您的位置:360文档中心› Hillstone山石网科防火墙日常运维操作手册

Hillstone山石网科防火墙日常运维操作手册

合集下载

Hillstone山石网科基础配置手册5.0

Hillstone山石网科基础配置手册5.0
3.在弹出的<接口配置>对话框对接口进行编辑:
绑定安全域:指定接口的安全域类型。三层接口选择三层安全域,二层接口选择二层安全域;
安全域:选择安全域名称。一般情况下,内网选择trust或l2-trust;外网选择untrust或l2-untrust。
IP配置:为接口配置IP地址相关信息。
管理方式:指定接口的管理方式。在<管理4.点击目的路由列表左上角的『新建』按钮,弹出<目的路由配置>对话框,在该对话框对目的路由进行编辑:
目的地:指定路由条目的目的IP。
子网掩码:指定路由条目的目的IP对应的子网掩码。
下一跳:指定下一跳类型,选中<网关>或<接口>单选按钮。若选择<网关>,需在<网关>文本框中输入网关IP地址。若选择<接口>,需在<接口>下拉菜单中选择接口名称。如果该接口为tunnel的时候,需要在可选栏输入tunnel对端的网关地址。如:下一跳网关指定为122.193.30.97(由运营商提供网关地址)。
命令行:通过CLI使用命令进行恢复
WebUI:通过WebUI清除配置以恢复出厂配置
物理方法:使用设备的CLR按键进行恢复
通过
通过CLI使用命令恢复出厂设置,请按照以下步骤进行操作:
1.在执行模式下,使用unset all命令。
2.根据提示,选择是否保存当前配置:y/n。
3.选择是否重启设备:y/n。
上传许可证文件:选中<上传许可证文件>单选按钮(许可证为纯文本.txt文件),点击『浏览』按钮,并且选中许可证文件;
手动输入:选中<手动输入>单选按钮,然后将许可证字符串内容(包含“license:”及之后内容)输入到对应的文本框。

山石hillstone-日常维护手册(234)

山石hillstone-日常维护手册(234)

Hillstone防火墙维护手册Hillstone 山石网科20XX年X月目录1概述 (3)2Hillstone防火墙日常维护 (4)** 防火墙硬件部分日常维护 (5)** 防火墙机房要求 (5)** 防火墙电源检查 (5)** 防火墙风扇 (5)** 防火墙前面板指示灯检查 (6)** 防火墙模块及数据接口检查 (7)** 防火墙系统部分日常维护 (7)** 防火墙OS版本检查 (7)** 防火墙温度和风扇检查 (8)** 防火墙session利用率检查 (8)** 防火墙CPU利用率检查 (8)** 防火墙内存利用率检查 (9)** 防火墙接口状态检查 (9)** 防火墙路由检查 (11)** 防火墙fib状态检查 (11)** 防火墙日志检查 (12)** 常见故障排查指南 (13)** 防火墙CPU过高的处理 (13)** 设备session数过多的处理 (14)** HA异常的处理 (14)** 内网用户丢包的处理 (15)** 目的NA T不生效的处理 (16)** 设备无法管理的处理 (16)** 策略配置与优化(policy) (16)** 故障处理工具 (17)** 系统诊断工具 (17)** debug诊断与排错 (18)** 防火墙备份和恢复 (22)** 防火墙配置备份 (22)** 防火墙配置恢复 (23)** 防火墙出厂配置 (24)** 防火墙软件升级 (24)** 防火墙常用命令 (28)** 查看设备序列号 (28)** 重启防火墙 (29)** 查看防火墙接口状态 (30)** 查看防火墙安全区域 (30)** 查看防火墙路由表 (31)** 查看防火墙安全策略311概述防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,对于企业关键的实时业务系统,要求网络能够提供7*24小时的不间断保护,保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。

Hillstone山石网科基础配置手册5.0

Hillstone山石网科基础配置手册5.0

Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS(TFTP) (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (11)基础上网配置介绍 (11)接口配置 (11)路由配置 (12)策略配置 (14)源NAT配置 (15)第3章常用功能配置 (17)常用配置介绍 (17)PPPoE配置 (17)DHCP配置 (19)IP-MAC绑定配置 (21)端到端IPsec VPN配置 (23)SCVPN配置 (30)DNAT配置 (37)一对一IP映射 (38)一对一端口映射 (40)多对多端口映射 (43)一对多映射(服务器负载均衡) (46)第4章链路负载均衡 (48)链路负载均衡介绍 (48)基于目的路由的负载均衡 (49)基于源路由的负载均衡 (50)智能链路负载均衡 (50)第5章QoS配置 (53)QoS介绍 (53)IP QoS配置 (53)应用QoS配置 (55)混合QoS配置 (58)QoS白名单配置 (59)第6章网络行为控制 (60)URL过滤(有URL许可证) (60)配置自定义URL库 (63)URL过滤(无URL许可证) (64)网页关键字过滤 (65)网络聊天控制 (69)第7章VPN高级配置 (72)基于USB Key的SCVPN配置 (72)新建PKI信任域 (72)配置SCVPN (77)制作USB Key (78)使用USB Key方式登录SCVPN (80)PnPVPN (82)用户配置 (83)IKE VPN配置 (84)隧道接口配置 (88)路由配置 (88)策略配置 (89)PnPVPN客户端配置 (90)第8章高可靠性 (92)高可靠性介绍 (92)高可靠性配置 (93)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册,对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍,帮助用户快速掌握安全网关的WebUI配置。

山石hillstone-日常维护手册(234)

山石hillstone-日常维护手册(234)

⼭⽯hillstone-⽇常维护⼿册(234)Hillstone防⽕墙维护⼿册Hillstone ⼭⽯⽹科20XX年X⽉⽬录1概述 (3)2Hillstone防⽕墙⽇常维护 (4)** 防⽕墙硬件部分⽇常维护 (5)** 防⽕墙机房要求 (5)** 防⽕墙电源检查 (5)** 防⽕墙风扇 (5)** 防⽕墙前⾯板指⽰灯检查 (6)** 防⽕墙模块及数据接⼝检查 (7)** 防⽕墙系统部分⽇常维护 (7)** 防⽕墙OS版本检查 (7)** 防⽕墙温度和风扇检查 (8)** 防⽕墙session利⽤率检查 (8)** 防⽕墙CPU利⽤率检查 (8)** 防⽕墙内存利⽤率检查 (9)** 防⽕墙接⼝状态检查 (9)** 防⽕墙路由检查 (11)** 防⽕墙fib状态检查 (11)** 防⽕墙⽇志检查 (12)** 常见故障排查指南 (13)** 防⽕墙CPU过⾼的处理 (13)** 设备session数过多的处理 (14)** HA异常的处理 (14)** 内⽹⽤户丢包的处理 (15)** ⽬的NA T不⽣效的处理 (16)** 设备⽆法管理的处理 (16)** 策略配置与优化(policy) (16)** 故障处理⼯具 (17)** 系统诊断⼯具 (17)** debug诊断与排错 (18)** 防⽕墙备份和恢复 (22)** 防⽕墙配置备份 (22)** 防⽕墙配置恢复 (23)** 防⽕墙出⼚配置 (24)** 防⽕墙软件升级 (24)** 防⽕墙常⽤命令 (28)** 查看设备序列号 (28)** 重启防⽕墙 (29)** 查看防⽕墙接⼝状态 (30)** 查看防⽕墙安全区域 (30)** 查看防⽕墙路由表 (31)** 查看防⽕墙安全策略311概述防⽕墙作为企业核⼼⽹络中的关键设备,需要为所有进出⽹络的信息流提供安全保护,对于企业关键的实时业务系统,要求⽹络能够提供7*24⼩时的不间断保护,保持防⽕墙系统可靠运⾏及在故障情况下快速诊断恢复成为维护⼈员的⼯作重点。

Hillstone山石网科防火墙日常运维操作手册

Hillstone山石网科防火墙日常运维操作手册

Hillstone⼭⽯⽹科防⽕墙⽇常运维操作⼿册⽬录⼀、设备基础管理 (1)1.1设备登录 (1)1.1.1 通过CLI管理设备 (1)1.1.2 通过WebUI管理设备 (2)1.2管理员帐号及权限设置 (4)1.2.1 新增管理员 (4)1.2.1 修改管理员密码 (5)1.3 License安装 (6)1.4设备软件升级 (7)1.5设备配置备份与恢复 (9)1.5.1 备份设备配置 (9)1.5.2 恢复设备配置 (12)1.6系统诊断⼯具的使⽤ (14)⼆、对象配置 (16)2.1 配置地址薄 (16)2.2 配置服务簿 (17)三、⽹络配置 (21)3.1 配置安全域 (21)3.2 配置接⼝ (22)3.3 配置路由 (23)3.4 配置DNS (24)四、防⽕墙配置 (26)4.1 配置防⽕墙策略 (26)4.1.1 新增防⽕墙安全策略 (26)4.1.2 编辑防⽕墙安全策略 (27)4.2 配置NAT (28)4.2.1 配置源NAT (28)4.2.2 配置⽬的NAT (31)4.3 防⽕墙配置举例 (35)五、QOS配置 (44)5.1 配置IP QOS (45)5.2 配置应⽤QOS (46)六、常⽤⽇志配置 (48)⼀、设备基础管理1.1设备登录安全⽹关⽀持本地与远程两种环境配置⽅法,可以通过CLI 和WebUI 两种⽅式进⾏配置。

CLI同时⽀持Console、telnet、SSH 等主流通信管理协议。

1.1.1 通过CLI管理设备通过Console ⼝配置安全⽹关时需要在计算机上运⾏终端仿真程序(系统的超级终端、SecureCRT等)建⽴与安全⽹关的连接,并按如下表所⽰设置参数(与连接Cisco设备的参数⼀致):通过telnet或者SSH管理设备时,需要在相应接⼝下启⽤telnet或SSH 管理服务,然后允许相应⽹段的IP管理设备(可信主机)。

对接⼝启⽤telnet或SSH管理服务的⽅法如下:⾸先在⽹络—>⽹络连接模式下的页⾯下⽅勾选指定接⼝,点击图⽰为的编辑按钮,然后在弹出的接⼝配置窗⼝中对接⼝启⽤相应的管理服务,最后确认即可:1.1.2 通过WebUI管理设备WebUI同时⽀持http和https两种访问⽅式,⾸次登录设备可通过默认接⼝ethernet0/0 (默认IP 地址192.168.1.1/24,该接⼝的所有管理服务默认均已被启⽤)来进⾏,登录⽅法为:1. 将管理PC 的IP 地址设置为与192.168.1.1/24 同⽹段的IP 地址,并且⽤⽹线将管理PC与安全⽹关的ethernet0/0 接⼝进⾏连接。

Web应用防火墙 WebUI 用户手册说明书

Web应用防火墙 WebUI 用户手册说明书

Version2.8.3Copyright2021Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this doc-ument is furnished under a license agreement or nondisclosure agreement.The software may be used or copied only in accordance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's per-sonal use without the written permission ofHillstone Networks.Hillstone Networks本文档禁止用于任何商业用途。

联系信息北京苏州地址:北京市海淀区宝盛南路1号院20号楼5层地址:苏州市高新区科技城景润路181号邮编:100192邮编:215000联系我们:https:///about/contact_Hillstone.html关于本手册本手册介绍山石网科的WAF产品的使用方法。

获得更多的文档资料,请访问:https://针对本文档的反馈,请发送邮件到:*************************山石网科https://TWNO:TW-WUG-WAF-2.8.3-CN-V1.0-11/19/2021目录目录1欢迎1入门指南3访问WebUI界面3安装向导4配置部署方式/接口5默认站点配置5配置DNS6配置系统时间6初始配置7安装许可证7创建系统管理员8创建可信主机9升级系统版本10特征库升级11恢复出厂配置12部署模式13串联模式15串联模式的网络拓扑15准备工作15配置步骤16常见问题Q&A20反向代理模式22反向代理模式的网络拓扑22准备工作22配置步骤23常见问题Q&A29单臂模式30单臂模式的网络拓扑30准备工作30配置步骤31常见问题Q&A37牵引模式38牵引模式的网络拓扑38准备工作38配置步骤39常见问题Q&A45监听模式47监听模式的网络拓扑47准备工作48配置步骤48常见问题Q&A53附录53 SSL/TLS证书及密钥的格式要求及转换方法53格式要求53密钥格式转换方法54证书格式转换55一、Linux环境下56二、Windows环境下57首页69攻击严重程度69受攻击站点排名TOP1070攻击源70威胁事件类型71站点篡改告警72系统概览72 Web应用安全投屏模式73站点76站点配置76搜索站点76查看概览信息76查看威胁详情77查看网页变更历史78白名单78黑名单79例外规则80站点配置82查看自学习模型82查看机器流量分析报告82外链改写82新建/配置站点82配置更多站点防护功能90配置站点加速90使用静态资源缓存技术90使用连接复用技术92报文压缩配置92配置网页防篡改93开启健康状态检测96自定义错误提示页面97配置站点负载均衡97配置站点自学习功能98配置自学习功能99查看自学习模型100 URL详情100 Cookie详情101机器流量分析101配置机器流量分析服务102查看设备指纹信誉表103查看机器流量分析报告104外链改写104配置外链改写105站点全局配置107配置全局白名单107配置全局黑名单108站点自发现110配置站点自发现110策略114策略类型114防护规则115更新防护规则116 IP防护策略116创建IP防护策略117 IP查询120访问控制策略121创建访问控制策略121 API防护策略126创建API防护策略127导入OpenAPI文件130虚拟补丁策略131新建虚拟补丁策略131编辑虚拟补丁策略132安全策略133创建安全策略133自学习策略154创建自学习策略154用户会话跟踪策略155创建用户会话跟踪策略156内容改写策略158创建内容改写策略158防护规则162预定义规则162规则检索163用户定义规则165威胁防护166网络安全防护167 ICMP Flood和UDP Flood攻击167 ARP欺骗攻击167 SYN Flood攻击167 WinNuke攻击167 IP地址欺骗(IP Spoofing)攻击168地址扫描与端口扫描攻击168 Ping of Death攻击168 Teardrop攻击防护168 Smurf攻击168 Fraggle攻击168 Land攻击169 IP Fragment攻击169 IP Option攻击169 Huge ICMP包攻击169 TCP Flag异常攻击169 DNS Query Flood攻击169 TCP Split Handshake攻击169配置攻击防护170监控180热点威胁情报180热点威胁情报展示182报表184报表汇总185自定义任务186新建自定义任务186快捷任务188生成报表文件188日志189日志的严重等级189日志信息输出目的地190日志信息格式190事件日志192网络日志193配置日志194 NAT日志194 Web访问日志195网页事件日志195网页安全日志197日志197智能日志分析200日志分析报告201 IP防护日志202访问控制日志202 API防护日志203网络安全日志204防篡改日志205自学习模型违背日志205日志管理206配置日志信息206日志配置选项说明206日志服务器配置217新建日志服务器217 Web邮件配置219设备名称配置220手机短信配置220对象221服务薄221预定义服务及预定义服务组221自定义服务221自定义服务组222地址簿222新建地址簿条目223查看地址簿条目详情224配置服务薄225配置自定义服务225配置自定义服务组227查看服务条目详情228监测对象229新建监测对象229时间表232周期计划232绝对计划233创建时间表233网络连接235安全域236配置安全域236接口238配置接口239新建Virtual Forward接口239新建回环接口243新建集聚接口247新建以太网子接口/集聚子接口252编辑VSwitch接口256编辑以太网接口/HA接口260接口组265新建接口组265 MGT接口266配置MGT接口266新建Virtual Forward接口266 DNS268配置DNS服务器268解析配置268 Virtual Wire270配置Virtual Wire270虚拟路由器272创建虚拟路由器272虚拟路由器全局配置273配置多虚拟路由器273多虚拟路由器模式配置示例273虚拟交换机275新建虚拟交换机275配置目的路由277新建目的路由277全局网络参数278 Bypass配置280 NAT280 NAT的基本转换过程280设备的NAT功能281配置源NAT281启用/禁用NAT规则287复制/粘贴源NAT规则287调整优先级287命中数288命中数清零288命中数检测289配置目的NAT289配置IP映射类型的目的NAT289配置端口映射类型的目的NAT290配置NAT规则的高级配置292启用/禁用NAT规则295调整优先级295命中数296命中数清零296命中数检测296系统管理298系统信息299查看系统信息299全局配置301全局参数配置301自定义错误页面管理303 AAA服务器304配置Radius服务器304配置TACACS+服务器306设备管理308管理员308新建管理员308修改默认管理员密码310可信主机311新建可信主机311管理接口312系统时间314设置系统时间315设置NTP315 NTP密钥316新建NTP密钥316设置及操作317重启系统319系统调试信息320配置文件管理321备份/恢复配置文件321 SNMP323配置SNMP代理323新建SNMP主机324 Trap主机326 V3用户组326 V3用户328升级管理330版本升级330特征库升级331信息库升级332 WAF历史数据升级333许可证335申请许可证335安装许可证336配置邮件服务器337配置邮件服务器337短信发送参数339短信Modem设备状态339认证短信发送参数339短信测试339集中管理341 HSM应用场景341集中管理342 PKI344创建PKI密钥345创建信任域345导入导出信任域的信息347分析诊断348测试工具349 DNS查询349 Ping349Traceroute350 Curl350诊断抓包351配置诊断抓包351诊断文件351高可靠性352 HA基础概念352 HA簇352 HA组353 HA Node353 HA组接口和虚拟MAC353 HA选举353 HA同步353配置HA355扫描358扫描任务358新建扫描任务359开启/停止/删除扫描任务363扫描报告363扫描报告363外部导入报告364导入外部扫描报告364添加/编辑虚拟补丁策略364欢迎感谢您选择山石网科产品!以下内容可以帮助您了解如何操作山石网科的Web应用防火墙(WAF)产品:典型案例l Web应用防火墙配置案例手册(PDF下载)Web应用防火墙(WAF)l《Web应用防火墙_WebUI用户手册》(PDF下载)l《Web应用防火墙_CLI命令行手册》(PDF下载)l《Web应用防火墙_硬件参考指南》(PDF下载)l《Web应用防火墙日志信息参考指南》(PDF下载)l《Web应用防火墙SNMP私有MIB信息参考指南》(PDF下载)虚拟Web应用防火墙l《vWAF_WebUI用户手册》(PDF下载)l《vWAF_部署手册》(PDF下载)国产化-Web应用防火墙l《WAF国产型号_硬件参考指南》(PDF下载)l《WAF国产型号_扩展模块参考指南》(PDF下载)你可以在以下网站获得更多产品信息:l官方网站:l技术文档:l技术支持:400-828-6655入门指南本入门指南帮助用户快速完成设备的上线,主要包含以下内容:l访问WebUI界面l安装向导l初始配置l恢复出厂配置访问WebUI界面设备的ethernet0/0接口配有默认IP地址192.168.1.1/24,并且该接口的SSH、HTTPS管理功能均为开启状态。

2024版Hillstone山石网科基础配置手册50[1]

2024版Hillstone山石网科基础配置手册50[1]
配置工具准备
准备好适用的配置工具,如命令行界面(CLI)、Web界面或专 用配置软件。
9
软件版本选择及升级
软件版本选择
根据实际需求和设备兼容性,选择合适的软件版本进 行安装和配置。
软件升级
定期检查软件更新,及时下载并安装最新的软件补丁 和升级包,以确保设备安全性和性能。
备份与恢复
在进行软件升级前,务必备份设备配置文件和数据, 以便在升级失败或出现问题时能够及时恢复。
负载均衡
在设备间实现负载均衡,避免单台设备性能瓶颈,提高整体系统性 能。
设备状态监测
实时监测设备状态,及时发现并处理故障,确保系统稳定运行。
20
链路负载均衡策略
静态负载均衡
根据预先设定的规则,将流量分配到不同的链路上,实现 链路的负载均衡。
01
动态负载均衡
实时监测链路状态,根据链路的带宽、 延迟等参数动态调整流量分配策略,确 保流量始终选择最优路径。
制定详细的故障恢复流程,包括故障确认、原 因分析、解决方案制定和实施等步骤,确保故 障得到及时有效的处理。
22
06
管理与维护操作指

2024/1/27
23
设备管理界面介绍
设备管理主界面
展示设备整体运行状态、主要性能指标和实时告警信息。
配置管理界面
提供设备各项配置的详细设置,包括网络、安全、用户等。
2024/1/27
设备安装
根据设备规格和安装环境, 选择合适的安装方式和位 置,确保设备稳定可靠。
设备连接
使用合适的线缆将设备与 网络、电源等连接,确保 连接正确、牢固。
8
初始配置环境搭建
2024/1/27
控制台连接

山石网科防火墙常见问题及解答手册(FAQ)说明书

山石网科防火墙常见问题及解答手册(FAQ)说明书

Version1.0Copyright 2022Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is fur-nished under a license agreement or nondisclosure agreement.The software may be used or copied only in accord-ance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrievalsystem,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks.Hillstone Networks本文档仅面向山石网科内部读者,禁止外传及用于任何商业用途。

联系信息北京苏州地址:北京市海淀区宝盛南路1号院20号楼5层地址:苏州高新区科技城景润路181号邮编:100192邮编:215000联系我们:/about/contact_Hillstone.html关于本手册本手册为山石网科防火墙设备使用过程中的常见问题及解答。

获得更多的文档资料,请访问:https://针对本文档的反馈,请发送邮件到:*************************山石网科https://TWNO:TW-FAQ-AKXE-CN-V1.0-6/27/2022用内部使用内部使用内部使用内部使用内部使用内部使用内部使用内部使用目录目录常见问题及解答介绍目标读者10更多资源10产品优势及定位A系列防火墙优势及定位问答121.A系列防火墙产品定位是什么?122.A系列防火墙有哪些主要特点,这些特点有哪些优势?123.A系列智能下一代防火墙有哪些应用场景?13K系列防火墙优势及定位问答144.K系列防火墙产品定位是什么?145.K系列防火墙有哪些主要功能亮点?14X系列防火墙优势及定位问答156.X系列数据中心防火墙产品定位是什么?157.X系列数据中心防火墙有哪些主要特点,这些特点有哪些优势?158.X系列数据中心防火墙在软件上有哪些优势功能?159.X系列数据中心防火墙有哪些应用场景?1610.X系列防火墙在选型时,参照客户现网业务流量该如何选择配置模型?16功能类问答硬件平台18TOC -1用内部使用内部使用内部使用内部使用内部使用内部使用内部使用内部使用1.A系列产品的型号及支持的扩展模块有哪些?182.A系列设备可以安装哪些硬盘?183.A系列设备支持的电源情况?184.K系列产品的型号及支持的扩展模块有哪些?195.K系列设备可以安装哪些硬盘?196.K系列设备支持的电源情况?197.X系列防火墙的CPU是什么架构?208.X系列产品的型号及支持的扩展模块有哪些?209.X系列设备需要哪些扩展模块才能正常工作?2110.X系列设备的扩展模块是否支持热插拔?2111.X10800和X9180电源线是16A的还是10A的?2112.X系列QSM扩展模块与IOM/SIOM扩展模块在实现QoS功能上有什么区别?2113.E系列设备最多可以安装几块万兆接口扩展模块?2114.防火墙设备支持40G光模块型号TRAN-QSFP+BiDi吗?2215.防火墙哪些光接口支持拆分?2216.如何拆分100GE(QSFP28)光接口和40GE(QSFP+)光接口?2217.防火墙哪些光接口支持降速?2318.防火墙光接口如何进行降速?2419.防火墙哪些光接口支持光转电?2520.防火墙光接口如何进行光转电?2521.防火墙设备的硬盘可以保存多久的日志信息?2622.山石网科设备可以使用其他厂商的光模块吗?26TOC -2用内内部使用内部使用内部使用内部使用内部使用内部使用内部使用23.光纤连接器的接口有哪些类型?2624.B系列产品的型号及支持的扩展模块有哪些?2725.C系列产品的型号及支持的扩展模块有哪些?27规格参数/许可证/特征库2726.A系列设备的IPS特征库数量为多少个?2727.A系列防火墙能满足10万以上用户的添加和管理吗?2828.A系列的病毒库能支持到300W吗?2829.StoneOS支持的VSYS有无数量限制?2830.A5500支持的VSYS最大数量是多少?2831.防火墙的IPS、AV、僵尸网络防御(C2)特征库分别是和哪些厂商合作的?2832.如何查看垃圾邮件过滤功能的特征库?2933.如何查看特征库的历史升级情况?2934.部分功能测试许可到期后功能仍可以正常使用吗?2935.僵尸网络防御许可证过期后,还能使用该功能吗?2936.僵尸网络防御特征库数量是多少?2937.僵尸网络防御特征库会自动更新到最新版本吗?3038.防火墙许可证导入后是否需要重启设备?30版本升级3139.防火墙升级版本前要注意什么?3140.防火墙正式平台许可证过期,对版本升级有影响吗?3241.A系列防火墙能使用StoneOS 5.5R8软件版本吗?3242.A系列防火墙升级是否有限制?32TOC -3用内内部使用内部使用内部使用内部使用内部使用内部使用内部使用系统管理3343.A系列和X系列防火墙设备是否可以强制断电?3344.StoneOS支持其他语言吗?3345.系统的默认管理员可以编辑或删除吗?3346.防火墙支持哪些配置管理方式?3347.如何查看设备的推荐版本?3348.如何查询设备售后服务到期时间和硬件保修时间?3449.如何查看当前运行的版本和运行时间?3450.如何关闭系统调试功能?3451.如何查看设备的配置信息?3452.如何查看SNMP OID值?34零信任3553.零信任支持基于哪些维度进行权限控制?3554.零信任支持哪些双因子认证方式?3555.零信任使用什么客户端接入?3556.因为终端状态原因而无法访问特定资源的用户,可以通过调整终端设备的配置获取访问权限吗?35策略3557.防火墙安全域之间默认是允许信息传输的吗?3558.策略规则的匹配顺序是什么?3659.防火墙是否支持导入安全策略?3660.未匹配到任何防火墙安全策略的流量默认是允许通过还是拒绝通过?3661.防火墙是否支持策略的五元组快速查询以及针对策略未命中时间进行查询?36TOC -4用内内部使用内部使用内部使用内部使用内部使用内部使用内部使用62.什么是失效策略?3663.防火墙最大策略数量和策略中的源/目的IP或者端口数量有关联吗?3764.策略规则调用的源地址条目/目的地址条目数量有限制吗?3765.在两个内网区域间通过防火墙做内网隔离,如何配置防火墙策略?37VSYS3766.VSYS支持Netflow吗?3767.防火墙中存在多个VSYS时,可以实现单个VSYS重启吗?3868.VSYS的数量增加,是否会影响根VSYS的性能?38路由3869.路由的优先级顺序是什么?3870.哪些类型的路由支持IPv6?3871.哪些类型的路由支持BFD功能?38VPN3872.StoneOS支持哪些VPN?3873.SSL VPN支持对接手机身份验证器吗?如Google Authenticator。

Hillstone山石网科数据中心防火墙安装手册_4.0R5

Hillstone山石网科数据中心防火墙安装手册_4.0R5
第 2 章 防火墙的安装准备工作 .............................................................................. 15 介绍 ................................................................................................................ 15 安装场所要求 ..................................................................................................... 15 温度/湿度要求................................................................................................ 15 洁净度要求.................................................................................................... 15 防静电要求.................................................................................................... 15 电磁环境要求 ................................................................................................. 16 机柜要求........................................................................................................... 16 机柜尺寸和间距 .............................................................................................. 16 机柜通风要求 ................................................................................................. 16 机架要求........................................................................................................... 16 机架尺寸和承重要求......................................................................................... 16

最新HillStone最新配置手册资料

最新HillStone最新配置手册资料

HillStone SA-2001配置手册1 网络端口配置 (2)2 防火墙设置 (12)3 VPN配置 (14)4 流量控制的配置 (25)4.1P2P限流 (25)4.2禁止P2P流量 (26)4.3IP流量控制 (29)4.4时间的设置 (30)4.5统计功能 (33)5 基础配置 (36)本文是基于安全网关操作系统为Version 3.5进行编写,如版本不同,配置过程有可能不一样。

1 网络端口配置SA-2001安全网关前面板有5个千兆电口、1个配置口、1个CLR按键、1个USB接口以及状态指示灯。

下图为SA-2001的前面板示意图:将网线接入到E0/0。

防火墙的ethernet0/0接口配有默认IP地址192.168.1.1/24,但该端口没有设置为DHCP服务器为客户端提供IP地址,因此需要将PC机的IP地址设置为同一网段,例如192.168.1.2/24才能连上防火墙。

通过IE打开192.168.1.1,然后输入默认的用户名和密码(均为hillstone)登录后的首页面。

可以看到CPU、内存、会话等使用情况。

很多品牌的防火墙或者路由器等,在默认情况下内网端口都是划分好并且形成一个小型交换机的,但是hillstone的产品却需要自己手工设置。

在本文档中,我们准备将E0/0划分为UNTRUST口连接互联网,E0/1~E0/4总共4个端口我们则划到一个交换机中并作为TRUST口连接内网。

在网络-接口界面中,新建一个bgroup端口,该端口是一个虚拟的端口。

因为bgroup1接口需要提供路由功能,因此需要划入到三层安全域(trust)中。

输入由集团信息中心提供的IP地址。

在管理设置中,尽量将各个管理功能的协议打开,尤其是HTTP 功能。

建好bgroup1之后,对网络-接口页面中的e0/1~e0/4分别修改,依次将它们划归为bgroup1。

设置好交换机功能后,还需要设置DHCP功能,以便PC机接入时可以自动获取IP地址。

山石网科虚拟Web应用防火墙(vWAF)部署手册说明书

山石网科虚拟Web应用防火墙(vWAF)部署手册说明书

Hillstone Networks,Inc. Version2.5目录目录1介绍4文档内容4目标读者4产品信息4 Cloud-init的功能5许可证6许可证机制6平台类许可证6订阅类许可证7功能服务类许可证7申请许可证7安装许可证8许可证校验8在Xen平台上部署vWAF11系统要求11部署vWAF11步骤一:获取防火墙软件包11步骤二:导入镜像文件11步骤三:首次登录防火墙13访问vWAF的WebUI界面14升级vWAF14在AWS上部署vWAF15 AWS介绍15位于AWS的vWAF16准备您的VPC16第一步:登录AWS账户17第二步:为VPC添加子网17第三步:为子网添加路由18在亚马逊云AWS上部署vWAF19创建vWAF实例19第一步:创建EC2实例19第二步:为实例选择AMI模板20第三步:选择实例类型20第四步:配置实例详细信息21第五步:添加存储21第六步:标签实例21第七步:配置安全组21第八步:启动实例22配置子网和接口23分配弹性IP地址23在主控台查看实例24购买并申请许可证24访问vWAF24使用PuTTy访问CLI管理界面24步骤一:使用PuTTYgen转换密钥对24步骤二:使用PuTTY访问CLI界面25访问WebUI界面27介绍山石网科的虚拟Web应用防火墙,简称为vWAF(Virtual Web Application Firewall),是一个纯软件形态的产品,是运行在虚拟机上的WAF系统。

文档内容本手册介绍如何将vWAF部署到不同的环境中,包括Xen、AWS亚马逊云环境中。

本文仅讲述vWAF和初始的联网操作,WAF系统本身的功能将不做讲解。

如果您需要了解WAF系统的详细功能,请参考WAF的相关文档(点击此处)。

目标读者本文的目标读者为企业的网络管理员或对山石网科虚拟化感兴趣的读者。

部署之前,根据不同的部署场景,用户需要相应地熟悉Xen、AWS亚马逊云的组件及使用。

山石网科 防火墙 SG-6000-M2105-M3100-M3108选型说明手册

山石网科 防火墙 SG-6000-M2105-M3100-M3108选型说明手册

新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。

处理器模块化设计可以提升整体处理能力,突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps,广泛适用于企业分支、中小企业等机构,可部署在网络的主要结点及Internet出口,为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点安全可视化●网络可视化通过StoneOS?内置的网络流量分析模块,用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势,随时、随地监控自己的网络,从而对流量进行优化和精细化的管理。

●接入可视化StoneOS?基于角色的管理(RBNS)模块,让网络接入更加精细和直观化,实现了对接入用户更加人性化的管理,摆脱了过去只能通过IP地址来控制的尴尬,可以实时地监控、管理用户接入的状态,资源的分配,从而使网络资源的分配更加合理和可控化。

●应用可视化StoneOS?内置独创的应用识别模块,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,即使加密过的数据流也能应付自如。

StoneOS?识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用,应用特征库通过网络服务可以实时更新。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署,它能够完全兼容标准的IPSecVPN。

SG-6000系列产品对VPN(包括SSLVPN)都提供硬件加速,结合多核平台的处理能力,可为用户提供高容量、高性能的VPN解决方案。

Hillstone 统一智能防火墙安装手册说明书

Hillstone 统一智能防火墙安装手册说明书

Hillstone统一智能防火墙安装手册目录第1章介绍 (1)第2章准备工作 (3)第3章安装与升级 (7)安装统一智能系统软件到虚拟机 (8)升级企业安全网关到指定的系统固件 (10)第4章初始化 (12)初始化 (12)第5章登录统一智能防火墙 (17)第6章高级功能设置 (18)查看统一智能系统接口信息 (18)配置统一智能系统接口 (18)修改统一智能系统登录密码 (18)升级统一智能防火墙 (18)通过WebUI升级 (18)通过CLI升级 (20)升级或回退企业安全网关的系统固件 (20)删除统一智能系统 (21)查看统一智能系统软件的版本及企业安全网关系统固件的版本 (21)配置可信主机 (21)智一能系统与企业安全网关连接通道的加密 (22)关于本手册手册内容该文档介绍统一智能防火墙的安装部署,具体内容包括:♦第1章介绍♦第2章准备工作♦第3章安装与升级♦第4章初始化♦第5章登录统一智能防火墙♦第6章高级功能设置手册约定为方便用户阅读与理解,本手册遵循以下约定:内容约定本手册内容约定如下:♦提示:为用户提供相关参考信息。

♦说明:为用户提供有助于理解内容的说明信息。

♦注意:如果该操作不正确,会导致系统出错。

♦『』:用该方式表示Hillstone设备WebUI界面上的链接、标签或者按钮。

例如,“点击『登录』按钮进入Hillstone设备的主页”。

♦< >:用该方式表示WebUI界面上提供的文本信息,包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。

例如,“改变MTU值,选中<手动>单选按钮,然后在文本框中输入合适的值”。

CLI约定本手册在描述CLI时,遵循以下约定:♦大括弧({ }):指明该内容为必要元素。

♦方括弧([ ]):指明该内容为可选元素。

♦竖线(|):分隔可选择的互相排斥的选项。

♦粗体:粗体部分为命令的关键字,是命令行中不可变部分,用户必须逐字输入。

Hillstone防火墙维护手册

Hillstone防火墙维护手册

Hillstone防火墙维护手册2010/10/171.概述防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,对于企业关键的实时业务系统,要求网络能够提供7*24小时的不间断保护,保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。

Hillstone防火墙提供了丰富的冗余保护机制和故障诊断、排查方法,通过日常管理维护可以使防火墙运行在可靠状态,在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。

本文对Hillstone防火墙日常维护进行较系统的总结,为防火墙维护人员提供设备运维指导。

2.Hillstone防火墙日常维护围绕防火墙可靠运行和出现故障时能够快速恢复为目标,Hillstone防火墙维护主要思路为:通过积极主动的日常维护将故障隐患消除在萌芽状态;故障发生时,使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行;故障处理后及时进行总结与改进避免故障再次发生。

2.1.防火墙硬件部分日常维护2.1.1.防火墙机房要求机房的卫生状况,要求清洁,防火墙上没有灰尘。

温度(摄氏℃)工作环境温度0 ℃-40℃工作环境湿度(%)10% -95%2.1.2.防火墙电源检查检查防火墙电源插头有无松动。

检查防火墙LED电源指示灯颜色:电源指示灯颜色:2.1.3.防火墙风扇低端产品防火墙风扇固定在产品内;高端产品风扇为模块化设计,可热插拔;检测防火墙风扇风扇指示灯有否告警;检测风扇风力是否适中风扇指示灯颜色:2.1.4.防火墙前面板指示灯检查根据防火墙指示灯状况,可迅速查看防火墙某部分出现故障,以及防火墙运行情况。

2.1.5.防火墙模块及数据接口检查系统防火墙接口状态检查检查模块安装是否松动,接口模块上指示灯是否正常。

已接有链路的端口link端为绿色常亮,ACT指示灯为黄色闪烁。

防火墙接口状态指示灯颜色:2.2.防火墙系统部分日常维护2.2.1.防火墙OS版本检查在防火墙上运行show version 查看当前软件版本和防火墙硬件设备系统持续运行时间及上次系统重启时间。

Web应用防火墙CLI命令行手册说明书

Web应用防火墙CLI命令行手册说明书

Version3.1.1Copyright2022Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this doc-ument is furnished under a license agreement or nondisclosure agreement.The software may be used or copied only in accordance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's per-sonal use without the written permission of Hillstone Networks.Hillstone Networks本文档禁止用于任何商业用途。

联系信息北京苏州地址:北京市海淀区宝盛南路1号院20号楼5层地址:苏州市高新区科技城景润路181号邮编:100192邮编:215000联系我们:https:///about/contact_Hillstone.html关于本手册本手册介绍山石网科的WAF产品的使用方法。

获得更多的文档资料,请访问:https://针对本文档的反馈,请发送邮件到:*************************山石网科https://TWNO:TW-CUG-WAF-3.1.1-CN-V1.0-10/31/2022目录目录1关于本手册1手册约定1内容约定1CLI约定1命令行接口(CLI)2CLI介绍2命令模式和提示符2执行模式2子模块配置模式2CLI命令模式切换2命令行错误信息提示3命令行的输入3命令行的缩写形式3自动列出命令关键字3自动补齐命令关键字4命令行的编辑4查看历史命令4快捷键4过滤CLI输出信息5分页显示CLI输出信息6设置终端属性6重定向输出6诊断命令7基础命令行索引8(一)配置可信主机8配置可信主机8配置IPv6可信主机8显示可信主机配置9(二)配置管理员9创建管理员9配置管理员角色9配置管理员密码10显示管理员配置10(三)配置主机名称11(四)配置管理端口号11配置Console管理接口11配置波特率11配置Telnet管理接口11配置SSH管理接口12配置WebUI管理接口12显示管理接口配置13(五)配置硬件强制Bypass功能13(六)配置接口14绑定接口到域14配置接口IP地址14配置接口最大传输单元(MTU)15配置接口管理功能15配置接口Local属性15切换接口工作模式16 IPv6地址配置16指定全局IPv6地址17指定无状态地址自动配置17指定EUI-64地址18指定接口IPv6最大传输单元18强制关闭接口18查看接口信息19显示接口的IPv6配置19(七)配置路由19添加目的路由条目19显示目的路由信息20开启/关闭多虚拟路由器模式20(八)主机防御20显示IP-MAC-端口绑定信息21显示MAC表信息21(九)设置DNS域名服务器21(十)配置NTP功能22开启/关闭NTP功能22配置NTP时钟服务器22(十一)配置监测对象23接口链路状态监测23(十二)配置HA24 HA组配置24指定优先级24配置抢占模式25指定监测对象25 HA连接配置25指定HA连接接口26指定HA连接接口IP地址26指定vWAF的HA心跳口MAC地址26配置vWAF使用接口的真实MAC27配置通过二层单播方式进行HA协商通信27指定HA连接接口的最大传输单元(MTU)28 HA簇配置28显示HA配置29(十三)开启WAF的动态调核功能29开启WAF的动态调核功能30配置在Core0上运行WAF应用平面进程的功能30显示CPU Core信息30(十四)配置日志服务器的日志结尾字符31显示日志服务器的日志结尾字符31(十五)简单网络管理协议(SNMP)32开启或者关闭SNMP代理功能32配置SNMP引擎ID33创建SNMPv3用户(IPv6远程管理主机)33配置trap报文目标主机33配置IPv6Trap报文目标主机34显示SNMP信息35关于本手册手册约定为方便用户阅读与理解,本手册遵循以下约定:内容约定本手册内容约定如下:l提示:为用户提供相关参考信息。

山石网科 Web 应用防火墙(W1060-GC)硬件参考指南说明书

山石网科 Web 应用防火墙(W1060-GC)硬件参考指南说明书

Version 2.8Copyright 2021 Hillstone Networks.All rights reserved.Information in this document is subject to change without notice. The software described in this document is furnished under a license agreement or nondisclosure agreement. The software may be used or copied only in accordance with the terms of those agreements. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form or any means electronic or mechanical, including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks.Hillstone Networks本文档禁止用于任何商业用途。

联系信息北京苏州地址:北京市海淀区宝盛南路1号院20号楼5层地址:苏州高新区科技城景润路181号邮编:100192 邮编:215000联系我们:https:///about/contact_Hillstone.html关于本手册本手册介绍山石网科公司的Web应用防火墙(W1060-GC)的硬件相关信息。

获得更多的文档资料,请访问:https://针对本文档的反馈,请发送邮件到:***********************山石网科https://TWNO: TW-HW-WAF(GC)-CN-V1.0-Y21M11产品中有毒有害物质或元素的名称及含量前言内容简介感谢您选用Hillstone Networks的Web应用安全产品-Web应用防火墙。

山石网科防火墙SGMMM选型说明手册

山石网科防火墙SGMMM选型说明手册

新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。

处理器模块化设计可以提升整体处理能力,突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps,广泛适用于企业分支、中小企业等机构,可部署在网络的主要结点及Internet出口,为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点安全可视化●网络可视化通过StoneOS?内置的网络流量分析模块,用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势,随时、随地监控自己的网络,从而对流量进行优化和精细化的管理。

●接入可视化StoneOS?基于角色的管理(RBNS)模块,让网络接入更加精细和直观化,实现了对接入用户更加人性化的管理,摆脱了过去只能通过IP地址来控制的尴尬,可以实时地监控、管理用户接入的状态,资源的分配,从而使网络资源的分配更加合理和可控化。

●应用可视化StoneOS?内置独创的应用识别模块,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,即使加密过的数据流也能应付自如。

StoneOS?识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用,应用特征库通过网络服务可以实时更新。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署,它能够完全兼容标准的IPSecVPN。

SG-6000系列产品对VPN(包括SSLVPN)都提供硬件加速,结合多核平台的处理能力,可为用户提供高容量、高性能的VPN解决方案。

Hillstone防火墙维护手册

Hillstone防火墙维护手册

Hillstone防火墙维护手册2010/10/171.概述防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,对于企业关键的实时业务系统,要求网络能够提供7*24小时的不间断保护,保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。

Hillstone防火墙提供了丰富的冗余保护机制和故障诊断、排查方法,通过日常管理维护可以使防火墙运行在可靠状态,在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。

本文对Hillstone防火墙日常维护进行较系统的总结,为防火墙维护人员提供设备运维指导。

2.Hillstone防火墙日常维护围绕防火墙可靠运行和出现故障时能够快速恢复为目标,Hillstone防火墙维护主要思路为:通过积极主动的日常维护将故障隐患消除在萌芽状态;故障发生时,使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行;故障处理后及时进行总结与改进避免故障再次发生。

2.1.防火墙硬件部分日常维护2.1.1.防火墙机房要求机房的卫生状况,要求清洁,防火墙上没有灰尘。

温度(摄氏℃)工作环境温度0 ℃-40℃工作环境湿度(%)10% -95%2.1.2.防火墙电源检查检查防火墙电源插头有无松动。

检查防火墙LED电源指示灯颜色:电源指示灯颜色:2.1.3.防火墙风扇低端产品防火墙风扇固定在产品内;高端产品风扇为模块化设计,可热插拔;检测防火墙风扇风扇指示灯有否告警;检测风扇风力是否适中风扇指示灯颜色:2.1.4.防火墙前面板指示灯检查根据防火墙指示灯状况,可迅速查看防火墙某部分出现故障,以及防火墙运行情况。

2.1.5.防火墙模块及数据接口检查系统防火墙接口状态检查检查模块安装是否松动,接口模块上指示灯是否正常。

已接有链路的端口link端为绿色常亮,ACT指示灯为黄色闪烁。

防火墙接口状态指示灯颜色:2.2.防火墙系统部分日常维护2.2.1.防火墙OS版本检查在防火墙上运行show version 查看当前软件版本和防火墙硬件设备系统持续运行时间及上次系统重启时间。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

目录一、设备基础管理 (1)1.1设备登录 (1)1.1.1 通过CLI管理设备 (1)1.1.2 通过WebUI管理设备 (2)1.2管理员帐号及权限设置 (4)1.2.1 新增管理员 (4)1.2.1 修改管理员密码 (5)1.3 License安装 (6)1.4设备软件升级 (7)1.5设备配置备份与恢复 (9)1.5.1 备份设备配置 (9)1.5.2 恢复设备配置 (12)1.6系统诊断工具的使用 (14)二、对象配置 (16)2.1 配置地址薄 (16)2.2 配置服务簿 (17)三、网络配置 (21)3.1 配置安全域 (21)3.2 配置接口 (22)3.3 配置路由 (23)3.4 配置DNS (24)四、防火墙配置 (26)4.1 配置防火墙策略 (26)4.1.1 新增防火墙安全策略 (26)4.1.2 编辑防火墙安全策略 (27)4.2 配置NAT (28)4.2.1 配置源NAT (28)4.2.2 配置目的NAT (31)4.3 防火墙配置举例 (35)五、QOS配置 (44)5.1 配置IP QOS (45)5.2 配置应用QOS (46)六、常用日志配置 (48)一、设备基础管理1.1设备登录安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、telnet、SSH等主流通信管理协议。

1.1.1 通过CLI管理设备通过Console 口配置安全网关时需要在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与安全网关的连接,并按如下表所示设置参数(与连接Cisco设备的参数一致):通过telnet或者SSH管理设备时,需要在相应接口下启用telnet或SSH 管理服务,然后允许相应网段的IP管理设备(可信主机)。

对接口启用telnet或SSH管理服务的方法如下:首先在网络—>网络连接模式下的页面下方勾选指定接口,点击图示为的编辑按钮,然后在弹出的接口配置窗口中对接口启用相应的管理服务,最后确认即可:1.1.2 通过WebUI管理设备WebUI同时支持http和https两种访问方式,首次登录设备可通过默认接口ethernet0/0 (默认IP 地址192.168.1.1/24,该接口的所有管理服务默认均已被启用)来进行,登录方法为:1. 将管理PC 的IP 地址设置为与192.168.1.1/24 同网段的IP 地址,并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。

2. 在管理PC 的Web 浏览器中访问地址http://192.168.1.1 并按回车键。

出现的登录页面如下图所示:Hillstone登录界面同时提供中文和英文语言支持,因此需要在上图上点击“中”或者国旗图标来选择中文界面,选择后界面如下:3. 输入用户名和密码。

安全网关提供的默认用户名和密码均为“hillstone”。

4. 在语言栏选择Web 页面语言环境,<中文>或<English>。

5. 点击『登录』按钮进入安全网关的主页。

注意:非首次登录设备可将设备的相应接口(一般是内网接口)的相应管理服务(建议至少启用http、ping、telnet三种管理服务)启用,然后通过http://设备接口IP来管理设备。

1.2管理员帐号及权限设置安全网关设备由系统管理员(Administrator)管理、配置。

系统管理员的配置包括创建管理员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。

安全网关拥有一个默认管理员“hillstone”,用户可以对管理员“hillstone”进行编辑,但是不能删除该管理员。

管理员权限规定如下:管理员特权为管理员登录设备后拥有的权限。

StoneOS 允许的权限有RX (读-执行)和RXW(读-执行-写)。

♦RX(读-执行):读和执行权限。

拥有该权限的管理员可以通过show 命令查看当前或者历史配置信息,可以在执行模式下运行import、export 和save 等命令。

♦RXW(读-执行-写):读、执行和写权限。

该权限的管理员除拥有RX 权限外,还可以在任何配置模式下对设备进行配置。

另外,用户可以细化管理员的“写”权限,即使管理员仅能执行IP-MAC 配置。

1.2.1 新增管理员点击配置页面主页(登录后的初始页面)右上方的系统管理选项卡,并在系统弹出的选项中选择设备管理,然后在弹出的设备管理界面中点击右上方的添加按钮,系统会弹出新增管理员配置界面。

在新弹出的界面中依次输入管理员用户名和密码,定义管理权限,最后勾选对其开放的登录类型(建议将所有的登录类型都开放),点击确认即可。

1.2.1 修改管理员密码在设备管理配置界面选择需要修改密码的管理员,然后点击右边的编辑按钮,在弹出的编辑窗口口输入新密码,确认即可1.3 License安装安全网关提供两种安装新License的方式:手动或者选择文件。

点击配置页面主页(登录后的初始页面)右上方的系统管理选项卡,并在系统弹出的选项中选择许可证,即可安装新的License。

一般情况下提供的License是一个文件,这时点击页面右下方的上传许可证文件,然后点击浏览并选中提供的License文件并确认,系统即开始安装,安装完毕会弹出相应提示,告知本次安装是否成功。

如若提供的License是一个字符串(以license:开头、==结尾),则完整复制整个字符串(从license:到==),然后选择手动输入,并将复制的字符串粘帖进空白区域,最后点击确定,系统即开始安装,安装完毕会弹出相应提示,告知本次安装是否成功。

1.4设备软件升级点击配置页面主页(登录后的初始页面)右上方的系统管理选项卡,并在系统弹出的选项中选择版本升级,即可进入版本升级向导页面,从而对设备进行软件升级。

升级前可通过代理商、400服务热线、Hillstone工程师索取相应系统软件,并确认设备是否已过保(过保的设备不能升级有效期外的系统软件)。

如下图所示,点击版本升级按钮,然后在版本升级向导页面中根据需要选择升级到最新的软件版本或还原为已保存的软件版本(Hillstone提供双系统支持,可通过还原来使用系统中另外一个版本的系统文件)。

一般升级版本直接选择升级到最新的软件版本,然后点击页面下方的下一步按钮。

如上图所示,点击下一步后系统会提示我们选择备份软件版本,同时上传新的软件文件。

选择后备份的软件版本之后接着选择保存在本地的系统软件(后缀名为bin,请确认OS软件与设备硬件型号匹配一致),然后点击下一步,确认后系统即开始上传新版本软件,上传完毕系统会自动退出版本升级页面。

如方便可在升级时选择立即重新启动设备,如不方便则可以选择暂不重新启动设备,然后在合适时间重启设备即可。

1.5设备配置备份与恢复1.5.1 备份设备配置点击配置页面主页(登录后的初始页面)右上方的系统管理选项卡,并在系统弹出的选项中选择配置备份还原,然后在向导页面选择备份当前配置,点击下一步并添加描述,即可完成对设备配置的备份。

备份完成后可在系统管理的配置文件管理选项卡中查看系统当前可用的配置文件,Startup表示系统启动时加载的配置文件,Backup即为备份的配置文件。

为降低因意外导致的风险,建议选择其中之一导出到本地保存备份。

注意:为避免因意外(如雷击)等导致设备不能正常启动所带来的不必要麻烦,建议每次更新配置后及时对配置文件作备份。

另一种备份当前的配置文件方法是:点击配置文件管理中的当前系统配置选项卡,然后点击右边的导出按钮,即可将配置文件以文本形式保存到本地。

1.5.2 恢复设备配置恢复配置文件时,选择系统管理中的配置备份还原选项卡,然后在向导页面选择恢复系统配置,点击下一步并选择系统中存在的备份配置文件或上传本地保存的备份配置文件。

恢复配置文件后需要重启设备生效,因此在接下来的下一步中,系统会提示选择立即重新启动设备或暂不重新启动设备,我们可根据情况灵活选择,但只有重启设备后恢复的配置文件才会生效。

1.6系统诊断工具的使用安全网关提供基本的诊断工具(如DNS查询、ping、traceroute等),便于用户确认网络和路由是否处于连通状态。

点击配置页面主页(登录后的初始页面)右上方的系统管理选项卡,并在系统弹出的选项中选择系统工具,从下图可看出系统提供的三大基本测试工具:在每个测试工具后面的空白框出输入测试目标,然后点击测试按钮,界面下方的空白出即输出相应的测试结果。

二、对象配置2.1 配置地址薄在StoneOS 系统中,IP 地址是StoneOS 多个功能模块配置的重要组成元素,例如策略规则、网络地址转换规则以及会话数限制等。

因此,为方便引用IP 地址,实现灵活配置,StoneOS 支持地址簿功能。

StoneOS 系统拥有一个全局地址簿。

用户需要为全局地址簿定义地址条目,以便完成相关功能模块的配置。

新增地址簿时,点击配置页面主页(登录后的初始页面)右上方的对象用户选项卡,并在系统弹出的选项中选择地址薄,然后在弹出的地址薄编辑界面中点击新建按钮,即可添加与指定IP网段或地址对应的地址薄。

如下图所示,填写地址簿名称、地址薄成员(有IP/掩码、IP范围、主机名称、地址条目四类可选)、描述(可选)后,点击添加按钮并确定,即可在地址薄中查看到添加的地址薄。

2.2 配置服务簿服务(Service)是具有协议标准的信息流,简而言之就是一种具体的应用。

服务具有一定的特征,例如相应的协议、端口号等,举例来讲,FTP服务使用TCP 传输协议,其目的端口号是21。

服务是StoneOS多个功能模块配置的重要组成元素,例如防火墙策略规则、网络地址转换规则和应用QoS管理等。

StoneOS 提供了百余种预定义服务以及10余种预定义服务组(Service Group),同时用户也可以根据自己的需要创建自定义服务或服务组。

一般而言系统预定义的服务难以覆盖到实际网络环境中涉及的各种服务,因此为便于通过安全网关对这些服务进行一定层面的访问控制,我们需要将这些服务定义出来,即自定义服务。

新增自定义服务时,点击配置页面主页(登录后的初始页面)右上方的对象用户选项卡,并在系统弹出的选项中选择服务薄,即可进入服务簿编辑页面:如上图所示,点击该页面新建按钮,然后在弹出的选项卡中选择服务,系统会弹出服务配置页面。

在该页面中填写服务名称,然后点击添加,即可编辑服务成员的详细参数。

用户需指定的自定义服务条目的参数包括:–名称–传输协议–TCP或UDP类型服务的源和目标端口号或者ICMP 类型服务的type和code值–超时时间因此服务配置页面中我们需要一一定义这些参数,以便设备能定义并识别该类应用。

相关文档
最新文档