7.0l HSM4.6.0l HSM4.5.0l HSM4.4.0l HSM4.3.0l HSM4.2.0HSM4.16.0本节为HSM4.16.0的版本说明。
产品和版本信息产品名称:山石网科集中安全管理平台(HSM)产品型号:HSM-50、HSM-100-D4、HSM-200、HSM-500-D4、vHSM 软件名称:HSM pro4.16.0发布日期:2022年5月12日适用StoneOS版本:l StoneOS5.5R9和5.5R8支持除了IPS特征库下发以外的所有功能;l StoneOS5.5R7支持HSM的全部功能;l StoneOS5.0R3F5、5.0R4P6支持HSM除2.5R2及更高版本新增功能外的所有功能;l StoneOS4.5R4、5.0R3支持除配置管理和2.5R2及更高版本新增功能外的所有功能(监控功能为受限支持);l StoneOS4.5R1至4.5R3版本支持注册以及查看设备信息。
适用产品型号:l SG-6000K系列、E系列、X系列、G系列、M系列、T系列、NIP(D)S、ADC、WAF、BDS产品l云•界CloudEdge产品系统文件版本升级说明l vHSM不支持从2.5R3升级到2.5R4P2,但支持从2.5R4升级到2.5R4P1和2.5R4P2。
兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试:l IE11l Chrome新增功能HSM4.15.0本节为HSM4.15.0的版本说明。
产品和版本信息产品名称:山石网科集中安全管理平台(HSM)产品型号:HSM-50、HSM-100-D4、HSM-200、HSM-500-D4、vHSM 软件名称:HSM pro4.15.0发布日期:2022年3月4日适用StoneOS版本:l StoneOS5.5R9和5.5R8支持除了IPS特征库下发以外的所有功能;l StoneOS5.5R7支持HSM的全部功能;l StoneOS5.0R3F5、5.0R4P6支持HSM除2.5R2及更高版本新增功能外的所有功能;l StoneOS4.5R4、5.0R3支持除配置管理和2.5R2及更高版本新增功能外的所有功能(监控功能为受限支持);l StoneOS4.5R1至4.5R3版本支持注册以及查看设备信息。
山石网科集中安全管理平台(HSM)版本说明说明书
Version5.3.1版本说明本文档包含HSM5.0.0及以后各版本的版本说明,主要介绍了新增功能,已知问题及已解决问题等内容。
l HSM5.3.1l HSM5.3.0l HSM5.2.0l HSM5.1.0l HSM5.0.0HSM5.3.1本节为HSM5.3.1的版本说明。
产品和版本信息产品名称:山石网科集中安全管理平台(HSM)产品型号:HSM-P100、HSM-P3000、vHSM软件名称:HSMpro2.0-5.3.1发布日期:2022年9月27日适用产品型号:l HSM支持纳管SG-6000A系列、E系列、X系列、K系列、T系列、SDW系列。
注意:若需使用HSM纳管上述型号的防火墙设备,请保证其软件版本为StoneOS5.5R4及以上。
系统文件注意:若需为vHSM获取5.3.1版本的系统文件,即.ova、.qcow2和.vmdk格式的系统文件,请联系山石网科工作人员。
版本升级说明山石网科集中安全管理平台(HSM)不支持从4.X版本升级到5.3.1版本。
兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试:l Edge80及以上l Chrome80及以上新增功能已知问题HSM5.3.0本节为HSM5.3.0的版本说明。
产品和版本信息产品名称:山石网科集中安全管理平台(HSM)产品型号:HSM-P100、HSM-P3000、vHSM软件名称:HSMpro2.0-5.3.0发布日期:2022年8月4日适用StoneOS版本:l建议使用最新的StoneOS5.5R9P2、5.5R9F1,支持HSM的大部分功能;适用产品型号:l SG-6000A系列、E系列、X系列、K系列、T系列、SDW系列。
系统文件版本升级说明山石网科集中安全管理平台(HSM)不支持从4.X版本升级到5.3.0版本。
兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试:l Edge80及以上l Chrome80及以上新增功能已知问题HSM5.2.0本节为HSM5.2.0的版本说明。
Hillstone山石网科基础配置手册.
Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS(TFTP) (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (41)一对多映射(服务器负载均衡) (44)第4章链路负载均衡 (46)链路负载均衡介绍 (46)基于目的路由的负载均衡 (47)基于源路由的负载均衡 (48)智能链路负载均衡 (48)第5章QoS配置 (51)QoS介绍 (51)IP QoS配置 (51)应用QoS配置 (53)混合QoS配置 (56)QoS白名单配置 (57)第6章网络行为控制 (58)URL过滤(有URL许可证) (58)配置自定义URL库 (61)URL过滤(无URL许可证) (62)网页关键字过滤 (63)网络聊天控制 (67)第7章VPN高级配置 (70)基于USB Key的SCVPN配置 (70)新建PKI信任域 (70)配置SCVPN (75)制作USB Key (76)使用USB Key方式登录SCVPN (78)PnPVPN (80)用户配置 (81)IKE VPN配置 (82)隧道接口配置 (86)路由配置 (87)策略配置 (88)PnPVPN客户端配置 (89)第8章高可靠性 (91)高可靠性介绍 (91)高可靠性配置 (92)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册,对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍,帮助用户快速掌握安全网关的WebUI配置。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第2章:基础上网配置。介绍接口、路由、策略等基本上网配置。
第3章:常用功能配置。介绍PPPoE拨号、动态地址分配DHCP、DNAT等配置。
第4章:链路负载均衡。介绍基于目的路由、源路由、策略路由的流量负载配置等。
第5章:QoS配置。介绍QoS功能及配置。
4.系统重启后即出厂配置恢复完毕。
通过
通过WebUI恢复出厂配置,请按照以下步骤进行操作:
1.通过WebUI方式登录StoneOS,从工具栏的<系统管理>下拉菜单选择『配置备份还原』。如下图所示:
2.在弹出的<系统配置备份还原向导>对话框,选择<恢复出厂配置>单选按钮,并点击『下一步』按钮。
3.选择是否重启设备。为使配置生效,用户需重新启动设备。选择<是,立即重新启动设备>单选按钮,并点击『完成』按钮。
StoneOS
通过网络迅速升级
Sysloader可以从TFTP服务器获取StoneOS,从而保证用户能够通过网络迅速升级StoneOS。请按照以下步骤进行操作:
1.给设备上电根据提示按ESC键并且进入Sysloader。参照以下操作提示:
HILLSTONE NETWORKS
Hillstone Bootloader1.3.2Aug 14 2008-19:09:37
4.点击『下一步』。根据需要,选择<是,立即重新启动设备>单选按钮,并点击『完成』按钮。为使配置生效,用户需重新启动设备。
注意:如果选择暂不重新启动设备,将会在下次重新启动设备后加载新版本StoneOS。
许可证安装
通过
通过CLI使用命令安装许可证,请按照以下步骤进行操作:
1.登录StoneOS,在执行模式下,使用exec license installlicense-string命令(license-string–要安装的许可证字符串。输入“license:”后的字符串)。如下图所示:
优先权:该参数取值越小,优先级越高,而在有多条路由选择的时候,优先级高的路由会被优先使用。取值范围是1到255,默认值为1。当优先级为255时,该路由无效。
路由权值:路由权值决定负载均衡中流量转发的比重。范围是1到255,默认值是1。
Filename :StoneOS-3.5R2(输入StoneOS名称并敲回车键,系统开始通过TFTP获取StoneOS)
################################################################################################################################################
DRAM: 2048 MB
BOOTROM: 512 KB
Press ESC to stop autoboot: 4(5秒倒计时结束前按“ESC”键)
Run on-board sysloader? [y]/n:y(键入字母“y”或者敲回车键)
Loading: ##########################
Local ip address [ ]:10.2.2.10/16(输入Sysloader的IP地址并敲回车键)
Server ip address [ ]:10.2.2.3(输入TFTP服务器的IP地址并敲回车键)
Gateway ip address [ ]:10.2.2.1(如果Sysloader与TFTP服务器的IP地址不属于同一个网段,输入网关的IP地址并敲回车键;否则直接敲回车键)
Hillstone山石网科多核安全网关
基础配置手册
version5.0
关于本手册
手册内容
本手册为Hillstone山石网科多核安全网关的基础配置手册,对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍,帮助用户快速掌握安全网关的WebUI配置。适用于StoneOS5.0以及以上版本。具体内容包括:
第
设备管理
为方便管理员管理与配置,安全网关支持本地(Console口)与远程(Telnet、SSH、HTTP以及HTTPS)两种环境配置方法,可以通过CLI和WebUI两种方式进行配置。
终端
通过Console口,用户可登录安全网关设备的CLI,从而使用命令行对设备进行配置。在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与安全网关的连接。按照表1配置终端参数:
2.从Sysloader的操作选择菜单选择通过TFTP升级StoneOS。参照以下操作提示:
Sysloader1.2.13 Aug 14 2008 - 16:53:42
1 Load firmware via TFTP
2 Load firmware via FTP
3 Load firmware from USB disks (not available)
说明:为用户提供有助于理解内容的说明信息。
注意:如果该操作不正确,会导致系统出错。
『』:用该方式表示Hillstone设备WebUI界面上的链接、标签或者按钮。例如,“点击『登录』按钮进入Hillstone设备的主页”。
< >:用该方式表示WebUI界面上提供的文本信息,包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。例如,“改变MTU值,选中<手动>单选按钮,然后在文本框中输入合适的值”。
4.点击目的路由列表左上角的『新建』按钮,弹出<目的路由配置>对话框,在该对话框对目的路由进行编辑:
目的地:指定路由条目的目的IP。
子网掩码:指定路由条目的目的IP对应的子网掩码。
下一跳:指定下一跳类型,选中<网关>或<接口>单选按钮。若选择<网关>,需在<网关>文本框中输入网关IP地址。若选择<接口>,需在<接口>下拉菜单中选择接口名称。如果该接口为tunnel的时候,需要在可选栏输入tunnel对端的网关地址。如:下一跳网关指定为122.193.30.97(由运营商提供网关地址)。
提示:如果外网接口使用PPPoE拨号方式接入,关于接口的配置请参阅PPPoE配置。
路由配置
路由配置,请按照以下步骤进行操作:
1.通过WebUI方式登录StoneOS,从页面左侧导航树选择并点击“配置->网络->路由”,进入路由页面。
2.点击『目的路由』标签,进入目的路由页面。
3.从<虚拟路由器>下拉菜单选择一个VR,新建的路由将属于该VR,默认为“trust-vr”。
4 Select backup firmware as active
5 Show on-board firmware
6 Reset
Please select:1(在此处键入“1”并敲回车键)
3.确保设备与控制主机的连通性,并将需升级的StoneOS拷贝到指定目录下。
4.依次配置Sysloader的IP地址、TFTP服务器的IP地址、网关IP地址以及StoneOS名称。参照以下操作提示:
2.根据系统提示重启后即完成许可证安装。
通过
通过WebUI安装许可证,请按照以下步骤进行操作:
1.通过WebUI方式登录StoneOS,从工具栏的<系统管理>下拉菜单选择『许可证』。如下图所示:
2.在弹出的<许可证>对话框中,许可证列表可查看当前系统许可证的类型和有效时间。
3.在<许可证安装>处,用户可根据需要,选择手动输入许可证请求或选择上传本地文件。
上传许可证文件:选中<上传许可证文件>单选按钮(许可证为纯文本.txt文件),点击『浏览』按钮,并且选中许可证文件;
手动输入:选中<手动输入>单选按钮,然后将许可证字符串内容(包含“license:”及之后内容)输入到对应的文本框。
4.点击『确定』按钮保存所做配置,并且重启设备完成许可证的安装。
基础上网配置
3.在弹出的<接口配置>对话框对接口进行编辑:
绑定安全域:指定接口的安全域类型。三层接口选择三层安全域,二层接口选择二层安全域;
安全域:选择安全域名称。一般情况下,内网选择trust或l2-trust;外网选择untrust或l2-untrust。
IP配置:为接口配置IP地址相关信息。
管理方式:指定接口的管理方式。在<管理方式>部分选中需要的管理方式的复选框。
第6章:网络行为控制配置。介绍URL过滤、网页关键字以及网络聊天控制配置。
第7章:VPN高级配置。介绍基于USB Key的SCVPN配置以及PnPVPN配置。
第8章:高可靠性。介绍高可靠性(HA)的配置。
手册约定
为方便用户阅读与理解,本手册遵循以下约定:
内容约定
本手册内容约定如下:
提示:为用户提供相关参考信息。
表1:配置终端参数
参数
数值
波特率
9600 bit/s
数据位
8
奇偶校验
无
停止位
1
WebUI
WebUI是最方便、直观、简单的配置方式,WebUI同时支持http和https两种访问方式。安全网关的ethernet0/0接口配有默认IP地址192.168.1.1/24,初次使用安全网关时,用户可以通过该接口访问安全网关的WebUI页面。
4.所有配置将会被清除,然后设备将自动重启。
通过
使用CLR按键恢复出厂配置,请按照以下步骤进行操作:
1.关闭安全网关的电源。
2.用针状物按住CLR按键的同时打开安全网关的电源。
3.保持按住状态直到指示灯STA和ALM均变为红色常亮,释放CLR按键。此时系统开始恢复出厂配置。