下载文档原格式
Hillstoneဝᆀపࣶਖ਼ڔཝᆀਈ౫ᐱ模块၄ݿྟୈۈ۾:StoneOS 4.0R4产品中有毒有害物质或元素的名称及含量有毒有害物质或元素部件名称铅 汞 镉 六价铬多溴联苯 多溴二苯醚金属零部件(包括紧固件)²|||||印刷电路板组件和元件²|||||线缆和线缆组件²|||||塑料和聚合物²|||²²除印刷电路板以外的其它电子组件²||||| |:代表此种部件的所有均质材料中所含有的该种有毒有害物质均低于中华人民共和国信息产业部颁布的《电子信息产品中有毒有害物质的限量要求》(SJ/T11363-2006)规定的限量。
²:代表此种部件的所有均质材料中,至少有一类材料其所含有的有毒有害物质高于中华人民共和国信息产业部颁布的《电子信息产品中有毒有害物质的限量要求》(SJ/T11363-2006)规定的限量。
注:并非上述所有部件都含有在内装产品中。
所有产品及其部件的环保实用期限均由此符号表示。
此环保使用期限只适用于该手册中所规定的正常使用条件。
前言内容简介感谢您选用Hillstone Networks的网络安全产品。
本手册为Hillstone 山石网科多核安全网关扩展模块手册,能够帮助用户正确使用Hillstone安全网关的各种扩展模块。
本手册的内容包括:•第1章扩展模块介绍•第2章扩展模块的安装与拆卸•第3章扩展模块的配置与使用•第4章常见故障处理手册约定为方便用户阅读与理解,本手册遵循如下约定:•警告:表示如果该项操作不正确,可能会给安全网关或安全网关操作者带来极大危险。
因此操作者必须严格遵守正确的操作规程。
•注意:表示在安装和使用安全网关过程中需要注意的操作。
该操作不正确,可能影响安全网关的正常使用。
•说明:为用户提供有助于理解内容的说明信息。
内容目录第1章扩展模块介绍 (1)1.1.介绍 (1)1.2.前面板介绍 (1)1.3.指示灯含义 (2)1.4.SWAP按键 (3)1.5.端口属性 (3)1.5.1.千兆电口 (3)1.5.2.SFP接口 (4)1.5.3.XFP接口 (5)第2章扩展模块的安装与拆卸 (6)2.1.介绍 (6)2.2.扩展模块的安装 (6)2.3.扩展模块的拆卸 (6)第3章扩展模块的配置与使用 (7)3.1.介绍 (7)3.2.接口扩展模块的配置与使用 (7)3.2.1.支持Bypass (7)3.3.查看扩展模块的信息 (7)第4章常见故障处理 (8)第1章扩展模块介绍1.1. 介绍Hillstone山石网科多核安全网关的模块化平台产品支持多种扩展模块,包括接口扩展模块、应用处理扩展模块以及存储扩展模块,用户可根据需求选购。
Hillstone山石网科入侵防御白皮书Hillstone山石网科入侵防御白皮书1. 概述互联网的发展趋势表明:1. 网络攻击正逐渐从简单的网络层攻击向应用层转变,单纯的防火墙功能已经不能满足当下应用安全的需求。
旁路的入侵检测方式又不能满足对攻击源实时屏蔽的需求,与防火墙联动的入侵检测一直没有标准的联动协议来支撑。
入侵检测解决方案正在被入侵防御取代。
2. 安全漏洞、安全隐患的发生似乎是不可避免的,互联网的应用和业务却正在爆炸式的增长。
应用类型在增加,应用特征却更复杂,比如现在有很多应用都是基于HTTP等基础协议,让传统基于端口来识别应用的入侵防御解决方案已经不能适用。
如何识别出这些新的应用,从而去检测防御针对这些应用的攻击,是新一代入侵检测网关需要解决的问题。
3. 网络带宽在增加,应用类型在增加,应用协议在复杂化,攻击类型在增加,攻击方式在隐蔽化。
传统入侵防御设备受限于自身处理能力,已经不能胜任这样的趋势,如何去进行深度应用分析、深度攻击原理分析,也许所有的厂家都知道简单的攻击特征匹配已经不能满足时下用户对入侵防御漏判误判的要求,却受限与设备自身的处理能力,从而误判漏判的行为时有发生。
Hillstone山石网科的入侵防御是基于多核plus® G2架构、全并行的流检测引擎和基于攻击原理的入侵防御检测引擎。
基于多核plus®G2的安全架提供了高性能的入侵防御解决发难,并为入侵防御需要的深度应用分析和攻击原理分析提供了强劲的处理能力。
全并行流检测引擎则使用较少的系统资源,并且在并行扫描会话和开启其他多项应用处理功能提供了高可用性。
基于攻击原理的入侵防御有助于提高攻击检测率和降低攻击误判率。
Hillstone山石网科入侵防御解决方案具有以下特性:●基于深度应用识别,积极防范复杂应用攻击●基于多核Plus® G2构架满足深度应用分析、入侵防御功能的高CPU和高内存资源需求●基于深度应用原理、攻击原理的入侵防御解决方案●支持HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、Hillstone山石网科入侵防御白皮书FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBOIS、TFTP等多种常见的应用和协议的攻击防护。
Version5.5R9FTechDocs|F版本新功能说明概述《StoneOS5.5R9F版本新功能说明》是StoneOS手册的补充说明。
本手册以StoneOS5.5R9版本的手册为基础,添加了后续版本在新功能操作方面的新增和修改。
l StoneOS5.5R9F4l StoneOS5.5R9F3l StoneOS5.5R9F2l StoneOS5.5R9F1F版本新功能说明概述2What's Newl StoneOS5.5R9F4(2022.10.31)l StoneOS5.5R9F3(2022.08.12)l StoneOS5.5R9F2(2022.06.08)l StoneOS5.5R9F1(2022.03.31)StoneOS5.5R9F4本节介绍StoneOS5.5R9F4新增功能,如下:3F版本新功能说明概述F版本新功能说明概述45F版本新功能说明概述StoneOS5.5R9F3本节介绍StoneOS5.5R9F3新增功能,如下:F版本新功能说明概述67F版本新功能说明概述F版本新功能说明概述8StoneOS5.5R9F2本节介绍StoneOS5.5R9F2新增功能,如下:9F版本新功能说明概述F版本新功能说明概述10StoneOS5.5R9F1本节介绍StoneOS5.5R9F1新增功能,如下:21F版本新功能说明概述F版本新功能说明概述22StoneOS5.5R9F4新增功能SSL代理域名白名单支持自动更新WebUI查看系统信息查看系统信息,选择“系统>系统与特征库”,系统相关信息如下:StoneOS5.5R9F42324StoneOS5.5R9F4注意:除SSL代理域名白名单特征库外,仅当系统安装了某个特征库的许可证,系统信息才会显示该特征库的信息。
安装特征库的许可证,请参阅安装许可证。
更多内容,请参阅《StoneOS WebUI用户手册》中“系统管理>系统信息>查看系统信息”。
Hillstone Networks,Inc.StoneOS Getting Started Guide Version5.5R4Copyright2017Hillstone Networks,Inc..All rights reserved.Information in this document is subject to change without notice.The software described in this document is fur-nished under a license agreement or nondisclosure agreement.The software may be used or copied only in accord-ance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks,Inc.. Hillstone Networks,Inc.Contact Information:US Headquarters:Hillstone Networks292Gibraltar Drive,Suite105Sunnyvale,CA94089Phone:1-408-508-6750/about-us/contact/About this Guide:This guide describes how to get started with Hillstone Networks,Inc.StoneOS products.For more information,refer to the documentation site:.To provide feedback on the documentation,please write to us at:***********************Hillstone Networks,Inc.TWNO:TW-GSG-UNI-5.5R4-EN-V1.0-2017/1/20ContentsContents1 Chapter1Getting Started Guide1 Initial Visit to Web Interface2 Preparing the StoneOS System4 Installing Licenses4 Creating a System Administrator4 Adding Trust Hosts5 Upgrading StoneOS Firmware6 Updating Signature Database6 Connecting to Internet Under Routing Mode7 Restoring to Factory Settings11 Restoring using a pin11 Restoring via WebUI11TOC-1Chapter1Getting Started GuideThis guide helps you to go through initial configuration and basic set-up of Hillstone devices.The intended reader is your company's network administrator.This guide is used when you have finished mounting your device.After following the steps in this guide,your private network will be able to access Internet.For security functions,you will need to read the User Guide(WebUI UserGuide or CLI User Guide).You may configure your firewall in the following sequence:1."Initial Visit to Web Interface"on Page22."Preparing the StoneOS System"on Page4,including:l"Installing Licenses"on Page4l"Creating a System Administrator"on Page4l"Adding Trust Hosts"on Page5l"Upgrading StoneOS Firmware"on Page6l"Updating Signature Database"on Page63."Connecting to Internet Under Routing Mode"on Page74."Restoring to Factory Settings"on Page11Chapter1Getting Started Guide1Initial Visit to Web InterfaceInterface eth0/0is configured with IP address192.168.1.1/24by default,it is open to all connection types.For the ini-tial visit,use this interface.To visit the web interface for the first time:1.Go to your computer's Ethernet properties,set the IPv4protocol as below.2.Connect an RJ-45Ethernet cable from your computer to the eth0/0of the device.3.In your browser's address bar,type"http://192.168.1.1"and press Enter.4.In the login interface,type the default username and password:hillstone/hillstone.5.At the first sign of address,the user needs to read and accept the EULA( end-user license agreements),click2Chapter1Getting Started GuideEULA to view the details of EULA.6.Click Login,and the device's system will initiate.Chapter1Getting Started Guide3Preparing the StoneOS SystemInstalling LicensesLicenses control features and performance.Before installing any license,you must have obtained the license code from sales person.To install a license:1.Go to System>License.2.Choose one of the three ways to import a license:l Upload License file:Select the radio button,click Browse,and select the license file(a.txt file).l Manual Input:Select the radio button,and paste the license code into the text box.l Online Install:Select the Online Install radio button and click the Online Install button,your pur-chased licenses will be automatically installed.It should be noted that the licenses must be in activated status in the Hillstone Online Registration Platform(/reqlicense).(To activate thelicense,you need to log into the platform using your username and password of the platform.The usernameis the same as your mailbox which was provided when placing an order.Hillstone will send the password bye-mail.Then activate the licenses that need to be installed.If you purchased the device from the Hillstoneagent,please contact the agent to activate the licenses.)3.Click OK.4.To make the license take effect,reboot the system.Go to System>Device Management>Options,clickReboot.Creating a System AdministratorSystem administrator has the authority to read,write and execute all features in this system.To create a system administrator:1.Go to System>Device Management>Administrator.2.Click New,4Chapter1Getting Started Guide3.Click OK.Note:The system has a default administrator"hillstone",which cannot be deleted orrenamed.Adding Trust HostsTrust host is administrator's host.Only computers included in the trust hosts can manage the system.To add a trust host:1.Go to System>Device Management.2.Select Trust Host tab,and click New.In the Trust Host Configuration dialog box,enter valueChapter1Getting Started Guide53.Click OK.Upgrading StoneOS FirmwareNote:Back up your configuration files before upgrading your system.To upgrade your system firmware:1.Go to System>Upgrade Management.2.Select Browse and choose the new image from your local computer.3.Click Reboot to make new firmware take effect,and then click Apply.4.The system will automatically reboot when it finishes installing new firmware.Updating Signature DatabaseFeatures that require constant signature updates are license controlled.You must purchase license in order to be able to update signature libraries.By default,the system will automatically update databases on a daily basis.To update a database:1.Go to System>Upgrade Management,and click the<Signature Database Update>tab.2.Find your intended database,and choose one of the following two ways to upgrade.l Remote Update:Click Update,the system will automatically update the database.l Local Update:Select Browse to open file explorer,and select your local signature file to import it into the system.6Chapter1Getting Started GuideConnecting to Internet Under Routing ModeIn routing mode,the device is working as a gateway and router between two networks.This section shows how to con-nect and configure a new Hillstone device in route mode to securely connect the private network to Internet.To get your private network access to Internet through a Hillstone device:Step1:Connecting to the device1.Connect one port(e.g.eth0/1)of Hillstone device to your ISP network.In this way,"eth0/1"is in the untrustzone.2.Connect your internal network to another Ethernet interfaces(e.g.eth0/0)of the device.This means"eth0/0"isconnected to the trust zone.3.Power on the Hillstone device and your PCs.4.If one of the internal interfaces already has been configured with an IP address,use a browser to visit thataddress from one of your internal PCs.If it is a new device,use the methods in"Initial Visit to Web Interface"on Page2to visit.5.Enter"hillstone"for both username and password.Step2:Configuring interfaces1.Go to Network>Interface.Chapter1Getting Started Guide72.Double click eth0/1.3.Click OK.Step3:Creating a NAT rule to translate internal IP to public IP1.Go to Policy>NAT>SNAT.2.Select New3.Click OK.Step4:Creating a security policy to allow internal users access Internet.1.Go to Policy>Security Policy.2.Click New.3.Click OK.Step5:Configuring a default route1.Go to Network>Routing>Destination Route.2.Click New.3.Click OK.Restoring to Factory SettingsNote:Resetting your device will erase all configurations,including the settings that have beensaved.Please be cautious!To restore to factory's default settings,you may use one of the following two ways:l"Restoring using a pin"on Page11l"Restoring via WebUI"on Page11Restoring using a pinTo restore to factory default:1.Power off the device.e a pin to press the CLR pinhole on the front panel;keep pressing and power on the devcie.3.Keep pressing until the STA and ALM indicators on the front panel turn constant red;release the pin.The systemwill start to reset itself.4.When restoring is complete,the system will reboot automatically.Restoring via WebUITo restore to factory settings using Web interface:1.Go to System>Configuration File Management.2.Click Backup Restore.3.In the prompt,click Restore.4.Click OK to confirm.5.The device will automatically reboot and be back to factory settings.。
Hillstone Networks,Inc.云·格CloudHive安全产品部署手册Version2.3Copyright2016Hillstone Networks,Inc..All rights reserved.Information in this document is subject to change without notice.The software described in this document is furnished under a license agreement or nondisclosure agreement.The software may be used or copied only in accordance with the terms of those agreements.No part of this publication may be reproduced, stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks,Inc..Hillstone Networks,Inc.联系信息公司总部(北京总部):地址:北京市海淀区宝盛南路1号院20号楼5层邮编:100192联系我们:/about/contact_Hillstone.html关于本手册本手册介绍Hillstone Networks,Inc.云·格CloudHive安全产品的安装部署方法。
Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS(TFTP) (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (42)一对多映射(服务器负载均衡) (45)第4章链路负载均衡 (47)链路负载均衡介绍 (47)基于目的路由的负载均衡 (48)基于源路由的负载均衡 (49)智能链路负载均衡 (49)第5章QoS配置 (52)QoS介绍 (52)IP QoS配置 (52)应用QoS配置 (54)混合QoS配置 (57)QoS白名单配置 (58)第6章网络行为控制 (59)URL过滤(有URL许可证) (59)配置自定义URL库 (62)URL过滤(无URL许可证) (63)网页关键字过滤 (64)网络聊天控制 (68)第7章VPN高级配置 (71)基于USB Key的SCVPN配置 (71)新建PKI信任域 (71)配置SCVPN (76)制作USB Key (77)使用USB Key方式登录SCVPN (79)PnPVPN (81)用户配置 (82)IKE VPN配置 (83)隧道接口配置 (87)路由配置 (88)策略配置 (89)PnPVPN客户端配置 (90)第8章高可靠性 (92)高可靠性介绍 (92)高可靠性配置 (93)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册,对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍,帮助用户快速掌握安全网关的WebUI配置。
Version5.5R8Copyright2020Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is furnished under a license agreement or nondisclosure agreement.The software may be used or copied only in accordance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hill-stone Networks.Hillstone Networks本文档禁止用于任何商业用途。
联系信息北京苏州地址:北京市海淀区宝盛南路1号院20号楼5层地址:苏州高新区科技城景润路181号邮编:100192邮编:215000联系我们:/about/contact_Hillstone.html关于本手册本手册介绍山石网科的产品系统的使用方法。
获得更多的文档资料,请访问:https://针对本文档的反馈,请发送邮件到:*************************山石网科https://TWNO:TW-CUG-UNI-VSY-5.5R8-CN-V1.0-11/11/2020目录目录1关于本手册1手册约定1内容约定1CLI约定1命令行接口(CLI)2CLI介绍2命令模式和提示符2执行模式2全局配置模式2子模块配置模式3CLI命令模式切换3命令行错误信息提示3命令行的输入4命令行的缩写形式4自动列出命令关键字4自动补齐命令关键字4命令行的编辑4查看历史命令4快捷键5过滤CLI输出信息5分页显示CLI输出信息6设置终端属性7设置连接超时时间7重定向输出7诊断命令8虚拟系统9 VSYS对象9根VSYS和非根VSYS9管理员10 VRouter、VSwitch、安全域和接口12共享VRouter12共享VSwitch13共享域13共享接口13创建接口13配置VSYS13创建非根VSYS14配置非根VSYS的描述信息14创建VSYS Profile14设置资源配额15设置日志的缓存配额17配置URL过滤18配置入侵防御19配置病毒过滤19配置边界流量过滤20配置QoS20启用/禁用CPU资源配额21绑定Profile到VSYS21进入非根VSYS22配置共享属性22导入/导出物理接口23分配逻辑接口23绑定监测对象23监测指定VSYS状态24回退配置信息(非根VSYS)24退出配置回滚模式25配置退出配置回滚模式的动作26配置VSYS日志功能26配置跨VSYS转发功能27开启跨VSYS转发功能27配置Simple-Switch27创建Simple-Switch27绑定二层安全域到Simple-Switch28创建VWANIF接口28创建VPort接口29配置VWANIF接口29分配VWANIF接口29显示跨VSYS转发功能信息29显示VWANIF接口配置信息30显示VWANIF接口IPv6配置信息30显示VSYS信息30显示VSYS Profile信息30 VSYS配置举例30例1:VSYS在三层流量转发中的应用(通过单一VSYS)31组网需求31配置步骤31例2:VSYS在三层流量转发中的应用(通过共享VRouter)33组网需求33配置步骤34例3:VSYS在二层流量转发中的应用(通过共享VSwitch)37组网需求37配置步骤38例4:跨VSYS的流量转发(通过Simple-Switch)42组网需求42配置步骤43关于本手册手册约定为方便用户阅读与理解,本手册遵循以下约定:内容约定本手册内容约定如下:l提示:为用户提供相关参考信息。
Hi StoneOS安全模式山石网科通信技术(北京)有限公司Hillstone防火墙技术StoneOS安全模式1. 介绍传统防火墙通常可以在两种模式下进行操作:NAT/路由模式和透明模式。
NAT/路由模式部署灵活,并且支持防火墙和路由器两种设备的功能。
尽管如此,许多希望通过最少的网络中断而实现安全保护的客户却会选择透明模式。
随着二层与三层转换的扩展,安全集成到网络中变成一个更加困难的选择。
那么,在哪里部署能够控制所有二层和三层的所有类型流量的安全功能呢?Hillstone的StoneOS提供了一个强大的安全平台,它为安全管理者提供了“集成安全控制和网络管理的底层网络结构”。
StoneOS通过将网络功能从安全功能中分离出来,扩展了NAT/路由模式。
这样,用户就可以在一个完全灵活的环境下使用NAT功能。
StoneOS通过引入专有的Virtual Switch(虚拟交换机)的概念极大地扩展了透明模式。
在二层,用户可以定义VLAN域,并且可以将不同的安全策略应用到每一个VLAN。
StoneOS还拥有重新标记VLAN tag功能,这种功能只有高端的交换机才能实现。
StoneOS混合模式将NAT/路由模式与透明模式结合到同一个设备上。
根据配置的安全策略,部分数据在二层进行处理,而其它数据进行三层处理。
这个强大的功能将路由器和交换机的功能进行完美结合,并且能够降低网络部署的复杂性。
2. NAT/路由模式路由在NAT/路由模式下,设备被划分为多个三层域。
流量会在三层域之间进行转发,并且被转发的流量会被进行安全检查。
对于路由模式,IP地址不会被转换。
对于NAT模式,IP数据包在不同域间转发的过程中,其IP地址和端口号可以被转换。
Hillstone设备将安全管理从网络管理中分离出来。
Hillstone NAT策略是网络管理的一部分,用户可以基于特定接口或者五元组(IP地址、端口号和服务)进行灵活配置,或者将两者相结合。
Hillstone Networks Inc.StoneOS 日志信息参考指南Version 5.5R6Copyright 2018 Hillstone Networks Inc. All rights reserved.Information in this document is subject to change without notice. The software described in this document is furnished under a license agreement or nondisclosure agreement. The software may be used or copied only in accordance with the terms of those agreements. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form or any means electronic or mechanical, including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks Inc.Hillstone Networks Inc联系信息公司总部(北京总部):地址:北京市海淀区宝盛南路1号院20号楼5层邮编:100192联系我们:/about/contact_Hillstone.html关于本手册本手册介绍Hillstone Networks公司的防火墙系统StoneOS的日志信息。
Hillstone SR系列安全路由器用户手册山石网科通信技术(北京)有限公司SR500/300-UG1207-1.0C前言手册内容首先感谢您使用山石网科的网络安全产品。
本手册为Hillstone SR系列安全路由器的用户手册,对安全路由器的使用与配置做了详细的介绍。
本手册的内容包括以下八章:•第1章:产品介绍。
概括介绍产品,包括产品功能和产品系列。
•第2章:登录安全路由器。
怎样登录安全路由器以及安全路由器主页介绍。
•第3章:系统配置。
怎样配置安全路由器系统,如管理员配置、系统升级、时间失去配置和系统日志功能配置等。
•第4章:网络配置。
怎样配置安全路由器接口和路由功能。
•第5章:防火墙配置。
怎样配置安全路由器的防火墙功能。
•第6章:带宽管理。
怎样配置安全路由器的带宽管理功能。
•第7章:应用安全。
怎样对各种应用进行控制保证网络安全。
•第8章:系统监控。
监控系统状态,包括硬件监控、流量监控以及日志监控。
手册约定为方便用户阅读与理解,本手册遵循以下约定:•提示:为用户提供相关参考信息。
•说明:为用户提供有助于理解内容的说明信息。
•注意:如果该操作不正确,会导致系统出错。
•『』:用该方式表示安全路由器WebUI界面上的链接、标签或者按钮。
例如,“点击『登录』按钮进入安全路由器的主页”。
•< >:用该方式表示WebUI界面上提供的文本信息,包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。
例如,“改变MTU值,选中<手动>单选按钮,然后在文本框中输入合适的值”。
•WebUI界面的『确定』按钮:保存所做配置并且返回主配置页面。
•WebUI界面的『应用』按钮:保存当前所做配置。
•WebUI界面的『取消』按钮:清除当前所做配置并且返回主配置页面。
•手册中所使用图片均以SR-550为例。
内容目录第1章 产品介绍 (1)产品概述 (1)SR产品系列介绍 (1)功能介绍 (1)第2章 登录安全路由器 (3)登录安全路由器 (3)主页介绍 (4)主菜单 (4)主页配置页面 (6)系统状态信息 (6)资源状态信息 (6)广域网接口配置信息 (6)局域网接口配置信息 (8)系统日志信息 (8)功能链接 (9)主页信息刷新功能 (9)第3章 系统配置 (11)系统配置介绍 (11)配置系统管理员 (11)更改主机名称 (11)新建/编辑/删除系统管理员 (11)新建系统管理员 (11)编辑/删除系统管理员 (12)新建/编辑/删除可信主机 (13)新建可信主机 (13)编辑/删除可信主机 (14)上载/保存系统配置文件 (14)上载配置文件 (14)保存系统配置文件 (14)恢复出厂配置 (15)升级设备操作系统 (15)配置系统时间和时区 (15)配置SNMP (16)配置系统日志服务 (17)配置系统日志服务器 (17)Email通知 (18)诊断系统故障 (18)第4章 网络配置 (20)网络配置介绍 (20)配置安全路由器接口 (20)多功能端口设置(SR-530) (21)配置端口(SR-330) (21)配置WAN口 (22)WAN口基本配置 (22)DDNS功能配置 (26)网络可达性监控配置 (26)WAN口接口备援配置 (27)配置LAN口 (28)LAN口的端口分配 (29)LAN口的基本配置 (31)DHCP中继配置 (32)DHCP服务器配置 (32)配置DMZ口 (34)配置镜像端口(SR-550和SR-330) (35)配置路由功能 (35)静态路由配置 (36)添加静态路由表项 (36)动态RIP路由协议配置 (37)策略路由配置 (37)网通和电信策略路由配置 (38)策略路由配置 (38)配置端口映射功能 (39)第5章 防火墙配置 (42)防火墙配置介绍 (42)策略配置 (42)创建策略规则 (43)编辑策略规则 (44)修改策略规则排列顺序 (45)删除策略规则 (45)时间表配置 (45)创建周期 (45)编辑/删除周期 (47)服务簿配置 (47)预定义服务 (48)编辑预定义服务 (48)用户自定义服务 (49)创建用户自定义服务 (49)编辑/删除用户自定义服务 (51)服务组 (51)创建服务组 (52)编辑/删除服务组 (53)第6章 带宽管理 (54)带宽管理介绍 (54)带宽配置 (54)带宽策略 (55)会话控制 (56)不受限IP地址 (57)流量均衡 (57)第7章 应用安全 (59)应用安全介绍 (59)攻击防护 (59)选择源组 (59)开启所有攻击防护功能 (60)ARP欺骗攻击防护 (60)洪水攻击防护 (61)MS-Windows防护 (62)扫描/欺骗防护 (62)拒绝服务攻击防护 (63)代理 (64)协议异常 (65)IP-MAC地址绑定 (65)动态IP-MAC地址 (65)ARP学习功能 (66)ARP扫描功能 (66)静态IP-MAC地址绑定 (66)IP-MAC信息列表 (67)导入/导出IP-MAC列表 (68)P2P管理 (69)IM管理 (69)内容过滤 (70)不受限IP (71)第8章 系统监控 (73)系统监控介绍 (73)硬件信息 (73)硬件信息刷新 (74)流量监控 (75)基于IP的会话监控 (75)基于应用的会话监控 (76)页面信息刷新 (76)系统日志 (77)查看日志信息 (77)第1章产品介绍产品概述Hillstone SR系列安全路由器是山石网科通信技术(北京)有限公司自主开发、拥有知识产权的新一代高性能纯硬件网络安全产品,能够为企业、政府机关、教育机构和网吧等用户的网络安全问题提供安全高速解决方案。
Hillstone⼭⽯⽹科防⽕墙⽇常运维操作⼿册⽬录⼀、设备基础管理 (1)1.1设备登录 (1)1.1.1 通过CLI管理设备 (1)1.1.2 通过WebUI管理设备 (2)1.2管理员帐号及权限设置 (4)1.2.1 新增管理员 (4)1.2.1 修改管理员密码 (5)1.3 License安装 (6)1.4设备软件升级 (7)1.5设备配置备份与恢复 (9)1.5.1 备份设备配置 (9)1.5.2 恢复设备配置 (12)1.6系统诊断⼯具的使⽤ (14)⼆、对象配置 (16)2.1 配置地址薄 (16)2.2 配置服务簿 (17)三、⽹络配置 (21)3.1 配置安全域 (21)3.2 配置接⼝ (22)3.3 配置路由 (23)3.4 配置DNS (24)四、防⽕墙配置 (26)4.1 配置防⽕墙策略 (26)4.1.1 新增防⽕墙安全策略 (26)4.1.2 编辑防⽕墙安全策略 (27)4.2 配置NAT (28)4.2.1 配置源NAT (28)4.2.2 配置⽬的NAT (31)4.3 防⽕墙配置举例 (35)五、QOS配置 (44)5.1 配置IP QOS (45)5.2 配置应⽤QOS (46)六、常⽤⽇志配置 (48)⼀、设备基础管理1.1设备登录安全⽹关⽀持本地与远程两种环境配置⽅法,可以通过CLI 和WebUI 两种⽅式进⾏配置。
CLI同时⽀持Console、telnet、SSH 等主流通信管理协议。
1.1.1 通过CLI管理设备通过Console ⼝配置安全⽹关时需要在计算机上运⾏终端仿真程序(系统的超级终端、SecureCRT等)建⽴与安全⽹关的连接,并按如下表所⽰设置参数(与连接Cisco设备的参数⼀致):通过telnet或者SSH管理设备时,需要在相应接⼝下启⽤telnet或SSH 管理服务,然后允许相应⽹段的IP管理设备(可信主机)。
对接⼝启⽤telnet或SSH管理服务的⽅法如下:⾸先在⽹络—>⽹络连接模式下的页⾯下⽅勾选指定接⼝,点击图⽰为的编辑按钮,然后在弹出的接⼝配置窗⼝中对接⼝启⽤相应的管理服务,最后确认即可:1.1.2 通过WebUI管理设备WebUI同时⽀持http和https两种访问⽅式,⾸次登录设备可通过默认接⼝ethernet0/0 (默认IP 地址192.168.1.1/24,该接⼝的所有管理服务默认均已被启⽤)来进⾏,登录⽅法为:1. 将管理PC 的IP 地址设置为与192.168.1.1/24 同⽹段的IP 地址,并且⽤⽹线将管理PC与安全⽹关的ethernet0/0 接⼝进⾏连接。
一、产品外观二、场景说明酒店网络信息:酒店编号:000000IP: 124.237.87.30Mask:255.255.255.252Gateway: 124.237.87.29DNS:222.222.202.202备用DNS:222.222.222.222酒店内网信息:IP:10.35.58.0/24(办公网段)IP:172.16.0.0/24(客房网段)MAC:00-2B-2B-68-5C-4F酒店带宽:20MBHillstone版本信息:Hillstone StoneOS Software Version 5.0三、登录WebUI配置界面安全网关设备的e0/0接口配有默认IP地址192.168.1.1,该接口的各种管理功能均为开启状态。
初次使用可以通过该接口管理设备,具体操作为:将管理PC的IP地址设置为与192.168.1.1/24同网段的IP地址,打开PC的Web浏览器,输入http://192.168.1.1。
设备默认管理员用户名及密码均为“hillstone”四、设备配置1.配置网络>网络连接>eth0/1(外网)>编辑:常规:绑定安全域选择三层安全域安全域选择untrustIP配置:类型选择静态IPIP:124.237.87.30网络掩码:255.255.255.252网络>网络连接>eht0/2(办公)>操作:名字和类型:绑定安全域选择三层安全域安全域选择dmzIP配置:类型选择静态IPIP/网络掩码:10.35.58.1/24网络>网络连接>eht0/3(客房)>操作:名字和类型:绑定安全域选择三层安全域安全域选择trustIP配置:类型选择静态IPIP/网络掩码:172.16.0.1/24管理:只选择Ping2.路由配置网络>路由>目的路由>新建:目的IP:0.0.0.0子网掩码:0.0.0.0下一跳选择网关网关:124.237.87.293.DHCP配置办公网络网络>网络连接>DHCP列表:基本配置:接口:ethernet0/2类型:DHCP服务器网关:10.35.58.1掩码:255.255.255.0DNS1: 222.222.202.202 DNS2: 222.222.222.222起始IP地址:10.35.58.40 结束IP地址:10.35.58.150 高级配置:租约:86400客房网络网络>网络连接>DHCP列表:接口:ethernet0/3类型:DHCP服务器网关:172.16.0.1掩码:255.255.255.0DNS1: 222.222.202.202DNS2: 222.222.222.222起始IP地址:172.16.0..20结束IP地址:172.16.0..254高级配置:租约:864004.DNS配置网络>网络连接>DNS列表>新建:服务器IP:222.222.202.202网络>网络连接>DNS列表>新建:服务器IP:222.222.222.2225.策略配置安全>策略>新建:Trust->untrust名称:Trust->untrust源安全域:trust源地址:any目的安全域:untrust目的地址:any服务簿:any行为:允许Trust->dmz名称:Trust->dmz源安全域:trust源地址:any目的安全域:dmz目的地址:any服务簿:any行为:拒绝Dmz->trust名称:Dmz->trust源安全域:dmz源地址:any目的安全域:trust服务簿:any行为:允许dmz->untrst名称:dmz->untrst源安全域:dmz源地址:any目的安全域:untrust目的地址:any服务簿:any行为:允许Untrust->trust名称:Untrust->trust源安全域:untrust源地址:any目的安全域:trust目的地址:any服务簿:any行为:允许Untrust->dmz名称:Untrust->dmz源安全域:untrust源地址:any目的安全域:dmz目的地址:any服务簿:any行为:允许6.NAT配置网络>NAT>源NAT>新建>源地址:地址条目目的地址:地址条目地址条目:any出接口:eth1转换为:出接口IP模式:动态端口7.限速控制>流量管理>应用Qos>新建规则名称:bangong限流对象:ethernet0/2匹配条件:P2P流媒体;p2p软件;迅雷*等。
Hillstone山石网科 入侵防御配置手册V5.5版本Hillstone Networks Inc.服务热线:400 828 6655目录1设备管理 (3)1.1终端console登录 (3)1.2网页WebUI登录 (3)1.3设备系统(StoneOS)升级 (5)1.3.1通过WebUI升级 (5)1.4许可证安装 (5)1.4.1CLI命令行安装 (5)1.4.2WebUI安装 (6)2基础上网配置 (6)2.1接口配置 (6)2.2路由配置 (8)2.3策略配置 (9)3入侵防御功能配置 (11)3.1防火墙联动配置 (11)3.2入侵防御配置 (12)3.3高级配置 (14)3.3.1配置协议特征库 (15)3.3.2自定义威胁特征库 (16)1设备管理设备支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。
CLI同时支持Console、Telnet、SSH等主流通信管理协议。
1.1终端console登录通过Console 口配置设备时需要在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与设备的连接,并按如下表所示设置参数(与连接Cisco设备的参数一致):1.2网页WebUI登录WebUI同时支持http和https两种访问方式,首次登录设备可通过默认接口ethernet0/0来进行,登录方法为:1. 将管理PC的IP地址设置为与192.168.1.1/24 同网段的IP 地址,并且用网线将管理PC与设备的ethernet0/0接口进行连接。
2. 在管理PC的Web浏览器中访问地址“http://192.168.1.1” 并按回车键。
出现的登录页面如下图所示:默认用户名:hillstone,密码:hillstone 登录后主页如下:5.5版本推荐使用chrome和IE11浏览器1.3设备系统(StoneOS)升级1.3.1通过WebUI升级A.登录设备后,依次点击“系统”→“升级管理”→“浏览”,选择本地保存的StoneOS 文件A.勾选“立即重启,使新版本生效”,然后点击“应用” 重启设备,系统将使用新的StoneOS启动1.4许可证安装1.4.1CLI命令行安装登录设备,运行命令exec license install +许可证(从“license:”开始输入完整的字符),如下图:注意:根据“info”提示,部分许可证安装后需要重启才能生效1.4.2WebUI安装登录设备,依次点击“系统”→“许可证” →“手动输入”如果收到License的是一个压缩包文件,则解压,在该页面选择“上传许可证文件”,依次选择各文件即可注意:根据WebUI提示,部分许可证安装后需要重启才能生效2基础上网配置对于一台全新或者刚刚恢复出厂的设备,如果只是需要简单的内部用户可以正常上网,只需要配置接口、路由、策略和源NAT这4项功能,以下是具体配置方法:2.1接口配置A.登录设备后,依次点击“网络”→“接口”B.选择相应的接口,点击“编辑”或者直接双击C.在接口配置界面中,选择接口的安全域类型(如果是直接连接运营商公网网线,一般是三层安全域;如果是透明部署选择二层安全域)、安全域名称(一般内网使用trust或l2-trust安全域,外网使用untrust或l2-untrust)、接口ip地址、网络掩码和接口的管理方式,最后点击“确定”注意:如果外网接口使用的是PPPoE的拨号接入,接口配置请参考文档3.1PPPoE相关配置。
Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS(TFTP) (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (41)一对多映射(服务器负载均衡) (44)第4章链路负载均衡 (46)链路负载均衡介绍 (46)基于目的路由的负载均衡 (47)基于源路由的负载均衡 (48)智能链路负载均衡 (48)第5章QoS配置 (51)QoS介绍 (51)IP QoS配置 (51)应用QoS配置 (53)混合QoS配置 (56)QoS白名单配置 (57)第6章网络行为控制 (58)URL过滤(有URL许可证) (58)配置自定义URL库 (61)URL过滤(无URL许可证) (62)网页关键字过滤 (63)网络聊天控制 (67)第7章VPN高级配置 (70)基于USB Key的SCVPN配置 (70)新建PKI信任域 (70)配置SCVPN (75)制作USB Key (76)使用USB Key方式登录SCVPN (78)PnPVPN (80)用户配置 (81)IKE VPN配置 (82)隧道接口配置 (86)路由配置 (87)策略配置 (88)PnPVPN客户端配置 (89)第8章高可靠性 (91)高可靠性介绍 (91)高可靠性配置 (92)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册,对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍,帮助用户快速掌握安全网关的WebUI配置。
Hillstone统一智能防火墙安装手册目录第1章介绍 (1)第2章准备工作 (3)第3章安装与升级 (7)安装统一智能系统软件到虚拟机 (8)升级企业安全网关到指定的系统固件 (10)第4章初始化 (12)初始化 (12)第5章登录统一智能防火墙 (17)第6章高级功能设置 (18)查看统一智能系统接口信息 (18)配置统一智能系统接口 (18)修改统一智能系统登录密码 (18)升级统一智能防火墙 (18)通过WebUI升级 (18)通过CLI升级 (20)升级或回退企业安全网关的系统固件 (20)删除统一智能系统 (21)查看统一智能系统软件的版本及企业安全网关系统固件的版本 (21)配置可信主机 (21)智一能系统与企业安全网关连接通道的加密 (22)关于本手册手册内容该文档介绍统一智能防火墙的安装部署,具体内容包括:♦第1章介绍♦第2章准备工作♦第3章安装与升级♦第4章初始化♦第5章登录统一智能防火墙♦第6章高级功能设置手册约定为方便用户阅读与理解,本手册遵循以下约定:内容约定本手册内容约定如下:♦提示:为用户提供相关参考信息。
♦说明:为用户提供有助于理解内容的说明信息。
♦注意:如果该操作不正确,会导致系统出错。
♦『』:用该方式表示Hillstone设备WebUI界面上的链接、标签或者按钮。
例如,“点击『登录』按钮进入Hillstone设备的主页”。
♦< >:用该方式表示WebUI界面上提供的文本信息,包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。
例如,“改变MTU值,选中<手动>单选按钮,然后在文本框中输入合适的值”。
CLI约定本手册在描述CLI时,遵循以下约定:♦大括弧({ }):指明该内容为必要元素。
♦方括弧([ ]):指明该内容为可选元素。
♦竖线(|):分隔可选择的互相排斥的选项。
♦粗体:粗体部分为命令的关键字,是命令行中不可变部分,用户必须逐字输入。
Hillstone山石网科 入侵防御配置手册V5.5版本Hillstone Networks Inc.服务热线:400 828 6655目录1设备管理 (3)1.1终端console登录 (3)1.2网页WebUI登录 (3)1.3设备系统(StoneOS)升级 (5)1.3.1通过WebUI升级 (5)1.4许可证安装 (5)1.4.1CLI命令行安装 (5)1.4.2WebUI安装 (6)2基础上网配置 (6)2.1接口配置 (6)2.2路由配置 (8)2.3策略配置 (9)3入侵防御功能配置 (11)3.1防火墙联动配置 (11)3.2入侵防御配置 (12)3.3高级配置 (14)3.3.1配置协议特征库 (15)3.3.2自定义威胁特征库 (16)1设备管理设备支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。
CLI同时支持Console、Telnet、SSH等主流通信管理协议。
1.1终端console登录通过Console 口配置设备时需要在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与设备的连接,并按如下表所示设置参数(与连接Cisco设备的参数一致):1.2网页WebUI登录WebUI同时支持http和https两种访问方式,首次登录设备可通过默认接口ethernet0/0来进行,登录方法为:1. 将管理PC的IP地址设置为与192.168.1.1/24 同网段的IP 地址,并且用网线将管理PC与设备的ethernet0/0接口进行连接。
2. 在管理PC的Web浏览器中访问地址“http://192.168.1.1” 并按回车键。
出现的登录页面如下图所示:默认用户名:hillstone,密码:hillstone 登录后主页如下:5.5版本推荐使用chrome和IE11浏览器1.3设备系统(StoneOS)升级1.3.1通过WebUI升级A.登录设备后,依次点击“系统”→“升级管理”→“浏览”,选择本地保存的StoneOS 文件A.勾选“立即重启,使新版本生效”,然后点击“应用” 重启设备,系统将使用新的StoneOS启动1.4许可证安装1.4.1CLI命令行安装登录设备,运行命令exec license install +许可证(从“license:”开始输入完整的字符),如下图:注意:根据“info”提示,部分许可证安装后需要重启才能生效1.4.2WebUI安装登录设备,依次点击“系统”→“许可证” →“手动输入”如果收到License的是一个压缩包文件,则解压,在该页面选择“上传许可证文件”,依次选择各文件即可注意:根据WebUI提示,部分许可证安装后需要重启才能生效2基础上网配置对于一台全新或者刚刚恢复出厂的设备,如果只是需要简单的内部用户可以正常上网,只需要配置接口、路由、策略和源NAT这4项功能,以下是具体配置方法:2.1接口配置A.登录设备后,依次点击“网络”→“接口”B.选择相应的接口,点击“编辑”或者直接双击C.在接口配置界面中,选择接口的安全域类型(如果是直接连接运营商公网网线,一般是三层安全域;如果是透明部署选择二层安全域)、安全域名称(一般内网使用trust或l2-trust安全域,外网使用untrust或l2-untrust)、接口ip地址、网络掩码和接口的管理方式,最后点击“确定”注意:如果外网接口使用的是PPPoE的拨号接入,接口配置请参考文档3.1PPPoE相关配置。
2.2路由配置A.依次点击“路由”→“目的路由”→“新建”B.依次填写“目的地”→“子网掩码”→“网关”C.点击“确定”,新建成功注意:实例配置为默认路由,如果需要添加明细路由,请在第三步更改目的地与子网掩码。
2.3策略配置A.依次点击“策略”→“安全策略”→“新建”B.默认配置亦可,源目的安全域、源目的地址、服务为“any”,操作为“允许”C.点击“确定”,新建成功址是内网地址网段。
3入侵防御功能配置3.1防火墙联动配置当NIPS设备工作在旁路模式时,可在旁路接口配置与防火墙联动功能。
当对应入侵防御规则检测出威胁,并且对应行为为阻断IP或者阻断服务时,会将阻断的IP或者服务发给对应防火墙设备。
A.首先需要获取出口NGFW防火墙的IP地址和用户名密码。
假设NGFW的出口的IP地址为192.168.1.100,用户名和密码均为hillstone。
B.通过命令行CLI,如SSH、TELNET等方式登录设备,并输入“config”,进入config 模式。
C.确认旁路部署的接口,如ethernet0/1,旁路的接口安全域为“TAP”。
通过“网络”-“接口”可以查看相关配置。
本次项目中均为“xethernet2/0”和“xethernet2/1”。
D.通过“interface xethernet2/0”命令进入该接口模式下,进行配置,输入以下命令即可“tap firewall ip 192.168.1.100 username hillstone password hillstone”,其中根据具体情况替换防火墙IP地址和用户名密码即可。
E.配置完成后,即可与出口防火墙保持联动,保持配置,输入“save”,连续选择Y,即可。
3.2入侵防御配置入侵防御系统(Intrusion Prevention System)简称IPS,能够实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作。
系统的入侵防御功能能够实现完整的基于状态的检查,从而极大降低误报率。
当设备开启多项应用层数据检测功能时,启用入侵防御功能不会导致设备性能的明显下降。
另外,系统每天通过特征服务器自动更新特征库,保证特征的完整性和正确性。
•如接口开启了IPv6功能,IPS支持对IPv6地址进行扫描。
系统的入侵防御功能对协议的检测流程包括两部分,分别是协议解析和引擎匹配。
•协议解析过程对协议进行分析,发现协议异常后,系统会根据配置处理数据包(记录日志、阻断、屏蔽),并产生日志信息报告给管理员,系统生成的威胁日志信息详情中包含"威胁ID“,即为协议异常的特征ID,用户可以威胁日志页面查看日志的详细信息;•引擎匹配是在分析过程中提取感兴趣的协议元素交给引擎进行准确和快速的特征匹配检测,发现与特征库中特征相匹配的数据包后,系统根据配置处理数据包(记录日志、重置、屏蔽),并产生日志信息报告给管理员。
系统生成的威胁日志信息详情中包含"威胁ID“,即为特征库中的特征ID,用户可以根据该ID查看错误的具体信息。
A.在“对象”→“入侵防御”配置界面下,可查看当前入侵防御内置模板以及自定义模板。
B.在页面中选择点击新建,可以选择对应的协议进行防护。
C.进入“网络”-“安全域”,选择需要防护的安全域(旁路选择TAP安全域),双击打开、再弹出的页面,选择左侧的“威胁防护”,并勾选入侵防御,选择之前创建或者预定义的模板,并根据实际情况选择检测方向,点击确定。
3.3高级配置3.3.1配置协议特征库协议特征库的配置包括协议配置和特征配置两部分。
指定特征库下不同级别攻击特征对应的行为(记录日志、阻断、屏蔽攻击者)以及具体攻击特征对应的行为(优先级高于协议下配置的行为)。
协议配置如果需要对协议特征库进行编辑,请按照以下步骤进行操作:A.从入侵防御规则列表中规则对应的“协议类型”栏点击协议名称,打开指定协议特征库对话框。
B.点击<协议配置>标签页,配置当协议的安全级别分别在严重、警告、信息下的系统响应动作。
C.点击具体协议的<特征列表>标签页,查看或配置特征库中所有特征的具体信息。
D.点击“保存”按钮完成配置。
暗室逢灯是打发特征配置在具体协议的<特征列表>标签页,用户可以查看或配置入侵防御特征库中针对指定协议的特征具体信息,配置具体攻击特征的行为、启用/禁用某指定攻击特征。
3.3.2自定义威胁特征库为了让用户更加灵活的定义威胁特征,设备提供自定义威胁特征的功能。
A.在“对象”→“威胁防护” →“威胁防护全局列表”界面下,可以查看现有所有入侵防御特征库,并进行启用和禁用。
B.点击新建,根据具体情况,填写内容即可。
加载数据库:新建特征后,需点击“加载数据库”,才能将新建特征生效。
编辑特征:选中特征后,点击编辑。
只可编辑自定义特征。
编辑特征后,需点击“加载数据库”,才能使编辑后的特征生效。
删除特征:选中特征后,点击删除。
只可删除自定义特征。
删除特征后,需点击“加载数据库”,才能使删除后的特征失效。
启用/禁用特征:选中特征后,点击启用/禁用。
特征ID作为特征的唯一标识, 根据协议进行分类。
特征ID由两部分构成,分别为协议ID(第1位或者第1和第2位)和攻击特征ID(后5位),例如ID“605001”中,“6”表示Telnet协议,“05001”表示攻击特征ID。
攻击特征ID的第1位是“6”的为协议异常特征,其余为攻击特征。
协议ID与协议的对应关系下表所示:上表中,“Other-TCP”表示除表中已列出的标准TCP协议以外的其他TCP协议;“Other-UDP”表示除表中已列出的标准UDP协议以外的其他UDP协议。
