示例一端口映射DNAT（VIP） .pptxVIP

|HillstoneConfidential;一、准备工作;管理接口;可以通过PC的串口连接或者通过网络连接来管理hillstone设备。

A.通过串口管理：

在PC端，启动一个终端仿真程序，如HyperTerm或TeraTermPro,使用以下配置:

?9600bps

?8bit,noparity

?1stopbit

?noflowcontrol

B.通过网络线缆管理（Telnet、SSH、HTTP、HTTPS等）：

防火墙E0/0接口默认IP为，用户可以配置PC为同网段IP连接至此接口进行管理登陆防火墙默认账号：

用户名:hillstone密码:hillstone;图形化管理界面-WebUI;WebUI界面初始页面结构;搭建基本实验环境;如果启用接口，需要先将接口绑定到安全域；接口可以绑定到2层安全域或者3层安全域，如果绑定到3层安全域，需要配置接

口IP地址。

设备上所有接口配置的IP地址都必须在不同网段。用户可以为接口配置静态IP地址，也可以让接口通过DHCP或者PPPoE协议动态获得IP地址。

接口可以配置一个管理IP专用于登陆管理设备，管理IP需和接口同网段，默认接口地址为管理地址。设备开放的管理服务基于接口配置，可以根据需要开启。;默认路由匹配所有目的IP，优先级一般最低，安全网关会匹配完精确路由再匹配默认路由。;如果启用接口，需要先将接口绑定到安全域；接口可以绑定到2层安全域或者3层安全域，如果绑定到3层安全域，需要配置接

口IP地址。

设备上所有接口配置的IP地址都必须在不同网段。用户可以为接口配置静态IP地址，也可以让接口通过DHCP或者PPPoE协议动态获得IP地址。

接口可以配置一个管理IP专用于登陆管理设备，管理IP需和接口同网段，默认接口地址为管理地址。设备开放的管理服务基于接口配置，可以根据需要开启。;配置系统管理员;在“系统管理管理员列出”页面列出了已配置的管理员账号，并且可以直观看到每个管理员的管理权限和允许管理方

式。

如果需要编辑管理员属性，点击该管理员右侧操作栏的编辑图标即可，可修改内容包括账户权限、允许管理方式以及该账户密码。

如需新建管理员账号，点击右上角“新建”按钮即可。;新建管理员可以根据需要配置不同权限和允许管理方式，管理员名称要求4-31个字符，管理员密码需符合系统已配置密码策

略规则。;配置文件管理;系统中最多可以保存两个StoneOS供用户选择使用。默认情况下，系统下次启

动时将使用新上载成功的StoneOS。用户也可以指定使用其他StoneOS作为下次启动时使用的StoneOS。请按照以下步骤指定下次启动时使用的StoneOS：

1.访问页面“系统维护系统固件”。

2.选择选择下次启动时使用的系统固件单选按钮。

3.在下拉菜单中选择下次启动是使用的StoneOS名称。

4.点击『确定』按钮。;DNS查询功能依赖于安全网关系统所使用DNS配置，需要先在网网络络DNS服服务务器器中中添加可用DNS服务器。;二、安全策略;策略基于安全域定制，用户需要将接口绑定到安全域中才可以通过策略控制接口之间的流量。;StoneOS系统拥有一个全局地址簿。用户需要为全局地址簿定义地址条目。在定义地址条目时，DNS名称可以直接用来代

替IP地址范围。已经配置好IP地址的接口也会作为地址条目自动添加到地址簿中，方便用户做NAT时使用。地址条目还具有以下特点：

?每一个地址簿中都有一条默认条目“Any”。“Any”对应的IP地址是/0，也就是代表所有IP地址。“Any”不可以编辑也不可以被删除。

?不同VSwitch或者VRouter地址簿中的地址条目允许同名。

?一条地址条目中可以包含同一地址簿中另外的地址条目。

?如果地址条目的IP地址范围发生了变化，StoneOS会自动更新其它引用了该地址条目的模块。;在StoneOS系统中，地址条目的IP地址范围是其成员IP地址范围的总和。地址条目成员有以下几种：

?IP成员：包括两种类型，一种为“IP地址/子网掩码”，如/24；

另一种为“IP地址通配符掩码”，如55，StoneOS不支持掩码转换为二进制后，其位数里从右往左第一个“1”左边的“0”的个数超过8个的通配符掩码（“0”可以连续也可以不连续），比如55是无效的通配符掩

码；和等都为有效的通配符掩码。

?主机成员：如

?IP范围：如–00

?地址簿中的其它地址条目;在编辑已添加地址簿界面中，用户可以添加或删除该地址簿成员，成员类型可以是IP成员、主机成员、IP范围或嵌套其他地

址簿的一种或多种条目。;服务（Service）是具有协议标准