Hillstone山石網(wǎng)科基礎(chǔ)配置手冊50

1、Hillstone山石網(wǎng)科基礎(chǔ)配置手冊50Hillstone山石網(wǎng)科基礎(chǔ)配置手冊5050/50Hillstone山石網(wǎng)科基礎(chǔ)配置手冊50Hillstone山石網(wǎng)科多核安全網(wǎng)關(guān)基礎(chǔ)配置手冊version5.0目錄第1章設(shè)施管理1設(shè)施管理介紹.1終端Console登錄1WebUI方式登錄1恢復(fù)出廠設(shè)置.2經(jīng)過CLI方式2經(jīng)過WebUI方式2經(jīng)過CLR按鍵方式4StoneOS版本升級4經(jīng)過網(wǎng)絡(luò)快速升級StoneOS（TFTP）4經(jīng)過WebUI方式升級StoneOS6允許證安裝8經(jīng)過CLI方式安裝8經(jīng)過WebUI方式安裝8第2章基礎(chǔ)上網(wǎng)配置10基礎(chǔ)上網(wǎng)配置介紹10接口配置10路由配置11策略配置13源

2、NAT配置14第3章常用功能配置16常用配置介紹.16PPPoE配置.16DHCP配置18IP-MAC綁定配置20端到端IPsecVPN配置22SCVPN配置29DNAT配置37一對一IP映照37一對一端口映照40多對多端口映照43一對多映照（服務(wù)器負(fù)載平衡）46第4章鏈路負(fù)載平衡48鏈路負(fù)載平衡介紹48鑒于目的路由的負(fù)載平衡49鑒于源路由的負(fù)載平衡50智能鏈路負(fù)載平衡50第5章QoS配置53QoS介紹53IPQoS配置53應(yīng)用QoS配置55混淆QoS配置58QoS白名單配置59第6章網(wǎng)絡(luò)行為控制60URL過濾（有URL允許證）60配置自定義URL庫63URL過濾（無URL允許證）64網(wǎng)頁重點(diǎn)

3、字過濾65網(wǎng)絡(luò)聊天控制.69第7章VPN高級配置.72鑒于USBKey的SCVPN配置72新建PKI相信域72配置SCVPN77制作USBKey78使用USBKey方式登錄SCVPN80PnPVPN83用戶配置83IKEVPN配置85地道接口配置89路由配置90策略配置91PnPVPN客戶端配置92第8章高靠譜性94高靠譜性介紹.94高靠譜性配置.95對于本手冊手冊內(nèi)容本手冊為Hillstone山石網(wǎng)科多核安全網(wǎng)關(guān)的基礎(chǔ)配置手冊，對Hillstone山石網(wǎng)科多核安全網(wǎng)關(guān)的主要功能模塊配置進(jìn)行介紹，幫助用戶快速掌握安全網(wǎng)關(guān)的WebUI配置。合用于StoneOS5.0以及以上版本。詳細(xì)內(nèi)容包含：第

4、1章：設(shè)施管理。介紹登錄方式、StoneOS升級以及允許證安裝等。第2章：基礎(chǔ)上網(wǎng)配置。介紹接口、路由、策略等基本上網(wǎng)配置。第3章：常用功能配置。介紹PPPoE撥號、動向地點(diǎn)分派DHCP、DNAT等配置。第4章：鏈路負(fù)載平衡。介紹鑒于目的路由、源路由、策略路由的流量負(fù)載配置等。第5章：QoS配置。介紹QoS功能及配置。第6章：網(wǎng)絡(luò)行為控制配置。介紹URL過濾、網(wǎng)頁重點(diǎn)字以及網(wǎng)絡(luò)聊天控制配置。第7章：VPN高級配置。介紹鑒于USBKey的SCVPN配置以及PnPVPN配置。第8章：高靠譜性。介紹高靠譜性（HA）的配置。手冊商定為方便用戶閱讀與理解，本手冊依據(jù)以下商定：內(nèi)容商定本手冊內(nèi)容商定以下：

5、提示：為用戶供給有關(guān)參照信息。說明：為用戶供給有助于理解內(nèi)容的說明信息。注意：假如該操作不正確，會致使系統(tǒng)犯錯。：用該方式表示Hillstone設(shè)施WebUI界面上的鏈接、標(biāo)簽或許按鈕。比如，“點(diǎn)擊登錄按鈕進(jìn)入Hillstone設(shè)施的主頁”。：用該方式表示W(wǎng)ebUI界面上供給的文本信息，包含單項(xiàng)選擇按鈕名稱、復(fù)選框名稱、文本框名稱、選項(xiàng)名稱以及文字描繪。比如，“改變MTU值，選中單項(xiàng)選擇按鈕，而后在文本框中輸入適合的值”。Hillstone山石網(wǎng)科基礎(chǔ)配置手冊第1章設(shè)施管理設(shè)施管理介紹為方便管理員管理與配置，安全網(wǎng)關(guān)支持當(dāng)?shù)兀–onsole口）與遠(yuǎn)程（Telnet、SSH、HTTP以及HTTP

6、S）兩種環(huán)境配置方法，能夠經(jīng)過CLI和WebUI兩種方式進(jìn)行配置。終端Console登錄經(jīng)過Console口，用戶可登錄安全網(wǎng)關(guān)設(shè)施的CLI，進(jìn)而使用命令行對設(shè)施進(jìn)行配置。在計(jì)算機(jī)上運(yùn)轉(zhuǎn)終端仿真程序（系統(tǒng)的超級終端、SecureCRT等）成立與安全網(wǎng)關(guān)的連結(jié)。依據(jù)表1配置終端參數(shù)：表1：配置終端參數(shù)參數(shù)數(shù)值波特率9600bit/s數(shù)據(jù)位8奇偶校驗(yàn)無停止位1WebUI方式登錄WebUI是最方便、直觀、簡單的配置方式，WebUI同時支持http和https兩種接見方式。安全網(wǎng)關(guān)的ethernet0/0接口配有默認(rèn)IP地點(diǎn)，首次使用安全網(wǎng)關(guān)時，用戶可以經(jīng)過該接口接見安全網(wǎng)關(guān)的WebUI頁面。請依據(jù)以

7、下步驟：1.將管理PC的IP地點(diǎn)設(shè)置為與同網(wǎng)段的IP地點(diǎn)，而且用網(wǎng)線將管理PC與安全網(wǎng)關(guān)的ethernet0/0接口進(jìn)行連結(jié)。2.在管理PC的Web閱讀器中輸入地點(diǎn)“”并按回車鍵。出現(xiàn)登錄頁面以下列圖所示。1Hillstone山石網(wǎng)科基礎(chǔ)配置手冊恢復(fù)出廠設(shè)置Hillstone山石網(wǎng)科供給三種方法恢復(fù)設(shè)施的出廠配置，分別是：命令行：經(jīng)過CLI使用命令進(jìn)行恢復(fù)WebUI：經(jīng)過WebUI消除配置以恢復(fù)出廠配置物理方法：使用設(shè)施的CLR按鍵進(jìn)行恢復(fù)經(jīng)過CLI方式經(jīng)過CLI使用命令恢復(fù)出廠設(shè)置，請依據(jù)以下步驟進(jìn)行操作：1.在履行模式下，使用unsetall命令。依據(jù)提示，選擇能否保留目前配置：y/n。選

8、擇能否重啟設(shè)施：y/n。系統(tǒng)重啟后即出廠配置恢復(fù)完成。經(jīng)過WebUI方式經(jīng)過WebUI恢復(fù)出廠配置，請依據(jù)以下步驟進(jìn)行操作：1.經(jīng)過WebUI方式登錄StoneOS，從工具欄的下拉菜單項(xiàng)選擇擇配置備份復(fù)原。2Hillstone山石網(wǎng)科基礎(chǔ)配置手冊以下列圖所示：在彈出的對話框，選擇單項(xiàng)選擇按鈕，并點(diǎn)擊下一步按鈕。3.選擇能否重啟設(shè)施。為使配置奏效，用戶需從頭啟動設(shè)施。選擇單項(xiàng)選擇按鈕，并點(diǎn)擊達(dá)成按鈕。3Hillstone山石網(wǎng)科基礎(chǔ)配置手冊全部配置將會被消除，而后設(shè)施將自動重啟。經(jīng)過CLR按鍵方式使用CLR按鍵恢復(fù)出廠配置，請依據(jù)以下步驟進(jìn)行操作：封閉安全網(wǎng)關(guān)的電源。2.用針狀物按住CLR按鍵的

9、同時翻開安全網(wǎng)關(guān)的電源。3.保持按住狀態(tài)直到指示燈STA和ALM均變成紅色常亮，開釋CLR按鍵。此時系統(tǒng)開始恢復(fù)出廠配置。4.出廠配置恢復(fù)完成，系統(tǒng)將會自動從頭啟動。StoneOS版本升級經(jīng)過網(wǎng)絡(luò)快速升級StoneOS（TFTP）Sysloader能夠從TFTP服務(wù)器獲取StoneOS，進(jìn)而保證用戶能夠經(jīng)過網(wǎng)絡(luò)快速升級StoneOS。請依據(jù)以下步驟進(jìn)行操作：給設(shè)施上電依據(jù)提示按ESC鍵而且進(jìn)入Sysloader。參照以下操作提示：HILLSTONENETWORKSHillstoneBootloader1.3.2Aug142008-19:09:37DRAM:2048MBBOOTROM:512KB

10、4Hillstone山石網(wǎng)科基礎(chǔ)配置手冊PressESCtostopautoboot:4（5秒倒計(jì)時結(jié)束前按“ESC”鍵）Runon-boardsysloader?y/n:y（鍵入字母“y”或許敲回車鍵）Loading:#2.從Sysloader的操作選擇菜單項(xiàng)選擇擇經(jīng)過TFTP升級StoneOS。參照以下操作提示：Sysloader1.2.13Aug142008-16:53:42LoadfirmwareviaTFTPLoadfirmwareviaFTPLoadfirmwarefromUSBdisks(notavailable)SelectbackupfirmwareasactiveShowo

11、n-boardfirmwareResetPleaseselect:1（在此處鍵入“1”并敲回車鍵）3.保證設(shè)施與控制主機(jī)的連通性，并將需升級的StoneOS拷貝到指定目錄下。4.挨次配置Sysloader的IP地點(diǎn)、TFTP服務(wù)器的IP地點(diǎn)、網(wǎng)關(guān)IP地點(diǎn)以及StoneOS名稱。參照以下操作提示：Localipaddress:（輸入Sysloader的IP地點(diǎn)并敲回車鍵）Serveripaddress:（輸入TFTP服務(wù)器的IP地點(diǎn)并敲回車鍵）Gatewayipaddress:（假如Sysloader與TFTP服務(wù)器的IP地址不屬于同一個網(wǎng)段，輸入網(wǎng)關(guān)的IP地點(diǎn)并敲回車鍵；不然直接敲回車鍵）Fi

12、lename:StoneOS-3.5R2（輸入StoneOS名稱并敲回車鍵，系統(tǒng)開始經(jīng)過TFTP獲5Hillstone山石網(wǎng)科基礎(chǔ)配置手冊取StoneOS）#保留StoneOS。參照以下操作提示：Filetotallength10482508Checkingtheimage.VerifiedOKSavethisimage?y/n:y（鍵入字母“y”或許敲回車鍵，保留獲取的StoneOS）SavingSetStoneOS-3.5R2asactivebootimage重啟。系統(tǒng)將使用新的StoneOS啟動。參照以下操作提示：PleaseresetboardtobootthisimageLoadfi

13、rmwareviaTFTPLoadfirmwareviaFTPLoadfirmwarefromUSBdisks(notavailable)SelectbackupfirmwareasactiveShowon-boardfirmwareResetPleaseselect:6（在此處鍵入“6”并敲回車鍵，系統(tǒng)開始重啟）設(shè)施的Flash中最多能夠儲藏兩個StoneOS。假如Flash中已經(jīng)保留了兩個StoneOS，請依據(jù)提示對儲藏的StoneOS進(jìn)行刪除。經(jīng)過WebUI方式升級StoneOS經(jīng)過WebUI方式登錄StoneOS，從工具欄的下拉菜單項(xiàng)選擇擇版本升級。以下列圖所示：2.在彈出的對話框，選

14、擇單項(xiàng)選擇按鈕，并點(diǎn)擊下一步按鈕。6Hillstone山石網(wǎng)科基礎(chǔ)配置手冊3.在下拉菜單中選擇一個軟件版本做為備份，而后點(diǎn)擊后的閱讀按鈕并在當(dāng)?shù)豍C選擇新的軟件版本文件。點(diǎn)擊下一步。依據(jù)需要，選擇單項(xiàng)選擇按鈕，并點(diǎn)擊達(dá)成按鈕。為使配置奏效，用戶需從頭啟動設(shè)施。7Hillstone山石網(wǎng)科基礎(chǔ)配置手冊注意：假如選擇暫不從頭啟動設(shè)施，將會在下次從頭啟動設(shè)施后加載新版本StoneOS。允許證安裝經(jīng)過CLI方式安裝經(jīng)過CLI使用命令安裝允許證，請依據(jù)以下步驟進(jìn)行操作：1.登錄StoneOS，在履行模式下，使用execlicenseinstalllicense-string命令（license-stri

15、ng要安裝的允許證字符串。輸入“l(fā)icense：”后的字符串）。以下圖所示：2.依據(jù)系統(tǒng)提示重啟后即達(dá)成允許證安裝。經(jīng)過WebUI方式安裝經(jīng)過WebUI安裝允許證，請依據(jù)以下步驟進(jìn)行操作：經(jīng)過WebUI方式登錄StoneOS，從工具欄的下拉菜單項(xiàng)選擇擇允許證。以下列圖所示：8Hillstone山石網(wǎng)科基礎(chǔ)配置手冊在彈出的對話框中，允許證列表可查察目前系統(tǒng)允許證的種類和有效時間。在處，用戶可依據(jù)需要，選擇手動輸入允許證懇求或選擇上傳當(dāng)?shù)匚募?上傳允許證文件：選中單項(xiàng)選擇按鈕（允許證為純文本.txt文件），點(diǎn)擊閱讀按鈕，而且選中允許證文件；?手動輸入：選中單項(xiàng)選擇按鈕，而后將允許證字符串內(nèi)容（包

16、含“l(fā)icense：”及以后內(nèi)容）輸入到對應(yīng)的文本框。點(diǎn)擊確立按鈕保留所做配置，而且重啟設(shè)施達(dá)成允許證的安裝。9Hillstone山石網(wǎng)科基礎(chǔ)配置手冊第2章基礎(chǔ)上網(wǎng)配置基礎(chǔ)上網(wǎng)配置介紹為使設(shè)施實(shí)現(xiàn)正常上網(wǎng)，基本配置包含接口、路由、策略以及源NAT的配置。接口配置接口配置，請依據(jù)以下步驟進(jìn)行操作：1.經(jīng)過WebUI方式登錄StoneOS，從頁面左邊導(dǎo)航樹選擇并點(diǎn)擊“配置-網(wǎng)絡(luò)-網(wǎng)絡(luò)連結(jié)”，進(jìn)入網(wǎng)絡(luò)連結(jié)頁面。從接口列表中選中需要編寫的接口，雙擊或許點(diǎn)擊列表右上方的編寫按鈕。在彈出的對話框?qū)涌谶M(jìn)行編寫:綁定安全域：指定接口的安全域種類。三層接口選擇三層安全域，二層接口選擇二層安全域；安全域：選擇安

17、全域名稱。一般狀況下，內(nèi)網(wǎng)選擇trust或l2-trust；外網(wǎng)選擇untrust10Hillstone山石網(wǎng)科基礎(chǔ)配置手冊或l2-untrust。IP配置：為接口配置IP地點(diǎn)有關(guān)信息。管理方式：指定接口的管理方式。在部分選中需要的管理方式的復(fù)選框。提示：假如外網(wǎng)接口使用PPPoE撥號方式接入，對于接口的配置請參閱PPPoE配置。路由配置路由配置，請依據(jù)以下步驟進(jìn)行操作：1.經(jīng)過WebUI方式登錄StoneOS，從頁面左邊導(dǎo)航樹選擇并點(diǎn)擊“配置-網(wǎng)絡(luò)-路由”，進(jìn)入路由頁面。點(diǎn)擊目的路由標(biāo)簽，進(jìn)入目的路由頁面。3.從下拉菜單項(xiàng)選擇擇一個VR，新建的路由將屬于該VR，默以為“trust-vr”。4

18、.點(diǎn)擊目的路由列表左上角的新建按鈕，彈出對話框，在該對話框?qū)δ康穆酚蛇M(jìn)行編寫：?目的地：指定路由條目的目的IP。?子網(wǎng)掩碼：指定路由條目的目的IP對應(yīng)的子網(wǎng)掩碼。11Hillstone山石網(wǎng)科基礎(chǔ)配置手冊?下一跳：指定下一跳種類，選中或單項(xiàng)選擇按鈕。若選擇，需在文本框中輸入網(wǎng)關(guān)IP地點(diǎn)。若選擇，需在下拉菜單中選擇接口名稱。假如該接口為tunnel的時候，需要在可選欄輸入tunnel對端的網(wǎng)關(guān)地點(diǎn)。如：下一跳網(wǎng)關(guān)指定為（由營運(yùn)商供給網(wǎng)關(guān)地點(diǎn)）。優(yōu)先權(quán)：該參數(shù)取值越小，優(yōu)先級越高，而在有多條路由選擇的時候，優(yōu)先級高的路由會被優(yōu)先使用。取值范圍是1到255，默認(rèn)值為1。當(dāng)優(yōu)先級為255時，該路由無效

19、。?路由權(quán)值：路由權(quán)值決定負(fù)載平衡中流量轉(zhuǎn)發(fā)的比重。范圍是1到255，默認(rèn)值是1。用戶能夠依據(jù)需要，在文本框中指定目的路由的描繪信息。點(diǎn)擊確立按鈕，達(dá)成新建目的路由。12Hillstone山石網(wǎng)科基礎(chǔ)配置手冊策略配置策略配置，請依據(jù)以下步驟進(jìn)行操作：1.經(jīng)過WebUI方式登錄StoneOS，從頁面左邊導(dǎo)航樹選擇并點(diǎn)擊“配置-安全-策略”，進(jìn)入策略頁面。點(diǎn)擊列表左上角的新建按鈕，彈出對話框，在該對話框?qū)Σ呗砸?guī)則進(jìn)行編輯?；具x項(xiàng)包含策略的源/目的安全域和源/目的地點(diǎn)的選擇，以及服務(wù)、時間表、用戶、行為和策略描繪的指定。13Hillstone山石網(wǎng)科基礎(chǔ)配置手冊配置達(dá)成后，點(diǎn)擊確立按鈕保留所做配置

20、并返回策略頁面。源NAT配置源NAT配置，請依據(jù)以下步驟進(jìn)行操作：1.經(jīng)過WebUI方式登錄StoneOS，從頁面左邊導(dǎo)航樹選擇并點(diǎn)擊“配置-網(wǎng)絡(luò)-NAT”，進(jìn)入源NAT頁面。2.點(diǎn)擊源NAT列表中的新建按鈕，彈出對話框。在該對話框?qū)υ碞AT規(guī)則進(jìn)行編寫。14Hillstone山石網(wǎng)科基礎(chǔ)配置手冊配置達(dá)成后，點(diǎn)擊確立按鈕保留所做配置。15Hillstone山石網(wǎng)科基礎(chǔ)配置手冊第3章常用功能配置常用配置介紹本章介紹Hillstone山石網(wǎng)科多核安全網(wǎng)關(guān)的一些常用功能配置，包含PPPoE、DHCP、IP-MAC綁定、端到端IPsecVPN、SCVPN、DNAT等配置。PPPoE配置PPPoE配置，

21、請依據(jù)以下步驟進(jìn)行操作：1.經(jīng)過WebUI方式登錄StoneOS，從頁面左邊導(dǎo)航樹選擇并點(diǎn)擊“配置-網(wǎng)絡(luò)-網(wǎng)絡(luò)連結(jié)”，進(jìn)入網(wǎng)絡(luò)連結(jié)頁面。從接口列表中選中需要編寫的接口，雙擊或許點(diǎn)擊列表右上方的編寫按鈕。在彈出的對話框?qū)涌谶M(jìn)行編寫。點(diǎn)擊確立按鈕保留所做配置并返回網(wǎng)絡(luò)連結(jié)頁面。5.從頁面右邊協(xié)助欄的區(qū)選擇PPPoE列表鏈接，彈出對話框。6.點(diǎn)擊頁面左上角的新建按鈕，彈出對話框。在該對話框進(jìn)行配置。16Hillstone山石網(wǎng)科基礎(chǔ)配置手冊配置達(dá)成點(diǎn)擊確立按鈕并返回PPPoE列表對話框。選中需要連結(jié)/斷開的PPPoE實(shí)例，而后點(diǎn)擊頁面左上角的連結(jié)按鈕。17Hillstone山石網(wǎng)科基礎(chǔ)配置手冊DH

22、CP配置DHCP配置，請依據(jù)以下步驟進(jìn)行操作：1.經(jīng)過WebUI方式登錄StoneOS，從頁面左邊導(dǎo)航樹選擇并點(diǎn)擊“配置-網(wǎng)絡(luò)-網(wǎng)絡(luò)連結(jié)”，進(jìn)入網(wǎng)絡(luò)連結(jié)頁面。2.從頁面右邊協(xié)助欄的區(qū)選擇DHCP列表鏈接，彈出對話框。在該對話框?qū)HCP進(jìn)行編寫：接口：選擇應(yīng)用DHCP服務(wù)器功能的接口。種類：選中單項(xiàng)選擇按鈕?；九渲茫涸跇?biāo)簽頁對DHCP的基本屬性進(jìn)行配置。18Hillstone山石網(wǎng)科基礎(chǔ)配置手冊3.配置達(dá)成點(diǎn)擊確立按鈕并返回DHCP列表對話框。而且將用戶pc或許互換機(jī)連結(jié)在相應(yīng)端口，即可獲取IP地點(diǎn)。19Hillstone山石網(wǎng)科基礎(chǔ)配置手冊IP-MAC綁定配置IP-MAC綁定配置，請依據(jù)以

23、下步驟進(jìn)行操作：1.經(jīng)過WebUI方式登錄StoneOS，從頁面左邊導(dǎo)航樹選擇并點(diǎn)擊“配置-安全-ARP防備”，進(jìn)入ARP防備頁面。2.從靜態(tài)IP-MAC綁定條目列表中選中需要綁定的IP-MAC條目，雙擊或許點(diǎn)擊列表上方的編寫按鈕，彈出對話框。3.在對話框中，選中復(fù)選框開啟IP-MAC綁定，并點(diǎn)擊確定按鈕保留配置。20Hillstone山石網(wǎng)科基礎(chǔ)配置手冊默認(rèn)狀況下，安全網(wǎng)關(guān)的ARP學(xué)習(xí)功能是開啟的，IP-MAC綁定成功后，還需要封閉接口的ARP學(xué)習(xí)功能。5.從頁面左邊導(dǎo)航樹選擇并點(diǎn)擊“配置-網(wǎng)絡(luò)-網(wǎng)絡(luò)連結(jié)”，進(jìn)入網(wǎng)絡(luò)連結(jié)頁面，從接口列表中選中需要編寫的接口，雙擊或許點(diǎn)擊列表右上方的編寫按鈕。

24、6.在彈出的對話框中，點(diǎn)擊屬性標(biāo)簽，在部分撤消選中ARP學(xué)習(xí)后的啟用復(fù)選框開啟接口的ARP學(xué)習(xí)功能。21Hillstone山石網(wǎng)科基礎(chǔ)配置手冊端到端IPsecVPN配置在Hillstone安全網(wǎng)關(guān)A和Hillstone安全網(wǎng)關(guān)B之間成立一個安全地道，PC1作為Hillstone安全網(wǎng)關(guān)A端的主機(jī)，PC2作為Hillstone安全網(wǎng)關(guān)B端的主機(jī)，兩頭的公網(wǎng)IP都是固定的狀況下，配置端到端的IPsecVPN，拓補(bǔ)圖以下：使用IKEVPN即自動磋商方式配置IPsecVPN，配置包含：配置P1建議配置VPN對端配置P2建議配置地道22Hillstone山石網(wǎng)科基礎(chǔ)配置手冊綁定接口到地道配置地道路由和策

25、略詳細(xì)配置。請依據(jù)以下步驟進(jìn)行操作：1.配置P1建議。經(jīng)過WebUI方式登錄StoneOS，從頁面左邊導(dǎo)航樹選擇并點(diǎn)擊“配置-網(wǎng)絡(luò)-IPsecVPN”，進(jìn)入IPsecVPN頁面。點(diǎn)擊P1建議標(biāo)簽，進(jìn)入P1建議標(biāo)簽頁。2.點(diǎn)擊P1建議列表左上方的新建按鈕，彈出對話框。在該對話框進(jìn)行編寫：建議名稱：指定或許顯示P1建議的名稱。認(rèn)證：指定IKE身份認(rèn)證的方式?？甲C算法：為P1建議指定考證算法。選中所需考證算法的單項(xiàng)選擇按鈕。加密算法：為P1建議指定加密算法。DH組：為P1建議選擇DH組。?生計(jì)時間：指定SA第一階段的生命周期長度，單位為秒。默認(rèn)86400秒。3.配置VPN對端。在IPsecVPN頁面

26、，點(diǎn)擊VPN對端列表標(biāo)簽，進(jìn)入VPN對端列表標(biāo)簽頁。4.點(diǎn)擊VPN對端列表左上方的新建按鈕，彈出對話框。在該對話框?qū)PN對端進(jìn)行基本配置。23Hillstone山石網(wǎng)科基礎(chǔ)配置手冊注意：假如在設(shè)施前還有其余NAT設(shè)施，需在標(biāo)簽下配置NAT穿越功能。5.配置P2建議。在IPsecVPN頁面，點(diǎn)擊P2建議標(biāo)簽，進(jìn)入P2建議標(biāo)簽頁。6.點(diǎn)擊P2建議列表左上方的新建按鈕，彈出對話框。在該對話框進(jìn)行P2建議配置。24Hillstone山石網(wǎng)科基礎(chǔ)配置手冊配置地道。在IPsecVPN頁面，點(diǎn)擊IKEVPN列表左上方的新建按鈕，彈出對話框。8.在部分派置各選項(xiàng)。點(diǎn)擊后邊的導(dǎo)入按鈕，并在下拉菜單項(xiàng)選擇擇已配

27、置的VPN對端名稱，導(dǎo)入系統(tǒng)中已配置的VPN對端參數(shù)。9.點(diǎn)擊，配置地道有關(guān)選項(xiàng)。25Hillstone山石網(wǎng)科基礎(chǔ)配置手冊注意：地道配置達(dá)成后，需要流量觸發(fā)VPN連結(jié)。假如需要自動連結(jié)，請?jiān)跇?biāo)簽下配置自動連結(jié)功能。10.綁定接口到地道。從主頁面左邊導(dǎo)航樹選擇并點(diǎn)擊“配置-網(wǎng)絡(luò)-網(wǎng)絡(luò)連結(jié)”，進(jìn)入網(wǎng)絡(luò)連結(jié)頁面。點(diǎn)擊接口列表左上角的新建按鈕，從下拉菜單中選擇并點(diǎn)擊，系統(tǒng)彈出對話框。在該對話框綁定接口到地道。26Hillstone山石網(wǎng)科基礎(chǔ)配置手冊11.配置地道路由和策略。從頁面左邊導(dǎo)航樹選擇并點(diǎn)擊“配置-網(wǎng)絡(luò)-路由”，進(jìn)入目的路由頁面。點(diǎn)擊目的路由列表左上角的新建按鈕，彈出對話框，在該對話框?qū)δ?/p>

28、的路由進(jìn)行編寫。12.從頁面左邊導(dǎo)航樹選擇并點(diǎn)擊“配置-安全-策略”，進(jìn)入策略頁面。點(diǎn)擊列表左上角的新建按鈕，彈出對話框，在該對話框?qū)Σ呗砸?guī)則進(jìn)行編寫。27Hillstone山石網(wǎng)科基礎(chǔ)配置手冊配置達(dá)成后，安全網(wǎng)關(guān)B也依據(jù)步驟1-12進(jìn)行配置。14.達(dá)成以上配置后，安全網(wǎng)關(guān)A和安全網(wǎng)關(guān)B之間的安全地道便成立成功了。從IPsecVPN頁面右邊協(xié)助欄的區(qū)選擇ISAKMPSA/IPsecSA/鏈接，查察VPN監(jiān)控結(jié)果。28Hillstone山石網(wǎng)科基礎(chǔ)配置手冊SCVPN配置為解決遠(yuǎn)程用戶安全接見私網(wǎng)數(shù)據(jù)的問題，安全網(wǎng)關(guān)供給鑒于SSL的遠(yuǎn)程登錄解決方案SecureConnectVPN，簡稱為SCVPN

29、。SCVPN功能能夠經(jīng)過簡單易用的方法實(shí)現(xiàn)信息的遠(yuǎn)程連通。SCVPN配置，請依據(jù)以下步驟進(jìn)行操作：1.經(jīng)過WebUI方式登錄StoneOS，從頁面左邊導(dǎo)航樹選擇并點(diǎn)擊“配置-網(wǎng)絡(luò)-SSLVPN”，進(jìn)入SCVPN頁面。2.點(diǎn)擊SCVPN列表左上角的新建按鈕或許從頁面右邊協(xié)助欄的區(qū)選擇新建SSLVPN鏈接，彈出對話框。3.閱讀內(nèi)容，并在文本框中指定SCVPN名稱。29Hillstone山石網(wǎng)科基礎(chǔ)配置手冊點(diǎn)擊下一步按鈕進(jìn)入配置頁面。在該頁面配置用于客戶端用戶身份認(rèn)證的AAA服務(wù)器。點(diǎn)擊下一步按鈕進(jìn)入配置頁面。在該頁面配置設(shè)施端接口、地道接口和地點(diǎn)池。30Hillstone山石網(wǎng)科基礎(chǔ)配置手冊注意：

30、地道接口地點(diǎn)和地點(diǎn)池一定在同一網(wǎng)段，且地點(diǎn)池地點(diǎn)段中不可以包含地道接口地點(diǎn)。在配置頁面下拉菜單中選擇系統(tǒng)中已配置的地道接口；或許選中下拉菜單中的選項(xiàng)，在彈出的對話框中新建地道接口；還可以在下拉菜單中選中系統(tǒng)中已配置的地道接口，而后點(diǎn)擊配置按鈕，在彈出的對話框中編寫該地道接口。31Hillstone山石網(wǎng)科基礎(chǔ)配置手冊7.在配置頁面下拉菜單中選擇系統(tǒng)中已配置的地點(diǎn)池；或許，選中下拉菜單中的選項(xiàng)，在彈出的對話框中新建地點(diǎn)池；還能夠在下拉菜單中選中系統(tǒng)中已配置的地點(diǎn)池，而后點(diǎn)擊配置按鈕，在彈出的對話框中編寫該地點(diǎn)池。32Hillstone山石網(wǎng)科基礎(chǔ)配置手冊8.點(diǎn)擊下一步按鈕進(jìn)入頁面。在該頁面配置策

31、略規(guī)則和地道路由。注意：系統(tǒng)會自動創(chuàng)立一條源安全域是VPNHub，目的安全域是Any的策略；地道路由即為遠(yuǎn)程撥入用戶需要接見的內(nèi)網(wǎng)資源網(wǎng)段。9.如需要，點(diǎn)擊頁面右下方的高級配置按鈕，進(jìn)行SCVPN高級參數(shù)配置，包含參數(shù)配置、客戶端/USBKey配置、主機(jī)檢測/綁定配置、短信口令認(rèn)證配置和最優(yōu)路徑檢測配置。33Hillstone山石網(wǎng)科基礎(chǔ)配置手冊參數(shù)配置保持默認(rèn)即可。成立登錄取戶。從工具欄的下拉菜單項(xiàng)選擇擇當(dāng)?shù)赜脩?，彈出對話框?1.選中下拉菜單中的用戶按鈕，彈出對話框。在基本配置標(biāo)簽頁，進(jìn)行用戶名稱和密碼的配置。34Hillstone山石網(wǎng)科基礎(chǔ)配置手冊12.Web方式（用戶名/密碼）啟動S

32、CVPN。在IE閱讀器的地點(diǎn)欄輸入以下URL接見設(shè)施端：https:/IP-Address:Port-Number（默以為4433）。閱讀器轉(zhuǎn)到登錄頁面，輸入用戶名和密碼，并點(diǎn)擊登錄按鈕。14.下載并啟動SCVPN客戶端（用戶名/密碼）。使用Web方式登錄后，下載并安裝客戶35Hillstone山石網(wǎng)科基礎(chǔ)配置手冊端程序HillstoneSecureConnect。15.達(dá)成安裝后，雙擊桌面的HillstoneSecureConnect快捷方式，或許點(diǎn)擊“開始菜單”中的“全部程序HillstoneSecureConnectHillstoneSecureConnect，系”36Hillstone

33、山石網(wǎng)科基礎(chǔ)配置手冊統(tǒng)彈出登錄對話框，點(diǎn)擊對話框中的模式按鈕，系統(tǒng)彈出對話框（以下列圖所示）。選中單項(xiàng)選擇按鈕，點(diǎn)擊確立按鈕。16.在彈出的“用戶名/密碼”登錄模式客戶端程序登錄對話框，挨次填寫服務(wù)器地點(diǎn)、端口號、用戶名以及密碼，而后點(diǎn)擊登錄按鈕。DNAT配置目的地點(diǎn)映照主要用于將內(nèi)網(wǎng)的服務(wù)器對外進(jìn)行公布（如HTTP服務(wù)，F(xiàn)TP服務(wù)，數(shù)據(jù)庫服務(wù)等），使外網(wǎng)用戶能夠經(jīng)過外網(wǎng)地點(diǎn)接見需要公布的服務(wù)。常用的DNAT映照有一對一IP映照，一對一端口映照，多對多端口映照，一對多映照。一對一IP映照配置舉例：將公網(wǎng)地點(diǎn)映照到內(nèi)網(wǎng)地點(diǎn)請依據(jù)以下步驟進(jìn)行配置：創(chuàng)立兩個地點(diǎn)簿（內(nèi)網(wǎng)地點(diǎn)和外網(wǎng)地點(diǎn)）。從工具欄的下拉菜單項(xiàng)選擇擇地點(diǎn)簿，彈出對話框。點(diǎn)擊新建按鈕，彈出對話框。37Hillstone山石網(wǎng)科基礎(chǔ)配置手冊注意：針對此配置舉例，掩碼一定填寫32。同步驟1，創(chuàng)立內(nèi)網(wǎng)地點(diǎn)簿。3.新建目的NATIP映照規(guī)則。從頁面左邊導(dǎo)航樹選擇并點(diǎn)擊“配置-網(wǎng)絡(luò)-NAT”，進(jìn)入源NAT頁面。點(diǎn)擊目的NAT標(biāo)簽，進(jìn)入目的NAT頁面。點(diǎn)擊目的NAT列表中的新建按鈕，并在彈出的下拉菜單中選擇IP映照，彈出對話框。38Hillstone山石網(wǎng)科基礎(chǔ)配置手冊查察接口所在安全域。點(diǎn)擊目的NAT列表中的新建按鈕，并在彈出的下