烯盾安全网关--管理员配置及使用手册

加密安全⽹关使⽤说明加密安全⽹关使⽤说明企业内的加密⽂件有时候需要上传到OA、PLM、SVN等系统中，希望OA等系统中保存的⽂件是明⽂的，从OA等系统中下载到本地为加密⽂件，并希望其它没有允许访问的计算机不可以访问OA等服务器，ViaControl安全⽹关功能就是为了解决这⼀问题⽽诞⽣的。

ViaControl安全⽹关，可以实现启⽤安全通讯的加密客户端上传解密下载加密。

未启⽤加密功能的客户端或者未启动安全通讯的加密客户端，不能访问受保护的OA等系统。

1⽹络架构ViaControl安全⽹关功能的⼯作模式为：⽹桥模式。

企业内的⽹络常见的⽹络简易拓扑结构：ViaControl的安全⽹关控制模式：使⽤⽹桥模式，可以对⽹络结构和配置不做任何修改，直接将安全⽹关控制设备串接进⽹络中需要进⾏控制的重要的服务器处，对通过其的⽹络通讯进⾏控制。

2 控制流程当计算机或其他⽹络终端设备，访问受安全⽹关保护的服务器时，安全⽹关会判断访问请求是否属于安全通讯。

当安装了客户端的计算机，使⽤已经启动安全通讯功能的授权软件访问时，就可以正常访问服务器。

⽽其他的计算机会被阻⽌访问服务器。

对于⼀些外来的或者特殊权限的计算机，也可以通过设置⽩名单允许未启⽤安全通讯的计算机访问服务器。

⾮法客户端安全⽹关控制器3部署3.1设备介绍ViaControl⽹络控制设备（以下称控制器），分为三个型号：2000：3个千兆⽹卡，其中管理端⼝为ETH2；3000：4个千兆⽹卡，⼀组BYPASS（ETH0和ETH1），其中管理端⼝为ETH3；4000：4个千兆⽹卡，⼀组BYPASS（ETH0和ETH1），其中管理端⼝为ETH3；说明管理端⼝的固定IP为190.190.190.190，初始配置时使⽤；BYPASS功能，可以在控制器断电或死机的情况下，将控制器所连接的两端直接物理上导通，不影响⽹络的使⽤。

3.2部署⽅式ViaControl⽹络控制器以桥接的⽅式串接⼊⽹络。

HillStone SA-2001配置手册之南宫帮珍创作1网络端口配置22防火墙设置123VPN配置144流量控制的配置245基础配置35本文是基于平安网关把持系统为进行编写, 如版天职歧, 配置过程有可能纷歧样.1 网络端口配置SA-2001平安网关前面板有5个千兆电口、1个配置口、1个CLR 按键、1个USB接口以及状态指示灯.下图为SA-2001的前面板示意图：将网线接入到E0/0.防火墙的ethernet0/0接口配有默认IP地址, 但该端口没有设置为DHCP服务器为客户端提供IP地址, 因此需要将PC机的IP地址设置为同一网段, 例如192.168.1.2/24才华连上防火墙.通过IE翻开192.168.1.1, 然后输入默认的用户名和密码（均为hillstone）登录后的首页面.可以看到CPU、内存、会话等使用情况.很多品牌的防火墙或者路由器等, 在默认情况下内网端口都是划分好而且形成一个小型交换机的, 可是hillstone的产物却需要自己手工设置.在本文档中, 我们准备将E0/0划分为UNTRUST口连接互联网, E0/1～E0/4总共4个端口我们则划到一个交换机中并作为TRUST口连接内网.在网络－接口界面中, 新建一个bgroup端口, 该端口是一个虚拟的端口.因为bgroup1接口需要提供路由功能, 因此需要划入到三层平安域（trust）中.输入由集团信息中心提供的IP地址.在管理设置中, 尽量将各个管理功能的协议翻开, 尤其是HTTP功能.建好bgroup1之后, 对网络－接口页面中的e0/1～e0/4分别修改, 依次将它们划归为bgroup1.设置好交换机功能后, 还需要设置DHCP功能, 以便PC机接入时可以自动获取IP地址.新建一个DHCP地址池根据集团信息中心提供的IP地址段设置IP地址池. 租约里尽量将时间设年夜一些, 这样在追查记录的时候, 不会因为PC机的IP地址频繁发生变更而难以追踪.确定之后, POOL1的地址则建好了, 不外, 还需要修改DNS才华让PC机可以访问到集团内网.编纂POOL1进入高级配置界面. DNS1和DNS2分别设置为集团总部的10.0.1.11和10.0.1.13两个DNS.设置完地址池之后, 需要将该地址池捆绑到bgroup1以便让bgroup1可以为PC机分配IP地址.确认以上步伐把持胜利后, 将原来连接到E0/0的网线任意拔出到E0/1~E0/4的一个端口中, 看看PC机是否可以获取到IP地址了.通过IPCONFIG/ALL命令可以看到, PC机这时候已经获取到IP及DNS了.将原来的IE浏览器关闭, 重新翻开IE浏览器、输入网关地址（即bgroup1的地址）并输入用户名密码.确认完E0/1-4的任意一个TRUST口能获取IP后, 即可修改E0/0为对外连接端口.本文档中是以E0/0为ADSL拨号连接为示例.新建一个PPPOE配置输入ADSL的用户名及密码.将自动重连间隔修改为1, 否则ADSL不会自动重拨.默认配置中, E0/0是属于trust域的, 需要将该端口修改为untrust并将PPPOE捆绑到该端口.点击网络－接口, 并修改E0/0的设置.启用设置路由.管理的协议中, 原来默认均开启了e0/0所有的管理端口, 我们可以在稍后确认所有的配置均调试完毕后关闭一些协议以增强防火墙的平安性.点击确定后, 可以看到e0/0已经划入到untrust的平安域中.2 防火墙设置源NAT规则指定是否对符合条件的流量的源IP地址做NAT转换.通过基本选项的配置指定源NAT规则中流量应符合的条件.符合条件的流量才华依照规则指定的行为进行转换.HillStone平安网关与其他品牌的防火墙在战略配置中的其中一个区别就是NAT设置.其他防火墙一般都是自动设置好, 但在HillStone中, 必需要手工将上网行为和访问内网的NAT战略明确区分才行.建立一条让项目PC可以访问互联网时进行NAT转换的战略.在防火墙－NAT－源NAT中新建一条基本配置的战略源地址选择ipv4.bgroup1_subnet, 出接口仍然是选择e0/0.行为选择NAT（出接口IP）NAT战略建立好之后, 在防火墙－战略中需要新建访问战略.源平安域选择trust, 目的平安域选择untrust, 点击新建服务簿中选择ANY, 即默认允许所有的网络应用均可使用.行为默认为允许3 VPN配置设置完网络端口的配置之后, 开始设置VPN.HillStone的VPN设置跟5GT或者FVS114有点区别, 需要手工先设置合适的P1提议和P2提议.点击VPN－IPSec VPN.在P1提议中新建一个提议, 如gemdale-p1.集团现在均使用pre-shared key-MD5-3DES-Group2的加密战略.同样的方式再新建一个P2.选用ESP-MD5-3DES-No PFS新建完P1和P2之后, 开始新建一个IPSec VPN.在IKE VPN列表中点新建输入对端名称gemdale（可以随便起名, 分歧防火墙设备均可以设置相同的名字.为方便识别, 这里可以统一设置为gemdale）.接口设置为对外连接的端口－E/0. 模式为野蛮模式（aggressive mode）.静态IP61.144.195.60指向集团总部防火墙.本地ID一定要设置, 一般由集团信息中心提供（常为城市＋项目名＋用途, 如上海赵巷项目部为shzhaoxxmb）.对端ID可以不用设置.提议1则选用前面新增的gemdale-p1.共享密钥为便于记忆可以设置与本地ID一致.（这些设置均须与集团信息中心协商）点击高级,增加DPD功能：勾选对端存活体检测（DPD）设置好步伐1之后, 点击步伐2：隧道为便于管理, 隧道的名称与本地ID值一致.模式为tunnel, 提议名称选用前面设置好的gemdale-p2.自动连接：配置自动连接功能.默认情况下, 该功能是关闭的, 选择<启用>复选框开启该功能.平安网关提供两种触发建立SA的方式：自动方式和流量触发方式.自动方式时, 设备每60秒检查一次SA的状态, 如果SA未建立则自动发起协商请求；流量触发方式时, 当有数据流量需要通过隧道进行传输时, 该隧道才发起协商请求.默认情况下, 系统使用流量触发方式.为了访问集团内网, 需要制定一条不需要NAT转换的战略.点击防火墙－NAT－源NAT, 在源NAT列表中, 新建一条高级配置在源地址的地址簿中选择ipv4.bgroup1_subnet, 这个就是平安网关的内部网段.在目的地址中, 如果之前没有在对象－地址簿中建立过集团总部网段的信息, 则可以直接通过点目的地址的地址簿, 下拉菜单中会有【新建…】的提示点击【新建…】之后呈现下面的地址簿配置界面.名称起集团总部建好集团总部这个地址簿之后, 在目的地址的地址簿中就可以选择集团总部.出接口选择e0/0, 行为选择不做NAT除建立一条访问集团总部内网的NAT战略之外, 还需要继续新建VPN访问的战略.同样, 在防火墙－战略中, 选择新建一条从trust到untrust的战略.源地址选择, 目的地址选择集团总部, 行为选择【隧道】, 隧道中选择之前在VPN建好的IPSEC VPN战略.将双向VPN战略构选, 这样, 就不需要再建一条从untrust到trust的VPN防火墙战略了（如果配置的时候忘记构选该选项, 则需要再新建一条untrust到trust的战略, 行为则要选择来自隧道）.此时, 点防火墙－战略可以看到之前设置好的3条战略.如果新建战略的时候顺序反了, 例如新建了VPN的防火墙战略之后再建上网战略, 则需要将点将顺序对换一下.下图为顺序建反的情况, 必需要将ANY到ANY的战略放在VPN防火墙战略的下面, 即将ID为1的战略放在ID为2的战略下面.4 流量控制的配置使用HillStone的最年夜目的则是利用其丰富的流量控制管理功能实现项目上的网络流量控制.默认情况下, 平安网关没有翻开应用识别功能, 需要在网络－平安域中, 将trust或者untrust或者两个平安域的应用识别启用.4.1 P2P限流对P2P流量, 可以实行限流.即允许用户使用迅雷或者电驴等软件, 但流量做了特另外限制, 例如只允许上下行带宽为32kbps （相当于4Kbyte/秒）.这里可以根据各项目的实际情况而放宽流量的年夜小.在QoS－应用QoS中添加一条控制战略.例如, 规则名称起名为gemdale-p2p流量, 接口绑定到bgroup1, 应用选择P2P下载、P2P视频和HTTP_Download（这里的HTTP_Download其实不是是指IE中的直接下载, 而是指封堵迅雷中的80端口P2P下载功能）.注意上行和下行.HillStone中对上行和下行的界说与在一些专业级路由器相似, 即根据端口的进出来决定上行还是下行.对bgroup1, PC机的下载流量对这个端口而言是出去的流量, 因此是上行流量；而PC机上传的流量对这个端口而言是进到平安网关的流量, 因此是下行流量.4.2 禁止P2P流量除限流这种控制方式之外, 我们也可以选择直接禁止P2P流量.在对象－服务簿中, 新建一个自界说服务组, 并将P2P所用到的协议划分到该服务组中.例如, 组名可以起禁止P2P服务, 组成员选择P2P下载、P2P视频和HTTP_Download（这里的HTTP_Download其实不是是指IE中的直接下载, 而是指封堵迅雷中的80端口P2P下载功能）.建好自界说服务组之后, 在防火墙－战略中新建一条从trust到untrust的战略, 该战略用于禁止P2P流量的下载.在服务簿中选择之前建好的禁止P2P服务, 然后行为在选择拒绝.建好战略之后, 可以看到新建的战略是位于默认上网战略（ID 1）下面的, 因此, 还需要将该禁止战略放在ANY到ANY战略的上面.点击对其进行调整.将该条战略规则移到默认上网战略（ID 1）的前面移完之后再确认一下配置是否正确4.3 IP流量控制除控制P2P流量之外, 我们还要对单个IP进行流量控制.这是基于一下几点考虑的：一、有可能P2P的软件不竭更新, 而平安网关的应用特征库没有及时更新, 可能会招致新的P2P流量呈现从而招致带宽资源全部被占用；二、PC也有可能中病毒而发生年夜流量从而招致带宽资源全部被占用；三、用户有可能通过IE直接下载一些年夜流量的软件在QoS－IP QoS中新建一个规则.规则名称起名gemdale-qos；接口绑定到bgroup1；IP地址从地址簿的下拉菜单中选择ipv4.bgroup1_subnet；对项目部, 年夜大都都是选用2M的ADSL（下载到2M, 上传到512K）, 因此, 可以考虑将每个IP的流量限制在上行400kbps, 下行100kbps.注意上行和下行.HillStone中对上行和下行的界说与在一些专业级路由器相似, 即根据端口的进出来决定上行还是下行.对bgroup1, PC机的下载流量对这个端口而言是出去的流量, 因此是上行流量；而PC机上传的流量对这个端口而言是进到平安网关的流量, 因此是下行流量.4.4 时间的设置如果需要设置人性化的流量管理, 可以考虑将时间考虑进去.例如, 可以计划每天早上8：30到晚上8点半这个时间段禁止（或者限流）进行P2P的下载.在对象－时间内外新建一个时间表.在防火墙－战略中找到禁止P2P服务的规则, 对它进行编纂, 并将时间表的下拉菜单中选择之前新建的时间表规则.如果是限流P2P流量的设置, 则在QoS－应用Qos中将上下行的时间表选中如果是对IP限流, 则在QoS－IP QoS中增加上下行的时间表4.5 统计功能默认情况下, 平安网关没有将流量情况进行统计, 需要根据实际情况开启自己所需的功能.在监控－统计集里, 构选接口＋IP＋应用带宽.（如果需要一登录平安网关即可在首页里看到统计, 则还需要构选系统全局统计中的IP上下行带宽等.构选完毕之后, 在监控－统计集里可以选择bgroup1看到项目上PC使用网络的情况.首页的界面可以看到前10IP的上下行带宽.创作时间：二零二一年六月三十日不外, 所有这些监控菜单中的统计数据均寄存在设备的缓存中而已, 一旦平安网关重启则全部丧失.如果配合HIllStone的HSM网管平台则可以解决这个问题.5 基础配置新设备购买过来之后, license一般都还没更新, 需要让供应商将合法的License发给我们后自行更新.2010年1月1日之后, License至少有两个, 一个是基础平台, 一个是QOS.升级如下：上图是两个License.升级的时候将license:开头的一段拷贝到系统－许可证－许可证装置下面的手工框里, 然后点确认.每导入一个License, 系统会提示需要重启等两个license均导入之后点击右上角的重启确认即可.为便于对设备进行管理, 可以为每台设备起一个名称, 如果有网管软件的时候尤其重要.在系统－设备管理－基本信息中, 为该主机名称起一个名字同时, 为平安起见, 需要修改登录密码.在平安性方面, 为防止外部一些攻击, 可以将连接互联网的E0/0的管理端口适当关闭（在网络－接口）.例如, 仅开放HTTPS.全部配置确认完毕, 功能也均测试完毕之后, 可以将该配置进行备份.创作时间：二零二一年六月三十日。

纽盾配置手册摘要：一、前言二、纽盾配置手册简介1.手册的目的2.手册的结构三、网络设备配置基础1.配置方式2.配置工具四、纽盾设备配置流程1.准备工作2.配置步骤3.配置实例五、配置常见问题及解决方法六、总结正文：【前言】纽盾配置手册旨在帮助网络工程师快速掌握纽盾设备的配置方法，以便更好地管理和维护网络设备。

本文将详细介绍纽盾配置手册的内容和纽盾设备配置的基本流程。

【纽盾配置手册简介】纽盾配置手册主要包含以下内容：1.手册的目的：为了方便用户了解和操作纽盾设备，本手册提供了详细的配置步骤和实例。

2.手册的结构：本手册共分为六个部分，分别为前言、纽盾配置手册简介、网络设备配置基础、纽盾设备配置流程、配置常见问题及解决方法和总结。

【网络设备配置基础】网络设备配置主要包括以下两个方面：1.配置方式：网络设备配置通常分为本地配置和远程配置两种方式。

本地配置是通过设备本身的控制台或管理口进行的配置；远程配置是通过网络远程管理工具进行的配置。

2.配置工具：常用的配置工具有Telnet、SSH、Web 管理等。

根据设备类型和用户需求选择合适的配置工具。

【纽盾设备配置流程】纽盾设备配置流程如下：1.准备工作：确保纽盾设备已正确连接到网络，并获取设备的IP 地址、用户名和密码等信息。

2.配置步骤：根据设备类型和需求，选择合适的配置工具，如Telnet、SSH 或Web 管理等，登录设备并进行相关配置。

3.配置实例：以下是一个简单的纽盾设备配置实例，包括配置端口、VLAN 和路由等。

【配置常见问题及解决方法】在配置过程中，可能会遇到一些常见问题，如配置错误、设备无法登录等。

针对这些问题，可以采取以下解决方法：1.检查设备连接是否正常，确保设备已正确连接到网络。

2.检查配置工具是否正确，如Telnet、SSH 等。

3.检查配置命令是否正确，参考纽盾设备配置手册或设备文档进行验证。

4.如遇到无法登录设备的问题，请检查用户名和密码是否正确。

安全网关产品说明书介绍欢迎并感谢您选购联通网络信息安全产品，用以构筑您的实时网络防护系统。

ZXSECUS 统一威胁管理系统（安全网关）增强了网络的安全性，避免了网络资源的误用和滥用，帮助您更有效的使用通讯资源的同时不会降低网络性能。

ZXSECUS统一安全网关是致力于网络安全，易于管理的安全设备。

其功能齐备，包括：●应用层服务，例如病毒防护、入侵防护、垃圾邮件过滤、网页内容过滤以及IM/P2P过滤服务。

●网络层服务，例如防火墙、入侵防护、IPSec与SSLVPN，以及流量控制。

●管理服务，例如用户认证、发送日志与报告到USLA、设备管理设置、安全的web与CLI管理访问，以及SNMP。

ZXSECUS统一安全网关采用ZXSECUS动态威胁防护系统（DTPSTM）具有芯片设计、网络通信、安全防御及内容分析等方面诸多技术优势。

独特的基于ASIC上的网络安全构架能实时进行网络内容和状态分析，并及时启动部署在网络边界的防护关键应用程序，随时对您的网络进行最有效的安全保护。

ZXSECUS设备介绍所有的ZXSECUS统一安全网关可以对从soho到企业级别的用户提供基于网络的反病毒，网页内容过滤，防火墙，VPN以及入侵防护等防护功能。

ZXSECUS550ZXSECUS550设备的性能，可用性以及可靠性迎合了企业级别的需求。

ZXSECUS550同样也支持高可用性群集以及包括在HA设备主从设备切换时不会丢弃会话，该设备是关键任务系统的理想选择。

ZXSECUS350ZXSECUS350设备易于部署与管理，为soho以及子机构之间的应用提供了高附加值与可靠的性能。

ZXSECUS安装指南通过简单的步骤指导用户在几分钟之内运行设备。

ZXSECUS180ZXSECUS180为soho以及中小型企业设计。

ZXSECUS180支持的高级的性能例如802.1Q，虚拟域以及RIP与OSPF路由协议。

ZXSECUS120ZXSECUS120设计应用于远程办公以及零售店管理.具备模拟modem接口，能够作为与互联网连接的备份或单独与互联网连接。

Version 5.5ST00001B111.1
1
版权所有，保留所有权利Copyright © 2021, Hillstone Networks
TW-RN-OSG-V5.5ST00001B111.1-CN-V1.0-Y21M03
山石网科运维安全网关V5.5ST00001B111.1
发布概述
发布日期：2021年3月29日
本次发布重点支持SG-6000-OSG3000使用运维助手方式运维。

同时优化和修复了一些功能问题。

在升级V5.5ST00001B1111.1版本时，请务必查看“升级注意事项”进行升级。

产品型号和升级包文件
新增功能
已解决问题
升级注意事项
1、集群/热备环境升级前需要解除集群/热备环境。

确保单机环境升级。

2、在升级到V5.5ST00001B111.1版本后，请先清除浏览器页面缓存，重启设备。

浏览器兼容性
以下浏览器推荐用户使用：
♦IE11
获得帮助
山石网科运维安全网关配有以下手册，请访问获取：♦《山石网科运维安全网关部署手册_V5.5ST00001B111》
♦《山石网科云运维安全网关部署手册》
♦《山石网科运维安全网关用户手册-管理员分册_V5.5ST00001B111》
♦《山石网科运维安全网关用户手册-用户分册_V5.5ST00001B111》
服务热线：400-828-6655
官方网址：。

网盾使用手册目录一、前言 (3)（一）什么是兴业网盾 (3)（二）为什么要使用兴业网盾 (3)（三）如何申请兴业网盾 (3)二、兴业网盾的使用 (4)（一）预制兴业网盾 (4)1、安装网盾管理工具 (4)2、登录网上银行 (4)3、修改网盾密码 (7)4、查看证书 (8)（二）非预制兴业网盾 (9)1、下载管理软件 (9)2、安装管理软件 (9)3、下载证书 (12)4、登录网上银行 (14)5、修改网盾密码 (16)6、查看证书 (17)一、前言欢迎您使用兴业网盾，兴业网盾是兴业银行推出的全新的网上银行移动数字证书，是网上银行的安全守护神。

（一）什么是兴业网盾兴业网盾采用专门的USBKEY安全存贮介质来保存网上银行数字证书，由于它携带方便、使用安全，是目前网上银行最好的安全工具。

（二）为什么要使用兴业网盾1、交易安全：存贮在USBKEY中的网上银行数字具有唯一性和不可复制性，可以确保网上银行交易的安全。

2、携带方便：兴业网盾外形像U盘一般大小，小巧玲珑，既美观又方便携带。

3、服务更便捷：申请了兴业网盾，您可通过兴业网盾登录网上银行轻松修改网上银行交易权限和额度，省去了您去银行排队的辛苦。

（三）如何申请兴业网盾携带您的有效证件和理财卡或e卡至我行任意网点即可申请兴业网盾。

二、兴业网盾的使用（一）预制兴业网盾预制兴业网盾是指申请证书时，证书已保存在USBKEY中，无须再下载。

网盾USBKEY上印有95561e加10位数字的即为预制兴业网盾。

1、安装网盾管理工具（1）登录本行主页，点击页面右边“下载中心”的“预制网盾管理工具”。

（2）在弹出窗口中选择“保存”将管理工具下载到用户个人电脑上或者直接点击“运行”，在线安装管理工具。

（3）双击管理工具软件安装管理工具，如果已在线安装管理工具可跳过此步。

2、登录网上银行（1）将USBKEY插入个人电脑USB接口上（首次启用USBKEY须设置网盾密码），系统会自动识别到USBKEY并在电脑下方的任务栏右边显示管理工具图标，如下所示：如果未出现管理工具图标，也可点击电脑左下角的“开始”－＞“所有程序”－＞“兴业银行”，运行管理工具。

Version 5.5ST00001B1111版权所有，保留所有权利Copyright © 2021, Hillstone NetworksTW-RN-OSG-V5.5ST00001B111-CN-V1.0-Y21M01山石网科运维安全网关V5.5ST00001B111发布概述发布日期：2021年1月11日本次发布重点新增RDP运维支持NLA网络基本身份验证、新增AD域认证用户同步、针对Windows类资产账号改密中新增“winRM服务方式”改密方式；新增图形应用Chrome浏览器支持http/https资产运维等新功能，同时优化和修复了一些功能问题。

在升级V5.5ST00001B111版本时，请务必查看“升级注意事项”进行升级。

产品型号和升级包文件新增功能已解决问题升级注意事项1、在升级到V5.5ST00001B111版本后，无法通过IE8浏览器访问设备页面。

建议用户不要使用IE8浏览器进行升级。

如在某些环境中，需要使用IE8访问设备页面，可以在升级V5.5ST00001B111版本之后，再使用“openssl配置回退包（upgrade_iam_090_openssl_back.tar.gz）”进行回退。

2、在升级到V5.5ST00001B111版本后，如果用户需要导入新的授权文件，请先导入“授权清理包（upgrade_iam_license_clean.tar.gz）”清除原授权文件。

3、集群/热备环境升级前需要解除集群/热备环境。

确保单机环境升级。

4、在升级到V5.5ST00001B111版本后，请先清除浏览器页面缓存，重启设备5、由于修改了V5.5ST00001B111版本中hillstoneotp.cab插件，会造成之前已经部署的设备无法调用，在升级到该版本后，请先替换hillstoneotp.cab插件。

6、RESTful API接口功能开放：根据项目需求，收费支持。

7、内置应用发布中心的操作系统及RDS授权未激活，部署时需要手动激活。

睿石云WAF犀盾产品快速配置手册睿石网云（北京）科技有限公司2017年08月29日声明本手册所含内容若有任何改动，恕不另行通知。

在法律法规的最大允许范围内，睿石网云（北京）科技有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，睿石网云（北京）科技有限公司对于您的使用或不能使用本产品而发生的任何损坏（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失），不负任何赔偿责任。

本手册含受版权保护的信息，未经睿石网云（北京）科技有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。

睿石网云(北京)科技有限公司章节目录声明 (2)1. 云WAF介绍 (4)1.1. 云WAF组成 (4)1.2. 云WAF管理 (4)2. 配置思路 (4)3. 配置步骤 (5)3.1. 租户 (5)3.2. 证书 (5)3.3. 规则集 (6)3.4. 访问控制 (6)3.5. 站点 (7)3.6. WAF节点 (8)3.7. WAF节点授权 (9)3.8 HA设置 (9)3.9日志接收配置 (10)4. 关于RStone睿石 (12)1.云WAF介绍1.1.云WAF组成云WAF系统由三部分组成：集中管理RManager、态势分析RSight、WAF节点RNode1)集中管理RManager：对WAF节点进行管理配置，包括站点管理、防护策略配置等；2)态势分析RSight：接收所有WAF节点的日志，对网站的访问和攻击情况进行态势分析；3)WAF节点RNode：具备WAF功能，根据RManger下发的策略针对性防护。

1.2.云WAF管理1)RManager和Rsight可以通过浏览器进行管理和配置；2)RManager和Rsight默认WEB登录用户名admin 密码admin123；3)RManager超级WEB登录用户名RSCloudWAF密码admin123；4)RManager、Rsight、RNode系统后台登录用户名root密码111111；5)建议使用的客户端浏览器类型是：谷歌Chrome；2.配置思路(一)正确配置集中管理RManager、态势分析RSight、WAF节点RNode的管理IP地址，并能互通；(二)登录集中管理RManager依次配置租户、证书、安全策略、站点管理、WAF节点管理；(三)在集中管理RManager中，对添加的WAF节点进行授权、host数量授权；(四)在集中管理RManager中，系统—高级选项—Rsight访问和节点配置中，配置数据中心地址为态势分析Rsight的地址；(五)在集中管理RManager中，WAF节点模块点击配置下发，将已经配置好的站点和安全策略下发给RNode；(六)上述配置完成后，RNode工作在反向代理模式下，更改对应网站的DNS解析到RNode的IP上面，此时访问域名或者RNode的IP地址就能访问到网站；(七)网站能正常访问后，登录态势分析Rsight可以看到相应的访问日志；3.配置步骤3.1.租户新建租户，（在实际云环境中该UUID是云平台租户的唯一标示，由云平台下发，故实际云环境下此租户信息由云平台下发不用配置）：新建租户，操作路径：点击“R>>租户”，界面如下：点击按钮添加租户，添加界面如下：注意：租户配置中的UUID必须唯一，且在其他功能配置中如果有涉及UUID，说明该功能允许租户配置，并且每个租户输入自己的UUID后，只能看到自己定义的内容，其他租户的看不到，所以此UUID涉及后续相关功能调用，必须配置准确。