部署Hillstone安全網關宋正錕francisco.song.zk@日程安排準備工作設備的簡單配置上網行為管理實驗Q/A一.準備工作通過完成此章節課程，您將可以：了解設備管理方式完成基本上網配置管理接口用戶管理接口類型:CLI:ConsoleTelnetSSHWebUI:HTTPHTTPS不同管理方式支持本地與遠程兩種環境配置方法，可以通過CLI和WebUI兩種方式進行配置支持Console、telnet、ssh、http、https管理參數數值波特率9600bit/s數據位8停止位1校驗/流控無參數數值接口Eth0/0用戶名hillstone密碼hillstone管理IP圖形化管理界面-WebUI基于瀏覽器的WebUI管理方式簡單靈活，可以完成常用的各種配置。準備工作：

安全網關設備的e0/0接口配有默認IP地址，該接口的各種管理功能均為開啟狀態。初次使用可以通過該接口管理設備，具體操作為：

將管理PC的IP地址設置為與/24同網段的IP地址，打開PC的Web瀏覽器，輸入

設備默認管理員用戶名及密碼均為“hillstone”登陸后WebUI界面初始頁面結構導航菜單設備面板的端口連接狀態CPU、內存、會話數等設備運行情況設備基本信息，包括：序列號、運行時間、軟件版本、AV及特征庫版本等當前網絡中占用帶寬最多的IP排名CLI用戶接口通過Console線連接PC的串口至安全網關的CON接口打開終端模擬器使用以下缺省賬戶登陸用戶名:hillstone

密碼:hillstoneCLI快捷鍵使用Tab自動補齊命令使用

?

查看幫助進入配置模式全局配置模式:全局配置模式允許用戶修改安全網關的配置參數。用戶在執行模式下，輸入configure命令，可進入全局配置模式。該模式的提示符如下所示：

hostname(config)#子模塊配置模式：安全網關的不同模塊功能需要在其對應的命令行子模塊模式下進行配置。用戶在全局配置模式輸入特定的命令可以進入相應的子模塊配置模式。例如，運行interfaceethernet0/0命令進入ethernet0/0接口配置模式，此時的提示符變更為：

hostname(config-if-eth0/0)#初始基本配置基本配置步驟:配置接口配置默認路由配置允許訪問策略1）配置接口（WebUI）網絡>接口

編輯網絡>接口點擊需配置接口右側編輯按鈕2）配置默認路由（WebUI）網絡>路由>目的路由

新建3）配置上網策略（WebUI）防火墻>策略點擊需配置接口右側編輯按鈕內部上網是從Trust到untrust的訪問，因此創建從內到外的訪問策略防火墻>策略點擊需配置接口右側編輯按鈕“源地址”處選擇要被限制的IP地址范圍，若選擇“Any”則會對經過設備的所有地址有效小結在本章中講述了以下內容：系統構件的功能完成基本上網配置問題1、如何通過瀏覽器對設備進行管理？2、如何開放內網用戶上網的策略？密碼策略WebUI：系統>設備管理>基本信息：

密碼策略hillstone提供密碼復雜度檢測功能，可以通過啟用此功能強制新建管理員賬號的密碼符合復雜度需求。

系統管理員系統管理安全網關設備由系統管理員（Administrator）管理、配置。系統管理員的配置包括創建管理員、配置管理員的特權、配置管理員密碼、以及管理員的訪問方式。安全網關擁有一個默認管理員“hillstone”，用戶可以對管理員“hillstone”進行編輯，但是不能刪除該管理員。管理員分為讀寫執行權限管理員、只讀執行權限管理員。配置系統管理員（WebUI）系統>設備管理>基本信息配置系統管理員（WebUI）系統>設備管理>基本信息新建可信主機可信主機安全網關使用可信主機來進一步保證系統安全。管理員可以指定一個IP地址范圍，在該指定范圍內的主機為可信主機。只有可信主機才可以對安全網關進行管理。配置可信主機（WebUI）系統>設備管理>可信主機管理接口安全網關支持的管理接口類型:Console、Telnet、SSH、WebUI自定義管理接口：各種訪問方式的超時時間、端口號以及HTTPS的PKI信任域在一分鐘內連續三次登錄失敗，系統會將登錄失敗的IP地址鎖定兩分鐘。被鎖定的IP地址在兩分鐘內不能建立與設備的連接配置管理接口（WebUI）系統>設備管理>用戶接口配置文件管理配置文件：以命令行的格式保存安全網關的配置信息1臺設備可最大支持保存10份配置配置文件中保存的用來初始化安全網關的配置信息稱作起始配置信息，安全網關通過讀取起始配置信息進行啟動時的初始化工作；如果找不到起始配置信息，安全網關則使用安全網關的缺省參數初始化系統紀錄最近十次保存的配置信息，最近一次保存的配置信息會紀錄為系統的當前起始配置信息，當前系統配置信息以“current”作為標記；前九次的配置信息按照保存時間的先后以數字0到8作為標記。配置文件管理（WebUI）系統>配置管理員可以導入、導出或者將系統恢復出廠配置當前配置窗口提供對current配置的Web方式查閱StoneOS升級通過WebUI升級StoneOS：系統>系統軟件選擇<上載新系統固件>單選按鈕。選中<備份當前系統固件>復選框。系統將在上載的同時備份當前運行的StoneOS。如不選中該選項，系統將用新上載的StoneOS覆蓋當前運行的StoneOS。點擊『瀏覽』按鈕并且選中要上載的StoneOS。點擊『確定』按鈕，系統開始上載指定的StoneOS。完成升級后，需要重啟安全網關啟動新升級的StoneOS。系統時間安全網關的時間影響到VPN隧道的建立和時間表的時間，并且日志都是基于系統時間記錄的，因此系統時間的精確性十分重要。安全網關支持兩種設置時間的方式，分別是手動設置和通過NTP與服務器同步。系統時間（WebUI）手動設置系統時間:系統>日期/時間可以手動設置系統時間，或者點擊“同步”按鈕通過瀏覽器獲取管理員本地電腦時間。系統診斷工具（WebUI）系統>工具:安全網關提供基本的診斷工具方便，用戶可以通過這些工具察看網絡和路由是否連通。小結在本章中講述了以下內容配置系統管理員/可信主機配置管理接口配置文件管理StoneOS版本升級配置系統時間系統診斷工具問題1、如何回退到以前保存的配置？2、升級系統Image（StoneOS）的方法？五.基本安全策略通過完成此章節課程，您將可以：理解安全策略的用途通過安全策略保護網絡資源IP-MAC綁定為加強網絡安全控制，安全網關支持IP-MAC地址綁定、MAC-端口綁定以及IP-MAC-端口綁定。這些綁定信息分為靜態和動態兩種。通過ARP學習功能、ARP掃描功能以及MAC學習功能獲得綁定信息為動態綁定信息；而手工配置的綁定信息為靜態信息。同時，安全網關還具有ARP檢查功能。IP-MAC綁定安全>IP-MAC>靜態綁定小結在本章中講述了以下內容：基于時間表配置安全策略配置網絡攻擊防護配置主機防御及IP-MAC綁定七.日志報表通過完成此章節課程，您將可以：熟悉日志分類及日志的管理熟悉安全網關產品的歷史統計報表功能日志類型事件日志EventLog告警日志AlarmLog安全日志securityLog配置日志ConfigurationLog網絡日志NetworkLog流量日志TrafficLog日志輸出Console終端（Remote）內存緩存（Buffer