hillstone 山石网科 下一代防火墙...
TRANSCRIPT
1 / 46
Hillstone 山石网科
下一代防火墙
基础配置手册 V5.5 版本
Hillstone Networks Inc.
服务热线:400 828 6655
2 / 46
内容提交人 审核人 更新内容 日期
陈天骄 陈天骄 初次编写 2016/1/14
目录 1 设备管理 ................................................................. 3
1.1 终端 console登录 ................................................. 3
1.2 网页 WebUI登录 ................................................... 3
1.3 恢复出厂设置 ..................................................... 5
1.3.1 CLI命令行操作 ............................................... 5
1.3.2 WebUI图形化界面操作 ......................................... 5
1.3.3 硬件 CLR操作 ................................................. 6
1.4 设备系统(StoneOS)升级 .......................................... 6
1.4.1 通过 sysloader升级 ........................................... 6
1.4.2 通过 CLI升级 ................................................. 9
1.4.3 通过 WebUI升级 ............................................... 9
1.5 许可证安装 ...................................................... 10
1.5.1 CLI命令行安装 .............................................. 10
1.5.2 WebUI安装 .................................................. 11
2 基础上网配置 ............................................................ 11
2.1 接口配置 ........................................................ 11
2.2 路由配置 ........................................................ 13
2.3 策略配置 ........................................................ 14
2.4 源地址转换配置(SNAT) .......................................... 15
3 常用功能配置 ............................................................ 16
3.1 PPPoE拨号配置 .................................................. 16
3.2 动态地址分配(DHCP)配置 ........................................ 17
3.3 IP-MAC地址绑定配置 ............................................. 20
3.4 端到端 IPSec VPN配置 ............................................ 21
3.4.1 配置第一阶段 P1提议 ......................................... 22
3.4.2 配置 ISAKMP网关 ............................................. 23
3.4.3 配置第二阶段 P2提议 ......................................... 24
3.4.4 配置隧道 .................................................... 25
3.4.5 配置隧道接口 ................................................ 26
3.4.6 配置隧道路由和策略 .......................................... 28
3.4.7 查看 VPN状态 ................................................ 29
3.5 远程接入 SCVPN配置 .............................................. 30
3.6 目的地址转换 DNAT配置 ........................................... 38
3.6.1 IP映射 ..................................................... 39
3.6.2 端口映射 .................................................... 41
3 / 46
1 设备管理
安全网关支持本地与远程两种环境配置方法,可以通过 CLI 和 WebUI 两种方式进行配
置。CLI 同时支持 Console、Telnet、SSH 等主流通信管理协议。
1.1 终端 console 登录
通过 Console 口配置安全网关时需要在计算机上运行终端仿真程序(系统的超级终端、
SecureCRT 等)建立与安全网关的连接,并按如下表所示设置参数(与连接 Cisco 设备的
参数一致):
1.2 网页 WebUI 登录
WebUI 同时支持 http 和 https 两种访问方式,首次登录设备可通过默认接口
ethernet0/0 来进行,登录方法为:
1. 将管理PC的IP地址设置为与192.168.1.1/24 同网段的IP 地址,并且用网线将管理
PC与安全网关的ethernet0/0接口进行连接。
2. 在管理PC的Web浏览器中访问地址“http://192.168.1.1” 并按回车键。出现的登
录页面如下图所示:
4 / 46
默认用户名:hillstone,密码:hillstone
登录后主页如下:
5.5 版本推荐使用 chrome 和 IE11 浏览器
5 / 46
1.3 恢复出厂设置
1.3.1 CLI 命令行操作
A. 登录设备后在任意模式下输入:unset all
B. 根据提示,选择是否移除所有配置:y
C. 选择是否重启:y
D. 系统重启后即恢复到出厂设置
1.3.2 WebUI 图形化界面操作
A. Web 方式登录安全网关系统,依次选择“系统”→“配置文件管理”→“配置文件列
表”→“备份恢复”
B. 点击“恢复”→“确定”
6 / 46
1.3.3 硬件 CLR 操作
A. 关闭安全网关的电源
B. 用针状物按住 CLR 按键(安全网关正面的小孔),按住的同时打开电源按钮
C. 保持住状态直到指示灯的 STA 和 ALM 均变红色常亮,释放 CLR 按键此时系统开始恢
复出厂配置
D. 出厂配置恢复完毕,系统将会自动重新启动
1.4 设备系统(StoneOS)升级
1.4.1 通过 sysloader 升级
A. 给设备上电,在倒计时 5s 结束前按 ESC 并且进入 Sysloader。参照以下操作提示
7 / 46
B. 在下面选择对应的选项升级 os,可以通过 tftp、ftp、usb、系统中备份的 os。(本文以
tftp 为例),按下图弹出窗口选择“1”
C. 确保安全网关与控制主机的连通性,并将需升级的StoneOS拷贝到指定目录,Windows
使用 3Cedeamon 充当 TFTP 服务器
8 / 46
D. 依次配置 Sysloader 的 IP 地址、TFTP 服务器的 IP 地址、网关 IP 地址以及 StoneOS
名称,然后保存
E. 如果设备中已保存两个 StoneOS,则至少需要删除一个
F. 重启设备,系统将使用新的 StoneOS 启动
9 / 46
1.4.2 通过 CLI 升级
A. 登录设备后在全局模式下输入如下命令,其中“192.168.1.254”为 TFTP 服务器的 IP
地址,“SG6000-M-3-5.5R1P4.bin”为 StoneOS 名称
B. 和 sysloader 升级类似,如有需要,删除多余的 StoneOS
1.4.3 通过 WebUI 升级
A. 登录设备后,依次点击“系统”→“升级管理”→“浏览”,选择本地保存的 StoneOS
文件
10 / 46
G. 勾选“立即重启,使新版本生效”,然后点击“应用” 重启设备,系统将使用新的
StoneOS 启动
1.5 许可证安装
1.5.1 CLI 命令行安装
登录设备,运行命令 exec license install +许可证(从“license:”开始输入完整的字
符),如下图:
注意:根据“info”提示,部分许可证安装后需要重启才能生效
11 / 46
1.5.2 WebUI 安装
登录设备,依次点击“系统”→“许可证” →“手动输入”
如果收到 License 的是一个压缩包文件,则解压,在该页面选择“上传许可证文件”,依
次选择各文件即可
注意:根据 WebUI 提示,部分许可证安装后需要重启才能生效
2 基础上网配置
对于一台全新或者刚刚恢复出厂的设备,如果只是需要简单的内部用户可以正常上网,只
需要配置接口、路由、策略和源 NAT 这 4 项功能,以下是具体配置方法:
2.1 接口配置
A. 登录设备后,依次点击“网络”→“接口”
B. 选择相应的接口,点击“编辑”或者直接双击
12 / 46
C. 在接口配置界面中,选择接口的安全域类型(如果是直接连接运营商公网网线,一般是
三层安全域;如果是透明部署选择二层安全域)、安全域名称(一般内网使用 trust 或 l2-
trust 安全域,外网使用 untrust 或 l2-untrust)、接口 ip 地址、网络掩码和接口的管理
方式,最后点击“确定”
13 / 46
注意:如果外网接口使用的是 PPPoE 的拨号接入,接口配置请参考文档 3.1PPPoE 相关配
置。
2.2 路由配置
A. 依次点击“路由”→“目的路由”→“新建”
B. 依次填写“目的地”→“子网掩码”→“网关”
C. 点击“确定”,新建成功
14 / 46
注意:实例配置为默认路由,如果需要添加明细路由,请在第三步更改目的地与子网掩
码。
2.3 策略配置
A. 依次点击“策略”→“安全策略”→“新建”
B. 默认配置亦可,源目的安全域、源目的地址、服务为“any”,操作为“允许”
C. 点击“确定”,新建成功
15 / 46
注意:配置全通策略,所有经过防火墙的流量都会被放行,容易遭受攻击。如需进行精确
控制,请将源目的安全域、源地址改为内网真实信息,即源安全域是内网接口所属安全
域,源地址是内网地址网段。
2.4 源地址转换配置(SNAT)
A. 依次点击“策略”→“NAT”→“源 NAT”→“新建”
B. “出流量”选择“出接口”,即真实的外网接口,其他默认
16 / 46
C. 点击“确定”,新建成功
注意:源地址尽量配置为真实的内网地址网段,默认选择“any”容易遭受攻击。
3 常用功能配置
3.1 PPPoE 拨号配置
如果运营商没有提供静态公网 IP,而是 PPPoE 拨号上网,则“2.1 接口配置”中 IP 配置
类型需要改为“PPPoE”,配置方法如下:
A. 在“网络”→“接口”配置界面下,选择三层安全域后,IP 类型选择“PPPoE”
17 / 46
B. 点击“确定”后,可以在“网络”→“PPPoE”界面下查看 PPPoE 的拨号状态,点击
“连接”确定拨号是否成功。也可在该界面下修改相关参数。
3.2 动态地址分配(DHCP)配置
A. 首先,作为 DHCP 服务器的接口必须是三层接口配置 ip,一般会作为网关,在接口配置
模式下配置
18 / 46
B. 然后依次点击“网络”→“DHCP” →“新建” →“DHCP 服务器”
C. 配置相关参数,添加地址池后再“确定”
19 / 46
D. 最终配置的条目,配置完成
E. 配置完成后,将 pc 或者交换机连接到防火墙对应接口,IP 获取方式设置为自动获取,
即可获取 ip 地址。
20 / 46
3.3 IP-MAC 地址绑定配置
A. 登录设备后,依次点击“策略”→“ARP 防护”→“ARP 绑定”,选中相关条目后“编
辑”或直接双击该条目
B. 在“绑定为静态条目”处勾选启用
C. 点击“确定”后可以看到该条目的状态为“静态 ARP”
D. 所需条目全部绑定后,需要回到接口的“属性”配置界面关闭该接口的 ARP 学习,默
认是开启的
21 / 46
注意:请在关闭 ARP 学习之前绑定所有需要的 IP-MAC 条目,否则未绑定的 IP 无法上网
3.4 端到端 IPSec VPN 配置
本节举例为两端设备公网 IP 都是固定的情况下的配置,假设基本上网已配置完成,拓扑如
下:
主要配置步骤如下:
A:配置第一阶段 P1 提议
B:配置 ISAKMP 网关
22 / 46
C:配置第二阶段 P2 提议
D:配置隧道
E:配置隧道接口
F:配置隧道路由和策略
以设备 A 为例,具体配置如下:
3.4.1 配置第一阶段 P1 提议
A. 登录设备后依次点击“网络” →“VPN” →“IPSec VPN” →“P1 提议”→“新建”
B. 配置相关参数后点击“确定”
23 / 46
3.4.2 配置 ISAKMP 网关
A. 点击“VPN 对端列表” →“新建”
B. 配置第一阶段相关参数
C. 点击“确定”后可以看到对应条目
24 / 46
3.4.3 配置第二阶段 P2 提议
A. 点击“P2 提议”→“新建”
B. 配置相关参数后点击“确定”
25 / 46
3.4.4 配置隧道
A. 点击“IKE VPN 列表” →“新建”
B. 配置相关参数,注意:如果两端都是山石设备,则“代理 ID”中默认自动即可,如果有
一端不是山石设备,则需要填写真实互通的两端内网网段
26 / 46
C. 点击“确定”后可以看到对应条目
3.4.5 配置隧道接口
A. 依次点击“网络”→“接口”→“新建”→“隧道接口”
B. 配置隧道接口相关参数
27 / 46
28 / 46
3.4.6 配置隧道路由和策略
A. 依次点击“网络”→“路由”→“目的路由”→“新建”
B. 配置各参数,网关不需要配置
C. 最后配置策略
29 / 46
注意:如果 tunnel 接口和内网接口不在同一个安全域,并且对端需要主动访问本地内
网,则还需创建一条反向允许的策略。
至此,IPSec VPN 配置完成,对端设备 B 也按照相同步骤配置,VPN 建立后双方内网即
可完成通信
3.4.7 查看 VPN 状态
点击“IPSec VPN” →“IPSec VPN 监控”可以查看 VPN 连接状态
第一阶段建立成功:
30 / 46
第二阶段建立成功:
注意:
A. 如果防火墙前面还有其他 NAT 设备,请在 3.4.2 配置 VPN 对端时,打开“高级配
置”中的“NAT 穿越”功能;
B. VPN 配置完成后,需要流量触发 VPN 连接;如果需要自动连接,可在 3.4.4 配置隧
道时候,打开“高级设置”中的“自动连接”选项;
3.5 远程接入 SCVPN 配置
为解决远程用户安全访问私网数据的问题,安全网关提供基于 SSL 的远程登录解决方案
——Secure Connect VPN,简称为SCVPN。SCVPN 功能可以通过简单易用的方法实现
信息的远程连通。
A. 登录防火墙后,依次点击”网络”→”VPN” →“SSL VPN” →“新建”
31 / 46
B. 设定名称后,选择“AAA 服务器”时务必点击“添加”,然后“下一步”
C. “出接口”选择提供外网接入的公网出接口,“隧道接口”在下拉菜单中选择“新建”,
tunnel 接口选择三层安全域,配置虚拟内网 ip 地址;“地址池”在下拉菜单中选择”
新建”,配置“地址池名称”、“起始 IP”和“终止 IP”
注意:该地址池必须和 tunnel 接口的 IP 在同一网段,并且不包含 tunnel 接口 IP
32 / 46
33 / 46
D. 按需添加“隧道路由”
E. 配置客户端登录账号,依次点击“对象”→“用户”,选择“本地服务器”(默认 local)
后“新建”→“用户”
34 / 46
F. 设定“名称”和“密码”后“确定”
G. 最后配置策略,策略的源安全域是 tunnel 接口所属安全域,目的安全域是内网接口所
属安全域
35 / 46
下面是客户端登录方法
A. 在浏览器地址栏中输入“https://服务器 IP+端口号(默认是 4433)”,该服务器 IP 即
为防火墙上配置 scvpn 时选择的出接口 IP。如果提示“您的连接不是私密连接”点击
继续,然后输入用户名密码
36 / 46
B. 点击“下载”,下载客户端
C. 安装客户端,安装期间建议关闭杀毒软件,安装完成后打开客户端登录,输入服务器
IP 和端口号,用户名和密码,然后登录
37 / 46
D. 登录成功后可以访问防火墙内网网络,状态如下
PC 任务栏状态:
详细状态:
38 / 46
防火墙状态:
3.6 目的地址转换 DNAT 配置
DNAT 的作用的把内网服务器发布到公网
39 / 46
3.6.1 IP 映射
IP 映射适用于有多个公网 IP 的场景
下面举例把公网地址 200.0.0.3 映射给内网服务器地址 192.168.1.2
A. 登录设备后依次点击“策略”→“NAT” →“目的 NAT” →“新建” →“IP 映射”
B. 填写公网 IP 和服务器 IP,该公网 IP 即是供外网访问的真实 IP,然后点击“确定”
C. 新建成功
40 / 46
D. 点击“网络”→“接口”,查看要映射的公网 IP 所在接口安全域为 untrust,服务器
地址所在接口安全域为 trust
E. 添加安全策略,依次点击“策略”→“安全策略” →“新建”,源安全域即为上一步
中的 untrust,目的安全域为 trust,目的地址下拉菜单的“类型”中选择“IP/掩码”,
“IP”为公网 IP,即 DNAT 中的“目的 IP”,其他默认,点击“确定”
41 / 46
F. 添加成功
3.6.2 端口映射
端口映射适用于只有一个公网 IP 的场景,是常用方式
下面举例把公网地址 200.0.0.4 的 8080 端口映射给内网服务器地址 192.168.1.3 的 80 端
口
A. 新建服务,点击“对象”→“服务簿”→“新建”
42 / 46
B. 依次配置后确定
C. 点击“策略”→“NAT”→“目的 NAT”→“新建”→“端口映射”
D. 填写公网 IP 和服务器 IP,该公网 IP 即是供外网访问的真实 IP;在“服务”下拉菜单
中选择“自定义”,然后选择刚刚新建的“tcp-8080”,
43 / 46
E. 新建成功
44 / 46
F. 点击“网络”→“接口”,查看要映射的公网 IP 所在接口安全域为 untrust,服务器地
址所在接口安全域为 trust
G. 添加安全策略,依次点击“策略”→“安全策略” →“新建”,源安全域即为上一步
中的 untrust,目的安全域为 trust,目的地址下拉菜单的“类型”中选择“IP/掩码”,
“IP”为公网 IP,即 DNAT 中的“目的 IP”,“服务”在下拉菜单中选择“自定义”
→“tcp-8080”,其他默认,点击“确定”
45 / 46
46 / 46
H. 添加成功