Hillstone入侵防御配置手册StoneOS R

Hillstone山石网科 入侵防御配置手册

V5.5版本

Hillstone Networks Inc.

服务热线：400 828 6655

目录

1设备管理 (3)

1.1终端console登录 (3)

1.2网页WebUI登录 (3)

1.3设备系统（StoneOS）升级 (5)

1.3.1通过WebUI升级 (5)

1.4许可证安装 (5)

1.4.1CLI命令行安装 (5)

1.4.2WebUI安装 (6)

2基础上网配置 (6)

2.1接口配置 (6)

2.2路由配置 (8)

2.3策略配置 (9)

3入侵防御功能配置 (11)

3.1防火墙联动配置 (11)

3.2入侵防御配置 (12)

3.3高级配置 (14)

3.3.1配置协议特征库 (15)

3.3.2自定义威胁特征库 (16)

1设备管理

设备支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、Telnet、SSH等主流通信管理协议。

1.1终端console登录

通过Console 口配置设备时需要在计算机上运行终端仿真程序（系统的超级终端、SecureCRT等）建立与设备的连接，并按如下表所示设置参数（与连接Cisco设备的参数一致）：

1.2网页WebUI登录

WebUI同时支持http和https两种访问方式，首次登录设备可通过默认接口

ethernet0/0来进行，登录方法为：

1. 将管理PC的IP地址设置为与19

2.168.1.1/24 同网段的IP 地址，并且用网线将管理PC与设备的ethernet0/0接口进行连接。

2. 在管理PC的Web浏览器中访问地址“http://192.168.1.1” 并按回车键。出现的登录页面如下图所示：

默认用户名：hillstone，密码：hillstone 登录后主页如下：

5.5版本推荐使用chrome和IE11浏览器

1.3设备系统（StoneOS）升级

1.3.1通过WebUI升级

A．登录设备后，依次点击“系统”→“升级管理”→“浏览”，选择本地保存的StoneOS 文件

A．勾选“立即重启，使新版本生效”，然后点击“应用” 重启设备，系统将使用新的StoneOS启动

1.4许可证安装

1.4.1CLI命令行安装

登录设备，运行命令exec license install +许可证（从“license:”开始输入完整的字符），如下图：

注意：根据“info”提示，部分许可证安装后需要重启才能生效

1.4.2WebUI安装

登录设备，依次点击“系统”→“许可证” →“手动输入”

如果收到License的是一个压缩包文件，则解压，在该页面选择“上传许可证文件”，依次选择各文件即可

注意：根据WebUI提示，部分许可证安装后需要重启才能生效

2基础上网配置

对于一台全新或者刚刚恢复出厂的设备，如果只是需要简单的内部用户可以正常上网，只需要配置接口、路由、策略和源NAT这4项功能，以下是具体配置方法：

2.1接口配置

A．登录设备后，依次点击“网络”→“接口”

B．选择相应的接口，点击“编辑”或者直接双击

C．在接口配置界面中，选择接口的安全域类型（如果是直接连接运营商公网网线，一般是三层安全域；如果是透明部署选择二层安全域）、安全域名称（一般内网使用trust或l2-trust安全域，外网使用untrust或l2-untrust）、接口ip地址、网络掩码和接口的管理方式，最后点击“确定”

注意：如果外网接口使用的是PPPoE的拨号接入，接口配置请参考文档3.1PPPoE相关配置。

2.2路由配置

A．依次点击“路由”→“目的路由”→“新建”

B．依次填写“目的地”→“子网掩码”→“网关”

C．点击“确定”，新建成功

注意：实例配置为默认路由，如果需要添加明细路由，请在第三步更改目的地与子网掩码。

2.3策略配置

A．依次点击“策略”→“安全策略”→“新建”

B．默认配置亦可，源目的安全域、源目的地址、服务为“any”，操作为“允许”

C．点击“确定”，新建成功

址是内网地址网段。

3入侵防御功能配置

3.1防火墙联动配置

当NIPS设备工作在旁路模式时，可在旁路接口配置与防火墙联动功能。当对应入侵防御规则检测出威胁，并且对应行为为阻断IP或者阻断服务时，会将阻断的IP或者服务发给对应防火墙设备。

A．首先需要获取出口NGFW防火墙的IP地址和用户名密码。

假设NGFW的出口的IP地址为192.168.1.100，用户名和密码均为hillstone。 B．通过命令行CLI，如SSH、TELNET等方式登录设备，并输入“config”，进入config 模式。。

C．确认旁路部署的接口，如ethernet0/1，旁路的接口安全域为“TAP”。通过“网络”-“接口”可以查看相关配置。本次项目中均为“xethernet2/0”和“xethernet2/1”。

D．通过“interface xethernet2/0”命令进入该接口模式下，进行配置，输入以下命令即

可“tap firewall ip 192.168.1.100 username hillstone password hillstone”，其中根据具体情况替换防火墙IP地址和用户名密码即可。

E．配置完成后，即可与出口防火墙保持联动，保持配置,输入“save”，连续选择Y，即可。

3.2入侵防御配置

入侵防御系统（Intrusion Prevention System）简称IPS，能够实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作。

系统的入侵防御功能能够实现完整的基于状态的检查，从而极大降低误报率。当设备开启多项应用层数据检测功能时，启用入侵防御功能不会导致设备性能的明显下降。另外，系统每天通过特征服务器自动更新特征库，保证特征的完整性和正确性。

•如接口开启了IPv6功能，IPS支持对IPv6地址进行扫描。

系统的入侵防御功能对协议的检测流程包括两部分，分别是协议解析和引擎匹配。

•协议解析过程对协议进行分析，发现协议异常后，系统会根据配置处理数据包（记录日志、阻断、屏蔽），并产生日志信息报告给管理员，系统生成的威胁日志信息