山石网科SG/神州数码DCFW-1800系列安全网关至中神通UTMWALL的功能迁移手册
更多产品迁移说明:
山石网科安全网关是Hillstone针对中小企业及分支机构用户的安全现状和需求推出的全新高性能多核安全网关。产品采用业界领先的多核Plus G2安全架构和64位实时安全操作系统StoneOS?,提供全方位的安全防护、易用的可视化管理和卓越的性能,为中小企业和分支机构用户提供高性价比的全面安全解决方案。山石网科下一代智能防火墙采用创新的主动检测技术和智能多维处理架构,通过全网健康指数帮助用户实时掌握安全状况;基于先进的应用识别和用户识别技术,为用户提供高性能应用层安全防护及增强的智能流量管理功能。
神州数码DCFW-1800系列防火墙是神州数码网络有限公司自主开发、拥有知识产权的新一代高性能纯硬件网络安全产品,能够为大中型企业、政府机关、教育机构等的网络安全问题提供安全高速的解决方案。DCFW-1800系列防火墙拥有集成的网络安全硬件平台,采用专有的实时操作系统,可以灵活的划分安全域,并且可以自定义其它安全级别的域,防火墙的安全策略规则会对信息流进行检查和处理,从而保证网络的安全。
武汉中神通信息技术有限公司历经15年的开发和用户使用形成了中神通UTMWALL?系列产品,有硬件整机、OS软件、虚拟化云网关等三种产品形式,OS 由50多个不断增长的功能APP、32种内置日志和5种特征库组成,每个APP都有配套的在线帮助、任务向导、视频演示和状态统计,可以担当安全网关、防火墙、UTM、NGFW等角色,胜任局域网接入、服务器接入、远程VPN接入、流控审计、行为管理、安全防护等重任,具备稳定、易用、全面、节能、自主性高、扩展性好、性价比优的特点,是云计算时代的网络安全产品。
以下是两者之间的功能对比迁移表:
山石网科SG v5.0功能项页码中神通UTMWALL v1.8功能项页码第1章产品概述 1 A功能简介8
第2章搭建配置环境 6 B快速安装指南9
第3章命令行接口(CLI)10 B快速安装指南9
第4章系统管理15 2系统管理47
C缺省配置
3.7 DNS解析
2.4 菜单界面
2.8 帐号口令
2.2 初始设置
1.7 ARP状态
8.2 用户
8.3 用户组
3.1 网卡设置
直接使用内置存储器
2.6 配置管理
1.13 测试工具
1.2 功能统计重启关闭系统
2.7 升级管理
2.1 许可证
4.6 SNMP服务
本版本暂无,山石自有产品2.5 本地时间
5.2 时间对象
3.1 网卡设置监控缺省网关1.14 系统日志
A功能简介
3.1 网卡设置
3.1 网卡设置
3.4 网桥设置
3.1 网卡设置
5基础策略
A功能简介
5.4 会话对象
5.7 总控策略内置
<见下>
<见下>
3.4 网桥设置
2.2 初始设置
2.2 初始设置
2.2 初始设置
1.7 ARP状态
3.4 网桥设置
硬件设备BIOS设置
3.3 VLAN
3.4 网桥设置
3.1 网卡设置
3.6 路由设置
2.2 初始设置
3.1 网卡设置
3.1 网卡设置
5.1 地址对象
5.7 总控策略
5.7 总控策略
8.3 用户组
<见下>
<见下>
4.1 ARP服务
5.1 地址对象
4.1 ARP服务
1.12 实时监控
1.8 流量统计
4.1 ARP服务
8用户认证
5.7 总控策略
8.3 用户组
5.6 NAT策略
6.2 特殊应用功能设置10.1 IPSEC VPN总体设置10.2 IPSEC VPN本机设置10.3 IPSEC VPN网关10.4 IPSEC VPN连接
本版本暂无,山石自有产品9.1 PPTP总体设置
9.1 PPTP总体设置
9.1 PPTP总体设置
9.1 PPTP总体设置
11.1 SSL接入
11.2 SSLVPN总体设置5.7 总控策略内置
3.4 网桥设置
3.1 网卡设置
3.6 路由设置
3.7 DNS解析
4.4 DDNS服务
4.3 DHCP服务
9.3 PPPOE总体设置
使用UTMWALL-VM虚拟机
5.5 QoS对象
10.2 IPSEC VPN本机设置
8.2 用户用户证书
2.8 帐号口令管理员证书
3.5 双机热备
6.24 防病毒引擎
6.10 WEB内容过滤
6.14 防病毒例外
6.16 POP3代理过滤
6.17 SMTP代理过滤
7 入侵检测与防御
6.6 DNS&URL库
6.8 WEB代理过滤HTTPS代理6.3 网络审计
6.4 WEB审计过滤
6.4 WEB审计过滤
6.9 WEB代理过滤规则
6.6 DNS&URL库
6.12 关键词规则
6.13 关键词例外
6.4 WEBPOST审计日志
6.4 WEB审计过滤
6.9 WEB代理过滤规则
6.26 防垃圾邮件引擎
6.16 POP3代理过滤
6.17 SMTP代理过滤
6.18 MSN审计过滤
6.19 审计过滤
6.2 特殊应用功能设置
6.2 特殊应用功能设置
6.4 WEB审计过滤
6.15 FTP代理过滤
1.15 日志统计
1.15 日志统计
1.15 日志统计
参考文件:
1. Hillstone山石网科多核安全网关使用手册_5.0R1P1
2. 神州数码DCFW-1800系列安全网关使用手册_4.0R4C6 (588页)
3. 中神通UTMWALL网关管理员手册
新一代多核安全网关 SG-6000-M2105/M3100/M3108 SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。处理器模块化设计可以提升整体处理能力,突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps,广泛适用于企业分支、中小企业等机构,可部署在网络的主要结点及Internet出口,为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。 产品亮点 安全可视化 ●网络可视化 通过StoneOS?内置的网络流量分析模块,用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势,随时、随地监控自己的网络,从而对流量进行优化和精细化的管理。 ●接入可视化 StoneOS?基于角色的管理(RBNS)模块,让网络接入更加精细和直观化,实现了对接入用户更加人性化的管理,摆脱了过去只能通过IP地址来控制的尴尬,可以实时地监控、管理用户接入的状态,资源的分配,从而使网络资源的分配更加合理和可控化。 ●应用可视化 StoneOS?内置独创的应用识别模块,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,即使加密过的数据流也能应付自如。StoneOS?识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包
括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、、HTTP等协议的应用,应用特征库通过网络服务可以实时更新。 全面的VPN解决方案 SG-6000多核安全网关支持多种IPSecVPN的部署,它能够完全兼容标准的IPSec VPN。SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速,结合多核平台的处理能力,可为用户提供高容量、高性能的VPN解决方案。 Hillstone山石网科独具特色的即插即用VPN,可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置,完全解决了传统IPSecVPN设备配置难、使用难、维护成本高的问题。 SG-6000多核安全网关还通过集成第三代SSL VPN实现角色访问控制和即插即用特性,为用户提供方便、快捷的安全远程接入服务。 内容安全(UTM Plus?) SG-6000可选UTMPlus?软件包提供病毒过滤、入侵防御、内容过滤、网页访问控制和应用流量整形等功能,可以防范病毒、间谍软件、蠕虫、木马等网络攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问。病毒库、攻击库、网页库可以通过网络服务实时下载,确保对新爆发的病毒、攻击、新的网页做到及时响应。 模块化、全并行处理的安全架构(多核Plus? G2) Hillstone山石网科自主开发的64位实时安全操作系统StoneOS?采用专利的多处理器全并行架构,和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同;StoneOS?实现了从网络层到应用层的多核全并行处理。 因此SG-6000较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能无法两全的局限。 SG-6000-M3108支持SD卡扩展。通过扩展SD卡可以在设备上实时记录各种审计日志和审计数据,满足公安部82号令的要求,也可以使用外置高性能日志服务器。 另外SG-6000多核安全网关还支持通过软件license方式进行设备高级扩展,
2015年全国职业院校技能大赛 网络搭建与应用竞赛 (总分1000分) 赛题说明 一、竞赛内容分布 “网络搭建与应用”竞赛共分二个部分,其中: 第一部分:网络搭建及安全部署项目,占总分的比例为45%; 第二部分:服务器配置及应用项目,占总分的比例为55%; 二、竞赛注意事项 (1)禁止携带和使用移动存储设备、计算器、通信工具及参考资料。 (2)请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。 (3)本试卷共有两个部分。请选手仔细阅读比赛试卷,按照试卷要求完成各项操作。 (4)操作过程中,需要及时保存设备配置。比赛结束后,所有设备保持运行状态,不要拆、动硬件连接。 (5)比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。 (6)所有需要提交的文档均放置在桌面的PC1“比赛文档”文件夹中,禁止在纸质资料上填写与竞赛无关的标记,如违反规定,可视为0分。 (7)裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档
必须按照赛题所规定的命名规则命名,文档中有对应题目的小标题,截图有截图的简要说明,否则按无效内容处理。 (8)与比赛相关的工具软件放置在D盘的tools文件夹中。
项目简介 某集团公司经过业务发展,总公司在北京市,在上海设置了分公司,为了实现快捷的信息交流和资源共享,需要构建统一网络,整合公司所有相关业务流程。采用单核心的网络架构的网络接入模式,采用路由器接入城域网专用链路来传输业务数据流。总公司为了安全管理每个部门的用户,使用VLAN技术将每个部门的用户划分到不同的VLAN中。分公司采用路由器接入互联网络和城域网专用网络,总公司的内网用户采用无线接入方式访问网络资源。 为了保障总公司与分公司业务数据流传输的高可用性,使用防火墙进行保证网络安全,采用QOS技术对公司重要的业务数据流进行保障。网络采用OSPF动态路由协议和RIP动态路由协议。
2010年四川省中等职业学校技能大赛 ——企业网络搭建及应用竞赛模拟试题 第一部分:参赛说明 一、注意事项: (1)请按照以下比赛环境,检查比赛中使用硬件设备、网线和Console线等设备、材料和软件是否齐全,计算机设备是否能正常使用。 (2)禁止携带和使用移动存储设备、运算器、通信工具及参考资料。 (3)操作过程中,需要及时保存设备配置。比赛过程中,不要关闭任何设备,不要拆、动硬件连接,不要对任何设备添加密码。 (4)比赛完成后,比赛设备、比赛软件和比赛试卷请保留在座位上,禁止带出考场外。(5)仔细阅读比赛试卷,分析网络需求,按照试卷要求,进行设备配置和调试。 (6)比赛时间为180分钟。 二、比赛环境
第二部分:试题部分 一、网络搭建(30分) 下图为某企业网络组建网络拓扑图,接入层采用二层交换机S2026,汇聚和核心层使用两台三层交换机S3760A和S3760B,网络边缘采用一台路由器RSR20用于连接到外部网络,另一台RSR20路由器是其子公司的网络。为了提高网络的安全性、可靠性、可用性,需要配置MSTP、OSPF、RIP、VRRP、ACL、CHAP、NAT功能。 (注:图中设备仅供练习时参考,正式比赛采用表1中给出的设备) 根据网络拓扑结构图进行如下操作: 1、基本配置(4分) a)在所有网络设备配置IP地址; b)在交换设备上配置VLAN信息; 2、路由协议配置(6分) a)配置静态路由或默认路由; b)配置OSPF路由协议; c)配置RIPv2路由协议; d)配置路由重分发,实现全网互通;
3、MSTP协议配置(6分) a)配置MSTP协议,创建二个MSTP实例:Instance10、Instance20;其中, Instance10包括:VLAN10、VLAN20,而Instance20包括:VLAN30、VLAN40; b)设置S3750-A交换机为instance10的生成树根,是instance20的生成树 备份根; c)设置S3750-B交换机为instance20的生成树根,是instance10的生成树 备份根; 4、VRRP协议配置(6分) a)创建四个VRRP组,分别为group10、group20、group30、group40 b)配置是VLAN10、VLAN20活跃路由器,是VLAN30、VLAN40的备份路由器; c)配置S3750-B是VLAN30、VLAN40活跃路由器,是VLAN10、VLAN20的备份 路由器; 5、链路聚合配置(2分) a)将S3750-A的FA0/23-24设置为链路聚合,并将了聚合接口设置trunk; b)将S3750-B的FA0/23-24设置为链路聚合,并将了聚合接口设置trunk; 6、网络安全配置(6分) a)将路由器RSR20-A和RSR20-B之间的链路封装为PPP协议,并启用CHAP验 证,将RSR20-A设置为验证方,口令为123456; b)只允许VLAN10、VLAN20的用户在上班的时间(9:00~18:00)访问FTP、DHCP 服务器,其它时间不允许访问; c)不允许VLAN10与VLAN20互相访问,其它不受限制; d)所有用户只有上班时间(周一至周五的9:00-18:00)才可以允许访问互联 网; e)配置NAT,内网中的VLAN10、VLAN20能够通过地址池(99.1.1.3~ 99.1.1.5/28)访问互联网;内网中的VLAN30、VLAN40能够通过地址池 (99.1.1.6~99.1.1.8/28)访问互联网;只将FTP服务器的FTP服务发布 到互联网上,其公网IP地址为99.1.1.10; 二、Windows系统(40分) 1、在计算机A上正确安装VMware Server,在VM中安装Windows Server 2003 SP2操作系统,具体要求如下(15分): (1)创建名称为Windows Server 2003的虚拟机,硬盘空间为8G,分配内存为256M,网卡使用桥接模式。 (2)将硬盘划为二个分区,C盘为5G,D盘为3G,两个分区的文件系统均为NTFS,选择正确的授权模式,能够同时满足200个客户的连接。服务器的名称为ServerA,系统管理员密码为manager,根据网络要求配置服务器的IP地址。 (3)添加用户UserA,密码为123,限制该用户在D盘的磁盘使用空间大小为500M,当磁盘剩余50M的时候,提示用户磁盘空间不足。 2、在ServerA上建立DNS服务,要求如下(15分): (1)为公司内部用户提供域名解析服务,同时也负责向外部DNS服务器(61.139.2.69)
Hillstone山石网科SG-6000-X6150防火墙评测报告 作者老韩 | 2010-10-14 11:38 | 类型互联网, 弯曲推荐, 研发动态, 网络安全 | 75条用户评论? 4年时间完成从0到100G的跨越,山石网科让人无话可说。再过4年,中国信息安全行业的格局是否会被改变?10月21日,山石网科将在北京正式发布这款百G级别的产品,感兴趣的话可以猛击这里查看官方专题页。 原文发布于《计算机世界》。本文尽量注意在正文中不出现带有个人感情色彩的语言;另一方面,拓展表现形式,用视频保存下测试中的经典瞬间,编辑后以更易于接受、传播的方式加以体现。(对于镜头晃动带来的眩晕感我非常抱歉,此外请忽略鼻炎导致偶发的怪腔怪调……) Hillstone山石网科(以下简称“山石网科”)是一个令人惊叹的安全企业。自成立以来,该公司保持着稳定、高速的产品研发速度,有步骤地推出了一系列多功能安全网关产品,占据了市场先机。但所有这些产品,其形态都属于“盒子(Appliance)”的范畴,固化的业务处理单元决定了其防火墙性能无法突破20G 这条水平线。而在云计算从未来时发展为现在进行时的今天,运营商、金融、教育等大型行业用户有了更高的业务需求,百G级别的防火墙在骨干网、数据中心等环境开始进入实际应用阶段。为了应对新的需求变化,山石网科又于近期推出了SG-6000-X6150(以下简称X6150)高性能防火墙,我们也在第一时间对该产品进行了测试分析。
为了达到百G级别的处理能力,X6150改用“机框(Chassis)”式产品形态,实现了可插拔部件全冗余及业务的智能分布式处理。该产品采用5U规格设计,共内置了12个扩展槽位,其中10个可用于接口模块(IOM)、安全服务模块(SSM)或QoS服务模块(QSM),2个用于系统主控模块(SCM)。设备亦采用了高速大容量交换背板,为每个模块提供了足够大的数据通路。对于高端电信级产品来说,供电子系统与散热子系统的重要性亦不容忽视。X6150最多可内置4个电源模块(650W),支持双路主备冗余部署,加上具有热插拔特性的风扇模组,可以最大程度地保障系统的稳定运行。 多核Plus G2的高级形态 目前,通过单独的处理器还很难达到百G级别的防火墙性能,业务的分布式处理是目前市场上百G防火墙产品的主流选择。不同厂商必然有着不同的系统实现方式,对于山石网科来说,经过多次发展演变的多核Plus G2架构则是X6150实现智能分布式处理的基础。
山石网科 申请功能 (平台) QOS 流量分配 AV 复合端口 IPS 入侵 NBC 网络行为管理支持SG型号 URLDB 是NBC子键支持SG型号 HSM 设备集 4GE-B 当断电后仍然可以通讯 SSH secure Shell 安全外壳协议 是一种在不安全网络上提供安全登录和其他安全网络服务的协议。 NAT 步骤: ①,接口IP ②,配路由 缺省路由:0.0.0.0 0.0.0.0 192.168.1.2 回值路由:0.0.0.0 192.168.1.x 192.168.1.1 策略路由: ③,NAT SNAT DNAT MAP ( IP PORT ) ④,policy(策略) 检查配置环境 show seccion generic 显示连接数 show interface (name) 显示接口信息 show zone(zone name) 显示安全域类型 show admin user 显示系统管理员信息 show admin user (name)显示系统管理员配置信息 show version 显示版本号信息 show arp 显示解析地址 show fib 显示路由信息 show snat 显示nat 配置 no snatrule id 号删除NAT配置 show ip route 显示路由信息 save 保存配置 unset all 清楚配置(恢复出厂设 置。
配接口 (config)# interface Ethernet0/2 (config-if-0/2)# zone trust 或/untrust 建立区信任/不信任 (config-if-0/2)# ip add 192.168.1.1/24 (config-if-0/2)# manage ping 开通PING (config-if-0/3)# manage http 开通HTTP (config-if-0/3)# manage telnet 开通telnet 配路由 (config)# ip vrouter trust-vr 这个命令意思是可以配置多个路由 (config-route)# ip route 0.0.0.0/0 192.168.1.1 配NAT (config)# nat (config-nat)# snatrule id 1 from any to any trans-to eif-ip mode dynamicport (config)#policy # rule from any to any server any dynamicport 系统管理 web: 系统--设备管理--基本信息 CLI: (config)# hostname (name) 配置安全网关名 (config)# no hostname 清楚安全网关名 管理员密码策略配置模式 hostname(config)# password policy 进入管理员策略配置式 hostname(config-pwd-policy)# admin complexity 1 启用密码复杂度限制 hostname(config=pwd-policy)# admin min-length (length value) 启用密码最少位限制 配置系统管理员 (config)# admin user (user-name) 配置管理员名称 (config)# no admin user (user-name) 删除管理员名称 (config-hostname)# privilege PX/RXW 管理员模式下:配置管理员特权 PX是读,执行 PXW 是读,执行,写。 (config-hostname)# password password 配置管理员密码 (config-hostname)# access{console|https|ssh|telnet|any} 配置管理员的访问方式 show admin user 显示管理员信息 show admin user (user-name) 显示管理员配置信息
-网络搭建与应用(题目 A ) 一、项目背景 假设你是某企业的网络管理员,你所在企业的网络分为:办公网和数据中心两部分,网络拓扑图如下所示: 同时,为了连接办公网和数据中心,该企业从ISP 租用了两种类型的线路:100M 线路(由RSR20模拟);2M ,SDH 线路(由S21模拟)。 二、功能实现 2.1 网络搭建 1、请根据拓扑图中已有的IP 地址,规划好网络设备的IP 地址、vlan 、网关等。 2、在ISP 的100M 线路上,S37-1,S37-2和RSR20之间配置OSPF 动态路由,实现连通。 3、在ISP 的2M,SDH 线路上,S37-1与S21之间、S37-2与S21之间使用trunk 线路;S37-1与S21之间配置vlan100作为互联vlan ,S37-2与S21之间配置vlan200作为互联vlan 。 4、在ISP 的2M,SDH 线路上,S37-1与S37-2之间配置静态路由,但因为线路带宽不够,2M,SDH 线路只作为100M 线路的备份,在100M 线路失效时,传输数据。 2.2 Windows 安装与配置 1、在VM 上安装Windows Server 2008。 2、在Windows Server 上创建活动目录,作为域控制器,Printer server 加入域。 3、配置组策略,设置安全策略,建立桌面文件重定向,使不同的用户在客户端登录,显示不同的桌面。 4、安装配置基于域的数字证书,使用https 协议在客户端浏览指定网页。 2.3 Linux 安装与配置 Print server 192.168.1.2 S37-2 192.168.1.1 Linux server 172.20.1.1 Windows client 192.168.10.1 S37-1 数据中心2.2.2.2/30 1.1.1.2/30
“企业网络搭建及应用”技能大赛方案 一、竞赛方式与组队要求 1.竞赛方式 “企业网络搭建及应用”竞赛项目每2人为一组,每个代表队由3组构成。 2.组队要求 每个市均要在选拔的基础上组建市级代表队参赛;省部属中专、国家级和省级重点职业学校、省级特色职业学校以及民办职业学校具有相应专业的必须组队参赛。 每个参赛单位指定1名领队,全权负责本项大赛参赛事务的协调、管理和领导工作。每个代表队指定1名指导教师,负责学生赛前集训和比赛期间的专业内容指导。 每个参赛单位组队的数目不限,上报的代表队名称按“××单位1(2、3……)队”填报。 二、比赛的软硬件环境 1、大赛提供以下硬件环境: 4台计算机,一台路由器,型号为:DCR—2626,两台三层交换机,型号为DCRS-5526S,一台二层交换机,型号为:DCS-3950-28CT,一台打印机及相应的耗材;其中,路由器及交换机(含原厂随机光盘)由神州数码网络公司提供。 2、大赛提供以下软件环境: Windows XP Pro SP2(中文版) Fedora 5 VMware Server 1.0.4 (英文版) RAR 3.71 (中文版)
Microsoft Office 2003(中文版) Windows 2003 Server R2中文版 SP2 Windows 2000 Server 中文版 SP4 三、竞赛要求 参赛选手要在规定的时间内,利用大赛提供的工作环境,完成竞赛任务;利用以上软硬件环境组建星型网络,对网络进行配置;安装 Windows和Linux操作系统,并按比赛要求进行相应设置。参赛选手要能够熟练使用VMware Server。选手需自带双绞线制作工具。 四、评分标准 企业网络搭建要求网线制作正确、交换机和路由器配置正确合理、VMware Server使用熟练、服务器操作系统(Windows和Linux)的安装与配置正确、网络打印机安装与使用熟练等。 成绩比例:网络搭建30%,Windows安装40%,Linux安装30%。 五、赛场纪律 1. 参赛选手应严格遵守赛场纪律,服从指挥,着装整洁,仪表端庄,讲文明礼貌。 2. 参赛选手须提前10分钟入场,入场必须佩戴参赛证并出示身份证。按机位号入座,将参赛证和身份证置于台桌左上角备查。选手在比赛中应注意随时存盘。迟到超过30分钟不得入场。 3. 比赛过程中如发生机器故障,必须经裁判长确认后方能更换机位。故障中断时间不计。 4. 比赛过程中或比赛后发现问题(包括反映比赛或其它问题),应由领队在当天向组委会提出陈述。领队、指导教师、选手不得与大赛工作人员直接交涉。 5. 本届大赛严禁冒名顶替,弄虚作假。指导教师不得进入比赛现场。其它未尽事宜,将在赛前向各领队做详细说明。
Hillstone山石网科多核安全网关安装手册 Hillstone山石网科 SG-6000-IM0609-3.5R2C-01
前言 内容简介 感谢您选用Hillstone Networks的网络安全产品。 本手册为Hillstone山石网科多核安全网关的安装手册,能够帮助用户正确安装Hillstone山石网科多核安全网关。本手册的内容包括: ?第1章产品介绍 ?第2章安全网关安装前的准备工作 ?第3章安全网关的安装 ?第4章安全网关的启动和配置 ?第5章安全网关的硬件维护 ?第6章常见故障处理 手册约定 为方便用户阅读与理解,本手册遵循如下约定: ?警告:表示如果该项操作不正确,可能会给安全网关或安全网关操作者带来极大危险。因此操作者必须严格遵守正确的操作规程。 ?注意:表示在安装和使用安全网关过程中需要注意的操作。该操作不正确,可能影响安全网关的正常使用。 ?说明:为用户提供有助于理解内容的说明信息。
内容目录 第1章产品介绍 (1) 简介 (1) SG-6000系列多核安全网关的特点 (1) 创新的多核Plus TM网络安全构 (1) 强健的实时操作系统Hillstone (1) 主机硬件介绍 (1) 前面板介绍 (1) 后面板介绍 (4) 指示灯含义 (4) 系统参数 (6) 端口属性 (7) CLR按键 (9) 电源 (10) 第2章安全网关安装前的准备工作 (11) 介绍 (11) 洁净度要求 (11) 防静电要求 (11) 电磁环境要求 (11) 接地要求 (11) 检查安装台 (12) 其它安全注意事项 (12) 检查安全网关及其附件 (12) 安装设备、工具和电缆 (12) 第3章安全网关的安装 (13) 安装前说明 (13) 将安全网关安装在工作台上 (13) 将安全网关安装到标准机柜中 (14) 线缆连接 (14) 连接地线 (15) 连接配置电缆 (15) 连接以太网电缆或光纤 (15) 连接电源线 (16) 安装完成后的检查 (16) 第4章安全网关的启动和配置 (17) 介绍 (17) 搭建配置环境 (17) 搭建配置口(CON口)的配置环境 (17) 搭建WebUI配置环境 (18) 搭建Telnet和SSH配置环境 (18) 安全网关的基本配置 (18)
表29-1:手动同步配置命令列表 HA 同步信息show 命令手动同步命令 配置信息show configuration exec ha sync configuration 文件信息show file exec ha sync file file-name ARP 表项show arp exec ha sync rdo arp DNS 配置信息show ip hosts exec ha sync rdo dns DHCP 配置信息show dhcp exec ha sync rdo dhcp MAC 地址表show mac exec ha sync rdo mac show pki key PKI 配置信息 show pki trust-domain exec ha sync rdo pki 会话信息show session exec ha sync rdo session show ipsec sa IPSec VPN 信息 show isakmp sa exec ha sync rdo vpn show scvpn client test show scvpn host-check-profile show scvpn pool show scvpn user-host-binding show scvpn session SCVPN 信息 show auth-user scvpn exec ha sync rdo scvpn show l2tp tunnel show l2tp pool show l2tp client {tunnel-name name [user user-name]| tunnel-id ID} L2TP 信息 show auth-user l2tp {interface interface-name | vrouter vrouter-name} exec ha sync rdo l2tp Web 认证信息show auth-user webauth exec ha sync rdo webauth NTP 信息show ntp exec ha sync rdo ntp SCVPN 信息show scvpn exec ha sync rdo scvpn 路由信息show ip route exec ha sync rdo route
企业网组建与管理 Construction and Management of Enterprise Network 一.基本信息 课程代码:【2050154】 课程学分:【3】 面向专业:【网络工程】、【计算机科学与技术】等 课程性质:【学科必修课】 课程类型:【独立设置实验课】 开课院系:【信息技术学院计算机科学与技术系】 使用教材:主教材【企业网络组建与应用,周有丹,科技出版社,2010年10月出版】 参考教材【网络管理从入门到精通,崔北亮,人民邮电出版社,2010年10月出版】先修课程:【计算机网络原理 2050064(4)】 后续课程:【信息安全 2050132(3)】 二.课程简介 本课程是介绍局域网基础知识的一门课程,为网络工程、计算机科学与技术等专业的专业必修课。通过本课程的学习,使学生掌握局域网的基础知识,包括局域网组建介质及硬件设备与特性,局域网规划与设施,局域网规划与综合布线,局域网与有线网络及无线网络的硬件连接,网络应用服务器的构建,局域网的管理,局域网客户机的配置与管理,局域网的典型应用及局域网与Internet的接入。通过本课程学习,还将培养学生具备局域网组网与管理能力,从而为后续网络课程的学习打下良好基础。 三. 选课建议 本课程是适用于网络工程专业的学科专业必修课。 四.课程基本要求 通过本课程的学习,使学生掌握局域网的基础知识,局域网组建介质及硬件设备与特性,局域网规划与设施,从而掌握中小企业网规划与设施,企业网综合布线知识,掌握中小企业局域网所应用的服务器,并对服务器的的管理,了解局域网客户机的配置与管理,了解局域网的典型应用和如何接入互联网,为培养学生在中小企业计算机网络系统的规划与构建中,建立与开发网络应用系统等方面的能力打下基础。 本课程是以实用为最终目的,应用局域网组建的有关知识、技术和实践操作技能。使学生能综合运用局域网的知识,进行网络的比较、网络的配置和管理。
背景介绍 下图为某企业网络的拓扑图,接入层采用二层交换机S2126,汇聚和核心层使用了两台三层交换机S3750A和S3750B,网络边缘采用一台路由器R1762用于连接到外部网络。 为了实现链路的冗余备份,S2126与S3750A之间使用两条链路相连。S2126上连接一台PC,PC处于VLAN 100中。S3750B上连接一台FTP服务器和一台打印服务器,两台服务器处于VLAN 200中。S3750A使用具有三层特性的物理端口与R1762相连,在R1762的外部接口上连接一台外部的Web服务器。 拓扑编址: PC:172.16.100.100/24 S3750A VLAN 100接口:172.16.100.1/24 S3750A VLAN 200接口:172.16.200.1/24 S3750A F0/20:10.1.1.2/24 FTP服务器:172.16.200.10/24 打印服务器:172.16.200.20/24 R1762 F1/0:10.1.1.1/24 R1762 F1/1:10.1.2.1/24 Web服务器:10.1.2.2/24/24
网络需求 为了实现网络资源的共享,需要PC机能够访问内部网络中的FTP服务器,以实现文件的上传和下载。并且PC机需要连接到打印服务器以进行远程的打印操作。PC机需要能够通过网络连接到外部的Web服务器,并能够进行Web网页的浏览。 实验题目 1、在S2126与S3750B上划分VLAN,并把PC机与服务器加入到相应的VLAN中。 (5分) 2、配置S2126与S3750A之间的两条交换机间链路,以及S3750A与S3750B之间 的交换机间链路。(10分) 3、在S2126与S3750A之间的冗余链路中使用STP技术防止桥接环路的产生,并通 过手工配置使S3750A成为STP的根。(10分) 4、为S3750A的VLAN接口和R1762的接口配置IP地址。(5分) 5、在S3750A上使用具有三层特性的物理端口实现与R1762的互联。(5分) 6、在S3750A上实现VLAN 100与VLAN 200间的通信。并在S3750A与R1762上 使用静态路由,实现全网的互通。(10分) 7、在一台PC上配置FTP服务器,使VLAN 100中的PC能够进行文件的上传和下 载。(15分) 8、在一台PC上配置网络打印机共享,使VLAN 100中的PC能够进行远程打印。(15 分) 9、在一台PC上配置Web服务器,使VLAN 100中的PC能够进行Web网页的浏览。 (15分) 10、在R1762上进行访问控制,允许VLAN 100中的主机只能访问外部Web服务 器的Web服务,不允许访问Web服务器上的其它服务。(10分) 答案及评分标准 1. 在S2126与S3750B上划分VLAN,并把PC机与服务器加入到相应的VLAN中。(5 分) 评分项1:在S2126上创建VLAN 100,并将F0/1接口加入到VLAN 100中(2.5分)配置过程: S2126#configure S2126(config)#vlan 100 S2126(config-vlan)#exit S2126(config)#interface fastEthernet 0/1 S2126(config-if)#switchport access vlan 100 Show结果:
Hillstone山石网科多核安全网关 基础配置手册 version 5.0 https://www.doczj.com/doc/4b17488756.html,
目录 第1章设备管理 (1) 设备管理介绍 (1) 终端Console登录 (1) WebUI方式登录 (1) 恢复出厂设置 (2) 通过CLI方式 (2) 通过WebUI方式 (2) 通过CLR按键方式 (4) StoneOS版本升级 (4) 通过网络迅速升级StoneOS(TFTP) (4) 通过WebUI方式升级StoneOS (6) 许可证安装 (8) 通过CLI方式安装 (8) 通过WebUI方式安装 (8) 第2章基础上网配置 (10) 基础上网配置介绍 (10) 接口配置 (10) 路由配置 (11) 策略配置 (13) 源NAT配置 (14) 第3章常用功能配置 (16) 常用配置介绍 (16) PPPoE配置 (16) DHCP配置 (18) IP-MAC绑定配置 (20) 端到端IPsec VPN配置 (22) SCVPN配置 (29) DNAT配置 (36) 一对一IP映射 (37) 一对一端口映射 (39) 多对多端口映射 (42) 一对多映射(服务器负载均衡) (45)
第4章链路负载均衡 (47) 链路负载均衡介绍 (47) 基于目的路由的负载均衡 (48) 基于源路由的负载均衡 (49) 智能链路负载均衡 (49) 第5章QoS配置 (52) QoS介绍 (52) IP QoS配置 (52) 应用QoS配置 (54) 混合QoS配置 (57) QoS白名单配置 (58) 第6章网络行为控制 (59) URL过滤(有URL许可证) (59) 配置自定义URL库 (62) URL过滤(无URL许可证) (63) 网页关键字过滤 (64) 网络聊天控制 (68) 第7章VPN高级配置 (71) 基于USB Key的SCVPN配置 (71) 新建PKI信任域 (71) 配置SCVPN (76) 制作USB Key (77) 使用USB Key方式登录SCVPN (79) PnPVPN (81) 用户配置 (82) IKE VPN配置 (83) 隧道接口配置 (87) 路由配置 (88) 策略配置 (89) PnPVPN客户端配置 (90) 第8章高可靠性 (92) 高可靠性介绍 (92) 高可靠性配置 (93)
2015年云南省中等职业学校“唯康.神码杯”计算机技能大赛“企业网络搭建及应用”竞赛试卷(学生组) 一、注意事项: (1)请按照以下比赛环境,检查比赛中使用硬件设备、网线和Console线等设备、材料和软件是否齐全,计算机设备是否能正常使用。 (2)禁止携带和使用移动存储设备、运算器、通信工具及参考资料。 (3)操作过程中,需要及时保存设备配置。比赛过程中,不要关闭任何设备,不要拆、动硬件连接,不要对任何设备添加密码。 (4)比赛完成后,比赛设备、比赛软件和比赛试卷请保留在座位上,禁止带出考场外。 (5)仔细阅读比赛试卷,分析网络需求,按照试卷要求,进行设备配置和调试。 (6)比赛时间为180分钟。 二、竞赛环境: (1)硬件环境 (2)软件环境
(3)材料清单 三、项目描述: 某集团公司在全国有3家公司,分别是北京总公司、上海分公司和广州分公司,总公司和两个分公司之间使用专线连接并运行OSPF路由协议。上海分公司接入网络的主要是有线网用户,广州分公司主要是移动用户,上海分公司与总公司的专线连接比较重要,必须提供VPN做备用线路以保障业务数据传输的可靠性。北京总公司和上海分公司都可以连接互连网,广州分公司没有互连网线路,需要使用北京总公司的互连网出口访问外网资源。
总公司内部使用两台三层交换机(分别标识为SW1和SW2)作为网络核心,网络服务器群(分别标识为Server1到Server3)连接在核心交换机SW1上,提供全网网络管理和资源共享服务。二台核心交换机之间通过聚合链路实现网络可靠性。另外,北京总公司和广州分公司内部网络运行RIP路由协议,上海分公司则使用单臂路由来实现内网的通信。如果你是这个网络项目的网络工程师,请根据下面的需求构建一个安全、稳定的网络。 所有设备之间连接拓扑如图1所示,各设备连接接口及接口地址规划如表1所示。
计算机应用技能大赛试卷 企业网络搭建及应用 一、注意事项 1、检查硬件设备、网线头和Console线等的数量是否齐全,电脑设备是否正常。 2、自带双绞线制作和验证测试工具。禁止携带和使用移动存储设备、运算器、通信工具及参考资料。 3、操作完成后,需要保存设备配置,不要关闭任何设备,不要拆动硬件的连接,不要对设备随意加、密码,试卷留在考场。 4、赛场准备的比赛所需要竞赛设备、竞赛软件和竞赛材料等。 二、竞赛环境 硬件环境 设备类型 设备型号 设备数量(台) 路由器 RG-RSR20-18 4 三层交换机 RG-S3760E-24 2 无线AP RG-AP220E 1 计算机 —— 4
软件环境 软件名称 介质形式 软件数量 windows 2003 Server企业版 光盘 1 Red Had Linux AS5 光盘 1 Windows XP Professional 光盘 1 Microsoft Office 2003 硬盘 1 三、网络拓扑 某集团公司全国有两家分公司,总公司设在北京,分公司分别设在上海和天津。总公司使用专用链路与两分公司相连组成城域网。在全网使用的动态路由OSPF路由协议。总公司与上海分公司都申请了访问互联网的链路,但天津分公司没有申请互联网链路,其使用总公司的链路访问互联网。在上海分公司部署的是无线网络,用户通过无线网络访问互联网。如果您是这个网络项目的网络工程师,可根据下面的需求构建一个安全、稳定的网络 如下图所示: 三、IP规划
网络区域 设备名称 设备接口 IP地址 北京总公司RSR-1 S2/0 10.0.0.5/30 FA0/0 10.0.0.1/30 FA0/1 181.1.1.1/29 RS-1 FA0/1 10.0.0.2/30 VLAN10 10.0.1.1/24 VLAN20 10.0.2.1/24 VALN50 10.1.5.1/24 天津分公司RSR-4 S2/0 10.0.0.14/30 FA0/0.30 10.1.3.1/24 FA0/0.40 10.1.4.1/24 上海分公司RSR-3
Ipv6整体解决方案 Hillstone Networks Inc. 2016年03月10日
内容提交人审核人更新内容日期 V1 2016/3/10 目录 1需求分析 (3) 2解决方案 (3) 2.1设备信息 (3) 2.2拓扑 (3) 2.3主要配置 (4) 2.3.1总部 (4) 2.3.2分支1(模拟环境,不考虑上互联网问题) (6) 2.3.3分支2 (8) 3建设效果 (8)
1需求分析 某用户有100多个office,都采用电信光纤接入,需要逐步从IPv4演变为IPv6地址,在这种场景下,需要做到IPv4到IPv6内网的互通。 场景模拟如下:一个总部两个分支,总部内网采用IPv6地址,外网地址采用IPv4;分支1外网IPv4,内网IPv6;分支机构2内外网都为IPv4地址。需求如下: A.总部的IPv6地址可以访问到互联网IPv4资源,总部的IPv6地址可以提供互联网用户 访问。 B.总部和分支1的IPv6地址通过公网6in4隧道互相通信。 C.总部和分支2的IPv4地址互相通信。 2解决方案 2.1设备信息 2.2拓扑
分支1 2005::2/96 2.3主要配置 2.3.1总部 A.接口 interface ethernet0/1 zone "untrust" ip address 200.0.0.2 255.255.255.0 manage http exit interface ethernet0/2 zone "trust"
dns-proxy ipv6 enable ipv6 address 2005::1/96 manage ping exit interface tunnel1 zone "trust" ipv6 enable tunnel ip6in4 "fenzhi1" exit B.Nat和路由 ip vrouter "trust-vr" snatrule id 1 from "2005::/96" to "2003::/96" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #总部上网snat snatrule id 2 from "2005::2/96" to "2004::2" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #与分支2通信snat snatrule id 3 from "Any" to "200.0.0.2" service "Any" eif ethernet0/2 trans-to 2005::1 mode dynamicport #公网已知ip访问总部ipv6服务器snat dnatrule id 1 from "2005::/96" to "2003::/96" service "Any" v4-mapped #总部上网dnat dnatrule id 2 from "2005::2/96" to "2004::2" service "Any" trans-to "200.0.0.4" #与分支2通信dnat dnatrule id 3 from "Any" to "200.0.0.2" service "Any" trans-to "2005::2" #公网已知ip访问总部ipv6服务器dnat ip route 0.0.0.0/0 200.0.0.1 ipv6 route 2001::/96 tunnel1 exit C.策略 rule id 1 action permit src-addr "Any" dst-addr "Any" service "Any" exit rule id 2 action permit src-ip 2005::/96 dst-ip 2004::/96 service "Any" exit rule id 3 action permit src-ip 2005::/96
hillstone防火墙配置步骤(以hillstone SA5040为例讲解) 厦门领航立华科技有限公司
目录 1需要从客户方获取的基本信息 (3) 2配置步骤 (3) 2.1 配置安全域 (3) 2.2 配置接口地址 (4) 2.3 配置路由 (4) 2.4 配置NAT (6) 2.4.1 源地址NAT (6) 2.4.2 目的地址NA T (6) 3配置策略 (8) 3.1 配置安全域之间的允许策略 (8) 3.1.1 配置trust到Untrust的允许所有的策略 (8) 3.1.2 配置DMZ到Untrust的允许所有的策略 (9) 3.1.3 配置trust到DMZ的允许策略 (9) 3.1.4 配置Untrust到DMZ服务器的允许策略 (10) 3.1.5 配置Untrust到Trust服务器的允许策略 (10) 3.1.6 配置详细策略 (11) 4配置QOS (12) 5配置SCVPN (13)
1需要从客户方获取的基本信息 ◆部署位置:互联网出口位置,还是其他,如部署在出口路由器之后等 ◆部署方式:三层接入(需要做NAT,大部分都是这种接入方式),二层透明接 入(透明接入不影响客户网络架构),混合接入模式(有几个接口需要配置成透明接口模式,可以支持这种方式) ◆外网出口信息:几个出口,电信Or网通,外网IP地址资源(多少个),外 网网关(防火墙默认路由设置) ◆安全域划分:一般正常3个安全域,Untrust(外网)、Trust(内网)、Dmz (服务器网段),也可以自定义多个 ◆外网接口IP地址:由客户提供 ◆内网口IP地址: ◆如果客户内网有多个网段,建议在客户中心交换机配置独立的VLAN 网段,不要与客户内部网段相同。 ◆如果客户内网只有1个网段,没有中心交换机,则把防火墙内网口地 址设置为客户内网地址段,并作为客户内网网关(适用于中小型网络)◆DMZ口IP地址:由客户提供,建议配置成服务器网段的网关; 2配置步骤 2.1 配置安全域 默认就有常用的3个安全域了,Trust,Untrust,DMZ