Hillstone山石网科基础配置手册50
Hillstone山石网科多核安全网关
基础配置手册
version 5.0
https://www.wendangku.net/doc/3d11000865.html,
目录
第1章设备管理 (1)
设备管理介绍 (1)
终端Console登录 (1)
WebUI方式登录 (1)
恢复出厂设置 (2)
通过CLI方式 (2)
通过WebUI方式 (2)
通过CLR按键方式 (4)
StoneOS版本升级 (4)
通过网络迅速升级StoneOS(TFTP) (4)
通过WebUI方式升级StoneOS (6)
许可证安装 (8)
通过CLI方式安装 (8)
通过WebUI方式安装 (8)
第2章基础上网配置 (10)
基础上网配置介绍 (10)
接口配置 (10)
路由配置 (11)
策略配置 (13)
源NAT配置 (14)
第3章常用功能配置 (16)
常用配置介绍 (16)
PPPoE配置 (16)
DHCP配置 (18)
IP-MAC绑定配置 (20)
端到端IPsec VPN配置 (22)
SCVPN配置 (29)
DNAT配置 (37)
一对一IP映射 (37)
一对一端口映射 (40)
多对多端口映射 (43)
一对多映射(服务器负载均衡) (46)
第4章链路负载均衡 (48)
链路负载均衡介绍 (48)
基于目的路由的负载均衡 (49)
基于源路由的负载均衡 (50)
智能链路负载均衡 (50)
第5章QoS配置 (53)
QoS介绍 (53)
IP QoS配置 (53)
应用QoS配置 (55)
混合QoS配置 (58)
QoS白名单配置 (59)
第6章网络行为控制 (60)
URL过滤(有URL许可证) (60)
配置自定义URL库 (63)
URL过滤(无URL许可证) (64)
网页关键字过滤 (65)
网络聊天控制 (69)
第7章VPN高级配置 (72)
基于USB Key的SCVPN配置 (72)
新建PKI信任域 (72)
配置SCVPN (77)
制作USB Key (78)
使用USB Key方式登录SCVPN (80)
PnPVPN (83)
用户配置 (83)
IKE VPN配置 (85)
隧道接口配置 (89)
路由配置 (90)
策略配置 (91)
PnPVPN客户端配置 (92)
第8章高可靠性 (94)
高可靠性介绍 (94)
高可靠性配置 (95)
关于本手册
手册内容
本手册为Hillstone山石网科多核安全网关的基础配置手册,对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍,帮助用户快速掌握安全网关的WebUI配置。适用于StoneOS
5.0以及以上版本。具体内容包括:
?第1章:设备管理。介绍登录方式、StoneOS升级以及许可证安装等。
?第2章:基础上网配置。介绍接口、路由、策略等基本上网配置。
?第3章:常用功能配置。介绍PPPoE拨号、动态地址分配DHCP、DNAT等配置。
?第4章:链路负载均衡。介绍基于目的路由、源路由、策略路由的流量负载配置等。
?第5章:QoS配置。介绍QoS功能及配置。
?第6章:网络行为控制配置。介绍URL过滤、网页关键字以及网络聊天控制配置。
?第7章:VPN高级配置。介绍基于USB Key的SCVPN配置以及PnPVPN配置。
?第8章:高可靠性。介绍高可靠性(HA)的配置。
手册约定
为方便用户阅读与理解,本手册遵循以下约定:
内容约定
本手册内容约定如下:
?提示:为用户提供相关参考信息。
?说明:为用户提供有助于理解内容的说明信息。
?注意:如果该操作不正确,会导致系统出错。
?『』:用该方式表示Hillstone设备WebUI界面上的链接、标签或者按钮。例如,“点击『登录』按钮进入Hillstone设备的主页”。
?< >:用该方式表示WebUI界面上提供的文本信息,包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。例如,“改变MTU值,选中<手动>单选按钮,然后在
文本框中输入合适的值”。
第1章设备管理
设备管理介绍
为方便管理员管理与配置,安全网关支持本地(Console口)与远程(Telnet、SSH、HTTP 以及HTTPS)两种环境配置方法,可以通过CLI和WebUI两种方式进行配置。
终端Console登录
通过Console口,用户可登录安全网关设备的CLI,从而使用命令行对设备进行配置。在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与安全网关的连接。按照表1配置终端参数:
表1:配置终端参数
参数数值
波特率9600 bit/s
数据位8
奇偶校验无
停止位 1
WebUI方式登录
WebUI是最方便、直观、简单的配置方式,WebUI同时支持http和https两种访问方式。
安全网关的ethernet0/0接口配有默认IP地址192.168.1.1/24,初次使用安全网关时,用户可以通过该接口访问安全网关的WebUI页面。
请按照以下步骤:
1.将管理PC的IP地址设置为与19
2.168.1.1/24同网段的IP地址,并且用网线将管理PC
与安全网关的ethernet0/0接口进行连接。
2.在管理PC的Web浏览器中输入地址“http://192.168.1.1”并按回车键。出现登录页
面如下图所示。
恢复出厂设置
Hillstone山石网科提供三种方法恢复设备的出厂配置,分别是:
?命令行:通过CLI使用命令进行恢复
?WebUI:通过WebUI清除配置以恢复出厂配置
?物理方法:使用设备的CLR按键进行恢复
通过CLI方式
通过CLI使用命令恢复出厂设置,请按照以下步骤进行操作:
1.在执行模式下,使用unset all命令。
2.根据提示,选择是否保存当前配置:y/n。
3.选择是否重启设备:y/n。
4.系统重启后即出厂配置恢复完毕。
通过WebUI方式
通过WebUI恢复出厂配置,请按照以下步骤进行操作:
1.通过WebUI方式登录StoneOS,从工具栏的<系统管理>下拉菜单选择『配置备份还原』。
如下图所示:
2.在弹出的<系统配置备份还原向导>对话框,选择<恢复出厂配置>单选按钮,并点击『下
一步』按钮。
3.选择是否重启设备。为使配置生效,用户需重新启动设备。选择<是,立即重新启动设备>
单选按钮,并点击『完成』按钮。
4.所有配置将会被清除,然后设备将自动重启。
通过CLR按键方式
使用CLR按键恢复出厂配置,请按照以下步骤进行操作:
1.关闭安全网关的电源。
2.用针状物按住CLR按键的同时打开安全网关的电源。
3.保持按住状态直到指示灯STA和ALM均变为红色常亮,释放CLR按键。此时系统开始恢
复出厂配置。
4.出厂配置恢复完毕,系统将会自动重新启动。
StoneOS版本升级
通过网络迅速升级StoneOS(TFTP)
Sysloader可以从TFTP服务器获取StoneOS,从而保证用户能够通过网络迅速升级StoneOS。请按照以下步骤进行操作:
1.给设备上电根据提示按ESC键并且进入Sysloader。参照以下操作提示:
HILLSTONE NETWORKS
Hillstone Bootloader 1.3.2 Aug 14 2008-19:09:37
DRAM: 2048 MB
BOOTROM: 512 KB
Press ESC to stop autoboot: 4 (5秒倒计时结束前按“ESC”键)
Run on-board sysloader? [y]/n: y(键入字母“y”或者敲回车键)
Loading: ##########################
2.从Sysloader的操作选择菜单选择通过TFTP升级StoneOS。参照以下操作提示:
Sysloader 1.2.13 Aug 14 2008 - 16:53:42
1 Load firmware via TFTP
2 Load firmware via FTP
3 Load firmware from USB disks (not available)
4 Select backup firmware as active
5 Show on-board firmware
6 Reset
Please select: 1(在此处键入“1”并敲回车键)
3.确保设备与控制主机的连通性,并将需升级的StoneOS拷贝到指定目录下。
4.依次配置Sysloader的IP地址、TFTP服务器的IP地址、网关IP地址以及StoneOS名
称。参照以下操作提示:
Local ip address [ ]: 10.2.2.10/16(输入Sysloader的IP地址并敲回车键)
Server ip address [ ]: 10.2.2.3(输入TFTP服务器的IP地址并敲回车键)Gateway ip address [ ]: 10.2.2.1(如果Sysloader与TFTP服务器的IP地址不属于同一个网段,输入网关的IP地址并敲回车键;否则直接敲回车键)
File name :StoneOS-3.5R2(输入StoneOS名称并敲回车键,系统开始通过TFTP获
取StoneOS)
###################################################################
###################################################################
##########
5.保存StoneOS。参照以下操作提示:
File total length 10482508
Checking the image...
Verified OK
Save this image? [y]/n: y(键入字母“y”或者敲回车键,保存获得的StoneOS)
Saving .........................................
Set StoneOS-3.5R2 as active boot image
6.重启。系统将使用新的StoneOS启动。参照以下操作提示:
Please reset board to boot this image
1 Load firmware via TFTP
2 Load firmware via FTP
3 Load firmware from USB disks (not available)
4 Select backup firmware as active
5 Show on-board firmware
6 Reset
Please select: 6(在此处键入“6”并敲回车键,系统开始重启)
根据提示对储存的StoneOS进行删除。
通过WebUI方式升级StoneOS
1.通过WebUI方式登录StoneOS,从工具栏的<系统管理>下拉菜单选择『版本升级』。如
下图所示:
2.在弹出的<版本升级向导>对话框,选择<升级到最新的软件版本>单选按钮,并点击『下
一步』按钮。
3.在<选择备份软件版本>下拉菜单中选择一个软件版本做为备份,然后点击<上传新的软件
文件>后的『浏览』按钮并在本地PC选择新的软件版本文件。
4.点击『下一步』。根据需要,选择<是,立即重新启动设备>单选按钮,并点击『完成』按
钮。为使配置生效,用户需重新启动设备。
注意:如果选择暂不重新启动设备,将会在下次重新启动设备后加载新版本StoneOS。
许可证安装
通过CLI方式安装
通过CLI使用命令安装许可证,请按照以下步骤进行操作:
1.登录StoneOS,在执行模式下,使用exec license install license-string命
令(license-string–要安装的许可证字符串。输入“license:”后的字符串)。如下
图所示:
2.根据系统提示重启后即完成许可证安装。
通过WebUI方式安装
通过WebUI安装许可证,请按照以下步骤进行操作:
1.通过WebUI方式登录StoneOS,从工具栏的<系统管理>下拉菜单选择『许可证』。如下
图所示:
2.在弹出的<许可证>对话框中,许可证列表可查看当前系统许可证的类型和有效时间。
3.在<许可证安装>处,用户可根据需要,选择手动输入许可证请求或选择上传本地文件。
?上传许可证文件:选中<上传许可证文件>单选按钮(许可证为纯文本.txt文件),点击『浏览』按钮,并且选中许可证文件;
?手动输入:选中<手动输入>单选按钮,然后将许可证字符串内容(包含“license:”
及之后内容)输入到对应的文本框。
4.点击『确定』按钮保存所做配置,并且重启设备完成许可证的安装。
第2章基础上网配置
基础上网配置介绍
为使设备实现正常上网,基本配置包括接口、路由、策略以及源NAT的配置。
接口配置
接口配置,请按照以下步骤进行操作:
1.通过WebUI方式登录StoneOS,从页面左侧导航树选择并点击“配置->网络->网络连接”,
进入网络连接页面。
2.从接口列表中选中需要编辑的接口,双击或者点击列表右上方的『编辑』按钮。
3.在弹出的<接口配置>对话框对接口进行编辑:
?绑定安全域:指定接口的安全域类型。三层接口选择三层安全域,二层接口选择二层安全域;
?安全域:选择安全域名称。一般情况下,内网选择trust或l2-trust;外网选择untrust
或l2-untrust。
?IP配置:为接口配置IP地址相关信息。
?管理方式:指定接口的管理方式。在<管理方式>部分选中需要的管理方式的复选框。
提示:如果外网接口使用PPPoE拨号方式接入,关于接口的配置请参阅PPPoE配置。
路由配置
路由配置,请按照以下步骤进行操作:
1.通过WebUI方式登录StoneOS,从页面左侧导航树选择并点击“配置->网络->路由”,
进入路由页面。
2.点击『目的路由』标签,进入目的路由页面。
3.从<虚拟路由器>下拉菜单选择一个VR,新建的路由将属于该VR,默认为“trust-vr”。
4.点击目的路由列表左上角的『新建』按钮,弹出<目的路由配置>对话框,在该对话框对目
的路由进行编辑:
?目的地:指定路由条目的目的IP。
?子网掩码:指定路由条目的目的IP对应的子网掩码。
?下一跳:指定下一跳类型,选中<网关>或<接口>单选按钮。若选择<网关>,需在<网关>文本框中输入网关IP地址。若选择<接口>,需在<接口>下拉菜单中选择接口名称。如果该接口为tunnel的时候,需要在可选栏输入tunnel对端的网关地址。如:下一跳网关指定为122.193.30.97(由运营商提供网关地址)。
?优先权:该参数取值越小,优先级越高,而在有多条路由选择的时候,优先级高的路由会被优先使用。取值范围是1到255,默认值为1。当优先级为255时,该路由无效。
?路由权值:路由权值决定负载均衡中流量转发的比重。范围是1到255,默认值是1。
5.用户可以根据需要,在<描述>文本框中指定目的路由的描述信息。
6.点击『确定』按钮,完成新建目的路由。
策略配置
策略配置,请按照以下步骤进行操作:
1.通过WebUI方式登录StoneOS,从页面左侧导航树选择并点击“配置->安全->策略”,
进入策略页面。
2.点击列表左上角的『新建』按钮,弹出<策略配置>对话框,在该对话框对策略规则进行编
辑。基本选项包含策略的源/目的安全域和源/目的地址的选择,以及服务、时间表、用户、
行为和策略描述的指定。
3.配置完成后,点击『确定』按钮保存所做配置并返回策略页面。
源NAT配置
源NAT配置,请按照以下步骤进行操作:
1.通过WebUI方式登录StoneOS,从页面左侧导航树选择并点击“配置->网络->NAT”,
进入源NAT页面。
2.点击源NAT列表中的『新建』按钮,弹出<新建源NAT>对话框。在该对话框对源NAT
规则进行编辑。
3.配置完成后,点击『确定』按钮保存所做配置。
第3章常用功能配置
常用配置介绍
本章介绍Hillstone山石网科多核安全网关的一些常用功能配置,包括PPPoE、DHCP、IP-MAC 绑定、端到端IPsec VPN、SCVPN、DNAT等配置。
PPPoE配置
PPPoE配置,请按照以下步骤进行操作:
1.通过WebUI方式登录StoneOS,从页面左侧导航树选择并点击“配置->网络->网络连接”,
进入网络连接页面。
2.从接口列表中选中需要编辑的接口,双击或者点击列表右上方的『编辑』按钮。
3.在弹出的<接口配置>对话框对接口进行编辑。
4.点击『确定』按钮保存所做配置并返回网络连接页面。
5.从页面右侧辅助栏的<任务>区选择『PPPoE列表』链接,弹出
6.点击页面左上角的『新建』按钮,弹出
山石网科 防火墙 SG-6000-M2105-M3100-M3108选型说明书
新一代多核安全网关 SG-6000-M2105/M3100/M3108 SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。处理器模块化设计可以提升整体处理能力,突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps,广泛适用于企业分支、中小企业等机构,可部署在网络的主要结点及Internet出口,为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。 产品亮点 安全可视化 ●网络可视化 通过StoneOS?内置的网络流量分析模块,用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势,随时、随地监控自己的网络,从而对流量进行优化和精细化的管理。 ●接入可视化 StoneOS?基于角色的管理(RBNS)模块,让网络接入更加精细和直观化,实现了对接入用户更加人性化的管理,摆脱了过去只能通过IP地址来控制的尴尬,可以实时地监控、管理用户接入的状态,资源的分配,从而使网络资源的分配更加合理和可控化。 ●应用可视化 StoneOS?内置独创的应用识别模块,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,即使加密过的数据流也能应付自如。StoneOS?识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包
括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、、HTTP等协议的应用,应用特征库通过网络服务可以实时更新。 全面的VPN解决方案 SG-6000多核安全网关支持多种IPSecVPN的部署,它能够完全兼容标准的IPSec VPN。SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速,结合多核平台的处理能力,可为用户提供高容量、高性能的VPN解决方案。 Hillstone山石网科独具特色的即插即用VPN,可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置,完全解决了传统IPSecVPN设备配置难、使用难、维护成本高的问题。 SG-6000多核安全网关还通过集成第三代SSL VPN实现角色访问控制和即插即用特性,为用户提供方便、快捷的安全远程接入服务。 内容安全(UTM Plus?) SG-6000可选UTMPlus?软件包提供病毒过滤、入侵防御、内容过滤、网页访问控制和应用流量整形等功能,可以防范病毒、间谍软件、蠕虫、木马等网络攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问。病毒库、攻击库、网页库可以通过网络服务实时下载,确保对新爆发的病毒、攻击、新的网页做到及时响应。 模块化、全并行处理的安全架构(多核Plus? G2) Hillstone山石网科自主开发的64位实时安全操作系统StoneOS?采用专利的多处理器全并行架构,和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同;StoneOS?实现了从网络层到应用层的多核全并行处理。 因此SG-6000较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能无法两全的局限。 SG-6000-M3108支持SD卡扩展。通过扩展SD卡可以在设备上实时记录各种审计日志和审计数据,满足公安部82号令的要求,也可以使用外置高性能日志服务器。 另外SG-6000多核安全网关还支持通过软件license方式进行设备高级扩展,
Hillstone山石网科SG-6000-X6150防火墙评测报告
Hillstone山石网科SG-6000-X6150防火墙评测报告 作者老韩 | 2010-10-14 11:38 | 类型互联网, 弯曲推荐, 研发动态, 网络安全 | 75条用户评论? 4年时间完成从0到100G的跨越,山石网科让人无话可说。再过4年,中国信息安全行业的格局是否会被改变?10月21日,山石网科将在北京正式发布这款百G级别的产品,感兴趣的话可以猛击这里查看官方专题页。 原文发布于《计算机世界》。本文尽量注意在正文中不出现带有个人感情色彩的语言;另一方面,拓展表现形式,用视频保存下测试中的经典瞬间,编辑后以更易于接受、传播的方式加以体现。(对于镜头晃动带来的眩晕感我非常抱歉,此外请忽略鼻炎导致偶发的怪腔怪调……) Hillstone山石网科(以下简称“山石网科”)是一个令人惊叹的安全企业。自成立以来,该公司保持着稳定、高速的产品研发速度,有步骤地推出了一系列多功能安全网关产品,占据了市场先机。但所有这些产品,其形态都属于“盒子(Appliance)”的范畴,固化的业务处理单元决定了其防火墙性能无法突破20G 这条水平线。而在云计算从未来时发展为现在进行时的今天,运营商、金融、教育等大型行业用户有了更高的业务需求,百G级别的防火墙在骨干网、数据中心等环境开始进入实际应用阶段。为了应对新的需求变化,山石网科又于近期推出了SG-6000-X6150(以下简称X6150)高性能防火墙,我们也在第一时间对该产品进行了测试分析。
为了达到百G级别的处理能力,X6150改用“机框(Chassis)”式产品形态,实现了可插拔部件全冗余及业务的智能分布式处理。该产品采用5U规格设计,共内置了12个扩展槽位,其中10个可用于接口模块(IOM)、安全服务模块(SSM)或QoS服务模块(QSM),2个用于系统主控模块(SCM)。设备亦采用了高速大容量交换背板,为每个模块提供了足够大的数据通路。对于高端电信级产品来说,供电子系统与散热子系统的重要性亦不容忽视。X6150最多可内置4个电源模块(650W),支持双路主备冗余部署,加上具有热插拔特性的风扇模组,可以最大程度地保障系统的稳定运行。 多核Plus G2的高级形态 目前,通过单独的处理器还很难达到百G级别的防火墙性能,业务的分布式处理是目前市场上百G防火墙产品的主流选择。不同厂商必然有着不同的系统实现方式,对于山石网科来说,经过多次发展演变的多核Plus G2架构则是X6150实现智能分布式处理的基础。
山石网科安全网关配置命令
山石网科 申请功能 (平台) QOS 流量分配 AV 复合端口 IPS 入侵 NBC 网络行为管理支持SG型号 URLDB 是NBC子键支持SG型号 HSM 设备集 4GE-B 当断电后仍然可以通讯 SSH secure Shell 安全外壳协议 是一种在不安全网络上提供安全登录和其他安全网络服务的协议。 NAT 步骤: ①,接口IP ②,配路由 缺省路由:0.0.0.0 0.0.0.0 192.168.1.2 回值路由:0.0.0.0 192.168.1.x 192.168.1.1 策略路由: ③,NAT SNAT DNAT MAP ( IP PORT ) ④,policy(策略) 检查配置环境 show seccion generic 显示连接数 show interface (name) 显示接口信息 show zone(zone name) 显示安全域类型 show admin user 显示系统管理员信息 show admin user (name)显示系统管理员配置信息 show version 显示版本号信息 show arp 显示解析地址 show fib 显示路由信息 show snat 显示nat 配置 no snatrule id 号删除NAT配置 show ip route 显示路由信息 save 保存配置 unset all 清楚配置(恢复出厂设 置。
配接口 (config)# interface Ethernet0/2 (config-if-0/2)# zone trust 或/untrust 建立区信任/不信任 (config-if-0/2)# ip add 192.168.1.1/24 (config-if-0/2)# manage ping 开通PING (config-if-0/3)# manage http 开通HTTP (config-if-0/3)# manage telnet 开通telnet 配路由 (config)# ip vrouter trust-vr 这个命令意思是可以配置多个路由 (config-route)# ip route 0.0.0.0/0 192.168.1.1 配NAT (config)# nat (config-nat)# snatrule id 1 from any to any trans-to eif-ip mode dynamicport (config)#policy # rule from any to any server any dynamicport 系统管理 web: 系统--设备管理--基本信息 CLI: (config)# hostname (name) 配置安全网关名 (config)# no hostname 清楚安全网关名 管理员密码策略配置模式 hostname(config)# password policy 进入管理员策略配置式 hostname(config-pwd-policy)# admin complexity 1 启用密码复杂度限制 hostname(config=pwd-policy)# admin min-length (length value) 启用密码最少位限制 配置系统管理员 (config)# admin user (user-name) 配置管理员名称 (config)# no admin user (user-name) 删除管理员名称 (config-hostname)# privilege PX/RXW 管理员模式下:配置管理员特权 PX是读,执行 PXW 是读,执行,写。 (config-hostname)# password password 配置管理员密码 (config-hostname)# access{console|https|ssh|telnet|any} 配置管理员的访问方式 show admin user 显示管理员信息 show admin user (user-name) 显示管理员配置信息
Hillstone山石网科多核安全网关安装手册_3.5R2
Hillstone山石网科多核安全网关安装手册 Hillstone山石网科 SG-6000-IM0609-3.5R2C-01
前言 内容简介 感谢您选用Hillstone Networks的网络安全产品。 本手册为Hillstone山石网科多核安全网关的安装手册,能够帮助用户正确安装Hillstone山石网科多核安全网关。本手册的内容包括: ?第1章产品介绍 ?第2章安全网关安装前的准备工作 ?第3章安全网关的安装 ?第4章安全网关的启动和配置 ?第5章安全网关的硬件维护 ?第6章常见故障处理 手册约定 为方便用户阅读与理解,本手册遵循如下约定: ?警告:表示如果该项操作不正确,可能会给安全网关或安全网关操作者带来极大危险。因此操作者必须严格遵守正确的操作规程。 ?注意:表示在安装和使用安全网关过程中需要注意的操作。该操作不正确,可能影响安全网关的正常使用。 ?说明:为用户提供有助于理解内容的说明信息。
内容目录 第1章产品介绍 (1) 简介 (1) SG-6000系列多核安全网关的特点 (1) 创新的多核Plus TM网络安全构 (1) 强健的实时操作系统Hillstone (1) 主机硬件介绍 (1) 前面板介绍 (1) 后面板介绍 (4) 指示灯含义 (4) 系统参数 (6) 端口属性 (7) CLR按键 (9) 电源 (10) 第2章安全网关安装前的准备工作 (11) 介绍 (11) 洁净度要求 (11) 防静电要求 (11) 电磁环境要求 (11) 接地要求 (11) 检查安装台 (12) 其它安全注意事项 (12) 检查安全网关及其附件 (12) 安装设备、工具和电缆 (12) 第3章安全网关的安装 (13) 安装前说明 (13) 将安全网关安装在工作台上 (13) 将安全网关安装到标准机柜中 (14) 线缆连接 (14) 连接地线 (15) 连接配置电缆 (15) 连接以太网电缆或光纤 (15) 连接电源线 (16) 安装完成后的检查 (16) 第4章安全网关的启动和配置 (17) 介绍 (17) 搭建配置环境 (17) 搭建配置口(CON口)的配置环境 (17) 搭建WebUI配置环境 (18) 搭建Telnet和SSH配置环境 (18) 安全网关的基本配置 (18)
山石网科防火墙检查命令
表29-1:手动同步配置命令列表 HA 同步信息show 命令手动同步命令 配置信息show configuration exec ha sync configuration 文件信息show file exec ha sync file file-name ARP 表项show arp exec ha sync rdo arp DNS 配置信息show ip hosts exec ha sync rdo dns DHCP 配置信息show dhcp exec ha sync rdo dhcp MAC 地址表show mac exec ha sync rdo mac show pki key PKI 配置信息 show pki trust-domain exec ha sync rdo pki 会话信息show session exec ha sync rdo session show ipsec sa IPSec VPN 信息 show isakmp sa exec ha sync rdo vpn show scvpn client test show scvpn host-check-profile show scvpn pool show scvpn user-host-binding show scvpn session SCVPN 信息 show auth-user scvpn exec ha sync rdo scvpn show l2tp tunnel show l2tp pool show l2tp client {tunnel-name name [user user-name]| tunnel-id ID} L2TP 信息 show auth-user l2tp {interface interface-name | vrouter vrouter-name} exec ha sync rdo l2tp Web 认证信息show auth-user webauth exec ha sync rdo webauth NTP 信息show ntp exec ha sync rdo ntp SCVPN 信息show scvpn exec ha sync rdo scvpn 路由信息show ip route exec ha sync rdo route
Hillstone山石网科基础配置手册5.0
Hillstone山石网科多核安全网关 基础配置手册 version 5.0 https://www.wendangku.net/doc/3d11000865.html,
目录 第1章设备管理 (1) 设备管理介绍 (1) 终端Console登录 (1) WebUI方式登录 (1) 恢复出厂设置 (2) 通过CLI方式 (2) 通过WebUI方式 (2) 通过CLR按键方式 (4) StoneOS版本升级 (4) 通过网络迅速升级StoneOS(TFTP) (4) 通过WebUI方式升级StoneOS (6) 许可证安装 (8) 通过CLI方式安装 (8) 通过WebUI方式安装 (8) 第2章基础上网配置 (10) 基础上网配置介绍 (10) 接口配置 (10) 路由配置 (11) 策略配置 (13) 源NAT配置 (14) 第3章常用功能配置 (16) 常用配置介绍 (16) PPPoE配置 (16) DHCP配置 (18) IP-MAC绑定配置 (20) 端到端IPsec VPN配置 (22) SCVPN配置 (29) DNAT配置 (36) 一对一IP映射 (37) 一对一端口映射 (39) 多对多端口映射 (42) 一对多映射(服务器负载均衡) (45)
第4章链路负载均衡 (47) 链路负载均衡介绍 (47) 基于目的路由的负载均衡 (48) 基于源路由的负载均衡 (49) 智能链路负载均衡 (49) 第5章QoS配置 (52) QoS介绍 (52) IP QoS配置 (52) 应用QoS配置 (54) 混合QoS配置 (57) QoS白名单配置 (58) 第6章网络行为控制 (59) URL过滤(有URL许可证) (59) 配置自定义URL库 (62) URL过滤(无URL许可证) (63) 网页关键字过滤 (64) 网络聊天控制 (68) 第7章VPN高级配置 (71) 基于USB Key的SCVPN配置 (71) 新建PKI信任域 (71) 配置SCVPN (76) 制作USB Key (77) 使用USB Key方式登录SCVPN (79) PnPVPN (81) 用户配置 (82) IKE VPN配置 (83) 隧道接口配置 (87) 路由配置 (88) 策略配置 (89) PnPVPN客户端配置 (90) 第8章高可靠性 (92) 高可靠性介绍 (92) 高可靠性配置 (93)
山石网科 防病毒-概念
病毒过滤 高性能纯硬件系列病毒过滤 ——基于多核Plus G2架构和全并行流检测引擎 高性能纯硬件系列病毒过滤 Hillstone 山石网科的病毒过滤是基于多核Plus G2安全架构,并采用了全并行流检测引擎。可快速有效阻止病毒、木马、蠕虫、间谍软件等恶意软件通过网页、邮件等应用渗透至内网,从而预防病毒感染引起的信息丢失、内网主机无法正常工作、数据泄漏或被窃取等现象。作为现代防病毒体系中必不可少的防病毒网关,Hillstone 山石网科病毒过滤采用世界知名厂商kasperskyLab(卡巴斯基)的病毒库,可及时、有效、可靠地更新病毒数据库信息。Hillstone 山石网科系列产品可为电信运营商、各类大中小型企业、金融机构以及各种机关单位提供专业的高性能的防病毒解决方案。 基于多核Plus? G2 Hillstone 山石网科自主开发的64位实时安全操作系统StoneOS?,具备强大的并行处理能力。StoneOS?采用专利的多处理器全并行架构,和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同;StoneOS?实现了从网络层到应用层的多核全并行处理。较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能的无法两全的局限。所以,Hillstone山石网科系列网关的每秒新建处理能力、网络处理能力以及抗DOS攻击能力超于一般的防病毒网关,其自身的安全性、可靠性和可用性也都远远高于传统的防病毒网关。 可扩展的病毒过滤 Hillstone 山石网科支持的应用处理扩展模块充分保护用户投资,应用处理模块FEC-AV-30和FEC-AV-60可以提高本机应用处理能力,将病毒过滤的处理放在应用处理模块上进行,释放主机处理和运算能力,让病毒过滤不再成为性能瓶颈。同时,病毒过滤的性能上也有1倍左右的提升。 基于全并性流检测引擎 传统的串联型检测和基于代理的内容安全网关技术不能满足作为网关设备的性能和容量要求。Hillstone山石网科独创了全并行流扫描引擎,与传统的文件型防病毒网关的引擎不同,并发流病毒扫描引擎无需将应用会话中所有数据包在内部进行重组缓存后再对文件进行扫描,而是接收数据包和病毒扫描同时并行处理,并发的流扫描引擎能提供高性能,低延迟,高容量的处理, 对扫描的文件大小和数量没有限制,同时,所有内容安全处理在统一的内容处理流程中完成,能保证同时开启防病毒,入侵检测等内容安全处理,依然能保持高性能的处理。 专业及时的病毒库更新服务 Hillstone 山石网科与国际知名反病毒厂商kaspersky Lab(卡巴斯基)技术合作,采用专门为多核Plus架构以及并发流病毒扫描引擎优化的病毒库,为用户提供专业的、本地化的、实时的病毒库样本更新,实时阻断木马、病毒、蠕虫、间谍软件通过Web页面、邮件等应用向内网渗透。 丰富的软件特性
山石网科Ipv6整体解决方案
Ipv6整体解决方案 Hillstone Networks Inc. 2016年03月10日
内容提交人审核人更新内容日期 V1 2016/3/10 目录 1需求分析 (3) 2解决方案 (3) 2.1设备信息 (3) 2.2拓扑 (3) 2.3主要配置 (4) 2.3.1总部 (4) 2.3.2分支1(模拟环境,不考虑上互联网问题) (6) 2.3.3分支2 (8) 3建设效果 (8)
1需求分析 某用户有100多个office,都采用电信光纤接入,需要逐步从IPv4演变为IPv6地址,在这种场景下,需要做到IPv4到IPv6内网的互通。 场景模拟如下:一个总部两个分支,总部内网采用IPv6地址,外网地址采用IPv4;分支1外网IPv4,内网IPv6;分支机构2内外网都为IPv4地址。需求如下: A.总部的IPv6地址可以访问到互联网IPv4资源,总部的IPv6地址可以提供互联网用户 访问。 B.总部和分支1的IPv6地址通过公网6in4隧道互相通信。 C.总部和分支2的IPv4地址互相通信。 2解决方案 2.1设备信息 2.2拓扑
分支1 2005::2/96 2.3主要配置 2.3.1总部 A.接口 interface ethernet0/1 zone "untrust" ip address 200.0.0.2 255.255.255.0 manage http exit interface ethernet0/2 zone "trust"
dns-proxy ipv6 enable ipv6 address 2005::1/96 manage ping exit interface tunnel1 zone "trust" ipv6 enable tunnel ip6in4 "fenzhi1" exit B.Nat和路由 ip vrouter "trust-vr" snatrule id 1 from "2005::/96" to "2003::/96" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #总部上网snat snatrule id 2 from "2005::2/96" to "2004::2" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #与分支2通信snat snatrule id 3 from "Any" to "200.0.0.2" service "Any" eif ethernet0/2 trans-to 2005::1 mode dynamicport #公网已知ip访问总部ipv6服务器snat dnatrule id 1 from "2005::/96" to "2003::/96" service "Any" v4-mapped #总部上网dnat dnatrule id 2 from "2005::2/96" to "2004::2" service "Any" trans-to "200.0.0.4" #与分支2通信dnat dnatrule id 3 from "Any" to "200.0.0.2" service "Any" trans-to "2005::2" #公网已知ip访问总部ipv6服务器dnat ip route 0.0.0.0/0 200.0.0.1 ipv6 route 2001::/96 tunnel1 exit C.策略 rule id 1 action permit src-addr "Any" dst-addr "Any" service "Any" exit rule id 2 action permit src-ip 2005::/96 dst-ip 2004::/96 service "Any" exit rule id 3 action permit src-ip 2005::/96
山石防火墙配置
hillstone防火墙配置步骤(以hillstone SA5040为例讲解) 厦门领航立华科技有限公司
目录 1需要从客户方获取的基本信息 (3) 2配置步骤 (3) 2.1 配置安全域 (3) 2.2 配置接口地址 (4) 2.3 配置路由 (4) 2.4 配置NAT (6) 2.4.1 源地址NAT (6) 2.4.2 目的地址NA T (6) 3配置策略 (8) 3.1 配置安全域之间的允许策略 (8) 3.1.1 配置trust到Untrust的允许所有的策略 (8) 3.1.2 配置DMZ到Untrust的允许所有的策略 (9) 3.1.3 配置trust到DMZ的允许策略 (9) 3.1.4 配置Untrust到DMZ服务器的允许策略 (10) 3.1.5 配置Untrust到Trust服务器的允许策略 (10) 3.1.6 配置详细策略 (11) 4配置QOS (12) 5配置SCVPN (13)
1需要从客户方获取的基本信息 ◆部署位置:互联网出口位置,还是其他,如部署在出口路由器之后等 ◆部署方式:三层接入(需要做NAT,大部分都是这种接入方式),二层透明接 入(透明接入不影响客户网络架构),混合接入模式(有几个接口需要配置成透明接口模式,可以支持这种方式) ◆外网出口信息:几个出口,电信Or网通,外网IP地址资源(多少个),外 网网关(防火墙默认路由设置) ◆安全域划分:一般正常3个安全域,Untrust(外网)、Trust(内网)、Dmz (服务器网段),也可以自定义多个 ◆外网接口IP地址:由客户提供 ◆内网口IP地址: ◆如果客户内网有多个网段,建议在客户中心交换机配置独立的VLAN 网段,不要与客户内部网段相同。 ◆如果客户内网只有1个网段,没有中心交换机,则把防火墙内网口地 址设置为客户内网地址段,并作为客户内网网关(适用于中小型网络)◆DMZ口IP地址:由客户提供,建议配置成服务器网段的网关; 2配置步骤 2.1 配置安全域 默认就有常用的3个安全域了,Trust,Untrust,DMZ
Hillstone山石网科上网行为管理白皮书
Hillstone山石网科上网行为管理白皮书 概述 互联网的兴起与普及为人们的工作和生活提供了极大的便利,与此同时,经由内部访问互联网导致的带宽滥用、效率下降、信息泄漏、法律风险、安全隐患等问题日益凸显。例如,在企业内部,部分员工利用工作时间在线炒股、玩在线游戏、欣赏音乐和视频、通过P2P工具下载、使用即时通讯工具无节制地网络聊天、通过网络外泄公司机密;在网吧等一些公共上网场所,人们可以随意浏览不健康网站、发表不负责任的言论、甚至参与非法网络活动…… 针对互联网所带来的上述问题,StoneOS提供许可证控制的上网行为管理功能。该功能通过对用户的网络访问行为进行控制和管理,有效解决因接入互联网而可能引发的各种问题,优化对互联网资源的应用。 产品功能 StoneOS上网行为管理功能对网络游戏、在线聊天、在线炒股、P2P下载、网页访问、邮件外发及论坛发帖等各种网络行为进行全面控制管理,并可以根据需要针对不同用户、不同网络行为、不同时间进行灵活的管理策略设置和日志记录,同时能够配合Hillstone山石网科集中网络安全管理系统(HSM)对网络行为日志进行查询统计与审计分析,从而为网络管理者的决策和管理提供重要的数据依据。 上网行为管理策略 StoneOS上网行为管理功能主要通过策略机制实现,网络管理者可以针对不同用户制定适合的上网行为管理策略规则,系统则会根据策略规则对网络应用流量进行行为控制和管理。 上网行为管理策略规则共分为三类:网络应用控制策略规则、网页内容控制策略规则和外发信息控制策略规则,每类中又包含若干子控制策略规则。 策略规则名称、优先级、用户、时间表、网络行为以及控制动作构成上网行为管理策略规则的基本元素。通过WebUI配置上网行为管理策略规则,需要进行下列基本元素的配置:?策略规则名称–上网行为管理策略规则的名称。 ?优先级- 上网行为管理策略规则的优先级。当有多条匹配策略规则的时候,优先级高的策略规则会被优先使用。 ?用户–上网行为管理策略规则的用户,即发起网络行为的主体,比如某个用户、用户组、角色、IP地址等。 ?时间表–上网行为管理策略规则的生效时间,可以针对不同用户控制其在特定时间段内的
Hillstone防火墙技术
Hi https://www.wendangku.net/doc/3d11000865.html, 山石网科通信技术(北京)有限公司 防火墙技术 StoneOS 安全模式
Hillstone防火墙技术 StoneOS安全模式 1. 介绍 传统防火墙通常可以在两种模式下进行操作:NAT/路由模式和透明模式。NAT/路由模式部署灵活,并且支持防火墙和路由器两种设备的功能。尽管如此,许多希望通过最少的网络中断而实现安全保护的客户却会选择透明模式。随着二层与三层转换的扩展,安全集成到网络中变成一个更加困难的选择。那么,在哪里部署能够控制所有二层和三层的所有类型流量的安全功能呢?Hillstone的StoneOS提供了一个强大的安全平台,它为安全管理者提供了“集成安全控制和网络管理的底层网络结构”。 StoneOS通过将网络功能从安全功能中分离出来,扩展了NAT/路由模式。这样,用户就可以在一个完全灵活的环境下使用NAT功能。 StoneOS通过引入专有的Virtual Switch(虚拟交换机)的概念极大地扩展了透明模式。在二层,用户可以定义VLAN域,并且可以将不同的安全策略应用到每一个VLAN。StoneOS还拥有重新标记VLAN tag功能,这种功能只有高端的交换机才能实现。 StoneOS混合模式将NAT/路由模式与透明模式结合到同一个设备上。根据配置的安全策略,部分数据在二层进行处理,而其它数据进行三层处理。这个强大的功能将路由器和交换机的功能进行完美结合,并且能够降低网络部署的复杂性。 2. NAT/路由模式路由 在NAT/路由模式下,设备被划分为多个三层域。流量会在三层域之间进行转发,并且被转发的流量会被进行安全检查。对于路由模式,IP地址不会被转换。对于NAT模式,IP数据包在不同域间转发的过程中,其IP地址和端口号可以被转换。 Hillstone设备将安全管理从网络管理中分离出来。Hillstone NAT策略是网络管理的一部分,用户可以基于特定接口或者五元组(IP地址、端口号和服务)进行灵活配置,或者将两者相结合。Hillstone设备可以同时工作在路由模式和NAT模式下,即对一些数据做三层转发的同时,为另外一些数据做NAT转换。
Hillstone山石网科防火墙日常运维操作手册
目录 一、设备基础管理 (1) 1.1设备登录 (1) 1.1.1 通过CLI管理设备 (1) 1.1.2 通过WebUI管理设备 (2) 1.2管理员帐号及权限设置 (4) 1.2.1 新增管理员 (4) 1.2.1 修改管理员密码 (5) 1.3 License安装 (6) 1.4设备软件升级 (7) 1.5设备配置备份与恢复 (9) 1.5.1 备份设备配置 (9) 1.5.2 恢复设备配置 (12) 1.6系统诊断工具的使用 (14) 二、对象配置 (16) 2.1 配置地址薄 (16) 2.2 配置服务簿 (17) 三、网络配置 (21) 3.1 配置安全域 (21) 3.2 配置接口 (22) 3.3 配置路由 (23) 3.4 配置DNS (24) 四、防火墙配置 (26) 4.1 配置防火墙策略 (26) 4.1.1 新增防火墙安全策略 (26) 4.1.2 编辑防火墙安全策略 (27) 4.2 配置NAT (28) 4.2.1 配置源NAT (28) 4.2.2 配置目的NAT (31) 4.3 防火墙配置举例 (35) 五、QOS配置 (44) 5.1 配置IP QOS (45) 5.2 配置应用QOS (46) 六、常用日志配置 (48)
一、设备基础管理 1.1设备登录 安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。 1.1.1 通过CLI管理设备 通过Console 口配置安全网关时需要在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与安全网关的连接,并按如下表所示设置参数(与连接Cisco设备的参数一致): 通过telnet或者SSH管理设备时,需要在相应接口下启用telnet或SSH 管理服务,然后允许相应网段的IP管理设备(可信主机)。 对接口启用telnet或SSH管理服务的方法如下: 首先在网络—>网络连接模式下的页面下方勾选指定接口,点击图示为 的编辑按钮,
Hillstone虚拟防火墙技术解决方案白皮书
图1 使用虚拟防火墙进行业务灵活扩展 在传统数据中心方案中,业务服务器与防火墙基本上是一对一配比。因此,当业务增加时,用户需要购置新的防火墙;而当业务减少时,对应的防火墙就闲置下来,导致投资浪费。虚拟防火墙技术以其灵活可扩展的特性帮助用户保护投资,用户可以随时根据业务增减相应的虚拟防火墙。同时,通过使用虚拟防火墙的CPU 资源虚拟化技术,数据中心还可以为客户定量出租虚拟防火墙,例如,可以向某些客户出租10M 吞吐量的虚拟防火墙,而向另一些客户出租100M 吞吐量的虚拟防火墙。
Hillstone 虚拟防火墙功能简介 Hillstone 的虚拟防火墙功能简称为VSYS ,能够将一台物理防火墙在逻辑上划分成多个虚拟防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,拥有独立的系统资源,且能够实现防火墙的大部分功能。每个虚拟防火墙系统之间相互独立,不可直接相互通信。不同型号的Hillstone 物理防火墙设备支持的最大VSYS 个数不同,支持License 控制的VSYS 个数的扩展。 数据中心业务类型多种多样,需要使用的防火墙策略也不同。例如,DNS 服务器需要进行DNS Query Flood 攻击防护,而HTTP 服务器则需要进行HTTP Get Flood 攻击防护。虚拟防火墙的划分能够实现不同业务的专属防护策略配置。同时,CPU 资源虚拟化可隔离虚拟防火墙之间的故障,当单个虚拟防火墙受到攻击或资源耗尽时,其它虚拟防火墙不会受到影响,这样就大大提升了各业务的综合可用性。 图2 使用虚拟防火墙进行业务隔离 Hillstone 虚拟防火墙功能包含以下特性: ■ 每个VSYS 拥有独立的管理员 ■ 每个VSYS 拥有独立的安全域、地址簿、服务簿等■ 每个VSYS 可以拥有独立的物理接口或者逻辑接口■ 每个VSYS 拥有独立的安全策略■ 每个VSYS 拥有独立的日志 1.2 业务隔离,互不影响
Hillstone入侵防御配置手册StoneOS R
Hillstone山石网科 入侵防御配置手册 V5.5版本 Hillstone Networks Inc. 服务热线:400 828 6655
目录 1设备管理 (3) 1.1终端console登录 (3) 1.2网页WebUI登录 (3) 1.3设备系统(StoneOS)升级 (5) 1.3.1通过WebUI升级 (5) 1.4许可证安装 (5) 1.4.1CLI命令行安装 (5) 1.4.2WebUI安装 (6) 2基础上网配置 (6) 2.1接口配置 (6) 2.2路由配置 (8) 2.3策略配置 (9) 3入侵防御功能配置 (11) 3.1防火墙联动配置 (11) 3.2入侵防御配置 (12) 3.3高级配置 (14) 3.3.1配置协议特征库 (15) 3.3.2自定义威胁特征库 (16)
1设备管理 设备支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、Telnet、SSH等主流通信管理协议。 1.1终端console登录 通过Console 口配置设备时需要在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与设备的连接,并按如下表所示设置参数(与连接Cisco设备的参数一致): 1.2网页WebUI登录 WebUI同时支持http和https两种访问方式,首次登录设备可通过默认接口 ethernet0/0来进行,登录方法为: 1. 将管理PC的IP地址设置为与19 2.168.1.1/24 同网段的IP 地址,并且用网线将管理PC与设备的ethernet0/0接口进行连接。 2. 在管理PC的Web浏览器中访问地址“http://192.168.1.1” 并按回车键。出现的登录页面如下图所示:
山石防火墙命令
表29-1:手动同步配置命令列表;HA同步信息show命令手动同步命令;配置信息showconfigurationexe;文件信息showfileexechasyncfi;ARP表项sh owarpexechasyncrd;DNS配置信息showiphostsexecha;DHCP配置信息showdh cpexechasy;MAC地址表showmacexecha 表 29-1:手动同步配置命令列表 HA 同步信息 show 命令手动同步命令 配置信息show configuration exec ha sync configuration 文件信息 show file exec ha sync file file-name ARP 表项show arp exec ha sync rdoarp DNS 配置信息show ip hosts exec ha sync rdodns DHCP 配置信息show dhcp exec ha sync rdodhcp MAC 地址表show mac exec ha sync rdo mac showpki key PKI 配置信息 showpki trust-domain exec ha sync rdopki 会话信息 show session exec ha sync rdo session
showipsecsa IPSec VPN 信息showisakmpsa exec ha sync rdovpn showscvpn client test showscvpn host-check-profile showscvpn pool showscvpn user-host-binding showscvpn session SCVPN 信息 showauth-user scvpn exec ha sync rdoscvpn show l2tp tunnel show l2tp pool show l2tp client
Hillstone安全网关基础配置手册v4.0
服务热线:400 828 6655 Hillstone山石网科 多核安全网关 基础配置手册 V 4.0版本
目录 一.设备管理 (1) 1.1终端CONSOLE登录 (1) 1.2网页W EB UI登录 (1) 1.3恢复出厂设置 (2) 1.4设备软件S TONE-OS升级 (4) 1.5许可证安装 (7) 二.基础上网配置 (8) 2.1接口配置 (8) 2.2路由配置 (10) 2.3策略配置 (11) 2.4源地址转换配置 (12) 三.常用功能配置 (13) 3.1PPP O E拨号配置 (13) 3.2动态地址分配DHCP配置 (15) 3.3I P-M AC地址绑定配置 (17) 3.4端到端I PSEC VPN配置 (19) 3.5远程接入SCVPN配置 (26) 3.6目的地址转换DNAT配置 (34) 3.6.1一对一IP映射 (34) 3.6.2一对一端口映射 (38) 3.6.3多对多端口映射 (43) 3.6.4一对多映射(服务器负载均衡) (49)
一.设备管理 安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。 1.1 终端console登录 通过Console 口配置安全网关时需要在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与安全网关的连接,并按如下表所示设置参数(与连接Cisco设备的参数一致): 1.2网页WebUI登录 WebUI同时支持http和https两种访问方式,首次登录设备可通过默认接口ethernet0/0来进行,登录方法为: 1. 将管理 PC 的IP 地址设置为与19 2.168.1.1/24 同网段的IP 地址,并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。 2. 在管理 PC 的Web 浏览器中访问地址http://192.168.1.1 并按回车键。出现的登录页面如下图所示:
山石网科笔试题及部分答案
1.1 考察sizeof 在32位机子上,输出值 /* value1 = 4,value2 = 4,value3 = 4 * value4 = 4,value5 = 4,value6 = 4 * value7 = 1,value8 = 1,value9 = 1 * value10 = 25 * value11 = 9 * value12 = 0 * value13 = 8 */ #include
- Hillstone山石网科基础配置手册5.0
- Hillstone快速配置手册_V0.9
- Hillstone山石网科多核安全网关安装手册_3.5R2
- Hillstone山石网科防火墙日常运维操作手册
- 山石防火墙图文讲解简单配置步骤
- Hillstone 安全网关 Web 界面配置指导
- Hillstone山石网科多核安全网关快速配置手册
- Hillstone山石网科基础配置手册5.0
- Hillstone安全网关基础配置手册v4.0
- HillStone最新配置手册
- Hillstone安全网关Web界面配置指导
- 山石网科安全网关配置命令
- HillstoneSG-6000-NAV多核安全网关安装手册_4.0R4
- 山石防火墙配置
- 山石网科防火墙 sgm-m精选-m精选选型说明书
- Hillstone安全网关高级功能配置手册v5.0(初版)
- 山石网科(hillstone) SG-6000-G5150
- Hillstone入侵防御配置手册StoneOS R
- 山石网科Vpn基本配置与简单排错
- 山石防火墙图文讲解简单配置步骤