HillStone最新配置基础手册.docx
《HillStone最新配置基础手册.docx》由会员分享,可在线阅读,更多相关《HillStone最新配置基础手册.docx(37页珍藏版)》请在冰豆网上搜索。
![HillStone最新配置基础手册.docx](https://file1.bdocx.com/fileroot1/2023-1/3/858f5ac0-3fc7-4e1b-baef-c9ffa6da6d56/858f5ac0-3fc7-4e1b-baef-c9ffa6da6d561.gif)
HillStone最新配置基础手册
HillStoneSA-配备手册
本文是基于安全网关操作系统为Version3.5进行编写,如版本不同,配备过程有也许不同样。
1网络端口配备
SA-安全网关前面板有5个千兆电口、1个配备口、1个CLR按键、1个USB接口以及状态批示灯。
下图为SA-前面板示意图:
序号
标记及阐明
序号
标记及阐明
1
PWR:
电源批示灯
5
CLR:
CLR按键
2
STA:
状态批示灯
6
CON:
配备口
3
ALM:
警告批示灯
7
USB:
USB接口
4
VPN:
VPN状态批示灯
8
e0/0-e0/4:
以太网电口
将网线接入到E0/0。
防火墙ethernet0/0接口配有默认IP地址192.168.1.1/24,但该端口没有设立为DHCP服务器为客户端提供IP地址,因而需要将PC机IP地址设立为同一网段,例如192.168.1.2/24才干连上防火墙。
通过IE打开192.168.1.1,然后输入默认顾客名和密码(均为hillstone)
登录后首页面。
可以看到CPU、内存、会话等使用状况。
诸多品牌防火墙或者路由器等,在默认状况下内网端口都是划分好并且形成一种小型互换机,但是hillstone产品却需要自己手工设立。
在本文档中,咱们准备将E0/0划分为UNTRUST口连接互联网,E0/1~E0/4总共4个端口咱们则划到一种互换机中并作为TRUST口连接内网。
在网络-接口界面中,新建一种bgroup端口,该端口是一种虚拟端口。
由于bgroup1接口需要提供路由功能,因而需要划入到三层安全域(trust)中。
输入由集团信息中心提供IP地址。
在管理设立中,尽量将各个管理功能合同打开,特别是HTTP功能。
建好bgroup1之后,对网络-接口页面中e0/1~e0/4分别修改,依次将它们划归为bgroup1。
设立好互换机功能后,还需要设立DHCP功能,以便PC机接入时可以自动获取IP地址。
新建一种DHCP地址池
依照集团信息中心提供IP地址段设立IP地址池。
租约里尽量将时间设大某些,这样在追查记录时候,不会由于PC机IP地址频繁发生变动而难以追踪。
拟定之后,POOL1地址则建好了,但是,还需要修改DNS才干让PC机可以访问到集团内网。
编辑POOL1进入高档配备界面。
DNS1和DNS2分别设立为集团总部10.0.1.11和10.0.1.13两个DNS。
设立完地址池之后,需要将该地址池捆绑到bgroup1以便让bgroup1可觉得PC机分派IP地址。
确认以上环节操作成功后,将本来连接到E0/0网线任意插入到E0/1~E0/4一种端口中,看看PC机与否可以获取到IP地址了。
通过IPCONFIG/ALL命令可以看到,PC机这时候已经获取到IP及DNS了。
将本来IE浏览器关闭,重新打开IE浏览器、输入网关地址(即bgroup1地址)并输入顾客名密码。
确认完E0/1-4任意一种TRUST口能获取IP后,即可修改E0/0为对外连接端口。
本文档中是以E0/0为ADSL拨号连接为示例。
新建一种PPPOE配备
输入ADSL顾客名及密码。
将自动重连间隔修改为1,否则ADSL不会自动重拨。
默认配备中,E0/0是属于trust域,需要将该端口修改为untrust并将PPPOE捆绑到该端口。
点击网络-接口,并修改E0/0设立。
启用设立路由。
管理合同中,本来默认均启动了e0/0所有管理端口,咱们可以在稍后确认所有配备均调试完毕后关闭某些合同以增强防火墙安全性。
点击拟定后,可以看到e0/0已经划入到untrust安全域中。
2防火墙设立
源NAT规则指定与否对符合条件流量源IP地址做NAT转换。
通过基本选项配备指定源NAT规则中流量应符合条件。
符合条件流量才干按照规则指定行为进行转换。
HillStone安全网关与其她品牌防火墙在方略配备中其中一种区别就是NAT设立。
其她防火墙普通都是自动设立好,但在HillStone中,必要要手工将上网行为和访问内网NAT方略明确区别才行。
建立一条让项目PC可以访问互联网时进行NAT转换方略。
在防火墙-NAT-源NAT中新建一条基本配备方略
源地址选取ipv4.bgroup1_subnet,出接口依然是选取e0/0。
行为选取NAT(出接口IP)
NAT方略建立好之后,在防火墙-方略中需要新建访问方略。
源安全域选取trust,目安全域选取untrust,点击新建
服务簿中选取ANY,即默认容许所有网络应用均可使用。
行为默以为容许
3VPN配备
设立完网络端口配备之后,开始设立VPN。
HillStoneVPN设立跟5GT或者FVS114有点区别,需要手工先设立适当P1建议和P2建议。
点击VPN-IPSecVPN。
在P1建议中新建一种建议,如gemdale-p1。
集团当前均使用pre-sharedkey-MD5-3DES-Group2加密方略。
同样方式再新建一种P2。
选用ESP-MD5-3DES-NoPFS
新建完P1和P2之后,开始新建一种IPSecVPN。
在IKEVPN列表中点新建
输入对端名称gemdale(可以随便起名,不同防火墙设备均可以设立相似名字。
为以便辨认,这里可以统一设立为gemdale)。
接口设立为对外连接端口-E/0。
模式为野蛮模式(aggressivemode)。
静态IP61.144.195.60指向集团总部防火墙。
本地ID一定要设立,普通由集团信息中心提供(常为都市+项目名+用途,如上海赵巷项目部为shzhaoxxmb)。
对端ID可以不用设立。
建议1则选用前面新增gemdale-p1。
共享密钥为便于记忆可以设立与本地ID一致。
(这些设立均须与集团信息中心协商)
点击高档,增长DPD功能:
勾选对端存活体检测(DPD)
设立好环节1之后,点击环节2:
隧道
为便于管理,隧道名称与本地ID值一致。
模式为tunnel,建议名称选用前面设立好gemdale-p2。
自动连接:
配备自动连接功能。
默认状况下,该功能是关闭,选取<启用>复选框启动该功能。
安全网关提供两种触发建立SA方式:
自动方式和流量触发方式。
自动方式时,设备每60秒检查一次SA状态,如果SA未建立则自动发起协商祈求;流量触发方式时,当有数据流量需要通过隧道进行传播时,该隧道才发起协商祈求。
默认状况下,系统使用流量触发方式。
为了访问集团内网,需要制定一条不需要NAT转换方略。
点击防火墙-NAT-源NAT,在源NAT列表中,新建一条高档配备
在源地址地址簿中选取ipv4.bgroup1_subnet,这个就是安全网关内部网段。
在目地址中,如果之前没有在对象-地址簿中建立过集团总部网段信息,则可以直接通过点目地址地址簿,下拉菜单中会有【新建…】提示
点击【新建…】之后浮现下面地址簿配备界面。
名称起集团总部,IP地址填10.0.0.0,掩码为17位,即255.255.128.0
建好集团总部这个地址簿之后,在目地址地址簿中就可以选取集团总部。
出接口选取e0/0,行为选取不做NAT
除了建立一条访问集团总部内网NAT方略之外,还需要继续新建VPN访问方略。
同样,在防火墙-方略中,选取新建一条从trust到untrust方略。
源地址选取ipv4.bgroup1_subnet,目地址选取集团总部,行为选取【隧道】,隧道中选取之前在VPN建好IPSECVPN方略。
将双向VPN方略构选,这样,就不需要再建一条从untrust到trustVPN防火墙方略了(如果配备时候忘掉构选该选项,则需要再新建一条untrust到trust方略,行为则要选取来自隧道)。
此时,点防火墙-方略可以看到之前设立好3条方略。
如果新建方略时候顺序反了,例如新建了VPN防火墙方略之后再建上网方略,则需要将点
将顺序对调一下。
下图为顺序建反状况,必要要将ANY到ANY方略放在VPN防火墙方略下面,即将ID为1方略放在ID为2方略下面。
4流量控制配备
使用HillStone最大目则是运用其丰富流量控制管理功能实现项目上网络流量控制。
默认状况下,安全网关没有打开应用辨认功能,需要在网络-安全域中,将trust或者untrust或者两个安全域应用辨认启用。
4.1P2P限流
对于P2P流量,可以实行限流。
即容许顾客使用迅雷或者电驴等软件,但流量做了特别限制,例如只容许上下行带宽为32kbps(相称于4Kbyte/秒)。
这里可以依照各项目实际状况而放宽流量大小。
在QoS-应用QoS中添加一条控制方略。
例如,规则名称起名为gemdale-p2p流量,接口绑定到bgroup1,应用选取P2P下载、P2P视频和HTTP_Download(这里HTTP_Download并非是指IE中直接下载,而是指封堵迅雷中80端口P2P下载功能)。
注意上行和下行。
HillStone中对上行和下行定义与在某些专业级路由器相似,即依照端口进出来决定上行还是下行。
对于bgroup1,PC机下载流量对于这个端口而言是出去流量,因而是上行流量;而PC机上传流量对于这个端口而言是进到安全网关流量,因而是下行流量。
4.2禁止P2P流量
除了限流这种控制方式之外,咱们也可以选取直接禁止P2P流量。
在对象-服务簿中,新建一种自定义服务组,并将P2P所用到合同划分到该服务组中。
例如,组名可以起禁止P2P服务,构成员选取P2P下载、P2P视频和HTTP_Download(这里HTTP_Download并非是指IE中直接下载,而是指封堵迅雷中80端口P2P下载功能)。
建好自定义服务组之后,在防火墙-方略中新建一条从trust到untrust方略,该方略用于禁止P2P流量下载。
在服务簿中选取之前建好禁止P2P服务,然后行为在选取回绝。
建好方略之后,可以看到新建方略是位于默认上网方略(ID1)下面,因而,还需要将该禁止方略放在ANY到ANY方略上面。
点击
对其进行调节。
将该条方略规则移到默认上网方略(ID1)前面
移完之后再确认一下配备与否对的
4.3IP流量控制
除了控制P2P流量之外,咱们还要对单个IP进行流量控制。
这是基于一下几点考虑:
一、有也许P2P软件不断更新,而安全网关应用特性库没有及时更新,也许会导致新P2P流量浮现从而导致带宽资源所有被占用;
二、PC也有也许中病毒而产生大流量从而导致带宽资源所有被占用;
三、顾客有也许通过IE直接下载某些大流量软件
在QoS-IPQoS中新建一种规则。
规则名称起名gemdale-qos;接口绑定到bgroup1;IP地址从地址簿下拉菜单中选取ipv4.bgroup1_subnet;
对于项目部,大多数都是选用2MADSL(下载到2M,上传到512K),因而,可以考虑将每个IP流量限制在上行400kbps,下行100kbps。
注意上行和下行。
HillStone中对上行和下行定义与在某些专业级路由器相似,即依照端口进出来决定上行还是下行。
对于bgroup1,PC机下载流量对于这个端口而言是出去流量,因而是上行流量;而PC机上传流量对于这个端口而言是进到安全网关流量,因而是下行流量。
4.4时间设立
如果需要设立人性化流量管理,可以考虑将时间考虑进去。
例如,可以筹划每天早上8:
30到晚上8点半这个时间段禁止(或者限流)进行P2P下载。
在对象-时间表里新建一种时间表。
在防火墙-方略中找到禁止P2P服务规则,对它进行编辑,并将时间表下拉菜单中选取之前新建时间表规则。
如果是限流P2P流量设立,则在QoS-应用Qos中将上下行时间表选中
如果是对IP限流,则在QoS-IPQoS中增长上下行时间表
4.5记录功能
默认状况下,安全网关没有将流量状况进行记录,需要依照实际状况启动自己所需功能。
在监控-记录集里,构选接口+IP+应用带宽。
(如果需要一登录安全网关即可在首页里看到记录,则还需要构选系统全局记录中IP上下行带宽等。
构选完毕之后,在监控-记录集里可以选取bgroup1看到项目上PC使用网络状况。
首页界面可以看到前10IP上下行带宽。
但是,所有这些监控菜单中记录数据均存储在设备缓存中而已,一旦安全网关重启则所有丢失。
如果配合HIllStoneHSM网管平台则可以解决这个问题。
5基本配备
新设备购买过来之后,license普通都还没更新,需要让供应商将合法License发给咱们后自行更新。
1月1日之后,License至少有两个,一种是基本平台,一种是QOS。
升级如下:
上图是两个License。
升级时候将license:
开头一段拷贝到系统-允许证-允许证安装下面手工框里,然后点确认。
每导入一种License,系统会提示需要重启
等两个license均导入之后点击右上角重启
确认即可。
为便于对设备进行管理,可觉得每台设备起一种名称,如果有网管软件时候特别重要。
在系统-设备管理-基本信息中,为该主机名称起一种名字
同步,为安全起见,需要修改登录密码。
在安全性方面,为防止外部某些袭击,可以将连接互联网E0/0管理端口恰当关闭(在网络-接口)。
例如,仅开放HTTPS。
所有配备确认完毕,功能也均测试完毕之后,可以将该配备进行备份。