Hillstone安全网关高级功能配置手册v5.0(初版)

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

服务热线:4008286655Hillstone山石网科多核安全网关高级功能配置手册V5.0版本一.链路负载均衡...............................................................................................31.1基于目的路由的流量负载.................................................................................41.2基于源路由的流量负载.....................................................................................61.3基于策略路由的流量负载.................................................................................71.4智能链路负载均衡.............................................................................................9二.流量控制QOS配置.......................................................................................102.1配置IPQOS.......................................................................................................102.2配置应用QOS....................................................................................................142.3配置混合QOS....................................................................................................162.4配置QOS白名单...............................................................................................18三.NBC网络行为控制配置................................................................................193.1URL过滤(有URL许可证)...............................................................................203.2URL过滤(无URL库许可证).......................................................................253.3网页关键字过滤...............................................................................................283.4网络聊天控制...................................................................................................33四.VPN高级配置..............................................................................................354.1基于USB-KEY的SCVPN配置...........................................................................354.2PNP-VPN.............................................................................................................48五.高可靠性HA配置........................................................................................60一.链路负载均衡当防火墙有多条链路接入,同时需要对内网的流量根据源地址,目的地址或者服务进行流量的负载分摊时,需要进行负载均衡的配置,以便保证流量的负载分担;在配置源地址,目的地址的负载均衡时,可以实现冗余,当某一条路由失效时,可以保证正常的流量转发。配置多链路负载均衡前,先保证接口,snat和策略都配置正确。1.确认接口的地址和掩码都配置正确,其中掩码的位数一定和运行商确认:2.两条源地址转换,使内网的流量可以分别nat成对应公网出口地址池的地址,去访问互联网:3.确认流量穿越防火墙时,防火墙策略允许(源和目的地址以及服务可以根据具体情况作相应修改):1.1基于目的路由的流量负载例:e0/1口接入10M电信,e0/2接入20M网通;实现所有访问公网的流量按1:2的比例分别从e0/1口和e0/2口转发出去。即当设备总共转发3数值的流量时,e0/1转发1数值;e0/2口转发2数值。Web页面配置如下:1.网络-〉路由-〉新建:2.创建一条默认路由权值为2,即可得到配置如下:如此即可实现流量从e0/1转发和从e0/2转发的比是10:20即流量的1:2负载。具体比例可根据出口带宽的大小以及实际使用率确定。1.2基于源路由的流量负载首先要确认流量需要负载的网段比如:192.168.1.1/24,Web页面新建源路由如下1.网络-路由-源路由-新建:2.重复上述操作并将网关改为3.3.3.1;路由权值改为2(根据需求):如此即可实现来自192.168.1.1/24网段的流量从e0/1转发和从e0/2转发的比是1:2,具体比例可根据出口带宽的大小以及实际使用率确定。1.3基于策略路由的流量负载例子:需要负载的网段是192.168.1.1/24,此网段去往8.8.8.8的HTTP流量从e0/1口转发;去往8.8.8.8的ICMP流量从e0/2口转发。Web页面配置如下:1.网络-路由-策略路由-新建:先配置源地址:2.配置目的地址和服务:3.同样方法再新建一条策略路由,其中的服务选择ICMP得到配置如下:按上述流程配置即可实现192.168.1.1/24网段对目的地址是8.8.8.8的http和icmp流量负载。1.4智能链路负载均衡当内网用户向外网目标地址首次发起访问时,系统对只匹配到缺省路由的流量在符合条件的各条链路上进行探测,对响应相对快速的接口生成静态路由,后续报文将直接按照路由转发不再探测;如果生成的静态,路由在一定时间内不被命中,则自动老化。配置如下图:配置动态检测路由的老化时间和对应子网掩码:二.流量控制QOS配置2.1配置IPQoS1.进入配置界面,配置-控制-流量管理,点击IPQoS-新建:2.设置IPQoS的具体参数:3.设置具体的限制带宽,以上行为例:例:要配置192.168.1.2至192.168.1.200范围内IP在e0/2每IP上下行预留带宽200K,最大带宽1M,配置如下图所示:IPQoS的高级配置:点击高级配置选项卡,进入高级配置页面:弹性QoS:可设置最大弹性带宽,当接口存在闲置带宽时可暂时突破QoS的闲置以避免资源浪费,必须在主页开启全局弹性QoS时才能生效细粒度控制:可在IPQoS的基础上,进行应用QoS的嵌套使用,进行更精确的QoS控制。点击“添加嵌套应用QoS规则”,进入配置页面:注意:使用应用QoS需要打开相应安全域的应用识别以及安装应用特征库许可证。2.2配置应用QoS1.点击应用QoS-新建,进入配置页面:例:限制P2P软件及P2P流媒体在e0/2接口上行最大流量为10M,如图所示:应用QoS的细粒度控制:点击“高级配置”选项卡,进入高级配置:注意:使用应用QoS需要打开相应安全域的应用识别以及安装应用特征库许可证。2.3配置混合QoSHillStone设备中的QoS除了有针对ip和应用外,还可以针对地址条目,角色,QoS标签,IP优先权以及DSCP等多项条件进行混合QoS配置以达到更精确的带宽管理。1.点击应用QoS-新建,进入配置页面,如下图,点击匹配条件右侧的“更多”:2.如下图所示,可针对策略标签,IP优先权,IP范围,地址条目等进行控制:2.4配置QoS白名单以IPQoS的白名单为例,在流量管理界面上方,选择相应的限流对象,如下图所示,根据IP及时间表配置相应的白名单即可。三.NBC网络行为控制配置在配置NBC功能中的URL过滤、bypass域名以及应用行为控制等于网络域名有关的功能时,需要现在防火墙上进行防火墙dns的配置,并且尽量保证防火墙使用的dns与内部电脑的dns一致。防火墙DNS配置方法:1.点击界面右侧“网络连接”,选择该界面右侧的“dns列表”:2.在弹出的DNS列表中点击新建,填入dns服务器ip地址;3.1URL过滤(有URL许可证)1.登陆设备主界面后,点URL过滤,再点新建:2.进入URL过滤规则配置,名称中填写该规则的名字点击目的安全域的下拉菜单选择目的安全域,需要注意的是应该选择外网接口所属安全域:121.填写规则名称2.注意是外网接口所属安全域4.用户配置选择相应的用户,默认是any,即全部内网用户,如果要修改,则先删除any用户:5.然后配置实际所需要限制的内网ip用户,注意掩码32表示单个主机ip,如需整个网段则填写相应的网络掩码:5.确定1.点击配置2.选中该条目3.点击删除2.主机ip3.掩码32表示单台主机4.添加1.选择ip6.配置所要阻止的网站,也可以在用户访问该类网站的时候记录日志(可选):通过上述配置,即可实现阻止内网192.168.1.2这个ip访问“恶意代码”和“挂马隐患”这两类网站。1.勾选相应类别2.记录日志(可选)3.点击确定自定义URL分类:配置界面右侧的“URL查询”功能可以用来查询网站属于哪个预定义的URL类别,如果需要控制的网站不在预定义的URL类别中,可通过自定义URL库进行控制,方法如下:1.点击页面右侧的“自定义URL库”:2.在弹出的自定义页面中点击“新建”,输入自定义的URL类别名称和需要过滤的域名,点击添加后确定:3.在配置URL过滤时找到自定义的类别,选择控制动作:3.2URL过滤(无URL库许可证)1.选择应用行为控制,点击新建:2.进入应用行为控制规则配置,名称中填写该规则的名字,点击目的安全域的下拉菜单选择目的安全域,需要注意的是应该选择外网接口所属安全域:121.填写规则名称2.注意是外网接口所属安全域3.用户配置选择相应的用户,默认是any,即全部内网用户,如果要修改,则先删除any用户:4.然后配置实际所需要限制的内网ip用户,注意掩码32表示单个主机ip,如需整个网段则填写相应的网络掩码:1.点击配置2.选中该条目3.点击删除2.主机ip3.掩码32表示单台主机4.添加1.选择ip5.确定5.点击HTTP控制:6.添加要阻止的网站,*号表示通配符,这样该网站的子域名也会一起禁止,如果是仅需阻止单个域名,则填写该域名全称,也可以在用户访问该网站的时候记录日志(可选):通过上述配置,实现了阻止内网192.168.1.2这个ip地址访问带baidu.com的所有网站。1.填写域名或者ip2.选择阻止3.记录

1 / 69
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功