Hillstone安全网关基础配置手册v4.0
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
服务热线:400 828 6655
Hillstone山石网科
多核安全网关
基础配置手册
V 4.0版本
目录
一.设备管理 (1)
1.1终端CONSOLE登录 (1)
1.2网页W EB UI登录 (1)
1.3恢复出厂设置 (2)
1.4设备软件S TONE-OS升级 (4)
1.5许可证安装 (7)
二.基础上网配置 (8)
2.1接口配置 (8)
2.2路由配置 (10)
2.3策略配置 (11)
2.4源地址转换配置 (12)
三.常用功能配置 (13)
3.1PPP O E拨号配置 (13)
3.2动态地址分配DHCP配置 (15)
3.3I P-M AC地址绑定配置 (17)
3.4端到端I PSEC VPN配置 (19)
3.5远程接入SCVPN配置 (26)
3.6目的地址转换DNAT配置 (34)
3.6.1一对一IP映射 (34)
3.6.2一对一端口映射 (38)
3.6.3多对多端口映射 (43)
3.6.4一对多映射(服务器负载均衡) (49)
一.设备管理
安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。
1.1 终端console登录
通过Console 口配置安全网关时需要在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与安全网关的连接,并按如下表所示设置参数(与连接Cisco设备的参数一致):
1.2网页WebUI登录
WebUI同时支持http和https两种访问方式,首次登录设备可通过默认接口ethernet0/0来进行,登录方法为:
1. 将管理 PC 的IP 地址设置为与19
2.168.1.1/24 同网段的IP 地址,并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。
2. 在管理 PC 的Web 浏览器中访问地址http://192.168.1.1 并按回车键。出现的登录页面如下图所示:
1.3 恢复出厂设置
1.CLI命令行操作
a.输入:Unset all
b.根据提示,选择是否保存当前配置:y/n
c.选择是否重启:y/n
d.系统重启后即恢复到出厂设置。
2.webUI图形化界面操作
a.web方式登陆安全网关系统,依次按点击“系统”—“配置”;
b.点击“清除”按钮,系统会提示将返回出厂缺省值,并重启系统,点击“确定”按钮即可,等设备启动好后就恢复到出厂设置:
3.硬件CLR操作
a.关闭安全网关的电源;
b.用针状物按住CLR按键(安全网关正面的小孔),打开电源按钮;
c.保持住状态直到指示灯的STA和ALM均变红色常亮,释放CLR按键此时系统开始恢复出厂配置;
d.出厂配置恢复完毕,系统将会自动重新启动。
1.4设备软件Stone-OS升级
1.通过sysloader进行StoneOS升级
a.给设备上电按提示按ESC并且进入 Sysloader。参照以下操作提示;
b.在下面选择对应的选项升级os,可以通过tftp、ftp、usb、系统中备份的os。(本文以tftp为例),按下图弹出窗口选择1;
c.确保安全网关与控制主机的连通性,并将需升级的os考到指定目录;
d.依次配置 Sysloader 的IP 地址、TFTP 服务器的IP 地址、网关IP 地址以及StoneOS名称;
e.保存 StoneOS;
f.重启,系统将使用新的 StoneOS 启动;
2.通过WebUI升级StoneOS
用户也可以通过WebUI 升级StoneOS。请按照以下步骤通过WebUI 升级StoneOS:
1. 将新的 StoneOS 保存到本地;
2. 访问页面登录安全网关设备:
3. 依次点击“系统”—“系统软件”---“升级”,弹出升级系统软件的界面;再点击“浏览”选择需要升级的os,点击“确定”等待上传成功。
4、上传成功后选择新的os作为启动os,点击“确定”,后提示重启,等设备重启后即可:
1.5许可证安装
一.CLI命令行安装
1.登录安全网关,运行命令exec license install +许可证,如下图:
2.系统会提示重启后生效,重启设备即可。
二.web界面安装许可证
1.登录安全网关设备,依次点击“系统”---“许可证”,右边面板可以看到当前系统的许可证的是否已许可及许可的期限:
2.在许可证安装处点击“浏览”,选择许可证文件,点击“确认“即可;如许可证为非文件形式,选择“手动”拷贝许可证文件,点击“确认“即可。
3.重启安全网关设备,许可证即可安装。
二.基础上网配置
对于一台全新的设备,如果只是需要简单的内部用户可以正常上网,只需要配置接口、路由、策略和源nat这4项功能,以下是具体配置方法:
2.1接口配置
1.进入设备管理界面后,点击左边网络—接口;
2.选择相应的接口,点击编辑:
3.在接口配置界面中,选择接口的安全域类型(三层接口即为三层安全域,二层接口即为二层安全域)、安全域名称(一般内网使用trust或l2-trust安全域,外网使用untrust或l2-untrust)、接口ip地址网络掩码和接口的管理方式
注意:如果外网接口使用的是PPPoE的拨号接入,接口配置请参考文档3.1PPPoE 相关配置。