搜索
|HillstoneConfidential日程安排准备工作安全策略网络地址转换VPN部署QoS流量管理报表统计网关防病毒IPS入侵防护NBC上网行为管理HSM一、准备工作•通过完成此章节课程,您将可以实现:–完成设备基本管理–搭建基本实验环境管理接口•用户管理接口类型:CLI:•Console•Telnet•SSHWebUI:•HTTP•HTTPS不同管理方式•支持本地与远程两种环境配置方法,可以通过CLI和WebUI两种方式进行配置•支持Console、telnet、ssh、http、https管理参数数值波特率9600bit/s数据位8停止位1校验/流控无参数数值接口Eth0/0用户名hillstone密码hillstone管理IP192.168.1.1|HillstoneConfidential图形化管理界面-WebUI基于浏览器的WebUI管理方式简单灵活,可以完成常用的各种配置。准备工作:安全网关设备的e0/0接口配有默认IP地址192.168.1.1,该接口的各种管理功能均为开启状态。初次使用可以通过该接口管理设备,具体操作为:将管理PC的IP地址设置为与192.168.1.1/24同网段的IP地址,打开PC的Web浏览器,输入设备默认管理员用户名及密码均为“hillstone”登陆后|HillstoneConfidentialWebUI界面初始页面结构导航菜单设备面板的端口连接状态CPU、内存、会话数等设备运行情况设备基本信息,包括:序列号、运行时间、软件版本、AV及特征库版本等搭建基本实验环境•基本配置步骤:1)配置接口2)配置默认路由3)配置允许访问策略1)配置接口网络接口编辑网络接口点击需配置接口右侧编辑按钮2)配置默认路由网络路由目的路由新建3)配置上网策略防火墙策略点击需配置接口右侧编辑按钮内部上网是从Trust到untrust的访问,因此创建从内到外的访问策略防火墙策略点击需配置接口右侧编辑按钮“源地址”处选择要被限制的IP地址范围,若选择“Any”则会对经过设备的所有地址有效配置系统管理员•系统管理安全网关设备由系统管理员(Administrator)管理、配置。系统管理员的配置包括创建管理员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。安全网关拥有一个默认管理员“hillstone”,用户可以对管理员“hillstone”进行编辑,但是不能删除该管理员。管理员分为读写执行权限管理员、只读执行权限管理员。配置系统管理员系统设备管理基本信息配置系统管理员系统设备管理基本信息新建配置文件管理系统配置管理员可以导入、导出或者将系统恢复出厂配置当前配置窗口提供对current配置的Web方式查阅StoneOS升级•通过WebUI升级StoneOS:系统系统软件选择上载新系统固件单选按钮。选中备份当前系统固件复选框。•系统将在上载的同时备份当前运行的StoneOS。•如不选中该选项,系统将用新上载的StoneOS覆盖当前运行的StoneOS。点击『浏览』按钮并且选中要上载的StoneOS。点击『确定』按钮,系统开始上载指定的StoneOS。完成升级后,需要重启安全网关启动新升级的StoneOS。系统诊断工具(WebUI)系统工具:安全网关提供基本的诊断工具方便,用户可以通过这些工具察看网络和路由是否连通。二、安全策略•通过完成此章节课程,您将可以:–理解安全策略的用途–通过安全策略保护网络资源安全策略基础•安全策略策略是网络安全设备的基本功能。默认情况下,安全设备会拒绝设备上所有安全域之间的信息传输。而策略则通过策略规则(PolicyRule)决定从一个安全域到另一个安全域的哪些流量该被允许,哪些流量该被拒绝。哪些网络流量可以允许通过?|HillstoneConfidential地址(Address)•地址簿是StoneOS系统中用来储存IP地址范围与其名称的对应关系的数据库。•地址簿中的IP地址与名称的对应关系条目被称作地址条目(AddressEntry)。•地址条目的IP地址改变时,StoneOS会自动更新引用了该地址条目的模块。配置地址本(WebUI)对象地址簿新建配置地址本(WebUI)对象地址簿编辑|HillstoneConfidential服务(Service)•服务(Service):具有协议标准的信息流。服务具有一定的特征,例如相应的协议、端口号等。•服务组:将一些服务组织到一起便组成了服务组。用户可以直接将服务组应用到安全网关策略中,这样便简化了管理。|HillstoneConfidential系统预定义服务对象服务簿预定义列出•用户可以查看或修改系统预定义服务,预定义服务只提供对服务超时时间进行修改。|HillstoneConfidential系统预定义服务组对象服务组预定义列出•用户可以查看系统预定义服务组,预定义服务组不可修改。|HillstoneConfidential用户自定义服务•除了使用StoneOS提供的预定义服务以外,用户还可以很容易地创建自己的自定义服务。用户自定义服务可包含最多8条服务条目。用户需指定的自定义服务条目的参数包括:–名称–传输协议–TCP或UDP类型服务的源和目标端口号或者ICMP类型服务的type和code值–超时时间–应用类型|HillstoneConfidential配置自定义服务对象服务簿自定义新建|HillstoneConfidential配置服务组对象服务簿组新建|HillstoneConfidential配置策略规则(WebUI)安全策略列出|HillstoneConfidential配置策略规则(WebUI)安全策略基本配置检查/移动策略规则安全策略列出小结在本章中讲述了以下内容:安全策略的用途配置安全策略使用的地址薄配置服务簿和服务组配置安全策略保护网络资源源NAT•目的NAT•NAT与相关策略三、网络地址转换|HillstoneConfidential源NAT配置示例•配置SNAT步骤:–第一步,配置源NAT规则–第二步,配置访问策略•示例环境描述:–系统部署模式为路由模式,外网接口为Eth0/4–所有用户上网均需NAT成防火墙外网接口IP地址|HillstoneConfidential第一步,配置源NAT规则创建源NAT规则,将上网流量数据包源接口转换为外网IP。|HillstoneConfidential第二步,配置访问策略源NAT规则只是定义了网络层面的转换,如需上网,则要添加相应访问策略。•源NAT目的NAT•NAT与相关策略议程:网络地址转换|HillstoneConfidential示例一端口映射DNAT(VIP)DMZ安全域有FTP服务器和WEB服务器,IP如下图所示,现有公网IP地址202.1.1.3可用,通过此IP将上述两服务器发布。|HillstoneConfidential第一步,配置地址簿分别添加202.1.1.3和10.1.2.10、10.1.2.11的地址簿。39|HillstoneConfidential第二步,配置目的NAT规则添加端口映射的目的NAT策略,将访问到202.1.1.3的FTP服务的流量转到10.1.2.10的21端口。40|HillstoneConfidential第二步,配置目的NAT规则(续)添加端口映射的目的NAT策略,将访问到202.1.1.3的HTTP服务的流量转到10.1.2.11的80端口。41|HillstoneConfidential第三步,配置访问策略上述NAT规则已经定义了网络层面的对应关系,如需开放外网到服务器的访问,需添加相应访问策略,策略目的IP为服务器映射所对应的公网IP,如下图依次添加untrustdmz,目的IP为映射虚IP,服务为FTP和HTTP的策略。42|HillstoneConfidential示例二IP映射(MIP)DMZ安全域有FTP服务器和WEB服务器,IP如下图所示,现有公网IP地址202.1.1.4和202.1.1.5可用,通过IP映射将上述两服务器发布。|HillstoneConfidential第一步,配置地址簿分别添加202.1.1.4、202.1.1.5和10.1.2.10、10.1.2.11的地址簿。44|HillstoneConfidential第二步,配置目的NAT规则添加IP映射的目的NAT规则,将访问到202.1.1.4的流量转到10.1.2.10,访问到202.1.1.5的流量转到10.1.2.11。45|HillstoneConfidential第三步,配置访问策略上述NAT规则已经定义了网络层面的对应关系,如需开放外网到服务器的访问,需添加相应访问策略,策略目的IP为服务器映射所对应的公网IP,如下图依次添加untrustdmz,目的IP为映射虚IP(202.1.1.4/202.1.1.5)的策略。46小结在本章中讲述了以下内容:•NAT的分类•源和目的NAT的应用VPN介绍•HillstoneIPSecVPN配置–基于策略VPN配置–基于路由VPN配置–Lab•HillstoneSSLVPN配置–SecureConnectVPN–Lab四、VPN部署|HillstoneConfidentialVirturalPrivateNetwork•VPN(VirtualPrivateNetwork)–在公网上建立的虚拟私有网络–节约成本–简化了企业联网和广域网操作–VPN网络有很好的兼容性和可扩展性–企业可以利用VPN迅速开展新的服务和连接全球的设施–通过隧道协议–需要加密、完整性校验、用户认证等安全措施|HillstoneConfidentialVirturalPrivateNetwork总部XYFromAtoBFromAtoBFromXtoYFromAtoB分公司ABInternet•VirtualPrivatenetworks(VPNs)在公网上为两个私域网络提供安全通信通道•通过加密通道保证连接的安全–在两个公共网关间提供私密数据的封包服务•VPN介绍HillstoneIPSecVPN配置–基于策略VPN配置–基于路由VPN配置–Lab•HillstoneSSLVPN配置–SecureConnectVPN–Lab议程:VPN部署|HillstoneConfidentialSite-to-Site•按照VPN的数据驱动类型分为:–基于策略的(Policy-based)–基于路由的(Route-based)LANSite1ServerSite2Internet