HILLSTONE的上网配置

Hillstone山石网科下一代防火墙基础配置手册V5.5版本Hillstone Networks Inc.服务热线：400 828 6655内容提交人审核人更新内容日期陈天骄陈天骄初次编写2016/1/14目录1 设备管理 (3)1.1 终端console登录 (3)1.2 网页WebUI登录 (3)1.3 恢复出厂设置 (5)1.3.1 CLI命令行操作 (5)1.3.2 WebUI图形化界面操作 (5)1.3.3 硬件CLR操作 (6)1.4 设备系统（StoneOS）升级 (6)1.4.1 通过sysloader升级 (6)1.4.2 通过CLI升级 (9)1.4.3 通过WebUI升级 (9)1.5 许可证安装 (10)1.5.1 CLI命令行安装 (10)1.5.2 WebUI安装 (11)2 基础上网配置 (11)2.1 接口配置 (11)2.2 路由配置 (13)2.3 策略配置 (14)2.4 源地址转换配置（SNAT） (15)3 常用功能配置 (16)3.1 PPPoE拨号配置 (16)3.2 动态地址分配（DHCP）配置 (17)3.3 IP-MAC地址绑定配置 (20)3.4 端到端IPSec VPN配置 (21)3.4.1 配置第一阶段P1提议 (22)3.4.2 配置ISAKMP网关 (23)3.4.3 配置第二阶段P2提议 (24)3.4.4 配置隧道 (25)3.4.5 配置隧道接口 (26)3.4.6 配置隧道路由和策略 (28)3.4.7 查看VPN状态 (29)3.5 远程接入SCVPN配置 (30)3.6 目的地址转换DNAT配置 (38)3.6.1 IP映射 (39)3.6.2 端口映射 (41)1设备管理安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、Telnet、SSH等主流通信管理协议。

山石网关智能流量控制配置一、流量控制原则及原理山石网关智能流量控制配置原则：带宽IP QoS（kbps）应用优先级P2P下载（kbps）2M IP QOS共享为 1950HTTP、DNS、电子邮件优先级1；HTTP分片下载、P2P下载优先级5；QQ游戏等、常玩游戏优先级2（按客户需求可选）总出口限制16004M IP QOS共享为 3900 总出口限制32006M IP QOS共享为 5900 总出口限制48008M IP QOS共享为 7800 总出口限制650010M IP QOS共享为 9800 总出口限制8000>10M IP QOS共享为98% 总出口限制80%智能流量分配原理：将网间应用人为分出优先级，按优先级高低赋予带宽。

并且控制总P2P下载的带宽。

如：在10M互联网专线中只有客户在进行迅雷下载（优先级5），他们的下载总速率可达8000kbps。

突然有客户点击网页浏览（优先级1），这时迅雷下载所占用的8000kbps将施放给网页加载（优先级1高于优先级5）。

当网页加载完毕时迅雷下载将再次被赋予相应的带宽。

二、配置流程配置举例：某集团为10M互联网专线，流控需设置成“IP QOS限制为 9.8M，HTTP、DNS、电子邮件优先级1；HTTP分片下载、P2P下载优先级5；QQ游戏等、常玩游戏优先级2（按客户需求可选），P2P下载总出口限制8M。

”山石配置过程：1、升级应用特征库；依次点击右侧菜单中“系统”、“应用特征库”进入配置界面，点击在线升级，等待升级成功。

2、安全域配置；依次点击右侧菜单中“网络”、“安全域”，点击“trust”操作图标，将“应用识别”勾选。

完成后再按相同操作将“untrust”中的“应用识别”勾选。

3、IP Qos设置；依次点击右侧菜单中“Qos”、“IP Qos”填写“规则名称”、“接口绑定（外网地址端口）”、“共享”“最大带宽（共享9800）”，点击“添加”。

hillstone与fortigate路由VPN-静态篇用户需求：1、分支机构飞塔设备可以访问IDC服务器2、IDC服务器可以访问分支的笔记本3、分支和IDC需要行为控制网络拓扑：设备设置信息：一、Hillstone设备基本信息：设备型号：Hillstone-SG6000-E2800版本信息：SG6000-M-5.5R7P7.bin公网出口：ethernet0/3公网IP：114.11.189.23内网地址：10.20.29.0/24共享密钥：zhongxingguoji 二、Hillstone基础网络配置：设置公网接口：interface ethernet0/3zone "untrust"ip address 114.11.189.23/27 description "To_Internet_wan" manage pingmanage sshmanage https设置内网接口：interface ethernet0/1zone "trust"ip address 10.20.29.1/24 description "To_lan" manage pingmanage sshmanage https设置路由：ip vrouter trust-vrip route 0.0.0.0/0 114.11.189.1 description To-Internet设置策略：policy-globalrule from any to any from-zone trust to-zone untrust service any permit设置NAT:natsnatrule from any to any eif e0/3 trans-to eif-ip mode dynamicport sticky log三、Hillstone VPN配置：VPN第一阶段：----------------isakmp peer "spoke-zhongxingguoji"isakmp-proposal "psk-md5-3des-g2"pre-share "zhongxingguoji"peer 116.108.221.90dpd interval 10 retry 3interface ethernet0/3VPN第二阶段:----------------tunnel ipsec "spoke-zhongxingguoji"isakmp-peer "spoke-zhongxingguoji"ipsec-proposal "esp-md5-3des-g2"auto-connectid local 10.202.29.0/24 remote 192.168.20.0/24 service "Any" id local 192.168.87.0/24 remote 192.168.20.0/24 service "Any"新建隧道接口，调用VPN：----------------------------zone "vpn"exitinterface tunnel4zone "vpn"description "To_Fortigate_zhongxingguoji"manage pingtunnel ipsec "spoke-zhongxingguoji"设置飞塔端内网地址的路由：----------------------------ip vrouter trust-vrip route 192.168.20.0/24 tunnel4 description zhongxingguoji设置策略：----------policy-globalrule from any to any from-zone trust to-zone vpn service any permit rule from any to any from-zone vpn to-zone trust service any permit exit一、飞塔设备基本信息：设备型号：FortiGate-80E版本信息：FortiOS v6.0.3 build0200公网出口：wan1公网IP：116.108.221.90LAN地址：192.168.20.0/24共享密钥：zhongxingguoji二、飞塔基础网络配置：基本上网配置不展示了，登陆设备页面，点击一下即可记住几个要素：1、设置公网接口2、设置内网接口3、设置默认路由4、设置策略及NAT三、飞塔 VPN配置：VPN第一阶段：----------------config vpn ipsec phase1edit “hub-zhongxingguoji“set interface “wan1”set mode mainset dhgrp 2set proposal 3des-md5set remote-gw 114.11.189.23set psksecret zhongxingguojiset dpd on-idlenextendVPN第二阶段:----------------config vpn ipsec phase2edit “hub-zhongxingguojip“set phase1name “hub-zhongxingguoji“set dhgrp 2set proposal 3des-md5set auto-negotiate enableset src-subnet 192.168.20.0 255.255.255.0set dst-subnet 10.20.29.0 255.255.255.0 nextend设置hillstone内网地址的路由：----------------------------config router staticedit 1set device "hub-zhongxingguojip"set dst 10.20.29.0 255.255.255.0set comment "VPN:To_SH_IDC_Hub"nextend注释：隧道接口是VPN自动生成的，直接将目的路由指向隧道接口即可设置策略：1、策略是放通hillstone到飞塔的2、策略是放通飞塔到hillstone的以上策略就不在这里展示了设备VPN验证：hillstone 验证-第一阶段验证：show isakmp sa--------------------Total: 1================================================= Cookies Gateway Port Algorithms Lifetime --------------------------------------------------------------------------------f775b7a614~ 116.108.221.90 500 preshare md5/3des 86340 =================================================hillstone 验证-第二阶段验证：show ipsec sa--------------------Total: 1S - Status, I - Inactive, A - Active;================================================= Id VPN Peer IP Port Algorithms SPI Life(s) S--------------------------------------------------------------------------------99 spoke-guangz~>116.108.221.90 500 esp:3des/md5/- cef1a9ca 3536 A 99 spoke-guangz~<116.108.221.90 500 esp:3des/md5/- 40dafcbe 3536 A ==================================================设备测试：SG-6000-E2800#ping 192.168.20.240 source e0/1Sending ICMP packets to 192.168.20.240From ethernet0/1Seq ttl time(ms)1 127 29.22 127 29.13 127 28.9^Cstatistics:3 packets sent, 3 received, 0% packet loss, time 2003msrtt min/avg/max/mdev = 28.975/29.133/29.257/0.229 ms飞塔验证-第一阶段验证：get vpn ike gateway hub-zhongxingguojip----------------------------------vd: root/0name: hub-zhongxingguojipversion: 1interface: wan1 6addr: 116.108.221.90:500 -> 114.11.189.23:500created: 186s agoIKE SA created: 1/1 established: 1/1 time: 250/250/250 msIPsec SA created: 3/3 established: 3/3 time: 80/86/90 msid/spi: 97 816d55c84bdb63c3/e6ae9ca3fa0f02bcdirection: initiatorstatus: established 186-186s ago = 250msproposal: 3des-md5key: 43c2304830d2a3f5-8c122d5fd0671cd6-1d0e27393b35037f-23f01b7fcbdfb967lifetime/rekey: 86400/85913DPD sent/recv: 00000000/00000bb8飞塔验证-第二阶段验证：get vpn ipsec tunnle name hub-zhongxingguojip------------------------------gatewayname: 'hub-zhongxingguojip'type: route-basedlocal-gateway: 116.108.221.90:0 (static)remote-gateway: 114.11.189.23:0 (static)mode: ike-v1interface: 'wan1' (6)rx packets: 0 bytes: 0 errors: 0tx packets: 0 bytes: 0 errors: 0dpd: on-idle/negotiated idle: 20000ms retry: 3 count: 0 selectorsname: 'hub-zhongxingguojip'auto-negotiate: enablemode: tunnelsrc: 0:0.0.0.0/0.0.0.0:0dst: 0:0.0.0.0/0.0.0.0:0SAlifetime/rekey: 43200/42924mtu: 1438tx-esp-seq: 1replay: enabledqat: 0inboundspi: 55a2b8d2enc: 3des 11db87a7cb99bc2c8fef43c77723a25eauth:md5 cc18eab9079b52ace4b36fba9b9c225ba774fcc842bc58fcc3bb4822bba413d0 outboundspi: 536f872denc: 3des 114d1ba0e41462762b660fac8e4b6ae7auth:md5 368c4ad9b32061ced147ced1029c179c6c1606ccf0e23ec9317edb5b7775b34 8测试到hillstone连通性：FortiGate1 # execute ping 10.202.29.200------------------------------------------------------PING 10.202.29.200 (10.202.29.200): 56 data bytes64 bytes from 10.202.29.200: icmp_seq=0 ttl=128 time=1.5 ms64 bytes from 10.202.29.200: icmp_seq=1 ttl=128 time=1.0 ms--- 10.202.29.200 ping statistics ---5 packets transmitted, 5 packets received, 0% packet lossround-trip min/avg/max = 1.0/1.1/1.5 ms以上hillstone和飞塔均为使用页面截图制作文档，设备页面相对简单一下，以上数据仅供参加，有任何技术问题可以留言。

Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS（TFTP） (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (42)一对多映射（服务器负载均衡） (45)第4章链路负载均衡 (47)链路负载均衡介绍 (47)基于目的路由的负载均衡 (48)基于源路由的负载均衡 (49)智能链路负载均衡 (49)第5章QoS配置 (52)QoS介绍 (52)IP QoS配置 (52)应用QoS配置 (54)混合QoS配置 (57)QoS白名单配置 (58)第6章网络行为控制 (59)URL过滤（有URL许可证） (59)配置自定义URL库 (62)URL过滤（无URL许可证） (63)网页关键字过滤 (64)网络聊天控制 (68)第7章VPN高级配置 (71)基于USB Key的SCVPN配置 (71)新建PKI信任域 (71)配置SCVPN (76)制作USB Key (77)使用USB Key方式登录SCVPN (79)PnPVPN (81)用户配置 (82)IKE VPN配置 (83)隧道接口配置 (87)路由配置 (88)策略配置 (89)PnPVPN客户端配置 (90)第8章高可靠性 (92)高可靠性介绍 (92)高可靠性配置 (93)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册，对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI配置。

、网络 -> 接口
点击e0/0后面的编辑小图标
确认最终接口列表
网络 -> 路由 -> 目的路由
新建
点击确认最终路由表
创建地址对象【方便进行调用】
对象 -> 地址薄
新建点击按钮
输入IP地址后点确认 -> 确认
一共创建了3条地址条目
NAT转换
防火墙 -> NAT -> 源NAT
新建 -> 高级配置配置完成点击
源NAT列表
防火墙 -> NAT -> 目的NAT
新建 -> 高级配置
配置完成点击
最终目的NAT列表
策略配置
防火墙 -> 策略
新建允许内网PC访问外网
不允许10.1.1.100访问外网
不允许服务器访问外网：无需做任何设置，默认都是拒绝
允许内网访问服务器区域
不允许10.1.1.100访问服务器
允许外网访问HTTP / FTP 服务器
先设置为untrust to trust any any permit 确定后点击其后面的编辑图标点击服务中的多个，选择HTTP / FTP 确定即可
设置完成后如下，点击“确认”
最终策略列表如下：
为了使得特殊IP的设置能够达到预期的效果，请在策略列表中选择相应的条目
选择其后面的图标将策略移至前面
最终策略列表
注意：策略条目中的ID号，不代表顺序，只代表此策略的创建先后。

默认后面创建的条目会自动的加到对应的策略最后。

Ip-qos
qos -> ip qos 设置完成点击添加
IP-QOS列表，可看到刚才添加上去的条目信息。

Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS（TFTP） (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (41)一对多映射（服务器负载均衡） (44)第4章链路负载均衡 (46)链路负载均衡介绍 (46)基于目的路由的负载均衡 (47)基于源路由的负载均衡 (48)智能链路负载均衡 (48)第5章QoS配置 (51)QoS介绍 (51)IP QoS配置 (51)应用QoS配置 (53)混合QoS配置 (56)QoS白名单配置 (57)第6章网络行为控制 (58)URL过滤（有URL许可证） (58)配置自定义URL库 (61)URL过滤（无URL许可证） (62)网页关键字过滤 (63)网络聊天控制 (67)第7章VPN高级配置 (70)基于USB Key的SCVPN配置 (70)新建PKI信任域 (70)配置SCVPN (75)制作USB Key (76)使用USB Key方式登录SCVPN (78)PnPVPN (80)用户配置 (81)IKE VPN配置 (82)隧道接口配置 (86)路由配置 (87)策略配置 (88)PnPVPN客户端配置 (89)第8章高可靠性 (91)高可靠性介绍 (91)高可靠性配置 (92)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册，对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI配置。

HillStoneSA-2001配置手册2防火墙设置 ..............................................3VPN配置.................................................4流量控制的配置 ..........................................4.1P2P限流............................................4.2禁止P2P流量 .......................................4.3IP流量控制.........................................4.4时间的设置 .........................................4.5统计功能............................................5基础配置 ................................................本文是基于安全网关操作系统为Version3.5进行编写，如版本不同，配置过程有可能不一样。

1 网络端口配置SA-2001安全网关前面板有5个千兆电口、1个配置口、1个CLR按键、1个USB接口以及状态指示灯。

下图为SA-2001的前面板示意图：将网线接入到E0/0。

防火墙的ethernet0/0接口配有默认IP地址，但该端口没有设置为DHCP服务器为客户端提供IP地址，因此登录后的首页面。

可以看到CPU、内存、会话等使用情况。

很多品牌的防火墙或者路由器等，在默认情况下内网端口都是划分好并且形成一个小型交换机的，但是hillstone的产品却需要自己手工设置。

在本文档中，我们准备将E0/0划分为UNTRUST口连接互联网，E0/1～E0/4总共4个端口我们则划到一个交换机中并作为TRUST口连接内网。

想要上网先要登陆设备进行设置如图，系统默认的ip地址是192.168.1.1接口e0/0 用户名hillstone密码hillstone选中文，点登陆
进去后先定义接口，选择左边菜单的网络接口，如图。

我们选择e0/1口做外网，点右边的编辑。

进到接口编辑页面，选择三层安全域，untrust，多数采用的是静态ip，填上网通或电信给的ip地址和子网掩码，下边管理是指管理员可以通过这个接口的哪些端口对设备进行管理。

为了方便一般都选上。

接口设置完了需要做一个路由，如图。

点网络，路由，目的路由，点击新建
目的ip为0.0.0.0所有ip掩码为0.0.0.0下一条选网关，为电信或网通给的网关地址。

点确认。

路由做完了，需要做一条策略允许数据包通过，选防火墙，策略，源安全域选trust目的安全域选untrust，点新建。

策略设置只需把服务簿改成any行为选允许，确认。

最后一步需要做一个nat转换，选防火墙，nat，源nat，选择新建。

Nat设置里只需把出接口改成我们定义的外网接口就可以了，这里是e0/1口，确认。

到这里，就可以通过e0/0口上网了，上边我们只是定义了外网接口，内网接口用的是系统默认的e0/0口，如需用其他地址或接口，只需按照e0/0口的方式再重新定义一个接口，然后改一下地址就可以了。

一、产品外观二、场景说明酒店网络信息：酒店编号:000000IP: 124.237.87.30Mask:255.255.255.252Gateway: 124.237.87.29DNS:222.222.202.202备用DNS:222.222.222.222酒店内网信息：IP:10.35.58.0/24（办公网段）IP:172.16.0.0/24（客房网段）MAC:00-2B-2B-68-5C-4F酒店带宽:20MBHillstone版本信息：Hillstone StoneOS Software Version 5.0三、登录WebUI配置界面安全网关设备的e0/0接口配有默认IP地址192.168.1.1，该接口的各种管理功能均为开启状态。

初次使用可以通过该接口管理设备，具体操作为：将管理PC的IP地址设置为与192.168.1.1/24同网段的IP地址，打开PC的Web浏览器，输入http://192.168.1.1。

设备默认管理员用户名及密码均为“hillstone”四、设备配置1.配置网络>网络连接>eth0/1(外网)>编辑：常规：绑定安全域选择三层安全域安全域选择untrustIP配置：类型选择静态IPIP：124.237.87.30网络掩码:255.255.255.252网络>网络连接>eht0/2(办公)>操作：名字和类型：绑定安全域选择三层安全域安全域选择dmzIP配置：类型选择静态IPIP/网络掩码:10.35.58.1/24网络>网络连接>eht0/3(客房)>操作：名字和类型：绑定安全域选择三层安全域安全域选择trustIP配置：类型选择静态IPIP/网络掩码:172.16.0.1/24管理：只选择Ping2.路由配置网络>路由>目的路由>新建：目的IP：0.0.0.0子网掩码：0.0.0.0下一跳选择网关网关：124.237.87.293.DHCP配置办公网络网络>网络连接>DHCP列表：基本配置：接口：ethernet0/2类型：DHCP服务器网关：10.35.58.1掩码：255.255.255.0DNS1: 222.222.202.202 DNS2: 222.222.222.222起始IP地址：10.35.58.40 结束IP地址：10.35.58.150 高级配置：租约：86400客房网络网络>网络连接>DHCP列表：接口：ethernet0/3类型：DHCP服务器网关：172.16.0.1掩码：255.255.255.0DNS1: 222.222.202.202DNS2: 222.222.222.222起始IP地址：172.16.0..20结束IP地址：172.16.0..254高级配置：租约：864004.DNS配置网络>网络连接>DNS列表>新建：服务器IP:222.222.202.202网络>网络连接>DNS列表>新建：服务器IP:222.222.222.2225.策略配置安全>策略>新建：Trust->untrust名称：Trust->untrust源安全域：trust源地址：any目的安全域:untrust目的地址：any服务簿：any行为：允许Trust->dmz名称：Trust->dmz源安全域：trust源地址：any目的安全域:dmz目的地址：any服务簿：any行为：拒绝Dmz->trust名称：Dmz->trust源安全域：dmz源地址：any目的安全域:trust服务簿：any行为：允许dmz->untrst名称：dmz->untrst源安全域：dmz源地址：any目的安全域:untrust目的地址：any服务簿：any行为：允许Untrust->trust名称：Untrust->trust源安全域：untrust源地址：any目的安全域:trust目的地址：any服务簿：any行为：允许Untrust->dmz名称：Untrust->dmz源安全域：untrust源地址：any目的安全域:dmz目的地址：any服务簿：any行为：允许6.NAT配置网络>NAT>源NAT>新建>源地址：地址条目目的地址：地址条目地址条目：any出接口：eth1转换为：出接口IP模式：动态端口7.限速控制>流量管理>应用Qos>新建规则名称：bangong限流对象：ethernet0/2匹配条件：P2P流媒体；p2p软件；迅雷*等。

Hillstone山石网科多核安全网关快速配置手册Hillstone山石网科QS-UG0509-V1.1-01前言手册内容首先感谢您使用山石网科的网络安全产品。

本手册为Hillstone山石网科多核系列安全网关的快速配置手册，对Hillstone山石网科多核系列安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI的配置。

本手册的内容包括以下各章：♦搭建配置环境。

介绍配置环境信息以及WebUI配置环境的搭建。

♦第2章系统管理。

介绍系统固件StoneOS的升级、配置文件的备份等。

♦第3章快速部署安全网关。

介绍安全网关的路由应用模式部署。

♦第4章对外发布服务器。

介绍DNAT的基本配置。

♦第5章IP QoS。

介绍IP QoS的配置用例。

♦第6章应用QoS。

介绍应用QoS的配置用例。

♦第7章SCVPN。

介绍SCVPN的配置用例。

手册约定为方便用户阅读与理解，本手册遵循以下约定：内容约定本手册内容约定如下：♦提示：为用户提供相关参考信息。

♦说明：为用户提供有助于理解内容的说明信息。

♦注意：如果该操作不正确，会导致系统出错。

♦『』：用该方式表示WebUI页面上的链接、标签或者按钮。

♦< >：用该方式表示WebUI页面上提供的文本信息，包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。

目录第1章搭建配置环境 (1)配置环境介绍 (1)搭建WebUI配置环境 (1)搭建Console配置环境 (3)安全网关的基本配置 (3)第2章系统管理 (5)介绍 (5)时间配置 (5)升级StoneOS (5)配置信息操作 (6)保存配置信息 (6)导出配置信息 (7)导入配置信息 (7)恢复出厂配置 (8)第3章快速部署安全网关 (9)介绍 (9)组网 (9)配置步骤 (9)第4章对外发布服务器 (15)介绍 (15)组网 (15)配置步骤 (16)第5章IP QoS (23)介绍 (23)配置需求 (23)配置步骤 (23)第6章应用QoS (25)介绍 (25)配置需求 (25)配置步骤 (25)第7章SCVPN (26)介绍 (26)组网 (26)配置步骤 (26)第1章搭建配置环境配置环境介绍Hillstone山石网科多核安全网关是山石网科自主研发的专用高性能纯硬件安全网关，可应用于大中小型企业、大型区域办事结构、电信运营商、数据中心等。

HillStone SA-2001配置手册1 网络端口配置 (2)2 防火墙设置 (12)3 VPN配置 (14)4 流量控制的配置 (25)4.1P2P限流 (25)4.2禁止P2P流量 (26)4.3IP流量控制 (29)4.4时间的设置 (30)4.5统计功能 (33)5 基础配置 (36)本文是基于安全网关操作系统为Version 3.5进行编写，如版本不同，配置过程有可能不一样。

1 网络端口配置SA-2001安全网关前面板有5个千兆电口、1个配置口、1个CLR按键、1个USB接口以及状态指示灯。

下图为SA-2001的前面板示意图：将网线接入到E0/0。

防火墙的ethernet0/0接口配有默认IP地址192.168.1.1/24，但该端口没有设置为DHCP服务器为客户端提供IP地址，因此需要将PC机的IP地址设置为同一网段，例如192.168.1.2/24才能连上防火墙。

通过IE打开192.168.1.1，然后输入默认的用户名和密码（均为hillstone）登录后的首页面。

可以看到CPU、内存、会话等使用情况。

很多品牌的防火墙或者路由器等，在默认情况下内网端口都是划分好并且形成一个小型交换机的，但是hillstone的产品却需要自己手工设置。

在本文档中，我们准备将E0/0划分为UNTRUST口连接互联网，E0/1～E0/4总共4个端口我们则划到一个交换机中并作为TRUST口连接内网。

在网络－接口界面中，新建一个bgroup端口，该端口是一个虚拟的端口。

因为bgroup1接口需要提供路由功能，因此需要划入到三层安全域（trust）中。

输入由集团信息中心提供的IP地址。

在管理设置中，尽量将各个管理功能的协议打开，尤其是HTTP 功能。

建好bgroup1之后，对网络－接口页面中的e0/1～e0/4分别修改，依次将它们划归为bgroup1。

设置好交换机功能后，还需要设置DHCP功能，以便PC机接入时可以自动获取IP地址。

Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS（TFTP） (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (41)一对多映射（服务器负载均衡） (44)第4章链路负载均衡 (46)链路负载均衡介绍 (46)基于目的路由的负载均衡 (47)基于源路由的负载均衡 (48)智能链路负载均衡 (48)第5章QoS配置 (51)QoS介绍 (51)IP QoS配置 (51)应用QoS配置 (53)混合QoS配置 (56)QoS白名单配置 (57)第6章网络行为控制 (58)URL过滤（有URL许可证） (58)配置自定义URL库 (61)URL过滤（无URL许可证） (62)网页关键字过滤 (63)网络聊天控制 (67)第7章VPN高级配置 (70)基于USB Key的SCVPN配置 (70)新建PKI信任域 (70)配置SCVPN (75)制作USB Key (76)使用USB Key方式登录SCVPN (78)PnPVPN (80)用户配置 (81)IKE VPN配置 (82)隧道接口配置 (86)路由配置 (87)策略配置 (88)PnPVPN客户端配置 (89)第8章高可靠性 (91)高可靠性介绍 (91)高可靠性配置 (92)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册，对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI配置。

【关键字】手册Hillstone安全网关NAV50配置手册一、配置准备Hillstone 山石网科多核安全网关提供WebUI 界面，使用户能够更简便与直观地对设备进行管理与配置。

安全网关的ethernet0/0 接口配有默认IP 地址，并且该接口的各种管理功能均为开启状态。

初次使用安全网关时，可以通过该接口访问安全网关的WebUI 页面。

请按照以下步骤搭建WebUI 配置环境：1. 将管理PC 的IP 地址设置为与同网段的IP 地址，并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。

2. 在管理PC 的Web 浏览器中访问地址.1 并按回车键。

出现登录页面如下图所示：3.输入用户名和密码。

安全网关提供的默认用户名和密码均为“hillstone”。

点击『登录』按钮进入安全网关的主页。

二、版本升级设备出厂时为默认版本Version4.0。

最新的版本Version4.5更强大。

建议升级到最新版本。

点击软件版本后的升级选项。

弹出如下页面：点击升级，弹出如下页面点击浏览，选中电脑本地的软件版本。

选择后出现如下页面：加载完后，选择下次启动时使用的系统软件会现实为4.5版本。

点击确定按钮点击确定重启设备点击确定重启后的页面三、更新系统时间（时间与生成日志有关）点击同步，然后点击确定。

四、修改登录密码和添加新账号五、安装正式许可证六、配置内外网接口地址点击“配置”栏中的“网络连接”，选中“Ethernet0/X”，点击“编辑”，如下图所示。

七、配置出网路由（根据网络情况添加内部网络回程路由）八、配置策略九、配置安全防备点击左侧攻击防备安全域选择untrust域系统会自动开启untrust域的安全防备，直接点击确定十、开启监控统计点击监控中流量选项，如果没有开启统计，系统会自动弹出选项是否开启统计集，点击确定开启即可，相同的动作完成想要开启的监控。

开启后系统会生成监控图像。

联系电话：联系人：张立为此文档是由网络收集并进行重新排版整理.word可编辑版本！。

HillStone SA-2001配置手册之阿布丰王创作1网络端口配置22防火墙设置123VPN配置144流量控制的配置244.1P2P限流244.2禁止P2P流量254.3IP流量控制284.4时间的设置294.5统计功能325基础配置35本文是基于平安网关操纵系统为Version 3.5进行编写，如版本分歧，配置过程有可能纷歧样。

1 网络端口配置SA-2001平安网关前面板有5个千兆电口、1个配置口、1个CLR 按键、1个USB接口以及状态指示灯。

下图为SA-2001的前面板示意图：将网线接入到E0/0。

防火墙的ethernet0/0接口配有默认IP地址192.168.1.1/24，但该端口没有设置为DHCP服务器为客户端提供IP地址，因此需要将PC机的IP地址设置为同一网段，例如192.168.1.2/24才干连上防火墙。

通过IE打开192.168.1.1，然后输入默认的用户名和密码（均为hillstone）登录后的首页面。

可以看到CPU、内存、会话等使用情况。

很多品牌的防火墙或者路由器等，在默认情况下内网端口都是划分好而且形成一个小型交换机的，但是hillstone的产品却需要自己手工设置。

在本文档中，我们准备将E0/0划分为UNTRUST口连接互联网，E0/1～E0/4总共4个端口我们则划到一个交换机中并作为TRUST口连接内网。

在网络－接口界面中，新建一个bgroup端口，该端口是一个虚拟的端口。

因为bgroup1接口需要提供路由功能，因此需要划入到三层平安域（trust）中。

输入由集团信息中心提供的IP地址。

在管理设置中，尽量将各个管理功能的协议打开，尤其是HTTP功能。

建好bgroup1之后，对网络－接口页面中的e0/1～e0/4分别修改，依次将它们划归为bgroup1。

设置好交换机功能后，还需要设置DHCP功能，以便PC机接入时可以自动获取IP地址。

新建一个DHCP地址池根据集团信息中心提供的IP地址段设置IP地址池。