返回
hillstone最新配置手册

hillstone最新配置手册

ID:5772515

大小:9.41 MB

页数:39页

时间:2017-12-24

hillstone最新配置手册_第1页
hillstone最新配置手册_第2页
hillstone最新配置手册_第3页
hillstone最新配置手册_第4页
hillstone最新配置手册_第5页
资源描述:

《hillstone最新配置手册》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、HillStoneSA-2001配置手册1网络端口配置22防火墙设置123VPN配置144流量控制的配置244.1P2P限流244.2禁止P2P流量254.3IP流量控制284.4时间的设置294.5统计功能325基础配置35本文是基于安全网关操作系统为Version3.5进行编写,如版本不同,配置过程有可能不一样。1网络端口配置SA-2001安全网关前面板有5个千兆电口、1个配置口、1个CLR按键、1个USB接口以及状态指示灯。下图为SA-2001的前面板示意图:序号标识及说明序号标识及说明1PWR:电源指示灯5CLR:CLR按键2STA:状态指示

2、灯6CON:配置口3ALM:警告指示灯7USB:USB接口4VPN:VPN状态指示灯8e0/0-e0/4:以太网电口将网线接入到E0/0。防火墙的ethernet0/0接口配有默认IP地址192.168.1.1/24,但该端口没有设置为DHCP服务器为客户端提供IP地址,因此需要将PC机的IP地址设置为同一网段,例如192.168.1.2/24才能连上防火墙。通过IE打开192.168.1.1,然后输入默认的用户名和密码(均为hillstone)登录后的首页面。可以看到CPU、内存、会话等使用情况。很多品牌的防火墙或者路由器等,在默认情况下内网端口都

3、是划分好并且形成一个小型交换机的,但是hillstone的产品却需要自己手工设置。在本文档中,我们准备将E0/0划分为UNTRUST口连接互联网,E0/1~E0/4总共4个端口我们则划到一个交换机中并作为TRUST口连接内网。在网络-接口界面中,新建一个bgroup端口,该端口是一个虚拟的端口。因为bgroup1接口需要提供路由功能,因此需要划入到三层安全域(trust)中。输入由集团信息中心提供的IP地址。在管理设置中,尽量将各个管理功能的协议打开,尤其是HTTP功能。建好bgroup1之后,对网络-接口页面中的e0/1~e0/4分别修改,依次将它

4、们划归为bgroup1。设置好交换机功能后,还需要设置DHCP功能,以便PC机接入时可以自动获取IP地址。新建一个DHCP地址池根据集团信息中心提供的IP地址段设置IP地址池。租约里尽量将时间设大一些,这样在追查记录的时候,不会因为PC机的IP地址频繁发生变动而难以追踪。确定之后,POOL1的地址则建好了,不过,还需要修改DNS才能让PC机可以访问到集团内网。编辑POOL1进入高级配置界面。DNS1和DNS2分别设置为集团总部的10.0.1.11和10.0.1.13两个DNS。设置完地址池之后,需要将该地址池捆绑到bgroup1以便让bgroup1可

5、以为PC机分配IP地址。确认以上步骤操作成功后,将原来连接到E0/0的网线任意插入到E0/1~E0/4的一个端口中,看看PC机是否可以获取到IP地址了。通过IPCONFIG/ALL命令可以看到,PC机这时候已经获取到IP及DNS了。将原来的IE浏览器关闭,重新打开IE浏览器、输入网关地址(即bgroup1的地址)并输入用户名密码。确认完E0/1-4的任意一个TRUST口能获取IP后,即可修改E0/0为对外连接端口。本文档中是以E0/0为ADSL拨号连接为示例。新建一个PPPOE配置输入ADSL的用户名及密码。将自动重连间隔修改为1,否则ADSL不会自

6、动重拨。默认配置中,E0/0是属于trust域的,需要将该端口修改为untrust并将PPPOE捆绑到该端口。点击网络-接口,并修改E0/0的设置。启用设置路由。管理的协议中,原来默认均开启了e0/0所有的管理端口,我们可以在稍后确认所有的配置均调试完毕后关闭一些协议以增强防火墙的安全性。点击确定后,可以看到e0/0已经划入到untrust的安全域中。1防火墙设置源NAT规则指定是否对符合条件的流量的源IP地址做NAT转换。通过基本选项的配置指定源NAT规则中流量应符合的条件。符合条件的流量才能按照规则指定的行为进行转换。HillStone安全网关与

7、其他品牌的防火墙在策略配置中的其中一个区别就是NAT设置。其他防火墙一般都是自动设置好,但在HillStone中,必须要手工将上网行为和访问内网的NAT策略明确区分才行。建立一条让项目PC可以访问互联网时进行NAT转换的策略。在防火墙-NAT-源NAT中新建一条基本配置的策略源地址选择ipv4.bgroup1_subnet,出接口仍然是选择e0/0。行为选择NAT(出接口IP)NAT策略建立好之后,在防火墙-策略中需要新建访问策略。源安全域选择trust,目的安全域选择untrust,点击新建服务簿中选择ANY,即默认允许所有的网络应用均可使用。行为

8、默认为允许1VPN配置设置完网络端口的配置之后,开始设置VPN。HillStone的VPN设置跟5GT或者F

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。