hillstone安全网关基础运维手册v50.docxVIP

服务热线：400 828 6655? Hillstone山石网科多核安全网关基础运维手册V 5.0目录一．设备管理31.1 console登录31.2 WebUI登录31.3恢复出厂设置51.4Stone-OS升级7二．基础上网配置112.1接口配置112.2 路由配置132.3策略配置152.4 源NAT配置17三．其他常用功能配置193.1 PPPoE配置193.2 DHCP功能配置223.3 Ip-Mac地址绑定功能24一．设备管理安全网关支持本地与远程两种环境配置方法，可以通过CLI和WebUI两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。1.1 console登录通过Console 口配置安全网关时需要在计算机上运行终端仿真程序（系统的超级终端、SecureCRT等）建立与安全网关的连接，并按如下表所示设置参数（与连接Cisco设备的参数一致）：1.2 WebUI登录WebUI同时支持http和https两种访问方式，首次登录设备可通过默认接口ethernet0/0来进行，登录方法为：1. 将管理PC 的IP 地址设置为与/24 同网段的IP 地址，并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。2. 在管理PC 的Web 浏览器中访问地址并按回车键。出现的登录页面如下图所示：1.3 恢复出厂设置1．CLI命令行操作a.输入：Unset allb.根据提示，选择是否保存当前配置：y/nc.选择是否重启：y/nd.系统重启后即恢复到出厂设置。2．webUI图形化界面操作a.web方式登陆安全网关系统，依次按点击界面右上角“系统管理”—“配置备份还原”。b.在弹出页面选择“恢复出厂配置”，点击“下一步”c.在弹出页面选择“是，立即重启设备”，点击完成。等重启后就恢复了出厂配置3．硬件CLR操作a.关闭安全网关的电源；b.用针状物按住CLR按键（安全网关正面的小孔），打开电源按钮；c.保持住状态直到指示灯的STA和ALM均变红色常亮，释放CLR按键此时系统开始恢复出厂配置；d.出厂配置恢复完毕，系统将会自动重新启动。Stone-OS升级1．通过sysloader进行StoneOS升级a.给设备上电按提示按ESC并且进入Sysloader。参照以下操作提示；b.在下面选择对应的选项升级os，可以通过tftp、ftp、usb、系统中备份的os。（本文以tftp为例），按下图弹出窗口选择1；c.确保安全网关与控制主机的连通性，并将需升级的os考到指定目录；d.依次配置Sysloader的IP 地址、TFTP服务器的IP 地址、网关IP 地址以及StoneOS名称；e.保存StoneOS；f.重启，系统将使用新的StoneOS启动；2．通过WebUI升级StoneOSa.访问页面登录安全网关设备。b.依次点击右上角“系统管理”—“版本升级”，弹出升级系统软件的界面；选择“升级到最新的软件版本”，点击“下一步”c.在新界面里面点击“浏览”，选择新的需要升级的os点击“下一步”e.选择“是，立即重启设备“，点击完成。重启后系统及升级到新的os。注意：如果选择否，设备会在下次重启后加载新系统。二．基础上网配置对于一台全新的设备，如果只是需要简单的内部用户可以正常上网，只需要配置接口、路由、策略和源nat这4项功能，以下是具体配置方法：2.1接口配置1.进入设备管理界面后，点击左边 配置--网络连接2.选择相应的接口，点击编辑或者双击3.在接口配置界面中，选择接口的安全域类型（三层接口即为三层安全域，二层接口即为二层安全域）、安全域名称（一般内网使用trust或l2-trust安全域，外网使用untrust或l2-untrust）、接口ip地址网络掩码和接口的管理方式注意：如果外网接口使用的是PPPoE的拨号接入，接口配置请参考文档3.1PPPoE相关配置。2.2 路由配置防火墙网络路由目的路由新建，显示如下：点击新建，显示的配置界面如下：假设下一跳为7（一般填写运营商所给定的网关地址）点击确定，新建成功注意：实例为配置默认路由，如果需要添加明细路由，请在第三步更改目的地与子网掩码。2.3策略配置防火墙安全策略新建，显示如下：点击新建，显示的配置界面如下：点击确定，新建成功注意：配置完全通策略，所有经过防火墙的流量都会被放行。如需进行精确控制，请修改安全域、ip地址和服务等配置。2.4 源NAT配置防火墙网络NAT源NAT新建，显示如下：点击新建，显示的配置界面如下：点击确定，配置成功三．其他常用功能配置3.1 PPPoE配置具体配置如下防火墙选择接口接口配置，显示如下：防火墙网络PPPOE列表，显示如下：点击PPPOE列表，显示的配置界面如下：点击新建，配置界面如下。点击确