山石防火墙配置

Hillstone山石网科下一代防火墙基础配置手册V5.5版本Hillstone Networks Inc.服务热线：400 828 6655内容提交人审核人更新内容日期陈天骄陈天骄初次编写2016/1/14目录1 设备管理 (3)1.1 终端console登录 (3)1.2 网页WebUI登录 (3)1.3 恢复出厂设置 (5)1.3.1 CLI命令行操作 (5)1.3.2 WebUI图形化界面操作 (5)1.3.3 硬件CLR操作 (6)1.4 设备系统（StoneOS）升级 (6)1.4.1 通过sysloader升级 (6)1.4.2 通过CLI升级 (9)1.4.3 通过WebUI升级 (9)1.5 许可证安装 (10)1.5.1 CLI命令行安装 (10)1.5.2 WebUI安装 (11)2 基础上网配置 (11)2.1 接口配置 (11)2.2 路由配置 (13)2.3 策略配置 (14)2.4 源地址转换配置（SNAT） (15)3 常用功能配置 (16)3.1 PPPoE拨号配置 (16)3.2 动态地址分配（DHCP）配置 (17)3.3 IP-MAC地址绑定配置 (20)3.4 端到端IPSec VPN配置 (21)3.4.1 配置第一阶段P1提议 (22)3.4.2 配置ISAKMP网关 (23)3.4.3 配置第二阶段P2提议 (24)3.4.4 配置隧道 (25)3.4.5 配置隧道接口 (26)3.4.6 配置隧道路由和策略 (28)3.4.7 查看VPN状态 (29)3.5 远程接入SCVPN配置 (30)3.6 目的地址转换DNAT配置 (38)3.6.1 IP映射 (39)3.6.2 端口映射 (41)1设备管理安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、Telnet、SSH等主流通信管理协议。

【hillstone】2.关于⼭⽯防⽕墙端⼝映射的配置
关于⼭⽯防⽕墙端⼝映射的配置1．⾸先便是在“对象”中添加服务端⼝以及地址，以便⼀会调⽤先添加服务端⼝，在“服务簿”的“所有⾃定义服务”中添加
点击“新建”，添加服务端⼝的对象
接下来添加IP地址的对象
添加公⽹的IP对象
添加服务器的IP对象
PS：值得⼀提的是，在做映射的时候，⽆论公⽹还是内⽹地址，在创建对象的时候皆是使⽤32位主机位的掩码。

2．接下来，便是做端⼝的映射
在“防⽕墙”“NAT”的“⽬的NAT”中
“新建”⼀个“端⼝映射”或者“⾼级配置”，但建议配置不熟悉的初学者使⽤“端⼝映射”即可
配置如下
在“⽬的地址”中添加公⽹地址的对象，服务为服务端⼝，映射到的地址是内⽹的地址。

3．策略上的放⾏
防⽕墙离不开策略，所做的DNAT也同样需要在防⽕墙上做个放⾏的策略，如下
这样，从外⽹访问公⽹地址的80服务端⼝时，皆被放⾏。

端⼝映射的配置到此完毕！。

⼭⽯防⽕墙HA双主Peer-mode模式配置教程⼭⽯防⽕墙HA主备模式上⾏路由器VRRP模式协商失败都是Master状态，所以要将防⽕墙HA改为双主Peer-mode模式，⼩编和⼤家分享下HA双主配置的⽅法和注意事项，期望⼤家遇到少踩坑。

⼀、⽹络拓扑⼆、路由器双Master分析在防⽕墙上放⾏组播地址，源地址any，⽬的地址组播地址224.0.0.18，服务any。

因为HA是主备模式，备墙是不⾛流量的，相当于是断开状态，所以上⾏路由器VRRP会协商失败，都认为⾃⼰主Master。

ps：但若是双主模式，两个墙都⾛流量，上⾏路由器VRRP就能协商成功了，所以提前在防⽕墙中增加上⾯的策略放⾏组播策略。

三、双主Peer-mode模式配置1、配置管理⼝（1）中⼼思想：两台墙各配置管理⼝IP，取消HA同步，Local IP选项也不⽤勾选，这样按照上⾯的⽹络拓扑可以正常连接访问。

（2）配置管理⼝FW1：FW2：ps:1、管理⼝的逆向路由相关不⽤管。

2、管理⼝配置遇到了挺多的坑，实验坏境和⽣产环境上FW1配置100.251，创建管理⼝虚拟转发⼝0/1:1配置100.250，管理⼝HA同步开启，HA双主模式⽣效后，FW1和FW1上⾯都有251和250两个地址，但是FW1防⽕墙管理⼝192.168.100.251连接正常，FW2防⽕墙192.168.100.250只能在直连的交换机ping通，跨路由器就⽆法访问了，这个暂未解决，后⾯继续研究。

2、配置业务上下联接⼝这⾥只需要配置FW1的即可，FW2的等HA状态协商后会⾃动同步的，注意勾选HA同步和安全域配置即可。

FW1（这⾥是透明模式，不⽤配置接⼝IP）：上⾏链路连接路由器：下⾏链路连接交换机FW2：不⽤配置，等HA状态协商成功，⾃动同步到FW2.3、配置HA包含：HA控制连接接⼝e0/2、HA数据连接接⼝e0/3，FW1的HA地址，FW2的HA地址，组0和组1。

备注：1、HA簇和节点先不启⽤，不然HA状态就开始协商了，等两台墙HA地址都配置好了再协商HA开启Peer-mode。

山石网科防火墙配置手册
群山石网科防火墙配置手册群山石网科防火墙是一款专为企业网络安全而设计的防火墙产品，具有高性能、高安全性和可靠性等特点。

其采用七层防火墙、IPS、防拒绝服务攻击、
防恶意网络入侵、拦截病毒木马等多重安全技术，可以满足企业网络的安全需求。

群山石网科防火墙的配置主要包括以下几步：
1. 安装群山石网科防火墙：安装前需要确保防火墙与企业网络的网络拓扑架构完全一致，以保证防火墙的正常运行。

2. 配置网络访问控制规则：根据企业网络环境，定义不同类型的网络访问控制规则，以便根据不同的需求实施网络访问控制。

3. 配置安全服务：配置安全服务，如IPS、防拒绝服务攻击、防恶意网络入侵、拦截病毒木马等，以确保企业网络的安全性。

4. 设置安全日志：定期记录防火墙的运行状态，以便及时发现可能的安全漏洞，并及时采取有效的安全措施。

5. 配置安全策略：根据企业网络的实际情况，设置合理的安全策略，以便有效地防范网络安全攻击，保护企业网络安全。

通过以上步骤，可以完成群山石网科防火墙的配置，为企业网络提供安全的保障。

群山石网科防火墙的配置，不仅可以保护企业网络免受外部恶意攻击，而且可以让企业的网络运行更加安全可靠。

hillstone防火墙配置步骤(以hillstone SA5040为例讲解)厦门领航立华科技有限公司目录1 需要从客户方获取的基本信息 (3)2 配置步骤 (3)2.1 配置安全域 (3)2.2 配置接口地址 (4)2.3 配置路由 (4)2.4 配置NAT (6)2.4.1 源地址NAT (6)2.4.2 目的地址NAT (6)3 配置策略 (8)3.1 配置安全域之间的允许策略 (8)3.1.1 配置trust到Untrust的允许所有的策略 (8)3.1.2 配置DMZ到Untrust的允许所有的策略 (9)3.1.3 配置trust到DMZ的允许策略 (9)3.1.4 配置Untrust到DMZ服务器的允许策略 (10)3.1.5 配置Untrust到Trust服务器的允许策略 (10)3.1.6 配置详细策略 (11)4 配置QOS (12)5 配置SCVPN (13)1需要从客户方获取的基本信息◆部署位置：互联网出口位置，还是其他，如部署在出口路由器之后等◆部署方式：三层接入（需要做NAT，大部分都是这种接入方式），二层透明接入（透明接入不影响客户网络架构），混合接入模式（有几个接口需要配置成透明接口模式，可以支持这种方式）◆外网出口信息：几个出口，电信Or网通，外网IP地址资源（多少个），外网网关（防火墙默认路由设置）◆安全域划分：一般正常3个安全域，Untrust（外网）、Trust（内网）、Dmz（服务器网段），也可以自定义多个◆外网接口IP地址：由客户提供◆内网口IP地址：◆如果客户内网有多个网段，建议在客户中心交换机配置独立的VLAN网段，不要与客户内部网段相同。

◆如果客户内网只有1个网段，没有中心交换机，则把防火墙内网口地址设置为客户内网地址段，并作为客户内网网关（适用于中小型网络）◆DMZ口IP地址：由客户提供，建议配置成服务器网段的网关；2配置步骤2.1 配置安全域默认就有常用的3个安全域了，Trust，Untrust，DMZ2.2 配置接口地址2.3 配置路由默认路由：其中指定的接口：Untrust（外网）接口，如果有多个出口，可以在这选择不同的接口。

山石防火墙参数1.网络接口配置参数：山石防火墙支持多个网络接口，用于与不同的网络进行连接和通信。

网络接口配置参数包括接口名称、接口地址、子网掩码、默认网关等。

通过配置这些参数，可以实现防火墙与其他设备的通信。

2.防火墙规则配置参数：防火墙规则用于定义允许或禁止特定网络流量通过防火墙的规则集。

这些规则可以根据源IP地址、目标IP地址、协议、端口等条件进行设置。

防火墙规则配置参数包括规则名称、规则动作（允许或禁止）、源地址、目标地址、协议、端口等。

3.安全策略参数：安全策略用于定义防火墙的安全控制策略，包括入站策略和出站策略。

安全策略参数包括策略名称、优先级、源地址、目标地址、协议、端口等。

通过配置安全策略参数，可以控制特定网络流量的进出防火墙的行为。

4.虚拟专网（VPN）参数：山石防火墙支持虚拟专网功能，用于建立安全的远程访问连接。

VPN参数包括VPN隧道类型、加密算法、身份验证方式等。

通过配置VPN参数，可以提供加密的数据传输通道，保护远程访问连接的安全性。

5.防火墙日志参数：防火墙日志用于记录防火墙所处理的网络流量和事件，包括入站和出站连接、安全事件、访问日志等。

防火墙日志参数包括日志级别、日志格式、日志保存位置等。

通过配置日志参数，可以方便地查看和分析防火墙的活动和事件。

6.网络地址转换（NAT）参数：NAT用于在内部网络和外部网络之间转换IP地址，隐藏内部网络的真实IP地址。

NAT参数包括转换类型（静态NAT、动态NAT、端口地址转换等）、转换规则、源地址池、目标地址池等。

通过配置NAT参数，可以实现内部网络和外部网络之间的互联和通信。

7.服务质量（QoS）参数：QoS用于优化网络性能，提供带宽管理、流量控制、优先级和类别化等功能。

QoS参数包括带宽限制、流量分类、优先级设置等。

通过配置QoS参数，可以根据不同的网络应用和服务的需求，合理分配和管理带宽资源。

这些参数只是山石防火墙所提供的一部分，具体的参数设置和配置可能因不同型号和版本的防火墙而有所差异。

山石防火墙使用说明
山石防火墙是一种网络安全设备，它可以对网络进行安全防护，防止网络攻击和信息泄露。

以下是山石防火墙的使用说明：
1. 安装：将山石防火墙设备放置在网络架构中，并连接所需的电源、网线等。

确保设备接通电源后能够正常工作。

2. 配置：使用管理员账号登录山石防火墙后台，进行相关设置。

其中包括规则设置、用户管理、流量统计等功能。

管理员需要根据实际情况设置相应的规则，以保证网络安全和畅通。

3. 更新：山石防火墙需要定期更新，以保障其能够有效地防御新的网络攻击和病毒。

管理员可以在后台设置自动更新或手动更新。

4. 监控：管理员可以通过后台监控山石防火墙的工作状态，包括网络流量、攻击次数、用户访问记录等。

此外，管理员还可以设置警报，当系统检测到可疑活动时，及时发送警报信息。

总之，山石防火墙是一种非常有效的网络安全设备，能够有效地保护网络安全，防止网络攻击和信息泄露。

管理员的配置和管理能力是保证山石防火墙工作正常的关键。

山石SA-2001A操作指导手册一, 山石SA2001A概述山石网科SA2001A多核安全网关是山石网科公司自主开发、拥有知识产权的新一代安全网关。

它基于角色、深度应用的多核 Plus®G2 安全架构突破了传统防火墙只能基于 IP 和端口的防范限制。

模块化设计处理器的应用实现了设备整体处理能力的极大提升，从而突破传统 UTM 在开启病毒过滤等功能后所带来的性能下降的局限。

百兆到万兆的处理能力使山石网科多核安全网关适用于多种网络环境，包括中小企业级市场、政府机关、大型企业、电信运营商和数据中心等机构。

丰富的软件功能为网络提供不同层次及深度的安全控制以及接入管理，例如基于角色深度应用安全的访问控制、IPSec/SSL VPN、应用带宽管理、病毒过滤、内容安全等。

二, 通过控制台配置山石SA2001A2.1 配置准备及图例准备好通过控制台端口配置所需的反转电缆,带串口的主机一台,电源线两跟以及相关主机配件;按照如下网络拓扑将主机与SA2001A相连.2.2 主机串口参数配置在主机上依次选开始—程序—附件—通讯—超级终端，单击超级终端出现下图所示界面：在名称下方框框中输入Hillstone,如：后确定，得到如下所示界面：这里可以在“连接时使用”中选择要使用的串口（一般默认选COM1即可），然后确定如下图：在“数据位数”中选“9600”，“数据流控制”中选“无”，如图：确定后得到下图：（注意：此界面是在已经做过配置的情况下。

）此时说明已经成功通过控制台端口将主机和SA2001A相连通，接下来就可以对SA2001A进行相关配制。

三，山石SA2001A常用配置命令介绍3.1 命令模式介绍3.1.1执行模式用户进入到 CLI 时的模式是执行模式。

执行模式允许用户使用其权限级别允许的所有的设置选项。

该模式的提示符如下所示，包含了一个井号（#）如下：hostname#3.1.2 全局配置模式全局配置模式允许用户修改安全网关的配置参数。

山石防火墙配置hillstone防火墙配置步骤(以hillstone SA5040为例讲解)厦门领航立华科技有限公司目录1需要从客户方获取的基本信息 (5)2配置步骤 (5)2.1配置安全域52.2配置接口地址62.3配置路由72.4配置NAT82.4.1源地址NAT82.4.2目的地址NAT93配置策略 (11)3.1配置安全域之间的允许策略113.1.1配置trust到Untrust的允许所有的策略 (12)3.1.2配置DMZ到Untrust的允许所有的策略 (12)3.1.3配置trust到DMZ的允许策略133.1.4配置Untrust到DMZ服务器的允许策略 (14)3.1.5配置Untrust到Trust服务器的允许策略 (14)3.1.6配置详细策略154配置QOS (16)5配置SCVPN (18)1需要从客户方获取的基本信息◆部署位置：互联网出口位置，还是其他，如部署在出口路由器之后等◆部署方式：三层接入（需要做NAT，大部分都是这种接入方式），二层透明接入（透明接入不影响客户网络架构），混合接入模式（有几个接口需要配置成透明接口模式，可以支持这种方式）◆外网出口信息：几个出口，电信Or网通，外网IP地址资源（多少个），外网网关（防火墙默认路由设置）◆安全域划分：一般正常3个安全域，Untrust（外网）、Trust（内网）、Dmz（服务器网段），也可以自定义多个◆外网接口IP地址：由客户提供◆内网口IP地址：◆如果客户内网有多个网段，建议在客户中心交换机配置独立的VLAN网段，不要与客户内部网段相同。

◆如果客户内网只有1个网段，没有中心交换机，则把防火墙内网口地址设置为客户内网地址段，并作为客户内网网关（适用于中小型网络）◆DMZ口IP地址：由客户提供，建议配置成服务器网段的网关；2配置步骤2.1 配置安全域默认就有常用的3个安全域了，Trust，Untrust，DMZ2.2 配置接口地址2.3 配置路由默认路由：其中指定的接口：Untrust（外网）接口，如果有多个出口，可以在这选择不同的接口。

hillstone防火墙配置步骤(以hillstone SA5040为例讲解)厦门领航立华科技有限公司目录1需要从客户方获取的基本信息 (3)2配置步骤 (3)2.1 配置安全域 (3)2.2 配置接口地址 (4)2.3 配置路由 (4)2.4 配置NAT (6)2.4.1 源地址NAT (6)2.4.2 目的地址NA T (6)3配置策略 (8)3.1 配置安全域之间的允许策略 (8)3.1.1 配置trust到Untrust的允许所有的策略 (8)3.1.2 配置DMZ到Untrust的允许所有的策略 (9)3.1.3 配置trust到DMZ的允许策略 (9)3.1.4 配置Untrust到DMZ服务器的允许策略 (10)3.1.5 配置Untrust到Trust服务器的允许策略 (10)3.1.6 配置详细策略 (11)4配置QOS (12)5配置SCVPN (13)1需要从客户方获取的基本信息◆部署位置：互联网出口位置，还是其他，如部署在出口路由器之后等◆部署方式：三层接入（需要做NAT，大部分都是这种接入方式），二层透明接入（透明接入不影响客户网络架构），混合接入模式（有几个接口需要配置成透明接口模式，可以支持这种方式）◆外网出口信息：几个出口，电信Or网通，外网IP地址资源（多少个），外网网关（防火墙默认路由设置）◆安全域划分：一般正常3个安全域，Untrust（外网）、Trust（内网）、Dmz（服务器网段），也可以自定义多个◆外网接口IP地址：由客户提供◆内网口IP地址：◆如果客户内网有多个网段，建议在客户中心交换机配置独立的VLAN网段，不要与客户内部网段相同。

◆如果客户内网只有1个网段，没有中心交换机，则把防火墙内网口地址设置为客户内网地址段，并作为客户内网网关（适用于中小型网络）◆DMZ口IP地址：由客户提供，建议配置成服务器网段的网关；2配置步骤2.1 配置安全域默认就有常用的3个安全域了，Trust，Untrust，DMZ2.2 配置接口地址2.3 配置路由默认路由：其中指定的接口：Untrust（外网）接口，如果有多个出口，可以在这选择不同的接口。

山石防火墙常用命令一、查看防火墙状态在使用山石防火墙时，我们常常需要了解防火墙的状态，以便及时调整和优化配置。

通过以下命令可以查看防火墙的状态信息：1. show firewall status：显示防火墙的状态信息，包括是否启用、当前运行模式等。

二、配置防火墙规则配置防火墙规则是使用山石防火墙的重要任务之一，它决定了哪些网络流量可以通过防火墙，哪些需要被阻止。

以下是常用的配置防火墙规则的命令：1. firewall policy：进入防火墙规则配置模式。

2. show firewall policy：显示当前配置的防火墙规则。

3. add firewall policy：添加一条新的防火墙规则。

4. set firewall policy：修改已存在的防火墙规则。

三、网络地址转换(NAT)防火墙中的网络地址转换(NAT)功能可以将内部网络的私有IP地址转换为公网IP地址，实现内部网络与外部网络的通信。

以下是常用的NAT命令：1. nat enable：启用NAT功能。

2. nat inside：指定内部网络。

3. nat outside：指定外部网络。

4. nat pool：配置NAT地址池。

5. nat static：配置静态NAT。

四、配置端口映射端口映射是防火墙的重要功能之一，它允许外部网络通过特定的端口访问内部网络的特定服务。

以下是常用的端口映射命令：1. port-map enable：启用端口映射功能。

2. port-map inside：指定内部网络。

3. port-map outside：指定外部网络。

4. port-map static：配置静态端口映射。

五、配置访问控制列表(ACL)访问控制列表(ACL)用于控制网络流量的进出规则，可以实现对特定IP地址、端口或协议的访问控制。

以下是常用的ACL命令：1. access-list enable：启用ACL功能。

2. access-list inbound：配置流量进入规则。

设备的ethernet0/0接口配有默认IP地址192.168.1.1/24，并且该接口的各种管理功能均为开启状态。

初次使用设备时，用户可以通过该接口访问设备的WebUI界面。

搭建WebUI配置环境，请按照以下步骤进行配置：1. 将PC的IP地址设置为与192.168.1.1/24同网段的IP地址，在PC的本地连接属性中，设置Internet协议版本4（TCP/IPv4）如下：2. 用网线将PC与设备的ethernet0/0接口进行连接。

3. 在PC的Web浏览器中输入地址“http://192.168.1.1”并按回车键，打开登录页面。

4. 输入用户名和密码。

设备提供的默认用户名和密码均为“hillstone”。

5. 点击“登录”按钮，进入WebUI的主页面。

安装许可证在获得许可证字符串或者许可证文件后，按照以下步骤安装许可证：1. 点击“系统>许可证”。

2. 在<许可证申请>处，选择以下两种方式中的一种导入许可证。

上传许可证文件：选中“上传许可证文件”单选按钮，点击“浏览”按钮，并且选中许可证文件（许可证为纯文本.txt文件）。

手动输入：选中“手动输入”单选按钮，然后将许可证字符串内容输入到对应的文本框。

3. 点击“确定”按钮。

4. 点击“系统>设备管理”，在<设置及操作>标签页，点击“重启设备”。

5. 设备重启之后完成许可证的安装。

创建系统管理员系统管理员拥有读、执行和写权限，可以在任何模式下对设备所有功能模块进行配置、查看当前或者历史配置信息。

创建系统管理员，请按照以下步骤进行操作：1. 点击“系统>设备管理”。

2. 在<管理员>标签页，点击”新建“按钮。

系统管理员可以指定一个IP地址范围，在该指定范围内的主机为可信主机。

只有可信主机才可以对防火墙进行管理。

创建可信主机，请按照以下步骤进行操作：1. 点击“系统>设备管理”。

2. 选择”可信主机“标签页，点击”新建“按钮。

hillstone防火墙配置步骤(以hillstone SA5040为例讲解)厦门领航立华科技有限公司目录1需要从客户方获取的基本信息 (3)2配置步骤 (3)2.1 配置安全域 (3)2.2 配置接口地址 (4)2.3 配置路由 (4)2.4 配置NAT (6)2.4.1 源地址NAT (6)2.4.2 目的地址NA T (6)3配置策略 (8)3.1 配置安全域之间的允许策略 (8)3.1.1 配置trust到Untrust的允许所有的策略 (8)3.1.2 配置DMZ到Untrust的允许所有的策略 (9)3.1.3 配置trust到DMZ的允许策略 (9)3.1.4 配置Untrust到DMZ服务器的允许策略 (10)3.1.5 配置Untrust到Trust服务器的允许策略 (10)3.1.6 配置详细策略 (11)4配置QOS (12)5配置SCVPN (13)1需要从客户方获取的基本信息◆部署位置：互联网出口位置，还是其他，如部署在出口路由器之后等◆部署方式：三层接入（需要做NAT，大部分都是这种接入方式），二层透明接入（透明接入不影响客户网络架构），混合接入模式（有几个接口需要配置成透明接口模式，可以支持这种方式）◆外网出口信息：几个出口，电信Or网通，外网IP地址资源（多少个），外网网关（防火墙默认路由设置）◆安全域划分：一般正常3个安全域，Untrust（外网）、Trust（内网）、Dmz（服务器网段），也可以自定义多个◆外网接口IP地址：由客户提供◆内网口IP地址：◆如果客户内网有多个网段，建议在客户中心交换机配置独立的VLAN网段，不要与客户内部网段相同。

◆如果客户内网只有1个网段，没有中心交换机，则把防火墙内网口地址设置为客户内网地址段，并作为客户内网网关（适用于中小型网络）◆DMZ口IP地址：由客户提供，建议配置成服务器网段的网关；2配置步骤2.1 配置安全域默认就有常用的3个安全域了，Trust，Untrust，DMZ2.2 配置接口地址2.3 配置路由默认路由：其中指定的接口：Untrust（外网）接口，如果有多个出口，可以在这选择不同的接口。

Version 2.8Copyright 2021 Hillstone Networks.All rights reserved.Information in this document is subject to change without notice. The software described in this document is furnished under a license agreement or nondisclosure agreement. The software may be used or copied only in accordance with the terms of those agreements. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form or any means electronic or mechanical, including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks.Hillstone Networks本文档禁止用于任何商业用途。

联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州高新区科技城景润路181号邮编：100192 邮编：215000联系我们：https:///about/contact_Hillstone.html关于本手册本手册介绍山石网科公司的Web应用防火墙（W1060-GC）的硬件相关信息。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：***********************山石网科https://TWNO: TW-HW-WAF(GC)-CN-V1.0-Y21M11产品中有毒有害物质或元素的名称及含量前言内容简介感谢您选用Hillstone Networks的Web应用安全产品-Web应用防火墙。

山石防火墙使用说明
山石防火墙是一款网络安全产品，可以有效控制网络访问，保证网络的安全性。

以下是使用说明：
1. 登录山石防火墙管理界面
在浏览器中输入防火墙的IP地址，进入管理员登录界面。

输入
管理员账号和密码，点击登录即可进入管理界面。

2. 配置防火墙规则
防火墙规则是控制网络访问的核心，需要根据实际情况进行配置。

在管理界面中，选择“防火墙规则”菜单，点击“添加”按钮，填写规则名称、源IP地址、目的IP地址、协议、端口等信息，保存后生效。

3. 配置VPN
如果需要使用VPN进行远程访问，需要在管理界面中进行相关配置。

选择“VPN管理”菜单，点击“添加”按钮，填写VPN名称、IP 地址、用户名、密码等信息，保存后生效。

4. 监控网络流量
在管理界面中，选择“监控”菜单可以查看当前网络流量情况，包括带宽、流量、连接数等指标。

可以根据需要进行调整，保证网络安全和流畅。

5. 日志管理
防火墙日志记录了所有网络访问记录，包括访问时间、IP地址、访问类型等信息。

在管理界面中，选择“日志管理”菜单可以查看和
导出日志，有助于排查网络问题和审计安全事件。

总之，山石防火墙是一款功能强大的网络安全产品，合理配置和使用可以保护企业网络的安全和稳定。

Version5.5R9TechDocs|目录目录1介绍1文档内容1目标读者1产品信息1虚拟防火墙的功能2 VMware Tools的功能2 Cloud-init的功能3许可证4许可证机制4平台类许可证4订阅类许可证5功能服务类许可证6申请许可证7安装许可证7许可证校验8在KVM上部署云·界10系统要求10虚拟防火墙的工作原理10准备工作10安装步骤11步骤一：获取防火墙软件包11步骤二：导入脚本和系统文件11步骤三：首次登录防火墙13将vFW联网14步骤一：查看接口的信息。

15步骤二：连接接口15其他操作16查看虚拟防火墙16启动虚拟防火墙17关闭虚拟防火墙17升级虚拟防火墙17重启虚拟防火墙17卸载虚拟防火墙17访问虚拟防火墙的WebUI界面18在OpenStack上部署云·界19部署场景19系统要求20安装步骤20步骤一：导入镜像文件21步骤二：创建实例类型22步骤三：创建网络23步骤四：启动实例24步骤五：登录及配置云·界虚拟防火墙25步骤六：重新配置OpenStack的路由器26步骤七：关闭OpenStack对云.界接口的IP检查27步骤八：在云·界上配置路由、NAT及安全策略28配置完成31使用云·界替换Openstack虚拟路由器32系统要求32安装步骤32步骤一：获取Hillstone-Agent插件文件32步骤二：配置port_security33步骤三：安装hs-manager33步骤四：在hs-manager上进行相关配置33步骤五：在hs-manager上安装CloudEdge34附：hs-manager命令行37步骤六：在控制节点上安装patch文件38步骤七：配置完成40访问云·界虚拟防火墙41使用SSH2远程登录vFW：42使用HTTPS远程登录vFW：42在VMware ESXi上部署云·界43支持的部署场景43系统要求和限制43部署防火墙45安装防火墙45通过OVA模板安装防火墙45通过VMDK文件安装防火墙47第一步：导入VMDK文件47第二步：创建虚拟机48第三步：添加硬盘49启动和访问虚拟防火墙50防火墙初始配置50升级防火墙52在Xen平台上部署云·界53系统要求53部署虚拟防火墙53步骤一：获取防火墙软件包53步骤二：导入镜像文件53步骤三：首次登录防火墙55访问虚拟防火墙的WebUI界面56升级虚拟防火墙56在Hyper-V上部署云·界57系统要求57虚拟防火墙的工作原理57准备工作58安装步骤58步骤一：获取防火墙软件包58步骤二：创建虚拟机58步骤三：首次登录防火墙62访问虚拟防火墙的WebUI界面62升级虚拟防火墙63在AWS上部署云·界64 AWS介绍64位于AWS的云·界65场景介绍65虚拟防火墙作为互联网网关65虚拟防火墙作为VPN网关65服务器负载均衡66本手册的组网设计67准备您的VPC68第一步：登录AWS账户68第二步：为VPC添加子网69第三步：为子网添加路由70在亚马逊云AWS上部署虚拟防火墙71创建防火墙实例71第一步：创建EC2实例71第二步：为实例选择AMI模板72第三步：选择实例类型72第四步：配置实例详细信息73第五步：添加存储73第六步：标签实例74第七步：配置安全组74第八步：启动实例75配置子网和接口76分配弹性IP地址76在主控台查看实例76购买并申请许可证77访问云·界虚拟防火墙77使用PuTTy访问CLI管理界面77步骤一：使用PuTTYgen转换密钥对77步骤二：使用PuTTY访问CLI界面78访问WebUI界面80配置虚拟防火墙82创建策略82测试AWS上的虚拟防火墙连通性84创建测试用虚拟机（Windows）84第一步：配置路由表84第二步：创建EC2实例。

hillstone防火墙如何设置hillstone防火墙设置怎么样设置才最好呢?能起到最大的作用!下面由店铺给你做出详细的hillstone防火墙设置方法介绍!希望对你有帮助!hillstone防火墙设置方法一：Hillstone路由器自带了邮件相关的端口协议服务组，可以登录路由器找到，对象-- 服务里面点击自定义，添加设置。

把需要映射的端口，SMTP POP IMAP 等端口加到协议组里面设置端口映射选择需要映射的公网接口设置好需要映射的协议组，然后选择启用。

即可hillstone防火墙设置方法二：口令丢失情况下的处理如果口令丢失，用户无法登录安全路由器进行配置，请在安全路由器刚启动时按住 CLR 按键大约 5 秒，使设备恢复到出厂配置。

此时用户可以使用默认管理员“hillstone”登录重新配置。

操作步骤如下：1.关闭安全路由器电源。

2.用针状物按住 CLR 按键的同时打开安全路由器电源。

3.保持按住状态直到指示灯 STA 和 ALM 均变为红色常亮，释放 CLR 按键。

此时系统开始恢复出厂配置。

4.出厂配置恢复完毕，系统将会自动重新启动。

默认IP ： 192.168.1.1默认用户名： hillstone默认密码：hillstone请注意把PC的IP改为和路由器同一网段(比如:192.168.1.2)后访问hillstone防火墙设置方法三：CMD，端口需开启telent,命令行模式配置。

以下是命令：confhost-blacklist mac *.*.*(*.*.*=需要禁止的MAC地址) save。