Hillstone基本部署培训文档 - V2.pptxVIP

Hillstone安全网关基本部署 成都办事处PS 向明旺mwxiang@ 日程安排 一、Hillstone产品简介 StoneOS系统简介 功能组件 接口、安全域、Vswitch、Vrouter、防火墙策略 功能介绍 --交换路由 --NAT --防火墙策略控制 --QOS --IPS --AD（扛攻击） --VPN --NBC 注意：以上所列出的通用功能在所有硬件平台及版本上均支 持，前提是具备相应的license。 报文处理流程 StoneOS系统架构 报文处理流程 StoneOS系统架构 防火墙报文处理流程 接口和安全域绑定关系 报文处理流程 接口和安全域绑定应用案例 报文处理流程 二、准备工作 通过完成此章节课程，您将可以实现： 完成设备基本管理 搭建基本实验环境 管理接口 用户管理接口类型: CLI: Console Telnet SSH WebUI: HTTP HTTPS 不同管理方式 支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置 支持Console、telnet、ssh、http、https管理 参数 数值 波特率 9600 bit/s 数据位 8 停止位 1 校验/流控 无 参数 数值 接口 Eth0/0 用户名 hillstone 密码 hillstone 管理IP 图形化管理界面-WebUI 基于浏览器的WebUI管理方式简单灵活，可以完成常用的各种配置。 准备工作： 安全网关设备的e0/0接口配有默认IP地址，该接口的各种管理功能均为开启状态。初次使用可以通过该接口管理设备，具体操作为： 将管理PC的IP地址设置为与/24同网段的IP地址，打开PC的Web浏览器，输入 设备默认管理员用户名及密码均为“hillstone” 登陆后 WebUI界面初始页面结构 导航菜单 设备面板的端口连接状态 CPU、内存、会话数等设备运行情况 设备基本信息，包括：序列号、运行时间、软件版本、AV及特征库版本等 搭建基本实验环境 基本配置步骤: 配置接口 配置默认路由 配置允许访问策略 1）配置接口 网络 接口 编辑 网络 接口 点击需配置接口右侧编辑按钮 2）配置默认路由 网络 路由 目的路由 新建 3）配置上网策略 防火墙 策略 点击需配置接口右侧编辑按钮 内部上网是从Trust到untrust的访问，因此创建从内到外的访问策略 防火墙 策略 点击需配置接口右侧编辑按钮 “源地址”处选择要被限制的IP地址范围，若选择“Any”则会对经过设备的所有地址有效 配置系统管理员 系统管理 安全网关设备由系统管理员（Administrator）管理、配置。系统管理员的配置包括创建管理员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。安全网关拥有一个默认管理员“hillstone”，用户可以对管理员“hillstone”进行编辑，但是不能删除该管理员。 管理员分为读写执行权限管理员、只读执行权限管理员。 配置系统管理员 系统 设备管理 基本信息 配置系统管理员 系统 设备管理 基本信息 新建 配置文件管理 系统 配置 管理员可以导入、导出或者将系统恢复出厂配置 当前配置窗口提供对current配置的Web方式查阅 StoneOS升级 通过WebUI 升级StoneOS： 系统 系统软件 选择上载新系统固件单选按钮。 选中备份当前系统固件复选框。 系统将在上载的同时备份当前运行的StoneOS。 如不选中该选项，系统将用新上载的StoneOS 覆盖当前运行的StoneOS。 点击『浏览』按钮并且选中要上载的StoneOS。 点击『确定』按钮，系统开始上载指定的StoneOS。 完成升级后，需要重启安全网关启动新升级的StoneOS。 系统诊断工具（WebUI） 系统 工具: 安全网关提供基本的诊断工具，方便用户可以通过这些工具察看网络和路由是否连通。 三、安全策略 通过完成此章节课程，您将可以： 理解安全策略的用途 通过安全策略保护网络资源 安全策略基础 安全策略 策略是网络安全设备的基本功能。默认情况下，安全设备会拒绝设备上所有安全域之间的信息传输。而策略则通过策略规则（Policy Rule）决定从一个安全域到另一个安全域的哪些流量该被允许，哪些流量该被拒绝。 哪些网络流量可以允许通过？ 防火墙的核心功能组件 传输协议+端口 防火墙综合技术原理 策略控制： 会话检测： 对防火墙在不同安全域或安全级别之间的访问配置相应的策略规则后，数据报文入