Hillstone基本部署培训文档ForSE

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑扉页标题样式,Thank You,！,Hillstone,安全网关基本部署,日程安排,准备工作,安全策略,网络地址转换,VPN,部署,QoS,流量管理,报表统计,网关防病毒,IPS,入侵防护,NBC,上网行为管理,HSM,一、准备工作,通过完成此章节课程，您将可以,实现,：,完成设备基本管理,搭建基本实验环境,管理接口,用户管理接口类型,:,CLI:,Console,Telnet,SSH,WebUI:,HTTP,HTTPS,不同管理方式,支持本地与远程两种环境配置方法，可以通过,CLI,和,WebUI,两种方式进行配置,支持,Console,、,telnet,、,ssh,、,http,、,https,管理,参数,数值,波特率,9600 bit/s,数据位,8,停止位,1,校验,/,流控,无,参数,数值,接口,Eth0/0,用户名,hillstone,密码,hillstone,管理,IP,192.168.1.1,图形化管理界面,-WebUI,基于浏览器的,WebUI,管理方式简单灵活，可以完成常用的各种配置。,准备工作：,安全网关设备的,e0/0,接口配有默认,IP,地址,192.168.1.1,，该接口的各种管理功能均为开启状态。初次使用可以通过该接口管理设备，具体操作为：,将管理,PC,的,IP,地址设置为与,192.168.1.1/24,同网段的,IP,地址，打开,PC,的,Web,浏览器，输入,http:/192.168.1.1,设备默认管理员用户名及密码均为“,hillstone,”,登陆后,WebUI,界面初始页面结构,导航菜单,设备面板的端口连接状态,CPU,、内存、会话数等设备运行情况,设备基本信息，包括：序列号、运行时间、软件版本、,AV,及特征库版本等,搭建基本实验环境,基本配置步骤,:,配置接口,配置默认路由,配置允许访问策略,1,）配置接口,网络,接口,编辑,网络,接口,点击需配置接口右侧编辑按钮,2,）配置,默认,路由,网络,路由,目的路由,新建,3,）配置上网策略,防火墙,策略,点击需配置接口右侧编辑按钮,内部上网是从,Trust,到,untrust,的访问，因此创建从内到外的访问策略,防火墙,策略,点击需配置接口右侧编辑按钮,“源地址”处选择要被限制的,IP,地址范围，若选择“,Any,”则会对经过设备的所有地址有效,配置,系统管理员,系统管理,安全网关设备由系统管理员（,Administrator,）管理、配置。系统管理员的配置包括创建管理员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。安全网关拥有一个默认管理员“,hillstone,”，用户可以对管理员“,hillstone,”进行编辑，但是不能删除该管理员。,管理员分为读写执行权限管理员、只读执行权限管理员。,配置系统管理员,系统,设备管理,基本信息,配置系统管理员,系统,设备管理,基本信息 新建,配置文件管理,系统,配置,管理员可以导入、导出或者将系统恢复出厂配置,当前配置窗口提供对,current,配置的,Web,方式查阅,StoneOS,升级,通过,WebUI,升级,StoneOS,：,系统,系统软件,选择,单选按钮。,选中,复选框。,系统将在上载的同时备份当前运行的,StoneOS,。,如不选中该选项，系统将用新上载的,StoneOS,覆盖当前运行的,StoneOS,。,点击,浏览,按钮并且选中要上载的,StoneOS,。,点击,确定,按钮，系统开始上载指定的,StoneOS,。,完成升级后，需要重启安全网关启动新升级的,StoneOS,。,系统诊断工具（,WebUI,）,系统,工具,:,安全网关提供基本的诊断工具方便，用户可以通过这些工具察看网络和路由是否连通。,二,、,安全策略,通过完成此章节课程，您将可以：,理解安全策略的用途,通过安全策略保护网络资源,安全策略基础,安全策略,策略是网络安全设备的基本功能。默认情况下，安全设备会拒绝设备上所有安全域之间的信息传输。而策略则通过策略规则（,Policy Rule,）决定从一个安全域到另一个安全域的哪些流量该被允许，哪些流量该被拒绝。,哪些,网络流量可以允许通过？,地址（,Address,）,地址簿是,StoneOS,系统中用来储存,IP,地址范围与其名称的对应关系的数据库。,地址簿中的,IP,地址与名称的对应关系条目被称作地址条目（,Address Entry,）。,地址条目的,IP,地址改变时，,StoneOS,会自动更新引用了该地址条目的模块。,配置地址本（,WebUI,）,对象,地址簿,新建,配置地址本（,WebUI,）,对象,地址簿,编辑,服务（,Service,）,服务（,Service,）：,具有协议标准的信息流。服务具有一定的特征，例如相应的协议、端口号等。,服务组：,将一些服务组织到一起便组成了服务组。用户可以直接将服务组应用到安全网关策略中，这样便简化了管理。,系统预定义服务,对象,服务簿,预定义,列出,用户可以查看或修改系统预定义服务，预定义服务只提供对服务超时时间进行修改。,系统预定义服务组,对象,服务组,预定义,列出,用户可以查看系统预定义服务组，预定义服务组不可修改。,用户自定义服务,除了使用,StoneOS,提供的预定义服务以外，用户还可以很容易地创建自己的自定义服务。用户自定义服务可包含最多,8,条服务条目。用户需指定的自定义服务条目的参数包括：,名称,传输协议,TCP,或,UDP,类型服务的源和目标端口号或者,ICMP,类型服务的,type,和,code,值,超时时间,应用类型,配置自定义服务,对象,服务簿,自定义,新建,配置服务组,对象,服务簿,组,新建,配置策略规则（,WebUI,）,安全,策略,列出,配置策略规则（,WebUI,）,安全,策略,基本配置,检查,/,移动策略规则,安全,策略,列出,小结,在本章中讲述了以下内容,：,安全策略的用途,配置安全策略使用的地址薄,配置服务簿和服务组,配置安全策略保护网络资源,源,NAT,目的,NAT,NAT,与相关策略,三,、网络地址转换,源,NAT,配置示例,配置,SNAT,步骤：,第一步，配置源,NAT,规则,第二步，配置访问策略,示例环境描述：,系统部署模式为路由模式，外网接口为,Eth0/4,所有用户上网均需,NAT,成防火墙外网接口,IP,地址,第一步，配置源,NAT,规则,创建源,NAT,规则，将上网流量数据包源接口转换为外网,IP,。,第二步，配置访问策略,源,NAT,规则只是定义了网络层面的转换，如需上网，则要添加相应访问策略。,源,NAT,目的,NAT,NAT,与相关策略,议程：网络地址转换,示例一 端口映射,DNAT,（,VIP,）,DMZ,安全域有,FTP,服务器和,WEB,服务器，,IP,如下图所示，现有公网,IP,地址,202.1.1.3,可用，通过此,IP,将上述两服务器发布。,第一步，配置地址簿,分别添加,202.1.1.3,和,10.1.2.10,、,10.1.2.11,的地址簿。,39,第二步，配置目的,NAT,规则,添加端口映射的目的,NAT,策略，将访问到,202.1.1.3,的,FTP,服务的流量转到,10.1.2.10,的,21,端口。,40,第二步，配置目的,NAT,规则（续）,添加端口映射的目的,NAT,策略，将访问到,202.1.1.3,的,HTTP,服务的流量转到,10.1.2.11,的,80,端口。,41,第三步，配置访问策略,上述,NAT,规则已经定义了网络层面的对应关系，如需开放外网到服务器的访问，需添加相应访问策略，策略目的,IP,为服务器映射所对应的公网,IP,，如下图依次添加,untrustdmz,，目的,IP,为映射虚,IP,，服务为,FTP,和,HTTP,的策略。,42,示例二,IP,映射（,MIP,）,DMZ,安全域有,FTP,服务器和,WEB,服务器，,IP,如下图所示，现有公网,IP,地址,202.1.1.4,和,202.1.1.5,可用，通过,IP,映射将上述两服务器发布。,第一步，配置地址簿,分别添加,202.1.1.4,、,202.1.1.5,和,10.1.2.10,、,10.1.2.11,的地址簿。,44,第二步，配置目的,NAT,规则,添加,IP,映射的目的,NAT,规则，将访问到,202.1.1.4,的流量转到,10.1.2.10,，访问到,202.1.1.5,的流量转到,10.1.2.11,。,45,第三步，配置访问策略,上述,NAT,规则已经定义了网络层面的对应关系，如需开放外网到服务器的访问，需添加相应访问策略，策略目的,IP,为服务器映射所对应的公网,IP,，如下图依次添加,untrustdmz,，目的,IP,为映射虚,IP,（,202.1.1.4/202.1.1.5,）的策略。,46,小结,在本章中讲述了以下内容,：,NAT,的分类,源和目的,NAT,的应用,VPN,介绍,Hillstone,IPSec,VPN,配置,基于策略,VPN,配置,基于路由,VPN,配置,Lab,Hillstone,SSL,VPN,配置,SecureConnect VPN,Lab,四,、,VPN,部署,Virtural Private Network,VPN,（,Virtual Private Network,）,在公网上建立的虚拟私有网络,节约成本,简化了企业联网和广域网操作,VPN,网络有很好的兼容性和可扩展性,企业可以利用,VPN,迅速开展新的服务和连接全球的设施,通过隧道协议,需要加密、完整性校验、用户认证等安全措施,Virtural Private Network,总部,X,Y,From A to B,From A to B,From X to Y,From A to B,分公司,A,B,Internet,Virtual Private networks (VPNs),在公网上为两个私域网络提供安全通信通道, 通过加密通道保证连接的安全, 在两个公共网关间提供私密数据的封包服务,VPN,介绍,Hillstone,IPSec,VPN,配置,基于策略,VPN,配置,基于路由,VPN,配置,Lab,Hillstone,SSL,VPN,配置,SecureConnect VPN,Lab,议程：VPN部署,Site-to-Site,按照,VPN,的数据驱动类型分为：,基于策略的（,Policy-based,）,基于路由的（,Route-based,）,LAN,Site1,Server,Site2,Internet,配置过程,IKE VPN,为自动协商方式，配置包括：,第一步，配置,IKE VPN,配置,P1,提议（可选）,配置,ISAKMP,网关,配置,P2,提议（可选）,配置隧道,第二步,A,（基于策略） ：配置,VPN,安全策略，策略行为选择隧道或来自隧道,第二步,B,（基于路由） ：绑定,Tunnel,接口,添加通过,Tunnel,接口到对端访问的路由，根据,Tunnel,接口绑定安全域配置普通流量策略,配置IKE VPN-P1提议,配置,P1,提议,WebUI,：,VPN IPSec VPN P1,提议,配置IKE VPN-对端网关,配置,ISAKMP,网关（对端）,WebUI:,VPN IPSec VPN VPN,对端,WebUI: VPN IPSec VPN P2,提议,配置IKE VPN-P2提议,WebUI: VPN IPSec VPN IPSec VPN,导入对端，点击“步骤,2,：隧道”,配置IKE VPN-隧道,A.基于策略VPN-2选1,配置,策略,(WebUI),：,配置策略,指定,哪些流量通过,VPN,转发，并指明转发所使用隧道，如果需双向策略，可以根据提示自动生成反向策略，然后根据需求到相应反向策略中修改。,配置策略前需先定义本地及对端,IP,地址,添加不做,NAT,规则,防火墙, NAT,源,NAT,B.,基于路由,VPN-2,选,1,配置隧道接口,(WebUI),：,网络,接口,新建,下拉框选择,B.基于路由VPN,创建到,隧道接口的路由,(WebUI),：,网络,路由,目的路由,新建,B.基于路由VPN,创建普通,permit,策略,(WebUI),：,根据,tunnel,接口绑定的安全域，需要添加相应安全策略，,action,为普通,permit,策略,如需双向访问，需添加进站策略，按上图交换源、目的安全域即可,IPSec VPN Lab,服务器,/,数据库,Internet,LAN,公司总部,分支机构,E0/1,：,192.168.2.1/24,PC1,：,192.168.2.10/24,E0/0,：,20.1.1.1/24,E0/1,：,192.168.1.1/24,E0/0,：,20.1.1.2/24,Server1,：,192.168.1.10/24,VPN,介绍,Hillstone,IPSec,VPN,配置,基于策略,VPN,配置,基于路由,VPN,配置,Lab,Hillstone,SSL,VPN,配置,SecureConnect VPN,Lab,议程：,VPN,部署,SCVPN,概念,为解决远程用户安全访问私网数据的问题，,Hillstone,系列安全网关提供基于,SSL,的远程登录解决方案,Secure Connect VPN,，简称为,SCVPN,。,Internet,SSL VPN,SSL VPN,移动用户,移动用户,SCVPN,基本配置步骤,配置,SCVPN,，步骤包括：,第一步，配置,SCVPN,地址池,第二步，配置,SCVPN,实例,第三步，创建三层安全域,第四步，创建隧道接口,第五步，创建,VPN,访问策略,第六步，创建,VPN,登陆用户,第一步，配置,SCVPN,地址池,通过配置,SCVPN,地址池为,VPN,接入用户分配,IP,地址，地址池需配置网络中未使用网段。,67,第二步，配置,SCVPN,实例,按照下图流程新建,SCVPN,实例，绑定,出接口,、,地址池,后点击确认。,68,待续,第二步，配置,SCVPN,实例（续）,创建,SCVPN,实例后，编辑该实例，添加隧道路由和,AAA,服务器。,69,第三步，新建安全域,新建一个三层安全域，以便,SCVPN,隧道接口绑定并实施策略控制。,70,第四步，创建隧道接口,创建隧道接口，并按下图配置接口参数。,71,第四步，创建,VPN,访问策略,添加访问策略，允许通过,SCVPN,到内网的访问。,72,第五步，创建登陆用户账号,创建,SCVPN,登陆账户，因本例中,SCVPN,实例使用,local,认证，所以需在,AAA,服务器,local,中添加用户。,73,SCVPN,登陆,登陆,SCVPN,用户可通过互联网测试,SCVPN,接入，开启浏览器，通过,HTTPS,方式访问,SCVPN,实例所绑定的设备外网接口,IP,，默认端口为,4433,75,登陆,SCVPN,用户可通过互联网测试,SCVPN,接入，开启浏览器，通过,HTTPS,方式访问,SCVPN,实例所绑定的设备外网接口,IP,，默认端口为,4433,76,登陆,SCVPN,77,若浏览器阻挡,ActiveX,控件，请允许安装控件，以便安装,SCVPN,客户端插件。,登陆,SCVPN,78,连接成功后在系统托盘可以看到绿色 图标，双机该图标可以查看,IP,及路由分配状况,小结,在本章中讲述了以下内容,：,VPN,的概念,如何配置基于策略的,VPN,如何配置基于路由的,VPN,如何配置,SCVPN,QoS,基本概念,IP QoS,应用,QoS,五,、,QoS,流量管理,为什么需要,QoS,大流量时关键应用运行受冲击,带宽没有充分利用,TCP,突发特性不受控制,大流量时关键应用运行受保护,带宽充分利用,TCP,突发特性受到控制,IP QoS,示例,用户环境描述：,出口带宽,50Mbps,，外网为,E0/1,接口,内网连接两个网段：,172.16.1.0/24,和,192.168.1.0/24,用户需求描述：,172.16.1.1-172.16.1.100,需限制其下载带宽为,500K/IP,，如出口带宽空闲时可最高到,5M/IP,，上传不做限制,192.168.1.0/24,网段中每,IP,下载,300K,，上传整个网段共享,10M,82,第二步,-,指定接口带宽,接口默认带宽为物理最高支持带宽而非,ISP,承诺带宽，用户需根据实际带宽值指定接口上,/,下行带宽。,第三步,-,配置,IP QoS,策略,限制,172.16.1.1-100,每,IP,下载带宽,500K,，并在出口带宽空闲时允许突破,500K/IP,限制，每,IP,最大占用,5M,带宽。,第三步,-,配置,IP QoS,策略（续）,限制,192.168.1.0/24,每,IP,下载带宽最大,300K,，上传整个网段最大占用,10M,带宽。,显示已配置控制策略,添加后策略会在,IP QoS,列表显示，如多条策略的,IP,地址范围重叠，请点击策略右侧箭头移动策略位置，从上至下第一条匹配到的策略生效。,应用,QoS,应用,QoS,功能介绍,基于应用的,QoS,可以实现保障关键应用的带宽或者限制非关键应用的带宽。,应用,QoS,全局有效。,可以实现基于时间表的应用,QoS,限制。,应用,QoS,可以绑定在出接口和入接口。,应用,QoS,可以实现上下行带宽独立限制。,88,应用,QoS,示例,用户环境描述：,出口带宽,50Mbps,，外网为,E0/1,接口，内网连接,E0/0,内网连接两个网段：,172.16.1.0/24,和,192.168.1.0/24,用户需求描述：,P2P,应用需限制其下行带宽为,10M,，上传最大,5M,HTTP,和,SMTP,应用下载保障,20M,，上传保障,10M,89,第二步,-,指定接口带宽,90,接口默认带宽为物理最高支持带宽而非,ISP,承诺带宽，用户需根据实际带宽值指定接口上,/,下行带宽。,第三步,-,开启应用识别,91,防火墙默认不对带,*,号服务做应用层识别，如需对,BT,、,xunlei,等应用做基于应用的,QoS,控制，需要开启,外网安全域,的应用识别功能。,第四步,-,配置应用,QoS,策略,92,限制,P2P,应用下行带宽为,10M,，上传最大,5M,。,第四步,-,配置应用,QoS,策略（续）,93,HTTP,和,SMTP,应用上行保障,10M,。,第四步,-,配置应用,QoS,策略（续）,94,HTTP,和,SMTP,应用下行保障,20M,。,保证带宽功能为出接口工具，所以对下载流量保证带宽需要配置在内网接口保证上行带宽。,显示已配置控制策略,95,添加后策略会在,应用,QoS,列表显示，如多条策略的应用重叠，请点击策略右侧箭头移动策略位置，从上至下第一条匹配到的策略生效。,小结,在本章中讲述了以下内容,：,基本,QoS,概念,基于,IP-QoS,配置,基于应用,QoS,配置,基于角色,QoS,配置,通过完成此章节课程，您将可以：,描述,IPS,功能,配置,IPS,防护您的网络,六,、,报表统计,统计集功能介绍,StoneOS,的统计集功能允许用户查看实时的或者一定统计周期内（,5,分钟或者,24,小时）基于不同统计数据类型（如带宽、会话、新建会话数速率、攻击速率和病毒个数）以及数据组织方式（如,IP,、接口、安全域、攻击类型、应用、病毒和用户）的系统统计信息，并且可以根据不同需求过滤统计信息，从而帮助用户更加详细和精确地了解系统的资源分配及网络安全状态。,98,预定义统计集,启用预定义统计集,系统已经预置常见的统计集供用户选择启用，启用统计集按照右图流程勾选相应统计集并启用即可。,100,查看统计数据,101,启用统计集后，点击统计集名称即可显示实时统计数据。,点击,查看,处的,5,分钟,或,24,小时,可查看该时间范围内的历史曲线。,自定义统计集,新建自定义统计集,103,对于某些特定需求的统计，可以通过自定义统计集实现。,查看自定义统计数据,104,关闭统计功能,关闭预定义统计集,统计集功能需要占用系统大量运算能力，关闭非必要统计集有利于节约系统资源。,106,关闭自定义统计集,107,对于自定义统计集，可以编辑其状态为,非活跃,暂时关闭统计功能。,如果不再需要该统计集，可以直接点击统计集右侧 删除。,SA,防病毒功能通过策略机制实现，即用户需要首先配置防病毒,Profile,，并且将防病毒,Profile,添加到,Profile,组中，然后将该,Profile,组绑定到策略规则上，以此实现基于策略的防病毒扫描和处理。,SA,采用卡巴斯基病毒库，包含万余种病毒特征，支持病毒库的每日自动升级，也可以手动实时升级。,SA,防病毒功能可扫描协议类型包括,POP3,、,HTTP,、,SMTP,、,IMAP4,以及,FTP,；可扫描文件类型包括存档文件（包含压缩存档文件，支持压缩类型有,GZIP,、,ZIP,和,RAR,）、,PE,、,HTML,、,Mail,、,RIFF,、,CryptFF,和,JPEG,。,七、网关防病毒,防病毒全局配置,防病毒,配置,勾选防病毒“启用”，开启防病毒功能,配置压缩包最大过滤层数及超出行为,SA,支持自动在线更新病毒特征库，可以按需配置每天,/,每周升级,配置防病毒,步骤,实现,SA,的防病毒过滤功能，用户需要按照以下步骤进行操作：,1.,创建防病毒,Profile,，在,Profile,中指定扫描文件类型、扫描协议以及系统发现病毒后采取的动作。,2.,将防病毒,Profile,绑定到安全域。,配置防病毒功能,防病毒,配置,新建防病毒,Profile,，勾选需检测文件类型和需检测协议，并设置对该协议中所发现病毒的处理动作,绑定,防病毒,Profile,安全域,防病毒,安全域绑定,新建或编辑绑定列表，将上述所创建防病毒,Profile,绑定到需实现病毒防护的目的安全域。,查看病毒检测日志,日志报表,安全日志,小结,在本章中讲述了以下内容,：,描述,SA,防病毒功能,配置病毒防护,通过完成此章节课程，您将可以：,描述,IPS,功能,配置,IPS,防护您的网络,八、,IPS,入侵防护,从网络层防火墙到入侵防御,网络层防火墙,入侵检测,入侵防御,第二阶段,入侵检测,旁路接入,分析网络中的攻击并告警,无法实时阻断攻击,没有和,FW,联动的标准的协议,第一阶段,三四层防护,仅仅检测三四层攻击,第三阶段,入侵防御,串联入网络，实时攻击源阻断,深度应用防护,应用层,网络层,传统安全,系统,部署方式,Internet,AV,IPS,URL,设备独立运行，管理复杂,设备越多，性能影响越大，可靠性越低,安全状态分析复杂,高投资，高维护成本,安全问题依然存在，安全事件频发,串行部署方式，安全设备越来越多,UTM,面临的问题,Internet,AV,IPS,URL,将安全功能简单的叠加，导致系统性能急剧下降，系统不可用,所有安全功能单独运行，仅是简单集成到了一个系统平台上,安全模块没有做到内部互动，安全问题依然存在,第一代,UTM,越来越成为了概念，离使用越来越远,有限的安全功能集成，离客户的安全需求越来越远,第一代,UTM,仅解决了统一管理问题，但问题,UTM,FW,URL,IPS,AV,Hillstone,解决方案,-,在线阻断攻击,Internet,在线检测并阻断攻击，实现主动防护,整合防火墙、,IPS,、流控、上网行为管理等，统一管理，提供整体解决方案,基于多核全并行架构，提供高性能应用层检测及防护能力,多引擎协同工作，保证,AV,、,IPS,多功能启用下的优异处理能力,新一代,Hillstone,入侵防御方案，提供多重优势,Hillstone,山石网科入侵防御,基于深度应用识别,全新一代基于应用行为和特征的应用识别 超过几百种以上的应用特征库,支持针对,HTTP,、,FTP,、,SMTP,、,IMAP,、,POP3,、,TELNET,、,TCP,、,UDP,、,DNS,、,RPC,、,FINGER,、,MSSQL,、,ORACLE,、,NNTP,、,DHCP,、,LDAP,、,VOIP,、,NETBIOS,、,TFTP,等多种协议和应用的攻击检测和防御,基于多核,plusG2,架构，高性能,提供强劲的处理能力,全并行的流引擎提供统一内容引擎处理，内容安全部再是性能瓶颈,基于深度攻击检测，高精准,基于深度应用状态、精准的高性能攻击检测和防御,实时攻击源阻断、,IP,屏蔽、攻击事件记录,攻击迅速响应 防御最新攻击,支持超过,3,000,种的攻击检测和防御,安全专家，安全专员分析，积极应对新攻击,支持攻击特征库离线在线更新，定期自动更新,IPS,特征库包含多种攻击特征，特征根据协议进行分类，以特征,ID,作为特征的唯一标识。,特征,ID,由两部分构成，分别为协议,ID,（第,1,位或者第,1,和第,2,位）和攻击特征,ID,（后,5,位），例如,ID,“,600120,”中，“,6,”表示,Telnet,协议，“,00120,”表示攻击特征,ID,。攻击特征,ID,大于,60000,的为协议异常特征，攻击特征小于,60000,的为攻击特征。,协议,ID,与协议对应关系：,攻击特征,StoneOS,支持两种,IPS,工作模式，分别是,IPS,在线模拟模式和,IPS,模式。,IPS,在线模拟模式提供协议异常和网络攻击行为的告警、日志功能，不对检出攻击做重置和阻断操作；,IPS,模式在提供协议异常和网络攻击行为的告警、日志功能的同时，还对检出攻击做重置和阻断操作。,系统默认情况下工作在,IPS,模式下。,IPS,工作模式,IPS,配置,流程,配置,IPS,功能防护您的网络，需要按照以下步骤进行操作：,1.,确认,StoneOS,版本支持,IPS,功能（,StoneOS 4.0,以上）。,2.,安装,IPS,许可证，然后重启设备。,3.,升级,IPS,攻击特征库。,4.,创建,IPS Profile,。,5.,将,IPS Profile,绑定到安全域。,以下范例从第四步开始演示,创建,IPS,Profile,IPS Profile,新建,选择需要检测的协议,修改,IPS,Profile,协议配置,IPS Profile,StoneOS,提供对每种协议的单独配置，可以根据需要细化协议具体检测。,具体配置内容包括对该协议下不同严重等级的攻击的动作、以及针对不同协议解析的具体防护参数配置,绑定,IPS,Profile,到安全域,IPS,安全域绑定 新建,IPS,防护功能可以基于安全域启用，绑定到安全域上的,IPS,策略对该安全域全局生效，并可根据需要选择对不同攻击方向进行防护。,查看,IPS,攻击日志,日志报表, IPS,日志,小结,在本章中讲述了以下内容,：,描述安全网关,IPS,功能,配置,IPS,防护网络,通过完成此章节课程，您将可以：,描述,NBC,功能,配置,NBC,以实现上网行为管理,九、,NBC,上网行为管理,StoneOS,上网行为管理功能对网络游戏、在线聊天、在线炒股、,P2P,下载、网页访问、邮件外发及论坛发帖等各种网络行为进行全面控制管理，并可以根据需要针对不同用户、不同网络行为、不同时间进行灵活的管理策略设置和日志记录。,上网行为管理（,NBC,）,StoneOS,上网行为管理主要功能（续）：,上网行为管理（,NBC,）,StoneOS,上网行为管理主要功能（续）：,上网行为管理（,NBC,）,配置,NBC,步骤,实现安全网关的,NBC,功能，用户需要按照以下步骤进行操作：,1.,转换防火墙为全局策略模式。,2.,创建,NBC,策略，并指定目的安全域。,3.,根据需要配置例外设置。,全局策略模式,NBC,功能需在全局策略模式下配置，默认情况下，系统处于安全域策略模式，用户需要将安全域策略模式转换为全局策略模式。,上网行为,策略,点击,全局策略,并重启,配置,NBC,策略,NBC,上网行为管理功能分三部分：网络应用、网页内容、外发信息。,其中外发信息监控需要配合硬盘卡及,HSM,实现。,上网行为,策略,选定,目的安全域并,点击,新建,监控,IM,聊天记录及阻断非法应用,监控,IM,聊天记录,阻断,P2P,应用,FTP,及,HTTP,应用控制,配置,URL,过滤策略,NBC,上网行为管理可以基于,URL,分类控制上网访问，并对控制,URL,类别选择是否记录日志。,配置邮件控制,策略,配置论坛发帖控制,策略,配置例外设置,对于特殊情况下不需要上网行为管理策略规则进行控制的对象，可以通过例外设置实现。例外设置包括免监督用户、黑白名单和,Bypass,域名。,。,小结,在本章中讲述了以下内容,：,描述上网行为管理功能,根据需要配置,NBC,功能,十、,HSM,HSM,是山石网科自主研发的集中网络安全管理系统，能够对网络中的多台,Hillstone,安全设备进行集中控制和管理。,HSM,系统分为三部分，即,HSM,代理（,HSM Agent,）、,HSM,服务器（,HSM Server,）和,HSM,客户端（,HSM Client,）。将这三部分合理部署到网络中，并且实现安全连接后，用户可以通过客户端程序，查看被管理安全设备的日志信息、统计信息、设备属性等，实时监控被管理设备的运行状态和流量信息等。,HSM,网管系统典型拓扑,客户端窗口介绍,客户端工作窗口包含以下各部分：菜单栏、工具栏、过滤栏、导航窗口、主窗口、过滤窗口、告警窗口以及状态栏。工作窗口具体布局请参阅下图：,设备管理,HSM,提供三种方式添加设备,添加单个设备,批量添加设备,从文件导入方式（支持后缀为,txt,和,xls,的文件）,HSM,系统最多同时管理,20,0,台,设备,只有,root,用户才有权限添加、删除设备，给设备重命名,添加设备界面如下：,设备管理,HSM,设备默认注册密码为“,123456,”，管理员可以自行修改注册密码,在线设备不允许彻底删除，如需删除请先关闭设备的网络管理功能,修改注册密码界面如下：,用户管理,HSM,系统用户权限分三级,超级管理员（默认用户名,root,，密码,123456,；,root,用户拥有一切权限）,编辑权限的管理员（可以新建组，删除组，并给本域内的设备分组，将组内的设备从组中删除）,只读权限的管理员（只能看，没有任何编辑权限）,HSM,系统最多支持,10,个用户同时在线,HSM,系统最多可以添加,50,个用户（含,root,用户）,root,管理员可以重置其他管理员的密码，重置后密码为“,123456,”,添加用户界面如下：,域和组,为了方便用户对多设备的管理，,HSM,系统采用了域和组的形式。使得用户可以将大地域范围内的设备划分到一个域中。在一个域中将小地域范围内的设备划分到各个组中。,组是域的下一级，一个域中可以包含多个组,一个设备可以同时属于不同的域，不同的组,添加域和组的界面如下：,编辑权限,为了防止不同用户对同一对象做修改而导致错误，,HSM,的编辑权限做了如下定义：,用户开始编辑之前系统首先检查其编辑权限，没有权限将不允许进行编辑操作,对于没有被编辑的域，用户对该域做编辑操作时自动拥有该域的编辑权限,同一时间只能有一个用户对同一个域有编辑权限,不同用户可以同时对不同的域进行编辑,用户使用完编辑权限后，需要释放编辑权限,长时间不做任何操作，,2,小时候后编辑权限被自动释放,编辑权限的获得与释放,编辑开始,编辑结束,证书,为了保证通信的安全性，,HSM,系统提供了,SSL,加密的数据通道。,SSL,通道存在于,HSM,服务器与,HSM,代理，,HSM,服务器与,HSM,客户端之间,由于采用了,SSL,通道，所以需要在服务器端、,HSM,代理、,HSM,客户端分别导入证书,HSM,系统在版本发布时已经在各个部分导入一个证书。如果用户认为此证书不可靠可以自己产生一个证书并导入,用户证书的产生与导入：,在用户信任的,CA,中心生成公私密钥对,用用户公钥产生的证书在该,CA,中心进行签名，生成后缀为“,.pfx”,（如,sm.pfx,）的证书文件,将证书文件“,sm.pfx”,导入到,HSM,服务器端,:,命令为,HSM load certificate password ,将该,CA,中心,root,证书（,root,公钥产生的证书）分别导入到,HSM,代理、,HSM,客户端,HSM,代理证书导入见第,12,，,13,页，代理配置,HSM,客户端证书导入，,windows,系统开始菜单,-,所有程序,-Hillstone HSM-,导入文件证书,监控,查看设备属性信息，在导航树或者,中选中需要查看的设备，设备的属性信息将显示在界面右侧主窗口中。,监控窗口显示从当前时间到前,30,分钟的统计数据，除病毒,监控信息,5,分钟刷新一次,外统计数据信息每,5,秒钟刷新一次。,监控,默认情况下，选中客户端菜单栏的“工具,接收告警”后，,窗口将输出警告和警告以上级别的日志信息。,日志浏览,HSM,提供日志查询功能，用户可点击日志浏览按条件查询所需日志。,历史查询,HSM,提供多种历史趋势供用户查询，用户可以指定查询条件查询所询内容。,小结,在本章中讲述了以下内容,：,描述,HSM,的主要功能,如何通过,HSM,查询日志及历史信息,Q/A,Q/A,