Hillstone安全网关基础配置手册v4.0

更新时间:2023-08-24 11:51:01 阅读量: 教育文库 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

服务热线:400 828 6655

Hillstone山石网科 多核安全网关 基础配置手册

V 4.0版本

目录

一.设备管理 ............................................................. 1

1.1 终端CONSOLE登录 ....................................................................................................................... 1 1.2 网页 WEBUI登录 ......................................................................................................................... 1 1.3 恢复出厂设置 .............................................................................................................................. 2 1.4 设备软件STONE-OS升级 ............................................................................................................. 4 1.5 许可证安装 .................................................................................................................................. 7

二.基础上网配置 ...................................................... 8

2.1 接口配置...................................................................................................................................... 8 2.2 路由配置.................................................................................................................................... 10 2.3 策略配置.................................................................................................................................... 11 2.4 源地址转换配置 ........................................................................................................................ 12

三.常用功能配置 .................................................... 13

3.1 PPPOE拨号配置 ........................................................................................................................ 13 3.2 动态地址分配 DHCP配置 ........................................................................................................ 15 3.3 IP-MAC地址绑定配置 ................................................................................................................ 17 3.4 端到端IPSEC VPN配置 ............................................................................................................... 19 3.5 远程接入SCVPN配置 ............................................................................................................... 26 3.6 目的地址转换DNAT配置 ......................................................................................................... 34

3.6.1一对一IP映射 ................................................................................................................... 34 3.6.2一对一端口映射 ................................................................................................................. 38 3.6.3多对多端口映射 ................................................................................................................. 43 3.6.4一对多映射(服务器负载均衡) ..................................................................................... 49

一.设备管理

安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。 1.1 终端console登录

通过Console 口配置安全网关时需要在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与安全网关的连接,并按如下表所示设置参数(与连接Cisco设备的参数一致):

1.2网页 WebUI登录

WebUI同时支持http和https两种访问方式,首次登录设备可通过默认接口ethernet0/0来进行,登录方法为:

1. 将管理 PC 的IP 地址设置为与192.168.1.1/24 同网段的IP 地址,并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。

2. 在管理 PC 的Web 浏览器中访问地址http://192.168.1.1 并按回车键。出现的登录页面如下图所示:

1.3 恢复出厂设置 1.CLI命令行操作

a.输入:Unset all

b.根据提示,选择是否保存当前配置:y/n c.选择是否重启:y/n

d.系统重启后即恢复到出厂设置。

2.webUI图形化界面操作

a.web方式登陆安全网关系统,依次按点击“系统”—“配置”; b.点击“清除”按钮,系统会提示将返回出厂缺省值,并重启系统,点击“确定”按钮即可,等设备启动好后就恢复到出厂设置:

3.硬件CLR操作

a.关闭安全网关的电源;

b.用针状物按住CLR按键(安全网关正面的小孔),打开电源按钮; c.保持住状态直到指示灯的STA和ALM均变红色常亮,释放CLR按键此时系统开始恢复出厂配置;

d.出厂配置恢复完毕,系统将会自动重新启动。

1.4 设备软件Stone-OS升级

1.通过sysloader进行StoneOS升级

a.给设备上电按提示按ESC并且进入 Sysloader。参照以下操作提示;

b.在下面选择对应的选项升级os,可以通过tftp、ftp、usb、系统中备份的os。(本文以tftp为例),按下图弹出窗口选择1;

c.确保安全网关与控制主机的连通性,并将需升级的os考到指定目录;

d.依次配置 Sysloader 的IP 地址、TFTP 服务器的IP 地址、网关IP 地址以及StoneOS名称;

e.保存 StoneOS;

f.重启,系统将使用新的 StoneOS 启动;

2.通过WebUI升级StoneOS

用户也可以通过WebUI 升级StoneOS。请按照以下步骤通过WebUI 升级StoneOS: 1. 将新的 StoneOS 保存到本地; 2. 访问页面登录安全网关设备:

3. 依次点击“系统”—“系统软件”---“升级”,弹出升级系统软件的界面;再点击“浏览”选择需要升级的os,点击“确定”等待上传成功。

4、上传成功后选择新的os作为启动os,点击“确定”,后提示重启,等设备重启后即可:

1.5 许可证安装 一.CLI命令行安装

1.登录安全网关,运行命令exec license install +许可证,如下图:

2.系统会提示重启后生效,重启设备即可。

二.web界面安装许可证

1.登录安全网关设备,依次点击“系统”---“许可证”,右边面板可以看到当前系统的许可证的是否已许可及许可的期限:

2.在许可证安装处点击“浏览”,选择许可证文件,点击“确认“即可;如许可证为非文件形式,选择“手动”拷贝许可证文件,点击“确认“即可。

3.重启安全网关设备,许可证即可安装。

二.基础上网配置

对于一台全新的设备,如果只是需要简单的内部用户可以正常上网,只需要配置接口、路由、策略和源nat这4项功能,以下是具体配置方法: 2.1接口配置

1.进入设备管理界面后,点击左边 网络—接口; 2.选择相应的接口,点击编辑:

3.在接口配置界面中,选择接口的安全域类型(三层接口即为三层安全域,二层接口即为二层安全域)、安全域名称(一般内网使用trust或l2-trust安全域,外网使用untrust或l2-untrust)、接口ip地址网络掩码和接口的管理方式

注意:如果外网接口使用的是PPPoE的拨号接入,接口配置请参考文档3.1PPPoE相关配置。

1. 防火墙>>网络>>路由>>目的路由>>新建,显示如下:

2. 点击新建,显示的配置界面如下:

3.点击确定,新建成功。

注意:实例为配置默认路由,如果需要添加明细路由,请在第三步更改目的地与子网掩码。

1. 防火墙>>策略>>新建,显示如下:

2. 点击新建,显示的配置界面如下:

3.点击确定,新建成功

注意:配置完全通策略,所有经过防火墙的流量都会被放行。如需进行精确控制,请修改安全域、ip地址和服务等配置。

2.4 源地址转换SNAT配置

1. 防火墙>>NAT>>源NAT>>新建>>高级配置,显示如下:

2. 点击新建,显示的配置界面如下:

3. 点击确定,配置成功。

三.常用功能配置

3.1 PPPoE拨号配置 具体配置如下

1. 网络>>PPPoE客户端>>新建,显示如下:

2. 选择网络>>接口,编辑相应接口,显示如下:

3. 点击PPPOE列表可查看连接情况,正常连接后,MAC地址变为非零:

4.点击路由>>目的路由,系统会自动创建一条PPPoE默认路由:

3.2动态地址分配 DHCP配置 具体配置如下

1. 防火墙>>网络连接>>DHCP列表>>新建,显示如下:

2. 点击新建,显示的配置界面如下:

3. 点击确定,显示DHCP地址池列表,地址池配置完成;

4.配置DHCP服务,点击新建:

5.配置完成后,将相应PC或者交换机连接到绑定DHCP的接口即可自动获取IP。

3.3 IP-MAC地址绑定配置

具体配置如下

1. 防火墙>>二层防护>>静态绑定,显示如下:

2. 点击所要绑定的ARP条目,绑定点击应用:

本文来源:https://www.bwwdw.com/article/adni.html

Top