HillStone最新配置手冊(cè).doc

HillStone SA-2001配置手冊(cè)1網(wǎng)絡(luò)端口配置22防火墻設(shè)置123VPN配置144流量控制的配置244.1P2P限流244.2禁止P2P流量254.3IP流量控制284.4時(shí)間的設(shè)置294.5統(tǒng)計(jì)功能325基礎(chǔ)配置35本文是基于安全網(wǎng)關(guān)操作系統(tǒng)為Version 3.5進(jìn)行編寫(xiě)，如版本不同，配置過(guò)程有可能不一樣。1 網(wǎng)絡(luò)端口配置SA-2001安全網(wǎng)關(guān)前面板有5個(gè)千兆電口、1個(gè)配置口、1個(gè)CLR按鍵、1個(gè)USB接口以及狀態(tài)指示燈。下圖為SA-2001的前面板示意圖： 序號(hào) 標(biāo)識(shí)及說(shuō)明 序號(hào)標(biāo)識(shí)及說(shuō)明 1 PWR：電源指示燈 5 CLR：CLR按鍵 2 STA：狀態(tài)指示燈 6 CON：配置口 3 ALM：警告指示燈 7 USB：USB接口 4 VPN：VPN狀態(tài)指示燈 8 e0/0-e0/4：以太網(wǎng)電口 將網(wǎng)線(xiàn)接入到E0/0。防火墻的ethernet0/0接口配有默認(rèn)IP地址/24，但該端口沒(méi)有設(shè)置為DHCP服務(wù)器為客戶(hù)端提供IP地址，因此需要將PC機(jī)的IP地址設(shè)置為同一網(wǎng)段，例如/24才能連上防火墻。通過(guò)IE打開(kāi)，然后輸入默認(rèn)的用戶(hù)名和密碼（均為hillstone）登錄后的首頁(yè)面?？梢钥吹紺PU、內(nèi)存、會(huì)話(huà)等使用情況。很多品牌的防火墻或者路由器等，在默認(rèn)情況下內(nèi)網(wǎng)端口都是劃分好并且形成一個(gè)小型交換機(jī)的，但是hillstone的產(chǎn)品卻需要自己手工設(shè)置。在本文檔中，我們準(zhǔn)備將E0/0劃分為UNTRUST口連接互聯(lián)網(wǎng)，E0/1E0/4總共4個(gè)端口我們則劃到一個(gè)交換機(jī)中并作為T(mén)RUST口連接內(nèi)網(wǎng)。在網(wǎng)絡(luò)接口界面中，新建一個(gè)bgroup端口，該端口是一個(gè)虛擬的端口。因?yàn)閎group1接口需要提供路由功能，因此需要?jiǎng)澣氲饺龑影踩颍╰rust）中。輸入由集團(tuán)信息中心提供的IP地址。在管理設(shè)置中，盡量將各個(gè)管理功能的協(xié)議打開(kāi)，尤其是HTTP功能。建好bgroup1之后，對(duì)網(wǎng)絡(luò)接口頁(yè)面中的e0/1e0/4分別修改，依次將它們劃歸為bgroup1。設(shè)置好交換機(jī)功能后，還需要設(shè)置DHCP功能，以便PC機(jī)接入時(shí)可以自動(dòng)獲取IP地址。新建一個(gè)DHCP地址池根據(jù)集團(tuán)信息中心提供的IP地址段設(shè)置IP地址池。 租約里盡量將時(shí)間設(shè)大一些，這樣在追查記錄的時(shí)候，不會(huì)因?yàn)镻C機(jī)的IP地址頻繁發(fā)生變動(dòng)而難以追蹤。確定之后，POOL1的地址則建好了，不過(guò)，還需要修改DNS才能讓PC機(jī)可以訪(fǎng)問(wèn)到集團(tuán)內(nèi)網(wǎng)。編輯POOL1進(jìn)入高級(jí)配置界面。DNS1和DNS2分別設(shè)置為集團(tuán)總部的1和3兩個(gè)DNS。設(shè)置完地址池之后，需要將該地址池捆綁到bgroup1以便讓bgroup1可以為PC機(jī)分配IP地址。確認(rèn)以上步驟操作成功后，將原來(lái)連接到E0/0的網(wǎng)線(xiàn)任意插入到E0/1E0/4的一個(gè)端口中，看看PC機(jī)是否可以獲取到IP地址了。通過(guò)IPCONFIG/ALL命令可以看到，PC機(jī)這時(shí)候已經(jīng)獲取到IP及DNS了。將原來(lái)的IE瀏覽器關(guān)閉，重新打開(kāi)IE瀏覽器、輸入網(wǎng)關(guān)地址（即bgroup1的地址）并輸入用戶(hù)名密碼。確認(rèn)完E0/1-4的任意一個(gè)TRUST口能獲取IP后，即可修改E0/0為對(duì)外連接端口。本文檔中是以E0/0為ADSL撥號(hào)連接為示例。新建一個(gè)PPPOE配置輸入ADSL的用戶(hù)名及密碼。將自動(dòng)重連間隔修改為1，否則ADSL不會(huì)自動(dòng)重?fù)?。默認(rèn)配置中，E0/0是屬于trust域的，需要將該端口修改為untrust并將PPPOE捆綁到該端口。點(diǎn)擊網(wǎng)絡(luò)接口，并修改E0/0的設(shè)置。啟用設(shè)置路由。管理的協(xié)議中，原來(lái)默認(rèn)均開(kāi)啟了e0/0所有的管理端口，我們可以在稍后確認(rèn)所有的配置均調(diào)試完畢后關(guān)閉一些協(xié)議以增強(qiáng)防火墻的安全性。點(diǎn)擊確定后，可以看到e0/0已經(jīng)劃入到untrust的安全域中。2 防火墻設(shè)置源NAT規(guī)則指定是否對(duì)符合條件的流量的源IP地址做NAT轉(zhuǎn)換。通過(guò)基本選項(xiàng)的配置指定源NAT規(guī)則中流量應(yīng)符合的條件。符合條件的流量才能按照規(guī)則指定的行為進(jìn)行轉(zhuǎn)換。HillStone安全網(wǎng)關(guān)與其他品牌的防火墻在策略配置中的其中一個(gè)區(qū)別就是NAT設(shè)置。其他防火墻一般都是自動(dòng)設(shè)置好，但在HillStone中，必須要手工將上網(wǎng)行為和訪(fǎng)問(wèn)內(nèi)網(wǎng)的NAT策略明確區(qū)分才行。建立一條讓項(xiàng)目PC可以訪(fǎng)問(wèn)互聯(lián)網(wǎng)時(shí)進(jìn)行NAT轉(zhuǎn)換的策略。在防火墻NAT源NAT中新建一條基本配置的策略源地址選擇ipv4.bgroup1_subnet，出接口仍然是選擇e0/0。行為選擇NAT（出接口IP）NAT策略建立好之后，在防火墻策略中需要新建訪(fǎng)問(wèn)策略。源安全域選擇trust，目的安全域選擇untrust，點(diǎn)擊新建服務(wù)簿中選擇ANY，即默認(rèn)允許所有的網(wǎng)絡(luò)應(yīng)用均可使用。行為默認(rèn)為允許3 VPN配置設(shè)置完網(wǎng)絡(luò)端口的配置之后，開(kāi)始設(shè)置VPN。HillStone的VPN設(shè)置跟5GT或者FVS114有點(diǎn)區(qū)別，需要手工先設(shè)置合適的P1提議和P2提議。點(diǎn)擊VPNIPSec VPN。在P1提議中新建一個(gè)提議，如gemdale-p1。集團(tuán)現(xiàn)在均使用pre-shared key-MD5-3DES-Group2的加密策略。同樣的方式再新建一個(gè)P2。選用ESP-MD5-3DES-No PFS新建完P(guān)1和P2之后，開(kāi)始新建一個(gè)IPSec VPN。在IKE VPN列表中點(diǎn)新建輸入對(duì)端名稱(chēng)gemdale（可以隨便起名，不同防火墻設(shè)備均可以設(shè)置相同的名字。為方便識(shí)別，這里可以統(tǒng)一設(shè)置為gemdale）。接口設(shè)置為對(duì)外連接的端口E/0。 模式為野蠻模式（aggressive mode）。靜態(tài)IP0指向集團(tuán)總部防火墻。本地ID一定要設(shè)置，一般由集團(tuán)信息中心提供（常為城市項(xiàng)目名用途，如上海趙巷項(xiàng)目部為shzhaoxxmb）。對(duì)端ID可以不用設(shè)置。提議1則選用前面新增的gemdale-p1。共享密鑰為便于記憶可以設(shè)置與本地ID一致。（這些設(shè)置均須與集團(tuán)信息中心協(xié)商）點(diǎn)擊高級(jí),增加DPD功能： 勾選對(duì)端存活體檢測(cè)（DPD）設(shè)置好步驟1之后，點(diǎn)擊步驟2：隧道為便于管理，隧道的名稱(chēng)與本地ID值一致。模式為tunnel，提議名稱(chēng)選用前面設(shè)置好的gemdale-p2。 自動(dòng)連接：配置自動(dòng)連接功能。默認(rèn)情況下，該功能是關(guān)閉的，選擇復(fù)選框開(kāi)啟該功能。安全網(wǎng)關(guān)提供兩種觸發(fā)建立SA的方式：自動(dòng)方式和流量觸發(fā)方式。自動(dòng)方式時(shí)，設(shè)備每60秒檢查一次SA的狀態(tài)，如果SA未建立則自動(dòng)發(fā)起協(xié)商請(qǐng)求；流量觸發(fā)方式時(shí)，當(dāng)有數(shù)據(jù)流量需要通過(guò)隧道進(jìn)行傳輸時(shí)，該隧道才發(fā)起協(xié)商請(qǐng)求。默認(rèn)情況下，系統(tǒng)使用流量觸發(fā)方式。為了訪(fǎng)問(wèn)集團(tuán)內(nèi)網(wǎng)，需要制定一條不需要NAT轉(zhuǎn)換的策略。點(diǎn)擊防火墻NAT源NAT，在源NAT列表中，新建一條高級(jí)配置在源地址的地址簿中選擇ipv4.bgroup1_subnet，這個(gè)就是安全網(wǎng)關(guān)的內(nèi)部網(wǎng)段。在目的地址中，如果之前沒(méi)有在對(duì)象地址簿中建立過(guò)集團(tuán)總部網(wǎng)段的信息，則可以直接通過(guò)點(diǎn)目的地址的地址簿，下拉菜單中會(huì)有【新建】的提示點(diǎn)擊【新建】之后出現(xiàn)下面的地址簿配置界面。名稱(chēng)起集團(tuán)總部，IP地址填，掩碼為17位，即建好集團(tuán)總部這個(gè)地址簿之后，在目的地址的地址簿中就可以選擇集團(tuán)總部。出接口選擇e0/0，行為選擇不做NAT除了建立一條訪(fǎng)問(wèn)集團(tuán)總部?jī)?nèi)網(wǎng)的NAT策略之外，還需要繼續(xù)新建VPN訪(fǎng)問(wèn)的策略。同樣，在防火墻策略中，選擇新建一條從trust到untrust的策略。源地址選擇ipv4.bgroup1_subnet，目的地址選擇集團(tuán)總部，行為選擇【隧道】，隧道中選擇之前在VPN建好的IPSEC VPN策略。將雙向VPN策略構(gòu)選，這樣，就不需要再建一條從untrust到trust的VPN防火墻策略了（如果配置的時(shí)候忘記構(gòu)選該選項(xiàng)，則需要再新建一條untrust到trust的策略，行為則要選擇來(lái)自隧道）。此時(shí)，點(diǎn)防火墻策略可以看到之前設(shè)置好的3條策略。如果新建策略的時(shí)候順序反了，例如新建了VPN的防火墻策略之后再建上網(wǎng)策略，則需要將點(diǎn)將順序?qū)φ{(diào)一下。下圖為順序建反的情況，必須要將ANY到ANY的策略放在VPN防火墻策略的下面，即將ID為1的策略放在ID為2的策略下面。4 流量控制的配置使用HillStone的最大目的則是利用其豐富的流量控制管理功能實(shí)現(xiàn)項(xiàng)目上的網(wǎng)絡(luò)流量控制。默認(rèn)情況下，安全網(wǎng)關(guān)沒(méi)有打開(kāi)應(yīng)用識(shí)別功能，需要在網(wǎng)絡(luò)安全域中，將trust或者untrust或者兩個(gè)安全域的應(yīng)用識(shí)別啟用。4.1 P2P限流對(duì)于P2P流量，可以實(shí)行限流。即允許用戶(hù)使用迅雷或者電驢等軟件，但流量做了特別的限制，例如只允許上下行帶寬為32kbps（相當(dāng)于4Kbyte/秒）。這里可以根據(jù)各項(xiàng)目的實(shí)際情況而放寬流量的大小。在QoS應(yīng)用QoS中添加一條控制策略。例如，規(guī)則名稱(chēng)起名為gemdale-p2p流量，接口綁定到bgroup1，應(yīng)用選擇P2P下載、P2P視頻和HTTP_Download（這里的HTTP_Download并非是指IE中的直接下載，而是指封堵迅雷中的80端口P2P下載功能）。注意上行和下行。HillStone中對(duì)上行和下行的定義與在一些專(zhuān)業(yè)級(jí)路由器相似，即根據(jù)端口的進(jìn)出來(lái)決定上行還是下行。對(duì)于bgroup1，PC機(jī)的下載流量對(duì)于這個(gè)端口而言是出去的流量，因此是上行流量；而PC機(jī)上傳的流量對(duì)于這個(gè)端口而言是進(jìn)到安全網(wǎng)關(guān)的流量，因此是下行流量。4.2 禁止P2P流量除了限流這種控制方式之外，我們也可以選擇直接禁止P2P流量。在對(duì)象服務(wù)簿中，新建一個(gè)自定義服務(wù)組，并將P2P所用到的協(xié)議劃分到該服務(wù)組中。例如，組名可以起禁止P2P服務(wù)，組成員選擇P2P下載、P2P視頻和HTTP_Download（這里的HTTP_Download并非是指IE中的直接下載，而是指封堵迅雷中的80端口P2P下載功能）。建好自定義服務(wù)組之后，在防火墻策略中新建一條從trust到untrust的策略，該策略用于禁止P2P流量的下載。 在服務(wù)簿中選擇之前建好的禁止P2P服務(wù)，然后行為在選擇拒絕。建好策略之后，可以看到新建的策略是位于默認(rèn)上網(wǎng)策略（ID 1）下面的，因此，還需要將該禁止策略放在A(yíng)NY到ANY策略的上面。點(diǎn)擊對(duì)其進(jìn)行調(diào)整。將該條策略規(guī)則移到默認(rèn)上網(wǎng)策略（ID 1）的前面移完之后再確認(rèn)一下配置是否正確4.3 IP流量控制除了控制P2P流量之外，我們還要對(duì)單個(gè)IP進(jìn)行流量控制。這是基于一下幾點(diǎn)考慮的：一、 有可能P2P的軟件不斷更新，而安全網(wǎng)關(guān)的應(yīng)用特征庫(kù)沒(méi)有及時(shí)更新，可能會(huì)導(dǎo)致新的P2P流量出現(xiàn)從而導(dǎo)致帶寬資源全部被占用；二、 PC也有可能中病毒而產(chǎn)生大流量從而導(dǎo)致帶寬資源全部被占用；三、 用戶(hù)有可能通過(guò)IE直接下載一些大流量的軟件在QoSIP QoS中新建一個(gè)規(guī)則。規(guī)則名稱(chēng)起名gemdale-qos；接口綁定到bgroup1；IP地址從地址簿的下拉菜單中選擇ipv4.bgroup1_subnet；對(duì)于項(xiàng)目部，大多數(shù)都是選用2M的ADSL（下載到2M，上傳到512K），因此，可以考慮將每個(gè)IP的流量限制在上行400kbps，下行100kbps。注意上行和下行。HillStone中對(duì)上行和下行的定義與在一些專(zhuān)業(yè)級(jí)路由器相似，即根據(jù)端口的進(jìn)出來(lái)決定上行還是下行。對(duì)于bgroup1，PC機(jī)的下載流量對(duì)于這個(gè)端口而言是出去的流量，因此是上行流量；而PC機(jī)上傳的流量對(duì)于這個(gè)端口而言是進(jìn)到安全網(wǎng)關(guān)的流量，因此是下行流量。4.4 時(shí)間的設(shè)置如果需要設(shè)置人性化的流量管理，可以考慮將時(shí)間考慮進(jìn)去。例如，可以計(jì)劃每天早上8：30到晚上8點(diǎn)半這個(gè)時(shí)間段禁止（或者限流）進(jìn)行P2P的下載。在對(duì)象時(shí)間表里新建一個(gè)時(shí)間表。在防火墻策略中找到禁止P2P服務(wù)的規(guī)則，對(duì)它進(jìn)行編輯，并將時(shí)間表的下拉菜單中選擇之前新建的時(shí)間表規(guī)則。如果是限流P2P流量的設(shè)置，則在QoS應(yīng)用Qos中將上下行的時(shí)間表選中如果是對(duì)IP限流，則在QoSIP QoS中增加上下行的時(shí)間表4.5 統(tǒng)計(jì)功能默認(rèn)情況下，安全網(wǎng)關(guān)沒(méi)有將流量情況進(jìn)行統(tǒng)計(jì)，需要根據(jù)實(shí)際情況開(kāi)啟自己所需的功能。在監(jiān)控統(tǒng)計(jì)集里，構(gòu)選接口IP應(yīng)用帶寬。（如果需要一登錄安全網(wǎng)關(guān)即可在首頁(yè)里看到統(tǒng)計(jì)，則還需要構(gòu)選系統(tǒng)全局統(tǒng)計(jì)中的IP上下行帶寬等。構(gòu)選完畢之后，在監(jiān)控統(tǒng)計(jì)集里可以選擇bgroup1看到項(xiàng)目上PC使用網(wǎng)絡(luò)的情況。首頁(yè)的界面可以看到前10IP的上下行帶寬。 不過(guò)，所有這些監(jiān)控菜單中的統(tǒng)計(jì)數(shù)據(jù)均存放在設(shè)備的緩存中而已，一旦安全網(wǎng)關(guān)重啟則全部丟失。如果配合HIllStone的HSM網(wǎng)管平臺(tái)則可以解決這個(gè)問(wèn)題。5 基礎(chǔ)配置新設(shè)備購(gòu)買(mǎi)過(guò)來(lái)之后，license一般都還沒(méi)更新，需要讓供應(yīng)商將合法的License發(fā)給我們后自行更新。2010年1月1日之后，License至少有兩個(gè)，一個(gè)是基礎(chǔ)平臺(tái)，一個(gè)是QOS。升級(jí)如下：上圖是