下载文档原格式
HillStoneSA-2001 配置手册本文是基于安全网关操作系统为进行编写,如版本不同,配置过程有可能不一样。
i网络端口配置SA-2001安全网关前面板有5个千兆电口、1个配置口、1个CLF按键、以及状态指示灯。
下图为SA-2001的前面板示意图:DHC服务器将网线接入到E0/0。
防火墙的ethernet0/0接口配有默认IP地址,但该端口没有设置为为客户端提供IP地址,因此登录后的首页面。
可以看到CPU内存、会话等使用情况。
很多品牌的防火墙或者路由器等,在默认情况下内网端口都是划分好并且形成一个小型交换机的,但是hillstone 的产品却需要自己手工设置。
在本文档中,我们准备将E0/0划分为UNTRUE连接互联网, E0/1〜E0/4总共4个端口我们则划到一个交换机中并作为TRUST:连接内网。
在网络-接口界面中,新建一个bgroup 端口,该端口是一个虚拟的端口。
因为bgroupl接口需要提供路由功能,因此需要划入到三层安全域(trust )中。
输入由集团信息中心提供的IP地址。
在管理设置中,尽量将各个管理功能的协议打开,尤其是HTTF功能。
建好bgroupl之后,对网络一接口页面中的eO/1〜eO/4分别修改,依次将它们划归为bgroup1 。
设置好交换机功能后,还需要设置DHCF功能,以便PC机接入时可以自动获取IP地址。
新建一个DHCP地址池根据集团信息中心提供的IP 地址段设置IP 地址池。
租约里尽量将时间设大一些,这样在追查记录的时候,不会因为PC机的IP地址频繁发生变动而难以追踪。
确定之后,POOL的地址则建好了,不过,还需要修改DNS才能让PC机可以访问到集团内网。
编辑POOL进入高级配置界面。
DNS1和DNS2分别设置为集团总部的10.0.1设置完地址池之后,需要将该地址池捆绑到bgroup1 以便让bgroup1 可以为PC 机分配IP 地址。
确认以上步骤操作成功后,将原来连接到E0/0 的网线任意插入到E0/1~E0/4 的一个端口中,看看PC机是否可以获取到IP地址了。
HillStone SA-2001配置手册1网络端口配置22防火墙设置123VPN配置144流量控制的配置244.1P2P限流244.2禁止P2P流量254.3IP流量控制284.4时间的设置294.5统计功能325基础配置35本文是基于安全网关操作系统为Version 3.5进行编写,如版本不同,配置过程有可能不一样。
1 网络端口配置SA-2001安全网关前面板有5个千兆电口、1个配置口、1个CLR按键、1个USB接口以及状态指示灯。
下图为SA-2001的前面板示意图:将网线接入到E0/0。
防火墙的ethernet0/0接口配有默认IP地址192.168.1.1/24,但该端口没有设置为DHCP服务器为客户端提供IP地址,因此需要将PC机的IP地址设置为同一网段,例如192.168.1.2/24才能连上防火墙。
通过IE打开192.168.1.1,然后输入默认的用户名和密码(均为hillstone)登录后的首页面。
可以看到CPU、内存、会话等使用情况。
很多品牌的防火墙或者路由器等,在默认情况下内网端口都是划分好并且形成一个小型交换机的,但是hillstone 的产品却需要自己手工设置。
在本文档中,我们准备将E0/0划分为UNTRUST口连接互联网,E0/1~E0/4总共4个端口我们则划到一个交换机中并作为TRUST口连接内网。
在网络-接口界面中,新建一个bgroup端口,该端口是一个虚拟的端口。
因为bgroup1接口需要提供路由功能,因此需要划入到三层安全域(trust)中。
输入由集团信息中心提供的IP地址。
在管理设置中,尽量将各个管理功能的协议打开,尤其是HTTP功能。
建好bgroup1之后,对网络-接口页面中的e0/1~e0/4分别修改,依次将它们划归为bgroup1。
设置好交换机功能后,还需要设置DHCP功能,以便PC机接入时可以自动获取IP地址。
新建一个DHCP地址池根据集团信息中心提供的IP地址段设置IP地址池。
Hillstone Security Management安装手册Hillstone山石网科HSM-IM0110-2.2.2.31C-01前言内容简介感谢您选用Hillstone山石网科的网络安全产品。
本手册为Hillstone Security Management的安装手册,能够帮助用户正确安装Hillstone Security Management。
本手册的内容包括:• 1 产品介绍• 2 服务器的安装与升级•3客户端的安装与卸载• 4 配置Hillstone Security Management代理手册约定为方便用户阅读与理解,本手册遵循如下约定:•警告:表示如果该项操作不正确,可能会给安全网关或安全网关操作者带来极大危险。
因此操作者必须严格遵守正确的操作规程。
•注意:表示在安装和使用安全网关过程中需要注意的操作。
该操作不正确,可能影响安全网关的正常使用。
•说明:为用户提供有助于理解内容的说明信息。
内容目录1产品介绍 (2)1.1简介 (2)1.2HSM代理 (2)1.3HSM服务器 (2)1.4HSM客户端 (2)2服务器的安装与升级 (3)2.1服务器安装环境说明 (3)2.2安装HSM Server软件 (3)2.2.1管理HSM Server (5)2.2.2HSM Server配置 (6)2.2.3卸载HSM Server (7)2.3安装HSM Backup Server (8)2.3.1配置HSM Backup Server (9)2.3.2卸载HSM Backup Server (10)3客户端的安装与卸载 (11)3.1介绍 (11)3.2安装HSM客户端 (11)3.3卸载HSM客户端 (11)4代理的配置 (13)4.1介绍 (13)4.2配置SA/SG设备的HSM代理 (13)4.3配置SR设备的HSM代理 (14)1 产品介绍1.1 简介Hillstone Security Management TM(简称为HSM)是Hillstone山石网科自主研发的集中网络安全管理系统,能够对网络中的多台Hillstone安全设备进行集中控制和管理。
创新的网络安全架构Hillstone SA-2010采用了先进的多核处理器技术,自主开发的专用安全芯片(ASIC)和内部高速交换总线,使得Hillstone SA-2010在应用层安全处理的性能上有了质的飞跃,为企业应用安全提供专业的高性能硬件平台。
强大的处理能力Hillstone SA-2010采用64位网络专用多核并行处理器,运算能力超过3.2GOPS ,能够避免传统ASIC 和NP 安全系统会话创建能力和流量控制能力弱的弊病,为VPN 和应用层内容安全功能提供强大的处理能力保障。
强大的抗攻击能力Hillstone SA-2010采用的多核处理器架构和新一代的StoneOS 安全操作系统,能够提供高性能的应用安全处理能力和更强的应用层抗攻击能力。
Hillstone SA-2010每秒能够处理超过3万的TCP 会话请求,超过同类产品5-10倍,具有超强的DDoS 攻击防护能力。
强健的专用实时操作系统Hillstone 自主开发的64位实时并行操作系统StoneOS ,强大的并行处理能力和模块化的结构设计,易于集成和扩展更多的安全功能。
通过对新一代多核处理器的全面优化和安全加固,极大地提高了系统处理效率、稳定性和安全性。
模块化和并行多任务的处理机制,为Hillstone 新一代的网络安全系统提供了极大的可扩展能力,包括支持更多核处理器和集成更多的安全功能。
精密的流量控制依靠高性能的多核处理器及ASIC 专用芯片,Hillstone SA-2010可实现精密的基于用户和应用的流量控制。
在保障系统运行性能的情况下,Hillstone SA-2010可实现精密度为1kbps ,多达2500用户的流量控制。
基于应用的流量控制可识别各种P2P 及IM(即时通讯)协议,配合时间表功能的使用,帮助您灵活掌控带宽分配。
VPNHillstone SA 支持IPSec 和SSL VPN ,在多种拓扑下可以灵活结合,解决您远程互联和远程接入的问题。
版本说明本文件为SG-6000系列安全网关系统固件StoneOS的版本说明,描述版本信息、软件功能以及版本中的已知问题等。
StoneOS 5.0R3P8本节为StoneOS 5.0R3P8版本说明。
产品和版本信息产品名称:Hillstone SG-6000系列安全网关产品型号和系统文件:发布日期:2014年10月17日文档说明Hillstone SG-6000系列安全网关配有以下手册:®《Hillstone山石网科多核安全网关使用手册》®《Hillstone山石网科多核安全网关命令手册》®《Hillstone SG-6000多核安全网关安装手册》®《Hillstone山石网科多核安全网关扩展模块手册》®《Hillstone山石网科多核安全网关日志信息参考手册》®《Hillstone山石网科SNMP私有MIB信息参考手册》版本升级说明从低版本升级到StoneOS 5.0R3P8时,有以下几个问题需要注意:®系统文件升级说明®地址簿功能相关配置升级说明®策略规则相关配置升级说明®统计集功能相关配置升级说明®接口镜像功能相关配置升级说明®攻击防护功能相关配置升级说明系统文件升级说明因较早版本曾对系统文件的大小进行了限制,所以当从4.0R6P15.1(包括4.0R6P15.1)之前的版本升级到5.0R3P8时,用户需要通过sysloader才能升级成功。
可以直接升级5.0R3P8的系统版本包括5.0R2P2之后的5.0R版本、4.5R3P8以及4.5R4P1,更低版本建议先升级到上述版本,然后再升级到5.0R3P8。
地址簿功能相关配置升级说明StoneOS 5.0R3P8为地址条目增加了ID属性。
当把系统从低版本升级到5.0R3P8时,系统会对已有地址簿配置做平滑处理,不影响用户使用。
Hillstone山石网科多核安全网关快速配置手册Hillstone山石网科QS-UG0509-V1.1-01前言手册内容首先感谢您使用山石网科的网络安全产品。
本手册为Hillstone山石网科多核系列安全网关的快速配置手册,对Hillstone山石网科多核系列安全网关的主要功能模块配置进行介绍,帮助用户快速掌握安全网关的WebUI的配置。
本手册的内容包括以下各章:♦搭建配置环境。
介绍配置环境信息以及WebUI配置环境的搭建。
♦第2章系统管理。
介绍系统固件StoneOS的升级、配置文件的备份等。
♦第3章快速部署安全网关。
介绍安全网关的路由应用模式部署。
♦第4章对外发布服务器。
介绍DNAT的基本配置。
♦第5章IP QoS。
介绍IP QoS的配置用例。
♦第6章应用QoS。
介绍应用QoS的配置用例。
♦第7章SCVPN。
介绍SCVPN的配置用例。
手册约定为方便用户阅读与理解,本手册遵循以下约定:内容约定本手册内容约定如下:♦提示:为用户提供相关参考信息。
♦说明:为用户提供有助于理解内容的说明信息。
♦注意:如果该操作不正确,会导致系统出错。
♦『』:用该方式表示WebUI页面上的链接、标签或者按钮。
♦< >:用该方式表示WebUI页面上提供的文本信息,包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。
目录第1章搭建配置环境 (1)配置环境介绍 (1)搭建WebUI配置环境 (1)搭建Console配置环境 (3)安全网关的基本配置 (3)第2章系统管理 (5)介绍 (5)时间配置 (5)升级StoneOS (5)配置信息操作 (6)保存配置信息 (6)导出配置信息 (7)导入配置信息 (7)恢复出厂配置 (8)第3章快速部署安全网关 (9)介绍 (9)组网 (9)配置步骤 (9)第4章对外发布服务器 (15)介绍 (15)组网 (15)配置步骤 (16)第5章IP QoS (23)介绍 (23)配置需求 (23)配置步骤 (23)第6章应用QoS (25)介绍 (25)配置需求 (25)配置步骤 (25)第7章SCVPN (26)介绍 (26)组网 (26)配置步骤 (26)第1章搭建配置环境配置环境介绍Hillstone山石网科多核安全网关是山石网科自主研发的专用高性能纯硬件安全网关,可应用于大中小型企业、大型区域办事结构、电信运营商、数据中心等。
Hillstone SA系列安全网关安装手册山石网科通信技术(北京)有限公司SA5000/2000-IM1209-3.5R6C-01前言内容简介感谢您选用Hillstone Networks Inc.的网络安全产品。
本手册为Hillstone SA系列安全网关的安装手册,能够帮助用户正确安装SA系列安全网关。
本手册的内容包括:•第1章产品介绍•第2章安全网关安装前的准备工作•第3章安全网关的安装•第4章安全网关的启动和配置•第5章常见故障处理手册约定为方便用户阅读与理解,本手册遵循如下约定:•警告:表示如果该项操作不正确,可能会给安全网关或安全网关操作者带来极大危险。
因此操作者必须严格遵守正确的操作规程。
•注意:表示在安装和使用安全网关过程中需要注意的操作。
该操作不正确,可能影响安全网关的正常使用。
•说明:为用户提供有助于理解内容的说明信息。
内容目录第1章产品介绍 (1)简介 (1)SA系列安全网关的特点 (1)创新的多核Plus®G2安全架构 (1)最低的总体拥有成本 (2)硬件外观特征 (2)前面板介绍 (2)后面板介绍 (7)指示灯含义 (9)系统参数 (11)端口属性 (13)CLR按键 (18)第2章安全网关安装前的准备工作 (19)介绍 (19)洁净度要求 (19)防静电要求 (19)电磁环境要求 (20)接地要求 (20)检查安装台 (20)其它安全注意事项 (21)检查安全网关及其附件 (21)安装设备、工具和电缆 (21)第3章安全网关的安装 (22)安装前说明 (22)将安全网关安装在工作台上 (22)将安全网关安装到标准机柜中 (23)线缆连接 (25)连接地线 (25)连接配置电缆 (25)连接以太网电缆 (26)连接电源线 (27)安装完成后的检查 (28)第4章安全网关的启动和配置 (29)介绍 (29)搭建配置环境 (29)搭建配置口(CON口)的配置环境 (29)搭建WebUI配置环境 (31)搭建Telnet和SSH配置环境 (33)安全网关的基本配置 (33)第5章常见故障处理 (35)介绍 (35)口令丢失情况下的处理 (35)电源系统故障处理 (35)配置系统故障处理 (35)插图目录图1-1:SA-5180前面板示意图 (3)图1-2:SA-5160前面板示意图 (4)图1-3:SA-5050/SA-5040前面板示意图 (4)图1-4:SA-5020/SA-2010前面板示意图 (5)图1-5:SA-2005/SA-2003前面板示意图 (6)图1-6:SA-2001A前面板示意图 (6)图1-7:SA-2001前面板示意图 (7)图1-8:SA-5180后面板示意图 (7)图1-9:SA-5050/SA-5040后面板示意图 (8)图1-10:SA-5020/SA-2010单电源后面板示意图 (8)图1-11:SA-2005/SA-2003后面板示意图 (8)图1-12:SA-2001A后面板示意图 (8)图1-13:SA-2001后面板示意图 (9)图3-1:脚垫安装示意图 (23)图3-2:挂耳安装示意图 (24)图3-3:机柜安装示意图 (24)图4-1:配置口(CON口)配置环境 (30)图4-2:设置终端通讯参数 (30)图4-3:SA系列安全网关启动登录界面 (31)图4-4:登录页面 (32)图4-5:SA-2001安全网关主页 (33)表格目录表1-1:SA-5180前面板标识说明 (3)表1-2:SA-5160前面板标识说明 (4)表1-3:SA-5050/SA-5040前面板标识说明 (5)表1-4:SA-5020/SA-2010前面板标识说明 (5)表1-5:SA-2005/SA-2003前面板标识说明 (6)表1-6:SA-2001A前面板标识说明 (6)表1-7:SA-2001前面板标识说明 (7)表1-8:SA系列安全网关前面板指示灯含义 (10)表1-9:SA系列安全网关系统参数 (13)表1-10:配置口属性 (14)表1-11:辅助口属性 (14)表1-12:USB Host接口属性 (15)表1-13:SA系列安全网关千兆电口属性 (15)表1-14:SA系列安全网关SFP接口属性 (16)表1-15:SA系列安全网关SFP光口模块属性 (16)表1-16:SA系列安全网关SFP电口模块属性 (17)表1-17:SA系列安全网关XFP接口属性 (17)表1-18:SA系列安全网关XFP光口模块属性 (18)表2-1:机房灰尘浓度范围表 (19)第1章产品介绍简介SA系列是Hillstone山石网科公司推出的新一代多核安全网关系列产品。
该系列产品的基于角色、深度应用的多核Plus®G2安全架构突破了传统防火墙只能基于IP和端口的防范限制。
百兆到万兆的处理能力使该系列产品适用于多种网络环境,包括中小企业级市场、政府机关、大型企业、电信运营商和数据中心等机构。
丰富的软件功能为网络提供不同层次及深度的安全控制以及接入管理,例如基于角色深度应用安全的访问控制、IPSec/SSL VPN、应用带宽管理、病毒过滤、内容安全等。
目前,SA系列安全网关包括SA-5000与SA-2000两个系列的产品。
SA-5000系列产品的型号有SA-5180、SA-5160、SA-5050、SA-5040和SA-5020。
SA-2000系列产品的型号有SA-2010、SA-2005、SA-2003、SA-2001和SA-2001A。
SA系列安全网关的特点本节介绍SA系列安全网关的主要特点。
创新的多核Plus®G2安全架构Hillstone山石网科自主开发的64位实时安全操作系统StoneOS®,具备强大的并行处理能力。
和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同,StoneOS®采用专利的多处理器全并行架构,实现了从网络层到应用层的多核全并行处理。
因此,在同档的硬件配置下,SA系列多核安全网关比业界其他的多核或NP/ASIC系统有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,也突破了传统安全网关的功能实用性和性能无法两全的局限。
最低的总体拥有成本Hillstone SA系列安全网关提供了非常友好的使用和管理界面,部署简单、易于维护和管理。
灵活的特性可以满足不同用户对不同应用环境的需求。
独特创新的新一代网络安全架构提供给用户最大化的可扩展能力,有效保护用户投资。
硬件外观特征SA系列安全网关按照19英寸标准机柜的尺寸设计,可以安装在标准机柜中使用,也可以放在工作台上使用。
前面板介绍SA-5180安全网关前面板有1个千兆电口、12个SFP接口、2个XFP接口、2个USB接口、1个配置口、1个辅助口、1个CLR 按键、状态指示灯以及风扇盘。
图1-1为SA-5180的前面板示意图:图1-1:SA-5180前面板示意图序号 标识及说明 序号标识及说明1 PWR:电源指示灯9 CON:配置口2 STA:状态指示灯10 AUX:辅助口3 ALM:警告指示灯11 USB0-USB1:USB接口4 HA:高可用状态指示灯12 e0/0:千兆电口5 PS0:电源PS0指示灯13 e0/1-e0/12:SFP接口6 PS1:电源PS1指示灯14 xe0/13-xe0/14:XFP接口7 FAN:风扇指示灯15 风扇盘(可热插拔)8 CLR:CLR按键- -表1-1:SA-5180前面板标识说明SA-5160安全网关前面板有1个千兆电口、12个SFP接口、2个USB接口、1个配置口、1个辅助口、1个CLR按键、状态指示灯以及风扇盘(可热插拔)。
图1-2为SA-5160的前面板示意图:图1-2:SA-5160前面板示意图序号 标识及说明 序号标识及说明1 PWR:电源指示灯8 CLR:CLR按键2 STA:状态指示灯9 CON:配置口3 ALM:警告指示灯10 AUX:辅助口4 HA:高可用状态指示灯11 USB0-USB1:USB接口5 PS0:电源PS0指示灯12 e0/0:千兆电口6 PS1:电源PS1指示灯13 e0/1-e0/12:SFP接口7 FAN:风扇指示灯14 风扇盘(可热插拔)表1-2:SA-5160前面板标识说明SA-5050和SA-5040安全网关前面板布局相同,有6个千兆电口、6个千兆Combo口(SFP口+电口)、2个USB接口、1个配置口、1个辅助口、1个CLR按键以及状态指示灯。
图1-3为SA-5050/SA-5040的前面板示意图:图1-3:SA-5050/SA-5040前面板示意图序号 标识及说明 序号标识及说明1 PWR:电源指示灯7 CLR:CLR按键2 STA:状态指示灯8 CON:配置口3 ALM:警告指示灯9 AUX:辅助口4 HA:高可用状态指示灯10 USB0-USB1:USB接口5 PS0:电源PS0指示灯11 e0/0-e0/5:千兆电口6 PS1:电源PS1指示灯12 e0/6-e0/11:Combo口表1-3:SA-5050/SA-5040前面板标识说明SA-5020和SA-2010安全网关前面板布局相同,有6个千兆电口、2个千兆Combo口(电口+SFP口)、2个USB接口、1个配置口、1个辅助口、1个CLR按键以及状态指示灯。
图1-4为SA-5020/SA-2010的前面板示意图:图1-4:SA-5020/SA-2010前面板示意图序号 标识及说明 序号标识及说明1 PWR:电源指示灯 6 CON:配置口2 STA:状态指示灯7 AUX:辅助口3 ALM:警告指示灯8 USB0-USB1:USB接口4 HA:高可用状态指示灯9 e0/0-e0/1:Combo口5 CLR:CLR按键10 e0/2-e0/7:千兆电口表1-4:SA-5020/SA-2010前面板标识说明SA-2005和SA-2003安全网关前面板布局相同,有8个千兆电口、1个USB接口、1个配置口、1个CLR按键以及状态指示灯。
图1-5为SA-2005/SA-2003的前面板示意图:图1-5:SA-2005/SA-2003前面板示意图序号 标识及说明 序号标识及说明1 PWR:电源指示灯 5 CLR:CLR按键2 ALM:警告指示灯 6 CON:配置口3 STA:状态指示灯7 USB:USB接口4 HA:高可用状态指示灯8 e0/0-e0/7:千兆电口表1-5:SA-2005/SA-2003前面板标识说明SA-2001A安全网关前面板有5个千兆电口、1个配置口、1个CLR按键、1个USB接口以及状态指示灯。
图1-6为SA-2001A的前面板示意图:图1-6:SA-2001A前面板示意图序号 标识及说明 序号标识及说明1 PWR:电源指示灯 5 CLR:CLR按键2 STA:状态指示灯 6 CON:配置口3 ALM:警告指示灯7 USB:USB接口4 VPN:VPN状态指示灯8 e0/0-e0/4:千兆电口表1-6:SA-2001A前面板标识说明SA-2001安全网关前面板有5个千兆电口、1个配置口、1个CLR按键、1个USB接口以及状态指示灯。
