HillStone最新配置手册范本

《HillStone最新配置手册范本》由会员分享，可在线阅读，更多相关《HillStone最新配置手册范本（38页珍藏版）》请在装配图网上搜索。

1、 . HillStone SA-2001配置手册1网络端口配置22防火墙设置123VPN配置144流量控制的配置244.1P2P限流244.2禁止P2P流量254.3IP流量控制284.4时间的设置294.5统计功能325根底配置35本文是基于平安网关操作系统为Version 3.5进展编写，如版本不同，配置过程有可能不一样。1 网络端口配置SA-2001平安网关前面板有5个千兆电口、1个配置口、1个CLR按键、1个USB接口以及状态指示灯。下列图为SA-2001的前面板示意图：序号标识及说明序号标识及说明1 PWR：电源指示灯5 CLR：CLR按键2 STA：状态指示灯6 CON：配置口3

2、ALM：警告指示灯7 USB：USB接口4 VPN：VPN状态指示灯8 e0/0-e0/4：以太网电口将网线接入到E0/0。防火墙的ethernet0/0接口配有默认IP地址登录后的首页面。可以看到CPU、存、会话等使用情况。很多品牌的防火墙或者路由器等，在默认情况下网端口都是划分好并且形成一个小型交换机的，但是hillstone的产品却需要自己手工设置。在本文档中，我们准备将E0/0划分为UNTRUST口连接互联网，E0/1E0/4总共4个端口我们那么划到一个交换机中并作为TRUST口连接网。在网络接口界面中，新建一个bgroup端口，该端口是一个虚拟的端口。因为bgroup1接口需要提供路

3、由功能，因此需要划入到三层平安域trust中。输入由集团信息中心提供的IP地址。在管理设置中，尽量将各个管理功能的协议翻开，尤其是HTTP功能。建好bgroup1之后，对网络接口页面中的e0/1e0/4分别修改，依次将它们划归为bgroup1。设置好交换机功能后，还需要设置DHCP功能，以便PC机接入时可以自动获取IP地址。新建一个DHCP地址池根据集团信息中心提供的IP地址段设置IP地址池。 租约里尽量将时间设大一些，这样在追查记录的时候，不会因为PC机的IP地址频繁发生变动而难以追踪。确定之后，POOL1的地址那么建好了，不过，还需要修改DNS才能让PC机可以访问到集团网。编辑POOL1进

4、入高级配置界面。DNS1和DNS2分别设置为集团总部的设置完地址池之后，需要将该地址池捆绑到bgroup1以便让bgroup1可以为PC机分配IP地址。确认以上步骤操作成功后，将原来连接到E0/0的网线任意插入到E0/1E0/4的一个端口中，看看PC机是否可以获取到IP地址了。通过IPCONFIG/ALL命令可以看到，PC机这时候已经获取到IP及DNS了。将原来的IE浏览器关闭，重新翻开IE浏览器、输入网关地址即bgroup1的地址并输入用户名密码。确认完E0/1-4的任意一个TRUST口能获取IP后，即可修改E0/0为对外连接端口。本文档中是以E0/0为ADSL拨号连接为示例。新建一个PPP

5、OE配置输入ADSL的用户名及密码。将自动重连间隔修改为1，否那么ADSL不会自动重拨。默认配置中，E0/0是属于trust域的，需要将该端口修改为untrust并将PPPOE捆绑到该端口。点击网络接口，并修改E0/0的设置。启用设置路由。管理的协议中，原来默认均开启了e0/0所有的管理端口，我们可以在稍后确认所有的配置均调试完毕后关闭一些协议以增强防火墙的平安性。点击确定后，可以看到e0/0已经划入到untrust的平安域中。2 防火墙设置源NAT规那么指定是否对符合条件的流量的源IP地址做NAT转换。通过根本选项的配置指定源NAT规那么中流量应符合的条件。符合条件的流量才能按照规那么指定的

6、行为进展转换。HillStone平安网关与其他品牌的防火墙在策略配置中的其中一个区别就是NAT设置。其他防火墙一般都是自动设置好，但在HillStone中，必须要手工将上网行为和访问网的NAT策略明确区分才行。建立一条让项目PC可以访问互联网时进展NAT转换的策略。在防火墙NAT源NAT中新建一条根本配置的策略源地址选择ipv4.bgroup1_subnet，出接口仍然是选择e0/0。行为选择NAT出接口IPNAT策略建立好之后，在防火墙策略中需要新建访问策略。源平安域选择trust，目的平安域选择untrust，点击新建效劳簿中选择ANY，即默认允许所有的网络应用均可使用。行为默认为允许3

7、VPN配置设置完网络端口的配置之后，开场设置VPN。HillStone的VPN设置跟5GT或者FVS114有点区别，需要手工先设置适宜的P1提议和P2提议。点击VPNIPSec VPN。在P1提议中新建一个提议，如gemdale-p1。集团现在均使用pre-shared key-MD5-3DES-Group2的加密策略。同样的方式再新建一个P2。选用ESP-MD5-3DES-No PFS新建完P1和P2之后，开场新建一个IPSec VPN。在IKE VPN列表中点新建点击高级,增加DPD功能： 勾选对端存活体检测DPD设置好步骤1之后，点击步骤2：隧道为便于管理，隧道的名称与本地ID值一致。模

8、式为tunnel，提议名称选用前面设置好的gemdale-p2。 自动连接：配置自动连接功能。默认情况下，该功能是关闭的，选择复选框开启该功能。平安网关提供两种触发建立SA的方式：自动方式和流量触发方式。自动方式时，设备每60秒检查一次SA的状态，如果SA未建立那么自动发起协商请求；流量触发方式时，当有数据流量需要通过隧道进展传输时，该隧道才发起协商请求。默认情况下，系统使用流量触发方式。为了访问集团网，需要制定一条不需要NAT转换的策略。点击防火墙NAT源NAT，在源NAT列表中，新建一条高级配置在源地址的地址簿中选择ipv4.bgroup1_subnet，这个就是平安网关的部网段。在目的地

9、址中，如果之前没有在对象地址簿中建立过集团总部网段的信息，那么可以直接通过点目的地址的地址簿，下拉菜单中会有【新建】的提示点击【新建】之后出现下面的地址簿配置界面。名称起集团总部，IP地址填建好集团总部这个地址簿之后，在目的地址的地址簿中就可以选择集团总部。出接口选择e0/0，行为选择不做NAT除了建立一条访问集团总部网的NAT策略之外，还需要继续新建VPN访问的策略。同样，在防火墙策略中，选择新建一条从trust到untrust的策略。源地址选择ipv4.bgroup1_subnet，目的地址选择集团总部，行为选择【隧道】，隧道中选择之前在VPN建好的IPSEC VPN策略。将双向VPN策略

10、构选，这样，就不需要再建一条从untrust到trust的VPN防火墙策略了如果配置的时候忘记构选该选项，那么需要再新建一条untrust到trust的策略，行为那么要选择来自隧道。此时，点防火墙策略可以看到之前设置好的3条策略。如果新建策略的时候顺序反了，例如新建了VPN的防火墙策略之后再建上网策略，那么需要将点将顺序对调一下。下列图为顺序建反的情况，必须要将ANY到ANY的策略放在VPN防火墙策略的下面，即将ID为1的策略放在ID为2的策略下面。4 流量控制的配置使用HillStone的最大目的那么是利用其丰富的流量控制管理功能实现项目上的网络流量控制。默认情况下，平安网关没有翻开应用识别

11、功能，需要在网络平安域中，将trust或者untrust或者两个平安域的应用识别启用。4.1 P2P限流对于P2P流量，可以实行限流。即允许用户使用迅雷或者电驴等软件，但流量做了特别的限制，例如只允许上下行带宽为32kbps相当于4Kbyte/秒。这里可以根据各项目的实际情况而放宽流量的大小。在QoS应用QoS中添加一条控制策略。例如，规那么名称起名为gemdale-p2p流量，接口绑定到bgroup1，应用选择P2P下载、P2P视频和HTTP_Download这里的HTTP_Download并非是指IE中的直接下载，而是指封堵迅雷中的80端口P2P下载功能。注意上行和下行。HillStone

12、中对上行和下行的定义与在一些专业级路由器相似，即根据端口的进出来决定上行还是下行。对于bgroup1，PC机的下载流量对于这个端口而言是出去的流量，因此是上行流量；而PC机上传的流量对于这个端口而言是进到平安网关的流量，因此是下行流量。4.2 禁止P2P流量除了限流这种控制方式之外，我们也可以选择直接禁止P2P流量。在对象效劳簿中，新建一个自定义效劳组，并将P2P所用到的协议划分到该效劳组中。例如，组名可以起禁止P2P效劳，组成员选择P2P下载、P2P视频和HTTP_Download这里的HTTP_Download并非是指IE中的直接下载，而是指封堵迅雷中的80端口P2P下载功能。建好自定义效

13、劳组之后，在防火墙策略中新建一条从trust到untrust的策略，该策略用于禁止P2P流量的下载。 在效劳簿中选择之前建好的禁止P2P效劳，然后行为在选择拒绝。建好策略之后，可以看到新建的策略是位于默认上网策略ID 1下面的，因此，还需要将该禁止策略放在ANY到ANY策略的上面。点击对其进展调整。将该条策略规那么移到默认上网策略ID 1的前面移完之后再确认一下配置是否正确4.3 IP流量控制除了控制P2P流量之外，我们还要对单个IP进展流量控制。这是基于一下几点考虑的：一、 有可能P2P的软件不断更新，而平安网关的应用特征库没有及时更新，可能会导致新的P2P流量出现从而导致带宽资源全部被占用

14、；二、 PC也有可能中病毒而产生大流量从而导致带宽资源全部被占用；三、 用户有可能通过IE直接下载一些大流量的软件在QoSIP QoS中新建一个规那么。规那么名称起名gemdale-qos；接口绑定到bgroup1；IP地址从地址簿的下拉菜单中选择ipv4.bgroup1_subnet；对于项目部，大多数都是选用2M的ADSL下载到2M，上传到512K，因此，可以考虑将每个IP的流量限制在上行400kbps，下行100kbps。注意上行和下行。HillStone中对上行和下行的定义与在一些专业级路由器相似，即根据端口的进出来决定上行还是下行。对于bgroup1，PC机的下载流量对于这个端口而言

15、是出去的流量，因此是上行流量；而PC机上传的流量对于这个端口而言是进到平安网关的流量，因此是下行流量。4.4 时间的设置如果需要设置人性化的流量管理，可以考虑将时间考虑进去。例如，可以计划每天早上8：30到晚上8点半这个时间段禁止或者限流进展P2P的下载。在对象时间表里新建一个时间表。在防火墙策略中找到禁止P2P效劳的规那么，对它进展编辑，并将时间表的下拉菜单中选择之前新建的时间表规那么。如果是限流P2P流量的设置，那么在QoS应用Qos中将上下行的时间表选中如果是对IP限流，那么在QoSIP QoS中增加上下行的时间表4.5 统计功能默认情况下，平安网关没有将流量情况进展统计，需要根据实际情

16、况开启自己所需的功能。在监控统计集里，构选接口IP应用带宽。如果需要一登录平安网关即可在首页里看到统计，那么还需要构选系统全局统计中的IP上下行带宽等。构选完毕之后，在监控统计集里可以选择bgroup1看到项目上PC使用网络的情况。首页的界面可以看到前10IP的上下行带宽。 不过，所有这些监控菜单中的统计数据均存放在设备的缓存中而已，一旦平安网关重启那么全部丧失。如果配合HIllStone的HSM网管平台那么可以解决这个问题。5 根底配置新设备购置过来之后，license一般都还没更新，需要让供给商将合法的License发给我们后自行更新。2010年1月1日之后，License至少有两个，一个

17、是根底平台，一个是QOS。升级如下：上图是两个License。升级的时候将license:开头的一段拷贝到系统许可证许可证安装下面的手工框里，然后点确认。每导入一个License，系统会提示需要重启等两个license均导入之后点击右上角的重启确认即可。为便于对设备进展管理，可以为每台设备起一个名称，如果有网管软件的时候尤其重要。在系统设备管理根本信息中，为该主机名称起一个名字同时，为平安起见，需要修改登录密码。在平安性方面，为防止外部一些攻击，可以将连接互联网的E0/0的管理端口适当关闭在网络接口。例如，仅开放HTTPS。全部配置确认完毕，功能也均测试完毕之后，可以将该配置进展备份。38 / 38