Hillstone安全网关基础配置手册v4.0

服务热线：400 828 6655

Hillstone山石网科

多核安全网关

基础配置手册

V 4.0版本

目录

一．设备管理 (1)

1.1终端CONSOLE登录 (1)

1.2网页W EB UI登录 (1)

1.3恢复出厂设置 (2)

1.4设备软件S TONE-OS升级 (4)

1.5许可证安装 (7)

二．基础上网配置 (8)

2.1接口配置 (8)

2.2路由配置 (10)

2.3策略配置 (11)

2.4源地址转换配置 (12)

三．常用功能配置 (13)

3.1PPP O E拨号配置 (13)

3.2动态地址分配DHCP配置 (15)

3.3I P-M AC地址绑定配置 (17)

3.4端到端I PSEC VPN配置 (19)

3.5远程接入SCVPN配置 (26)

3.6目的地址转换DNAT配置 (34)

3.6.1一对一IP映射 (34)

3.6.2一对一端口映射 (38)

3.6.3多对多端口映射 (43)

3.6.4一对多映射（服务器负载均衡） (49)

一．设备管理

安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。

1.1 终端console登录

通过Console 口配置安全网关时需要在计算机上运行终端仿真程序（系统的超级终端、SecureCRT等）建立与安全网关的连接，并按如下表所示设置参数（与连接Cisco设备的参数一致）：

1.2网页WebUI登录

WebUI同时支持http和https两种访问方式，首次登录设备可通过默认接口ethernet0/0来进行，登录方法为：

1. 将管理 PC 的IP 地址设置为与19

2.168.1.1/24 同网段的IP 地址，并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。

2. 在管理 PC 的Web 浏览器中访问地址http://192.168.1.1 并按回车键。出现的登录页面如下图所示：

1.3 恢复出厂设置

1．CLI命令行操作

a.输入：Unset all

b.根据提示，选择是否保存当前配置：y/n

c.选择是否重启：y/n

d.系统重启后即恢复到出厂设置。

2．webUI图形化界面操作

a．web方式登陆安全网关系统，依次按点击“系统”—“配置”;

b．点击“清除”按钮，系统会提示将返回出厂缺省值，并重启系统，点击“确定”按钮即可，等设备启动好后就恢复到出厂设置:

3．硬件CLR操作

a.关闭安全网关的电源；

b.用针状物按住CLR按键（安全网关正面的小孔），打开电源按钮；

c.保持住状态直到指示灯的STA和ALM均变红色常亮，释放CLR按键此时系统开始恢复出厂配置；

d.出厂配置恢复完毕，系统将会自动重新启动。

1.4设备软件Stone-OS升级

1．通过sysloader进行StoneOS升级

a.给设备上电按提示按ESC并且进入 Sysloader。参照以下操作提示；

b.在下面选择对应的选项升级os，可以通过tftp、ftp、usb、系统中备份的os。（本文以tftp为例），按下图弹出窗口选择1；

c.确保安全网关与控制主机的连通性，并将需升级的os考到指定目录；

d.依次配置 Sysloader 的IP 地址、TFTP 服务器的IP 地址、网关IP 地址以及StoneOS名称；

e.保存 StoneOS；

f.重启，系统将使用新的 StoneOS 启动；

2．通过WebUI升级StoneOS

用户也可以通过WebUI 升级StoneOS。请按照以下步骤通过WebUI 升级StoneOS：

1. 将新的 StoneOS 保存到本地；

2. 访问页面登录安全网关设备：

3. 依次点击“系统”—“系统软件”---“升级”，弹出升级系统软件的界面；再点击“浏览”选择需要升级的os，点击“确定”等待上传成功。

4、上传成功后选择新的os作为启动os，点击“确定”，后提示重启，等设备重启后即可：

1.5许可证安装

一．CLI命令行安装

1．登录安全网关，运行命令exec license install +许可证，如下图：

2．系统会提示重启后生效，重启设备即可。

二．web界面安装许可证

1．登录安全网关设备，依次点击“系统”---“许可证”，右边面板可以看到当前系统的许可证的是否已许可及许可的期限：

2．在许可证安装处点击“浏览”，选择许可证文件，点击“确认“即可；如许可证为非文件形式，选择“手动”拷贝许可证文件，点击“确认“即可。

3．重启安全网关设备，许可证即可安装。

二．基础上网配置

对于一台全新的设备，如果只是需要简单的内部用户可以正常上网，只需要配置接口、路由、策略和源nat这4项功能，以下是具体配置方法：

2.1接口配置

1.进入设备管理界面后，点击左边网络—接口；

2.选择相应的接口，点击编辑：

3.在接口配置界面中，选择接口的安全域类型（三层接口即为三层安全域，二层接口即为二层安全域）、安全域名称（一般内网使用trust或l2-trust安全域，外网使用untrust或l2-untrust）、接口ip地址网络掩码和接口的管理方式

注意：如果外网接口使用的是PPPoE的拨号接入，接口配置请参考文档3.1PPPoE 相关配置。