hillstone培訓(xùn)-路由器部分

部署Hillstone安全網(wǎng)關(guān)宋正錕francisco.song.zk@日程安排準(zhǔn)備工作設(shè)備的簡(jiǎn)單配置上網(wǎng)行為管理實(shí)驗(yàn)Q/A一.準(zhǔn)備工作通過完成此章節(jié)課程，您將可以：了解設(shè)備管理方式完成基本上網(wǎng)配置管理接口用戶管理接口類型:CLI:ConsoleTelnetSSHWebUI:HTTPHTTPS不同管理方式支持本地與遠(yuǎn)程兩種環(huán)境配置方法，可以通過CLI和WebUI兩種方式進(jìn)行配置支持Console、telnet、ssh、http、https管理參數(shù)數(shù)值波特率9600bit/s數(shù)據(jù)位8停止位1校驗(yàn)/流控?zé)o參數(shù)數(shù)值接口Eth0/0用戶名hillstone密碼hillstone管理IP圖形化管理界面-WebUI基于瀏覽器的WebUI管理方式簡(jiǎn)單靈活，可以完成常用的各種配置。準(zhǔn)備工作：

安全網(wǎng)關(guān)設(shè)備的e0/0接口配有默認(rèn)IP地址，該接口的各種管理功能均為開啟狀態(tài)。初次使用可以通過該接口管理設(shè)備，具體操作為：

將管理PC的IP地址設(shè)置為與/24同網(wǎng)段的IP地址，打開PC的Web瀏覽器，輸入

設(shè)備默認(rèn)管理員用戶名及密碼均為“hillstone”登陸后WebUI界面初始頁(yè)面結(jié)構(gòu)導(dǎo)航菜單設(shè)備面板的端口連接狀態(tài)CPU、內(nèi)存、會(huì)話數(shù)等設(shè)備運(yùn)行情況設(shè)備基本信息，包括：序列號(hào)、運(yùn)行時(shí)間、軟件版本、AV及特征庫(kù)版本等當(dāng)前網(wǎng)絡(luò)中占用帶寬最多的IP排名CLI用戶接口通過Console線連接PC的串口至安全網(wǎng)關(guān)的CON接口打開終端模擬器使用以下缺省賬戶登陸用戶名:hillstone

密碼:hillstoneCLI快捷鍵使用Tab自動(dòng)補(bǔ)齊命令使用

?

查看幫助進(jìn)入配置模式全局配置模式:全局配置模式允許用戶修改安全網(wǎng)關(guān)的配置參數(shù)。用戶在執(zhí)行模式下，輸入configure命令，可進(jìn)入全局配置模式。該模式的提示符如下所示：

hostname(config)#子模塊配置模式：安全網(wǎng)關(guān)的不同模塊功能需要在其對(duì)應(yīng)的命令行子模塊模式下進(jìn)行配置。用戶在全局配置模式輸入特定的命令可以進(jìn)入相應(yīng)的子模塊配置模式。例如，運(yùn)行interfaceethernet0/0命令進(jìn)入ethernet0/0接口配置模式，此時(shí)的提示符變更為：

hostname(config-if-eth0/0)#初始基本配置基本配置步驟:配置接口配置默認(rèn)路由配置允許訪問策略1）配置接口（WebUI）網(wǎng)絡(luò)>接口

編輯網(wǎng)絡(luò)>接口點(diǎn)擊需配置接口右側(cè)編輯按鈕2）配置默認(rèn)路由（WebUI）網(wǎng)絡(luò)>路由>目的路由

新建3）配置上網(wǎng)策略（WebUI）防火墻>策略點(diǎn)擊需配置接口右側(cè)編輯按鈕內(nèi)部上網(wǎng)是從Trust到untrust的訪問，因此創(chuàng)建從內(nèi)到外的訪問策略防火墻>策略點(diǎn)擊需配置接口右側(cè)編輯按鈕“源地址”處選擇要被限制的IP地址范圍，若選擇“Any”則會(huì)對(duì)經(jīng)過設(shè)備的所有地址有效小結(jié)在本章中講述了以下內(nèi)容：系統(tǒng)構(gòu)件的功能完成基本上網(wǎng)配置問題1、如何通過瀏覽器對(duì)設(shè)備進(jìn)行管理？2、如何開放內(nèi)網(wǎng)用戶上網(wǎng)的策略？密碼策略WebUI：系統(tǒng)>設(shè)備管理>基本信息：

密碼策略hillstone提供密碼復(fù)雜度檢測(cè)功能，可以通過啟用此功能強(qiáng)制新建管理員賬號(hào)的密碼符合復(fù)雜度需求。

系統(tǒng)管理員系統(tǒng)管理安全網(wǎng)關(guān)設(shè)備由系統(tǒng)管理員（Administrator）管理、配置。系統(tǒng)管理員的配置包括創(chuàng)建管理員、配置管理員的特權(quán)、配置管理員密碼、以及管理員的訪問方式。安全網(wǎng)關(guān)擁有一個(gè)默認(rèn)管理員“hillstone”，用戶可以對(duì)管理員“hillstone”進(jìn)行編輯，但是不能刪除該管理員。管理員分為讀寫執(zhí)行權(quán)限管理員、只讀執(zhí)行權(quán)限管理員。配置系統(tǒng)管理員（WebUI）系統(tǒng)>設(shè)備管理>基本信息配置系統(tǒng)管理員（WebUI）系統(tǒng)>設(shè)備管理>基本信息新建可信主機(jī)可信主機(jī)安全網(wǎng)關(guān)使用可信主機(jī)來(lái)進(jìn)一步保證系統(tǒng)安全。管理員可以指定一個(gè)IP地址范圍，在該指定范圍內(nèi)的主機(jī)為可信主機(jī)。只有可信主機(jī)才可以對(duì)安全網(wǎng)關(guān)進(jìn)行管理。配置可信主機(jī)（WebUI）系統(tǒng)>設(shè)備管理>可信主機(jī)管理接口安全網(wǎng)關(guān)支持的管理接口類型:Console、Telnet、SSH、WebUI自定義管理接口：各種訪問方式的超時(shí)時(shí)間、端口號(hào)以及HTTPS的PKI信任域在一分鐘內(nèi)連續(xù)三次登錄失敗，系統(tǒng)會(huì)將登錄失敗的IP地址鎖定兩分鐘。被鎖定的IP地址在兩分鐘內(nèi)不能建立與設(shè)備的連接配置管理接口（WebUI）系統(tǒng)>設(shè)備管理>用戶接口配置文件管理配置文件：以命令行的格式保存安全網(wǎng)關(guān)的配置信息1臺(tái)設(shè)備可最大支持保存10份配置配置文件中保存的用來(lái)初始化安全網(wǎng)關(guān)的配置信息稱作起始配置信息，安全網(wǎng)關(guān)通過讀取起始配置信息進(jìn)行啟動(dòng)時(shí)的初始化工作；如果找不到起始配置信息，安全網(wǎng)關(guān)則使用安全網(wǎng)關(guān)的缺省參數(shù)初始化系統(tǒng)紀(jì)錄最近十次保存的配置信息，最近一次保存的配置信息會(huì)紀(jì)錄為系統(tǒng)的當(dāng)前起始配置信息，當(dāng)前系統(tǒng)配置信息以“current”作為標(biāo)記；前九次的配置信息按照保存時(shí)間的先后以數(shù)字0到8作為標(biāo)記。配置文件管理（WebUI）系統(tǒng)>配置管理員可以導(dǎo)入、導(dǎo)出或者將系統(tǒng)恢復(fù)出廠配置當(dāng)前配置窗口提供對(duì)current配置的Web方式查閱StoneOS升級(jí)通過WebUI升級(jí)StoneOS：系統(tǒng)>系統(tǒng)軟件選擇<上載新系統(tǒng)固件>單選按鈕。選中<備份當(dāng)前系統(tǒng)固件>復(fù)選框。系統(tǒng)將在上載的同時(shí)備份當(dāng)前運(yùn)行的StoneOS。如不選中該選項(xiàng)，系統(tǒng)將用新上載的StoneOS覆蓋當(dāng)前運(yùn)行的StoneOS。點(diǎn)擊『瀏覽』按鈕并且選中要上載的StoneOS。點(diǎn)擊『確定』按鈕，系統(tǒng)開始上載指定的StoneOS。完成升級(jí)后，需要重啟安全網(wǎng)關(guān)啟動(dòng)新升級(jí)的StoneOS。系統(tǒng)時(shí)間安全網(wǎng)關(guān)的時(shí)間影響到VPN隧道的建立和時(shí)間表的時(shí)間，并且日志都是基于系統(tǒng)時(shí)間記錄的，因此系統(tǒng)時(shí)間的精確性十分重要。安全網(wǎng)關(guān)支持兩種設(shè)置時(shí)間的方式，分別是手動(dòng)設(shè)置和通過NTP與服務(wù)器同步。系統(tǒng)時(shí)間（WebUI）手動(dòng)設(shè)置系統(tǒng)時(shí)間:系統(tǒng)>日期/時(shí)間可以手動(dòng)設(shè)置系統(tǒng)時(shí)間，或者點(diǎn)擊“同步”按鈕通過瀏覽器獲取管理員本地電腦時(shí)間。系統(tǒng)診斷工具（WebUI）系統(tǒng)>工具:安全網(wǎng)關(guān)提供基本的診斷工具方便，用戶可以通過這些工具察看網(wǎng)絡(luò)和路由是否連通。小結(jié)在本章中講述了以下內(nèi)容配置系統(tǒng)管理員/可信主機(jī)配置管理接口配置文件管理StoneOS版本升級(jí)配置系統(tǒng)時(shí)間系統(tǒng)診斷工具問題1、如何回退到以前保存的配置？2、升級(jí)系統(tǒng)Image（StoneOS）的方法？五.基本安全策略通過完成此章節(jié)課程，您將可以：理解安全策略的用途通過安全策略保護(hù)網(wǎng)絡(luò)資源IP-MAC綁定為加強(qiáng)網(wǎng)絡(luò)安全控制，安全網(wǎng)關(guān)支持IP-MAC地址綁定、MAC-端口綁定以及IP-MAC-端口綁定。這些綁定信息分為靜態(tài)和動(dòng)態(tài)兩種。通過ARP學(xué)習(xí)功能、ARP掃描功能以及MAC學(xué)習(xí)功能獲得綁定信息為動(dòng)態(tài)綁定信息；而手工配置的綁定信息為靜態(tài)信息。同時(shí)，安全網(wǎng)關(guān)還具有ARP檢查功能。IP-MAC綁定安全>IP-MAC>靜態(tài)綁定小結(jié)在本章中講述了以下內(nèi)容：基于時(shí)間表配置安全策略配置網(wǎng)絡(luò)攻擊防護(hù)配置主機(jī)防御及IP-MAC綁定七.日志報(bào)表通過完成此章節(jié)課程，您將可以：熟悉日志分類及日志的管理熟悉安全網(wǎng)關(guān)產(chǎn)品的歷史統(tǒng)計(jì)報(bào)表功能日志類型事件日志EventLog告警日志AlarmLog安全日志securityLog配置日志ConfigurationLog網(wǎng)絡(luò)日志NetworkLog流量日志TrafficLog日志輸出Console終端（Remote）內(nèi)存緩存（Buffer