部署Hillstone_SA安全网关解析.ppt

NAT 网络地址转换（Network Address Translation）简称为NAT，是将IP 数据包包头中的IP 地址转换为另一个IP 地址。当IP 数据包通过路由器或者安全网关时，路由器或者安全网关会把IP 数据包的源IP 地址和/或者目的IP 地址进行转换。在实际应用中，NAT 主要用于私有网络访问外部网络的情况。 RFC1918 规定的三类私有地址 A 类： - 55（/8） B 类： - 55（/12） C 类： - 55（/16） Hillstone Networks Confidential * NAT转换过程 Hillstone Networks Confidential * NAT规则 SNAT （源NAT规则） 转换源IP 地址，从而隐藏内部IP 地址或者分享有限的IP 地址。 DNAT （目的NAT规则） 转换目的IP 地址，通常是将受安全网关保护的内部服务器（如WWW 服务器或者SMTP 服务器）的IP地址转换成公网IP 地址。 NAT规则顺序 每一条NAT 都有唯一一个ID 号。流量进入安全网关时，安全网关对NAT规则进行顺序查找，然后按照查找到的相匹配的第一条规则对流量的源IP 做NAT转换。ID 的大小顺序并不是规则匹配顺序。使用show snat/dnat 命令列出的规则顺序才是规则匹配顺序。通过移动已有的NAT 规则从而改变规则的排列顺序。 Hillstone Networks Confidential * Hillstone Networks Confidential VPN * * Hillstone Networks Confidential * * Hillstone Networks Confidential 部署Hillstone SA安全网关HS-101-A Jun Song Jan. 2008 日程安排 * Hillstone Networks Confidential Hillstone Networks Confidential 系统管理 * 搭建配置环境 支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置 支持Console、telnet、ssh、http、https管理 Hillstone Networks Confidential * 系统管理 配置主机名称 配置系统管理员 配置可信主机 配置管理用户接口 配置文件管理 系统维护与调试 配置系统重启 StoneOS版本升级 许可证管理 日志管理 统计功能 简单网络管理协议（SNMP） 网络时间协议（NTP） Hillstone Networks Confidential * Hillstone Networks Confidential 系统管理 可信主机 通过使用可信主机来加强系统安全。管理员可以指定一个IP地址范围，在该指定范围内的主机为可信主机。只有可信主机才可以对安全网关进行管理。 默认情况下，安全网关的可信主机范围是/0，即所有主机都是可信主机。 Traceroute Traceroute 用于测试数据包从发送主机到目的地所经过的网关。它主要用于检查网络连接是否可达，以及分析网络什么地方发生了故障。 * 系统管理 启动系统的过程 Bootloader – 安全网关上电后最先运行的程序。Bootloader 装载执行StoneOS 或者Sysloader。 Sysloader - 升级StoneOS。 StoneOS – 安全网关的操作系统软件。 系统启动后，Bootloader 尝试启动 StoneOS 或者Sysloader。StoneOS 是安全网关的操作系统软件。Sysloader 实现StoneOS 的更新和选择，支持FTP、TFTP 以及直接通过USB Host 接口升级。Sysloader 本身的升级由Bootloader通过TFTP 下载完成。 Hillstone Networks Confidential * 许可证 平台许可证（Platform License）： 平台许可证是SA 系列安全网关的基本许可证，用来激活相应平台的标准功能、性能和系统容量。没有平台许可证的设备是不可以被配置的。最终用户购得的设备都已装有平台许可证。 试用许可证（Platform Trial-license）： 试用许可证与平台许可证功能相同，可以激活相应平台的标准功能、性能和系统容量。但是，试用许可证的使用期限仅为3 个月（设备运行时间）。试用许可证供用户在正式购买前测试使用。 性能许可证（Performance License）： 性能许可证用来提高设备的性能，例如提高设备的CPU 处理能力。 高级许可证（Advanced License）： 高级