收藏
下载资源

Hillstone安全网关Web界面配置指导v50资料

上传人:f****u 文档编号:128314987 上传时间:2020-04-20 格式:PDF 页数:34 大小:2.10MB
返回 下载 相关 举报
Hillstone安全网关Web界面配置指导v50资料_第1页
第1页 / 共34页
Hillstone安全网关Web界面配置指导v50资料_第2页
第2页 / 共34页
Hillstone安全网关Web界面配置指导v50资料_第3页
第3页 / 共34页
Hillstone安全网关Web界面配置指导v50资料_第4页
第4页 / 共34页
Hillstone安全网关Web界面配置指导v50资料_第5页
第5页 / 共34页
点击查看更多>>
资源描述

《Hillstone安全网关Web界面配置指导v50资料》由会员分享,可在线阅读,更多相关《Hillstone安全网关Web界面配置指导v50资料(34页珍藏版)》请在金锄头文库上搜索。

1、 Web 界面配置指导界面配置指导 Version 5 0 Hillstone Networks 目录目录 Web 界面配置指导 Version 5 0 1 目录 2 一 设备的登录 1 二 基本上网配置 1 1 设置接口信息 1 2 增加内网上网的目的路由 3 3 增加内网用户上网的 NAT 配置 3 4 增加内网用户访问外网的策略 4 5 命令行配置 5 三 端口映射 7 四 IPSecVPN 两种模式的配置 10 1 创建 IPSecVPN 10 2 路由模式 VPN 11 3 策略模式 VPN 14 五 SSLPN 配置 16 六 Web 认证上网功能配置 20 七 URL 日志记录

2、23 八 IP MAC 绑定实现 IP 或 MAC 变更不能上网 24 九 设备恢复出厂操作 26 十 AAA 服务器使用 AD 域类型的配置 27 十一 SSLVPN 调用两个 AAA 中的用户认证 30 十二 HA 配置注意事项 31 Web 界面配置指导 Version 5 0 1 一一 设备的登录设备的登录 设备默认的管理接口为 ethernet0 0 登录的 ip 为 192 168 1 1 默认的管理账号为 hillstone 密码为 hillstone 把本地电脑网卡填写 IP 为 192 168 1 2 使用 web telnet ssh 均可登录 在浏览器中输入 192 16

3、8 1 1 就可以通过 WEBui 的方式登录管理设备 注意 如果是SG6000 NAV 系列的http的服务端口统一为9090 https的服务端口统一为8443 所以默认登录该设备的WEBui的方式为http 192 168 1 1 9090 或https 192 168 1 1 8443 登录的账号密码都为hillstone Web 界面配置指导 Version 5 0 1 二二 基本上网配置基本上网配置 1 设置接口信息设置接口信息 购买的宽带地址是静态 IP 一般会营业厅会告知 IP 地址 子网掩码 网关 DNS 例如 IP 地址 00 0 0 188 255 255 255 0 或

4、 24 网关 20 0 0 1 DNS 地址 202 106 0 20 配置外网接口 ethernet0 1 为连接外网的接口 网络 网络连接 在接口列表中选择 ethernet0 1 点击该 编辑 按钮 显示接口配置界面如下 配置完基本信息 点击 确认 上面是静态 IP 的使用 如果是 ADSL 拨号 IP 配置类型选择 PPPoE 并填写 PPPoE 拨号所 用的用户名和密码 注意 勾选 PPPoE服务器提供的网关信息设置为默认网关路由 后 无需手动创建路由 Web 界面配置指导 Version 5 0 2 配置内网口 比如 ethernet0 3 连接内网 Web 界面配置指导 Vers

5、ion 5 0 3 2 增加内网上网的目的路由增加内网上网的目的路由 网络 路由 目的路由 填写完信息 点击 确认 3 增加内网用户上网的增加内网用户上网的 NAT 配置配置 网络 NAT 源 NAT 点击 新建 Web 界面配置指导 Version 5 0 4 4 增加内网用户访问外网的策略增加内网用户访问外网的策略 安全 策略 源安全域选择 trust 目前安全域选择 untrust 点击 新建 Web 界面配置指导 Version 5 0 5 配置完以上四步后 就可以实现内部用户的基本上网 5 命令行配置命令行配置 进入 config 配置模式 接口配置 interface ethern

6、et0 1 zone untrust ip address 200 0 0 188 255 255 255 0 manage ping manage ssh manage https exit interface ethernet0 3 zone trust ip address 192 168 2 1 255 255 255 0 manage ping Web 界面配置指导 Version 5 0 6 manage ssh manage https exit 路由和 NAT 配置 ip vrouter trust vr snatrule id 1 from Any to Any eif et

7、hernet0 1 trans to eif ip mode dynamicport ip route 0 0 0 0 0 200 0 0 1 exit 配置策略 policy from trust to untrust rule from any to any service any permit exit Web 界面配置指导 Version 5 0 7 三三 端口映射端口映射 最好先配好地址薄和服务薄 映射的地址都用 32 位掩码 4 个 255 服务可以先查看是否有 预定义好的 可以自定义 首先定义两个地址簿 一个条目为服务器发布的公网地址 一个为服务器的真实私有地址 如果需要映射的端

8、口不是知名服务 还需要定义好相应的服务 例如需要将公网地址的 4001 端口发布出去 自定义服务如下 Web 界面配置指导 Version 5 0 8 注意 端口是范围就写最小最大 是一个端口只需要写最小即可 源端口不填写 定义好地址簿和服务之后 新建端口映射 目的地址 为服务器公网地址 映射到地址 为服务器私有地址 仅定义 DNAT 规则是不能将服务器发布出去的 还需要定义防火墙策略 策略的源安全域为 Web 界面配置指导 Version 5 0 9 untrust 目的安全域为服务器所在安全域 源地址为 any 目的地址为服务发布的公网 地址 服务为服务器公网地址上使用的端口 与定义 DN

9、AT 规则使用的匹配条件一致 以上配置完成后外网即可正常访问 使用中会遇到的问题 映射 HTTP 网站或 FTP 内网用户使用公网的域名无法访问 因为解析的地址是公网 IP 此生不包含内网有自己建的 DNS 服务器可以解析到私网地址的情况 这就需要我们再做一个策略 如果服务器和客户 PC 同属 trust 安全域 做 trust 到 trust 策略放行即可 如果服务器和客户 PC 分属不同安全域 如服务器属 DMZ 客户 PC 属 trust 做 trust 到 DMZ 策略放行即可 有时服务器使用双网卡 造成外网用户访问服务器不正常 这是因为用户访问的公网地址经过目的 NAT 的转换 找到

10、服务器其中的一个网卡地址 但服务器回包却用另外一个网卡的地址回包 所以造成访问的异常 这时通过做一条源 NAT 来解决 首先要知道服务器连接防火墙的哪个接口 然后做 SNAT 出接口就是防火墙连服务器的那个接口 做出接口地址转换 服务器和内网客户 PC 分属不同三层交换机下 但三层交换机间有互连 这时需要也需 要做服务器连的三层交换机和防火墙互连的内网接口的 SNAT Web 界面配置指导 Version 5 0 10 四四 IPSecVPN 两种模式的配置两种模式的配置 1 创建创建 IPSecVPN 网络 IPSec VPN 创建 IPsecVPN 第一阶段中 接口 选择公网接口 提议和预

11、共享密钥要求 VPN 两端设备保持一致 第二阶段中 使用 tunnel 模式 提议依然要求两端一致 Web 界面配置指导 Version 5 0 11 在与其他厂商设备创建 IPSec VPN 连接时 需要手工制定代理 ID 2 路由模式路由模式 VPN 路由模式和策略模式任选其一 路由模式的 VPN 配置步骤如下 网络连接 中 创建隧道接口并关联 IPSecVPN Web 界面配置指导 Version 5 0 12 Web 界面配置指导 Version 5 0 13 接下来创建隧道接口相关路由 此外 参照配置隧道接口时使用的安全域 需要创建该安全域与内网安全域互通的访问策略 Web 界面配置

12、指导 Version 5 0 14 3 策略策略模式模式 VPN 策略模式的 vpn 配置步骤如下 建立处理 VPN 流量的策略 创建一条针对 VPN 流量不做 SNAT 的 NAT 规则 并且移到顶部 Web 界面配置指导 Version 5 0 15 Web 界面配置指导 Version 5 0 16 五五 SSLPN 配置配置 使用 SSLVPN 配置向导可以方便的创建 SSLPN 实例 配置实例名称 调用用户认证服务器 Web 界面配置指导 Version 5 0 17 出接口的配置 隧道接口配置 新建 Web 界面配置指导 Version 5 0 18 SCVPN 地址池配置 策略及

13、隧道路由配置 Web 界面配置指导 Version 5 0 19 Scvpn 创建完毕 登录方法 假设公网 IP 为 200 0 0 190 则访问 https 200 0 0 190 4433 输入创建的用户名 密码 登录成功后下载插件安装即可连接 Web 界面配置指导 Version 5 0 20 六六 Web 认证上网功能配置认证上网功能配置 使用 web 认证配置向导可以方便快速的完成 web 认证功能的配置 配置 web 认证模式及服务端口 选择 AAA 服务器 Web 界面配置指导 Version 5 0 21 根据选择的安全域自动创建策略 概念解释 超时超时 认证成功后 系统会在

14、超时时间结束前对认证成功页面进行自动刷新 确认登录信 息 文本框中输入超时时间 单位为秒 范围为 20 至 86400 秒 默认值为 120 秒 指 Webauth Web 界面配置指导 Version 5 0 22 的页面和防火墙定期做心跳检查的时间 重新认证超时 重新认证超时 指定用户进行重认证的时间间隔 单位为分钟 范围为 10 到 1440 分钟 指 Webauth 客户端与防火墙会在这个时间内做重新认证的检查 当 Webauth 的客户端页面 处于打开的状态时 Webauth 客户端会自动重新认证 当 Webauth 客户端关闭或者该 Webauth 的用户名密码更改后 重新认证会失

15、败 强制超时 强制超时 指定用户重新登录的时间间隔 单位为分钟 范围为 10 到 144000 分钟 指用 户在时间间隔到达时 必须用户重新认证 自动踢出 自动踢出 选中复选框开启自动踢出功能 同一用户再次登录的信息会替换掉已登录 的信息 系统自动断开已登录的连接 重定向重定向 URL 指定重定向的 URL 的地址 重定向 URL 是指用户在认证成功并返回认证页面 后 弹出的新页面将会重定向到指定的 URL 页面 如果没有配置该功能 新弹出页面将返 回用户输入的地址页面 该功能的正确执行需要浏览器关闭弹出窗口阻止程序 如果浏览器 阻止弹出窗口 新弹出的页面将被阻止 需要手工确认才能打开 Web

16、 界面配置指导 Version 5 0 23 七七 URL 日志记录日志记录 通过 NBC 功能可以方便的实现 URL 日志的记录 配置完毕之后 在 NBC 日志当中可以查看到所有的 http 浏览 URL 记录 Web 界面配置指导 Version 5 0 24 八八 IP MAC 绑定实现绑定实现 IP 或或 MAC 变更不能上网变更不能上网 利用 arp 防护功能 可以实现 IP 或 MAC 变更的用户无法上网 先扫描内网网段 绑定所有扫描到的 ip mac 对于关系 但随后应该将公网接口的绑定关系解除 否则一旦运 营商更改了局端设备的 MAC 地址 例如更换局端对接设备 会造成断网的严重情况 接下来在接口配置页面取消内网接口的 ARP 学习 这样防火墙将只查看静态绑定列表 当 有新电脑加入时只需添加 IP MAC 即可 Web 界面配置指导 Version 5 0 25 另外不关闭接口的 ARP 学习也可以在命令行操作 在内网接口配置模式下敲入以下命令 SG 6000 config interface ethernet0 0 SG 6000 config if eth0 0 a

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号