当前位置：文档库 › Hillstone山石网科多核安全网关快速配置手册

Hillstone山石网科多核安全网关快速配置手册

Hillstone山石网科多核安全网关

快速配置手册

Hillstone山石网科

QS-UG0509-V1.1-01

前言

手册内容

首先感谢您使用山石网科的网络安全产品。本手册为Hillstone山石网科多核系列安全网关的快速配置手册，对Hillstone山石网科多核系列安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI的配置。

本手册的内容包括以下各章：

?搭建配置环境。介绍配置环境信息以及WebUI配置环境的搭建。

?第2章系统管理。介绍系统固件StoneOS的升级、配置文件的备份等。

?第3章快速部署安全网关。介绍安全网关的路由应用模式部署。

?第4章对外发布服务器。介绍DNAT的基本配置。

?第5章IP QoS。介绍IP QoS的配置用例。

?第6章应用QoS。介绍应用QoS的配置用例。

?第7章SCVPN。介绍SCVPN的配置用例。

手册约定

为方便用户阅读与理解，本手册遵循以下约定：

内容约定

本手册内容约定如下：

?提示：为用户提供相关参考信息。

?说明：为用户提供有助于理解内容的说明信息。

?注意：如果该操作不正确，会导致系统出错。

?『』：用该方式表示WebUI页面上的链接、标签或者按钮。

?< >：用该方式表示WebUI页面上提供的文本信息，包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。

第1章搭建配置环境 (1)

配置环境介绍 (1)

搭建WebUI配置环境 (1)

搭建Console配置环境 (3)

安全网关的基本配置 (3)

第2章系统管理 (5)

介绍 (5)

时间配置 (5)

升级StoneOS (5)

配置信息操作 (6)

保存配置信息 (6)

导出配置信息 (7)

导入配置信息 (7)

恢复出厂配置 (8)

第3章快速部署安全网关 (9)

介绍 (9)

组网 (9)

配置步骤 (9)

第4章对外发布服务器 (15)

介绍 (15)

组网 (15)

配置步骤 (16)

第5章IP QoS (23)

介绍 (23)

配置需求 (23)

配置步骤 (23)

第6章应用QoS (25)

介绍 (25)

配置需求 (25)

配置步骤 (25)

第7章SCVPN (26)

介绍 (26)

组网 (26)

配置步骤 (26)

第1章搭建配置环境

配置环境介绍

Hillstone山石网科多核安全网关是山石网科自主研发的专用高性能纯硬件安全网关，可应用于大中小型企业、大型区域办事结构、电信运营商、数据中心等。为方便管理员管理与配置，安全网关支持本地（Console口）与远程（Telnet、SSH、HTTP以及HTTPS）两种环境配置方法，可以通过CLI和WebUI两种方式进行配置。

搭建WebUI配置环境

WebUI是最方便、直观、简单的配置方式。安全网关的ethernet0/0接口配有默认IP地址192.168.1.1/24，并且该接口的各种管理功能（HTTP、HTTPS、Telnet、SSH、SNMP、Ping）均为开启状态。初次使用安全网关时，用户可以通过该接口访问安全网关的WebUI页面。

请按照以下步骤搭建WebUI配置环境：

1.将管理PC的IP地址设置为与19

2.168.1.1/24同网段的IP地址，并且用网线将管理PC

与安全网关的ethernet0/0接口进行连接。参见图1-1：

图1-1：WebUI配置环境组网图

eth0/0：192.168.1.1

图1-2：登录页面

3.输入用户名和密码。安全网关提供的默认用户名和密码均为“hillstone”。

4.选择语言单选按钮。

5.点击『登录』按钮进入安全网关的主页。如图1-3所示：

图1-3：安全网关主页

此时用户可以根据需求对安全网关进行配置。

注意：更改接口ethernet0/0的IP地址将导致网络中断。在该组网环境下，请保证ethernet0/0与管理PC的IP地址始终处于同一网段。

搭建Console配置环境

通过Console口，用户可登录安全网关设备的CLI，从而使用命令行对设备进行配置。请按照

以下步骤搭建安全网关的Console口配置环境：

1.建立本地配置环境。用标准的RS-232电缆将PC的串口与安全网关的CON口连接起来。

如图1-4所示：

图1-4：Console口配置环境

安全网关接口工作模式、合理划分网络安全域并进行网络及安全策略配置。基本配置可能涉及以下方面：

1.划分安全域，包括链路层（L2）和网络层（L3）安全域的划分，并将接口置于正确的安全

域内。

2.接口地址分配及配置。

3.接口管理属性、安全管理策略配置。

4.明确网络地址分配方案，根据需要配置地址转换策略。

5.进行路由配置，保证网络的连通性。

6.在安全域间应用安全策略。

7.配置各项网络参数，如DHCP和DNS代理等。

说明：关于安全网关的详细配置，请参阅《Hillstone山石网科多核安全网关使用手册》（CLI）或者Hillstone山石网科多核安全网关在线帮助（WebUI）。

第2章系统管理

介绍

使用安全网关之前，用户需要对安全网关系统进行一些基础配置，从而保证安全网关的正常工作。本章主要介绍这些必要的系统基础配置，包括系统时间配置、StoneOS升级、配置文件的备份、导入和导出以及恢复出厂配置操作。

时间配置

安全网关的时间影响到设备的许多功能模块，例如VPN隧道的建立、时间表功能的实现以及自签名证书的使用等，因此系统时间的精确性十分重要。通常情况下，只要配置设备时间和管理PC 的系统时间同步即可。

1.配置设备时间，请按照以下步骤操作：

2.访问页面“系统e日期/时间”。

3.在<系统时间>部分点击<同步>按钮。参见图2-1：

图2-1：同步系统时间

升级StoneOS

StoneOS是Hillstone山石网科多核系列安全网关运行的系统固件。Hillstone山石网科会定期发布新版本StoneOS，为系统添加新功能并对一些问题进行修复。

对StoneOS进行升级，请按照以下步骤进行操作：

1.将新的StoneOS系统文件拷贝到管理PC的任意目录下。

2.访问页面“系统e系统软件”。

3.点击『升级』按钮，弹出<升级系统固件>对话框。如图2-2所示：

图2-2：升级系统固件对话框

4.点击『浏览』按钮，并从弹出菜单中选中新的系统固件。点击『确定』按钮，系统开始上

载新的StoneOS。

5.上载成功后，点击页面右上方的『重启』功能按钮，使新StoneOS生效。参见图2-3：

图2-3：重启设备

配置信息操作

设备的配置信息都被保存在系统的配置文件中。用户可以保存配置信息，可以查看不同版本的配置信息，为方便不同设备的配置共享以及设备管理，用户还可以导入、导出配置信息。

保存配置信息

系统纪录最近十次保存的配置信息，最近一次保存的配置信息会纪录为系统的当前起始配置信息，当前系统配置信息以“current”作为标记。前九次的配置信息按照保存时间的先后以数字0到8作为标记。

保存配置信息，请按照以下步骤进行操作：

1.点击页面右上方的『保存』功能按钮。如图2-4所示：

图2-4：保存配置信息

2.系统弹出<用户提示>对话框。如果需要，在文本框中输入描述信息。然后点击『确定』按

钮。如图2-5所示：

图2-5：存配置信息

3.访问页面“系统e配置”，保存的配置文件信息将显示在页面下方的<配置记录>列表中。导出配置信息

导出当前配置信息，请按照以下步骤操作：

1.访问页面“系统e配置”，在<当前配置>部分，点击『下载』按钮。如图2-6所示：

图2-6：导出当前配置信息

2.在弹出的<文件下载>对话框，点击『保存』按钮，并在<另存为>对话框选择保存配置文

件的目录，然后点击『保存』按钮。配置信息文件将被保存在指定目录下。

3.导出备份配置信息，请按照以下步骤进行操作：

4.访问页面“系统e配置”，在<配置记录>列表，点击需要保存的配置信息对应的『导出』

按钮。如图2-7所示：

图2-7：导出备份配置信息

5.在弹出的<文件下载>对话框，点击『保存』按钮，并在<另存为>对话框选择保存配置文

件的目录，然后点击『保存』按钮。配置信息文件将被保存在指定目录下。

导入配置信息

导入配置信息，请按照以下步骤进行操作：

1.将需要导入的配置信息文件储存在管理PC的某个目录下。

2.访问页面“系统e配置”，点击<从电脑上传配置文件>对应的『浏览』按钮，然后选中配

置文件。

3.点击『上传』按钮。如图2-8所示：

图2-8：导入配置文件

4.上载成功后，重启设备使新上载的配置生效。

恢复出厂配置

某些情况下，用户不得不恢复设备的出厂配置以解决一些问题。Hillstone山石网科提供两种方法恢复设备的出厂配置，分别是：

?物理方法：使用设备的CRL按键进行恢复

?命令行：通过CLI使用命令进行恢复

使用CRL按键恢复出厂配置，请按照以下步骤进行操作：

1.关闭安全网关的电源。

2.用针状物按住CLR按键的同时打开安全网关的电源。

3.保持按住状态直到指示灯STA和ALM均变为红色常亮，释放CLR按键。此时系统开始恢

复出厂配置。

4.出厂配置恢复完毕，系统将会自动重新启动。

5.通过命令行恢复出厂配置，在执行模式下，使用unset all命令。出厂配置恢复完毕，

系统将会自动重新启动。

第3章快速部署安全网关

介绍

Hillstone 山石网科多核安全网关有三种应用模式，分别是透明应用模式、混合应用模式和路由应用模式。系统会根据进入设备的数据包，自动选择正确的应用模式进行处理。本章介绍路由应用模式部署方法。

路由应用模式把各接口绑定到三层安全域上，并根据网络结构和安全需要配置接口的IP 地址和各安全域之间的策略规则。此时，安全网关位于内部网与外部网之间。在这种应用模式下，设备既具有路由功能，又具有安全策略功能。

组网

安全网关设备接口ethernet0/0属于trust 安全域，连接内网，接口ethernet0/1属于untrust 安全域，连接外网，网关地址为202.10.1.1。组网图如图3-1所示。

图3-1：路由模式组网图

PC PC

192.168.1.1/24；将接口ethernet0/1绑定到预定义安全域untrust，设置IP地址为202.10.1.2/24。如果有必要，可以在ethernet0/0接口上开启DHCP服务器功能，为内网PC 分配IP地址和DNS服务器地址（DNS服务器地址为202.10.1.3）。配置步骤如下：

1.访问页面“网络e接口”。

2.点击接口列表中ethernet0/0对应的『编辑』按钮，进入接口的<基本配置>页面。在该

页面进行配置，配置完成后点击『确定』按钮。配置信息参见图3-2：

图3-2：接口ethernet0/0配置

3.点击接口列表中ethernet0/1对应的『编辑』按钮，进入接口的<基本配置>页面。在该

页面进行配置，配置完成后点击『确定』按钮。配置信息参见图3-3：

图3-3：接口ethernet0/3配置

如果需要在ethernet0/0接口上开启DHCP服务器功能，请按照以下步骤进行操作：

1.访问页面“网络eDHCPe地址池”，点击『新建』按钮，进入

页面。在该页面进行配置，配置信息参见图3-4：

图3-4：DHCP地址池基本配置

2.点击『应用』按钮，然后点击页面左上方的『高级』标签，进入

页面。在该页面配置DNS服务器地址。配置完成点击『确定』按钮。配置信息参见图3-5：

图3-5：DHCP地址池高级配置

3.访问页面“网络eDHCPe服务”。

4.点击『新建』按钮，弹出对话框。在该对话框进行配置，配置完成点击

『确定』按钮。配置信息参见图3-6：

图3-6：DHCP服务器配置

第二步：配置源NAT规则，将内网IP转换为接口IP。配置步骤如下：

1.访问页面“防火墙eNATe源NAT”。

2.点击『新建』，然后从弹出菜单中选择<基本配置>，进入<源NAT基本配置>页面。在该

页面进行配置，配置完成后点击『确定』按钮。配置信息参见图3-7：

图3-7：源NAT规则配置

第三步：配置默认路由。配置步骤如下：

1.访问页面“网络e路由e目的路由”。

2.点击『新建』按钮，系统弹出<目的路由配置>对话框。在该对话框进行路由配置，配置完

成后点击『确定』按钮。配置信息参见图3-8：

图3-8：默认路由配置

第四步：配置策略规则，允许内网用户访问外网。配置步骤如下：

1.访问页面“防火墙e策略”，进入<策略列表>页面。

2.从<源安全域>和<目的安全域>下拉菜单分别选择“trust”和“untrust”，然后点击『新

建』按钮。如图3-9所示：

图3-9：新建策略规则

3.此时系统进入<策略基本配置>页面。在该页面进行配置，配置完成后点击『确定』按钮。

配置信息参见图3-10：

图3-10：配置策略规则

第4章对外发布服务器

介绍

本章介绍NAT配置，实现的功能分别为通过SNAT功能隐藏内网IP地址以及通过DNAT功能对外发布内网服务器。

组网

公司通过安全网关将网络划分为三个域：Trust域、DMZ域和Untrust域。员工工作网段处于Trust域，分配私网地址10.1.1.0/24，并且具有最高安全级别；WWW服务器和FTP服务器处于DMZ域，分配私网地址10.1.2.0/24，并且能够被内部员工和外部用户访问；外部网络处于Untrust域。图4-1为该示例的组网图：

图4-1：NAT配置示例组网图

PC2

Untrust Zone

Router

10.1.1.1/2410.1.2.1/24

的IP地址为202.1.1.6。

配置步骤

实现以上需求，请按照以下步骤进行配置：

第一步：配置接口。将连接外网的接口ethernet0/2分配到untrust安全域，设置IP地址为202.1.1.2/29；将连接内网的接口ethernet0/1分配到trust安全域，设置IP地址为

10.1.1.1/24；将连接内网服务器的接口ethernet0/3分配到DMZ安全域，设置IP地址为

10.1.2.1/24。配置步骤如下：

1.访问页面“网络e接口”。

2.点击接口列表中ethernet0/2对应的『编辑』按钮，进入接口的<基本配置>页面。在该

页面进行配置，配置完成后点击『确定』按钮。配置信息参见图4-2：

图4-2：接口ethernet0/2配置

3.点击接口列表中ethernet0/1对应的『编辑』按钮，进入接口的<基本配置>页面。在该

页面进行配置，配置完成后点击『确定』按钮。配置信息参见图4-3：

图4-3：接口ethernet0/1配置

4.点击接口列表中ethernet0/3对应的『编辑』按钮，进入接口的<基本配置>页面。在该

页面进行配置，配置完成后点击『确定』按钮。配置信息参见图4-4：

图4-4：接口ethernet0/3配置

第二步：配置用于地址转换的地址条目。创建名为“intranet”的地址条目，成员为IP地址10.1.1.1/24；创建名为“internet”的地址条目，成员为IP地址段202.1.1.3到202.1.1.5；创建名为“mapped-ip”的地址条目，成员为IP地址202.1.1.6/32；配置名为“FTP-server”

山石网科防火墙 SG-6000-M2105-M3100-M3108选型说明书

新一代多核安全网关 SG-6000-M2105/M3100/M3108 SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。产品亮点安全可视化 ●网络可视化通过StoneOS?内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。 ●接入可视化 StoneOS?基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。 ●应用可视化 StoneOS?内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。StoneOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包

括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。全面的VPN解决方案 SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSec VPN。SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。 Hillstone山石网科独具特色的即插即用VPN，可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置，完全解决了传统IPSecVPN设备配置难、使用难、维护成本高的问题。 SG-6000多核安全网关还通过集成第三代SSL VPN实现角色访问控制和即插即用特性，为用户提供方便、快捷的安全远程接入服务。内容安全(UTM Plus?) SG-6000可选UTMPlus?软件包提供病毒过滤、入侵防御、内容过滤、网页访问控制和应用流量整形等功能，可以防范病毒、间谍软件、蠕虫、木马等网络攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页，提高工作效率和控制对不良网站的访问。病毒库、攻击库、网页库可以通过网络服务实时下载，确保对新爆发的病毒、攻击、新的网页做到及时响应。模块化、全并行处理的安全架构(多核Plus? G2) Hillstone山石网科自主开发的64位实时安全操作系统StoneOS?采用专利的多处理器全并行架构，和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同；StoneOS?实现了从网络层到应用层的多核全并行处理。因此SG-6000较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升，为同时开启多项防护功能奠定了性能基础，突破了传统安全网关的功能实用性和性能无法两全的局限。 SG-6000-M3108支持SD卡扩展。通过扩展SD卡可以在设备上实时记录各种审计日志和审计数据，满足公安部82号令的要求，也可以使用外置高性能日志服务器。另外SG-6000多核安全网关还支持通过软件license方式进行设备高级扩展，

Hillstone山石网科SG-6000-X6150防火墙评测报告

Hillstone山石网科SG-6000-X6150防火墙评测报告作者老韩 | 2010-10-14 11:38 | 类型互联网, 弯曲推荐, 研发动态, 网络安全 | 75条用户评论? 4年时间完成从0到100G的跨越，山石网科让人无话可说。再过4年，中国信息安全行业的格局是否会被改变？10月21日，山石网科将在北京正式发布这款百G级别的产品，感兴趣的话可以猛击这里查看官方专题页。原文发布于《计算机世界》。本文尽量注意在正文中不出现带有个人感情色彩的语言；另一方面，拓展表现形式，用视频保存下测试中的经典瞬间，编辑后以更易于接受、传播的方式加以体现。（对于镜头晃动带来的眩晕感我非常抱歉，此外请忽略鼻炎导致偶发的怪腔怪调……） Hillstone山石网科（以下简称“山石网科”）是一个令人惊叹的安全企业。自成立以来，该公司保持着稳定、高速的产品研发速度，有步骤地推出了一系列多功能安全网关产品，占据了市场先机。但所有这些产品，其形态都属于“盒子（Appliance）”的范畴，固化的业务处理单元决定了其防火墙性能无法突破20G 这条水平线。而在云计算从未来时发展为现在进行时的今天，运营商、金融、教育等大型行业用户有了更高的业务需求，百G级别的防火墙在骨干网、数据中心等环境开始进入实际应用阶段。为了应对新的需求变化，山石网科又于近期推出了SG-6000-X6150（以下简称X6150）高性能防火墙，我们也在第一时间对该产品进行了测试分析。

为了达到百G级别的处理能力，X6150改用“机框（Chassis）”式产品形态，实现了可插拔部件全冗余及业务的智能分布式处理。该产品采用5U规格设计，共内置了12个扩展槽位，其中10个可用于接口模块（IOM）、安全服务模块（SSM）或QoS服务模块（QSM），2个用于系统主控模块（SCM）。设备亦采用了高速大容量交换背板，为每个模块提供了足够大的数据通路。对于高端电信级产品来说，供电子系统与散热子系统的重要性亦不容忽视。X6150最多可内置4个电源模块（650W），支持双路主备冗余部署，加上具有热插拔特性的风扇模组，可以最大程度地保障系统的稳定运行。多核Plus G2的高级形态目前，通过单独的处理器还很难达到百G级别的防火墙性能，业务的分布式处理是目前市场上百G防火墙产品的主流选择。不同厂商必然有着不同的系统实现方式，对于山石网科来说，经过多次发展演变的多核Plus G2架构则是X6150实现智能分布式处理的基础。

山石网科安全网关配置命令

山石网科申请功能（平台） QOS 流量分配 AV 复合端口 IPS 入侵 NBC 网络行为管理支持SG型号 URLDB 是NBC子键支持SG型号 HSM 设备集 4GE-B 当断电后仍然可以通讯 SSH secure Shell 安全外壳协议是一种在不安全网络上提供安全登录和其他安全网络服务的协议。 NAT 步骤： ①，接口IP ②，配路由缺省路由：0.0.0.0 0.0.0.0 192.168.1.2 回值路由：0.0.0.0 192.168.1.x 192.168.1.1 策略路由： ③，NAT SNAT DNAT MAP ( IP PORT ) ④，policy(策略) 检查配置环境 show seccion generic 显示连接数 show interface (name) 显示接口信息 show zone(zone name) 显示安全域类型 show admin user 显示系统管理员信息 show admin user (name)显示系统管理员配置信息 show version 显示版本号信息 show arp 显示解析地址 show fib 显示路由信息 show snat 显示nat 配置 no snatrule id 号删除NAT配置 show ip route 显示路由信息 save 保存配置 unset all 清楚配置(恢复出厂设置。

配接口 (config)# interface Ethernet0/2 (config-if-0/2)# zone trust 或/untrust 建立区信任/不信任 (config-if-0/2)# ip add 192.168.1.1/24 (config-if-0/2)# manage ping 开通PING (config-if-0/3)# manage http 开通HTTP (config-if-0/3)# manage telnet 开通telnet 配路由 (config)# ip vrouter trust-vr 这个命令意思是可以配置多个路由 (config-route)# ip route 0.0.0.0/0 192.168.1.1 配NAT (config)# nat (config-nat)# snatrule id 1 from any to any trans-to eif-ip mode dynamicport (config)#policy # rule from any to any server any dynamicport 系统管理 web：系统--设备管理--基本信息 CLI： (config)# hostname (name) 配置安全网关名 (config)# no hostname 清楚安全网关名管理员密码策略配置模式 hostname(config)# password policy 进入管理员策略配置式 hostname(config-pwd-policy)# admin complexity 1 启用密码复杂度限制 hostname(config=pwd-policy)# admin min-length (length value) 启用密码最少位限制配置系统管理员 (config)# admin user (user-name) 配置管理员名称 (config)# no admin user (user-name) 删除管理员名称 (config-hostname)# privilege PX/RXW 管理员模式下：配置管理员特权 PX是读，执行 PXW 是读，执行，写。 (config-hostname)# password password 配置管理员密码 (config-hostname)# access{console|https|ssh|telnet|any} 配置管理员的访问方式 show admin user 显示管理员信息 show admin user (user-name) 显示管理员配置信息

联想网御网闸(SIS-3000)配置过程

联想网御网闸（SIS-3000）设备测试报告一、设备管理、拓扑结构 1、通过笔记本管理网闸，需要先在笔记本上导入管理证书（光盘——管理证书文件夹下，密码：hhhhhh）,管理IP:10.0.0.200 ，掩码：255.255.255.0 。 2、登录内网：用网线连接内网专用管理口，在IE浏览器输入：https://10.0.0.1:8889 3、输入用户名/密码：administrator/ administrator (超级用户)或输入：admin/admin123(管理员用户)。 4、登录外网：用网线连接外网专用管理口，在IE浏览器输入：https://10.0.0.2:8889或输入用户名/密码：administrator/ administrator (超级用户) 或输入：admin/admin123(管理员用户)。测试拓扑结构： FTP客户端 FTP服务端注：网闸的工作模式有两种，普通模式、透明模式。 “访问类别”功能是网闸的主要应用之一，根据外部应用客户端跨网闸访问“目的服务器地址”的不同，分为“透明访问”、“普通访问”两种模式。两种应用模式具体的比较如下

区别透明访问普通访问含义外部客户端，“无视”网闸的存在，直接访问网闸另一侧的真实服务器地址；外部客户端通过访问相连网闸地址，再由网闸连接真实服务器；原理区别两者相同两者相同配置区别1）只需配置网闸客户端任务，无需配置网闸服务端任务； 2）客户端添加一条路由，指向网闸；必须同时配置网闸客户端、服务端任务，且对应任务之间的任务号必须相同；访问目的地址网闸另一侧的真实服务器地址与客户端相连一侧的网闸地址网闸两侧网络地址同网段支持支持网闸两侧网络地址不同网段支持支持双机热备支持支持负载均衡不支持支持 ◆硬件架构原理图如下二、网闸主要配置抓图 2.1、内网配置抓图： ◆登陆界面

Hillstone山石网科多核安全网关安装手册_3.5R2

Hillstone山石网科多核安全网关安装手册 Hillstone山石网科 SG-6000-IM0609-3.5R2C-01

前言内容简介感谢您选用Hillstone Networks的网络安全产品。本手册为Hillstone山石网科多核安全网关的安装手册，能够帮助用户正确安装Hillstone山石网科多核安全网关。本手册的内容包括： ?第1章产品介绍 ?第2章安全网关安装前的准备工作 ?第3章安全网关的安装 ?第4章安全网关的启动和配置 ?第5章安全网关的硬件维护 ?第6章常见故障处理手册约定为方便用户阅读与理解，本手册遵循如下约定： ?警告：表示如果该项操作不正确，可能会给安全网关或安全网关操作者带来极大危险。因此操作者必须严格遵守正确的操作规程。 ?注意：表示在安装和使用安全网关过程中需要注意的操作。该操作不正确，可能影响安全网关的正常使用。 ?说明：为用户提供有助于理解内容的说明信息。

内容目录第1章产品介绍 (1) 简介 (1) SG-6000系列多核安全网关的特点 (1) 创新的多核Plus TM网络安全构 (1) 强健的实时操作系统Hillstone (1) 主机硬件介绍 (1) 前面板介绍 (1) 后面板介绍 (4) 指示灯含义 (4) 系统参数 (6) 端口属性 (7) CLR按键 (9) 电源 (10) 第2章安全网关安装前的准备工作 (11) 介绍 (11) 洁净度要求 (11) 防静电要求 (11) 电磁环境要求 (11) 接地要求 (11) 检查安装台 (12) 其它安全注意事项 (12) 检查安全网关及其附件 (12) 安装设备、工具和电缆 (12) 第3章安全网关的安装 (13) 安装前说明 (13) 将安全网关安装在工作台上 (13) 将安全网关安装到标准机柜中 (14) 线缆连接 (14) 连接地线 (15) 连接配置电缆 (15) 连接以太网电缆或光纤 (15) 连接电源线 (16) 安装完成后的检查 (16) 第4章安全网关的启动和配置 (17) 介绍 (17) 搭建配置环境 (17) 搭建配置口（CON口）的配置环境 (17) 搭建WebUI配置环境 (18) 搭建Telnet和SSH配置环境 (18) 安全网关的基本配置 (18)

联想网御最终配置手册

联想网御防火墙配置手册 1 登陆方法 1.1 使用电子钥匙方式登陆防火墙在Web 界面管理中，管理主机默认只能连接防火墙的fe1，如果需要连接其它网口，必须进行相应的设置。默认的管理主机IP 地址是10.1.5.200，Web 界面管理使用SSL 协议来加密管理数据通信，因此使用IE 来管理防火墙时，在地址栏输入https://a.b.c.d:8888/，来登录防火墙。其中防火墙的地址“a.b.c.d”初始值为“10.1.5.254”，登录防火墙的初始用户名和口令都是“administrator”，“administrator”中所有的字母都是小写的。注意：用Web 界面管理时，建议管理主机设成小字体，分辨率为1024*768；其他字体和分辨率可能使界面显示不全或顺序混乱。管理员通过Web 方式管理防火墙有两种认证方式，电子钥匙认证和证书认证。使用电子钥匙时，首先将电子钥匙插入管理主机的usb 口，启动用于认证的客户端ikeyc.exe，输入PIN 密码，默认为12345678，系统会读出用于认证的ikey 信息，此时窗口右边的灯是红的。（如下图所示）选择“连接”，连接进行中灯是黄的，如果连接成功，灯会变绿，并且出现通过认证的提示框，“确定”后，就可以通过https://10.1.5.254:8888 连接防火墙了。（如下图所示）

注意：防火墙管理过程中，请不要拔下电子钥匙，也不要关闭防火墙管理认证客户端，否则可能无法管理。 1.2使用管理证书认证方式远程登陆防火墙 1.2.1远程登陆防火墙的条件 1、必须在先使用电子钥匙登陆防火墙，在“系统配置>>管理配置>>管理证书” 页面上载防火墙证书。（附图1） 2、在准备登陆防火墙的计算机上导入浏览器认证证书“admin.p12”。（附图2） 3、在“系统配置〉〉管理配置〉〉管理主机”页面添加管理主机。（附图3） 4、对“网络配置〉〉网络设备”页面中的fe4口进行操作（附图4）。打开“用于管理”选项。（附图5）附图1 说明：选择好相应的证书和密钥，点击“导入”即可。

服务器基本安全配置

服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字，并新建同名 Administrator普通用户，设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略启动密码复杂性要求，设置密码最小长度、密码最长使用期限，定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略启动账户锁定，设置单用户多次登录错误锁定策略，具体设置参照要求设置。

(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项交互式登录:不显示上次的用户名；——启动交互式登录：回话锁定时显示用户信息；——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项网络访问：可匿名访问的共享；——清空网络访问：可匿名访问的命名管道；——清空网络访问：可远程访问的注册表路径；——清空网络访问：可远程访问的注册表路径和子路径；——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略通过终端服务拒绝登陆——加入一下用户（****代表计算机名）ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注：用户添加查找如下图：

(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核即系统日志记录的审核消息，方便我们检查服务器的账户安全，推荐设置如下： (8)

山石网科防火墙检查命令

表29-1：手动同步配置命令列表 HA 同步信息show 命令手动同步命令配置信息show configuration exec ha sync configuration 文件信息show file exec ha sync file file-name ARP 表项show arp exec ha sync rdo arp DNS 配置信息show ip hosts exec ha sync rdo dns DHCP 配置信息show dhcp exec ha sync rdo dhcp MAC 地址表show mac exec ha sync rdo mac show pki key PKI 配置信息 show pki trust-domain exec ha sync rdo pki 会话信息show session exec ha sync rdo session show ipsec sa IPSec VPN 信息 show isakmp sa exec ha sync rdo vpn show scvpn client test show scvpn host-check-profile show scvpn pool show scvpn user-host-binding show scvpn session SCVPN 信息 show auth-user scvpn exec ha sync rdo scvpn show l2tp tunnel show l2tp pool show l2tp client {tunnel-name name [user user-name]| tunnel-id ID} L2TP 信息 show auth-user l2tp {interface interface-name | vrouter vrouter-name} exec ha sync rdo l2tp Web 认证信息show auth-user webauth exec ha sync rdo webauth NTP 信息show ntp exec ha sync rdo ntp SCVPN 信息show scvpn exec ha sync rdo scvpn 路由信息show ip route exec ha sync rdo route

联想网御Power V系列配置案例集11(静态、默认、策略、ISP路由配置案例)

11.1 静态路由配置配置需求：访问目的网络2.2.2.0/24，下一跳为192.168.83.108。（1）进入到【路由管理】-【基本路由】-【静态路由表】中，新建一条静态路由表。（2）目的地址：需要访问的目标网络掩码：目标网络的掩码下一跳地址：防火墙流出网口的对端设备地址 Metric：优先级，metric值越小优先级越高网络接口：防火墙的流出接口（3）在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】，开始调试。如果静态路由生效，如下图所示。

注意事项：（1）下一跳地址一定要输入正确，这个地址不是防火墙的出口地址。（2）下一跳地址一定可达有效的地址，可以在【状态监控】-【状态信息】-【网络测试】测试下可达性。 11.2 默认路由配置配置需求：经过防火墙的数据包全部转发给211.211.211.210. （1）进入到【路由管理】-【基本路由】-【默认路由】中，新建一条默认路由。（2）默认网关：211.211.211.210；权重值：多条默认路由时使用，权重越大负载分担时流经的数据包所占比重越高

（3）在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】，开始调试。如果默认路由生效，如下图所示。注意事项： (1) 配置多条默认路由时，一定勾选【启用基于状态回包功能】，权重值越大，分担的流量越多。 (2) 默认路由生效了，在【状态监控】-【状态信息】-【网络测速】中选择【ping】下网关地址，确保可达性。 11.3 策略路由配置

配置需求：内网192.168.1.0/24网段访问8.8.8.0/24通过eth0口路由出去。（1）进入到【路由管理】-【基本路由】-【策略路由】中，新建一条高级路由表。命名路由表名称和路由表ID 点击新建路由表后面的操作按钮，新建路由表内容

AWS服务器配置部署手册

A W S服务器配置部署手册 Company Document number：WTUT-WT88Y-W8BBGB-BWYTT-19998

aws服务器配置部署手册一、实例的启动（创建） 1.什么是实例在所有工作之前，我们来看一看什么是AmazonEC2.根据其官方文档的解释如下：在知道什么是AmazonEC2,之后我们就可以开始我们的工作了。 AmazonEC2提供不同的实例类型，以便可以选择需要的CPU、内存、存储和网络容量来运行应用程序。登录帐号，进入EC2的控制面板，启动实例。 2.实例的相关配置根据我们的需求选择MicrosoftWindowsServer2012R2Base，。其他过程直接选择默认配置，点击配置安全组。默认的安全组只有一个规则，这条规则对应的是远程桌面连接的端口。但是只有这条规则是不够的，为了方便我们之后服务器的配置以及网站的部署，我们得添加其他的规则，下图是我配置帕累托后台所用的安全组。（有关安全组端口作用在附件中有部分说明，详见附件1）完成相关工作之后，点击审核和启动，会跳出如下页面，这一步很重要！因为在这创建的密钥对，以后都会用到。在保存好密钥对之后就可以启动实例了。 3.绑定弹性IP 在导航栏中找到弹性IP，点击分配新地址。创建好之后右击，选择关联地址，将其关联到我们的实例上。

二、服务器的配置 1.远程桌面连接实例在创建完成之后，就要配置服务器了。在配置服务器时，需要通过远程桌面连接进入实例进行配置。首先查看我们实例的安全组有没有配置远程连接的端口，如果没有进行添加配置（导航栏中找到安全组，点击进入）。若实例需要添加安全组，在安全组创建之后可以右击实例更改安全组进行安全组的绑定。在完成端口的开放之后，就可以进行远程桌面连接了。右击我们的实例，点击连接，跳出如下画面。首先通过之前保存的密钥对获取密码，然后通过下载的远程桌面文件和解密得到的密码进行连接。 2.服务器配置之添加角色和功能进入后点击开始按钮，选择服务器管理器（实例中默认的服务器只有一个，我们的工作只需要一个，所以暂不做添加修改。）点击第二项添加角色和功能，一路下一步，直到服务器和角色页面，勾选Web 服务器（IIS）选项（根据个人需求进行相关筛选），在功能页面同样勾选需要的功能，最后确认并安装。 3.服务器配置之防火墙配置在服务器配置中还有一个非常重要的步骤——防火墙的配置。之前因为没有对防火墙进行相关配置，导致本人焦头烂额，始终无法从外部网络连接至服务器。

Hillstone山石网科基础配置手册5.0

Hillstone山石网科多核安全网关基础配置手册 version 5.0 https://www.wendangku.net/doc/f013090700.html,

目录第1章设备管理 (1) 设备管理介绍 (1) 终端Console登录 (1) WebUI方式登录 (1) 恢复出厂设置 (2) 通过CLI方式 (2) 通过WebUI方式 (2) 通过CLR按键方式 (4) StoneOS版本升级 (4) 通过网络迅速升级StoneOS（TFTP） (4) 通过WebUI方式升级StoneOS (6) 许可证安装 (8) 通过CLI方式安装 (8) 通过WebUI方式安装 (8) 第2章基础上网配置 (10) 基础上网配置介绍 (10) 接口配置 (10) 路由配置 (11) 策略配置 (13) 源NAT配置 (14) 第3章常用功能配置 (16) 常用配置介绍 (16) PPPoE配置 (16) DHCP配置 (18) IP-MAC绑定配置 (20) 端到端IPsec VPN配置 (22) SCVPN配置 (29) DNAT配置 (36) 一对一IP映射 (37) 一对一端口映射 (39) 多对多端口映射 (42) 一对多映射（服务器负载均衡） (45)

第4章链路负载均衡 (47) 链路负载均衡介绍 (47) 基于目的路由的负载均衡 (48) 基于源路由的负载均衡 (49) 智能链路负载均衡 (49) 第5章QoS配置 (52) QoS介绍 (52) IP QoS配置 (52) 应用QoS配置 (54) 混合QoS配置 (57) QoS白名单配置 (58) 第6章网络行为控制 (59) URL过滤（有URL许可证） (59) 配置自定义URL库 (62) URL过滤（无URL许可证） (63) 网页关键字过滤 (64) 网络聊天控制 (68) 第7章VPN高级配置 (71) 基于USB Key的SCVPN配置 (71) 新建PKI信任域 (71) 配置SCVPN (76) 制作USB Key (77) 使用USB Key方式登录SCVPN (79) PnPVPN (81) 用户配置 (82) IKE VPN配置 (83) 隧道接口配置 (87) 路由配置 (88) 策略配置 (89) PnPVPN客户端配置 (90) 第8章高可靠性 (92) 高可靠性介绍 (92) 高可靠性配置 (93)

联想网御PowerV系列配置案例集9(双出口端口映射配置案例)

9.1网络需求某企业网络接入联通，电信两个运营商，要将内网web 服务器(192.168.1.11 ) 的web 端口映射到公网。为了提高互联网访问速度，实现电信用户访问电信接口地址，联通用户访问联通接口地址进行访问 9.2网络拓扑 9.3配置流程配置端口映射策略，将内网服务器映射到公网配置安全策略，允许外网用户访问内网 9.4配置步骤 (1) 配置网络连通性保证防火墙外网接口到互联网能够连通，内网接口到服务器能够连通联通警理員电信 UJLQ 用户用户 (1) 配置网络联通性定义IP 地址对象、开放端口对象 Internet 网御防火墙交掬机 Internet

(2)定义IP地址对象、开放端口对象在【防火墙】--【地址】--【地址】定义内网服务器地址。此处掩码必须配255.255.255.255 L nJ ■ an* 在【防火墙】--【服务】--【基本服务】定义开放的端口号 Infm 注：源端口低和高一般不需要填写，除非是客户端限定了访问源端口(3)配置端口映射规则在【防火墙】--【策略】--【NAT策略】--选择端口映射 ■IM I ■BUM

公开地址：需要映射的外网口地址（必须为物理接口或者别名设备地址）拨号用户选择拨号获取到的公网地址即可内部地址：在地址列表里定义的服务器地址对外服务：需要对外开放的端口，此处选择 web 端口注：系统预定义大量常用端口，可以直接使用对内服务：内网服务器需要开放的端口，此处选择 web 端口注：对内服务、对外服务可以不一致，即对外服务为 8080,对内服务可以为80 * Rt -NML ■窗Hi ■马 ■纠删 -H*lMt ? b!h?? -RMtfi 肿讯 a^RQ 9K3 ■毗 I FWWV Hit 首初 1 SMI9 口

2003服务器安全配置教程

WEB+FTP+Email服务器安全配置手册作者：阿里西西 2006-8-11

目录第一章：硬件环境第二章：软件环境第三章：系统端口安全配置第四章：系统帐户及安全策略配置第五章：IIS和WEB站点文件夹权限配置第六章：FTP服务器安全权限配置第七章：Email服务器安全权限配置第八章：远程管理软件配置第九章：其它安全配置建议第十章：篇后语

一、硬件环境服务器采用1U规格的机架式托管主机，大概配置为Nocona2.8G/1G DDR2/160G*2SATA 硬盘/双网卡/光驱软驱/3*USB2.0。二、软件环境操作系统：Windows Server 2003 Enterprise Edition sp1 WEB系统：Win操作系统自带IIS6，支持.NET 邮件系统：MDaemon 8.02英文版 FTP服务器系统：Serv-U 6.0.2汉化版防火墙: BlackICE Server Protection，中文名：黑冰杀毒软件：NOD32 2.5 远程管理控件：Symantec pcAnywhere11.5+Win系统自带的MSTSC 数据库：MSSQL2000企业版相关支持组件：JMail 4.4专业版，带POP3接口；ASPJPEG图片组件相关软件：X-SCAN安全检测扫描软件；ACCESS；EditPlus [相关说明] *考虑服务器数据安全，把160G*2硬盘做成了阵列，实际可用容易也就只有一百多G了。 *硬盘分区均为NTFS分区；NTFS比FAT分区多了安全控制功能，可以对不同的文件夹设置不同的访问权限，安全性增强。操作系统安装完后，第一时间安装NOD32杀毒软件，装完后在线更新病毒库，接着在线Update操作系统安全补丁。 *安装完系统更新后，运行X-SCAN进行安全扫描，扫描完后查看安全报告，根据安全报告做出相应的安全策略调整即可。 *出于安全考虑把MSTSC远程桌面的默认端口进行更改。

web服务器的安全配置(以windows为例)

6、先关闭不需要的端口开启防火墙导入IPSEC策略在” 网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec 的功能。然后点击确定—>下一步安装。（具体见本文附件1）３、系统补丁的更新点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。４、备份系统用GHOST备份系统。５、安装常用的软件例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份

修改3389远程连接端口修改注册表. 开始--运行--regedit 依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )

山石网科Ipv6整体解决方案

Ipv6整体解决方案 Hillstone Networks Inc. 2016年03月10日

内容提交人审核人更新内容日期 V1 2016/3/10 目录 1需求分析 (3) 2解决方案 (3) 2.1设备信息 (3) 2.2拓扑 (3) 2.3主要配置 (4) 2.3.1总部 (4) 2.3.2分支1（模拟环境，不考虑上互联网问题） (6) 2.3.3分支2 (8) 3建设效果 (8)

1需求分析某用户有100多个office，都采用电信光纤接入，需要逐步从IPv4演变为IPv6地址，在这种场景下，需要做到IPv4到IPv6内网的互通。场景模拟如下：一个总部两个分支，总部内网采用IPv6地址，外网地址采用IPv4；分支1外网IPv4，内网IPv6；分支机构2内外网都为IPv4地址。需求如下： A.总部的IPv6地址可以访问到互联网IPv4资源，总部的IPv6地址可以提供互联网用户访问。 B.总部和分支1的IPv6地址通过公网6in4隧道互相通信。 C.总部和分支2的IPv4地址互相通信。 2解决方案 2.1设备信息 2.2拓扑

分支1 2005::2/96 2.3主要配置 2.3.1总部 A.接口 interface ethernet0/1 zone "untrust" ip address 200.0.0.2 255.255.255.0 manage http exit interface ethernet0/2 zone "trust"

dns-proxy ipv6 enable ipv6 address 2005::1/96 manage ping exit interface tunnel1 zone "trust" ipv6 enable tunnel ip6in4 "fenzhi1" exit B.Nat和路由 ip vrouter "trust-vr" snatrule id 1 from "2005::/96" to "2003::/96" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #总部上网snat snatrule id 2 from "2005::2/96" to "2004::2" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #与分支2通信snat snatrule id 3 from "Any" to "200.0.0.2" service "Any" eif ethernet0/2 trans-to 2005::1 mode dynamicport #公网已知ip访问总部ipv6服务器snat dnatrule id 1 from "2005::/96" to "2003::/96" service "Any" v4-mapped #总部上网dnat dnatrule id 2 from "2005::2/96" to "2004::2" service "Any" trans-to "200.0.0.4" #与分支2通信dnat dnatrule id 3 from "Any" to "200.0.0.2" service "Any" trans-to "2005::2" #公网已知ip访问总部ipv6服务器dnat ip route 0.0.0.0/0 200.0.0.1 ipv6 route 2001::/96 tunnel1 exit C.策略 rule id 1 action permit src-addr "Any" dst-addr "Any" service "Any" exit rule id 2 action permit src-ip 2005::/96 dst-ip 2004::/96 service "Any" exit rule id 3 action permit src-ip 2005::/96

山石防火墙配置

hillstone防火墙配置步骤(以hillstone SA5040为例讲解) 厦门领航立华科技有限公司

目录 1需要从客户方获取的基本信息 (3) 2配置步骤 (3) 2.1 配置安全域 (3) 2.2 配置接口地址 (4) 2.3 配置路由 (4) 2.4 配置NAT (6) 2.4.1 源地址NAT (6) 2.4.2 目的地址NA T (6) 3配置策略 (8) 3.1 配置安全域之间的允许策略 (8) 3.1.1 配置trust到Untrust的允许所有的策略 (8) 3.1.2 配置DMZ到Untrust的允许所有的策略 (9) 3.1.3 配置trust到DMZ的允许策略 (9) 3.1.4 配置Untrust到DMZ服务器的允许策略 (10) 3.1.5 配置Untrust到Trust服务器的允许策略 (10) 3.1.6 配置详细策略 (11) 4配置QOS (12) 5配置SCVPN (13)

1需要从客户方获取的基本信息 ◆部署位置：互联网出口位置，还是其他，如部署在出口路由器之后等 ◆部署方式：三层接入（需要做NAT，大部分都是这种接入方式），二层透明接入（透明接入不影响客户网络架构），混合接入模式（有几个接口需要配置成透明接口模式，可以支持这种方式） ◆外网出口信息：几个出口，电信Or网通，外网IP地址资源（多少个），外网网关（防火墙默认路由设置） ◆安全域划分：一般正常3个安全域，Untrust（外网）、Trust（内网）、Dmz （服务器网段），也可以自定义多个 ◆外网接口IP地址：由客户提供 ◆内网口IP地址： ◆如果客户内网有多个网段，建议在客户中心交换机配置独立的VLAN 网段，不要与客户内部网段相同。 ◆如果客户内网只有1个网段，没有中心交换机，则把防火墙内网口地址设置为客户内网地址段，并作为客户内网网关（适用于中小型网络）◆DMZ口IP地址：由客户提供，建议配置成服务器网段的网关； 2配置步骤 2.1 配置安全域默认就有常用的3个安全域了，Trust，Untrust，DMZ

联想网御Power V系列配置案例集9(双出口端口映射配置案例)

9.1 网络需求某企业网络接入联通，电信两个运营商，要将内网web服务器（192.168.1.11）的web端口映射到公网。为了提高互联网访问速度，实现电信用户访问电信接口地址，联通用户访问联通接口地址进行访问 9.2 网络拓扑 9.3 配置流程 (1) 配置网络联通性 (2) 定义 IP 地址对象、开放端口对象 (3) 配置端口映射策略，将内网服务器映射到公网 (4) 配置安全策略，允许外网用户访问内网 9.4 配置步骤（1）配置网络连通性保证防火墙外网接口到互联网能够连通，内网接口到服务器能够连通。

（2）定义 IP 地址对象、开放端口对象在【防火墙】--【地址】--【地址】定义内网服务器地址。此处掩码必须配255.255.255.255 在【防火墙】--【服务】--【基本服务】定义开放的端口号注：源端口低和高一般不需要填写，除非是客户端限定了访问源端口（3）配置端口映射规则在【防火墙】--【策略】--【NAT策略】--选择端口映射

公开地址：需要映射的外网口地址（必须为物理接口或者别名设备地址）拨号用户选择拨号获取到的公网地址即可内部地址：在地址列表里定义的服务器地址对外服务：需要对外开放的端口，此处选择web端口注：系统预定义大量常用端口，可以直接使用对内服务：内网服务器需要开放的端口，此处选择web端口注：对内服务、对外服务可以不一致，即对外服务为8080，对内服务可以为80

（如果对外端口使用80、8080，在确保配置正确的情况下不通，请将对外端口更换为非常用端口，如果能够连通，则需要联系运营商放通80、8080端口）流入网口：选择对应的公网接口隐藏内部地址：可选。如果取消选中，既能通过公开地址和端口访问内部服务器，也可以直接访问服务器；如果选中，只能通过公开地址和端口访问内部服务器如果需要内网用户通过访问公网地址来实现访问内网服务器，则需要将源地址转换为选择为防火墙下联服务器内网接口地址。（4）配置安全规则源地址选择any，目的地址选择为web服务器，服务选择为web端口。

服务器硬件配置和服务器安全配置信息(全能)

WEB 服务器硬件配置方案一、入门级常规服务器硬配置方案：备注：作为WEB服务器，首先要保证不间断电源，机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器，此服务器配置能胜基本的WEB请求服务，如大量的数据交换，文件读写，可能会存在带宽瓶颈。二、顶级服务器配置方案

备注： 1，系统支持Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Web Edition、Windows Server 2003 R2 x64 Enterprise Edition、Windows Server 2003 R2 x64 Standard Edition、Windows Storage Server 2003 R2 Workgroup Edition 2，工作环境：相对工作温度10℃-35℃，相对工作湿度20%-80% 无冷凝，相对存储温度-40℃-65℃，相对湿度5%-95% 无冷凝 3，以上配置为统一硬件配置，为DELL系列服务器标准配置，参考价位￥13000 WEB 服务器软件配置和安全配置方案一、系统的安装１、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。２、IIS6.0的安装开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件应用程序———https://www.wendangku.net/doc/f013090700.html,（可选） |——启用网络COM+ 访问（必选）

|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选） |——公用文件（必选） |——万维网服务———Active Server pages（必选） |——Internet 数据连接器（可选） |——WebDAV 发布（可选） |——万维网服务（必选） |——在服务器端的包含文件（可选）然后点击确定—>下一步安装。３、系统补丁的更新点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。４、备份系统用GHOST备份系统。５、安装常用的软件例如：杀毒软件、解压缩软件等；安装之后用GHOST再次备份系统。二、系统权限的设置１、磁盘权限系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限系统盘\Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给Administrators 组和SYSTEM 的完全控制权限２、本地安全策略设置开始菜单—>管理工具—>本地安全策略 A、本地策略——>审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败 B、本地策略——>用户权限分配关闭系统：只有Administrators组、其它全部删除。通过终端服务拒绝登陆：加入Guests、User组通过终端服务允许登陆：只加入Administrators组，其他全部删除 C、本地策略——>安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除