HillStone最新配置手册 - 图文

HillStone SA-2001配置手册

1 2 3 4

网络端口配置..................................................................................................... 2 防火墙设置 ...................................................................................................... 12 VPN配置......................................................................................................... 14 流量控制的配置 ............................................................................................... 25 4.1 P2P限流................................................................................................ 25 4.2 4.3

禁止P2P流量........................................................................................ 26 IP流量控制 ........................................................................................... 29

5

4.4 时间的设置............................................................................................ 30 4.5 统计功能 ............................................................................................... 33 基础配置.......................................................................................................... 36

本文是基于安全网关操作系统为Version 3.5进行编写，如版本不同，配置过程有可能不一样。

1 网络端口配置

SA-2001安全网关前面板有5个千兆电口、1个配置口、1个CLR按键、1个USB接口以及状态指示灯。下图为SA-2001的前面板示意图：

序号 标识及说明 1 PWR：电源指示灯 2 STA：状态指示灯 3 ALM：警告指示灯 序号 标识及说明 5 CLR：CLR按键 6 CON：配置口 7 USB：USB接口 4 VPN：VPN状态指示灯 8 e0/0-e0/4：以太网电口

将网线接入到E0/0。防火墙的ethernet0/0接口配有默认IP地址192.168.1.1/24，但该端口没有设置为DHCP服务器为客户端提供IP地址，因此需要将PC机的IP地址设置为同一网段，例如192.168.1.2/24才能连上防火墙。

通过IE打开192.168.1.1，然后输入默认的用户名和密码（均为hillstone）

登录后的首页面。可以看到CPU、内存、会话等使用情况。

很多品牌的防火墙或者路由器等，在默认情况下内网端口都是划分好并且形成一个小型交换机的，但是hillstone的产品却需要自己手工设置。在本文档中，我们准备将E0/0划分为UNTRUST口连接互联网，E0/1～E0/4总共4个端口我们则划到一个交换机中并作为TRUST口连接内网。

在网络－接口界面中，新建一个bgroup端口，该端口是一个虚拟的端口。

因为bgroup1接口需要提供路由功能，因此需要划入到三层安全域（trust）中。输入由集团信息中心提供的IP地址。在管理设置中，尽量将各个管理功能的协议打开，尤其是HTTP功能。

5 基础配置

新设备购买过来之后，license一般都还没更新，需要让供应商将合法的License发给我们后自行更新。2010年1月1日之后，License至少有两个，一个是基础平台，一个是QOS。升级如下：

上图是两个License。升级的时候将license:开头的一段拷贝到系统－许可证－许可证安装下面的手工框里，然后点确认。

每导入一个License，系统会提示需要重启

等两个license均导入之后点击右上角的重启

确认即可。

为便于对设备进行管理，可以为每台设备起一个名称，如果有网管软件的时候尤其重要。 在系统－设备管理－基本信息中，为该主机名称起一个名字

同时，为安全起见，需要修改登录密码。

在安全性方面，为防止外部一些攻击，可以将连接互联网的E0/0的管理端口适当关闭（在网络－接口）。例如，仅开放HTTPS。

全部配置确认完毕，功能也均测试完毕之后，可以将该配置进行备份。

本文来源：https://www.bwwdw.com/article/qs48.html