Hillstone安全网关基础配置手册v4.0

服务热线：400 828 6655
Hillstone山石网科
多核安全网关
基础配置手册
V 4.0版本
目录
一．设备管理 (1)
1.1终端CONSOLE登录 (1)
1.2网页W EB UI登录 (1)
1.3恢复出厂设置 (2)
1.4设备软件S TONE-OS升级 (4)
1.5许可证安装 (7)
二．基础上网配置 (8)
2.1接口配置 (8)
2.2路由配置 (10)
2.3策略配置 (11)
2.4源地址转换配置 (12)
三．常用功能配置 (13)
3.1PPP O E拨号配置 (13)
3.2动态地址分配DHCP配置 (15)
3.3I P-M AC地址绑定配置 (17)
3.4端到端I PSEC VPN配置 (19)
3.5远程接入SCVPN配置 (26)
3.6目的地址转换DNAT配置 (34)
3.6.1一对一IP映射 (34)
3.6.2一对一端口映射 (38)
3.6.3多对多端口映射 (43)
3.6.4一对多映射（服务器负载均衡） (49)
一．设备管理
安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、telnet、SSH等主流通信管理协议。

1.1 终端console登录
通过Console 口配置安全网关时需要在计算机上运行终端仿真程序（系统的超级终端、SecureCRT等）建立与安全网关的连接，并按如下表所示设置参数（与连接Cisco设备的参数一致）：
1.2网页WebUI登录
WebUI同时支持http和https两种访问方式，首次登录设备可通过默认接口ethernet0/0来进行，登录方法为：
1. 将管理 PC 的IP 地址设置为与19
2.168.1.1/24 同网段的IP 地址，并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。

2. 在管理 PC 的Web 浏览器中访问地址http://192.168.1.1 并按回车键。

出现的登录页面如下图所示：
1.3 恢复出厂设置
1．CLI命令行操作
a.输入：Unset all
b.根据提示，选择是否保存当前配置：y/n
c.选择是否重启：y/n
d.系统重启后即恢复到出厂设置。

2．webUI图形化界面操作
a．web方式登陆安全网关系统，依次按点击“系统”—“配置”;
b．点击“清除”按钮，系统会提示将返回出厂缺省值，并重启系统，点击“确定”按钮即可，等设备启动好后就恢复到出厂设置:
3．硬件CLR操作
a.关闭安全网关的电源；
b.用针状物按住CLR按键（安全网关正面的小孔），打开电源按钮；
c.保持住状态直到指示灯的STA和ALM均变红色常亮，释放CLR按键此时系统开始恢复出厂配置；
d.出厂配置恢复完毕，系统将会自动重新启动。

1.4设备软件Stone-OS升级
1．通过sysloader进行StoneOS升级
a.给设备上电按提示按ESC并且进入 Sysloader。

参照以下操作提示；
b.在下面选择对应的选项升级os，可以通过tftp、ftp、usb、系统中备份的os。

（本文以tftp为例），按下图弹出窗口选择1；
c.确保安全网关与控制主机的连通性，并将需升级的os考到指定目录；
d.依次配置 Sysloader 的IP 地址、TFTP 服务器的IP 地址、网关IP 地址以及StoneOS名称；
e.保存 StoneOS；
f.重启，系统将使用新的 StoneOS 启动；
2．通过WebUI升级StoneOS
用户也可以通过WebUI 升级StoneOS。

请按照以下步骤通过WebUI 升级StoneOS：
1. 将新的 StoneOS 保存到本地；
2. 访问页面登录安全网关设备：
3. 依次点击“系统”—“系统软件”---“升级”，弹出升级系统软件的界面；再点击“浏览”选择需要升级的os，点击“确定”等待上传成功。

4、上传成功后选择新的os作为启动os，点击“确定”，后提示重启，等设备重启后即可：
1.5许可证安装
一．CLI命令行安装
1．登录安全网关，运行命令exec license install +许可证，如下图：
2．系统会提示重启后生效，重启设备即可。

二．web界面安装许可证
1．登录安全网关设备，依次点击“系统”---“许可证”，右边面板可以看到当前系统的许可证的是否已许可及许可的期限：
2．在许可证安装处点击“浏览”，选择许可证文件，点击“确认“即可；如许可证为非文件形式，选择“手动”拷贝许可证文件，点击“确认“即可。

3．重启安全网关设备，许可证即可安装。

二．基础上网配置
对于一台全新的设备，如果只是需要简单的内部用户可以正常上网，只需要配置接口、路由、策略和源nat这4项功能，以下是具体配置方法：
2.1接口配置
1.进入设备管理界面后，点击左边网络—接口；
2.选择相应的接口，点击编辑：
3.在接口配置界面中，选择接口的安全域类型（三层接口即为三层安全域，二层接口即为二层安全域）、安全域名称（一般内网使用trust或l2-trust安全域，外网使用untrust或l2-untrust）、接口ip地址网络掩码和接口的管理方式
注意：如果外网接口使用的是PPPoE的拨号接入，接口配置请参考文档3.1PPPoE 相关配置。

1.防火墙>>网络>>路由>>目的路由>>新建，显示如下：
2.点击新建，显示的配置界面如下：
3．点击确定，新建成功。

注意：实例为配置默认路由，如果需要添加明细路由，请在第三步更改目的地与子网掩码。

1.防火墙>>策略>>新建，显示如下：
2.点击新建，显示的配置界面如下：
3.点击确定，新建成功
注意：配置完全通策略，所有经过防火墙的流量都会被放行。

如需进行精确控制，请修改安全域、ip地址和服务等配置。

2.4 源地址转换SNAT配置
1.防火墙>>NAT>>源NAT>>新建>>高级配置，显示如下：
2.点击新建，显示的配置界面如下：
3.点击确定，配置成功。

三．常用功能配置
3.1 PPPoE拨号配置
具体配置如下
1.网络>>PPPoE客户端>>新建，显示如下：
2.选择网络>>接口，编辑相应接口，显示如下：
3.点击PPPOE列表可查看连接情况，正常连接后，MAC地址变为非零：
4．点击路由>>目的路由，系统会自动创建一条PPPoE默认路由：
3.2动态地址分配DHCP配置
具体配置如下
1.防火墙>>网络连接>>DHCP列表>>新建，显示如下：
2.点击新建，显示的配置界面如下：
3.点击确定，显示DHCP地址池列表，地址池配置完成；
4．配置DHCP服务，点击新建：
5．配置完成后，将相应PC或者交换机连接到绑定DHCP的接口即可自动获取IP。

3.3 IP-MAC地址绑定配置
具体配置如下
1.防火墙>>二层防护>>静态绑定，显示如下：
2.点击所要绑定的ARP条目，绑定点击应用：
3.点击确定，绑定条目成功，但是接口还是能学习ARP条目，所以下一步去接
口下关闭ARP学习；
4.防火墙>>二层防护>>ARP防御，取消相应接口的ARP学习功能：
注意：
请在关闭ARP学习之前绑定所有需要的IP-MAC条目，否则会无法管理设备。

3.4端到端Ipsec VPN配置
本例在两端设备公网IP都是固定的情况下，例如如下拓扑：
使用lan-to-lan模式的ipsec vpn配置步骤如下：
一．配置P1提议
二．配置ISAKMP网关
三．配置P2提议
四．配置隧道
具体配置如下：
SA-A
1.配置P1提议：VPN>>IPSec vpn>>P1提议，显示如下图：
2.配置ISAKMP网关
VPN>>IPSec vpn>>VPN对端：
3.配置P2提议
VPN>>IPSec VPN>>P2提议，效果如下图：
4.配置隧道
VPN>>IPSec VPN>>IPSec VPN>>IKE VPN列表>>新建，效果如下图：
点击“步骤2：隧道”后，如下图所示：
5．绑定vpn实例到隧道接口，点击网络>>接口，在下面的接口列表中点击“新建”，选择“隧道接口”，如图所示：
6．配置隧道路由：
7．配置相应策略：
8．配置完成后，对端设备B 也按照相同步骤配置，VPN 建立后双方内网即可完成通信。

9．可以通过VPN的监控功能，查看两端的连接状态：
注意：
1.如果防火墙前面还有其他NAT设备，请在步骤二配置VPN对端时，打开“高级配置”中的“NAT穿越”功能；
2.VPN配置完成后，需要流量触发VPN连接；如果需要自动连接，可在步骤四配置隧道时候，打开“高级功能”中的“自动连接”选项；
3.5远程接入SCVPN配置
为解决远程用户安全访问私网数据的问题，安全网关提供基于 SSL 的远程登录解决方案——Secure Connect VPN，简称为SCVPN。

SCVPN 功能可以通过简单易用的方法实现信息的远程连通。

1．WEB界面登陆防火墙，“用户”，“AAA服务器”，新建用户：
输入用户名和密码：
填写地址池名称、起始IP地址和终止IP地址、网络掩码（不能与现有网段重复，尽量使用生僻的网段），DNS和WINS地址：
填写SCVPN名称，指定HTTPS端口（默认是4433），出接口等，其他默认：
4．点击确定后重新编辑该实例，编辑添加隧道路由、AAA服务器、客户端信任域等其他参数：
4.1 添加隧道路由，即拨入SSL VPN后需要访问的网段地址：
4.2 AAA服务器配置，选择添加认证服务器：
5．创建隧道接口并把SCVPN 实例绑定到此接口：
6．新建源安全域为VPNHub，目的安全域为trust的策略：
7．在浏览器的地址栏输入以下URL进行登录:https://IP地址:端口号（默认4433）, 输入用户名和密码即可登录：
8．成功登录后，如果使用IE浏览器，系统将自动完成下载任务，用户只需按照提示安装即可；如果使用Firefox等浏览器，请点击下载客户端程序scvpn.exe，下载完成，双击scvpn.exe，按照安装向导提示进行安装：
9．下载并安装完VPN客户端，之后便可以直接通过该客户端软件直接进行登录：
3.6 目的地址转换DNAT 配置
目的地址映射主要用于将内网的服务器对外进行发布（如http 服务，ftp 服务，数据库服务等），使外网用户能够通过外网地址访问需要发布的服务。

常用的DNAT 映射有一对一IP 映射，一对一端口映射，多对多端口映射，一对多映射。

3.6.1一对一IP 映射
举例：将公网地址60.0.0.1映射到内网地址192.168.1.100。

1．创建两个地址薄，分别代表公网地址和内网地址：
此处掩码必须写32位
点击此处确认
确认并创建地址薄同样的方法，创建公网地址薄，掩码也是32位：
2．进行目的NAT 配置，新建IP 映射：
3．查看 网络 -> 接口 ，要映射的公网地址所在接口安全域为untrust ，内网地址所在接口安全域为trust ，因此下面创建untrust -> trust 的策略：
3.6.2一对一端口映射
举例：将公网地址60.0.0.1的tcp 8080端口映射到内网地址192.168.1.100的80端口。

1．创建两个地址薄，分别代表公网地址和内网地址：
点击此处添加
同样的方法，创建公网地址薄，掩码也是32位：
2．根据所需映射的公网地址端口（这里是8080），创建服务薄：
确认并创建地址薄
此处选择要使用的协议
填写协议端口号
3．进行目的NAT 配置，新建端口映射：
4．查看 网络 -> 接口 ，要映射的公网地址所在接口安全域为untrust ，内网地址所在接口安全域为trust ，因此创建untrust -> trust 的策略：
3.6.3多对多端口映射
举例：将公网地址60.0.0.1的tcp 80映射到内网地址192.168.1.100的80端口，60.0.0.1的tcp 8080映射到192.168.1.100的8080端口。

1．创建两个地址薄，分别代表公网地址和内网地址：
此处掩码必须写32位
点击此处确认
同样的方法，创建公网地址薄，掩码也是32位：
2．根据所需映射的公网地址端口（这里是80和8080），创建服务薄：
确认并创建地址薄
此处填写服务薄名称
此处选择要使用的协议
填写协议端口号
3．进行目的NAT 配置，新建高级配置：
点击此处继续添加
4．查看 网络 -> 接口 ，要映射的公网地址所在接口安全域为untrust ，内网地址所在接口安全域为trust ，因此下面我们创建untrust -> trust 的策略：
选择公网地址薄
选择内网地址薄
选择公网服务薄
源地址选择any
点击此处新建。