HillStone最新配置手冊

1、HillStoneSA-2001 配置手冊本文是基于安全網(wǎng)關(guān)操作系統(tǒng)為進(jìn)行編寫，如版本不同，配置過程有可能不一樣。i網(wǎng)絡(luò)端口配置SA-2001安全網(wǎng)關(guān)前面板有5個千兆電口、1個配置口、1個CL被鍵、1個US羞口以及狀態(tài)指示燈。下圖為 SA-2001的前面板示意圖：序號標(biāo)識及說明序號標(biāo)識及說明1PWR電源指示燈5CLR CL豉鍵2STA狀態(tài)指示燈6CON配置口3ALM警告指示燈7USB US葭口4VPNvpNt態(tài)指燈8e0/0-e0/4 :以太網(wǎng)電口將網(wǎng)線接入到E0/0。防火墻的ethernet0/0接口配有默認(rèn)IP地址，但該端口沒有設(shè)置為DHC服務(wù)器為客戶端提供IP地址，因此登錄后的首頁面?？?/p>

2、以看到 CPU內(nèi)存、會話等使用情況。很多品牌的防火墻或者路由器等，在默認(rèn)情況下內(nèi)網(wǎng)端口都是劃分好并且形成一個小型交換機(jī)的，但是hillstone 的產(chǎn)品卻需要自己手工設(shè)置。在本文檔中，我們準(zhǔn)備將E0/0劃分為UNTRUST連接互聯(lián)網(wǎng),E0/1E0/4總共4個端口我們則劃到一個交換機(jī)中并作為TRUS口連接內(nèi)網(wǎng)。在 網(wǎng)絡(luò)接口界面中，新建一個bgroup 端口，該端口是一個虛擬的端口。因?yàn)?bgroup1 接口需要提供路由功能，因此需要劃入到三層安全域（trust ）中。輸入由集團(tuán)信息中心提供的IP地址。在管理設(shè)置中，盡量將各個管理功能的協(xié)議打開，尤其是HTT的能。建女? bgroupl之后，對網(wǎng)絡(luò)

3、接口頁面中的e0/1e0/4分別修改，依次將它們劃歸為bgroup1 。設(shè)置好交換機(jī)功能后，還需要設(shè)置DHC電能，以便PC機(jī)接入時可以自動獲取IP地址。新建一個 DHCP4址池根據(jù)集團(tuán)信息中心提供的IP 地址段設(shè)置IP 地址池。租約里盡量將時間設(shè)大一些，這樣在追查記錄的時候，不會因?yàn)镻C機(jī)的IP地址頻繁發(fā)生變動而難以追蹤。確定之后，POOL1勺地址則建好了，不過，還需要修改DNSt能讓PC機(jī)可以訪問到集團(tuán)內(nèi)網(wǎng)。編輯 POOL1S入高級配置界面。DNS1和DNS吩別設(shè)置為集團(tuán)總部的 10.0.1設(shè)置完地址池之后，需要將該地址池捆綁到bgroup1 以便讓 bgroup1 可以為 PC機(jī)分配 IP

4、 地址。確認(rèn)以上步驟操作成功后，將原來連接到E0/0 的網(wǎng)線任意插入到E0/1E0/4的一個端口中，看看 PC機(jī)是否可以獲取到IP地址了。通過IPCONFIG/ALL命令可 以看到，PC機(jī)這時候已經(jīng)獲取到IP及DNS了。將原來的IE 瀏覽器關(guān)閉，重新打開IE 瀏覽器、輸入網(wǎng)關(guān)地址（即bgroup1 的地址）并輸入用戶名密碼。確認(rèn)完E0/1-4的任意一個TRUSTS能獲取IP后，即可修改E0/0為對外連接端口。本文檔中是以 E0/0為ADS酸號連接為示例。新建一個PPPOEE置輸入ADSL的用戶名及密碼。將自動重連間隔修改為1,否則ADSL會自動重 撥。默認(rèn)配置中，E0/0 是屬于 trust

5、域的， 需要將該端口修改為untrust 并將 PPPOE捆綁到該端口。點(diǎn)擊網(wǎng)絡(luò)接口，并修改E0/0 的設(shè)置。啟用設(shè)置路由。管理的協(xié)議中，原來默認(rèn)均開啟了e0/0 所有的管理端口，我們可以在稍后確認(rèn)所有的配置均調(diào)試完畢后關(guān)閉一些協(xié)議以增強(qiáng)防火墻的安全性。點(diǎn)擊確定后，可以看到e0/0 已經(jīng)劃入到untrust 的安全域中。2 防火墻設(shè)置源NAT規(guī)則指定是否對符合條件的流量的源IP地址做NAT轉(zhuǎn)換。通過基本選項(xiàng)的配置指定源NAT規(guī)則中流量應(yīng)符合的條件。符合條件的流量才能按照規(guī)則指定的行 為進(jìn)行轉(zhuǎn)換。HillStone 安全網(wǎng)關(guān)與其他品牌的防火墻在策略配置中的其中一個區(qū)別就是NAT設(shè)置。其他防火墻一

6、般都是自動設(shè)置好，但在HillStone 中，必須要手工將上網(wǎng)行為和訪問內(nèi)網(wǎng)的 NAT策略明確區(qū)分才行。建立一條讓項(xiàng)目PC可以訪問互聯(lián)網(wǎng)時進(jìn)行 NA瑤專換的策略。在防火墻-NAT-源NAT中新建一條 基本配置 的策略源地址選擇，出接口仍然是選擇e0/0 o行為選擇NAT（出接口 IP） NAT策略建立好之后，在 防火墻-策略 中需要新建訪問策略。源安全域選擇 trust ， 目的安全域選擇 untrust ，點(diǎn)擊 新建服務(wù)簿中選擇ANY即默認(rèn)允許所有的網(wǎng)絡(luò)應(yīng)用均可使用。 行為 默認(rèn)為 允許3 VPN配置設(shè)置完網(wǎng)絡(luò)端口的配置之后，開始設(shè)置VPN HillStone 的VPN設(shè)置跟5GT或者FVS

7、114t點(diǎn)區(qū)別，需要手工先設(shè)置合適的 P1提議和P2提議。點(diǎn)擊VPNh IPSecVPN集團(tuán)現(xiàn)在均使用在 P1 提 議 中 新 建 一 個 提 議 ， 如 gemdale-p1 pre-sharedkey-MD5-3DES-Group2 的加密策略。同樣的方式再新建一個 P2。選用ESP-MD5-3DES-NoPFS新建完P(guān)1和P2之后，開始新建一個IPSecVPN在IKEVPN歹U表中點(diǎn) 新建輸入對端名稱gemdale （可以隨便起名，不同防火墻設(shè)備均可以設(shè)置相同的名字。為方便識別，這里可以統(tǒng)一設(shè)置為gemdale） 。接口設(shè)置為對外連接的端口E/0。模式為野蠻模式（aggressive點(diǎn)擊

8、高級，增加DP的能：勾選對端存活體檢測（DPD設(shè)置好步驟1 之后，點(diǎn)擊步驟2：隧道為便于管理，隧道的名稱與本地ID 值一致。模式為tunnel ，提議名稱選用前面設(shè)置好的 gemdale-p2 。自動連接：配置自動連接功能。默認(rèn)情況下，該功能是關(guān)閉的，選擇啟用復(fù)選框開啟該功能。安全網(wǎng)關(guān)提供兩種觸發(fā)建立sa的方式：自動方式和流量觸發(fā)方式。自動方式時，設(shè)備每60秒檢查一次sa的狀態(tài)，如果sa未建立則自動發(fā)起協(xié)商請求；流量觸發(fā)方式時，當(dāng)有數(shù)據(jù)流量需要通過隧道進(jìn)行傳輸時，該隧道才發(fā)起協(xié)商請求。默認(rèn)情況下，系統(tǒng)使用流量觸發(fā)方式。為了訪問集團(tuán)內(nèi)網(wǎng)，需要制定一條不需要NAT轉(zhuǎn)換的策略。點(diǎn)擊 防火墻一NAT源

9、NAT,在源NAT列表中，新建一條高級配置在 源地址 的 地址簿 中選擇，這個就是安全網(wǎng)關(guān)的內(nèi)部網(wǎng)段。在 目的地址中，如果之前沒有在對象地址簿中建立過集團(tuán)總部網(wǎng)段的信息，則可以直接通過點(diǎn) 目的地址的地址簿，下拉菜單中會有新建】的提示點(diǎn)擊【新建】之后出現(xiàn)下面的地址簿配置界面。名稱起集團(tuán)總部，IP地址填 10.0.0建好集團(tuán)總部這個地址簿之后，在目的地址的地址簿中就可以選擇集團(tuán)總部。出接口選擇e0/0 ,行為選擇不做NAT除了建立一條訪問集團(tuán)總部內(nèi)網(wǎng)的NAT策略之外，還需要繼續(xù)新建 VPN訪問的策略。同樣，在防火墻-策略 中，選擇新建一條從trust到untrust的策略。源地址選擇，目的地址選擇

10、 集團(tuán)總部，行為選擇【隧道】，隧道中選擇之前在 VPN 建好的IPSECVPNft略。將雙向VPN®略構(gòu)選，這樣，就不需要再建一條從 untrust到trust的VPN防火墻 策略了（如果配置的時候忘記構(gòu)選該選項(xiàng)，則需要再新建一條untrust到trust的策略，行為則要選擇來自隧道）。此時，點(diǎn)防火墻一策略 可以看到之前設(shè)置好的 3條策略。如果新建策略的時候 順序反了，伊J如新建了 VPN的防火墻策略之后再建上網(wǎng)策略，則需要將點(diǎn)I將順序 對調(diào)一下。下圖為順序建反的情況，必須要將ANYSij ANY的策略放在VPN防火墻策略的下面，即將ID為1的策略放在ID為2的策略下面。4流量控制的

11、配置使用HillStone的最大目的則是利用其豐富的流量控制管理功能實(shí)現(xiàn)項(xiàng)目上的 網(wǎng)絡(luò)流量控制。默認(rèn)情況下，安全網(wǎng)關(guān)沒有打開應(yīng)用識別功能，需要在網(wǎng)絡(luò)一安全域中，將 trust或者untrust或者兩個安全域的應(yīng)用識別啟用。4.1 P2P限流對于P2P流量，可以實(shí)行限流。即允許用戶使用迅雷或者電驢等軟件，但流量做了特別的限制，例如只允許上下行帶寬為32kbps （相當(dāng)于4Kbyte/秒）。這里可 以根據(jù)各項(xiàng)目的實(shí)際情況而放寬流量的大小。在QoS-應(yīng)用QoS中添加一條控制策略。例如， 規(guī)則名稱 起名為gemdale-p2P 流量，接口綁定到bgroupl ,應(yīng)用選擇P2P下載、P2P視頻和HTTP

12、_Download（這里 的HTTP_Downloa曲非是指IE中的直接下載，而是指封堵迅雷中的 80端口 P2P下 載功能）。注意上行和下行。HillStone中對上行和下行的定義與在一些專業(yè)級路由器相似，即根據(jù)端口的進(jìn)出來決定上行還是下行。對于 bgroup1 , PC機(jī)的下載流量對于 這個端口而言是出去的流量，因此是上行流量；而PC機(jī)上傳的流量對于這個端口而言是進(jìn)到安全網(wǎng)關(guān)的流量，因此是下行流量。4.2 禁止P2P流量除了限流這種控制方式之外，我們也可以選擇直接禁止P2P流量。在對象-服務(wù)簿 中，新建一個自定義服務(wù)組，并將P2P所用到的協(xié)議劃分到該 服務(wù)組中。例如，組名可以起 禁止P2P

13、服務(wù)，組成員選擇P2P下載、P2P視頻和 HTTP_Download （這里的HTTP_Downloa班非是指IE中的直接下載，而是指封堵迅 雷中的80端口 P2P下載功能）。建好自定義服務(wù)組之后，在 防火墻一策略 中新建一條從trust到untrust的策 略，該策略用于禁止P2P流量的下載。在服務(wù)簿中選擇之前建好的 禁止P2P服務(wù),然后行為在選擇 拒絕。建好策略之后，可以看到新建的策略是位于默認(rèn)上網(wǎng)策略（ ID1）下面的，因 此，還需要將該禁止策略放在 ANY?U ANY策略的上面。點(diǎn)擊臺對其進(jìn)行調(diào)整。將該條策略規(guī)則移到默認(rèn)上網(wǎng)策略（ID1 ）的前面 移完之后再確認(rèn)一下配置是否正確4.3

14、IP 流量控制除了控制P2P 流量之外，我們還要對單個IP 進(jìn)行流量控制。這是基于一下幾點(diǎn)考慮的：1、 有可能 P2P 的軟件不斷更新，而安全網(wǎng)關(guān)的應(yīng)用特征庫沒有及時更新，可能會導(dǎo)致新的 P2P流量出現(xiàn)從而導(dǎo)致帶寬資源全部被占用；2、 PC也有可能中病毒而產(chǎn)生大流量從而導(dǎo)致帶寬資源全部被占用；3、 用戶有可能通過IE 直接下載一些大流量的軟件在QoS- IPQoS中新建一個規(guī)則。 規(guī)則名稱 起名gemdale-qos ;接口綁定到bgroup1 ； IP 地址 從 地址簿 的下拉菜單中選擇；對于項(xiàng)目部，大多數(shù)都是選用2M的ADSL（下載到2M上傳到5122,因此, 可以考慮將每個IP的流量限制

15、在上行 400kbps,下行100kbps。注意 上行 和 下行 。 HillStone 中對上行和下行的定義與在一些專業(yè)級路由器相似，即根據(jù)端口的進(jìn)出來決定上行還是下行。對于 bgroup1 , PC機(jī)的下載流 量對于這個端口而言是出去的流量， 因此是上行流量；而PC機(jī)上傳的流量對于 這個端口而言是進(jìn)到安全網(wǎng)關(guān)的流量，因此是下行流量。4.4 時間的設(shè)置如果需要設(shè)置人性化的流量管理，可以考慮將時間考慮進(jìn)去。例如，可以計(jì)劃每天早上8: 30到晚上8點(diǎn)半這個時間段禁止（或者限流）進(jìn)行P2P的下載。在 對象時間表里新建一個時間表。在防火墻策略 中找到禁止P2P服務(wù)的規(guī)則，對它進(jìn)行編輯，并將 時間表的

16、下 拉菜單中選擇之前新建的時間表規(guī)則。如果是限流P2P流量的設(shè)置，則在 QoS-應(yīng)用Qos中將上下行的時間表選中如果是對IP限流，則在QoS- IPQoS中增加上下行的時間表4.5 統(tǒng)計(jì)功能默認(rèn)情況下，安全網(wǎng)關(guān)沒有將流量情況進(jìn)行統(tǒng)計(jì)，需要根據(jù)實(shí)際情況開啟自己所需的功能。在 監(jiān)控統(tǒng)計(jì)集里，構(gòu)選接口 IP 應(yīng)用帶寬。 （如果需要一登錄安全網(wǎng)關(guān)即可在首頁里看到統(tǒng)計(jì)，則還需要構(gòu)選系統(tǒng)全局統(tǒng)計(jì)中的IP 上下行帶寬等。構(gòu)選完畢之后，在 監(jiān)控一統(tǒng)計(jì)集 里可以選擇bgroupl看到項(xiàng)目上PC使用網(wǎng)絡(luò)的情況。首頁的界面可以看到前10IP 的上下行帶寬。不過，所有這些監(jiān)控菜單中的統(tǒng)計(jì)數(shù)據(jù)均存放在設(shè)備的緩存中而已，一旦安全網(wǎng)關(guān)重啟則全部丟失。如果配合HlllStone的HSMR管平臺則可以解決這個問題。5 基礎(chǔ)配置新設(shè)備購買過來之后，license 一般都還沒更新，需要讓供應(yīng)商將合法的License發(fā)給我們后自行更新。2010 年 1 月 1 日之后，License 至少有兩個，一個是基礎(chǔ)平臺，一個是QOS升級如下：上圖是兩個License 。升級的時候?qū)icense: 開頭