Hillstone基本部署培訓(xùn)文檔_第1頁
Hillstone基本部署培訓(xùn)文檔_第2頁
Hillstone基本部署培訓(xùn)文檔_第3頁
Hillstone基本部署培訓(xùn)文檔_第4頁
Hillstone基本部署培訓(xùn)文檔_第5頁
已閱讀5頁,還剩83頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

安全網(wǎng)關(guān)基本部署成都辦事處向明旺第一頁,共八十八頁。日程安排產(chǎn)品簡介準(zhǔn)備工作安全策略網(wǎng)絡(luò)地址轉(zhuǎn)換流量管理報(bào)表統(tǒng)計(jì)第二頁,共八十八頁。一、產(chǎn)品簡介系統(tǒng)簡介功能組件接口、安全域、、、防火墻策略功能介紹交換&路由

防火墻策略控制

(扛攻擊)

注意:以上所列出的通用功能在所有硬件平臺(tái)及版本上均支持,前提是具備相應(yīng)的。第三頁,共八十八頁。報(bào)文處理流程系統(tǒng)架構(gòu)第四頁,共八十八頁。報(bào)文處理流程系統(tǒng)架構(gòu)第五頁,共八十八頁。防火墻報(bào)文處理流程接口和安全域綁定關(guān)系第六頁,共八十八頁。報(bào)文處理流程接口和安全域綁定應(yīng)用案例第七頁,共八十八頁。報(bào)文處理流程第八頁,共八十八頁。二、準(zhǔn)備工作通過完成此章節(jié)課程,您將可以實(shí)現(xiàn):完成設(shè)備基本管理搭建基本實(shí)驗(yàn)環(huán)境第九頁,共八十八頁。管理接口用戶管理接口類型::

:第十頁,共八十八頁。不同管理方式支持本地與遠(yuǎn)程兩種環(huán)境配置方法,可以通過和兩種方式進(jìn)行配置支持、、、、管理參數(shù)數(shù)值波特率9600數(shù)據(jù)位8停止位1校驗(yàn)/流控?zé)o參數(shù)數(shù)值接口0/0用戶名密碼管理192.168.1.1第十一頁,共八十八頁。圖形化管理界面基于瀏覽器的管理方式簡單靈活,可以完成常用的各種配置。準(zhǔn)備工作:安全網(wǎng)關(guān)設(shè)備的e0/0接口配有默認(rèn)地址192.168.1.1,該接口的各種管理功能均為開啟狀態(tài)。初次使用可以通過該接口管理設(shè)備,具體操作為:將管理的地址設(shè)置為與192.168.1.1/24同網(wǎng)段的地址,打開的瀏覽器,輸入設(shè)備默認(rèn)管理員用戶名及密碼均為“”登陸后第十二頁,共八十八頁。界面初始頁面結(jié)構(gòu)導(dǎo)航菜單設(shè)備面板的端口連接狀態(tài)、內(nèi)存、會(huì)話數(shù)等設(shè)備運(yùn)行情況設(shè)備基本信息,包括:序列號(hào)、運(yùn)行時(shí)間、軟件版本、及特征庫版本等第十三頁,共八十八頁。搭建基本實(shí)驗(yàn)環(huán)境基本配置步驟:配置接口配置默認(rèn)路由配置允許訪問策略第十四頁,共八十八頁。1)配置接口網(wǎng)絡(luò)>接口編輯網(wǎng)絡(luò)>接口點(diǎn)擊需配置接口右側(cè)編輯按鈕第十五頁,共八十八頁。2)配置默認(rèn)路由網(wǎng)絡(luò)>路由>目的路由新建第十六頁,共八十八頁。3)配置上網(wǎng)策略防火墻>策略點(diǎn)擊需配置接口右側(cè)編輯按鈕內(nèi)部上網(wǎng)是從到的訪問,因此創(chuàng)建從內(nèi)到外的訪問策略防火墻>策略點(diǎn)擊需配置接口右側(cè)編輯按鈕“源地址”處選擇要被限制的地址范圍,若選擇“”則會(huì)對(duì)經(jīng)過設(shè)備的所有地址有效第十七頁,共八十八頁。配置系統(tǒng)管理員系統(tǒng)管理安全網(wǎng)關(guān)設(shè)備由系統(tǒng)管理員()管理、配置。系統(tǒng)管理員的配置包括創(chuàng)建管理員、配置管理員的特權(quán)、配置管理員密碼、以及管理員的訪問方式。安全網(wǎng)關(guān)擁有一個(gè)默認(rèn)管理員“”,用戶可以對(duì)管理員“”進(jìn)行編輯,但是不能刪除該管理員。管理員分為讀寫執(zhí)行權(quán)限管理員、只讀執(zhí)行權(quán)限管理員。第十八頁,共八十八頁。配置系統(tǒng)管理員系統(tǒng)>設(shè)備管理>基本信息第十九頁,共八十八頁。配置系統(tǒng)管理員系統(tǒng)>設(shè)備管理>基本信息新建第二十頁,共八十八頁。配置文件管理系統(tǒng)>配置管理員可以導(dǎo)入、導(dǎo)出或者將系統(tǒng)恢復(fù)出廠配置當(dāng)前配置窗口提供對(duì)配置的方式查閱第二十一頁,共八十八頁。升級(jí)通過升級(jí):系統(tǒng)>系統(tǒng)軟件選擇<上載新系統(tǒng)固件>單選按鈕。選中<備份當(dāng)前系統(tǒng)固件>復(fù)選框。系統(tǒng)將在上載的同時(shí)備份當(dāng)前運(yùn)行的。如不選中該選項(xiàng),系統(tǒng)將用新上載的覆蓋當(dāng)前運(yùn)行的。點(diǎn)擊『瀏覽』按鈕并且選中要上載的。點(diǎn)擊『確定』按鈕,系統(tǒng)開始上載指定的。完成升級(jí)后,需要重啟安全網(wǎng)關(guān)啟動(dòng)新升級(jí)的。第二十二頁,共八十八頁。系統(tǒng)診斷工具()系統(tǒng)>工具:安全網(wǎng)關(guān)提供基本的診斷工具,方便用戶可以通過這些工具察看網(wǎng)絡(luò)和路由是否連通。第二十三頁,共八十八頁。三、安全策略通過完成此章節(jié)課程,您將可以:理解安全策略的用途通過安全策略保護(hù)網(wǎng)絡(luò)資源第二十四頁,共八十八頁。安全策略基礎(chǔ)安全策略策略是網(wǎng)絡(luò)安全設(shè)備的基本功能。默認(rèn)情況下,安全設(shè)備會(huì)拒絕設(shè)備上所有安全域之間的信息傳輸。而策略則通過策略規(guī)則()決定從一個(gè)安全域到另一個(gè)安全域的哪些流量該被允許,哪些流量該被拒絕。哪些網(wǎng)絡(luò)流量可以允許通過?第二十五頁,共八十八頁。防火墻的核心功能組件會(huì)話狀態(tài)表五元組:源IP源端口目的IP目的端口傳輸協(xié)議安全策略五元組:源IP源安全域目的IP目的安全域服務(wù)傳輸協(xié)議+端口第二十六頁,共八十八頁。防火墻綜合技術(shù)原理策略控制:會(huì)話檢測:對(duì)防火墻在不同安全域或安全級(jí)別之間的訪問配置相應(yīng)的策略規(guī)則后,數(shù)據(jù)報(bào)文入防火墻時(shí)防火墻會(huì)基于五元組去查詢與之匹配的策略規(guī)則(每種報(bào)文只會(huì)匹配一次,如所有的規(guī)則都不匹配則匹配默認(rèn)的策略規(guī)則),然后執(zhí)行規(guī)則中定義的相應(yīng)動(dòng)作()。對(duì)于已經(jīng)成功建立的會(huì)話,防火墻會(huì)為之建立會(huì)話表,以記錄報(bào)文的相關(guān)信息(五元組),新的報(bào)文進(jìn)入防火墻之后防火墻會(huì)先查詢是否有與之相匹配的會(huì)話條目,如有則直接按會(huì)話狀態(tài)走處理,以節(jié)約等資源。如不是已經(jīng)存在的會(huì)話,則查詢策略規(guī)則并安裝會(huì)話狀態(tài)表,以便快速處理后續(xù)同一會(huì)話的其它報(bào)文。第二十七頁,共八十八頁。地址()地址簿是系統(tǒng)中用來儲(chǔ)存地址范圍與其名稱的對(duì)應(yīng)關(guān)系的數(shù)據(jù)庫。地址簿中的地址與名稱的對(duì)應(yīng)關(guān)系條目被稱作地址條目()。地址條目的地址改變時(shí),會(huì)自動(dòng)更新引用了該地址條目的模塊。第二十八頁,共八十八頁。配置地址本()對(duì)象>地址簿>新建地址薄名稱地址薄成員第二十九頁,共八十八頁。配置地址本()對(duì)象>地址簿>編輯地址薄成員第三十頁,共八十八頁。服務(wù)()服務(wù)():具有協(xié)議標(biāo)準(zhǔn)的信息流。服務(wù)具有一定的特征,例如相應(yīng)的協(xié)議、端口號(hào)等。服務(wù)組:將一些服務(wù)組織到一起便組成了服務(wù)組。用戶可以直接將服務(wù)組應(yīng)用到安全網(wǎng)關(guān)策略中,這樣便簡化了管理。第三十一頁,共八十八頁。系統(tǒng)預(yù)定義服務(wù)對(duì)象>服務(wù)簿用戶可以查看或修改系統(tǒng)預(yù)定義服務(wù),預(yù)定義服務(wù)只提供對(duì)服務(wù)超時(shí)時(shí)間進(jìn)行修改。第三十二頁,共八十八頁。系統(tǒng)預(yù)定義服務(wù)組對(duì)象>服務(wù)薄用戶可以查看系統(tǒng)預(yù)定義服務(wù)組,預(yù)定義服務(wù)組不可修改。第三十三頁,共八十八頁。用戶自定義服務(wù)除了使用提供的預(yù)定義服務(wù)以外,用戶還可以很容易地創(chuàng)建自己的自定義服務(wù)。用戶自定義服務(wù)可包含最多8條服務(wù)條目。用戶需指定的自定義服務(wù)條目的參數(shù)包括:名稱傳輸協(xié)議或類型服務(wù)的源和目標(biāo)端口號(hào)或者類型服務(wù)的和值超時(shí)時(shí)間應(yīng)用類型第三十四頁,共八十八頁。配置自定義服務(wù)對(duì)象>服務(wù)簿>自定義服務(wù)>新建服務(wù)名稱協(xié)議源、目的端口第三十五頁,共八十八頁。配置服務(wù)組對(duì)象>服務(wù)簿>自定義服務(wù)組第三十六頁,共八十八頁。配置策略規(guī)則()防火墻>策略第三十七頁,共八十八頁。配置策略規(guī)則()安全>策略第三十八頁,共八十八頁。檢查/移動(dòng)策略規(guī)則安全>策略第三十九頁,共八十八頁。小結(jié)在本章中講述了以下內(nèi)容:安全策略的用途配置安全策略使用的地址薄配置服務(wù)簿和服務(wù)組配置安全策略保護(hù)網(wǎng)絡(luò)資源第四十頁,共八十八頁。源目的與相關(guān)策略四、網(wǎng)絡(luò)地址轉(zhuǎn)換第四十一頁,共八十八頁。源配置示例配置步驟:第一步,配置源規(guī)則第二步,配置訪問策略示例環(huán)境描述:系統(tǒng)部署模式為路由模式,外網(wǎng)接口為0/4所有用戶上網(wǎng)均需成防火墻外網(wǎng)接口地址第四十二頁,共八十八頁。第一步,配置源規(guī)則創(chuàng)建源規(guī)則,將上網(wǎng)流量數(shù)據(jù)包源接口轉(zhuǎn)換為外網(wǎng)。第四十三頁,共八十八頁。第二步,配置訪問策略源規(guī)則只是定義了網(wǎng)絡(luò)層面的轉(zhuǎn)換,如需上網(wǎng),則要添加相應(yīng)訪問策略。第四十四頁,共八十八頁。源目的與相關(guān)策略議程:網(wǎng)絡(luò)地址轉(zhuǎn)換第四十五頁,共八十八頁。示例一端口映射()安全域有服務(wù)器和服務(wù)器,如下圖所示,現(xiàn)有公網(wǎng)地址202.1.1.3可用,通過此將上述兩服務(wù)器發(fā)布。第四十六頁,共八十八頁。第一步,配置地址簿分別添加202.1.1.3和10.1.2.10、10.1.2.11的地址簿。47第四十七頁,共八十八頁。第二步,配置目的規(guī)則添加端口映射的目的策略,將訪問到202.1.1.3的服務(wù)的流量轉(zhuǎn)到10.1.2.10的21端口。第四十八頁,共八十八頁。第二步,配置目的規(guī)則(續(xù))添加端口映射的目的策略,將訪問到202.1.1.3的服務(wù)的流量轉(zhuǎn)到10.1.2.11的80端口。第四十九頁,共八十八頁。第三步,配置訪問策略上述規(guī)則已經(jīng)定義了網(wǎng)絡(luò)層面的對(duì)應(yīng)關(guān)系,如需開放外網(wǎng)到服務(wù)器的訪問,需添加相應(yīng)訪問策略,策略目的為服務(wù)器映射所對(duì)應(yīng)的公網(wǎng),如下圖依次添加>,目的為映射虛,服務(wù)為和的策略。第五十頁,共八十八頁。示例二映射()安全域有服務(wù)器和服務(wù)器,如下圖所示,現(xiàn)有公網(wǎng)地址202.1.1.4和202.1.1.5可用,通過映射將上述兩服務(wù)器發(fā)布。第五十一頁,共八十八頁。第一步,配置地址簿分別添加202.1.1.4、202.1.1.5和10.1.2.10、10.1.2.11的地址簿。52第五十二頁,共八十八頁。第二步,配置目的規(guī)則添加映射的目的規(guī)則,將訪問到202.1.1.4的流量轉(zhuǎn)到10.1.2.10,訪問到202.1.1.5的流量轉(zhuǎn)到10.1.2.11。53第五十三頁,共八十八頁。第三步,配置訪問策略上述規(guī)則已經(jīng)定義了網(wǎng)絡(luò)層面的對(duì)應(yīng)關(guān)系,如需開放外網(wǎng)到服務(wù)器的訪問,需添加相應(yīng)訪問策略,策略目的為服務(wù)器映射所對(duì)應(yīng)的公網(wǎng),如下圖依次添加>,目的為映射虛(202.1.1.4/202.1.1.5)的策略。54第五十四頁,共八十八頁。小結(jié)在本章中講述了以下內(nèi)容:的分類源和目的的應(yīng)用第五十五頁,共八十八頁?;靖拍?/p>

應(yīng)用五、流量管理第五十六頁,共八十八頁。為什么需要大流量時(shí)關(guān)鍵應(yīng)用運(yùn)行受沖擊帶寬沒有充分利用突發(fā)特性不受控制大流量時(shí)關(guān)鍵應(yīng)用運(yùn)行受保護(hù)帶寬充分利用突發(fā)特性受到控制第五十七頁,共八十八頁。

第五十八頁,共八十八頁。功能介紹基于的可以實(shí)現(xiàn)保障關(guān)鍵網(wǎng)段的帶寬或者限制非關(guān)鍵網(wǎng)段的帶寬。全局有效。可以實(shí)現(xiàn)基于時(shí)間表的限制。可以綁定在出接口和入接口??梢詫?shí)現(xiàn)上下行帶寬獨(dú)立限制。59第五十九頁,共八十八頁。示例用戶環(huán)境描述:出口帶寬50,外網(wǎng)為E0/1接口內(nèi)網(wǎng)連接兩個(gè)網(wǎng)段:172.16.1.0/24和192.168.1.0/24用戶需求描述:172.16.1.1-172.16.1.100需限制其下載帶寬為500,如出口帶寬空閑時(shí)可最高到5,上傳不做限制192.168.1.0/24網(wǎng)段中每下載300K,上傳整個(gè)網(wǎng)段共享10M60第六十頁,共八十八頁。第二步指定接口帶寬接口默認(rèn)帶寬為物理最高支持帶寬而非承諾帶寬,用戶需根據(jù)實(shí)際帶寬值指定接口上/下行帶寬。第六十一頁,共八十八頁。第三步配置策略限制172.16.1.1-100每下載帶寬500K,并在出口帶寬空閑時(shí)允許突破500限制,每最大占用5M帶寬。第六十二頁,共八十八頁。第三步配置策略(續(xù))限制192.168.1.0/24每下載帶寬最大300K,上傳整個(gè)網(wǎng)段最大占用10M帶寬。第六十三頁,共八十八頁。顯示已配置控制策略添加后策略會(huì)在列表顯示,如多條策略的地址范圍重疊,請(qǐng)點(diǎn)擊策略右側(cè)箭頭移動(dòng)策略位置,從上至下第一條匹配到的策略生效。第六十四頁,共八十八頁。應(yīng)用第六十五頁,共八十八頁。應(yīng)用功能介紹基于應(yīng)用的可以實(shí)現(xiàn)保障關(guān)鍵應(yīng)用的帶寬或者限制非關(guān)鍵應(yīng)用的帶寬。應(yīng)用全局有效。可以實(shí)現(xiàn)基于時(shí)間表的應(yīng)用限制。應(yīng)用可以綁定在出接口和入接口。應(yīng)用可以實(shí)現(xiàn)上下行帶寬獨(dú)立限制。66第六十六頁,共八十八頁。應(yīng)用示例用戶環(huán)境描述:出口帶寬50,外網(wǎng)為E0/1接口,內(nèi)網(wǎng)連接E0/0內(nèi)網(wǎng)連接兩個(gè)網(wǎng)段:172.16.1.0/24和192.168.1.0/24用戶需求描述:P2P應(yīng)用需限制其下行帶寬為10M,上傳最大5M和應(yīng)用下載保障20M,上傳保障10M67第六十七頁,共八十八頁。第二步指定接口帶寬68接口默認(rèn)帶寬為物理最高支持帶寬而非承諾帶寬,用戶需根據(jù)實(shí)際帶寬值指定接口上/下行帶寬。第六十八頁,共八十八頁。第三步開啟應(yīng)用識(shí)別69防火墻默認(rèn)不對(duì)帶*號(hào)服務(wù)做應(yīng)用層識(shí)別,如需對(duì)、等應(yīng)用做基于應(yīng)用的控制,需要開啟外網(wǎng)安全域的應(yīng)用識(shí)別功能。第六十九頁,共八十八頁。第四步配置應(yīng)用策略70限制P2P應(yīng)用下行帶寬為10M,上傳最大5M。第七十頁,共八十八頁。第四步配置應(yīng)用策略(續(xù))71和應(yīng)用上行保障10M。第七十一頁,共八十八頁。第四步配置應(yīng)用策略(續(xù))72和應(yīng)用下行保障20M。保證帶寬功能為出接口工具,所以對(duì)下載流量保證帶寬需要配置在內(nèi)網(wǎng)接口保證上行帶寬。第七十二頁,共八十八頁。顯示已配置控制策略73添加后策略會(huì)在應(yīng)用列表顯示,如多條策略的應(yīng)用重疊,請(qǐng)點(diǎn)擊策略右側(cè)箭頭移動(dòng)策略位置,從上至下第一條匹配到的策略生效。第七十三頁,共八十八頁。小結(jié)在本章中講述了以下內(nèi)容:基本概念基于配置基于應(yīng)用配置第七十四頁,共八十八頁。六、報(bào)表統(tǒng)計(jì)報(bào)表統(tǒng)計(jì)功能簡介:可統(tǒng)計(jì)的數(shù)據(jù)類型流量、會(huì)話、新建會(huì)話數(shù)速率、攻擊速率、病毒個(gè)數(shù)、入侵次數(shù)、命中次數(shù)、關(guān)鍵字阻斷次數(shù)和應(yīng)用阻斷次數(shù)支持的數(shù)據(jù)組織方式、接口、安全域、攻擊類型、應(yīng)用、病毒、用戶、特征、、類別、關(guān)鍵字和阻斷類型第七十五頁,共八十八頁。統(tǒng)計(jì)集功能介紹的統(tǒng)計(jì)集功能允許用戶查看實(shí)時(shí)的或者一定統(tǒng)計(jì)周期內(nèi)(5分鐘或者24小時(shí))基于不同統(tǒng)計(jì)數(shù)據(jù)類型(如帶寬、會(huì)話、新建會(huì)話數(shù)速率、攻擊速率和病毒個(gè)數(shù))以及數(shù)據(jù)組織方式(如、接口、安全域、攻擊類型、應(yīng)用、病毒和用戶)的系統(tǒng)統(tǒng)計(jì)信息,并且可以根據(jù)不同需求過濾統(tǒng)計(jì)信息,從而幫助用戶更加詳細(xì)和精確地了解系統(tǒng)的資源分配及網(wǎng)絡(luò)安全狀態(tài)。76第七十六頁,共八十八頁。預(yù)定義統(tǒng)計(jì)集第七十七頁,共八十八頁。啟用預(yù)定義統(tǒng)計(jì)集系統(tǒng)已經(jīng)預(yù)置常見的統(tǒng)計(jì)集供用戶選擇啟用,啟用統(tǒng)計(jì)集按照右圖流程勾選相應(yīng)統(tǒng)計(jì)集并啟用即可。78第七十八頁,共八十八頁。查看統(tǒng)計(jì)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論