HillStone最新配置基础手册.docVIP

HillStone SA- 配置手册 TOC \o 1-3 \h \z \u 1 网络端口配置 2 2 防火墙设置 12 3 VPN配置 14 4 流量控制配置 24 4.1 P2P限流 24 4.2 严禁P2P流量 25 4.3 IP流量控制 28 4.4 时间设置 29 4.5 统计功效 32 5 基础配置 35  本文是基于安全网关操作系统为Version 3.5进行编写，如版本不一样，配置过程有可能不一样。 网络端口配置 SA- 安全网关前面板有5个千兆电口、1个配置口、1个CLR按键、1个USB接口和状态指示灯。下图为SA- 前面板示意图： 序号 标识及说明 序号 标识及说明 1 PWR：电源指示灯 5 CLR：CLR按键 2 STA：状态指示灯 6 CON：配置口 3 ALM：警告指示灯 7 USB：USB接口 4 VPN：VPN状态指示灯 8 e0/0-e0/4：以太网电口 将网线接入到E0/0。防火墙ethernet0/0接口配有默认IP地址/24，但该端口没有设置为DHCP服务器为用户端提供IP地址，所以需要将PC机IP地址设置为同一网段，比如/24才能连上防火墙。 经过IE打开，然后输入默认用户名和密码（均为hillstone） 登录后首页面。能够看到CPU、内存、会话等使用情况。 很多品牌防火墙或路由器等，在默认情况下内网端口全部是划分好而且形成一个小型交换机，不过hillstone产品却需要自己手工设置。在本文档中，我们准备将E0/0划分为UNTRUST口连接互联网，E0/1～E0/4总共4个端口我们则划到一个交换机中并作为TRUST口连接内网。 在网络－接口界面中，新建一个bgroup端口，该端口是一个虚拟端口。 因为bgroup1接口需要提供路由功效，所以需要划入到三层安全域（trust）中。输入由集团信息中心提供IP地址。在管理设置中，尽可能将各个管理功效协议打开，尤其是HTTP功效。 建好bgroup1以后，对网络－接口页面中e0/1～e0/4分别修改，依次将它们划归为bgroup1。 设置好交换机功效后，还需要设置DHCP功效，方便PC机接入时能够自动获取IP地址。新建一个DHCP地址池 依据集团信息中心提供IP地址段设置IP地址池。 租约里尽可能将时间设大部分，这么在追查统计时候，不会因为PC机IP地址频繁发生变动而难以追踪。 确定以后，POOL1地址则建好了，不过，还需要修改DNS才能让PC机能够访问到集团内网。编辑POOL1进入高级配置界面。 DNS1和DNS2分别设置为集团总部1和3两个DNS。 设置完地址池以后，需要将该地址池捆绑到bgroup1方便让bgroup1能够为PC机分配IP地址。 确定以上步骤操作成功后，将原来连接到E0/0网线任意插入到E0/1~E0/4一个端口中，看看PC机是否能够获取到IP地址了。经过IPCONFIG/ALL命令能够看到，PC机这时候已经获取到IP及DNS了。 将原来IE浏览器关闭，重新打开IE浏览器、输入网关地址（即bgroup1地址）并输入用户名密码。 确定完E0/1-4任意一个TRUST口能获取IP后，即可修改E0/0为对外连接端口。本文档中是以E0/0为ADSL拨号连接为示例。新建一个PPPOE配置 输入ADSL用户名及密码。将自动重连间隔修改为1，不然ADSL不会自动重拨。 默认配置中，E0/0是属于trust域，需要将该端口修改为untrust并将PPPOE捆绑到该端口。点击网络－接口，并修改E0/0设置。启用设置路由。管理协议中，原来默认均开启了e0/0全部管理端口，我们能够在稍后确定全部配置均调试完成后关闭部分协议以增强防火墙安全性。 点击确定后，能够看到e0/0已经划入到untrust安全域中。  防火墙设置 源NAT规则指定是否对符合条件流量源IP地址做NAT转换。经过基础选项配置指定源NAT规则中流量应符合条件。符合条件流量才能根据规则指定行为进行转换。 HillStone安全网关和其它品牌防火墙在策略配置中其中一个区分就是NAT设置。其它防火墙通常全部是自动设置好，但在HillStone中，必需要手工将上网行为和访问内网NAT策略明确区分才行。 建立一条让项目PC能够访问互联网时进行NAT转换策略。 在防火墙－NAT－源NAT中新建一条基础配置策略 源地址选择ipv4.bgroup1_subnet，出接口仍然是选择e0/0。行为选择NAT（出接口IP） NAT策略建立好以后，在防火墙－策略中需要新建访问策略。 源安全域选择trust，目标安全域选择untrust，点击新建 服务簿中选择ANY，即默认许可全部网络应