Hillstone基本部署培训文档-V2(共88张).pptx

成都办事处PS 向明旺 | Hillstone Confidential日程安排Hillstone产品简介准备工作安全策略网络地址转换QOS流量管理报表统计 | Hillstone Confidential一、Hillstone产品简介u StoneOS系统简介l 功能组件 接口、安全域、Vswitch、Vrouter、防火墙策略l 功能介绍 -交换&路由 -NAT -防火墙策略控制 -QOS -IPS -AD（扛攻击） -VPN -NBC注意：以上所列出的通用功能在所有硬件平台及版本上均支 持，前提是具备相应的license。 | Hillstone Confidential报文处理流程u StoneOS系统架构 | Hillstone Confidential报文处理流程u StoneOS系统架构 | Hillstone Confidential防火墙报文处理流程u 接口和安全域绑定关系 | Hillstone Confidential报文处理流程u 接口和安全域绑定应用案例 | Hillstone Confidential报文处理流程二、准备工作 通过完成此章节课程，您将可以实现： 完成设备基本管理 搭建基本实验环境管理接口用户管理接口类型:CLI: Console Telnet SSHWebUI: HTTP HTTPS不同管理方式支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置支持Console、telnet、ssh、http、https管理参数 数值 波特率 9600 bit/s 数据位 8停止位 1校验/流控无参数 数值 接口Eth0/0用户名hillstone密码hillstone管理IP | Hillstone Confidential图形化管理界面-WebUI基于浏览器的WebUI管理方式简单灵活，可以完成常用的各种配置。v 准备工作： 安全网关设备的e0/0接口配有默认IP地址192.168.1.1，该接口的各种管理功能均为开启状态。初次使用可以通过该接口管理设备，具体操作为： 将管理PC的IP地址设置为与192.168.1.1/24同网段的IP地址，打开PC的Web浏览器，输入http:/192.168.1.1 设备默认管理员用户名及密码均为“hillstone”登陆后 | Hillstone ConfidentialWebUI界面初始页面结构导航菜单设备面板的端口连接状态CPU、内存、会话数等设备运行情况设备基本信息，包括：序列号、运行时间、软件版本、AV及特征库版本等搭建基本实验环境 基本配置步骤:1) 配置接口2) 配置默认路由3) 配置允许访问策略1）配置接口网络网络 接口接口 编辑编辑网络网络 接口接口 点击需配置接口右侧编辑按钮2）配置默认路由网络网络 路由路由 目的路由目的路由 新建新建3）配置上网策略防火墙防火墙 策略策略 点击需配置接口右侧编辑按钮内部上网是从Trust到untrust的访问，因此创建从内到外的访问策略防火墙防火墙 策略策略 点击需配置接口右侧编辑按钮“源地址”处选择要被限制的IP地址范围，若选择“Any”则会对经过设备的所有地址有效配置系统管理员系统管理安全网关设备由系统管理员（Administrator）管理、配置。系统管理员的配置包括创建管理员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。安全网关拥有一个默认管理员“hillstone”，用户可以对管理员“hillstone”进行编辑，但是不能删除该管理员。管理员分为读写执行权限管理员、只读执行权限管理员。配置系统管理员系统 设备管理 基本信息配置系统管理员系统 设备管理 基本信息 新建 配置文件管理系统 配置 管理员可以导入、导出或者将系统恢复出厂配置当前配置窗口提供对current配置的Web方式查阅StoneOS升级通过WebUI 升级StoneOS：系统 系统软件选择单选按钮。选中复选框。 系统将在上载的同时备份当前运行的StoneOS。 如不选中该选项，系统将用新上载的StoneOS 覆盖当前运行的StoneOS。点击浏览按钮并且选中要上载的StoneOS。点击确定按钮，系统开始上载指定的StoneOS。完成升级后，需要重启安全网关启动新升级的StoneOS。系统诊断工具（WebUI）系统系统 工具工具:安全网关提供基本的诊断工具，方便用户可以通过这些工具察看网络和路由是否连通。三、安全策略 通过完成此章节课程，您将可以： 理解安全策略的用途 通过安全策略保护网络资源安全策略基础安全策略策略是网络安全设备的基本功能。默认情况下，安全设备会拒绝设备上所有安全域之间的信息传输。而策略则通过策略规则（Policy Rule）决定从一个安全域到另一个安全域的哪些流量该被允许，哪些流量该被拒绝。 | Hillstone Confidential防火墙的核心功能组件会话状态表会话状态表 五元组：源IP源端口目的IP目的端口传输协议安全策略安全策略 五元组：源IP源安全域目的IP目的安全域服务传输协议+端口 | Hillstone Confidential防火墙综合技术原理 策略控制： 会话检测：对防火墙在不同安全域或安全级别之间的访问配置相应的策略规则后，数据报文入防火墙时防火墙会基于五元组去查询与之匹配的策略规则（每种报文只会匹配一次，如所有的规则都不匹配则匹配默认的策略规则），然后执行规则中定义的相应动作（permit/drop）。对于已经成功建立的会话，防火墙会为之建立会话表，以记录报文的相关信息（五元组），新的报文进入防火墙之后防火墙会先查询是否有与之相匹配的会话条目，如有则直接按会话状态走fast path处理，以节约CPU等资源。如不是已经存在的会话，则查询策略规则并安装会话状态表，以便快速处理后续同一会话的其它报文。 | Hillstone Confidential地址（Address） 地址簿是StoneOS 系统中用来储存IP 地址范围与其名称的对应关系的数据库。 地址簿中的IP 地址与名称的对应关系条目被称作地址条目（Address Entry）。 地址条目的IP 地址改变时，StoneOS 会自动更新引用了该地址条目的模块。配置地址本（WebUI）对象 地址簿 新建地址薄名称地址薄成员配置地址本（WebUI）对象 地址簿 编辑地址薄成员 | Hillstone Confidential服务（Service） 服务（服务（ServiceService）：）：具有协议标准的信息流。服务具有一定的特征，例如相应的协议、端口号等。 服务组：服务组：将一些服务组织到一起便组成了服务组。用户可以直接将服务组应用到安全网关策略中，这样便简化了管理。 | Hillstone Confidential系统预定义服务对象 服务簿 用户可以查看或修改系统预定义服务，预定义服务只提供对服务超时时间进行修改。 | Hillstone Confidential系统预定义服务组对象 服务薄 用户可以查看系统预定义服务组，预定义服务组不可修改。 | Hillstone Confidential用户自定义服务 除了使用StoneOS 提供的预定义服务以外，用户还可以很容易地创建自己的自定义服务。用户自定义服务可包含最多8 条服务条目。用户需指定的自定义服务条目的参数包括： 名称 传输协议 TCP 或UDP 类型服务的源和目标端口号或者ICMP 类型服务的type 和code 值 超时时间 应用类型 | Hillstone Confidential配置自定义服务对象 服务簿 自定义服务 新建服务名称协议源、目的端口 | Hillstone Confidential配置服务组对象 服务簿 自定义服务组 | Hillstone Confidential配置策略规则（WebUI）防火墙 策略 | Hillstone Confidential配置策略规则（WebUI）安全 策略检查/移动策略规则安全 策略 小结v在本章中讲述了以下内容：v安全策略的用途v配置安全策略使用的地址薄v配置服务簿和服务组v配置安全策略保护网络资源源NAT 目的NAT NAT与相关策略四、网络地址转换 | Hillstone Confidential源NAT配置示例 配置SNAT步骤： 第一步，配置源NAT规则 第二步，配置访问策略 示例环境描述： 系统部署模式为路由模式，外网接口为Eth0/4 所有用户上网均需NAT成防火墙外网接口IP地址 | Hillstone Confidential第一步，配置源第一步，配置源NAT规则规则创建源NAT规则，将上网流量数据包源接口转换为外网IP。 | Hillstone Confidential第二步，配置访问策略第二步，配置访问策略源NAT规则只是定义了网络层面的转换，如需上网，则要添加相应访问策略。 源NAT目的NAT NAT与相关策略议程：网络地址转换 | Hillstone Confidential示例一 端口映射DNAT（VIP）DMZ安全域有FTP服务器和WEB服务器，IP如下图所示，现有公网IP地址202.1.1.3可用，通过此IP将上述两服务器发布。 | Hillstone Confidential第一步，配置地址簿第一步，配置地址簿分别添加202.1.1.3和10.1.2.10、10.1.2.11的地址簿。 | Hillstone Confidential第二步，配置目的第二步，配置目的NAT规则规则添加端口映射的目的NAT策略，将访问到202.1.1.3的FTP服务的流量转到10.1.2.10的21端口。 | Hillstone Confidential第二步，配置目的第二步，配置目的NAT规则（续）规则（续）添加端口映射的目的NAT策略，将访问到202.1.1.3的HTTP服务的流量转到10.1.2.11的80端口。 | Hillstone Confidential第三步，配置访问策略第三步，配置访问策略上述NAT规则已经定义了网络层面的对应关系，如需开放外网到服务器的访问，需添加相应访问策略，策略目的IP为服务器映射所对应的公网IP，如下图依次添加untrustdmz，目的IP为映射虚IP，服务为FTP和HTTP的策略。 | Hillstone Confidential示例二 IP映射（MIP）DMZ安全域有FTP服务器和WEB服务器，IP如下图所示，现有公网IP地址202.1.1.4和202.1.1.5可用，通过IP映射将上述两服务器发布。 | Hillstone Confidential第一步，配置地址簿第一步，配置地址簿分别添加202.1.1.4、202.1.1.5和10.1.2.10、10.1.2.11的地址簿。 | Hillstone Confidential第二步，配置目的第二步，配置目的NAT规则规则添加IP映射的目的NAT规则，将访问到202.1.1.4的流量转到10.1.2.10，访问到202.1.1.5的流量转到10.1.2.11。 | Hillstone Confidential第三步，配置访问策略第三步，配置访问策略上述NAT规则已经定义了网络层面的对应关系，如需开放外网到服务器的访问，需添加相应访问策略，策略目的IP为服务器映射所对应的公网IP，如下图依次添加untrustdmz，目的IP为映射虚IP（202.1.1.4/202.1.1.5）的策略。54小结v在本章中讲述了以下内容：NAT的分类源和目的NAT的应用QoS基本概念 IP QoS 应用QoS五、QoS流量管理 | Hillstone Confidential为什么需要QoSl 大流量时关键应用运行受冲击l 带宽没有充分利用l TCP突发特性不受控制l 大流量时关键应用运行受保护l 带宽充分利用l TCP突发特性受到控制 | Hillstone ConfidentialIP QoS | Hillstone ConfidentialIP QoS功能介绍 基于IP的QoS可以实现保障关键IP/网段的带宽或者限制非关键IP/网段的带宽。 IPQoS全局有效。 可以实现基于时间表的IPQoS限制。 IP QoS可以绑定在出接口和入接口。 IP QoS可以实现上下行带宽独立限制。 | Hillstone ConfidentialIP QoS示例用户环境描述：出口带宽50Mbps，外网为E0/1接口内网连接两个网段：172.16.1.0/24和192.168.1.0/24用户需求描述：172.16.1.1-172.16.1.100需限制其下载带宽为500K/IP，如出口带宽空闲时可最高到5M/IP，上传不做限制192.168.1.0/24网段中每IP下载300K，上传整个网段共享10M | Hillstone Confidential第二步-指定接口带宽接口默认带宽为物理最高支持带宽而非ISP承诺带宽，用户需根据实际带宽值指定接口上/下行带宽。 | Hillstone Confidential第三步-配置IP QoS策略限制172.16.1.1-100每IP下载带宽500K，并在出口带宽空闲时允许突破500K/IP限制，每IP最大占用5M带宽。 | Hillstone Confidential第三步-配置IP QoS策略（续）限制192.168.1.0/24每IP下载带宽最大300K，上传整个网段最大占用10M带宽。 | Hillstone Confidential显示已配置控制策略添加后策略会在IP QoS列表显示，如多条策略的IP地址范围重叠，请点击策略右侧箭头移动策略位置，从上至下第一条匹配到的策略生效。 | Hillstone Confidential应用 QoS | Hillstone Confidential应用 QoS功能介绍 基于应用的QoS可以实现保障关键应用的带宽或者限制非关键应用的带宽。 应用QoS全局有效。 可以实现基于时间表的应用QoS限制。 应用QoS可以绑定在出接口和入接口。 应用QoS可以实现上下行带宽独立限制。 | Hillstone Confidential应用 QoS示例用户环境描述：出口带宽50Mbps，外网为E0/1接口，内网连接E0/0内网连接两个网段：172.16.1.0/24和192.168.1.0/24用户需求描述：P2P应用需限制其下行带宽为10M，上传最大5MHTTP和SMTP应用下载保障20M，上传保障10M | Hillstone Confidential第二步-指定接口带宽68接口默认带宽为物理最高支持带宽而非ISP承诺带宽，用户需根据实际带宽值指定接口上/下行带宽。 | Hillstone Confidential第三步-开启应用识别69防火墙默认不对带*号服务做应用层识别，如需对BT、xunlei等应用做基于应用的QoS控制，需要开启外网安全域的应用识别功能。 | Hillstone Confidential第四步-配置应用 QoS策略70限制P2P应用下行带宽为10M，上传最大5M。 | Hillstone Confidential第四步-配置应用 QoS策略（续）71HTTP和SMTP应用上行保障10M。 | Hillstone Confidential第四步-配置应用 QoS策略（续）72HTTP和SMTP应用下行保障20M。保证带宽功能为出接口工具，所以对下载流量保证带宽需要配置在内网接口保证上行带宽。 | Hillstone Confidential显示已配置控制策略73添加后策略会在应用QoS列表显示，如多条策略的应用重叠，请点击策略右侧箭头移动策略位置，从上至下第一条匹配到的策略生效。小结v在本章中讲述了以下内容：v基本QoS概念v基于IP-QoS配置v基于应用QoS配置六、报表统计报表统计功能简介：v可统计的数据类型 流量、会话、新建会话数速率、攻击速率、病 毒个数、入侵次数、URL 命中次数、关键字 阻断次数和应用阻断次数v支持的数据组织方式 IP、接口、安全域、攻击类型、应用、病毒、 用户、特征ID、URL、URL 类别、关键字和阻 断类型 | Hillstone Confidential统计集功能介绍StoneOS 的统计集功能允许用户查看实时的或者一定统计周期内（5 分钟或者24 小时）基于不同统计数据类型（如带宽、会话、新建会话数速率、攻击速率和病毒个数）以及数据组织方式（如IP、接口、安全域、攻击类型、应用、病毒和用户）的系统统计信息，并且可以根据不同需求过滤统计信息，从而帮助用户更加详细和精确地了解系统的资源分配及网络安全状态。 | Hillstone Confidential预定义统计集 | Hillstone Confidential启用预定义统计集系统已经预置常见的统计集供用户选择启用，启用统计集按照右图流程勾选相应统计集并启用即可。 | Hillstone Confidential查看统计数据79启用统计集后，点击统计集名称即可显示实时统计数据。点击查看处的5分钟或24小时可查看该时间范围内的历史曲线。 | Hillstone Confidential自定义统计集 | Hillstone Confidential新建自定义统计集81对于某些特定需求的统计，可以通过自定义统计集实现。 | Hillstone Confidential查看自定义统计数据 | Hillstone Confidential关闭统计功能 | Hillstone Confidential关闭预定义统计集统计集功能需要占用系统大量运算能力，关闭非必要统计集有利于节约系统资源。 | Hillstone Confidential关闭自定义统计集85对于自定义统计集，可以编辑其状态为非活跃暂时关闭统计功能。如果不再需要该统计集，可以直接点击统计集右侧 删除。 | Hillstone ConfidentialQ/A演讲完毕，谢谢观看！