Hillstone入侵防御配置手册StoneOS R
Hillstone山石网科多核安全网关扩展模块手册_4.0R4
Hillstoneဝᆀపࣶਖ਼ڔཝᆀਈ౫ᐱ模块၄ݿྟୈۈ۾:StoneOS 4.0R4产品中有毒有害物质或元素的名称及含量有毒有害物质或元素部件名称铅 汞 镉 六价铬多溴联苯 多溴二苯醚金属零部件(包括紧固件)²|||||印刷电路板组件和元件²|||||线缆和线缆组件²|||||塑料和聚合物²|||²²除印刷电路板以外的其它电子组件²||||| |:代表此种部件的所有均质材料中所含有的该种有毒有害物质均低于中华人民共和国信息产业部颁布的《电子信息产品中有毒有害物质的限量要求》(SJ/T11363-2006)规定的限量。
²:代表此种部件的所有均质材料中,至少有一类材料其所含有的有毒有害物质高于中华人民共和国信息产业部颁布的《电子信息产品中有毒有害物质的限量要求》(SJ/T11363-2006)规定的限量。
注:并非上述所有部件都含有在内装产品中。
所有产品及其部件的环保实用期限均由此符号表示。
此环保使用期限只适用于该手册中所规定的正常使用条件。
前言内容简介感谢您选用Hillstone Networks的网络安全产品。
本手册为Hillstone 山石网科多核安全网关扩展模块手册,能够帮助用户正确使用Hillstone安全网关的各种扩展模块。
本手册的内容包括:•第1章扩展模块介绍•第2章扩展模块的安装与拆卸•第3章扩展模块的配置与使用•第4章常见故障处理手册约定为方便用户阅读与理解,本手册遵循如下约定:•警告:表示如果该项操作不正确,可能会给安全网关或安全网关操作者带来极大危险。
因此操作者必须严格遵守正确的操作规程。
•注意:表示在安装和使用安全网关过程中需要注意的操作。
该操作不正确,可能影响安全网关的正常使用。
•说明:为用户提供有助于理解内容的说明信息。
内容目录第1章扩展模块介绍 (1)1.1.介绍 (1)1.2.前面板介绍 (1)1.3.指示灯含义 (2)1.4.SWAP按键 (3)1.5.端口属性 (3)1.5.1.千兆电口 (3)1.5.2.SFP接口 (4)1.5.3.XFP接口 (5)第2章扩展模块的安装与拆卸 (6)2.1.介绍 (6)2.2.扩展模块的安装 (6)2.3.扩展模块的拆卸 (6)第3章扩展模块的配置与使用 (7)3.1.介绍 (7)3.2.接口扩展模块的配置与使用 (7)3.2.1.支持Bypass (7)3.3.查看扩展模块的信息 (7)第4章常见故障处理 (8)第1章扩展模块介绍1.1. 介绍Hillstone山石网科多核安全网关的模块化平台产品支持多种扩展模块,包括接口扩展模块、应用处理扩展模块以及存储扩展模块,用户可根据需求选购。
Hillstone山石网科新手入门指南StoneOS_5.5R2
系统管理员拥有读、执行和写权限,可以在任何模式下对设备所有功能模块进行配置、查看当前或者历史配置信息。 创建系统管理员,请按照以下步骤进行操作: 1. 点击“系统>设备管理”。
新手入门指南
3
2. 在<管理员>标签页,点击”新建“按钮。
在<管理员配置>对话框填写系统管理员的基本信息
选项
步骤一:连接设备 1. 将设备的接口(如ethernet0/1)连接到运营商网络中,一般情况下,外网接口选择属于untrust安全域。
将设备另一个接口(如ethernet0/0)连接到内网中,默认情况下,ethernet0/0属于trust安全域。 2. 连接电源为设备上电。 3. 通过内网接口访问系统WebUI界面,请参阅"访问WebUI界面" 在第2页。 步骤二:配置接口。 1. 点击“网络>接口”。 2. 双击ethernet0/1接口。
在<目的路由配置>对话框填写目的路由的基本配置信息。
选项
配置值
目的地
0.0.0.0
子网掩码
0.0.0.0(表示匹配所有的网段)
网关
202.10.1.1
8
新手入门指南
3. 点击“确定”按钮。
通过3G方式连通网络
对于一台装有3G数据卡的设备,当设备工作在路由模式下时,可以通过3G拨号方式接入3G网络。 注意: 请先向运营商索取3G参数(接入点、用户名、密码、拨号串)。
3
创建可信主机
4
升级StoneOS版本
5
特征库升级
5
如何连通网络
6
在路由模式下连通网路
6
通过3G方式连通网络
9
Hillstone 入侵防御白皮书
Hillstone山石网科入侵防御白皮书Hillstone山石网科入侵防御白皮书1. 概述互联网的发展趋势表明:1. 网络攻击正逐渐从简单的网络层攻击向应用层转变,单纯的防火墙功能已经不能满足当下应用安全的需求。
旁路的入侵检测方式又不能满足对攻击源实时屏蔽的需求,与防火墙联动的入侵检测一直没有标准的联动协议来支撑。
入侵检测解决方案正在被入侵防御取代。
2. 安全漏洞、安全隐患的发生似乎是不可避免的,互联网的应用和业务却正在爆炸式的增长。
应用类型在增加,应用特征却更复杂,比如现在有很多应用都是基于HTTP等基础协议,让传统基于端口来识别应用的入侵防御解决方案已经不能适用。
如何识别出这些新的应用,从而去检测防御针对这些应用的攻击,是新一代入侵检测网关需要解决的问题。
3. 网络带宽在增加,应用类型在增加,应用协议在复杂化,攻击类型在增加,攻击方式在隐蔽化。
传统入侵防御设备受限于自身处理能力,已经不能胜任这样的趋势,如何去进行深度应用分析、深度攻击原理分析,也许所有的厂家都知道简单的攻击特征匹配已经不能满足时下用户对入侵防御漏判误判的要求,却受限与设备自身的处理能力,从而误判漏判的行为时有发生。
Hillstone山石网科的入侵防御是基于多核plus® G2架构、全并行的流检测引擎和基于攻击原理的入侵防御检测引擎。
基于多核plus®G2的安全架提供了高性能的入侵防御解决发难,并为入侵防御需要的深度应用分析和攻击原理分析提供了强劲的处理能力。
全并行流检测引擎则使用较少的系统资源,并且在并行扫描会话和开启其他多项应用处理功能提供了高可用性。
基于攻击原理的入侵防御有助于提高攻击检测率和降低攻击误判率。
Hillstone山石网科入侵防御解决方案具有以下特性:●基于深度应用识别,积极防范复杂应用攻击●基于多核Plus® G2构架满足深度应用分析、入侵防御功能的高CPU和高内存资源需求●基于深度应用原理、攻击原理的入侵防御解决方案●支持HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、Hillstone山石网科入侵防御白皮书FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBOIS、TFTP等多种常见的应用和协议的攻击防护。
StoneOS 5.5R9 F版本新功能说明.pdf_1693860760.0178037说明书
Version5.5R9FTechDocs|F版本新功能说明概述《StoneOS5.5R9F版本新功能说明》是StoneOS手册的补充说明。
本手册以StoneOS5.5R9版本的手册为基础,添加了后续版本在新功能操作方面的新增和修改。
l StoneOS5.5R9F4l StoneOS5.5R9F3l StoneOS5.5R9F2l StoneOS5.5R9F1F版本新功能说明概述2What's Newl StoneOS5.5R9F4(2022.10.31)l StoneOS5.5R9F3(2022.08.12)l StoneOS5.5R9F2(2022.06.08)l StoneOS5.5R9F1(2022.03.31)StoneOS5.5R9F4本节介绍StoneOS5.5R9F4新增功能,如下:3F版本新功能说明概述F版本新功能说明概述45F版本新功能说明概述StoneOS5.5R9F3本节介绍StoneOS5.5R9F3新增功能,如下:F版本新功能说明概述67F版本新功能说明概述F版本新功能说明概述8StoneOS5.5R9F2本节介绍StoneOS5.5R9F2新增功能,如下:9F版本新功能说明概述F版本新功能说明概述10StoneOS5.5R9F1本节介绍StoneOS5.5R9F1新增功能,如下:21F版本新功能说明概述F版本新功能说明概述22StoneOS5.5R9F4新增功能SSL代理域名白名单支持自动更新WebUI查看系统信息查看系统信息,选择“系统>系统与特征库”,系统相关信息如下:StoneOS5.5R9F42324StoneOS5.5R9F4注意:除SSL代理域名白名单特征库外,仅当系统安装了某个特征库的许可证,系统信息才会显示该特征库的信息。
安装特征库的许可证,请参阅安装许可证。
更多内容,请参阅《StoneOS WebUI用户手册》中“系统管理>系统信息>查看系统信息”。
Hillstone Networks,Inc. StoneOS入门指南说明书
Hillstone Networks,Inc.StoneOS Getting Started Guide Version5.5R4Copyright2017Hillstone Networks,Inc..All rights reserved.Information in this document is subject to change without notice.The software described in this document is fur-nished under a license agreement or nondisclosure agreement.The software may be used or copied only in accord-ance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks,Inc.. Hillstone Networks,Inc.Contact Information:US Headquarters:Hillstone Networks292Gibraltar Drive,Suite105Sunnyvale,CA94089Phone:1-408-508-6750/about-us/contact/About this Guide:This guide describes how to get started with Hillstone Networks,Inc.StoneOS products.For more information,refer to the documentation site:.To provide feedback on the documentation,please write to us at:***********************Hillstone Networks,Inc.TWNO:TW-GSG-UNI-5.5R4-EN-V1.0-2017/1/20ContentsContents1 Chapter1Getting Started Guide1 Initial Visit to Web Interface2 Preparing the StoneOS System4 Installing Licenses4 Creating a System Administrator4 Adding Trust Hosts5 Upgrading StoneOS Firmware6 Updating Signature Database6 Connecting to Internet Under Routing Mode7 Restoring to Factory Settings11 Restoring using a pin11 Restoring via WebUI11TOC-1Chapter1Getting Started GuideThis guide helps you to go through initial configuration and basic set-up of Hillstone devices.The intended reader is your company's network administrator.This guide is used when you have finished mounting your device.After following the steps in this guide,your private network will be able to access Internet.For security functions,you will need to read the User Guide(WebUI UserGuide or CLI User Guide).You may configure your firewall in the following sequence:1."Initial Visit to Web Interface"on Page22."Preparing the StoneOS System"on Page4,including:l"Installing Licenses"on Page4l"Creating a System Administrator"on Page4l"Adding Trust Hosts"on Page5l"Upgrading StoneOS Firmware"on Page6l"Updating Signature Database"on Page63."Connecting to Internet Under Routing Mode"on Page74."Restoring to Factory Settings"on Page11Chapter1Getting Started Guide1Initial Visit to Web InterfaceInterface eth0/0is configured with IP address192.168.1.1/24by default,it is open to all connection types.For the ini-tial visit,use this interface.To visit the web interface for the first time:1.Go to your computer's Ethernet properties,set the IPv4protocol as below.2.Connect an RJ-45Ethernet cable from your computer to the eth0/0of the device.3.In your browser's address bar,type"http://192.168.1.1"and press Enter.4.In the login interface,type the default username and password:hillstone/hillstone.5.At the first sign of address,the user needs to read and accept the EULA( end-user license agreements),click2Chapter1Getting Started GuideEULA to view the details of EULA.6.Click Login,and the device's system will initiate.Chapter1Getting Started Guide3Preparing the StoneOS SystemInstalling LicensesLicenses control features and performance.Before installing any license,you must have obtained the license code from sales person.To install a license:1.Go to System>License.2.Choose one of the three ways to import a license:l Upload License file:Select the radio button,click Browse,and select the license file(a.txt file).l Manual Input:Select the radio button,and paste the license code into the text box.l Online Install:Select the Online Install radio button and click the Online Install button,your pur-chased licenses will be automatically installed.It should be noted that the licenses must be in activated status in the Hillstone Online Registration Platform(/reqlicense).(To activate thelicense,you need to log into the platform using your username and password of the platform.The usernameis the same as your mailbox which was provided when placing an order.Hillstone will send the password bye-mail.Then activate the licenses that need to be installed.If you purchased the device from the Hillstoneagent,please contact the agent to activate the licenses.)3.Click OK.4.To make the license take effect,reboot the system.Go to System>Device Management>Options,clickReboot.Creating a System AdministratorSystem administrator has the authority to read,write and execute all features in this system.To create a system administrator:1.Go to System>Device Management>Administrator.2.Click New,4Chapter1Getting Started Guide3.Click OK.Note:The system has a default administrator"hillstone",which cannot be deleted orrenamed.Adding Trust HostsTrust host is administrator's host.Only computers included in the trust hosts can manage the system.To add a trust host:1.Go to System>Device Management.2.Select Trust Host tab,and click New.In the Trust Host Configuration dialog box,enter valueChapter1Getting Started Guide53.Click OK.Upgrading StoneOS FirmwareNote:Back up your configuration files before upgrading your system.To upgrade your system firmware:1.Go to System>Upgrade Management.2.Select Browse and choose the new image from your local computer.3.Click Reboot to make new firmware take effect,and then click Apply.4.The system will automatically reboot when it finishes installing new firmware.Updating Signature DatabaseFeatures that require constant signature updates are license controlled.You must purchase license in order to be able to update signature libraries.By default,the system will automatically update databases on a daily basis.To update a database:1.Go to System>Upgrade Management,and click the<Signature Database Update>tab.2.Find your intended database,and choose one of the following two ways to upgrade.l Remote Update:Click Update,the system will automatically update the database.l Local Update:Select Browse to open file explorer,and select your local signature file to import it into the system.6Chapter1Getting Started GuideConnecting to Internet Under Routing ModeIn routing mode,the device is working as a gateway and router between two networks.This section shows how to con-nect and configure a new Hillstone device in route mode to securely connect the private network to Internet.To get your private network access to Internet through a Hillstone device:Step1:Connecting to the device1.Connect one port(e.g.eth0/1)of Hillstone device to your ISP network.In this way,"eth0/1"is in the untrustzone.2.Connect your internal network to another Ethernet interfaces(e.g.eth0/0)of the device.This means"eth0/0"isconnected to the trust zone.3.Power on the Hillstone device and your PCs.4.If one of the internal interfaces already has been configured with an IP address,use a browser to visit thataddress from one of your internal PCs.If it is a new device,use the methods in"Initial Visit to Web Interface"on Page2to visit.5.Enter"hillstone"for both username and password.Step2:Configuring interfaces1.Go to Network>Interface.Chapter1Getting Started Guide72.Double click eth0/1.3.Click OK.Step3:Creating a NAT rule to translate internal IP to public IP1.Go to Policy>NAT>SNAT.2.Select New3.Click OK.Step4:Creating a security policy to allow internal users access Internet.1.Go to Policy>Security Policy.2.Click New.3.Click OK.Step5:Configuring a default route1.Go to Network>Routing>Destination Route.2.Click New.3.Click OK.Restoring to Factory SettingsNote:Resetting your device will erase all configurations,including the settings that have beensaved.Please be cautious!To restore to factory's default settings,you may use one of the following two ways:l"Restoring using a pin"on Page11l"Restoring via WebUI"on Page11Restoring using a pinTo restore to factory default:1.Power off the device.e a pin to press the CLR pinhole on the front panel;keep pressing and power on the devcie.3.Keep pressing until the STA and ALM indicators on the front panel turn constant red;release the pin.The systemwill start to reset itself.4.When restoring is complete,the system will reboot automatically.Restoring via WebUITo restore to factory settings using Web interface:1.Go to System>Configuration File Management.2.Click Backup Restore.3.In the prompt,click Restore.4.Click OK to confirm.5.The device will automatically reboot and be back to factory settings.。
Hillstone Networks,Inc. 云·格CloudHive安全产品部署手册说明书
Hillstone Networks,Inc.云·格CloudHive安全产品部署手册Version2.3Copyright2016Hillstone Networks,Inc..All rights reserved.Information in this document is subject to change without notice.The software described in this document is furnished under a license agreement or nondisclosure agreement.The software may be used or copied only in accordance with the terms of those agreements.No part of this publication may be reproduced, stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks,Inc..Hillstone Networks,Inc.联系信息公司总部(北京总部):地址:北京市海淀区宝盛南路1号院20号楼5层邮编:100192联系我们:/about/contact_Hillstone.html关于本手册本手册介绍Hillstone Networks,Inc.云·格CloudHive安全产品的安装部署方法。
Hillstone山石网科基础配置手册50
Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS(TFTP) (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (42)一对多映射(服务器负载均衡) (45)第4章链路负载均衡 (47)链路负载均衡介绍 (47)基于目的路由的负载均衡 (48)基于源路由的负载均衡 (49)智能链路负载均衡 (49)第5章QoS配置 (52)QoS介绍 (52)IP QoS配置 (52)应用QoS配置 (54)混合QoS配置 (57)QoS白名单配置 (58)第6章网络行为控制 (59)URL过滤(有URL许可证) (59)配置自定义URL库 (62)URL过滤(无URL许可证) (63)网页关键字过滤 (64)网络聊天控制 (68)第7章VPN高级配置 (71)基于USB Key的SCVPN配置 (71)新建PKI信任域 (71)配置SCVPN (76)制作USB Key (77)使用USB Key方式登录SCVPN (79)PnPVPN (81)用户配置 (82)IKE VPN配置 (83)隧道接口配置 (87)路由配置 (88)策略配置 (89)PnPVPN客户端配置 (90)第8章高可靠性 (92)高可靠性介绍 (92)高可靠性配置 (93)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册,对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍,帮助用户快速掌握安全网关的WebUI配置。
山石网科 StoneOS 虚拟系统 命令行用户指南说明书
Version5.5R8Copyright2020Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is furnished under a license agreement or nondisclosure agreement.The software may be used or copied only in accordance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hill-stone Networks.Hillstone Networks本文档禁止用于任何商业用途。
联系信息北京苏州地址:北京市海淀区宝盛南路1号院20号楼5层地址:苏州高新区科技城景润路181号邮编:100192邮编:215000联系我们:/about/contact_Hillstone.html关于本手册本手册介绍山石网科的产品系统的使用方法。
获得更多的文档资料,请访问:https://针对本文档的反馈,请发送邮件到:*************************山石网科https://TWNO:TW-CUG-UNI-VSY-5.5R8-CN-V1.0-11/11/2020目录目录1关于本手册1手册约定1内容约定1CLI约定1命令行接口(CLI)2CLI介绍2命令模式和提示符2执行模式2全局配置模式2子模块配置模式3CLI命令模式切换3命令行错误信息提示3命令行的输入4命令行的缩写形式4自动列出命令关键字4自动补齐命令关键字4命令行的编辑4查看历史命令4快捷键5过滤CLI输出信息5分页显示CLI输出信息6设置终端属性7设置连接超时时间7重定向输出7诊断命令8虚拟系统9 VSYS对象9根VSYS和非根VSYS9管理员10 VRouter、VSwitch、安全域和接口12共享VRouter12共享VSwitch13共享域13共享接口13创建接口13配置VSYS13创建非根VSYS14配置非根VSYS的描述信息14创建VSYS Profile14设置资源配额15设置日志的缓存配额17配置URL过滤18配置入侵防御19配置病毒过滤19配置边界流量过滤20配置QoS20启用/禁用CPU资源配额21绑定Profile到VSYS21进入非根VSYS22配置共享属性22导入/导出物理接口23分配逻辑接口23绑定监测对象23监测指定VSYS状态24回退配置信息(非根VSYS)24退出配置回滚模式25配置退出配置回滚模式的动作26配置VSYS日志功能26配置跨VSYS转发功能27开启跨VSYS转发功能27配置Simple-Switch27创建Simple-Switch27绑定二层安全域到Simple-Switch28创建VWANIF接口28创建VPort接口29配置VWANIF接口29分配VWANIF接口29显示跨VSYS转发功能信息29显示VWANIF接口配置信息30显示VWANIF接口IPv6配置信息30显示VSYS信息30显示VSYS Profile信息30 VSYS配置举例30例1:VSYS在三层流量转发中的应用(通过单一VSYS)31组网需求31配置步骤31例2:VSYS在三层流量转发中的应用(通过共享VRouter)33组网需求33配置步骤34例3:VSYS在二层流量转发中的应用(通过共享VSwitch)37组网需求37配置步骤38例4:跨VSYS的流量转发(通过Simple-Switch)42组网需求42配置步骤43关于本手册手册约定为方便用户阅读与理解,本手册遵循以下约定:内容约定本手册内容约定如下:l提示:为用户提供相关参考信息。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Hillstone山石网科 入侵防御配置手册V5.5版本Hillstone Networks Inc.服务热线:400 828 6655目录1设备管理 (3)1.1终端console登录 (3)1.2网页WebUI登录 (3)1.3设备系统(StoneOS)升级 (5)1.3.1通过WebUI升级 (5)1.4许可证安装 (5)1.4.1CLI命令行安装 (5)1.4.2WebUI安装 (6)2基础上网配置 (6)2.1接口配置 (6)2.2路由配置 (8)2.3策略配置 (9)3入侵防御功能配置 (11)3.1防火墙联动配置 (11)3.2入侵防御配置 (12)3.3高级配置 (14)3.3.1配置协议特征库 (15)3.3.2自定义威胁特征库 (16)1设备管理设备支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。
CLI同时支持Console、Telnet、SSH等主流通信管理协议。
1.1终端console登录通过Console 口配置设备时需要在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与设备的连接,并按如下表所示设置参数(与连接Cisco设备的参数一致):1.2网页WebUI登录WebUI同时支持http和https两种访问方式,首次登录设备可通过默认接口ethernet0/0来进行,登录方法为:1. 将管理PC的IP地址设置为与192.168.1.1/24 同网段的IP 地址,并且用网线将管理PC与设备的ethernet0/0接口进行连接。
2. 在管理PC的Web浏览器中访问地址“http://192.168.1.1” 并按回车键。
出现的登录页面如下图所示:默认用户名:hillstone,密码:hillstone 登录后主页如下:5.5版本推荐使用chrome和IE11浏览器1.3设备系统(StoneOS)升级1.3.1通过WebUI升级A.登录设备后,依次点击“系统”→“升级管理”→“浏览”,选择本地保存的StoneOS 文件A.勾选“立即重启,使新版本生效”,然后点击“应用” 重启设备,系统将使用新的StoneOS启动1.4许可证安装1.4.1CLI命令行安装登录设备,运行命令exec license install +许可证(从“license:”开始输入完整的字符),如下图:注意:根据“info”提示,部分许可证安装后需要重启才能生效1.4.2WebUI安装登录设备,依次点击“系统”→“许可证” →“手动输入”如果收到License的是一个压缩包文件,则解压,在该页面选择“上传许可证文件”,依次选择各文件即可注意:根据WebUI提示,部分许可证安装后需要重启才能生效2基础上网配置对于一台全新或者刚刚恢复出厂的设备,如果只是需要简单的内部用户可以正常上网,只需要配置接口、路由、策略和源NAT这4项功能,以下是具体配置方法:2.1接口配置A.登录设备后,依次点击“网络”→“接口”B.选择相应的接口,点击“编辑”或者直接双击C.在接口配置界面中,选择接口的安全域类型(如果是直接连接运营商公网网线,一般是三层安全域;如果是透明部署选择二层安全域)、安全域名称(一般内网使用trust或l2-trust安全域,外网使用untrust或l2-untrust)、接口ip地址、网络掩码和接口的管理方式,最后点击“确定”注意:如果外网接口使用的是PPPoE的拨号接入,接口配置请参考文档3.1PPPoE相关配置。
2.2路由配置A.依次点击“路由”→“目的路由”→“新建”B.依次填写“目的地”→“子网掩码”→“网关”C.点击“确定”,新建成功注意:实例配置为默认路由,如果需要添加明细路由,请在第三步更改目的地与子网掩码。
2.3策略配置A.依次点击“策略”→“安全策略”→“新建”B.默认配置亦可,源目的安全域、源目的地址、服务为“any”,操作为“允许”C.点击“确定”,新建成功址是内网地址网段。
3入侵防御功能配置3.1防火墙联动配置当NIPS设备工作在旁路模式时,可在旁路接口配置与防火墙联动功能。
当对应入侵防御规则检测出威胁,并且对应行为为阻断IP或者阻断服务时,会将阻断的IP或者服务发给对应防火墙设备。
A.首先需要获取出口NGFW防火墙的IP地址和用户名密码。
假设NGFW的出口的IP地址为192.168.1.100,用户名和密码均为hillstone。
B.通过命令行CLI,如SSH、TELNET等方式登录设备,并输入“config”,进入config 模式。
C.确认旁路部署的接口,如ethernet0/1,旁路的接口安全域为“TAP”。
通过“网络”-“接口”可以查看相关配置。
本次项目中均为“xethernet2/0”和“xethernet2/1”。
D.通过“interface xethernet2/0”命令进入该接口模式下,进行配置,输入以下命令即可“tap firewall ip 192.168.1.100 username hillstone password hillstone”,其中根据具体情况替换防火墙IP地址和用户名密码即可。
E.配置完成后,即可与出口防火墙保持联动,保持配置,输入“save”,连续选择Y,即可。
3.2入侵防御配置入侵防御系统(Intrusion Prevention System)简称IPS,能够实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作。
系统的入侵防御功能能够实现完整的基于状态的检查,从而极大降低误报率。
当设备开启多项应用层数据检测功能时,启用入侵防御功能不会导致设备性能的明显下降。
另外,系统每天通过特征服务器自动更新特征库,保证特征的完整性和正确性。
•如接口开启了IPv6功能,IPS支持对IPv6地址进行扫描。
系统的入侵防御功能对协议的检测流程包括两部分,分别是协议解析和引擎匹配。
•协议解析过程对协议进行分析,发现协议异常后,系统会根据配置处理数据包(记录日志、阻断、屏蔽),并产生日志信息报告给管理员,系统生成的威胁日志信息详情中包含"威胁ID“,即为协议异常的特征ID,用户可以威胁日志页面查看日志的详细信息;•引擎匹配是在分析过程中提取感兴趣的协议元素交给引擎进行准确和快速的特征匹配检测,发现与特征库中特征相匹配的数据包后,系统根据配置处理数据包(记录日志、重置、屏蔽),并产生日志信息报告给管理员。
系统生成的威胁日志信息详情中包含"威胁ID“,即为特征库中的特征ID,用户可以根据该ID查看错误的具体信息。
A.在“对象”→“入侵防御”配置界面下,可查看当前入侵防御内置模板以及自定义模板。
B.在页面中选择点击新建,可以选择对应的协议进行防护。
C.进入“网络”-“安全域”,选择需要防护的安全域(旁路选择TAP安全域),双击打开、再弹出的页面,选择左侧的“威胁防护”,并勾选入侵防御,选择之前创建或者预定义的模板,并根据实际情况选择检测方向,点击确定。
3.3高级配置3.3.1配置协议特征库协议特征库的配置包括协议配置和特征配置两部分。
指定特征库下不同级别攻击特征对应的行为(记录日志、阻断、屏蔽攻击者)以及具体攻击特征对应的行为(优先级高于协议下配置的行为)。
协议配置如果需要对协议特征库进行编辑,请按照以下步骤进行操作:A.从入侵防御规则列表中规则对应的“协议类型”栏点击协议名称,打开指定协议特征库对话框。
B.点击<协议配置>标签页,配置当协议的安全级别分别在严重、警告、信息下的系统响应动作。
C.点击具体协议的<特征列表>标签页,查看或配置特征库中所有特征的具体信息。
D.点击“保存”按钮完成配置。
暗室逢灯是打发特征配置在具体协议的<特征列表>标签页,用户可以查看或配置入侵防御特征库中针对指定协议的特征具体信息,配置具体攻击特征的行为、启用/禁用某指定攻击特征。
3.3.2自定义威胁特征库为了让用户更加灵活的定义威胁特征,设备提供自定义威胁特征的功能。
A.在“对象”→“威胁防护” →“威胁防护全局列表”界面下,可以查看现有所有入侵防御特征库,并进行启用和禁用。
B.点击新建,根据具体情况,填写内容即可。
加载数据库:新建特征后,需点击“加载数据库”,才能将新建特征生效。
编辑特征:选中特征后,点击编辑。
只可编辑自定义特征。
编辑特征后,需点击“加载数据库”,才能使编辑后的特征生效。
删除特征:选中特征后,点击删除。
只可删除自定义特征。
删除特征后,需点击“加载数据库”,才能使删除后的特征失效。
启用/禁用特征:选中特征后,点击启用/禁用。
特征ID作为特征的唯一标识, 根据协议进行分类。
特征ID由两部分构成,分别为协议ID(第1位或者第1和第2位)和攻击特征ID(后5位),例如ID“605001”中,“6”表示Telnet协议,“05001”表示攻击特征ID。
攻击特征ID的第1位是“6”的为协议异常特征,其余为攻击特征。
协议ID与协议的对应关系下表所示:上表中,“Other-TCP”表示除表中已列出的标准TCP协议以外的其他TCP协议;“Other-UDP”表示除表中已列出的标准UDP协议以外的其他UDP协议。