全新Hillstone V4.0设备日常运维手册.doc

服务热线：400 828 6655? 0512Hillstone山石网科 多核安全网关 WebUI 日常运维手册 软件版本： StoneOS 4.0* 文档密级： 对外公开 更新记录： 版本 更新时间 更新人 V 1.0 2011-10-13 向明旺 目 录 一、设备基础管理 1 1.1设备登录 1 1.1.1 通过CLI管理设备 1 1.1.2 通过WebUI管理设备 2 1.2管理员帐号及权限设置 3 1.2.1 新增管理员 3 1.2.1 修改管理员密码 4 1.3 License安装 4 1.4设备软件升级 5 1.5设备配置备份与恢复 5 1.6系统诊断工具的使用 6 二、对象配置 7 2.1 配置地址薄 7 2.2 配置服务簿 7 三、网络配置 10 3.1 配置安全域 10 3.2 配置接口 11 3.3 配置路由 12 3.4 配置DNS 12 四、防火墙配置 14 4.1 配置防火墙策略 14 4.1.1 新增防火墙安全策略 14 4.1.2 编辑防火墙安全策略 15 4.2 配置NAT 16 4.2.1 配置源NAT 16 4.2.2 配置目的NAT 18 4.3 防火墙配置举例 21 五、QOS配置 29 5.1 配置IP QOS 29 5.2 配置应用 QOS 30 六、常用日志配置 32  一、设备基础管理 1.1设备登录 安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。 1.1.1 通过CLI管理设备 通过Console 口配置安全网关时需要在计算机上运行终端仿真程序（系统的超级终端、SecureCRT等）建立与安全网关的连接，并按如下表所示设置参数（与连接Cisco设备的参数一致）： 通过telnet或者SSH管理设备时，需要在相应接口下启用telnet或SSH管理服务，然后允许相应网段的IP管理设备（可信主机）。 对接口启用telnet或SSH管理服务的方法如下： 首先在网络—接口模式下点击带图标为的操作按钮， 然后在弹出的编辑窗口中对接口启用相应的管理服务，然后确认即可： 1.1.2 通过WebUI管理设备 WebUI同时支持http和https两种访问方式，首次登录设备可通过默认接口ethernet0/0 （默认IP 地址/24，该接口的所有管理服务默认均已被启用）来进行，登录方法为： 1. 将管理 PC 的IP 地址设置为与/24 同网段的IP 地址，并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。 2. 在管理 PC 的Web 浏览器中访问地址 并按回车键。出现登录页面如图2-3 所示： 3. 输入用户名和密码。安全网关提供的默认用户名和密码均为“hillstone”。 4. 在语言栏选择 Web 页面语言环境，中文或English。 5. 点击『登录』按钮进入安全网关的主页。 注意：非首次登录设备可将设备的相应接口（一般是内网接口）的相应管理服务（建议至少启用http、ping、telnet三种管理服务）启用，然后通过http://设备接口IP来管理设备。 1.2管理员帐号及权限设置 安全网关设备由系统管理员（Administrator）管理、配置。系统管理员的配置包括创建管理员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。安全网关拥有一个默认管理员“hillstone”，用户可以对管理员“hillstone”进行编辑，但是不能删除该管理员。 管理员权限规定如下： 管理员特权为管理员登录设备后拥有的权限。StoneOS 允许的权限有RX（读-执行）和RXW（读-执行-写）。 ? RX（读-执行）：读和执行权限。拥有该权限的管理员可以通过show 命令查看当前或者历史配置信息，可以在执行模式下运行import、export 和save 等命令。 ? RXW（读-执行-写）：读、执行和写权限。该权限的管理员除拥有RX 权限外，还可以在任何配置模式下对设备进行配置。另外，用户可以细化管理员的“写”权限，即使管理员仅能执行IP-MAC 配置。 1.2.1 新增管理员 在设备管理—基本信息模式下点击按钮，然后输入管理员用户名和密码，最后勾选对其开放的登录类型（建议将所有的登录类型都开放），点击确认即可。 1.2.1 修改管理员密码 在设备管理—基本信息模式下选择需要修改密码的管理员，然后点击右边的按钮，在弹出的编辑窗口口输入新密码，确认即可 1.3 License安装 安全网关提供两种安装新License的方式：手动或者选择文件。进入系统—许可证即可安装新的