HillStone最新配置手册

1、HillStoneSA-2001 配置手册本文是基于安全网关操作系统为进行编写，如版本不同，配置过程有可能不一样。i网络端口配置SA-2001安全网关前面板有5个千兆电口、1个配置口、1个CL被键、1个US羞口以及状态指示灯。下图为 SA-2001的前面板示意图：序号标识及说明序号标识及说明1PWR电源指示灯5CLR CL豉键2STA状态指示灯6CON配置口3ALM警告指示灯7USB US葭口4VPNvpNt态指灯8e0/0-e0/4 :以太网电口将网线接入到E0/0。防火墙的ethernet0/0接口配有默认IP地址，但该端口没有设置为DHC服务器为客户端提供IP地址，因此登录后的首页面。可

2、以看到 CPU内存、会话等使用情况。很多品牌的防火墙或者路由器等，在默认情况下内网端口都是划分好并且形成一个小型交换机的，但是hillstone 的产品却需要自己手工设置。在本文档中，我们准备将E0/0划分为UNTRUST连接互联网,E0/1E0/4总共4个端口我们则划到一个交换机中并作为TRUS口连接内网。在 网络接口界面中，新建一个bgroup 端口，该端口是一个虚拟的端口。因为 bgroup1 接口需要提供路由功能，因此需要划入到三层安全域（trust ）中。输入由集团信息中心提供的IP地址。在管理设置中，尽量将各个管理功能的协议打开，尤其是HTT的能。建女? bgroupl之后，对网络

3、接口页面中的e0/1e0/4分别修改，依次将它们划归为bgroup1 。设置好交换机功能后，还需要设置DHC电能，以便PC机接入时可以自动获取IP地址。新建一个 DHCP4址池根据集团信息中心提供的IP 地址段设置IP 地址池。租约里尽量将时间设大一些，这样在追查记录的时候，不会因为PC机的IP地址频繁发生变动而难以追踪。确定之后，POOL1勺地址则建好了，不过，还需要修改DNSt能让PC机可以访问到集团内网。编辑 POOL1S入高级配置界面。DNS1和DNS吩别设置为集团总部的 10.0.1设置完地址池之后，需要将该地址池捆绑到bgroup1 以便让 bgroup1 可以为 PC机分配 IP

4、 地址。确认以上步骤操作成功后，将原来连接到E0/0 的网线任意插入到E0/1E0/4的一个端口中，看看 PC机是否可以获取到IP地址了。通过IPCONFIG/ALL命令可 以看到，PC机这时候已经获取到IP及DNS了。将原来的IE 浏览器关闭，重新打开IE 浏览器、输入网关地址（即bgroup1 的地址）并输入用户名密码。确认完E0/1-4的任意一个TRUSTS能获取IP后，即可修改E0/0为对外连接端口。本文档中是以 E0/0为ADS酸号连接为示例。新建一个PPPOEE置输入ADSL的用户名及密码。将自动重连间隔修改为1,否则ADSL会自动重 拨。默认配置中，E0/0 是属于 trust

5、域的， 需要将该端口修改为untrust 并将 PPPOE捆绑到该端口。点击网络接口，并修改E0/0 的设置。启用设置路由。管理的协议中，原来默认均开启了e0/0 所有的管理端口，我们可以在稍后确认所有的配置均调试完毕后关闭一些协议以增强防火墙的安全性。点击确定后，可以看到e0/0 已经划入到untrust 的安全域中。2 防火墙设置源NAT规则指定是否对符合条件的流量的源IP地址做NAT转换。通过基本选项的配置指定源NAT规则中流量应符合的条件。符合条件的流量才能按照规则指定的行 为进行转换。HillStone 安全网关与其他品牌的防火墙在策略配置中的其中一个区别就是NAT设置。其他防火墙一

6、般都是自动设置好，但在HillStone 中，必须要手工将上网行为和访问内网的 NAT策略明确区分才行。建立一条让项目PC可以访问互联网时进行 NA瑶专换的策略。在防火墙-NAT-源NAT中新建一条 基本配置 的策略源地址选择，出接口仍然是选择e0/0 o行为选择NAT（出接口 IP） NAT策略建立好之后，在 防火墙-策略 中需要新建访问策略。源安全域选择 trust ， 目的安全域选择 untrust ，点击 新建服务簿中选择ANY即默认允许所有的网络应用均可使用。 行为 默认为 允许3 VPN配置设置完网络端口的配置之后，开始设置VPN HillStone 的VPN设置跟5GT或者FVS

7、114t点区别，需要手工先设置合适的 P1提议和P2提议。点击VPNh IPSecVPN集团现在均使用在 P1 提 议 中 新 建 一 个 提 议 ， 如 gemdale-p1 pre-sharedkey-MD5-3DES-Group2 的加密策略。同样的方式再新建一个 P2。选用ESP-MD5-3DES-NoPFS新建完P1和P2之后，开始新建一个IPSecVPN在IKEVPN歹U表中点 新建输入对端名称gemdale （可以随便起名，不同防火墙设备均可以设置相同的名字。为方便识别，这里可以统一设置为gemdale） 。接口设置为对外连接的端口E/0。模式为野蛮模式（aggressive点击

8、高级，增加DP的能：勾选对端存活体检测（DPD设置好步骤1 之后，点击步骤2：隧道为便于管理，隧道的名称与本地ID 值一致。模式为tunnel ，提议名称选用前面设置好的 gemdale-p2 。自动连接：配置自动连接功能。默认情况下，该功能是关闭的，选择启用复选框开启该功能。安全网关提供两种触发建立sa的方式：自动方式和流量触发方式。自动方式时，设备每60秒检查一次sa的状态，如果sa未建立则自动发起协商请求；流量触发方式时，当有数据流量需要通过隧道进行传输时，该隧道才发起协商请求。默认情况下，系统使用流量触发方式。为了访问集团内网，需要制定一条不需要NAT转换的策略。点击 防火墙一NAT源

9、NAT,在源NAT列表中，新建一条高级配置在 源地址 的 地址簿 中选择，这个就是安全网关的内部网段。在 目的地址中，如果之前没有在对象地址簿中建立过集团总部网段的信息，则可以直接通过点 目的地址的地址簿，下拉菜单中会有新建】的提示点击【新建】之后出现下面的地址簿配置界面。名称起集团总部，IP地址填 10.0.0建好集团总部这个地址簿之后，在目的地址的地址簿中就可以选择集团总部。出接口选择e0/0 ,行为选择不做NAT除了建立一条访问集团总部内网的NAT策略之外，还需要继续新建 VPN访问的策略。同样，在防火墙-策略 中，选择新建一条从trust到untrust的策略。源地址选择，目的地址选择

10、 集团总部，行为选择【隧道】，隧道中选择之前在 VPN 建好的IPSECVPNft略。将双向VPN®略构选，这样，就不需要再建一条从 untrust到trust的VPN防火墙 策略了（如果配置的时候忘记构选该选项，则需要再新建一条untrust到trust的策略，行为则要选择来自隧道）。此时，点防火墙一策略 可以看到之前设置好的 3条策略。如果新建策略的时候 顺序反了，伊J如新建了 VPN的防火墙策略之后再建上网策略，则需要将点I将顺序 对调一下。下图为顺序建反的情况，必须要将ANYSij ANY的策略放在VPN防火墙策略的下面，即将ID为1的策略放在ID为2的策略下面。4流量控制的

11、配置使用HillStone的最大目的则是利用其丰富的流量控制管理功能实现项目上的 网络流量控制。默认情况下，安全网关没有打开应用识别功能，需要在网络一安全域中，将 trust或者untrust或者两个安全域的应用识别启用。4.1 P2P限流对于P2P流量，可以实行限流。即允许用户使用迅雷或者电驴等软件，但流量做了特别的限制，例如只允许上下行带宽为32kbps （相当于4Kbyte/秒）。这里可 以根据各项目的实际情况而放宽流量的大小。在QoS-应用QoS中添加一条控制策略。例如， 规则名称 起名为gemdale-p2P 流量，接口绑定到bgroupl ,应用选择P2P下载、P2P视频和HTTP

12、_Download（这里 的HTTP_Downloa曲非是指IE中的直接下载，而是指封堵迅雷中的 80端口 P2P下 载功能）。注意上行和下行。HillStone中对上行和下行的定义与在一些专业级路由器相似，即根据端口的进出来决定上行还是下行。对于 bgroup1 , PC机的下载流量对于 这个端口而言是出去的流量，因此是上行流量；而PC机上传的流量对于这个端口而言是进到安全网关的流量，因此是下行流量。4.2 禁止P2P流量除了限流这种控制方式之外，我们也可以选择直接禁止P2P流量。在对象-服务簿 中，新建一个自定义服务组，并将P2P所用到的协议划分到该 服务组中。例如，组名可以起 禁止P2P

13、服务，组成员选择P2P下载、P2P视频和 HTTP_Download （这里的HTTP_Downloa班非是指IE中的直接下载，而是指封堵迅 雷中的80端口 P2P下载功能）。建好自定义服务组之后，在 防火墙一策略 中新建一条从trust到untrust的策 略，该策略用于禁止P2P流量的下载。在服务簿中选择之前建好的 禁止P2P服务,然后行为在选择 拒绝。建好策略之后，可以看到新建的策略是位于默认上网策略（ ID1）下面的，因 此，还需要将该禁止策略放在 ANY?U ANY策略的上面。点击台对其进行调整。将该条策略规则移到默认上网策略（ID1 ）的前面 移完之后再确认一下配置是否正确4.3

14、IP 流量控制除了控制P2P 流量之外，我们还要对单个IP 进行流量控制。这是基于一下几点考虑的：1、 有可能 P2P 的软件不断更新，而安全网关的应用特征库没有及时更新，可能会导致新的 P2P流量出现从而导致带宽资源全部被占用；2、 PC也有可能中病毒而产生大流量从而导致带宽资源全部被占用；3、 用户有可能通过IE 直接下载一些大流量的软件在QoS- IPQoS中新建一个规则。 规则名称 起名gemdale-qos ;接口绑定到bgroup1 ； IP 地址 从 地址簿 的下拉菜单中选择；对于项目部，大多数都是选用2M的ADSL（下载到2M上传到5122,因此, 可以考虑将每个IP的流量限制

15、在上行 400kbps,下行100kbps。注意 上行 和 下行 。 HillStone 中对上行和下行的定义与在一些专业级路由器相似，即根据端口的进出来决定上行还是下行。对于 bgroup1 , PC机的下载流 量对于这个端口而言是出去的流量， 因此是上行流量；而PC机上传的流量对于 这个端口而言是进到安全网关的流量，因此是下行流量。4.4 时间的设置如果需要设置人性化的流量管理，可以考虑将时间考虑进去。例如，可以计划每天早上8: 30到晚上8点半这个时间段禁止（或者限流）进行P2P的下载。在 对象时间表里新建一个时间表。在防火墙策略 中找到禁止P2P服务的规则，对它进行编辑，并将 时间表的

16、下 拉菜单中选择之前新建的时间表规则。如果是限流P2P流量的设置，则在 QoS-应用Qos中将上下行的时间表选中如果是对IP限流，则在QoS- IPQoS中增加上下行的时间表4.5 统计功能默认情况下，安全网关没有将流量情况进行统计，需要根据实际情况开启自己所需的功能。在 监控统计集里，构选接口 IP 应用带宽。 （如果需要一登录安全网关即可在首页里看到统计，则还需要构选系统全局统计中的IP 上下行带宽等。构选完毕之后，在 监控一统计集 里可以选择bgroupl看到项目上PC使用网络的情况。首页的界面可以看到前10IP 的上下行带宽。不过，所有这些监控菜单中的统计数据均存放在设备的缓存中而已，一旦安全网关重启则全部丢失。如果配合HlllStone的HSMR管平台则可以解决这个问题。5 基础配置新设备购买过来之后，license 一般都还没更新，需要让供应商将合法的License发给我们后自行更新。2010 年 1 月 1 日之后，License 至少有两个，一个是基础平台，一个是QOS升级如下：上图是两个License 。升级的时候将license: 开头