1、部署Hillstone安全网关,宋正锟,日程安排,一. 准备工作,通过完成此章节课程,您将可以:了解设备管理方式完成基本上网配置,管理接口,用户管理接口类型:CLI:ConsoleTelnet SSHWebUI:HTTPHTTPS,不同管理方式,支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置支持Console、telnet、ssh、http、https管理,图形化管理界面-WebUI,基于浏览器的WebUI管理方式简单灵活,可以完成常用的各种配置。准备工作: 安全网关设备的e0/0接口配有默认IP地址192.168.1.1,该接口的各种管理功能均为开启状态。初次
2、使用可以通过该接口管理设备,具体操作为: 将管理PC的IP地址设置为与192.168.1.1/24同网段的IP地址,打开PC的Web浏览器,输入http:/192.168.1.1 设备默认管理员用户名及密码均为“hillstone”,登陆后,WebUI界面初始页面结构,导航菜单,设备面板的端口连接状态,CPU、内存、会话数等设备运行情况,设备基本信息,包括:序列号、运行时间、软件版本、AV及特征库版本等,当前网络中占用带宽最多的IP排名,CLI用户接口,通过Console线连接PC的串口至安全网关的CON接口打开终端模拟器使用以下缺省账户登陆用户名: hillstone 密码: hillsto
3、neCLI 快捷键使用 Tab 自动补齐命令使用 ? 查看帮助,进入配置模式,全局配置模式:全局配置模式允许用户修改安全网关的配置参数。用户在执行模式下,输入configure 命令,可进入全局配置模式。该模式的提示符如下所示: hostname(config)#子模块配置模式:安全网关的不同模块功能需要在其对应的命令行子模块模式下进行配置。用户在全局配置模式输入特定的命令可以进入相应的子模块配置模式。例如,运行interface ethernet0/0 命令进入ethernet0/0 接口配置模式,此时的提示符变更为: hostname(config-if-eth0/0)#,初始基本配置,基
4、本配置步骤:配置接口配置默认路由配置允许访问策略,1)配置接口(WebUI),网络 接口 编辑,网络 接口 点击需配置接口右侧编辑按钮,2)配置默认路由(WebUI),网络 路由 目的路由 新建,3)配置上网策略(WebUI),防火墙 策略 点击需配置接口右侧编辑按钮,内部上网是从Trust到untrust的访问,因此创建从内到外的访问策略,防火墙 策略 点击需配置接口右侧编辑按钮,“源地址”处选择要被限制的IP地址范围,若选择“Any”则会对经过设备的所有地址有效,小结,在本章中讲述了以下内容:系统构件的功能完成基本上网配置,问题,1、如何通过浏览器对设备进行管理?2、如何开放内网用户上网的
5、策略?,密码策略,WebUI:系统 设备管理 基本信息:,密码策略 hillstone提供密码复杂度检测功能,可以通过启用此功能强制新建管理员账号的密码符合复杂度需求。,系统管理员,系统管理安全网关设备由系统管理员(Administrator)管理、配置。系统管理员的配置包括创建管理员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。安全网关拥有一个默认管理员“hillstone”,用户可以对管理员“hillstone”进行编辑,但是不能删除该管理员。管理员分为读写执行权限管理员、只读执行权限管理员。,配置系统管理员(WebUI),系统 设备管理 基本信息,配置系统管理员(WebUI)
6、,系统 设备管理 基本信息 新建,可信主机,可信主机安全网关使用可信主机来进一步保证系统安全。管理员可以指定一个IP地址范围,在该指定范围内的主机为可信主机。只有可信主机才可以对安全网关进行管理。,配置可信主机(WebUI),系统 设备管理 可信主机,管理接口,安全网关支持的管理接口类型:Console、Telnet、SSH 、WebUI 自定义管理接口:各种访问方式的超时时间、端口号以及HTTPS 的PKI 信任域在一分钟内连续三次登录失败,系统会将登录失败的IP 地址锁定两分钟。被锁定的IP 地址在两分钟内不能建立与设备的连接,配置管理接口(WebUI),系统 设备管理 用户接口,配置文件
7、管理,配置文件:以命令行的格式保存安全网关的配置信息1台设备可最大支持保存10份配置配置文件中保存的用来初始化安全网关的配置信息称作起始配置信息,安全网关通过读取起始配置信息进行启动时的初始化工作;如果找不到起始配置信息,安全网关则使用安全网关的缺省参数初始化系统纪录最近十次保存的配置信息,最近一次保存的配置信息会纪录为系统的当前起始配置信息,当前系统配置信息以“current”作为标记;前九次的配置信息按照保存时间的先后以数字0 到8 作为标记。,配置文件管理(WebUI),系统 配置 管理员可以导入、导出或者将系统恢复出厂配置当前配置窗口提供对current配置的Web方式查阅,Stone
8、OS升级,通过WebUI 升级StoneOS:系统 系统软件选择单选按钮。选中复选框。系统将在上载的同时备份当前运行的StoneOS。如不选中该选项,系统将用新上载的StoneOS 覆盖当前运行的StoneOS。点击浏览按钮并且选中要上载的StoneOS。点击确定按钮,系统开始上载指定的StoneOS。完成升级后,需要重启安全网关启动新升级的StoneOS。,系统时间,安全网关的时间影响到VPN 隧道的建立和时间表的时间,并且日志都是基于系统时间记录的,因此系统时间的精确性十分重要。安全网关支持两种设置时间的方式,分别是手动设置和通过NTP 与服务器同步。,系统时间(WebUI),手动设置系统
9、时间:系统 日期/时间可以手动设置系统时间,或者点击“同步”按钮通过浏览器获取管理员本地电脑时间。,系统诊断工具(WebUI),系统 工具:安全网关提供基本的诊断工具方便,用户可以通过这些工具察看网络和路由是否连通。,小结,在本章中讲述了以下内容配置系统管理员/可信主机配置管理接口配置文件管理StoneOS版本升级配置系统时间系统诊断工具,问题,1、如何回退到以前保存的配置?2、升级系统 Image(StoneOS)的方法?,五. 基本安全策略,通过完成此章节课程,您将可以:理解安全策略的用途通过安全策略保护网络资源,IP-MAC绑定,为加强网络安全控制,安全网关支持IP-MAC 地址绑定、M
10、AC-端口绑定以及IP-MAC-端口 绑定。这些绑定信息分为静态和动态两种。通过ARP 学习功能、ARP 扫描功能以及MAC 学习功能获得绑定信息为动态绑定信息;而手工配置的绑定信息为静态信息。同时,安全网关还具有ARP 检查功能。,IP-MAC绑定,安全 IP-MAC 静态绑定,小结,在本章中讲述了以下内容:基于时间表配置安全策略配置网络攻击防护配置主机防御及IP-MAC绑定,七. 日志报表,通过完成此章节课程,您将可以:熟悉日志分类及日志的管理熟悉安全网关产品的历史统计报表功能,日志类型,事件日志 Event Log 告警日志 Alarm Log安全日志 security Log配置日志 Configuration Log 网络日志 Network Log流量日志 Traffic Log,日志输出,Console终端(Remote)内存缓存(Buffer)文件(File)系统日志服务器(Syslog Server) Email 地址,配置日志功能,系统 日志管理 Log配置 中可以选择需配置日志类型,如事件日志,开启日志功能并选择开启记录日志到什么位置,查看日志,日志报表 中可以选择需查看日志类型,如事件日志,如已开启到内存缓存的日志记录,则可以通过该页面查看具体日志内容,Q/A,Q/A,
