企业培训_山石网关培训教材

部署Hillstone安全网关 日程安排 一 准备工作 通过完成此章节课程 您将可以 了解设备管理方式完成基本上网配置 管理接口 用户管理接口类型 CLI ConsoleTelnetSSHWebUI HTTPHTTPS 不同管理方式 支持本地与远程两种环境配置方法 可以通过CLI和WebUI两种方式进行配置支持Console telnet ssh http https管理 图形化管理界面 WebUI 基于浏览器的WebUI管理方式简单灵活 可以完成常用的各种配置 准备工作 安全网关设备的e0 0接口配有默认IP地址192 168 1 1 该接口的各种管理功能均为开启状态 初次使用可以通过该接口管理设备 具体操作为 将管理PC的IP地址设置为与192 168 1 1 24同网段的IP地址 打开PC的Web浏览器 输入http 192 168 1 1设备默认管理员用户名及密码均为 hillstone 登陆后 WebUI界面初始页面结构 导航菜单 设备面板的端口连接状态 CPU 内存 会话数等设备运行情况 设备基本信息 包括 序列号 运行时间 软件版本 AV及特征库版本等 当前网络中占用带宽最多的IP排名 CLI用户接口 通过Console线连接PC的串口至安全网关的CON接口打开终端模拟器使用以下缺省账户登陆用户名 hillstone密码 hillstoneCLI快捷键使用Tab自动补齐命令使用 查看帮助 进入配置模式 全局配置模式 全局配置模式允许用户修改安全网关的配置参数 用户在执行模式下 输入configure命令 可进入全局配置模式 该模式的提示符如下所示 hostname config 子模块配置模式 安全网关的不同模块功能需要在其对应的命令行子模块模式下进行配置 用户在全局配置模式输入特定的命令可以进入相应的子模块配置模式 例如 运行interfaceethernet0 0命令进入ethernet0 0接口配置模式 此时的提示符变更为 hostname config if eth0 0 初始基本配置 基本配置步骤 配置接口配置默认路由配置允许访问策略 1 配置接口 WebUI 网络 接口编辑 网络 接口点击需配置接口右侧编辑按钮 2 配置默认路由 WebUI 网络 路由 目的路由新建 3 配置上网策略 WebUI 防火墙 策略点击需配置接口右侧编辑按钮 内部上网是从Trust到untrust的访问 因此创建从内到外的访问策略 防火墙 策略点击需配置接口右侧编辑按钮 源地址 处选择要被限制的IP地址范围 若选择 Any 则会对经过设备的所有地址有效 小结 在本章中讲述了以下内容 系统构件的功能完成基本上网配置 问题 1 如何通过浏览器对设备进行管理 2 如何开启从外网接口登陆安全网关 3 如何开放内网用户上网的策略 二 安全架构 通过完成此章节课程 您将可以 了解网络安全设备的用途理解StoneOS的架构StoneOS处理数据包的Flow Firewall 状态检测技术 通过策略过滤数据包IP sourceaddress destinationaddress protocol TCP UDP port Application BT QQ MSN Usedtoimplementsecuritypolicies 状态检测 包状态检测 基于选定类型检测IP包的内容来决定转发或丢弃包基于IP包中多个字段来保持IP通讯的状态通过检测的新通讯接着添加到状态表中只有在IP包与先前建立的通讯相关联时 非初始包才会被允许比包过滤提供了更高的安全性比应用代理要快得多 但没有应用代理提供的应用层控制多 网络地址转换 NAT 转换私有地址到公网地址 NAT 10 1 1 5 Trusted10 1 1 1 Untrusted201 1 8 1 Internet QoS 保证关键业务流量 QoS应用前关键业务受到冲击 QoS应用后关键业务受到保护 StoneOS系统架构图 Zone与Interface关系 接口 安全域 VS VR之间严格的等级架构L3 Zones绑定到virtualrouterL2 Zones绑定到virtualswitchInterfaces绑定到securityzone一个接口只能绑定到一个安全域一个安全域可以包含一个或多个接口L3 interface绑定到L3 ZoneL2 interface绑定到L2 Zone绑定到三层安全域的接口可以配置IP地址及管理服务IPaddresses L3 interface Managementservices L3 interface Others L3 Zone VirtualRouter L2 Zone VirtualSwitch L3 Interface L3 Zone VRouter ZonesandInterfaces 为接口配置IP地址前必须先将接口绑定到三层安全域 StoneOS包转发Flow UntrustZone TrustZone 1 1 70 250 1 1 70 0 24 10 1 10 5 10 1 20 0 24 B 10 1 10 0 24 DMZZone 10 1 20 5 254 200 5 5 5 10 1 1 0 24 10 1 2 0 24 1 254 1 254 1 1 7 0 24 1 1 8 0 24 254 1 PacketFlowExample 1of3 WebServer PacketFlowExample 2of3 PacketFlowExample 3of3 小结 在本章中讲述了如下内容 安全网络设备所需具备的功能StoneOS的系统架构StoneOS处理包的Flow根据网络环境选择基于StoneOS的安全网络设备 问题 1 hillstone安全网络设备具备的几大功能 2 StoneOS系统架构由接口 安全域 vswitch和vrouter组成 它们之间的关系 3 介绍StoneOS处理包的Flow过程 三 系统管理 通过完成此章节课程 您将可以实现 系统管理功能配置文件管理StoneOS版本升级 密码策略 WebUI 系统 设备管理 基本信息 密码策略hillstone提供密码复杂度检测功能 可以通过启用此功能强制新建管理员账号的密码符合复杂度需求 系统管理员 系统管理安全网关设备由系统管理员 Administrator 管理 配置 系统管理员的配置包括创建管理员 配置管理员的特权 配置管理员密码 以及管理员的访问方式 安全网关拥有一个默认管理员 hillstone 用户可以对管理员 hillstone 进行编辑 但是不能删除该管理员 管理员分为读写执行权限管理员 只读执行权限管理员 配置系统管理员 WebUI 系统 设备管理 基本信息 配置系统管理员 WebUI 系统 设备管理 基本信息新建 可信主机 可信主机安全网关使用可信主机来进一步保证系统安全 管理员可以指定一个IP地址范围 在该指定范围内的主机为可信主机 只有可信主机才可以对安全网关进行管理 配置可信主机 WebUI 系统 设备管理 可信主机 管理接口 安全网关支持的管理接口类型 Console Telnet SSH WebUI自定义管理接口 各种访问方式的超时时间 端口号以及HTTPS的PKI信任域在一分钟内连续三次登录失败 系统会将登录失败的IP地址锁定两分钟 被锁定的IP地址在两分钟内不能建立与设备的连接 配置管理接口 WebUI 系统 设备管理 用户接口 配置文件管理 配置文件 以命令行的格式保存安全网关的配置信息1台设备可最大支持保存10份配置配置文件中保存的用来初始化安全网关的配置信息称作起始配置信息 安全网关通过读取起始配置信息进行启动时的初始化工作 如果找不到起始配置信息 安全网关则使用安全网关的缺省参数初始化系统纪录最近十次保存的配置信息 最近一次保存的配置信息会纪录为系统的当前起始配置信息 当前系统配置信息以 current 作为标记 前九次的配置信息按照保存时间的先后以数字0到8作为标记 配置文件管理 WebUI 系统 配置管理员可以导入 导出或者将系统恢复出厂配置当前配置窗口提供对current配置的Web方式查阅 StoneOS升级 通过WebUI升级StoneOS 系统 系统软件选择单选按钮 选中复选框 系统将在上载的同时备份当前运行的StoneOS 如不选中该选项 系统将用新上载的StoneOS覆盖当前运行的StoneOS 点击 浏览 按钮并且选中要上载的StoneOS 点击 确定 按钮 系统开始上载指定的StoneOS 完成升级后 需要重启安全网关启动新升级的StoneOS 系统时间 安全网关的时间影响到VPN隧道的建立和时间表的时间 并且日志都是基于系统时间记录的 因此系统时间的精确性十分重要 安全网关支持两种设置时间的方式 分别是手动设置和通过NTP与服务器同步 系统时间 WebUI 手动设置系统时间 系统 日期 时间可以手动设置系统时间 或者点击 同步 按钮通过浏览器获取管理员本地电脑时间 系统诊断工具 WebUI 系统 工具 安全网关提供基本的诊断工具方便 用户可以通过这些工具察看网络和路由是否连通 小结 在本章中讲述了以下内容配置系统管理员 可信主机配置管理接口配置文件管理StoneOS版本升级配置系统时间系统诊断工具 问题 1 如何回退到以前保存的配置 2 升级系统Image StoneOS 的方法 四 交换与路由 通过完成此章节课程 您将可以 安全网关工作模式配置接口配置路由配置 设备工作模式 安全网关支持以下工作模式 路由应用模式透明应用模式混合应用模式 系统架构图 安全域 在StoneOS中 域是一个逻辑的实体 一个或多个接口可以绑定到域 而被应用了策略规则的域即为安全域 域具有以下特点 接口绑定到域二层和三层域决定其接口工作在二层模式或是三层模式StoneOS支持域内部策略规则 比如 从trust到trust 的策略规则 绑定关系 接口 安全域 VSwitch和VRouter之间的绑定关系接口绑定到安全域 绑定到二层安全域的接口为二层接口 绑定到三层安全域的接口为三层接口 安全域绑定到VSwitch或者VRouter 二层安全域绑定到VSwitch 三层安全域绑定到VRouter 由此 也实现了接口与VSwitch或者VRouter的绑定 策略策略则通过策略规则 PolicyRule 决定从一个安全域到另一个安全域的哪些流量该被允许 哪些流量该被拒绝 域间策略 域间策略对安全域间的流量进行控制 可通过设置域间策略来拒绝 允许从一个安全域到另一个安全域的流量 域内策略 安全域内策略对绑定到同一安全域的接口间流量进行控制 源地址和目的地址都在同一安全域中 但是通过安全网关的不同接口到达 虚拟交换机 vswitch VSwitch中的转发规则 在一个VSwitch 即一个二层转发域中 StoneOS安全网关通过源地址学习建立MAC地址转发表 每个VSwitch都有自己的MAC地址转发表 StoneOS根据数据包的类型 IP数据包 ARP包和非IP且非ARP包 分别进行不同的处理 对未知单播的转发采用策略限制下的广播对于非IP包且非ARP包 用户可以在全局配置模式下通过配置l2 nonip action命令指定处理方式 l2 nonip action drop forward drop 丢弃forward 转发 透明模式 为实现透明应用模式 需要根据策略规则创建一些二层安全域 并且把接口绑定到二层安全域上 同时将二层安全域绑定到VSwitch上 可以创建多个VSwitch 即多个二层转发域 透明应用模式有以下优点 无需修改受保护网络的IP设置 无需为进入受保护网络的报文创建NAT规则 配置VSwitch StoneOS默认有一个VSwitch 即VSwtich1 VSwitch1不能被删除 用户可以根据需要创建其它VSwtich 也可以随时查看VSwitch的配置信息 用户在新建一个VSwitch的同时 也新建了与VSwitch相对应的VSwitch接口 WEBUI 创建VSwtich 查看MAC表信息 通过StoneOSCLI 用户可以查看所有VSwitch或者某个指定接口的MAC表项 用户还可以清除所有VSwitch或者某个指定接口的MAC表项 路由模式 接口绑定到三层安全域上配置接口IP地址 基于安全域的策略规则在这种配置应用下 设备具有路由功能可以配置NAT规则地址转换功能 接口 接口允许流量进出安全域 因此 为使流量能够流入和流出某个安全域 必须将接口绑定到该安全域 并且 如果是三层安全域 还需要为接口配置IP地址 然后 必须配置相应的策略规则 允许流量在不同安全域中的接口之间传输 多个接口可以被绑定到一个安全域 但是一个接口不能被绑定到多个安全域 接口配置 三层模式 WEBUI方式 接口配置 二层模式 WEBUI方式 CLI方式 接口配置 高级配置 静态路由 静态路由是手工定义的路由条目 根据目的地址指定下一跳 也称作目的路由对外连接较少或者内网连接相对比较稳定的网络通常使用静态路由默认路由是静态路由的一种通过WEBUI配置静态路由 如下图 小结 在本章中讲述了以下内容 系统架构接口配置静态路由配置 五 基本安全策略 通过完成此章节课程 您将可以 理解安全策略的用途通过安全策略保护网络资源 安全策略基础 安全策略策略是网络安全设备的基本功能 默认情况下 安全设备会拒绝设备上所有安全域之间的信息传输 而策略则通过策略规则 PolicyRule 决定从一个安全域到另一个安全域的哪些流量该被允许 哪些流量该被拒绝 哪些网络流量可以允许通过 策略分类 策略分为两种 域间策略 域间策略对安全域间的流量进行控制 可通过设置域间策略来拒绝 允许从一个安全域到另一个安全域的流量 域内策略 安全域内策略对绑定到同一安全域的接口间流量进行控制 源地址和目的地址都在同一安全域中 但是通过安全网关的不同接口到达 策略规则的基本元素 策略规则允许或者拒绝从一个安全域到另一个安全域的流量 流量的类型 流量的源地址与目标地址以及行为构成策略规则的基本元素 Direction 两个安全域之间的流量的方向 指从源安全域到目标安全域 SourceAddress 流量的源地址 DestinationAddress 流量的目标地址 Service 流量的服务类型 Action 安全设备在遇到指定类型流量时所做的行为 包括允许 Permit 拒绝 Deny 隧道 Tunnel 来自隧道 Fromtunnel Web认证 Webauth 五个行为 策略规则 策略规则分为两部分 过滤条件和行为安全域间流量的源地址和目的地址以及服务类型构成策略规则的过滤条件 对于匹配过滤条件的流量可以制定处理行为 如Permit或Deny等 策略匹配顺序 系统查找策略顺序为由上至下 对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理 系统缺省的策略是拒绝所有的流量 安全策略布署流程 安全策略布署流程 配置策略的步骤 策略定义的步骤 面向对象的策略管理 通过采用面向对象方式来实现访问控制 可以合并类似的访问控制规则 减少访问规则数量 并且对象内容的修改 安全策略可自动更新 减少安全策略的维护量 面向对象的策略实现方法 第一步 定义对象地址对象服务对象时间对象等第二步 配置面向对象的安全策略 地址 Address 地址簿是StoneOS系统中用来储存IP地址范围与其名称的对应关系的数据库 地址簿中的IP地址与名称的对应关系条目被称作地址条目 AddressEntry 地址条目的IP地址改变时 StoneOS会自动更新引用了该地址条目的模块 配置地址本 WebUI 对象 地址簿 新建 配置地址本 WebUI 对象 地址簿 编辑 服务 Service 服务 Service 具有协议标准的信息流 服务具有一定的特征 例如相应的协议 端口号等 服务组 将一些服务组织到一起便组成了服务组 用户可以直接将服务组应用到安全网关策略中 这样便简化了管理 系统预定义服务 对象 服务簿 预定义 列出用户可以查看或修改系统预定义服务 预定义服务只提供对服务超时时间进行修改 系统预定义服务组 对象 服务组 预定义 列出用户可以查看系统预定义服务组 预定义服务组不可修改 用户自定义服务 除了使用StoneOS提供的预定义服务以外 用户还可以很容易地创建自己的自定义服务 用户自定义服务可包含最多8条服务条目 用户需指定的自定义服务条目的参数包括 名称传输协议TCP或UDP类型服务的源和目标端口号或者ICMP类型服务的type和code值超时时间应用类型 配置自定义服务 对象 服务簿 自定义 新建 配置服务组 对象 服务簿 组 新建 配置策略规则 WebUI 安全 策略 列出 配置策略规则 WebUI 安全 策略 基本配置 检查 移动策略规则 安全 策略 列出 小结 在本章中讲述了以下内容 安全策略的用途配置安全策略使用的地址薄配置服务簿和服务组配置安全策略保护网络资源 问题 1 安全策略由哪几部分组成 2 安全策略规则的动作支持哪几种 3 安全策略执行的顺序 4 同一个安全域内的策略 缺省的动作是什么 5 状态检测与包过滤两种实现方式有何不同 六 高级安全策略 通过完成此章节课程 您将可以 配置基于时间表的策略配置安全网关实现对网络攻击防护配置安全网关抵御ARP攻击 安全网关支持时间表 Schedule 功能 时间表功能可以使策略规则在指定的时间生效 也可以控制PPPoE接口与因特网的连接时间 时间表包含绝对时间和周期 周期通过周期条目指定时间表的时间点或者时间段 而绝对时间决定周期的生效时间 每个周期最多可以拥有16条周期条目 时间表 对象 时间表 新建时间表提供 绝对时间 和 周期 两种类型 时间表 安全 策略 基本配置调用时间表的策略 只在时间表范围内生效 应用时间表到策略 安全 策略 列出调用时间表的策略 只在时间表范围内生效 查看调用时间表的策略 基于时间表的策略网络攻击防护ARP攻击防御 议程 安全策略高级特性 攻击防护 网络中存在多种防不胜防的攻击 如侵入或破坏网络上的服务器 盗取服务器的敏感数据 破坏服务器对外提供的服务 或者直接破坏网络设备导致网络服务异常甚至中断 作为网络安全设备的安全网关 必须具备攻击防护功能来检测各种类型的网络攻击 从而采取相应的措施保护内部网络免受恶意攻击 以保证内部网络及系统正常运行 hillstone安全网关提供基于域的攻击防护功能 安全 攻击防护 编辑 攻击防护 基于角色和时间表的策略网络攻击防护ARP攻击防御 议程 安全策略高级特性 主机防御 安全网关的主机防御功能即安全网关代替不同主机发送免费ARP包 保护被代理主机免受ARP攻击 ARP防御 安全 IP MAC ARP防御通过使用ARP学习 MAC学习 ARP认证以及ARP检查功能 StoneOS能够很好的防御ARP欺骗攻击 并且 StoneOS能够对ARP欺骗攻击进行统计 显示ARP欺骗攻击统计信息 IP MAC绑定 为加强网络安全控制 安全网关支持IP MAC地址绑定 MAC 端口绑定以及IP MAC 端口绑定 这些绑定信息分为静态和动态两种 通过ARP学习功能 ARP扫描功能以及MAC学习功能获得绑定信息为动态绑定信息 而手工配置的绑定信息为静态信息 同时 安全网关还具有ARP检查功能 IP MAC绑定 安全 IP MAC 静态绑定 小结 在本章中讲述了以下内容 基于时间表配置安全策略配置网络攻击防护配置主机防御及IP MAC绑定 七 IPQoS 通过完成此章节课程 您将可以 理解IPQOS的用途配置IPQOS功能 101 IPQoS功能介绍 基于IP的QoS 即IPQoS 能够为局域网里的每一个或每一段IP进行最大带宽限制或者预留带宽 IPQoS匹配类型支持IP地址范围或者地址簿条目 上 下行流量可以独立限制 并可结合时间表对不同时段做不同控制 QoS控制策略需要绑定到接口上生效 绑定到外网接口的QoS上行 下行控制策略对应内网用户上传 下载 绑定到内网接口上行 下行对应下载 上传 102 IPQoS示例 用户环境描述 出口带宽50Mbps 外网为E0 1接口内网连接两个网段 172 16 1 0 24和192 168 1 0 24用户需求描述 172 16 1 1 172 16 1 100需限制其下载带宽为500K IP 如出口带宽空闲时可最高到5M IP 上传不做限制192 168 1 0 24网段中每IP下载300K 上传整个网段共享10M 103 第一步 登陆防火墙 在浏览器输入防火墙缺省管理地址 192 168 1 1默认用户名hillstone密码hillstone 104 第二步 指定接口带宽 接口默认带宽为物理最高支持带宽而非ISP承诺带宽 用户需根据实际带宽值指定接口上 下行带宽 如需使用弹性QoS功能 需点击开启弹性QoS全局配置 105 第三步 配置IPQoS策略 限制172 16 1 1 100每IP下载带宽500K 并在出口带宽空闲时允许突破500K IP限制 每IP最大占用5M带宽 106 第三步 配置IPQoS策略 续 限制192 168 1 0 24每IP下载带宽最大300K 上传整个网段最大占用10M带宽 107 显示已配置控制策略 添加后策略会在IPQoS列表显示 如多条策略的IP地址范围重叠 请点击策略右侧箭头移动策略位置 从上至下第一条匹配到的策略生效 八 应用QOS 通过完成此章节课程 您将可以 理解应用QOS的用途配置应用QOS 109 应用QoS功能介绍 基于应用的QoS可以实现保障关键应用的带宽或者限制非关键应用的带宽 应用QoS全局有效 可以实现基于时间表的应用QoS限制 应用QoS可以绑定在出接口和入接口 应用QoS可以实现上下行带宽独立限制 110 应用QoS示例 用户环境描述 出口带宽50Mbps 外网为E0 1接口 内网连接E0 0内网连接两个网段 172 16 1 0 24和192 168 1 0 24用户需求描述 P2P应用需限制其下行