Hillstone安全网关基本部署成都办事处PS18683720267mwxianghillstonenet.com日程安排一、Hillstone产品简介uStoneOS系统简介l 功能组件 接口、安全域、Vswitch、Vrouter、防火墙策略l 功能介绍 -交换&路由-NAT-防火墙策略控制-QOS-IPS-AD（扛攻击）-VPN-NBC注意：以上所列出的通用功能在所有硬件平台及版本上均支持，前提是具备相应的license。报文处理流程uStoneOS系统架构报文处理流程uStoneOS系统架构防火墙报文处理流程u接口和安全域绑定关系报文处理流程u接口和安全域绑定应用案例报文处理流程二、准备工作通过完成此章节课程，您将可以实现：完成设备基本管理搭建基本实验环境管理接口用户管理接口类型:CLI:ConsoleTelnetSSHWebUI:HTTPHTTPS不同管理方式支持本地与远程两种环境配置方法，可以通过CLI和WebUI两种方式进行配置支持Console、telnet、ssh、http、https管理参数 数值 波特率 9600 bit/s 数据位 8停止位 1校验/流控无参数 数值 接口Eth0/0用户名hillstone密码hillstone管理IP192.168.1.1图形化管理界面-WebUI基于浏览器的WebUI管理方式简单灵活，可以完成常用的各种配置。v准备工作：安全网关设备的e0/0接口配有默认IP地址192.168.1.1，该接口的各种管理功能均为开启状态。初次使用可以通过该接口管理设备，具体操作为：将管理PC的IP地址设置为与192.168.1.1/24同网段的IP地址，打开PC的Web浏览器，输入http:/192.168.1.1设备默认管理员用户名及密码均为“hillstone”登陆后WebUI界面初始页面结构导航菜单设备面板的端口连接状态CPU、内存、会话数等设备运行情况设备基本信息，包括：序列号、运行时间、软件版本、AV及特征库版本等搭建基本实验环境基本配置步骤:1)配置接口2)配置默认路由3)配置允许访问策略1）配置接口网网络 接口接口 编辑网网络 接口接口 点击需配置接口右侧编辑按钮2）配置默认路由网网络 路由路由 目的路由目的路由 新建新建3）配置上网策略防火防火墙 策略策略 点击需配置接口右侧编辑按钮内部上网是从Trust到untrust的访问，因此创建从内到外的访问策略防火防火墙 策略策略 点击需配置接口右侧编辑按钮“源地址”处选择要被限制的IP地址范围，若选择“Any”则会对经过设备的所有地址有效配置系统管理员系统管理安全网关设备由系统管理员（Administrator）管理、配置。系统管理员的配置包括创建管理员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。安全网关拥有一个默认管理员“hillstone”，用户可以对管理员“hillstone”进行编辑，但是不能删除该管理员。管理员分为读写执行权限管理员、只读执行权限管理员。配置系统管理员系统设备管理基本信息配置系统管理员系统设备管理基本信息新建配置文件管理系统配置管理员可以导入、导出或者将系统恢复出厂配置当前配置窗口提供对current配置的Web方式查阅StoneOS升级通过WebUI 升级StoneOS：系统 系统软件选择单选按钮。选中复选框。系统将在上载的同时备份当前运行的StoneOS。如不选中该选项，系统将用新上载的StoneOS 覆盖当前运行的StoneOS。点击浏览按钮并且选中要上载的StoneOS。点击确定按钮，系统开始上载指定的StoneOS。完成升级后，需要重启安全网关启动新升级的StoneOS。系统诊断工具（WebUI）系系统 工具工具:安全网关提供基本的诊断工具，方便用户可以通过这些工具察看网络和路由是否连通。三、安全策略通过完成此章节课程，您将可以：理解安全策略的用途通过安全策略保护网络资源安全策略基础安全策略策略是网络安全设备的基本功能。默认情况下，安全设备会拒绝设备上所有安全域之间的信息传输。而策略则通过策略规则（PolicyRule）决定从一个安全域到另一个安全域的哪些流量该被允许，哪些流量该被拒绝。哪些哪些网络流量可网络流量可以允许通过？以允许通过？防火墙的核心功能组件会会话状状态表表五元组：源IP源端口目的IP目的端口传输协议安全策略安全策略五元组：源IP源安全域目的IP目的安全域服务传输协议+端口防火墙综合技术原理策略控制：会话检测：对防火墙在不同安全域或安全级别之间的访问配置相应的策略规则后，数据报文入防火墙时防火墙会基于五元组去查询与之匹配的策略规则（每种报文只会匹配一次，如所有的规则都不匹配则匹配默认的策略规则），然后执行规则中定义的相应动作（permit/drop）。对于已经成功建立的会话，防火墙会为之建立会话表，以记录报文的相关信息（五元组），新的报文进入防火墙之后防火墙会先查询是否有与之相匹配的会话条目，如有则直接按会话状态走fastpath处理，以节约CPU等资源。如不是已经存在的会话，则查询策略规则并安装会话状态表，以便快速处理后续同一会话的其它报文。地址（Address）地址簿是StoneOS系统中用来储存IP地址范围与其名称的对应关系的数据库。地址簿中的IP地址与名称的对应关系条目被称作地址条目（AddressEntry）。地址条目的IP地址改变时，StoneOS会自动更新引用了该地址条目的模块。配置地址本（WebUI）对象地址簿新建地址薄名称地址薄成员配置地址本（WebUI）对象地址簿编辑地址薄成员服务（Service）服务（服务（Service）：）：具有协议标准的信息流。服务具有一定的特征，例如相应的协议、端口号等。服务组：服务组：将一些服务组织到一起便组成了服务组。用户可以直接将服务组应用到安全网关策略中，这样便简化了管理。系统预定义服务对象服务簿用户可以查看或修改系统预定义服务，预定义服务只提供对服务超时时间进行修改。系统预定义服务组对象服务薄用户可以查看系统预定义服务组，预定义服务组不可修改。用户自定义服务除了使用StoneOS提供的预定义服务以外，用户还可以很容易地创建自己的自定义服务。用户自定义服务可包含最多8条服务条目。用户需指定的自定义服务条目的参数包括：名称传输协议TCP或UDP类型服务的源和目标端口号或者ICMP类型服务的type和code值超时时间应用类型配置自定义服务对象服务簿自定义服务新建服务名称协议源、目的端口配置服务组对象服务簿自定义服务组配置策略规则（WebUI）防火墙策略配置策略规则（WebUI）安全策略检查/移动策略规则安全策略小结v在本章中讲述了以下内容：v安全策略的用途v配置安全策略使用的地址薄v配置服务簿和服务组v配置安全策略保护网络资源源NAT目的NATNAT与相关策略四、网络地址转换源NAT配置示例配置SNAT步骤：第一步，配置源NAT规则第二步，配置访问策略示例环境描述：系统部署模式为路由模式，外网接口为Eth0/4所有用户上网均需NAT成防火墙外网接口IP地址第一步，配置源第一步，配置源NAT规则创建源NAT规则，将上网流量数据包源接口转换为外网IP。第二步，配置第二步，配置访问策略策略源NAT规则只是定义了网络层面的转换，如需上网，则要添加相应访问策略。源NAT目的NATNAT与相关策略议程：网络地址转换示例一端口映射DNAT（VIP）DMZ安全域有FTP服务器和WEB服务器，IP如下图所示，现有公网IP地址202.1.1.3可用，通过此IP将上述两服务器发布。第一步，配置地址簿第一步，配置地址簿分别添加202.1.1.3和10.1.2.10、10.1.2.11的地址簿。第二步，配置目的第二步，配置目的NAT规则添加端口映射的目的NAT策略，将访问到202.1.1.3的FTP服务的流量转到10.1.2.10的21端口。第二步，配置目的第二步，配置目的NAT规则（续）添加端口映射的目的NAT策略，将访问到202.1.1.3的HTTP服务的流量转到10.1.2.11的80端口。第三步，配置第三步，配置访问策略策略上述NAT规则已经定义了网络层面的对应关系，如需开放外网到服务器的访问，需添加相应访问策略，策略目的IP为服务器映射所对应的公网IP，如下图依次添加untrustdmz，目的IP为映射虚IP，服务为FTP和HTTP的策略。示例二IP映射（MIP）DMZ安全域有FTP服务器和WEB服务器，IP如下图所示，现有公网IP地址202.1.1.4和202.1.1.5可用，通过IP映射将上述两服务器发布。第一步，配置地址簿第一步，配置地址簿分别添加202.1.1.4、202.1.1.5和10.1.2.10、10.1.2.11的地址簿。第二步，配置目的第二步，配置目的NAT规则添加IP映射的目的NAT规则，将访问到202.1.1.4的流量转到10.1.2.10，访问到202.1.1.5的流量转到10.1.2.11。第三步，配置第三步，配置访问策略策略上述NAT规则已经定义了网络层面的对应关系，如需开放外网到服务器的访问，需添加相应访问策略，策略目的IP为服务器映射所对应的公网IP，如下图依次添加untrustdmz，目的IP为映射虚IP（202.1.1.4/202.1.1.5）的策略。小结v在本章中讲述了以下内容：NAT的分类源和目的NAT的应用QoS基本概念IPQoS应用QoS五、QoS流量管理为什么需要QoSl大流量时关键应用运行受冲击l带宽没有充分利用lTCP突发特性不受控制l大流量时关键应用运行受保护l带宽充分利用lTCP突发特性受到控制IPQoSIPQoS功能介绍基于IP的QoS可以实现保障关键IP/网段的带宽或者限制非关键IP/网段的带宽。IPQoS全局有效。可以实现基于时间表的IPQoS限制。IPQoS可以绑定在出接口和入接口。IPQoS可以实现上下行带宽独立限制。IPQoS示例用户环境描述：出口带宽50Mbps，外网为E0/1接口内网连接两个网段：172.16.1.0/24和192.168.1.0/24用户需求描述：172.16.1.1-172.16.1.100需限制其下载带宽为500K/IP，如出口带宽空闲时可最高到5M/IP，上传不做限制192.168.1.0/24网段中每IP下载300K，上传整个网段共享10M第二步-指定接口带宽接口默认带宽为物理最高支持带宽而非ISP承诺带宽，用户需根据实际带宽值指定接口上/下行带宽。第三步-配置IPQoS策略限制172.16.1.1-100每IP下载带宽500K，并在出口带宽空闲时允许突破500K/IP限制，每IP最大占用5M带宽。第三步-配置IPQoS策略（续）限制192.168.1.0/24每IP下载带宽最大300K，上传整个网段最大占用10M带宽。显示已配置控制策略添加后策略会在IPQoS列表显示，如多条策略的IP地址范围重叠，请点击策略右侧箭头移动策略位置，从上至下第一条匹配到的策略生效。应用QoS应用QoS功能介绍基于应用的QoS可以实现保障关键应用的带宽或者限制非关键应用的带宽。应用QoS全局有效。可以实现基于时间表的应用QoS限制。应用QoS可以绑定在出接口和入接口。应用QoS可以实现上下行带宽独立限制。应用QoS示例用户环境描述：出口带宽50Mbps，外网为E0/1接口，内网连接E0/0内网连接两个网段：172.16.1.0/24和192.168.1.0/24用户需求描述：P2P应用需限制其下行带宽为10M，上传最大5MHTTP和SMTP应用下载保障20M，上传保障10M第二步-指定接口带宽接口默认带宽为物理最高支持带宽而非ISP承诺带宽，用户需根据实际带宽值指定接口上/下行带宽。第三步-开启应用识别防火墙默认不对带*号服务做应用层识别，如需对BT、xunlei等应用做基于应用的QoS控制，需要开启外网安全域的应用识别功能。第四步-配置应用QoS策略限制P2P应用下行带宽为10M，上传最大5M。第四步-配置应用QoS策略（续）HTTP和SMTP应用上行保障10M。第四步-配置应用QoS策略（续）HTTP和SMTP应用下行保障20M。保证带宽功能为出接口工具，所以对下载流量保证带宽需要配置在内网接口保证上行带宽。显示已配置控制策略添加后策略会在应用QoS列表显示，如多条策略的应用重叠，请点击策略右侧箭头移动策略位置，从上至下第一条匹配到的策略生效。小结v在本章中讲述了以下内容：v基本QoS概念v基于IP-QoS配置v基于应用QoS配置六、报表统计报表统计功能简介：v可统计的数据类型 流量、会话、新建会话数速率、攻击速率、病 毒个数、入侵次数、URL 命中次数、关键字 阻断次数和应用阻断次数v支持的数据组织方式IP、接口、安全域、攻击类型、应用、病毒、 用户、特征ID、URL、URL 类别、关键字和阻 断类型统计集功能介绍StoneOS的统计集功能允许用户查看实时的或者一定统计周期内（5分钟或者24小时）基于不同统计数据类型（如带宽、会话、新建会话数速率、攻击速率和病毒个数）以及数据组织方式（如IP、接口、安全域、攻击类型、应用、病毒和用户）的系统统计信息，并且可以根据不同需求过滤统计信息，从而帮助用户更加详细和精确地了解系统的资源分配及网络安全状态。预定义统计集启用预定义统计集系统已经预置常见的统计集供用户选择启用，启用统计集按照右图流程勾选相应统计集并启用即可。查看统计数据启用统计集后，点击统计集名称即可显示实时统计数据。点击查看处的5分钟或24小时可查看该时间范围内的历史曲线。自定义统计集新建自定义统计集对于某些特定需求的统计，可以通过自定义统计集实现。查看自定义统计数据关闭统计功能关闭预定义统计集统计集功能需要占用系统大量运算能力，关闭非必要统计集有利于节约系统资源。关闭自定义统计集对于自定义统计集，可以编辑其状态为非活跃暂时关闭统计功能。如果不再需要该统计集，可以直接点击统计集右侧删除。Q/AThank You！