Hillstone基本部署培訓(xùn)文檔(共88張)

1、成都辦事處 向明旺 | Hillstone Confidential日程安排產(chǎn)品簡介準(zhǔn)備工作安全策略網(wǎng)絡(luò)地址轉(zhuǎn)換流量管理報(bào)表統(tǒng)計(jì) | Hillstone Confidential一、產(chǎn)品簡介u 系統(tǒng)簡介l 功能組件l 接口、安全域、防火墻策略l 功能介紹l 交換&路由l l 防火墻策略控制l l l （扛攻擊）l l 注意：以上所列出的通用功能在所有硬件平臺及版本上均支 持，前提是具備相應(yīng)的。 | Hillstone Confidential報(bào)文處理流程u 系統(tǒng)架構(gòu) | Hillstone Confidential報(bào)文處理流程u 系統(tǒng)架構(gòu) | Hillstone Confidentia

2、l防火墻報(bào)文處理流程u 接口和安全域綁定關(guān)系 | Hillstone Confidential報(bào)文處理流程u 接口和安全域綁定應(yīng)用案例 | Hillstone Confidential報(bào)文處理流程二、準(zhǔn)備工作 通過完成此章節(jié)課程，您將可以實(shí)現(xiàn)： 完成設(shè)備基本管理 搭建基本實(shí)驗(yàn)環(huán)境管理接口用戶管理接口類型: :不同管理方式支持本地與遠(yuǎn)程兩種環(huán)境配置方法，可以通過 和 兩種方式進(jìn)行配置支持、管理參數(shù) 數(shù)值 波特率 9600 數(shù)據(jù)位 8停止位 1校驗(yàn)/流控?zé)o參數(shù) 數(shù)值 接口0/0用戶名密碼管理 | Hillstone Confidential圖形化管理界面基于瀏覽器的管理方式簡單靈活，可以完成常用的

3、各種配置。準(zhǔn)備工作： 安全網(wǎng)關(guān)設(shè)備的e0/0接口配有默認(rèn)地址192.168.1.1，該接口的各種管理功能均為開啟狀態(tài)。初次使用可以通過該接口管理設(shè)備，具體操作為： 將管理的地址設(shè)置為與192.168.1.1/24同網(wǎng)段的地址，打開的瀏覽器，輸入 設(shè)備默認(rèn)管理員用戶名及密碼均為“”登陸后 | Hillstone Confidential界面初始頁面結(jié)構(gòu)導(dǎo)航菜單設(shè)備面板的端口連接狀態(tài)、內(nèi)存、會話數(shù)等設(shè)備運(yùn)行情況設(shè)備基本信息，包括：序列號、運(yùn)行時(shí)間、軟件版本、及特征庫版本等搭建基本實(shí)驗(yàn)環(huán)境 基本配置步驟: 配置接口 配置默認(rèn)路由 配置允許訪問策略1）配置接口網(wǎng)絡(luò)網(wǎng)絡(luò) 接口接口 編輯編輯網(wǎng)絡(luò)網(wǎng)絡(luò) 接口

4、接口 點(diǎn)擊需配置接口右側(cè)編輯按鈕點(diǎn)擊需配置接口右側(cè)編輯按鈕2）配置默認(rèn)路由網(wǎng)絡(luò)網(wǎng)絡(luò) 路由路由 目的路由目的路由 新建新建3）配置上網(wǎng)策略防火墻防火墻 策略策略 點(diǎn)擊需配置接口右側(cè)編輯按鈕點(diǎn)擊需配置接口右側(cè)編輯按鈕內(nèi)部上網(wǎng)是從到的訪問，因此創(chuàng)建從內(nèi)到外的訪問策略防火墻防火墻 策略策略 點(diǎn)擊需配置接口右側(cè)編輯按鈕點(diǎn)擊需配置接口右側(cè)編輯按鈕“源地址”處選擇要被限制的地址范圍，若選擇“”則會對經(jīng)過設(shè)備的所有地址有效配置系統(tǒng)管理員系統(tǒng)管理安全網(wǎng)關(guān)設(shè)備由系統(tǒng)管理員（）管理、配置。系統(tǒng)管理員的配置包括創(chuàng)建管理員、配置管理員的特權(quán)、配置管理員密碼、以及管理員的訪問方式。安全網(wǎng)關(guān)擁有一個默認(rèn)管理員“”，用戶可以

5、對管理員“”進(jìn)行編輯，但是不能刪除該管理員。管理員分為讀寫執(zhí)行權(quán)限管理員、只讀執(zhí)行權(quán)限管理員。配置系統(tǒng)管理員系統(tǒng) 設(shè)備管理 基本信息配置系統(tǒng)管理員系統(tǒng) 設(shè)備管理 基本信息 新建 配置文件管理系統(tǒng) 配置 管理員可以導(dǎo)入、導(dǎo)出或者將系統(tǒng)恢復(fù)出廠配置當(dāng)前配置窗口提供對配置的方式查閱升級通過 升級：系統(tǒng) 系統(tǒng)軟件選擇單選按鈕。選中復(fù)選框。系統(tǒng)將在上載的同時(shí)備份當(dāng)前運(yùn)行的。如不選中該選項(xiàng)，系統(tǒng)將用新上載的 覆蓋當(dāng)前運(yùn)行的。點(diǎn)擊瀏覽按鈕并且選中要上載的。點(diǎn)擊確定按鈕，系統(tǒng)開始上載指定的。完成升級后，需要重啟安全網(wǎng)關(guān)啟動新升級的。系統(tǒng)診斷工具（）系統(tǒng)系統(tǒng) 工具工具:安全網(wǎng)關(guān)提供基本的診斷工具，方便用戶可以通

6、過這些工具察看網(wǎng)絡(luò)和安全網(wǎng)關(guān)提供基本的診斷工具，方便用戶可以通過這些工具察看網(wǎng)絡(luò)和路由是否連通。路由是否連通。三、安全策略 通過完成此章節(jié)課程，您將可以： 理解安全策略的用途 通過安全策略保護(hù)網(wǎng)絡(luò)資源安全策略基礎(chǔ)安全策略策略是網(wǎng)絡(luò)安全設(shè)備的基本功能。默認(rèn)情況下，安全設(shè)備會拒絕設(shè)備上所有安全域之間的信息傳輸。而策略則通過策略規(guī)則（ ）決定從一個安全域到另一個安全域的哪些流量該被允許，哪些流量該被拒絕。 | Hillstone Confidential防火墻的核心功能組件會話狀態(tài)表會話狀態(tài)表 五元組：源IP源端口目的IP目的端口傳輸協(xié)議安全策略安全策略 五元組：源IP源安全域目的IP目的安全域服務(wù)

7、傳輸協(xié)議+端口 | Hillstone Confidential防火墻綜合技術(shù)原理 策略控制： 會話檢測：對防火墻在不同安全域或安全級別之間的訪問配置相應(yīng)的策略規(guī)則后，數(shù)據(jù)報(bào)文入防火墻時(shí)防火墻會基于五元組去查詢與之匹配的策略規(guī)則（每種報(bào)文只會匹配一次，如所有的規(guī)則都不匹配則匹配默認(rèn)的策略規(guī)則），然后執(zhí)行規(guī)則中定義的相應(yīng)動作（）。對于已經(jīng)成功建立的會話，防火墻會為之建立會話表，以記錄報(bào)文的相關(guān)信息（五元組），新的報(bào)文進(jìn)入防火墻之后防火墻會先查詢是否有與之相匹配的會話條目，如有則直接按會話狀態(tài)走 處理，以節(jié)約等資源。如不是已經(jīng)存在的會話，則查詢策略規(guī)則并安裝會話狀態(tài)表，以便快速處理后續(xù)同一會話的其

8、它報(bào)文。 | Hillstone Confidential地址（） 地址簿是 系統(tǒng)中用來儲存 地址范圍與其名稱的對應(yīng)關(guān)系的數(shù)據(jù)庫。 地址簿中的 地址與名稱的對應(yīng)關(guān)系條目被稱作地址條目（ ）。 地址條目的 地址改變時(shí)， 會自動更新引用了該地址條目的模塊。配置地址本（）對象 地址簿 新建地址薄名稱地址薄成員配置地址本（）對象 地址簿 編輯地址薄成員 | Hillstone Confidential服務(wù)（） 服務(wù)（）：具有協(xié)議標(biāo)準(zhǔn)的信息流。服務(wù)具有服務(wù)（）：具有協(xié)議標(biāo)準(zhǔn)的信息流。服務(wù)具有一定的特征，例如相應(yīng)的協(xié)議、端口號等。一定的特征，例如相應(yīng)的協(xié)議、端口號等。 服務(wù)組：將一些服務(wù)組織到一起便組成了

9、服務(wù)服務(wù)組：將一些服務(wù)組織到一起便組成了服務(wù)組。用戶可以直接將服務(wù)組應(yīng)用到安全網(wǎng)關(guān)策組。用戶可以直接將服務(wù)組應(yīng)用到安全網(wǎng)關(guān)策略中，這樣便簡化了管理。略中，這樣便簡化了管理。 | Hillstone Confidential系統(tǒng)預(yù)定義服務(wù)對象 服務(wù)簿 用戶可以查看或修改系統(tǒng)預(yù)定義服務(wù)，預(yù)定義服務(wù)只提供對服務(wù)超時(shí)時(shí)間進(jìn)行修改。 | Hillstone Confidential系統(tǒng)預(yù)定義服務(wù)組對象 服務(wù)薄用戶可以查看系統(tǒng)預(yù)定義服務(wù)組，預(yù)定義服務(wù)組不可修改。 | Hillstone Confidential用戶自定義服務(wù) 除了使用 提供的預(yù)定義服務(wù)以外，用戶還可以很容易地創(chuàng)建自己的自定義服務(wù)。用戶自定

10、義服務(wù)可包含最多8 條服務(wù)條目。用戶需指定的自定義服務(wù)條目的參數(shù)包括： 名稱 傳輸協(xié)議 或 類型服務(wù)的源和目標(biāo)端口號或者 類型服務(wù)的 和 值 超時(shí)時(shí)間 應(yīng)用類型 | Hillstone Confidential配置自定義服務(wù)對象 服務(wù)簿 自定義服務(wù) 新建服務(wù)名稱協(xié)議源、目的端口 | Hillstone Confidential配置服務(wù)組對象 服務(wù)簿 自定義服務(wù)組 | Hillstone Confidential配置策略規(guī)則（）防火墻 策略 | Hillstone Confidential配置策略規(guī)則（）安全 策略檢查/移動策略規(guī)則安全 策略 小結(jié)v在本章中講述了以下內(nèi)容：v安全策略的用途v配置

11、安全策略使用的地址薄v配置服務(wù)簿和服務(wù)組v配置安全策略保護(hù)網(wǎng)絡(luò)資源源目的與相關(guān)策略四、網(wǎng)絡(luò)地址轉(zhuǎn)換 | Hillstone Confidential源配置示例 配置步驟： 第一步，配置源規(guī)則 第二步，配置訪問策略 示例環(huán)境描述： 系統(tǒng)部署模式為路由模式，外網(wǎng)接口為0/4 所有用戶上網(wǎng)均需成防火墻外網(wǎng)接口地址 | Hillstone Confidential第一步，配置源規(guī)則第一步，配置源規(guī)則創(chuàng)建源規(guī)則，將上網(wǎng)流量數(shù)據(jù)包源接口轉(zhuǎn)換為外網(wǎng)。 | Hillstone Confidential第二步，配置訪問策略第二步，配置訪問策略源規(guī)則只是定義了網(wǎng)絡(luò)層面的轉(zhuǎn)換，如需上網(wǎng)，則要添加相應(yīng)訪問策略。 源

12、目的 與相關(guān)策略議程：網(wǎng)絡(luò)地址轉(zhuǎn)換 | Hillstone Confidential示例一 端口映射（）安全域有服務(wù)器和服務(wù)器，如下圖所示，現(xiàn)有公網(wǎng)地址202.1.1.3可用，通過此將上述兩服務(wù)器發(fā)布。 | Hillstone Confidential第一步，配置地址簿第一步，配置地址簿分別添加202.1.1.3和10.1.2.10、10.1.2.11的地址簿。 | Hillstone Confidential第二步，配置目的規(guī)則第二步，配置目的規(guī)則添加端口映射的目的策略，將訪問到202.1.1.3的服務(wù)的流量轉(zhuǎn)到10.1.2.10的21端口。 | Hillstone Confidential

13、第二步，配置目的規(guī)則（續(xù)）第二步，配置目的規(guī)則（續(xù)）添加端口映射的目的策略，將訪問到202.1.1.3的服務(wù)的流量轉(zhuǎn)到10.1.2.11的80端口。 | Hillstone Confidential第三步，配置訪問策略第三步，配置訪問策略上述規(guī)則已經(jīng)定義了網(wǎng)絡(luò)層面的對應(yīng)關(guān)系，如需開放外網(wǎng)到服務(wù)器的訪問，需添加相應(yīng)訪問策略，策略目的為服務(wù)器映射所對應(yīng)的公網(wǎng)，如下圖依次添加，目的為映射虛，服務(wù)為和的策略。 | Hillstone Confidential示例二 映射（）安全域有服務(wù)器和服務(wù)器，如下圖所示，現(xiàn)有公網(wǎng)地址202.1.1.4和202.1.1.5可用，通過映射將上述兩服務(wù)器發(fā)布。 | Hi

14、llstone Confidential第一步，配置地址簿第一步，配置地址簿分別添加202.1.1.4、202.1.1.5和10.1.2.10、10.1.2.11的地址簿。 | Hillstone Confidential第二步，配置目的規(guī)則第二步，配置目的規(guī)則添加映射的目的規(guī)則，將訪問到202.1.1.4的流量轉(zhuǎn)到10.1.2.10，訪問到202.1.1.5的流量轉(zhuǎn)到10.1.2.11。 | Hillstone Confidential第三步，配置訪問策略第三步，配置訪問策略上述規(guī)則已經(jīng)定義了網(wǎng)絡(luò)層面的對應(yīng)關(guān)系，如需開放外網(wǎng)到服務(wù)器的訪問，需添加相應(yīng)訪問策略，策略目的為服務(wù)器映射所對應(yīng)的公網(wǎng)

15、，如下圖依次添加，目的為映射虛（202.1.1.4/202.1.1.5）的策略。54小結(jié)v在本章中講述了以下內(nèi)容：v的分類v源和目的的應(yīng)用基本概念 應(yīng)用五、流量管理 | Hillstone Confidential為什么需要l 大流量時(shí)關(guān)鍵應(yīng)用運(yùn)行受沖擊l 帶寬沒有充分利用l 突發(fā)特性不受控制l 大流量時(shí)關(guān)鍵應(yīng)用運(yùn)行受保護(hù)l 帶寬充分利用l 突發(fā)特性受到控制 | Hillstone Confidential | Hillstone Confidential 功能介紹 基于的可以實(shí)現(xiàn)保障關(guān)鍵網(wǎng)段的帶寬或者限制非關(guān)鍵網(wǎng)段的帶寬。 全局有效。 可以實(shí)現(xiàn)基于時(shí)間表的限制。 可以綁定在出接口和入接口。

16、可以實(shí)現(xiàn)上下行帶寬獨(dú)立限制。 | Hillstone Confidential 示例用戶環(huán)境描述：出口帶寬50，外網(wǎng)為E0/1接口內(nèi)網(wǎng)連接兩個網(wǎng)段：172.16.1.0/24和192.168.1.0/24用戶需求描述：172.16.1.1-172.16.1.100需限制其下載帶寬為500，如出口帶寬空閑時(shí)可最高到5，上傳不做限制192.168.1.0/24網(wǎng)段中每下載300K，上傳整個網(wǎng)段共享10M | Hillstone Confidential第二步指定接口帶寬接口默認(rèn)帶寬為物理最高支持帶寬而非承諾帶寬，用戶需根據(jù)實(shí)際帶寬值指定接口上/下行帶寬。 | Hillstone Confident

17、ial第三步配置 策略限制172.16.1.1-100每下載帶寬500K，并在出口帶寬空閑時(shí)允許突破500限制，每最大占用5M帶寬。 | Hillstone Confidential第三步配置 策略（續(xù)）限制192.168.1.0/24每下載帶寬最大300K，上傳整個網(wǎng)段最大占用10M帶寬。 | Hillstone Confidential顯示已配置控制策略添加后策略會在 列表顯示，如多條策略的地址范圍重疊，請點(diǎn)擊策略右側(cè)箭頭移動策略位置，從上至下第一條匹配到的策略生效。 | Hillstone Confidential應(yīng)用 | Hillstone Confidential應(yīng)用 功能介紹 基于

18、應(yīng)用的可以實(shí)現(xiàn)保障關(guān)鍵應(yīng)用的帶寬或者限制非關(guān)鍵應(yīng)用的帶寬。 應(yīng)用全局有效。 可以實(shí)現(xiàn)基于時(shí)間表的應(yīng)用限制。 應(yīng)用可以綁定在出接口和入接口。 應(yīng)用可以實(shí)現(xiàn)上下行帶寬獨(dú)立限制。 | Hillstone Confidential應(yīng)用 示例用戶環(huán)境描述：出口帶寬50，外網(wǎng)為E0/1接口，內(nèi)網(wǎng)連接E0/0內(nèi)網(wǎng)連接兩個網(wǎng)段：172.16.1.0/24和192.168.1.0/24用戶需求描述：P2P應(yīng)用需限制其下行帶寬為10M，上傳最大5M和應(yīng)用下載保障20M，上傳保障10M | Hillstone Confidential第二步指定接口帶寬68接口默認(rèn)帶寬為物理最高支持帶寬而非承諾帶寬，用戶需根據(jù)實(shí)際帶

19、寬值指定接口上/下行帶寬。 | Hillstone Confidential第三步開啟應(yīng)用識別69防火墻默認(rèn)不對帶*號服務(wù)做應(yīng)用層識別，如需對、等應(yīng)用做基于應(yīng)用的控制，需要開啟外網(wǎng)安全域的應(yīng)用識別功能。 | Hillstone Confidential第四步配置應(yīng)用 策略70限制P2P應(yīng)用下行帶寬為10M，上傳最大5M。 | Hillstone Confidential第四步配置應(yīng)用 策略（續(xù)）71和應(yīng)用上行保障10M。 | Hillstone Confidential第四步配置應(yīng)用 策略（續(xù)）72和應(yīng)用下行保障20M。保證帶寬功能為出接口工具，所以對下載流量保證帶寬需要配置在內(nèi)網(wǎng)接口保證上行

20、帶寬。 | Hillstone Confidential顯示已配置控制策略73添加后策略會在應(yīng)用列表顯示，如多條策略的應(yīng)用重疊，請點(diǎn)擊策略右側(cè)箭頭移動策略位置，從上至下第一條匹配到的策略生效。小結(jié)v在本章中講述了以下內(nèi)容：v基本概念v基于配置v基于應(yīng)用配置六、報(bào)表統(tǒng)計(jì)報(bào)表統(tǒng)計(jì)功能簡介：可統(tǒng)計(jì)的數(shù)據(jù)類型 流量、會話、新建會話數(shù)速率、攻擊速率、病 毒個數(shù)、入侵次數(shù)、 命中次數(shù)、關(guān)鍵字 阻斷次數(shù)和應(yīng)用阻斷次數(shù)支持的數(shù)據(jù)組織方式 、接口、安全域、攻擊類型、應(yīng)用、病毒、 用戶、特征、 類別、關(guān)鍵字和阻 斷類型 | Hillstone Confidential統(tǒng)計(jì)集功能介紹 的統(tǒng)計(jì)集功能允許用戶查看實(shí)時(shí)的或者一定統(tǒng)計(jì)周期內(nèi)（5 分鐘或者24 小時(shí)）