Hillstone安全网关基础配置手册v4.0

服务热线：400 828 6655

Hillstone山石网科 多核安全网关 基础配置手册

V 4.0版本

目录

一．设备管理 ............................................................. 1

1.1 终端CONSOLE登录 ....................................................................................................................... 1 1.2 网页 WEBUI登录 ......................................................................................................................... 1 1.3 恢复出厂设置 .............................................................................................................................. 2 1.4 设备软件STONE-OS升级 ............................................................................................................. 4 1.5 许可证安装 .................................................................................................................................. 7

二．基础上网配置 ...................................................... 8

2.1 接口配置...................................................................................................................................... 8 2.2 路由配置.................................................................................................................................... 10 2.3 策略配置.................................................................................................................................... 11 2.4 源地址转换配置 ........................................................................................................................ 12

三．常用功能配置 .................................................... 13

3.1 PPPOE拨号配置 ........................................................................................................................ 13 3.2 动态地址分配 DHCP配置 ........................................................................................................ 15 3.3 IP-MAC地址绑定配置 ................................................................................................................ 17 3.4 端到端IPSEC VPN配置 ............................................................................................................... 19 3.5 远程接入SCVPN配置 ............................................................................................................... 26 3.6 目的地址转换DNAT配置 ......................................................................................................... 34

3.6.1一对一IP映射 ................................................................................................................... 34 3.6.2一对一端口映射 ................................................................................................................. 38 3.6.3多对多端口映射 ................................................................................................................. 43 3.6.4一对多映射（服务器负载均衡） ..................................................................................... 49

一．设备管理

安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。 1.1 终端console登录

通过Console 口配置安全网关时需要在计算机上运行终端仿真程序（系统的超级终端、SecureCRT等）建立与安全网关的连接，并按如下表所示设置参数（与连接Cisco设备的参数一致）：

1.2网页 WebUI登录

WebUI同时支持http和https两种访问方式，首次登录设备可通过默认接口ethernet0/0来进行，登录方法为：

1. 将管理 PC 的IP 地址设置为与192.168.1.1/24 同网段的IP 地址，并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。

2. 在管理 PC 的Web 浏览器中访问地址http://192.168.1.1 并按回车键。出现的登录页面如下图所示：

1.3 恢复出厂设置 1．CLI命令行操作

a.输入：Unset all

b.根据提示，选择是否保存当前配置：y/n c.选择是否重启：y/n

d.系统重启后即恢复到出厂设置。

2．webUI图形化界面操作

a．web方式登陆安全网关系统，依次按点击“系统”—“配置”; b．点击“清除”按钮，系统会提示将返回出厂缺省值，并重启系统，点击“确定”按钮即可，等设备启动好后就恢复到出厂设置:

3．硬件CLR操作

a.关闭安全网关的电源；

b.用针状物按住CLR按键（安全网关正面的小孔），打开电源按钮； c.保持住状态直到指示灯的STA和ALM均变红色常亮，释放CLR按键此时系统开始恢复出厂配置；

d.出厂配置恢复完毕，系统将会自动重新启动。

1.4 设备软件Stone-OS升级

1．通过sysloader进行StoneOS升级

a.给设备上电按提示按ESC并且进入 Sysloader。参照以下操作提示；

b.在下面选择对应的选项升级os，可以通过tftp、ftp、usb、系统中备份的os。（本文以tftp为例），按下图弹出窗口选择1；

c.确保安全网关与控制主机的连通性，并将需升级的os考到指定目录；

d.依次配置 Sysloader 的IP 地址、TFTP 服务器的IP 地址、网关IP 地址以及StoneOS名称；

e.保存 StoneOS；

f.重启，系统将使用新的 StoneOS 启动；

2．通过WebUI升级StoneOS

用户也可以通过WebUI 升级StoneOS。请按照以下步骤通过WebUI 升级StoneOS： 1. 将新的 StoneOS 保存到本地； 2. 访问页面登录安全网关设备：

3. 依次点击“系统”—“系统软件”---“升级”，弹出升级系统软件的界面；再点击“浏览”选择需要升级的os，点击“确定”等待上传成功。

4、上传成功后选择新的os作为启动os，点击“确定”，后提示重启，等设备重启后即可：

1.5 许可证安装 一．CLI命令行安装

1．登录安全网关，运行命令exec license install +许可证，如下图：

2．系统会提示重启后生效，重启设备即可。

二．web界面安装许可证

1．登录安全网关设备，依次点击“系统”---“许可证”，右边面板可以看到当前系统的许可证的是否已许可及许可的期限：

2．在许可证安装处点击“浏览”，选择许可证文件，点击“确认“即可；如许可证为非文件形式，选择“手动”拷贝许可证文件，点击“确认“即可。

3．重启安全网关设备，许可证即可安装。

二．基础上网配置

对于一台全新的设备，如果只是需要简单的内部用户可以正常上网，只需要配置接口、路由、策略和源nat这4项功能，以下是具体配置方法： 2.1接口配置

1.进入设备管理界面后，点击左边 网络—接口； 2.选择相应的接口，点击编辑：

3.在接口配置界面中，选择接口的安全域类型（三层接口即为三层安全域，二层接口即为二层安全域）、安全域名称（一般内网使用trust或l2-trust安全域，外网使用untrust或l2-untrust）、接口ip地址网络掩码和接口的管理方式

注意：如果外网接口使用的是PPPoE的拨号接入，接口配置请参考文档3.1PPPoE相关配置。

1. 防火墙>>网络>>路由>>目的路由>>新建，显示如下：

2. 点击新建，显示的配置界面如下：

3．点击确定，新建成功。

注意：实例为配置默认路由，如果需要添加明细路由，请在第三步更改目的地与子网掩码。

1. 防火墙>>策略>>新建，显示如下：

2. 点击新建，显示的配置界面如下：

3.点击确定，新建成功

注意：配置完全通策略，所有经过防火墙的流量都会被放行。如需进行精确控制，请修改安全域、ip地址和服务等配置。

2.4 源地址转换SNAT配置

1. 防火墙>>NAT>>源NAT>>新建>>高级配置，显示如下：

2. 点击新建，显示的配置界面如下：

3. 点击确定，配置成功。

三．常用功能配置

3.1 PPPoE拨号配置 具体配置如下

1. 网络>>PPPoE客户端>>新建，显示如下：

2. 选择网络>>接口，编辑相应接口，显示如下：

3. 点击PPPOE列表可查看连接情况，正常连接后，MAC地址变为非零：

4．点击路由>>目的路由，系统会自动创建一条PPPoE默认路由：

3.2动态地址分配 DHCP配置 具体配置如下

1. 防火墙>>网络连接>>DHCP列表>>新建，显示如下：

2. 点击新建，显示的配置界面如下：

3. 点击确定，显示DHCP地址池列表，地址池配置完成；

4．配置DHCP服务，点击新建：

5．配置完成后，将相应PC或者交换机连接到绑定DHCP的接口即可自动获取IP。

3.3 IP-MAC地址绑定配置

具体配置如下

1. 防火墙>>二层防护>>静态绑定，显示如下：

2. 点击所要绑定的ARP条目，绑定点击应用：

本文来源：https://www.bwwdw.com/article/adni.html