HillStone最新配置手册.docx

HillStone最新配置手册.docx

《HillStone最新配置手册.docx》由会员分享，可在线阅读，更多相关《HillStone最新配置手册.docx（43页珍藏版）》请在冰豆网上搜索。

HillStone最新配置手册

HillStone最新配置手册

HillStoneSA-2001配置手册

将网线接入到E0/0。

防火墙的ethernet0/0接口配有默认IP地址192.168.1.1/24，但该端口没有设置为DHCP服务器为客户端提供IP地址，因此需要将PC机的IP地址设置为同一网段，例如192.168.1.2/24才能连上防火墙。

通过IE打开192.168.1.1，然后输入默认的用户名和密码（均为hillstone）

登录后的首页面。

可以看到CPU、内存、会话等使用情况。

很多品牌的防火墙或者路由器等，在默认情况下内网端口都是划分好并且形成一个小型交换机的，但是hillstone的产品却需要自己手工设置。

在本文档中，我们准备将E0/0划分为UNTRUST口连接互联网，E0/1～E0/4总共4个端口我们则划到一个交换机中并作为TRUST口连接内网。

在网络－接口界面中，新建一个bgroup端口，该端口是一个虚拟的端口。

因为bgroup1接口需要提供路由功能，因此需要划入到三层安全域（trust）中。

输入由集团信息中心提供的IP地址。

在管理设置中，尽量将各个管理功能的协议打开，尤其是HTTP功能。

建好bgroup1之后，对网络－接口页面中的e0/1～e0/4分别修改，依次将它们划归为bgroup1。

设置好交换机功能后，还需要设置DHCP功能，以便PC机接入时可以自动获取IP地址。

新建一个DHCP地址池

根据集团信息中心提供的IP地址段设置IP地址池。

租约里尽量将时间设大一些，这样在追查记录的时候，不会因为PC机的IP地址频繁发生变动而难以追踪。

确定之后，POOL1的地址则建好了，不过，还需要修改DNS才能让PC机可以访问到集团内网。

编辑POOL1进入高级配置界面。

DNS1和DNS2分别设置为集团总部的10.0.1.11和10.0.1.13两个DNS。

设置完地址池之后，需要将该地址池捆绑到bgroup1以便让bgroup1可以为PC机分配IP地址。

确认以上步骤操作成功后，将原来连接到E0/0的网线任意插入到E0/1~E0/4的一个端口中，看看PC机是否可以获取到IP地址了。

通过IPCONFIG/ALL命令可以看到，PC机这时候已经获取到IP及DNS了。

将原来的IE浏览器关闭，重新打开IE浏览器、输入网关地址（即bgroup1的地址）并输入用户名密码。

确认完E0/1-4的任意一个TRUST口能获取IP后，即可修改E0/0为对外连接端口。

本文档中是以E0/0为ADSL拨号连接为示例。

新建一个PPPOE配置

输入ADSL的用户名及密码。

将自动重连间隔修改为1，否则ADSL不会自动重拨。

默认配置中，E0/0是属于trust域的，需要将该端口修改为untrust并将PPPOE捆绑到该端口。

点击网络－接口，并修改E0/0的设置。

启用设置路由。

管理的协议中，原来默认均开启了e0/0所有的管理端口，我们可以在稍后确认所有的配置均调试完毕后关闭一些协议以增强防火墙的安全性。

点击确定后，可以看到e0/0已经划入到untrust的安全域中。

1防火墙设置

源NAT规则指定是否对符合条件的流量的源IP地址做NAT转换。

通过基本选项的配置指定源NAT规则中流量应符合的条件。

符合条件的流量才能按照规则指定的行为进行转换。

HillStone安全网关与其他品牌的防火墙在策略配置中的其中一个区别就是NAT设置。

其他防火墙一般都是自动设置好，但在HillStone中，必须要手工将上网行为和访问内网的NAT策略明确区分才行。

建立一条让项目PC可以访问互联网时进行NAT转换的策略。

在防火墙－NAT－源NAT中新建一条基本配置的策略

源地址选择ipv4.bgroup1_subnet，出接口仍然是选择e0/0。

行为选择NAT（出接口IP）

NAT策略建立好之后，在防火墙－策略中需要新建访问策略。

源安全域选择trust，目的安全域选择untrust，点击新建

服务簿中选择ANY，即默认允许所有的网络应用均可使用。

行为默认为允许

2VPN配置

设置完网络端口的配置之后，开始设置VPN。

HillStone的VPN设置跟5GT或者FVS114有点区别，需要手工先设置合适的P1提议和P2提议。

点击VPN－IPSecVPN。

在P1提议中新建一个提议，如gemdale-p1。

集团现在均使用pre-sharedkey-MD5-3DES-Group2的加密策略。

同样的方式再新建一个P2。

选用ESP-MD5-3DES-NoPFS

新建完P1和P2之后，开始新建一个IPSecVPN。

在IKEVPN列表中点新建

输入对端名称gemdale（可以随便起名，不同防火墙设备均可以设置相同的名字。

为方便识别，这里可以统一设置为gemdale）。

接口设置为对外连接的端口－E/0。

模式为野蛮模式（aggressivemode）。

静态IP61.144.195.60指向集团总部防火墙。

本地ID一定要设置，一般由集团信息中心提供（常为城市＋项目名＋用途，如上海赵巷项目部为shzhaoxxmb）。

对端ID可以不用设置。

提议1则选用前面新增的gemdale-p1。

共享密钥为便于记忆可以设置与本地ID一致。

（这些设置均须与集团信息中心协商）

点击高级,增加DPD功能：

勾选对端存活体检测（DPD）

设置好步骤1之后，点击步骤2：

隧道

为便于管理，隧道的名称与本地ID值一致。

模式为tunnel，提议名称选用前面设置好的gemdale-p2。

自动连接：

配置自动连接功能。

默认情况下，该功能是关闭的，选择<启用>复选框开启该功能。

安全网关提供两种触发建立SA的方式：

自动方式和流量触发方式。

自动方式时，设备每60秒检查一次SA的状态，如果SA未建立则自动发起协商请求；流量触发方式时，当有数据流量需要通过隧道进行传输时，该隧道才发起协商请求。

默认情况下，系统使用流量触发方式。

为了访问集团内网，需要制定一条不需要NAT转换的策略。

点击防火墙－NAT－源NAT，在源NAT列表中，新建一条高级配置

在源地址的地址簿中选择ipv4.bgroup1_subnet，这个就是安全网关的内部网段。

在目的地址中，如果之前没有在对象－地址簿中建立过集团总部网段的信息，则可以直接通过点目的地址的地址簿，下拉菜单中会有【新建…】的提示

点击【新建…】之后出现下面的地址簿配置界面。

名称起集团总部，IP地址填10.0.0.0，掩码为17位，即255.255.128.0

建好集团总部这个地址簿之后，在目的地址的地址簿中就可以选择集团总部。

出接口选择e0/0，行为选择不做NAT

除了建立一条访问集团总部内网的NAT策略之外，还需要继续新建VPN访问的策略。

同样，在防火墙－策略中，选择新建一条从trust到untrust的策略。

源地址选择ipv4.bgroup1_subnet，目的地址选择集团总部，行为选择【隧道】，隧道中选择之前在VPN建好的IPSECVPN策略。

将双向VPN策略构选，这样，就不需要再建一条从untrust到trust的VPN防火墙策略了（如果配置的时候忘记构选该选项，则需要再新建一条untrust到trust的策略，行为则要选择来自隧道）。

此时，点防火墙－策略可以看到之前设置好的3条策略。

如果新建策略的时候顺序反了，例如新建了VPN的防火墙策略之后再建上网策略，则需要将点

将顺序对调一下。

下图为顺序建反的情况，必须要将ANY到ANY的策略放在VPN防火墙策略的下面，即将ID为1的策略放在ID为2的策略下面。

3流量控制的配置

使用HillStone的最大目的则是利用其丰富的流量控制管理功能实现项目上的网络流量控制。

默认情况下，安全网关没有打开应用识别功能，需要在网络－安全域中，将trust或者untrust或者两个安全域的应用识别启用。

3.1P2P限流

对于P2P流量，可以实行限流。

即允许用户使用迅雷或者电驴等软件，但流量做了特别的限制，例如只允许上下行带宽为32kbps（相当于4Kbyte/秒）。

这里可以根据各项目的实际情况而放宽流量的大小。

在QoS－应用QoS中添加一条控制策略。

例如，规则名称起名为gemdale-p2p流量，接口绑定到bgroup1，应用选择P2P下载、P2P视频和HTTP_Download（这里的HTTP_Download并非是指IE中的直接下载，而是指封堵迅雷中的80端口P2P下载功能）。

注意上行和下行。

HillStone中对上行和下行的定义与在一些专业级路由器相似，即根据端口的进出来决定上行还是下行。

对于bgroup1，PC机的下载流量对于这个端口而言是出去的流量，因此是上行流量；而PC机上传的流量对于这个端口而言是进到安全网关的流量，因此是下行流量。

3.2禁止P2P流量

除了限流这种控制方式之外，我们也可以选择直接禁止P2P流量。

在对象－服务簿中，新建一个自定义服务组，并将P2P所用到的协议划分到该服务组中。

例如，组名可以起禁止P2P服务，组成员选择P2P下载、P2P视频和HTTP_Download（这里的HTTP_Download并非是指IE中的直接下载，而是指封堵迅雷中的80端口P2P下载功能）。

建好自定义服务组之后，在防火墙－策略中新建一条从trust到untrust的策略，该策略用于禁止P2P流量的下载。

在服务簿中选择之前建好的禁止P2P服务，然后行为在选择拒绝。

建好策略之后，可以看到新建的策略是位于默认上网策略（ID1）下面的，因此，还需要将该禁止策略放在ANY到ANY策略的上面。

点击

对其进行调整。

将该条策略规则移到默认上网策略（ID1）的前面

移完之后再确认一下配置是否正确

3.3IP流量控制

除了控制P2P流量之外，我们还要对单个IP进行流量控制。

这是基于一下几点考虑的：

一、有可能P2P的软件不断更新，而安全网关的应用特征库没有及时更新，可能会导致新的P2P流量出现从而导致带宽资源全部被占用；

二、PC也有可能中病毒而产生大流量从而导致带宽资源全部被占用；

三、用户有可能通过IE直接下载一些大流量的软件

在QoS－IPQoS中新建一个规则。

规则名称起名gemdale-qos；接口绑定到bgroup1；IP地址从地址簿的下拉菜单中选择ipv4.bgroup1_subnet；

对于项目部，大多数都是选用2M的ADSL（下载到2M，上传到512K），因此，可以考虑将每个IP的流量限制在上行400kbps，下行100kbps。

注意上行和下行。

HillStone中对上行和下行的定义与在一些专业级路由器相似，即根据端口的进出来决定上行还是下行。

对于bgroup1，PC机的下载流量对于这个端口而言是出去的流量，因此是上行流量；而PC机上传的流量对于这个端口而言是进到安全网关的流量，因此是下行流量。

3.4时间的设置

如果需要设置人性化的流量管理，可以考虑将时间考虑进去。

例如，可以计划每天早上8：

30到晚上8点半这个时间段禁止（或者限流）进行P2P的下载。

在对象－时间表里新建一个时间表。

在防火墙－策略中找到禁止P2P服务的规则，对它进行编辑，并将时间表的下拉菜单中选择之前新建的时间表规则。

如果是限流P2P流量的设置，则在QoS－应用Qos中将上下行的时间表选中

如果是对IP限流，则在QoS－IPQoS中增加上下行的时间表

3.5统计功能

默认情况下，安全网关没有将流量情况进行统计，需要根据实际情况开启自己所需的功能。

在监控－统计集里，构选接口＋IP＋应用带宽。

（如果需要一登录安全网关即可在首页里看到统计，则还需要构选系统全局统计中的IP上下行带宽等。

构选完毕之后，在监控－统计集里可以选择bgroup1看到项目上PC使用网络的情况。

首页的界面可以看到前10IP的上下行带宽。

不过，所有这些监控菜单中的统计数据均存放在设备的缓存中而已，一旦安全网关重启则全部丢失。

如果配合HIllStone的HSM网管平台则可以解决这个问题。

4基础配置

新设备购买过来之后，license一般都还没更新，需要让供应商将合法的License发给我们后自行更新。

2010年1月1日之后，License至少有两个，一个是基础平台，一个是QOS。

升级如下：

上图是两个License。

升级的时候将license:

开头的一段拷贝到系统－许可证－许可证安装下面的手工框里，然后点确认。

每导入一个License，系统会提示需要重启

等两个license均导入之后点击右上角的重启

确认即可。

为便于对设备进行管理，可以为每台设备起一个名称，如果有网管软件的时候尤其重要。

在系统－设备管理－基本信息中，为该主机名称起一个名字

同时，为安全起见，需要修改登录密码。

在安全性方面，为防止外部一些攻击，可以将连接互联网的E0/0的管理端口适当关闭（在网络－接口）。

例如，仅开放HTTPS。

全部配置确认完毕，功能也均测试完毕之后，可以将该配置进行备份。