HILLSTONE的上网配置

Hillstone山石网科下一代防火墙基础配置手册V5.5版本Hillstone Networks Inc.服务热线：400 828 6655内容提交人审核人更新内容日期陈天骄陈天骄初次编写2016/1/14目录1 设备管理 (3)1.1 终端console登录 (3)1.2 网页WebUI登录 (3)1.3 恢复出厂设置 (5)1.3.1 CLI命令行操作 (5)1.3.2 WebUI图形化界面操作 (5)1.3.3 硬件CLR操作 (6)1.4 设备系统（StoneOS）升级 (6)1.4.1 通过sysloader升级 (6)1.4.2 通过CLI升级 (9)1.4.3 通过WebUI升级 (9)1.5 许可证安装 (10)1.5.1 CLI命令行安装 (10)1.5.2 WebUI安装 (11)2 基础上网配置 (11)2.1 接口配置 (11)2.2 路由配置 (13)2.3 策略配置 (14)2.4 源地址转换配置（SNAT） (15)3 常用功能配置 (16)3.1 PPPoE拨号配置 (16)3.2 动态地址分配（DHCP）配置 (17)3.3 IP-MAC地址绑定配置 (20)3.4 端到端IPSec VPN配置 (21)3.4.1 配置第一阶段P1提议 (22)3.4.2 配置ISAKMP网关 (23)3.4.3 配置第二阶段P2提议 (24)3.4.4 配置隧道 (25)3.4.5 配置隧道接口 (26)3.4.6 配置隧道路由和策略 (28)3.4.7 查看VPN状态 (29)3.5 远程接入SCVPN配置 (30)3.6 目的地址转换DNAT配置 (38)3.6.1 IP映射 (39)3.6.2 端口映射 (41)1设备管理安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、Telnet、SSH等主流通信管理协议。

山石网关智能流量控制配置一、流量控制原则及原理山石网关智能流量控制配置原则：带宽IP QoS（kbps）应用优先级P2P下载（kbps）2M IP QOS共享为 1950HTTP、DNS、电子邮件优先级1；HTTP分片下载、P2P下载优先级5；QQ游戏等、常玩游戏优先级2（按客户需求可选）总出口限制16004M IP QOS共享为 3900 总出口限制32006M IP QOS共享为 5900 总出口限制48008M IP QOS共享为 7800 总出口限制650010M IP QOS共享为 9800 总出口限制8000>10M IP QOS共享为98% 总出口限制80%智能流量分配原理：将网间应用人为分出优先级，按优先级高低赋予带宽。

并且控制总P2P下载的带宽。

如：在10M互联网专线中只有客户在进行迅雷下载（优先级5），他们的下载总速率可达8000kbps。

突然有客户点击网页浏览（优先级1），这时迅雷下载所占用的8000kbps将施放给网页加载（优先级1高于优先级5）。

当网页加载完毕时迅雷下载将再次被赋予相应的带宽。

二、配置流程配置举例：某集团为10M互联网专线，流控需设置成“IP QOS限制为 9.8M，HTTP、DNS、电子邮件优先级1；HTTP分片下载、P2P下载优先级5；QQ游戏等、常玩游戏优先级2（按客户需求可选），P2P下载总出口限制8M。

”山石配置过程：1、升级应用特征库；依次点击右侧菜单中“系统”、“应用特征库”进入配置界面，点击在线升级，等待升级成功。

2、安全域配置；依次点击右侧菜单中“网络”、“安全域”，点击“trust”操作图标，将“应用识别”勾选。

完成后再按相同操作将“untrust”中的“应用识别”勾选。

3、IP Qos设置；依次点击右侧菜单中“Qos”、“IP Qos”填写“规则名称”、“接口绑定（外网地址端口）”、“共享”“最大带宽（共享9800）”，点击“添加”。

hillstone与fortigate路由VPN-静态篇用户需求：1、分支机构飞塔设备可以访问IDC服务器2、IDC服务器可以访问分支的笔记本3、分支和IDC需要行为控制网络拓扑：设备设置信息：一、Hillstone设备基本信息：设备型号：Hillstone-SG6000-E2800版本信息：SG6000-M-5.5R7P7.bin公网出口：ethernet0/3公网IP：114.11.189.23内网地址：10.20.29.0/24共享密钥：zhongxingguoji 二、Hillstone基础网络配置：设置公网接口：interface ethernet0/3zone "untrust"ip address 114.11.189.23/27 description "To_Internet_wan" manage pingmanage sshmanage https设置内网接口：interface ethernet0/1zone "trust"ip address 10.20.29.1/24 description "To_lan" manage pingmanage sshmanage https设置路由：ip vrouter trust-vrip route 0.0.0.0/0 114.11.189.1 description To-Internet设置策略：policy-globalrule from any to any from-zone trust to-zone untrust service any permit设置NAT:natsnatrule from any to any eif e0/3 trans-to eif-ip mode dynamicport sticky log三、Hillstone VPN配置：VPN第一阶段：----------------isakmp peer "spoke-zhongxingguoji"isakmp-proposal "psk-md5-3des-g2"pre-share "zhongxingguoji"peer 116.108.221.90dpd interval 10 retry 3interface ethernet0/3VPN第二阶段:----------------tunnel ipsec "spoke-zhongxingguoji"isakmp-peer "spoke-zhongxingguoji"ipsec-proposal "esp-md5-3des-g2"auto-connectid local 10.202.29.0/24 remote 192.168.20.0/24 service "Any" id local 192.168.87.0/24 remote 192.168.20.0/24 service "Any"新建隧道接口，调用VPN：----------------------------zone "vpn"exitinterface tunnel4zone "vpn"description "To_Fortigate_zhongxingguoji"manage pingtunnel ipsec "spoke-zhongxingguoji"设置飞塔端内网地址的路由：----------------------------ip vrouter trust-vrip route 192.168.20.0/24 tunnel4 description zhongxingguoji设置策略：----------policy-globalrule from any to any from-zone trust to-zone vpn service any permit rule from any to any from-zone vpn to-zone trust service any permit exit一、飞塔设备基本信息：设备型号：FortiGate-80E版本信息：FortiOS v6.0.3 build0200公网出口：wan1公网IP：116.108.221.90LAN地址：192.168.20.0/24共享密钥：zhongxingguoji二、飞塔基础网络配置：基本上网配置不展示了，登陆设备页面，点击一下即可记住几个要素：1、设置公网接口2、设置内网接口3、设置默认路由4、设置策略及NAT三、飞塔 VPN配置：VPN第一阶段：----------------config vpn ipsec phase1edit “hub-zhongxingguoji“set interface “wan1”set mode mainset dhgrp 2set proposal 3des-md5set remote-gw 114.11.189.23set psksecret zhongxingguojiset dpd on-idlenextendVPN第二阶段:----------------config vpn ipsec phase2edit “hub-zhongxingguojip“set phase1name “hub-zhongxingguoji“set dhgrp 2set proposal 3des-md5set auto-negotiate enableset src-subnet 192.168.20.0 255.255.255.0set dst-subnet 10.20.29.0 255.255.255.0 nextend设置hillstone内网地址的路由：----------------------------config router staticedit 1set device "hub-zhongxingguojip"set dst 10.20.29.0 255.255.255.0set comment "VPN:To_SH_IDC_Hub"nextend注释：隧道接口是VPN自动生成的，直接将目的路由指向隧道接口即可设置策略：1、策略是放通hillstone到飞塔的2、策略是放通飞塔到hillstone的以上策略就不在这里展示了设备VPN验证：hillstone 验证-第一阶段验证：show isakmp sa--------------------Total: 1================================================= Cookies Gateway Port Algorithms Lifetime --------------------------------------------------------------------------------f775b7a614~ 116.108.221.90 500 preshare md5/3des 86340 =================================================hillstone 验证-第二阶段验证：show ipsec sa--------------------Total: 1S - Status, I - Inactive, A - Active;================================================= Id VPN Peer IP Port Algorithms SPI Life(s) S--------------------------------------------------------------------------------99 spoke-guangz~>116.108.221.90 500 esp:3des/md5/- cef1a9ca 3536 A 99 spoke-guangz~<116.108.221.90 500 esp:3des/md5/- 40dafcbe 3536 A ==================================================设备测试：SG-6000-E2800#ping 192.168.20.240 source e0/1Sending ICMP packets to 192.168.20.240From ethernet0/1Seq ttl time(ms)1 127 29.22 127 29.13 127 28.9^Cstatistics:3 packets sent, 3 received, 0% packet loss, time 2003msrtt min/avg/max/mdev = 28.975/29.133/29.257/0.229 ms飞塔验证-第一阶段验证：get vpn ike gateway hub-zhongxingguojip----------------------------------vd: root/0name: hub-zhongxingguojipversion: 1interface: wan1 6addr: 116.108.221.90:500 -> 114.11.189.23:500created: 186s agoIKE SA created: 1/1 established: 1/1 time: 250/250/250 msIPsec SA created: 3/3 established: 3/3 time: 80/86/90 msid/spi: 97 816d55c84bdb63c3/e6ae9ca3fa0f02bcdirection: initiatorstatus: established 186-186s ago = 250msproposal: 3des-md5key: 43c2304830d2a3f5-8c122d5fd0671cd6-1d0e27393b35037f-23f01b7fcbdfb967lifetime/rekey: 86400/85913DPD sent/recv: 00000000/00000bb8飞塔验证-第二阶段验证：get vpn ipsec tunnle name hub-zhongxingguojip------------------------------gatewayname: 'hub-zhongxingguojip'type: route-basedlocal-gateway: 116.108.221.90:0 (static)remote-gateway: 114.11.189.23:0 (static)mode: ike-v1interface: 'wan1' (6)rx packets: 0 bytes: 0 errors: 0tx packets: 0 bytes: 0 errors: 0dpd: on-idle/negotiated idle: 20000ms retry: 3 count: 0 selectorsname: 'hub-zhongxingguojip'auto-negotiate: enablemode: tunnelsrc: 0:0.0.0.0/0.0.0.0:0dst: 0:0.0.0.0/0.0.0.0:0SAlifetime/rekey: 43200/42924mtu: 1438tx-esp-seq: 1replay: enabledqat: 0inboundspi: 55a2b8d2enc: 3des 11db87a7cb99bc2c8fef43c77723a25eauth:md5 cc18eab9079b52ace4b36fba9b9c225ba774fcc842bc58fcc3bb4822bba413d0 outboundspi: 536f872denc: 3des 114d1ba0e41462762b660fac8e4b6ae7auth:md5 368c4ad9b32061ced147ced1029c179c6c1606ccf0e23ec9317edb5b7775b34 8测试到hillstone连通性：FortiGate1 # execute ping 10.202.29.200------------------------------------------------------PING 10.202.29.200 (10.202.29.200): 56 data bytes64 bytes from 10.202.29.200: icmp_seq=0 ttl=128 time=1.5 ms64 bytes from 10.202.29.200: icmp_seq=1 ttl=128 time=1.0 ms--- 10.202.29.200 ping statistics ---5 packets transmitted, 5 packets received, 0% packet lossround-trip min/avg/max = 1.0/1.1/1.5 ms以上hillstone和飞塔均为使用页面截图制作文档，设备页面相对简单一下，以上数据仅供参加，有任何技术问题可以留言。

Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS（TFTP） (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (42)一对多映射（服务器负载均衡） (45)第4章链路负载均衡 (47)链路负载均衡介绍 (47)基于目的路由的负载均衡 (48)基于源路由的负载均衡 (49)智能链路负载均衡 (49)第5章QoS配置 (52)QoS介绍 (52)IP QoS配置 (52)应用QoS配置 (54)混合QoS配置 (57)QoS白名单配置 (58)第6章网络行为控制 (59)URL过滤（有URL许可证） (59)配置自定义URL库 (62)URL过滤（无URL许可证） (63)网页关键字过滤 (64)网络聊天控制 (68)第7章VPN高级配置 (71)基于USB Key的SCVPN配置 (71)新建PKI信任域 (71)配置SCVPN (76)制作USB Key (77)使用USB Key方式登录SCVPN (79)PnPVPN (81)用户配置 (82)IKE VPN配置 (83)隧道接口配置 (87)路由配置 (88)策略配置 (89)PnPVPN客户端配置 (90)第8章高可靠性 (92)高可靠性介绍 (92)高可靠性配置 (93)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册，对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI配置。

、网络 -> 接口
点击e0/0后面的编辑小图标
确认最终接口列表
网络 -> 路由 -> 目的路由
新建
点击确认最终路由表
创建地址对象【方便进行调用】
对象 -> 地址薄
新建点击按钮
输入IP地址后点确认 -> 确认
一共创建了3条地址条目
NAT转换
防火墙 -> NAT -> 源NAT
新建 -> 高级配置配置完成点击
源NAT列表
防火墙 -> NAT -> 目的NAT
新建 -> 高级配置
配置完成点击
最终目的NAT列表
策略配置
防火墙 -> 策略
新建允许内网PC访问外网
不允许10.1.1.100访问外网
不允许服务器访问外网：无需做任何设置，默认都是拒绝
允许内网访问服务器区域
不允许10.1.1.100访问服务器
允许外网访问HTTP / FTP 服务器
先设置为untrust to trust any any permit 确定后点击其后面的编辑图标点击服务中的多个，选择HTTP / FTP 确定即可
设置完成后如下，点击“确认”
最终策略列表如下：
为了使得特殊IP的设置能够达到预期的效果，请在策略列表中选择相应的条目
选择其后面的图标将策略移至前面
最终策略列表
注意：策略条目中的ID号，不代表顺序，只代表此策略的创建先后。

默认后面创建的条目会自动的加到对应的策略最后。

Ip-qos
qos -> ip qos 设置完成点击添加
IP-QOS列表，可看到刚才添加上去的条目信息。

Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS（TFTP） (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (41)一对多映射（服务器负载均衡） (44)第4章链路负载均衡 (46)链路负载均衡介绍 (46)基于目的路由的负载均衡 (47)基于源路由的负载均衡 (48)智能链路负载均衡 (48)第5章QoS配置 (51)QoS介绍 (51)IP QoS配置 (51)应用QoS配置 (53)混合QoS配置 (56)QoS白名单配置 (57)第6章网络行为控制 (58)URL过滤（有URL许可证） (58)配置自定义URL库 (61)URL过滤（无URL许可证） (62)网页关键字过滤 (63)网络聊天控制 (67)第7章VPN高级配置 (70)基于USB Key的SCVPN配置 (70)新建PKI信任域 (70)配置SCVPN (75)制作USB Key (76)使用USB Key方式登录SCVPN (78)PnPVPN (80)用户配置 (81)IKE VPN配置 (82)隧道接口配置 (86)路由配置 (87)策略配置 (88)PnPVPN客户端配置 (89)第8章高可靠性 (91)高可靠性介绍 (91)高可靠性配置 (92)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册，对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI配置。

HillStoneSA-2001配置手册2防火墙设置 ..............................................3VPN配置.................................................4流量控制的配置 ..........................................4.1P2P限流............................................4.2禁止P2P流量 .......................................4.3IP流量控制.........................................4.4时间的设置 .........................................4.5统计功能............................................5基础配置 ................................................本文是基于安全网关操作系统为Version3.5进行编写，如版本不同，配置过程有可能不一样。

1 网络端口配置SA-2001安全网关前面板有5个千兆电口、1个配置口、1个CLR按键、1个USB接口以及状态指示灯。

下图为SA-2001的前面板示意图：将网线接入到E0/0。

防火墙的ethernet0/0接口配有默认IP地址，但该端口没有设置为DHCP服务器为客户端提供IP地址，因此登录后的首页面。

可以看到CPU、内存、会话等使用情况。

很多品牌的防火墙或者路由器等，在默认情况下内网端口都是划分好并且形成一个小型交换机的，但是hillstone的产品却需要自己手工设置。

在本文档中，我们准备将E0/0划分为UNTRUST口连接互联网，E0/1～E0/4总共4个端口我们则划到一个交换机中并作为TRUST口连接内网。