Hillstone基本部署培训文档

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑扉页标题样式,Thank You,！,安全网关基本部署,成都办事处 向明旺,18683720267,日程安排,产品简介,准备工作,安全策略,网络地址转换,流量管理,报表统计,一、产品简介,系统简介,功能组件,接口、安全域、防火墙策略,功能介绍,交换&路由,防火墙策略控制,（扛攻击）,注意：以上所列出的通用功能在所有硬件平台及版本上均支,持，前提是具备相应的。,报文处理流程,系统架构,报文处理流程,系统架构,防火墙报文处理流程,接口和安全域绑定关系,报文处理流程,接口和安全域绑定应用案例,报文处理流程,二、准备工作,通过完成此章节课程，您将可以实现：,完成设备基本管理,搭建基本实验环境,管理接口,用户管理接口类型:,:,:,不同管理方式,支持本地与远程两种环境配置方法，可以通过 和 两种方式进行配置,支持、管理,参数,数值,波特率,9600,数据位,8,停止位,1,校验/流控,无,参数,数值,接口,0/0,用户名,密码,管理,192.168.1.1,图形化管理界面,基于浏览器的管理方式简单灵活，可以完成常用的各种配置。,准备工作：,安全网关设备的e0/0接口配有默认地址192.168.1.1，该接口的各种管理功能均为开启状态。初次使用可以通过该接口管理设备，具体操作为：,将管理的地址设置为与192.168.1.1/24同网段的地址，打开的浏览器，输入,设备默认管理员用户名及密码均为“”,登陆后,界面初始页面结构,导航菜单,设备面板的端口连接状态,、内存、会话数等设备运行情况,设备基本信息，包括：序列号、运行时间、软件版本、及特征库版本等,搭建基本实验环境,基本配置步骤:,配置接口,配置默认路由,配置允许访问策略,1）配置接口,网络 接口 编辑,网络 接口 点击需配置接口右侧编辑按钮,2）配置默认路由,网络 路由 目的路由 新建,3）配置上网策略,防火墙 策略 点击需配置接口右侧编辑按钮,内部上网是从到的访问，因此创建从内到外的访问策略,防火墙 策略 点击需配置接口右侧编辑按钮,“源地址”处选择要被限制的地址范围，若选择“”则会对经过设备的所有地址有效,配置系统管理员,系统管理,安全网关设备由系统管理员（）管理、配置。系统管理员的配置包括创建管理员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。安全网关拥有一个默认管理员“”，用户可以对管理员“”进行编辑，但是不能删除该管理员。,管理员分为读写执行权限管理员、只读执行权限管理员。,配置系统管理员,系统 设备管理 基本信息,配置系统管理员,系统 设备管理 基本信息 新建,配置文件管理,系统 配置,管理员可以导入、导出或者将系统恢复出厂配置,当前配置窗口提供对配置的方式查阅,升级,通过 升级：,系统 系统软件,选择单选按钮。,选中复选框。,系统将在上载的同时备份当前运行的。,如不选中该选项，系统将用新上载的 覆盖当前运行的。,点击浏览按钮并且选中要上载的。,点击确定按钮，系统开始上载指定的。,完成升级后，需要重启安全网关启动新升级的。,系统诊断工具（）,系统 工具:,安全网关提供基本的诊断工具，方便用户可以通过这些工具察看网络和路由是否连通。,三、安全策略,通过完成此章节课程，您将可以：,理解安全策略的用途,通过安全策略保护网络资源,安全策略基础,安全策略,策略是网络安全设备的基本功能。默认情况下，安全设备会拒绝设备上所有安全域之间的信息传输。而策略则通过策略规则（ ）决定从一个安全域到另一个安全域的哪些流量该被允许，哪些流量该被拒绝。,哪些网络流量可以允许通过？,防火墙的核心功能组件,会话状态表,五元组：,源,IP,源端口,目的,IP,目的端口,传输协议,安全策略,五元组：,源,IP,源安全域,目的,IP,目的安全域,服务,传输协议+端口,防火墙综合技术原理,策略控制：,会话检测：,对防火墙在不同安全域或安全级别之间的访问配置相应的策略规则后，数据报文入防火墙时防火墙会基于五元组去查询与之匹配的策略规则（每种报文只会匹配一次，如所有的规则都不匹配则匹配默认的策略规则），然后执行规则中定义的相应动作（）。,对于已经成功建立的会话，防火墙会为之建立会话表，以记录报文的相关信息（五元组），新的报文进入防火墙之后防火墙会先查询是否有与之相匹配的会话条目，如有则直接按会话状态走 处理，以节约等资源。如不是已经存在的会话，则查询策略规则并安装会话状态表，以便快速处理后续同一会话的其它报文。,地址（）,地址簿是 系统中用来储存 地址范围与其名称的对应关系的数据库。,地址簿中的 地址与名称的对应关系条目被称作地址条目（ ）。,地址条目的 地址改变时， 会自动更新引用了该地址条目的模块。,配置地址本（）,对象 地址簿 新建,地址薄名称,地址薄成员,配置地址本（）,对象 地址簿 编辑,地址薄成员,服务（）,服务（）：具有协议标准的信息流。服务具有一定的特征，例如相应的协议、端口号等。,服务组：将一些服务组织到一起便组成了服务组。用户可以直接将服务组应用到安全网关策略中，这样便简化了管理。,系统预定义服务,对象 服务簿,用户可以查看或修改系统预定义服务，预定义服务只提供对服务超时时间进行修改。,系统预定义服务组,对象 服务薄,用户可以查看系统预定义服务组，预定义服务组不可修改。,用户自定义服务,除了使用 提供的预定义服务以外，用户还可以很容易地创建自己的自定义服务。用户自定义服务可包含最多8 条服务条目。用户需指定的自定义服务条目的参数包括：,名称,传输协议,或 类型服务的源和目标端口号或者 类型服务的 和 值,超时时间,应用类型,配置自定义服务,对象 服务簿 自定义服务 新建,服务名称,协议,源、目的端口,配置服务组,对象 服务簿 自定义服务组,配置策略规则（）,防火墙 策略,配置策略规则（）,安全 策略,检查/移动策略规则,安全 策略,小结,在本章中讲述了以下内容：,安全策略的用途,配置安全策略使用的地址薄,配置服务簿和服务组,配置安全策略保护网络资源,源,目的,与相关策略,四、网络地址转换,源配置示例,配置步骤：,第一步，配置源规则,第二步，配置访问策略,示例环境描述：,系统部署模式为路由模式，外网接口为0/4,所有用户上网均需成防火墙外网接口地址,第一步，配置源规则,创建源规则，将上网流量数据包源接口转换为外网。,第二步，配置访问策略,源规则只是定义了网络层面的转换，如需上网，则要添加相应访问策略。,源,目的,与相关策略,议程：网络地址转换,示例一 端口映射（）,安全域有服务器和服务器，如下图所示，现有公网地址202.1.1.3可用，通过此将上述两服务器发布。,第一步，配置地址簿,分别添加202.1.1.3和10.1.2.10、10.1.2.11的地址簿。,47,第二步，配置目的规则,添加端口映射的目的策略，将访问到202.1.1.3的服务的流量转到10.1.2.10的21端口。,第二步，配置目的规则（续）,添加端口映射的目的策略，将访问到202.1.1.3的服务的流量转到10.1.2.11的80端口。,第三步，配置访问策略,上述规则已经定义了网络层面的对应关系，如需开放外网到服务器的访问，需添加相应访问策略，策略目的为服务器映射所对应的公网，如下图依次添加，目的为映射虚，服务为和的策略。,示例二 映射（）,安全域有服务器和服务器，如下图所示，现有公网地址202.1.1.4和202.1.1.5可用，通过映射将上述两服务器发布。,第一步，配置地址簿,分别添加202.1.1.4、202.1.1.5和10.1.2.10、10.1.2.11的地址簿。,52,第二步，配置目的规则,添加映射的目的规则，将访问到202.1.1.4的流量转到10.1.2.10，访问到202.1.1.5的流量转到10.1.2.11。,53,第三步，配置访问策略,上述规则已经定义了网络层面的对应关系，如需开放外网到服务器的访问，需添加相应访问策略，策略目的为服务器映射所对应的公网，如下图依次添加，目的为映射虚（202.1.1.4/202.1.1.5）的策略。,54,小结,在本章中讲述了以下内容：,的分类,源和目的的应用,基本概念,应用,五、流量管理,为什么需要,大流量时关键应用运行受冲击,带宽没有充分利用,突发特性不受控制,大流量时关键应用运行受保护,带宽充分利用,突发特性受到控制,功能介绍,基于的可以实现保障关键网段的带宽或者限制非关键网段的带宽。,全局有效。,可以实现基于时间表的限制。,可以绑定在出接口和入接口。,可以实现上下行带宽独立限制。,59,示例,用户环境描述：,出口带宽50，外网为E0/1接口,内网连接两个网段：172.16.1.0/24和192.168.1.0/24,用户需求描述：,172.16.1.1-172.16.1.100需限制其下载带宽为500，如出口带宽空闲时可最高到5，上传不做限制,192.168.1.0/24网段中每下载300K，上传整个网段共享10M,60,第二步指定接口带宽,接口默认带宽为物理最高支持带宽而非承诺带宽，用户需根据实际带宽值指定接口上/下行带宽。,第三步配置 策略,限制172.16.1.1-100每下载带宽500K，并在出口带宽空闲时允许突破500限制，每最大占用5M带宽。,第三步配置 策略（续）,限制192.168.1.0/24每下载带宽最大300K，上传整个网段最大占用10M带宽。,显示已配置控制策略,添加后策略会在 列表显示，如多条策略的地址范围重叠，请点击策略右侧箭头移动策略位置，从上至下第一条匹配到的策略生效。,应用,应用 功能介绍,基于应用的可以实现保障关键应用的带宽或者限制非关键应用的带宽。,应用全局有效。,可以实现基于时间表的应用限制。,应用可以绑定在出接口和入接口。,应用可以实现上下行带宽独立限制。,66,应用 示例,用户环境描述：,出口带宽50，外网为E0/1接口，内网连接E0/0,内网连接两个网段：172.16.1.0/24和192.168.1.0/24,用户需求描述：,P2P应用需限制其下行带宽为10M，上传最大5M,和应用下载保障20M，上传保障10M,67,第二步指定接口带宽,68,接口默认带宽为物理最高支持带宽而非承诺带宽，用户需根据实际带宽值指定接口上/下行带宽。,第三步开启应用识别,69,防火墙默认不对带*号服务做应用层识别，如需对、等应用做基于应用的控制，需要开启外网安全域的应用识别功能。,第四步配置应用 策略,70,限制P2P应用下行带宽为10M，上传最大5M。,第四步配置应用 策略（续）,71,和应用上行保障10M。,第四步配置应用 策略（续）,72,和应用下行保障20M。,保证带宽功能为出接口工具，所以对下载流量保证带宽需要配置在内网接口保证上行带宽。,显示已配置控制策略,73,添加后策略会在应用列表显示，如多条策略的应用重叠，请点击策略右侧箭头移动策略位置，从上至下第一条匹配到的策略生效。,小结,在本章中讲述了以下内容：,基本概念,基于配置,基于应用配置,六、报表统计,报表统计功能简介：,可统计的数据类型,流量、会话、新建会话数速率、攻击速率、病,毒个数、入侵次数、 命中次数、关键字,阻断次数和应用阻断次数,支持的数据组织方式,、接口、安全域、攻击类型、应用、病毒、,用户、特征、 类别、关键字和阻,断类型,统计集功能介绍,的统计集功能允许用户查看实时的或者一定统计周期内（5 分钟或者24 小时）基于不同统计数据类型（如带宽、会话、新建会话数速率、攻击速率和病毒个数）以及数据组织方式（如、接口、安全域、攻击类型、应用、病毒和用户）的系统统计信息，并且可以根据不同需求过滤统计信息，从而帮助用户更加详细和精确地了解系统的资源分配及网络安全状态。,76,预定义统计集,启用预定义统计集,系统已经预置常见的统计集供用户选择启用，启用统计集按照右图流程勾选相应统计集并启用即可。,78,查看统计数据,79,启用统计集后，点击统计集名称即可显示实时统计数据。,点击查看处的5分钟或24小时可查看该时间范围内的历史曲线。,自定义统计集,新建自定义统计集,81,对于某些特定需求的统计，可以通过自定义统计集实现。,查看自定义统计数据,82,关闭统计功能,关闭预定义统计集,统计集功能需要占用系统大量运算能力，关闭非必要统计集有利于节约系统资源。,84,关闭自定义统计集,85,对于自定义统计集，可以编辑其状态为非活跃暂时关闭统计功能。,如果不再需要该统计集，可以直接点击统计集右侧 删除。,