HillStone配置重点学习的手册doc.docx

1、HillStone配置重点学习的手册docHillStone SA-2001 配置手册1 网络端口配置 22 防火墙设置 153 VPN 配置 174 流量控制的配置 29P2P 限流 29禁止 P2P 流量 30IP 流量控制 34时间的设置 35统计功能 375 基础配置 41本文是基于安全网关操作系统为 Version 进行编写，如版本不同，配置过程有可能不一样。1网络端口配置SA-2001安全网关前面板有 5个千兆电口、 1个配置口、 1个 CLR按键、 1个 USB接口以及状态指示灯。下图为 SA-2001的前面板示意图：序号标识及说明序号标识及说明1PWR：电源指示灯5CLR：CL

2、R按键2STA：状态指示灯6CON：配置口3ALM：警告指示灯7USB： USB接口4VPN： VPN状态指示灯8e0/0-e0/4 ：以太网电口将网线接入到 E0/0。防火墙的 ethernet0/0 接口配有默认 IP地址，但该端口没有设置为DHCP服务器为客户端提供 IP地址，因此需要将 PC机的 IP地址设置为同一网段， 例如才能连上防火墙。通过 IE打开，然后输入默认的用户名和密码（均为 hillstone ）登录后的首页面。可以看到 CPU、内存、会话等使用情况。很多品牌的防火墙或者路由器等， 在默认情况下内网端口都是划分好并且形成一个小型交换机的，但是 hillstone 的产品

3、却需要自己手工设置。在本文档中，我们准备将 E0/0划分为UNTRUST口连接互联网， E0/1 E0/4总共 4个端口我们则划到一个交换机中并作为 TRUST口连接内网。在网络接口 界面中，新建一个 bgroup 端口，该端口是一个虚拟的端口。因为 bgroup1 接口需要提供路由功能，因此需要划入到三层安全域（ trust ）中。输入由集团信息中心提供的 IP地址。在管理设置中，尽量将各个管理功能的协议打开，尤其是 HTTP功能。建好 bgroup1 之后，对 网络 接口 页面中的 e0/1 e0/4 分别修改，依次将它们划归为bgroup1 。设置好交换机功能后， 还需要设置 DHCP功

4、能，以便 PC 机接入时可以自动获取 IP 地址。新建一个 DHCP地址池根据集团信息中心提供的 IP 地址段设置 IP 地址池。 租约里尽量将时间设大一些，这样在追查记录的时候，不会因为 PC机的 IP 地址频繁发生变动而难以追踪。确定之后， POOL1的地址则建好了，不过，还需要修改 DNS 才能让 PC机可以访问到集团内网。编辑 POOL1 进入高级配置界面。DNS1 和 DNS2分别设置为集团总部的 10.0.1.11 和两个 DNS。设置完地址池之后，需要将该地址池捆绑到 bgroup1 以便让 bgroup1 可以为 PC机分配IP 地址。确认以上步骤操作成功后，中，看看 PC 机

5、是否可以获取到已经获取到 IP 及 DNS 了。将原来连接到 E0/0 的网线任意插入到 E0/1E0/4 的一个端口 IP 地址了。通过 IPCONFIG/ALL命令可以看到， PC机这时候将原来的 IE 浏览器关闭，重新打开IE 浏览器、输入网关地址（即bgroup1的地址）并输入用户名密码。确认完 E0/1-4 的任意一个 TRUST口能获取 IP 后，即可修改 E0/0 为对外连接端口。 本文档中是以 E0/0 为 ADSL拨号连接为示例。新建一个 PPPOE配置输入 ADSL的用户名及密码。将自动重连间隔修改为 1，否则 ADSL不会自动重拨。默认配置中， E0/0 是属于 trus

6、t 域的，需要将该端口修改为 untrust 并将 PPPOE捆绑到该端口。点击 网络接口 ，并修改 E0/0 的设置。启用设置路由。管理的协议中，原来默认均开启了 e0/0 所有的管理端口，我们可以在稍后确认所有的配置均调试完毕后关闭一些协议以增强防火墙的安全性。点击确定后，可以看到 e0/0 已经划入到 untrust 的安全域中。2防火墙设置源 NAT 规则指定是否对符合条件的流量的源 IP 地址做 NAT 转换。通过基本选项的配置指定源 NAT 规则中流量应符合的条件。符合条件的流量才能按照规则指定的行为进行转换。 HillStone 安全网关与其他品牌的防火墙在策略配置中的其中一个区

7、别就是 NAT 设置。其他防火墙一般都是自动设置好，但在 HillStone 中，必须要手工将上网行为和访问内网的NAT策略明确区分才行。建立一条让项目 PC可以访问互联网时进行 NAT转换的策略。在防火墙 NAT源 NAT 中新建一条 基本配置 的策略源地址 选择， 出接口 仍然是选择 e0/0。 行为 选择 NAT（出接口 IP）NAT策略建立好之后，在 防火墙策略 中需要新建访问策略。源安全域 选择 trust ，目的安全域 选择 untrust ，点击 新建服务簿 中选择 ANY，即默认允许所有的网络应用均可使用。行为 默认为 允许3 VPN 配置设置完网络端口的配置之后，开始设置 V

8、PN。 HillStone 的 VPN 设置跟 5GT 或者 FVS114有点区别，需要手工先设置合适的 P1 提议和 P2 提议。点击 VPN IPSec VPN。在P1 提 议 中 新 建 一 个 提 议 ， 如 gemdale-p1 。 集 团 现 在 均 使 用 pre-shared key-MD5-3DES-Group2 的加密策略。同样的方式再新建一个 P2。选用 ESP-MD5-3DES-No PFS新建完 P1 和 P2 之后，开始新建一个 IPSec VPN。在 IKE VPN列表中点 新建输入对端名称 gemdale（可以随便起名，不同防火墙设备均可以设置相同的名字。为方便

9、识别，这里可以统一设置为 gemdale）。接口设置为对外连接的端口 E/0。 模式为野蛮模式（aggressive mode）。静态指向集团总部防火墙。本地 ID 一定要设置，一般由集团信息中心提供（常为城市项目名用途，如上海赵巷项目部为 shzhaoxxmb）。对端 ID 可以不用设置。提议 1 则选用前面新增的 gemdale-p1 。共享密钥为便于记忆可以设置与本地 ID 一致。（这些设置均须与集团信息中心协商）点击 高级 ,增加 DPD 功能： 勾选对端存活体检测（ DPD）设置好步骤 1 之后，点击 步骤 2：隧道为便于管理，隧道的名称与本地 ID 值一致。模式为 tunnel ，

10、提议名称选用前面设置好的gemdale-p2 。自动连接 ：配置自动连接功能。默认情况下，该功能是关闭的，选择 复选框开启该功能。 安全网关 提供两种触发建立 SA 的方式：自动方式和流量触发方式。自动方式时，设备每60 秒检查一次 SA 的状态，如果 SA未建立则自动发起协商请求；流量触发方式时，当有数据流量需要通过隧道进行传输时， 该隧道才发起协商请求。 默认情况下， 系统使用流量触发方式。为了访问集团内网， 需要制定一条不需要 NAT 转换的策略。 点击 防火墙 NAT源 NAT，在源 NAT 列表中，新建一条 高级配置在源地址 的地址簿 中选择，这个就是安全网关的内部网段。在目的地址

11、中，如果之前没有在 对象地址簿 中建立过集团总部网段的信息，接通过点 目的地址 的地址簿 ，下拉菜单中会有【新建 】的提示则可以直点击【新建 】之后出现下面的地址簿配置界面。名称起码 为 17位集团总部 ， IP地址填，10.0.0.0，掩即建好 集团总部 这个地址簿之后，在目的地址的地址簿中就可以选择 集团总部 。出接口 选择 e0/0，行为 选择不做 NAT除了建立一条访问集团总部内网的 NAT 策略之外，还需要继续新建 VPN 访问的策略。同样，在 防火墙策略 中，选择新建一条从 trust 到 untrust 的策略。源地址选择， 目的地址选择 集团总部 ，行为 选择【隧道】，隧道中选

12、择之前在 VPN 建好的 IPSECVPN 策略。将双向 VPN 策略 构选，这样，就不需要再建一条从 untrust 到 trust 的 VPN 防火墙策略了 （如果配置的时候忘记构选该选项， 则需要再新建一条 untrust 到 trust 的策略， 行为 则要选择 来自隧道）。此时，点防火墙策略 可以看到之前设置好的 3 条策略。如果新建策略的时候顺序反了，例如新建了 VPN 的防火墙策略之后再建上网策略，则需要将点 将顺序对调一下。下图为顺序建反的情况，必须要将 ANY 到 ANY 的策略放在 VPN 防火墙策略的下面，即将 ID 为的策略放在 ID 为 2 的策略下面。14流量控制的

13、配置使用 HillStone 的最大目的则是利用其丰富的流量控制管理功能实现项目上的网络流量控制。默认情况下，安全网关没有打开应用识别功能，需要在网络安全域中，将 trust 或者untrust 或者两个安全域的应用识别启用。4.1 P2P 限流对于 P2P 流量， 可以实行限流。 即允许用户使用迅雷或者电驴等软件， 但流量做了特别的限制，例如只允许上下行带宽为 32kbps（相当于 4Kbyte/ 秒）。这里可以根据各项目的实际情况而放宽流量的大小。在 QoS应用 QoS 中添加一条控制策略。例如， 规则名称 起名为 gemdale-p2p 流量，接口绑定到 bgroup1 ，应用选择 P2

14、P下载、P2P视频和 HTTP_Download（这里的 HTTP_Download并非是指 IE 中的直接下载，而是指封堵迅雷中的 80 端口 P2P 下载功能）。注意 上行和下行 。HillStone 中对上行和下行的定义与在一些专业级路由器相似， 即根据端口的进出来决定上行还是下行。 对于 bgroup1 ，PC机的下载流量对于这个端口而言是出去的流量，因此是上行流量；而 PC机上传的流量对于这个端口而言是进到安全网关的流量，因此是下行流量。4.2 禁止 P2P 流量除了限流这种控制方式之外，我们也可以选择直接禁止 P2P 流量。在对象服务簿 中，新建一个 自定义服务组 ，并将 P2P

15、所用到的协议划分到该服务组中。例如，组名可以起 禁止 P2P 服务，组成员 选择 P2P 下载、 P2P 视频和 HTTP_Download（这里的 HTTP_Download 并非是指 IE 中的直接下载，而是指封堵迅雷中的 80 端口 P2P 下载功能）。建好自定义服务组之后， 在防火墙策略 中新建一条从 trust 到 untrust 的策略， 该策略用于禁止 P2P 流量的下载。在服务簿中选择之前建好的 禁止 P2P 服务 ，然后行为在选择 拒绝。建好策略之后，可以看到新建的策略是位于默认上网策略（ ID 1）下面的，因此，还需要将该禁止策略放在 ANY 到 ANY 策略的上面。点击

16、对其进行调整。将该条策略规则移到默认上网策略（ ID 1）的前面移完之后再确认一下配置是否正确4.3 IP 流量控制除了控制 P2P 流量之外，我们还要对单个 IP 进行流量控制。这是基于一下几点考虑的：一、 有可能 P2P 的软件不断更新，而安全网关的应用特征库没有及时更新，可能会导致新的 P2P 流量出现从而导致带宽资源全部被占用；二、 PC也有可能中病毒而产生大流量从而导致带宽资源全部被占用；三、 用户有可能通过 IE 直接下载一些大流量的软件在QoS IP QoS中新建一个规则。 规则名称 起名 gemdale-qos ；接口绑定到 bgroup1 ；IP 地址 从地址簿 的下拉菜单中

17、选择；对于项目部，大多数都是选用 2M 的 ADSL（下载到 2M，上传到 512K），因此，可以考虑将每个 IP 的流量限制在上行 400kbps，下行 100kbps。注意 上行和下行 。HillStone 中对上行和下行的定义与在一些专业级路由器相似，即根据端口的进出来决定上行还是下行。对于 bgroup1 ，PC 机的下载流量对于这个端口而言是出去的流量，因此是上行流量；而 PC 机上传的流量对于这个端口而言是进到安全网关的流量，因此是下行流量。4.4 时间的设置如果需要设置人性化的流量管理，可以考虑将时间考虑进去。例如，可以计划每天早上 8： 30 到晚上 8 点半这个时间段禁止（或

18、者限流）进行 P2P 的下载。在对象时间表 里新建一个时间表。在防火墙策略 中找到禁止 P2P 服务的规则，对它进行编辑，并将 时间表 的下拉菜单中选择之前新建的时间表规则。如果是限流 P2P 流量的设置，则在 QoS应用 Qos 中将上下行的时间表选中如果是对 IP 限流，则在 QoS IP QoS中增加上下行的时间表4.5 统计功能默认情况下， 安全网关没有将流量情况进行统计， 需要根据实际情况开启自己所需的功能。在监控统计集 里，构选 接口 IP应用带宽 。（如果需要一登录安全网关即可在首页里看到统计，则还需要构选系统全局统计中的 IP 上下行带宽 等。构选完毕之后，在 监控统计集 里可

19、以选择 bgroup1 看到项目上 PC使用网络的情况。首页的界面可以看到前 10IP 的上下行带宽。不过，所有这些监控菜单中的统计数据均存放在设备的缓存中而已，一旦安全网关重启则全部丢失。如果配合 HIllStone 的 HSM 网管平台则可以解决这个问题。5基础配置新设备购买过来之后， license 一般都还没更新，需要让供应商将合法的 License 发给我们后自行更新。 2010 年 1 月 1 日之后， License 至少有两个，一个是基础平台，一个是 QOS。升级如下：上图是两个 License。升级的时候将 license:开头的一段拷贝到 系统 许可证 许可证安装 下面的 手工 框里，然后点确认。每导入一个 License，系统会提示需要重启等两个 license 均导入之后点击右上角的重启确认即可。为便于对设备进行管理，可以为每台设备起一个名称，如果有网管软件的时候尤其重要。在系统设备管理基本信息 中，为该主机名称起一个名字同时，为安全起见，需要修改登录密码。在安全性方面，为防止外部一些攻击，可以将连接互联网的 E0/0 的管理端口适当关闭（在网络接口 ）。例如，仅开放 HTTPS。全部配置确认完毕，功能也均测试完毕之后，可以将该配置进行备份。