Hillstone山石網(wǎng)科基礎配置手冊50

1、Hillstone山石網(wǎng)科基礎配置手冊50Hillstone山石網(wǎng)科基礎配置手冊5050/50Hillstone山石網(wǎng)科基礎配置手冊50Hillstone山石網(wǎng)科多核安全網(wǎng)關基礎配置手冊version5.0目錄第1章設施管理1設施管理介紹.1終端Console登錄1WebUI方式登錄1恢復出廠設置.2經(jīng)過CLI方式2經(jīng)過WebUI方式2經(jīng)過CLR按鍵方式4StoneOS版本升級4經(jīng)過網(wǎng)絡快速升級StoneOS（TFTP）4經(jīng)過WebUI方式升級StoneOS6允許證安裝8經(jīng)過CLI方式安裝8經(jīng)過WebUI方式安裝8第2章基礎上網(wǎng)配置10基礎上網(wǎng)配置介紹10接口配置10路由配置11策略配置13源

2、NAT配置14第3章常用功能配置16常用配置介紹.16PPPoE配置.16DHCP配置18IP-MAC綁定配置20端到端IPsecVPN配置22SCVPN配置29DNAT配置37一對一IP映照37一對一端口映照40多對多端口映照43一對多映照（服務器負載平衡）46第4章鏈路負載平衡48鏈路負載平衡介紹48鑒于目的路由的負載平衡49鑒于源路由的負載平衡50智能鏈路負載平衡50第5章QoS配置53QoS介紹53IPQoS配置53應用QoS配置55混淆QoS配置58QoS白名單配置59第6章網(wǎng)絡行為控制60URL過濾（有URL允許證）60配置自定義URL庫63URL過濾（無URL允許證）64網(wǎng)頁重點

3、字過濾65網(wǎng)絡聊天控制.69第7章VPN高級配置.72鑒于USBKey的SCVPN配置72新建PKI相信域72配置SCVPN77制作USBKey78使用USBKey方式登錄SCVPN80PnPVPN83用戶配置83IKEVPN配置85地道接口配置89路由配置90策略配置91PnPVPN客戶端配置92第8章高靠譜性94高靠譜性介紹.94高靠譜性配置.95對于本手冊手冊內(nèi)容本手冊為Hillstone山石網(wǎng)科多核安全網(wǎng)關的基礎配置手冊，對Hillstone山石網(wǎng)科多核安全網(wǎng)關的主要功能模塊配置進行介紹，幫助用戶快速掌握安全網(wǎng)關的WebUI配置。合用于StoneOS5.0以及以上版本。詳細內(nèi)容包含：第

4、1章：設施管理。介紹登錄方式、StoneOS升級以及允許證安裝等。第2章：基礎上網(wǎng)配置。介紹接口、路由、策略等基本上網(wǎng)配置。第3章：常用功能配置。介紹PPPoE撥號、動向地點分派DHCP、DNAT等配置。第4章：鏈路負載平衡。介紹鑒于目的路由、源路由、策略路由的流量負載配置等。第5章：QoS配置。介紹QoS功能及配置。第6章：網(wǎng)絡行為控制配置。介紹URL過濾、網(wǎng)頁重點字以及網(wǎng)絡聊天控制配置。第7章：VPN高級配置。介紹鑒于USBKey的SCVPN配置以及PnPVPN配置。第8章：高靠譜性。介紹高靠譜性（HA）的配置。手冊商定為方便用戶閱讀與理解，本手冊依據(jù)以下商定：內(nèi)容商定本手冊內(nèi)容商定以下：

5、提示：為用戶供給有關參照信息。說明：為用戶供給有助于理解內(nèi)容的說明信息。注意：假如該操作不正確，會致使系統(tǒng)犯錯。：用該方式表示Hillstone設施WebUI界面上的鏈接、標簽或許按鈕。比如，“點擊登錄按鈕進入Hillstone設施的主頁”。：用該方式表示W(wǎng)ebUI界面上供給的文本信息，包含單項選擇按鈕名稱、復選框名稱、文本框名稱、選項名稱以及文字描繪。比如，“改變MTU值，選中單項選擇按鈕，而后在文本框中輸入適合的值”。Hillstone山石網(wǎng)科基礎配置手冊第1章設施管理設施管理介紹為方便管理員管理與配置，安全網(wǎng)關支持當?shù)兀–onsole口）與遠程（Telnet、SSH、HTTP以及HTTP

6、S）兩種環(huán)境配置方法，能夠經(jīng)過CLI和WebUI兩種方式進行配置。終端Console登錄經(jīng)過Console口，用戶可登錄安全網(wǎng)關設施的CLI，進而使用命令行對設施進行配置。在計算機上運轉(zhuǎn)終端仿真程序（系統(tǒng)的超級終端、SecureCRT等）成立與安全網(wǎng)關的連結。依據(jù)表1配置終端參數(shù)：表1：配置終端參數(shù)參數(shù)數(shù)值波特率9600bit/s數(shù)據(jù)位8奇偶校驗無停止位1WebUI方式登錄WebUI是最方便、直觀、簡單的配置方式，WebUI同時支持http和https兩種接見方式。安全網(wǎng)關的ethernet0/0接口配有默認IP地點，首次使用安全網(wǎng)關時，用戶可以經(jīng)過該接口接見安全網(wǎng)關的WebUI頁面。請依據(jù)以

7、下步驟：1.將管理PC的IP地點設置為與同網(wǎng)段的IP地點，而且用網(wǎng)線將管理PC與安全網(wǎng)關的ethernet0/0接口進行連結。2.在管理PC的Web閱讀器中輸入地點“”并按回車鍵。出現(xiàn)登錄頁面以下列圖所示。1Hillstone山石網(wǎng)科基礎配置手冊恢復出廠設置Hillstone山石網(wǎng)科供給三種方法恢復設施的出廠配置，分別是：命令行：經(jīng)過CLI使用命令進行恢復WebUI：經(jīng)過WebUI消除配置以恢復出廠配置物理方法：使用設施的CLR按鍵進行恢復經(jīng)過CLI方式經(jīng)過CLI使用命令恢復出廠設置，請依據(jù)以下步驟進行操作：1.在履行模式下，使用unsetall命令。依據(jù)提示，選擇能否保留目前配置：y/n。選

8、擇能否重啟設施：y/n。系統(tǒng)重啟后即出廠配置恢復完成。經(jīng)過WebUI方式經(jīng)過WebUI恢復出廠配置，請依據(jù)以下步驟進行操作：1.經(jīng)過WebUI方式登錄StoneOS，從工具欄的下拉菜單項選擇擇配置備份復原。2Hillstone山石網(wǎng)科基礎配置手冊以下列圖所示：在彈出的對話框，選擇單項選擇按鈕，并點擊下一步按鈕。3.選擇能否重啟設施。為使配置奏效，用戶需從頭啟動設施。選擇單項選擇按鈕，并點擊達成按鈕。3Hillstone山石網(wǎng)科基礎配置手冊全部配置將會被消除，而后設施將自動重啟。經(jīng)過CLR按鍵方式使用CLR按鍵恢復出廠配置，請依據(jù)以下步驟進行操作：封閉安全網(wǎng)關的電源。2.用針狀物按住CLR按鍵的

9、同時翻開安全網(wǎng)關的電源。3.保持按住狀態(tài)直到指示燈STA和ALM均變成紅色常亮，開釋CLR按鍵。此時系統(tǒng)開始恢復出廠配置。4.出廠配置恢復完成，系統(tǒng)將會自動從頭啟動。StoneOS版本升級經(jīng)過網(wǎng)絡快速升級StoneOS（TFTP）Sysloader能夠從TFTP服務器獲取StoneOS，進而保證用戶能夠經(jīng)過網(wǎng)絡快速升級StoneOS。請依據(jù)以下步驟進行操作：給設施上電依據(jù)提示按ESC鍵而且進入Sysloader。參照以下操作提示：HILLSTONENETWORKSHillstoneBootloader1.3.2Aug142008-19:09:37DRAM:2048MBBOOTROM:512KB

10、4Hillstone山石網(wǎng)科基礎配置手冊PressESCtostopautoboot:4（5秒倒計時結束前按“ESC”鍵）Runon-boardsysloader?y/n:y（鍵入字母“y”或許敲回車鍵）Loading:#2.從Sysloader的操作選擇菜單項選擇擇經(jīng)過TFTP升級StoneOS。參照以下操作提示：Sysloader1.2.13Aug142008-16:53:42LoadfirmwareviaTFTPLoadfirmwareviaFTPLoadfirmwarefromUSBdisks(notavailable)SelectbackupfirmwareasactiveShowo

11、n-boardfirmwareResetPleaseselect:1（在此處鍵入“1”并敲回車鍵）3.保證設施與控制主機的連通性，并將需升級的StoneOS拷貝到指定目錄下。4.挨次配置Sysloader的IP地點、TFTP服務器的IP地點、網(wǎng)關IP地點以及StoneOS名稱。參照以下操作提示：Localipaddress:（輸入Sysloader的IP地點并敲回車鍵）Serveripaddress:（輸入TFTP服務器的IP地點并敲回車鍵）Gatewayipaddress:（假如Sysloader與TFTP服務器的IP地址不屬于同一個網(wǎng)段，輸入網(wǎng)關的IP地點并敲回車鍵；不然直接敲回車鍵）Fi

12、lename:StoneOS-3.5R2（輸入StoneOS名稱并敲回車鍵，系統(tǒng)開始經(jīng)過TFTP獲5Hillstone山石網(wǎng)科基礎配置手冊取StoneOS）#保留StoneOS。參照以下操作提示：Filetotallength10482508Checkingtheimage.VerifiedOKSavethisimage?y/n:y（鍵入字母“y”或許敲回車鍵，保留獲取的StoneOS）SavingSetStoneOS-3.5R2asactivebootimage重啟。系統(tǒng)將使用新的StoneOS啟動。參照以下操作提示：PleaseresetboardtobootthisimageLoadfi

13、rmwareviaTFTPLoadfirmwareviaFTPLoadfirmwarefromUSBdisks(notavailable)SelectbackupfirmwareasactiveShowon-boardfirmwareResetPleaseselect:6（在此處鍵入“6”并敲回車鍵，系統(tǒng)開始重啟）設施的Flash中最多能夠儲藏兩個StoneOS。假如Flash中已經(jīng)保留了兩個StoneOS，請依據(jù)提示對儲藏的StoneOS進行刪除。經(jīng)過WebUI方式升級StoneOS經(jīng)過WebUI方式登錄StoneOS，從工具欄的下拉菜單項選擇擇版本升級。以下列圖所示：2.在彈出的對話框，選

14、擇單項選擇按鈕，并點擊下一步按鈕。6Hillstone山石網(wǎng)科基礎配置手冊3.在下拉菜單中選擇一個軟件版本做為備份，而后點擊后的閱讀按鈕并在當?shù)豍C選擇新的軟件版本文件。點擊下一步。依據(jù)需要，選擇單項選擇按鈕，并點擊達成按鈕。為使配置奏效，用戶需從頭啟動設施。7Hillstone山石網(wǎng)科基礎配置手冊注意：假如選擇暫不從頭啟動設施，將會在下次從頭啟動設施后加載新版本StoneOS。允許證安裝經(jīng)過CLI方式安裝經(jīng)過CLI使用命令安裝允許證，請依據(jù)以下步驟進行操作：1.登錄StoneOS，在履行模式下，使用execlicenseinstalllicense-string命令（license-stri

15、ng要安裝的允許證字符串。輸入“l(fā)icense：”后的字符串）。以下圖所示：2.依據(jù)系統(tǒng)提示重啟后即達成允許證安裝。經(jīng)過WebUI方式安裝經(jīng)過WebUI安裝允許證，請依據(jù)以下步驟進行操作：經(jīng)過WebUI方式登錄StoneOS，從工具欄的下拉菜單項選擇擇允許證。以下列圖所示：8Hillstone山石網(wǎng)科基礎配置手冊在彈出的對話框中，允許證列表可查察目前系統(tǒng)允許證的種類和有效時間。在處，用戶可依據(jù)需要，選擇手動輸入允許證懇求或選擇上傳當?shù)匚募?上傳允許證文件：選中單項選擇按鈕（允許證為純文本.txt文件），點擊閱讀按鈕，而且選中允許證文件；?手動輸入：選中單項選擇按鈕，而后將允許證字符串內(nèi)容（包

16、含“l(fā)icense：”及以后內(nèi)容）輸入到對應的文本框。點擊確立按鈕保留所做配置，而且重啟設施達成允許證的安裝。9Hillstone山石網(wǎng)科基礎配置手冊第2章基礎上網(wǎng)配置基礎上網(wǎng)配置介紹為使設施實現(xiàn)正常上網(wǎng)，基本配置包含接口、路由、策略以及源NAT的配置。接口配置接口配置，請依據(jù)以下步驟進行操作：1.經(jīng)過WebUI方式登錄StoneOS，從頁面左邊導航樹選擇并點擊“配置-網(wǎng)絡-網(wǎng)絡連結”，進入網(wǎng)絡連結頁面。從接口列表中選中需要編寫的接口，雙擊或許點擊列表右上方的編寫按鈕。在彈出的對話框?qū)涌谶M行編寫:綁定安全域：指定接口的安全域種類。三層接口選擇三層安全域，二層接口選擇二層安全域；安全域：選擇安

17、全域名稱。一般狀況下，內(nèi)網(wǎng)選擇trust或l2-trust；外網(wǎng)選擇untrust10Hillstone山石網(wǎng)科基礎配置手冊或l2-untrust。IP配置：為接口配置IP地點有關信息。管理方式：指定接口的管理方式。在部分選中需要的管理方式的復選框。提示：假如外網(wǎng)接口使用PPPoE撥號方式接入，對于接口的配置請參閱PPPoE配置。路由配置路由配置，請依據(jù)以下步驟進行操作：1.經(jīng)過WebUI方式登錄StoneOS，從頁面左邊導航樹選擇并點擊“配置-網(wǎng)絡-路由”，進入路由頁面。點擊目的路由標簽，進入目的路由頁面。3.從下拉菜單項選擇擇一個VR，新建的路由將屬于該VR，默以為“trust-vr”。4

18、.點擊目的路由列表左上角的新建按鈕，彈出對話框，在該對話框?qū)δ康穆酚蛇M行編寫：?目的地：指定路由條目的目的IP。?子網(wǎng)掩碼：指定路由條目的目的IP對應的子網(wǎng)掩碼。11Hillstone山石網(wǎng)科基礎配置手冊?下一跳：指定下一跳種類，選中或單項選擇按鈕。若選擇，需在文本框中輸入網(wǎng)關IP地點。若選擇，需在下拉菜單中選擇接口名稱。假如該接口為tunnel的時候，需要在可選欄輸入tunnel對端的網(wǎng)關地點。如：下一跳網(wǎng)關指定為（由營運商供給網(wǎng)關地點）。優(yōu)先權：該參數(shù)取值越小，優(yōu)先級越高，而在有多條路由選擇的時候，優(yōu)先級高的路由會被優(yōu)先使用。取值范圍是1到255，默認值為1。當優(yōu)先級為255時，該路由無效

19、。?路由權值：路由權值決定負載平衡中流量轉(zhuǎn)發(fā)的比重。范圍是1到255，默認值是1。用戶能夠依據(jù)需要，在文本框中指定目的路由的描繪信息。點擊確立按鈕，達成新建目的路由。12Hillstone山石網(wǎng)科基礎配置手冊策略配置策略配置，請依據(jù)以下步驟進行操作：1.經(jīng)過WebUI方式登錄StoneOS，從頁面左邊導航樹選擇并點擊“配置-安全-策略”，進入策略頁面。點擊列表左上角的新建按鈕，彈出對話框，在該對話框?qū)Σ呗砸?guī)則進行編輯。基本選項包含策略的源/目的安全域和源/目的地點的選擇，以及服務、時間表、用戶、行為和策略描繪的指定。13Hillstone山石網(wǎng)科基礎配置手冊配置達成后，點擊確立按鈕保留所做配置

20、并返回策略頁面。源NAT配置源NAT配置，請依據(jù)以下步驟進行操作：1.經(jīng)過WebUI方式登錄StoneOS，從頁面左邊導航樹選擇并點擊“配置-網(wǎng)絡-NAT”，進入源NAT頁面。2.點擊源NAT列表中的新建按鈕，彈出對話框。在該對話框?qū)υ碞AT規(guī)則進行編寫。14Hillstone山石網(wǎng)科基礎配置手冊配置達成后，點擊確立按鈕保留所做配置。15Hillstone山石網(wǎng)科基礎配置手冊第3章常用功能配置常用配置介紹本章介紹Hillstone山石網(wǎng)科多核安全網(wǎng)關的一些常用功能配置，包含PPPoE、DHCP、IP-MAC綁定、端到端IPsecVPN、SCVPN、DNAT等配置。PPPoE配置PPPoE配置，

21、請依據(jù)以下步驟進行操作：1.經(jīng)過WebUI方式登錄StoneOS，從頁面左邊導航樹選擇并點擊“配置-網(wǎng)絡-網(wǎng)絡連結”，進入網(wǎng)絡連結頁面。從接口列表中選中需要編寫的接口，雙擊或許點擊列表右上方的編寫按鈕。在彈出的對話框?qū)涌谶M行編寫。點擊確立按鈕保留所做配置并返回網(wǎng)絡連結頁面。5.從頁面右邊協(xié)助欄的區(qū)選擇PPPoE列表鏈接，彈出對話框。6.點擊頁面左上角的新建按鈕，彈出對話框。在該對話框進行配置。16Hillstone山石網(wǎng)科基礎配置手冊配置達成點擊確立按鈕并返回PPPoE列表對話框。選中需要連結/斷開的PPPoE實例，而后點擊頁面左上角的連結按鈕。17Hillstone山石網(wǎng)科基礎配置手冊DH

22、CP配置DHCP配置，請依據(jù)以下步驟進行操作：1.經(jīng)過WebUI方式登錄StoneOS，從頁面左邊導航樹選擇并點擊“配置-網(wǎng)絡-網(wǎng)絡連結”，進入網(wǎng)絡連結頁面。2.從頁面右邊協(xié)助欄的區(qū)選擇DHCP列表鏈接，彈出對話框。在該對話框?qū)HCP進行編寫：接口：選擇應用DHCP服務器功能的接口。種類：選中單項選擇按鈕?；九渲茫涸跇撕烅搶HCP的基本屬性進行配置。18Hillstone山石網(wǎng)科基礎配置手冊3.配置達成點擊確立按鈕并返回DHCP列表對話框。而且將用戶pc或許互換機連結在相應端口，即可獲取IP地點。19Hillstone山石網(wǎng)科基礎配置手冊IP-MAC綁定配置IP-MAC綁定配置，請依據(jù)以

23、下步驟進行操作：1.經(jīng)過WebUI方式登錄StoneOS，從頁面左邊導航樹選擇并點擊“配置-安全-ARP防備”，進入ARP防備頁面。2.從靜態(tài)IP-MAC綁定條目列表中選中需要綁定的IP-MAC條目，雙擊或許點擊列表上方的編寫按鈕，彈出對話框。3.在對話框中，選中復選框開啟IP-MAC綁定，并點擊確定按鈕保留配置。20Hillstone山石網(wǎng)科基礎配置手冊默認狀況下，安全網(wǎng)關的ARP學習功能是開啟的，IP-MAC綁定成功后，還需要封閉接口的ARP學習功能。5.從頁面左邊導航樹選擇并點擊“配置-網(wǎng)絡-網(wǎng)絡連結”，進入網(wǎng)絡連結頁面，從接口列表中選中需要編寫的接口，雙擊或許點擊列表右上方的編寫按鈕。

24、6.在彈出的對話框中，點擊屬性標簽，在部分撤消選中ARP學習后的啟用復選框開啟接口的ARP學習功能。21Hillstone山石網(wǎng)科基礎配置手冊端到端IPsecVPN配置在Hillstone安全網(wǎng)關A和Hillstone安全網(wǎng)關B之間成立一個安全地道，PC1作為Hillstone安全網(wǎng)關A端的主機，PC2作為Hillstone安全網(wǎng)關B端的主機，兩頭的公網(wǎng)IP都是固定的狀況下，配置端到端的IPsecVPN，拓補圖以下：使用IKEVPN即自動磋商方式配置IPsecVPN，配置包含：配置P1建議配置VPN對端配置P2建議配置地道22Hillstone山石網(wǎng)科基礎配置手冊綁定接口到地道配置地道路由和策

25、略詳細配置。請依據(jù)以下步驟進行操作：1.配置P1建議。經(jīng)過WebUI方式登錄StoneOS，從頁面左邊導航樹選擇并點擊“配置-網(wǎng)絡-IPsecVPN”，進入IPsecVPN頁面。點擊P1建議標簽，進入P1建議標簽頁。2.點擊P1建議列表左上方的新建按鈕，彈出對話框。在該對話框進行編寫：建議名稱：指定或許顯示P1建議的名稱。認證：指定IKE身份認證的方式?？甲C算法：為P1建議指定考證算法。選中所需考證算法的單項選擇按鈕。加密算法：為P1建議指定加密算法。DH組：為P1建議選擇DH組。?生計時間：指定SA第一階段的生命周期長度，單位為秒。默認86400秒。3.配置VPN對端。在IPsecVPN頁面

26、，點擊VPN對端列表標簽，進入VPN對端列表標簽頁。4.點擊VPN對端列表左上方的新建按鈕，彈出對話框。在該對話框?qū)PN對端進行基本配置。23Hillstone山石網(wǎng)科基礎配置手冊注意：假如在設施前還有其余NAT設施，需在標簽下配置NAT穿越功能。5.配置P2建議。在IPsecVPN頁面，點擊P2建議標簽，進入P2建議標簽頁。6.點擊P2建議列表左上方的新建按鈕，彈出對話框。在該對話框進行P2建議配置。24Hillstone山石網(wǎng)科基礎配置手冊配置地道。在IPsecVPN頁面，點擊IKEVPN列表左上方的新建按鈕，彈出對話框。8.在部分派置各選項。點擊后邊的導入按鈕，并在下拉菜單項選擇擇已配

27、置的VPN對端名稱，導入系統(tǒng)中已配置的VPN對端參數(shù)。9.點擊，配置地道有關選項。25Hillstone山石網(wǎng)科基礎配置手冊注意：地道配置達成后，需要流量觸發(fā)VPN連結。假如需要自動連結，請在標簽下配置自動連結功能。10.綁定接口到地道。從主頁面左邊導航樹選擇并點擊“配置-網(wǎng)絡-網(wǎng)絡連結”，進入網(wǎng)絡連結頁面。點擊接口列表左上角的新建按鈕，從下拉菜單中選擇并點擊，系統(tǒng)彈出對話框。在該對話框綁定接口到地道。26Hillstone山石網(wǎng)科基礎配置手冊11.配置地道路由和策略。從頁面左邊導航樹選擇并點擊“配置-網(wǎng)絡-路由”，進入目的路由頁面。點擊目的路由列表左上角的新建按鈕，彈出對話框，在該對話框?qū)δ?/p>

28、的路由進行編寫。12.從頁面左邊導航樹選擇并點擊“配置-安全-策略”，進入策略頁面。點擊列表左上角的新建按鈕，彈出對話框，在該對話框?qū)Σ呗砸?guī)則進行編寫。27Hillstone山石網(wǎng)科基礎配置手冊配置達成后，安全網(wǎng)關B也依據(jù)步驟1-12進行配置。14.達成以上配置后，安全網(wǎng)關A和安全網(wǎng)關B之間的安全地道便成立成功了。從IPsecVPN頁面右邊協(xié)助欄的區(qū)選擇ISAKMPSA/IPsecSA/鏈接，查察VPN監(jiān)控結果。28Hillstone山石網(wǎng)科基礎配置手冊SCVPN配置為解決遠程用戶安全接見私網(wǎng)數(shù)據(jù)的問題，安全網(wǎng)關供給鑒于SSL的遠程登錄解決方案SecureConnectVPN，簡稱為SCVPN

29、。SCVPN功能能夠經(jīng)過簡單易用的方法實現(xiàn)信息的遠程連通。SCVPN配置，請依據(jù)以下步驟進行操作：1.經(jīng)過WebUI方式登錄StoneOS，從頁面左邊導航樹選擇并點擊“配置-網(wǎng)絡-SSLVPN”，進入SCVPN頁面。2.點擊SCVPN列表左上角的新建按鈕或許從頁面右邊協(xié)助欄的區(qū)選擇新建SSLVPN鏈接，彈出對話框。3.閱讀內(nèi)容，并在文本框中指定SCVPN名稱。29Hillstone山石網(wǎng)科基礎配置手冊點擊下一步按鈕進入配置頁面。在該頁面配置用于客戶端用戶身份認證的AAA服務器。點擊下一步按鈕進入配置頁面。在該頁面配置設施端接口、地道接口和地點池。30Hillstone山石網(wǎng)科基礎配置手冊注意：

30、地道接口地點和地點池一定在同一網(wǎng)段，且地點池地點段中不可以包含地道接口地點。在配置頁面下拉菜單中選擇系統(tǒng)中已配置的地道接口；或許選中下拉菜單中的選項，在彈出的對話框中新建地道接口；還可以在下拉菜單中選中系統(tǒng)中已配置的地道接口，而后點擊配置按鈕，在彈出的對話框中編寫該地道接口。31Hillstone山石網(wǎng)科基礎配置手冊7.在配置頁面下拉菜單中選擇系統(tǒng)中已配置的地點池；或許，選中下拉菜單中的選項，在彈出的對話框中新建地點池；還能夠在下拉菜單中選中系統(tǒng)中已配置的地點池，而后點擊配置按鈕，在彈出的對話框中編寫該地點池。32Hillstone山石網(wǎng)科基礎配置手冊8.點擊下一步按鈕進入頁面。在該頁面配置策

31、略規(guī)則和地道路由。注意：系統(tǒng)會自動創(chuàng)立一條源安全域是VPNHub，目的安全域是Any的策略；地道路由即為遠程撥入用戶需要接見的內(nèi)網(wǎng)資源網(wǎng)段。9.如需要，點擊頁面右下方的高級配置按鈕，進行SCVPN高級參數(shù)配置，包含參數(shù)配置、客戶端/USBKey配置、主機檢測/綁定配置、短信口令認證配置和最優(yōu)路徑檢測配置。33Hillstone山石網(wǎng)科基礎配置手冊參數(shù)配置保持默認即可。成立登錄取戶。從工具欄的下拉菜單項選擇擇當?shù)赜脩?，彈出對話框?1.選中下拉菜單中的用戶按鈕，彈出對話框。在基本配置標簽頁，進行用戶名稱和密碼的配置。34Hillstone山石網(wǎng)科基礎配置手冊12.Web方式（用戶名/密碼）啟動S

32、CVPN。在IE閱讀器的地點欄輸入以下URL接見設施端：https:/IP-Address:Port-Number（默以為4433）。閱讀器轉(zhuǎn)到登錄頁面，輸入用戶名和密碼，并點擊登錄按鈕。14.下載并啟動SCVPN客戶端（用戶名/密碼）。使用Web方式登錄后，下載并安裝客戶35Hillstone山石網(wǎng)科基礎配置手冊端程序HillstoneSecureConnect。15.達成安裝后，雙擊桌面的HillstoneSecureConnect快捷方式，或許點擊“開始菜單”中的“全部程序HillstoneSecureConnectHillstoneSecureConnect，系”36Hillstone

33、山石網(wǎng)科基礎配置手冊統(tǒng)彈出登錄對話框，點擊對話框中的模式按鈕，系統(tǒng)彈出對話框（以下列圖所示）。選中單項選擇按鈕，點擊確立按鈕。16.在彈出的“用戶名/密碼”登錄模式客戶端程序登錄對話框，挨次填寫服務器地點、端口號、用戶名以及密碼，而后點擊登錄按鈕。DNAT配置目的地點映照主要用于將內(nèi)網(wǎng)的服務器對外進行公布（如HTTP服務，F(xiàn)TP服務，數(shù)據(jù)庫服務等），使外網(wǎng)用戶能夠經(jīng)過外網(wǎng)地點接見需要公布的服務。常用的DNAT映照有一對一IP映照，一對一端口映照，多對多端口映照，一對多映照。一對一IP映照配置舉例：將公網(wǎng)地點映照到內(nèi)網(wǎng)地點請依據(jù)以下步驟進行配置：創(chuàng)立兩個地點簿（內(nèi)網(wǎng)地點和外網(wǎng)地點）。從工具欄的下拉菜單項選擇擇地點簿，彈出對話框。點擊新建按鈕，彈出對話框。37Hillstone山石網(wǎng)科基礎配置手冊注意：針對此配置舉例，掩碼一定填寫32。同步驟1，創(chuàng)立內(nèi)網(wǎng)地點簿。3.新建目的NATIP映照規(guī)則。從頁面左邊導航樹選擇并點擊“配置-網(wǎng)絡-NAT”，進入源NAT頁面。點擊目的NAT標簽，進入目的NAT頁面。點擊目的NAT列表中的新建按鈕，并在彈出的下拉菜單中選擇IP映照，彈出對話框。38Hillstone山石網(wǎng)科基礎配置手冊查察接口所在安全域。點擊目的NAT列表中的新建按鈕，并在彈出的下