搜索
|HillstoneConfidential日程安排一.准备工作二.安全架构三.系统管理四.路由和交换五.基本安全策略六.高级安全策略七.IPQOS八.应用QOS九.日志与报表一.准备工作•通过完成此章节课程,您将可以:–了解设备管理方式–完成基本上网配置管理接口•用户管理接口类型:CLI:•Console•Telnet•SSHWebUI:•HTTP•HTTPS不同管理方式•支持本地与远程两种环境配置方法,可以通过CLI和WebUI两种方式进行配置•支持Console、telnet、ssh、http、https管理参数数值波特率9600bit/s数据位8停止位1校验/流控无参数数值接口Eth0/0用户名hillstone密码hillstone管理IP192.168.1.1|HillstoneConfidential图形化管理界面-WebUI基于浏览器的WebUI管理方式简单灵活,可以完成常用的各种配置。准备工作:安全网关设备的e0/0接口配有默认IP地址192.168.1.1,该接口的各种管理功能均为开启状态。初次使用可以通过该接口管理设备,具体操作为:将管理PC的IP地址设置为与192.168.1.1/24同网段的IP地址,打开PC的Web浏览器,输入设备默认管理员用户名及密码均为“hillstone”登陆后|HillstoneConfidentialWebUI界面初始页面结构导航菜单设备面板的端口连接状态CPU、内存、会话数等设备运行情况设备基本信息,包括:序列号、运行时间、软件版本、AV及特征库版本等当前网络中占用带宽最多的IP排名CLI用户接口•通过Console线连接PC的串口至安全网关的CON接口•打开终端模拟器使用以下缺省账户登陆用户名:hillstone密码:hillstone•CLI快捷键使用Tab自动补齐命令使用?查看帮助进入配置模式•全局配置模式:全局配置模式允许用户修改安全网关的配置参数。用户在执行模式下,输入configure命令,可进入全局配置模式。该模式的提示符如下所示:hostname(config)#•子模块配置模式:安全网关的不同模块功能需要在其对应的命令行子模块模式下进行配置。用户在全局配置模式输入特定的命令可以进入相应的子模块配置模式。例如,运行interfaceethernet0/0命令进入ethernet0/0接口配置模式,此时的提示符变更为:hostname(config-if-eth0/0)#初始基本配置•基本配置步骤:1)配置接口2)配置默认路由3)配置允许访问策略1)配置接口(WebUI)网络接口编辑网络接口点击需配置接口右侧编辑按钮2)配置默认路由(WebUI)网络路由目的路由新建3)配置上网策略(WebUI)防火墙策略点击需配置接口右侧编辑按钮内部上网是从Trust到untrust的访问,因此创建从内到外的访问策略防火墙策略点击需配置接口右侧编辑按钮“源地址”处选择要被限制的IP地址范围,若选择“Any”则会对经过设备的所有地址有效小结在本章中讲述了以下内容:•系统构件的功能•完成基本上网配置问题•1、如何通过浏览器对设备进行管理?•2、如何开启从外网接口登陆安全网关?•3、如何开放内网用户上网的策略?二.安全架构•通过完成此章节课程,您将可以:–了解网络安全设备的用途–理解StoneOS的架构–StoneOS处理数据包的FlowFirewall•状态检测技术,通过策略过滤数据包IP(sourceaddress,destinationaddress,protocol)TCP/UDP(port#)Application(BT,QQ,MSN)Usedtoimplementsecuritypolicies10.2.1.2Source-IP203.1.2.3Destination-IP21312Source-Port80Destination-Port6Protocolgethttp1.1Data状态检测•包状态检测:•基于选定类型检测IP包的内容来决定转发或丢弃包•基于IP包中多个字段来保持IP通讯的状态–通过检测的新通讯接着添加到状态表中–只有在IP包与先前建立的通讯相关联时,非初始包才会被允许•比包过滤提供了更高的安全性•比应用代理要快得多,但没有应用代理提供的应用层控制多网络地址转换(NAT)•转换私有地址到公网地址NAT10.1.1.5Trusted10.1.1.1Untrusted201.1.8.110.1.1.5SRC-IP221.1.8.5DST-IP36033SRC-Port80DST-Port6Protocol201.1.8.1SRC-IP221.1.8.5DST-IP1025SRC-Port80DST-Port6ProtocolInternetQoS•保证关键业务流量QoS应用前关键业务受到冲击QoS应用后关键业务受到保护StoneOS系统架构图Zone与Interface关系•接口、安全域、VS、VR之间严格的等级架构L3-Zones绑定到virtualrouterL2-Zones绑定到virtualswitchInterfaces绑定到securityzone•一个接口只能绑定到一个安全域•一个安全域可以包含一个或多个接口•L3-interface绑定到L3-Zone•L2-interface绑定到L2-Zone绑定到三层安全域的接口可以配置IP地址及管理服务•IPaddresses(L3-interface)•Managementservices(L3-interface)•OthersL3-ZoneVirtualRouterL2-ZoneVirtualSwitchL3-InterfaceL3-ZoneVRouterZonesandInterfaces•为接口配置IP地址前必须先将接口绑定到三层安全域InterfaceZoneL3-ZoneIPL3-InterfaceL2-ZoneMAC(Autoconfig)L2-InterfaceStoneOS包转发FlowUntrustZoneTrustZone1.1.70.2501.1.70.0/2410.1.10.510.1.20.0/24B10.1.10.0/24DMZZone10.1.20.5.254200.5.5.510.1.1.0/2410.1.2.0/24.1.254.1.2541.1.7.0/241.1.8.0/24.254.1PacketFlowExample(1of3)WebServerPacketFlowExample(2of3)10.1.20.5SRC-IP200.5.5.5DST-IP29218SRC-Port80DST-Port6Protocol1.已经建立会话?NoAddressPairProtocolPortPair(nomatch)SessionTable2.查找路由,目标可达?YesNetIntNHR10.1.1.0/24E1(connected)10.1.2.0/24E2(connected)10.1.10.0/24E110.1.1.510.1.20.0/24E210.1.2.50.0.0.0/0E81.1.8.254RoutingTable3.不同Zone之间的流量?YesIntZoneE1PrivateE2PrivateE7PublicE8ExternalZoneTablePacketFlowExample(3of3)4.策略允许通过?YesFromPrivatetoExternalSADAServiceAction10.1.0.0/16anyFTPpermit10.1.0.0/16anyHTTPpermit10.1.0.0/16anypingpermitanyanyanydenyAction:Permit10.1.20.5SRC-IP200.5.5.5DST-IP29218SRC-Port80DST-Port6Protocol创建会话AddressPairProtocolPortPair10.1.20.5200.5.5.56104280SessionTable小结在本章中讲述了如下内容:安全网络设备所需具备的功能StoneOS的系统架构StoneOS处理包的Flow根据网络环境选择基于StoneOS的安全网络设备问题1、hillstone安全网络设备具备的几大功能?2、StoneOS系统架构由接口、安全域、vswitch和vrouter组成,它们之间的关系?3、介绍StoneOS处理包的Flow过程?三.系统管理•通过完成此章节课程,您将可以实现:–系统管理功能–配置文件管理–StoneOS版本升级密码策略WebUI:系统设备管理基本信息:密码策略hillstone提供密码复杂度检测功能,可以通过启用此功能强制新建管理员账号的密码符合复杂度需求。系统管理员•系统管理安全网关设备由系统管理员(Administrator)管理、配置。系统管理员的配置包括创建管理员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。安全网关拥有一个默认管理员“hillstone”,用户可以对管理员“hillstone”进行编辑,但是不能删除该管理员。管理员分为读写执行权限管理员、只读执行权限管理员。配置系统管理员(WebUI)系统设备管理基本信息配置系统管理员(WebUI)系统设备管理基本信息新建可信主机•可信主机安全网关使用可信主机来进一步保证系统安全。管理员可以指定一个IP地址范围,在该指定范围内的主机为可信主机。只有可信主机才可以对安全网关进行管理。配置可信主机(WebUI)系统设备管理可信主机管理接口•安全网关支持的管理接口类型:Console、Telnet、SSH、WebUI•自定义管理接口:各种访问方式的超时时间、端口号以及HTTPS的PKI信任域•在一分钟内连续三次登录失败,系统会将登录失败的IP地址锁定两分钟。被锁定的IP地址在两分钟内不能建立与设备的连接配置管理接口(WebUI)系统设备管理用户接口配置文件管理•配置文件:•以命令行的格式保存安全网关的配置信息•1台设备可最大支持保存10份配置•配置文件中保存的用来初始化安全网关的配置信息称作起始配置信息,安全网关通过读取起始配置信息进行启动时的初始化工作;•如果找不到起始配置信息,安全网关则使用安全网关的缺省参数初始化•系统纪录最近十次保存的配置信息,最近一次保存的配置信息会纪录为系统的当前起始配置信息,当前系统配置信息以“current”作为标记;前九次的配置信息按照保存时间的先后以数字0到8作为标记。配置文件管理(WebUI)系统配置管理员可以导入、导出或者将系统恢复出厂配置当前配置窗口提供对current配置的Web方式查阅StoneOS升级•通过WebUI升级StoneOS:系统系统软件选择上载新系统固件单选按钮。选中备份当前系统固件复选框。•系统将在上载的同时备份当前运行的StoneOS。•如不选中该选项,系统将用新上载的StoneOS覆盖当前运行的StoneOS。点击『浏览』按钮并且选中要上载的StoneOS。点击『确定』按钮,系统开始上载指定的StoneOS。完成升级后,需要重启安全网关启动新升级的StoneOS。系统时间安全网关的时间影响到VPN隧道的建立和时间表的时间,并且日志都是基于系统时间记录的,因此系统时间的精确性十分重要。安全网关支持两种设置时间的方式,分别是手动设置和通过NTP与服务器同步。系统时间(WebUI)手动设置系统时间:系统日期/时间可以手动设置系统时间,或者点击“同步”按钮通过浏览器获取管理员本地电脑时间。系统诊断工具(WebUI)系统工具:安全网关提供基本的诊断工具方便,用户可以通过这些工具察看网络和路由是否连通。小结在本章