《山石网关培训教材ppt课件》由会员分享,可在线阅读,更多相关《山石网关培训教材ppt课件(128页珍藏版)》请在金锄头文库上搜索。
1、采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物 | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物日程安排采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物一.准备工作通过完成此章节课程,您将可以:了解设备管理方式完成基本上网配置采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂
2、直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物管理接口用户管理接口类型:CLI:ConsoleTelnetSSHWebUI:HTTPHTTPS采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物不同管理方式支持本地与远程两种环境配置方法,可以通过CLI和WebUI两种方式进行配置支持Console、telnet、ssh、http、https管理参数 数值 波特率 9600 bit/s 数据位 8停止位 1校验/流控无参数 数值 接口Eth0/0用户名hillstone密码hillstone管
3、理IP | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物图形化管理界面-WebUI基于浏览器的WebUI管理方式简单灵活,可以完成常用的各种配置。v准备工作:安全网关设备的e0/0接口配有默认IP地址192.168.1.1,该接口的各种管理功能均为开启状态。初次使用可以通过该接口管理设备,具体操作为:将管理PC的IP地址设置为与192.168.1.1/24同网段的IP地址,打开PC的Web浏览器,输入http:/192.168.1.1设备默认管理员用户名及密码均
4、为“hillstone”登陆后 | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物WebUI界面初始页面结构导航菜单设备面板的端口连接状态CPU、内存、会话数等设备运行情况设备基本信息,包括:序列号、运行时间、软件版本、AV及特征库版本等当前网络中占用带宽最多的IP排名采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物CLI用户接口通过Console线连接PC的串口至安全网关的CO
5、N接口打开终端模拟器使用以下缺省账户登陆用户名:hillstone密码:hillstoneCLI快捷键使用Tab自动补齐命令使用?查看帮助采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物进入配置模式全局配置模式:全局配置模式允许用户修改安全网关的配置参数。用户在执行模式下,输入configure命令,可进入全局配置模式。该模式的提示符如下所示:hostname(config)#子模块配置模式:安全网关的不同模块功能需要在其对应的命令行子模块模式下进行配置。用户在全局配置模式输入特定的命令可以进入相应的子模块配
6、置模式。例如,运行interfaceethernet0/0命令进入ethernet0/0接口配置模式,此时的提示符变更为:hostname(config-if-eth0/0)#采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物初始基本配置基本配置步骤:1)配置接口2)配置默认路由3)配置允许访问策略采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物1)配置接口(WebUI)网络网络 接口接口 编辑编辑网络网络 接口接口 点击需配
7、置接口右侧编辑按钮采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物2)配置默认路由(WebUI)网络网络 路由路由 目的路由目的路由 新建新建采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物3)配置上网策略(WebUI)防火墙防火墙 策略策略 点击需配置接口右侧编辑按钮内部上网是从Trust到untrust的访问,因此创建从内到外的访问策略防火墙防火墙 策略策略 点击需配置接口右侧编辑按钮“源地址”处选择要被限制的IP地址范
8、围,若选择“Any”则会对经过设备的所有地址有效采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物小结v在本章中讲述了以下内容:系统构件的功能完成基本上网配置采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物问题1、如何通过浏览器对设备进行管理?2、如何开启从外网接口登陆安全网关?3、如何开放内网用户上网的策略?采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔
9、接部位干净无污物二.安全架构通过完成此章节课程,您将可以:了解网络安全设备的用途理解StoneOS的架构StoneOS处理数据包的Flow采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物Firewall状态检测技术,通过策略过滤数据包nIP(sourceaddress,destinationaddress,protocol)nTCP/UDP(port#)nApplication(BT,QQ,MSN)nUsedtoimplementsecuritypolicies10.2.1.2Source-IP203.1.2
10、.3Destination-IP21312Source-Port80Destination-Port6Protocolgethttp1.1Data采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物状态检测包状态检测:基于选定类型检测IP包的内容来决定转发或丢弃包基于IP包中多个字段来保持IP通讯的状态通过检测的新通讯接着添加到状态表中只有在IP包与先前建立的通讯相关联时,非初始包才会被允许比包过滤提供了更高的安全性比应用代理要快得多,但没有应用代理提供的应用层控制多采用PP管及配件:根据给水设计图配置好PP管及
11、配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物网络地址转换(NAT)转换私有地址到公网地址NAT10.1.1.5Trusted10.1.1.1Untrusted201.1.8.110.1.1.5SRC-IP221.1.8.5DST-IP36033SRC-Port80DST-Port6Protocol201.1.8.1SRC-IP221.1.8.5DST-IP1025SRC-Port80DST-Port6ProtocolInternet采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接
12、部位干净无污物QoS保证关键业务流量QoS应用前关键业务受到冲击QoS应用后关键业务受到保护采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物StoneOS系统架构图采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物Zone与Interface关系接口、安全域、VS、VR之间严格的等级架构nL3-Zones绑定到virtualrouternL2-Zones绑定到virtualswitchnInterfaces绑定到securit
13、yzone一个接口只能绑定到一个安全域一个安全域可以包含一个或多个接口L3-interface绑定到L3-ZoneL2-interface绑定到L2-Zonen绑定到三层安全域的接口可以配置IP地址及管理服务IPaddresses(L3-interface)Managementservices(L3-interface)OthersL3-ZoneVirtualRouterL2-ZoneVirtualSwitchL3-InterfaceL3-ZoneVRouter采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物
14、ZonesandInterfaces为接口配置IP地址前必须先将接口绑定到三层安全域InterfaceZoneL3-ZoneIPL3-InterfaceL2-ZoneMAC(Autoconfig)L2-Interface采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物StoneOS包转发Flow采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物UntrustZoneTrustZone1.1.70.2501.1.70.0/241
15、0.1.10.510.1.20.0/24B10.1.10.0/24DMZZone10.1.20.5.254200.5.5.510.1.1.0/2410.1.2.0/24.1.254.1.2541.1.7.0/241.1.8.0/24.254.1PacketFlowExample(1of3)Web Server采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物PacketFlowExample(2of3)10.1.20.5SRC-IP200.5.5.5DST-IP29218SRC-Port80DST-Port6P
16、rotocol1. 已经建立会话?NoAddress PairProtocol Port Pair(no match)Session Table2. 查找路由,目标可达?YesNetInt NHR10.1.1.0/24E1(connected)10.1.2.0/24E2(connected)10.1.10.0/24 E110.1.1.510.1.20.0/24 E210.1.2.50.0.0.0/0E81.1.8.254Routing Table3. 不同Zone之间的流量?YesIntZoneE1PrivateE2PrivateE7PublicE8ExternalZone Table采用PP
17、管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物PacketFlowExample(3of3)4.策略允许通过?YesFromPrivatetoExternalSADAServiceAction10.1.0.0/16anyFTPpermit10.1.0.0/16anyHTTPpermit10.1.0.0/16anypingpermitanyanyanydenyAction:Permit10.1.20.5SRC-IP200.5.5.5DST-IP29218SRC-Port80DST-Port6Protocol创建会话A
18、ddressPairProtocolPortPair10.1.20.5200.5.5.56104280SessionTable采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物小结v在本章中讲述了如下内容 :v安全网络设备所需具备的功能vStoneOS的系统架构vStoneOS处理包的Flowv根据网络环境选择基于StoneOS的安全网络设备采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物问题1、hillstone安全网络设备
19、具备的几大功能?2、StoneOS 系统架构由接口、安全域、vswitch和vrouter组成,它们之间的关系?3、介绍StoneOS处理包的Flow过程?采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物三.系统管理通过完成此章节课程,您将可以实现:系统管理功能配置文件管理StoneOS版本升级采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物密码策略WebUI:系统设备管理基本信息: v密码策略hillstone提供密码复杂
20、度检测功能,可以通过启用此功能强制新建管理员账号的密码符合复杂度需求。 采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物系统管理员系统管理安全网关设备由系统管理员(Administrator)管理、配置。系统管理员的配置包括创建管理员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。安全网关拥有一个默认管理员“hillstone”,用户可以对管理员“hillstone”进行编辑,但是不能删除该管理员。管理员分为读写执行权限管理员、只读执行权限管理员。采用PP管及配件:根据给水设计图配置好PP管及配件,
21、用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物配置系统管理员(WebUI)系统设备管理基本信息采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物配置系统管理员(WebUI)系统设备管理基本信息新建采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物可信主机可信主机安全网关使用可信主机来进一步保证系统安全。管理员可以指定一个IP地址范围,在该指定范围内的主机为可信主机。只有可信主机才可以对安全网关
22、进行管理。采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物配置可信主机(WebUI)系统设备管理可信主机采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物管理接口安全网关支持的管理接口类型:Console、Telnet、SSH、WebUI自定义管理接口:各种访问方式的超时时间、端口号以及HTTPS的PKI信任域在一分钟内连续三次登录失败,系统会将登录失败的IP地址锁定两分钟。被锁定的IP地址在两分钟内不能建立与设备的连接采用P
23、P管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物配置管理接口(WebUI)系统设备管理用户接口采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物配置文件管理配置文件:以命令行的格式保存安全网关的配置信息1台设备可最大支持保存10份配置配置文件中保存的用来初始化安全网关的配置信息称作起始配置信息,安全网关通过读取起始配置信息进行启动时的初始化工作;如果找不到起始配置信息,安全网关则使用安全网关的缺省参数初始化系统纪录最近十次保存的配置
24、信息,最近一次保存的配置信息会纪录为系统的当前起始配置信息,当前系统配置信息以“current”作为标记;前九次的配置信息按照保存时间的先后以数字0到8作为标记。采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物配置文件管理(WebUI)系统配置管理员可以导入、导出或者将系统恢复出厂配置当前配置窗口提供对current配置的Web方式查阅采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物StoneOS升级通过WebUI 升级St
25、oneOS:系统 系统软件选择单选按钮。选中复选框。系统将在上载的同时备份当前运行的StoneOS。如不选中该选项,系统将用新上载的StoneOS 覆盖当前运行的StoneOS。点击浏览按钮并且选中要上载的StoneOS。点击确定按钮,系统开始上载指定的StoneOS。完成升级后,需要重启安全网关启动新升级的StoneOS。采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物系统时间安全网关的时间影响到VPN隧道的建立和时间表的时间,并且日志都是基于系统时间记录的,因此系统时间的精确性十分重要。安全网关支持两种设
26、置时间的方式,分别是手动设置和通过NTP与服务器同步。采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物系统时间(WebUI)手动设置系统时间:系统系统 日期日期/时间时间可以手动设置系统时间,或者点击“同步”按钮通过浏览器获取管理员本地电脑时间。采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物系统诊断工具(WebUI)系统系统 工具工具:安全网关提供基本的诊断工具方便,用户可以通过这些工具察看网络和路由是否连通。采用PP管及
27、配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物小结v在本章中讲述了以下内容l配置系统管理员/可信主机l配置管理接口l配置文件管理lStoneOS版本升级l配置系统时间l系统诊断工具采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物问题1、如何回退到以前保存的配置?2、升级系统Image(StoneOS)的方法?采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净
28、无污物四.交换与路由通过完成此章节课程,您将可以:安全网关工作模式配置接口配置路由配置采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物设备工作模式安全网关支持以下工作模式:路由应用模式透明应用模式混合应用模式采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物系统架构图采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物安全域在StoneOS中,域
29、是一个逻辑的实体,一个或多个接口可以绑定到域,而被应用了策略规则的域即为安全域。域具有以下特点:接口绑定到域二层和三层域决定其接口工作在二层模式或是三层模式StoneOS支持域内部策略规则,比如“从trust到trust”的策略规则采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物绑定关系接口、安全域、VSwitch和VRouter之间的绑定关系接口绑定到安全域。绑定到二层安全域的接口为二层接口,绑定到三层安全域的接口为三层接口。安全域绑定到VSwitch或者VRouter。二层安全域绑定到VSwitch,三层
30、安全域绑定到VRouter。由此,也实现了接口与VSwitch或者VRouter的绑定。策略策略则通过策略规则(PolicyRule)决定从一个安全域到另一个安全域的哪些流量该被允许,哪些流量该被拒绝。域间策略:域间策略对安全域间的流量进行控制。可通过设置域间策略来拒绝、允许从一个安全域到另一个安全域的流量。域内策略:安全域内策略对绑定到同一安全域的接口间流量进行控制。源地址和目的地址都在同一安全域中,但是通过安全网关的不同接口到达。采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物虚拟交换机(vswitch)
31、采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物VSwitch中的转发规则在一个VSwitch,即一个二层转发域中,StoneOS安全网关通过源地址学习建立MAC地址转发表。每个VSwitch都有自己的MAC地址转发表。StoneOS根据数据包的类型(IP数据包、ARP包和非IP且非ARP包),分别进行不同的处理。对未知单播的转发采用策略限制下的广播对于非IP包且非ARP包,用户可以在全局配置模式下通过配置l2-nonip-action命令指定处理方式。l2-nonip-actiondrop|forwardd
32、rop丢弃forward转发采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物透明模式为实现透明应用模式,需要根据策略规则创建一些二层安全域,并且把接口绑定到二层安全域上,同时将二层安全域绑定到VSwitch上。可以创建多个VSwitch,即多个二层转发域。透明应用模式有以下优点:无需修改受保护网络的IP设置。无需为进入受保护网络的报文创建NAT规则。采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物配置VSwitchStone
33、OS默认有一个VSwitch,即VSwtich1,VSwitch1不能被删除。用户可以根据需要创建其它VSwtich,也可以随时查看VSwitch的配置信息。用户在新建一个VSwitch的同时,也新建了与VSwitch相对应的VSwitch接口。WEBUI:创建VSwtich采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物查看MAC表信息通过StoneOSCLI,用户可以查看所有VSwitch或者某个指定接口的MAC表项,用户还可以清除所有VSwitch或者某个指定接口的MAC表项。采用PP管及配件:根据给水
34、设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物路由模式接口绑定到三层安全域上配置接口IP地址、基于安全域的策略规则在这种配置应用下,设备具有路由功能可以配置NAT规则地址转换功能采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物接口接口允许流量进出安全域。因此,为使流量能够流入和流出某个安全域,必须将接口绑定到该安全域,并且,如果是三层安全域,还需要为接口配置IP地址。然后,必须配置相应的策略规则,允许流量在不同安全域中的接口之间传输。多个接口可以被
35、绑定到一个安全域,但是一个接口不能被绑定到多个安全域。采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物接口配置(三层模式)vWEBUI方式采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物接口配置(二层模式)vWEBUI方式vCLI方式采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物接口配置(高级配置)采用PP管及配件:根据给水设计图配置好P
36、P管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物静态路由静态路由是手工定义的路由条目,根据目的地址指定下一跳,也称作目的路由对外连接较少或者内网连接相对比较稳定的网络通常使用静态路由默认路由是静态路由的一种通过WEBUI配置静态路由,如下图:采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物小结v在本章中讲述了以下内容:系统架构接口配置静态路由配置采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接
37、部位干净无污物五.基本安全策略通过完成此章节课程,您将可以:理解安全策略的用途通过安全策略保护网络资源采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物安全策略基础安全策略策略是网络安全设备的基本功能。默认情况下,安全设备会拒绝设备上所有安全域之间的信息传输。而策略则通过策略规则(PolicyRule)决定从一个安全域到另一个安全域的哪些流量该被允许,哪些流量该被拒绝。哪些网络流量可哪些网络流量可以允许通过?以允许通过?采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,
38、以保证切口面的圆度,保持熔接部位干净无污物策略分类策略分为两种:域间策略:域间策略对安全域间的流量进行控制。可通过设置域间策略来拒绝、允许从一个安全域到另一个安全域的流量。域内策略:安全域内策略对绑定到同一安全域的接口间流量进行控制。源地址和目的地址都在同一安全域中,但是通过安全网关的不同接口到达。采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物策略规则的基本元素策略规则允许或者拒绝从一个安全域到另一个安全域的流量。流量的类型、流量的源地址与目标地址以及行为构成策略规则的基本元素。Direction-两个安全
39、域之间的流量的方向,指从源安全域到目标安全域。SourceAddress-流量的源地址。DestinationAddress流量的目标地址。Service流量的服务类型。Action安全设备在遇到指定类型流量时所做的行为,包括允许(Permit)、拒绝(Deny)、隧道(Tunnel)、来自隧道(Fromtunnel)、Web认证(Webauth)五个行为。采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物策略规则策略规则分为两部分:过滤条件和行为安全域间流量的源地址和目的地址以及服务类型构成策略规则的过滤条件
40、。对于匹配过滤条件的流量可以制定处理行为,如Permit或Deny等。策略匹配顺序:系统查找策略顺序为由上至下,对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理。系统缺省的策略是拒绝所有的流量采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物安全策略布署流程安全策略布署流程采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物配置策略的步骤策略定义的步骤采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切
41、断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物面向对象的策略管理通过采用面向对象方式来实现访问控制,可以合并类似的访问控制规则,减少访问规则数量。并且对象内容的修改,安全策略可自动更新,减少安全策略的维护量。面向对象的策略实现方法:第一步,定义对象地址对象服务对象时间对象等第二步,配置面向对象的安全策略 | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物地址(Address)地址簿是StoneOS 系统中用来储存IP 地址范围与其名称的对应关系的数
42、据库。地址簿中的IP 地址与名称的对应关系条目被称作地址条目(Address Entry)。地址条目的IP 地址改变时,StoneOS 会自动更新引用了该地址条目的模块。采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物配置地址本(WebUI)对象地址簿新建采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物配置地址本(WebUI)对象地址簿编辑 | Hillstone Confidential采用PP管及配件:根据给水设计图配置
43、好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物服务(Service)服务(服务(Service):):具有协议标准的信息流。服务具有一定的特征,例如相应的协议、端口号等。服务组:服务组:将一些服务组织到一起便组成了服务组。用户可以直接将服务组应用到安全网关策略中,这样便简化了管理。 | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物系统预定义服务对象服务簿预定义列出用户可以查看或修改系统预定义服务,预定义服务只提
44、供对服务超时时间进行修改。 | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物系统预定义服务组对象服务组预定义列出用户可以查看系统预定义服务组,预定义服务组不可修改。 | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物用户自定义服务除了使用StoneOS提供的预定义服务以外,用户还可以很容易地创建自己的自定义服务。用户自定义服务可包含
45、最多8条服务条目。用户需指定的自定义服务条目的参数包括:名称传输协议TCP或UDP类型服务的源和目标端口号或者ICMP类型服务的type和code值超时时间应用类型 | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物配置自定义服务对象服务簿自定义新建 | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物配置服务组对象服务簿组新建 | H
46、illstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物配置策略规则(WebUI)安全策略列出 | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物配置策略规则(WebUI)安全策略基本配置采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物检查/移动策略规则安全策略
47、列出采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物小结v在本章中讲述了以下内容:v安全策略的用途v配置安全策略使用的地址薄v配置服务簿和服务组v配置安全策略保护网络资源采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物问题1、安全策略由哪几部分组成?2、安全策略规则的动作支持哪几种?3、安全策略执行的顺序?4、同一个安全域内的策略,缺省的动作是什么?5、状态检测与包过滤两种实现方式有何不同?采用PP管及配件:根据给水设计图配
48、置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物六.高级安全策略通过完成此章节课程,您将可以:配置基于时间表的策略配置安全网关实现对网络攻击防护配置安全网关抵御ARP攻击采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物安全网关支持时间表(Schedule)功能。时间表功能可以使策略规则在指定的时间生效,也可以控制PPPoE接口与因特网的连接时间。时间表包含绝对时间和周期。周期通过周期条目指定时间表的时间点或者时间段;而绝对时间决定周期的生效时间。每个周期最多
49、可以拥有16条周期条目。时间表采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物对象时间表新建时间表提供“绝对时间”和“周期”两种类型时间表采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物安全策略基本配置调用时间表的策略,只在时间表范围内生效应用时间表到策略采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物安全策略列出调用时间表的策略,只在时间
50、表范围内生效查看调用时间表的策略采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物基于时间表的策略网络攻击防护ARP攻击防御议程:安全策略高级特性采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物攻击防护v网络中存在多种防不胜防的攻击,如侵入或破坏网络上的服务器、盗取服务器的敏感数据、破坏服务器对外提供的服务,或者直接破坏网络设备导致网络服务异常甚至中断。作为网络安全设备的安全网关,必须具备攻击防护功能来检测各种类型的网络攻击,
51、从而采取相应的措施保护内部网络免受恶意攻击,以保证内部网络及系统正常运行。hillstone安全网关提供基于域的攻击防护功能。采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物安全攻击防护编辑攻击防护采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物基于角色和时间表的策略网络攻击防护ARP攻击防御议程:安全策略高级特性采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,
52、保持熔接部位干净无污物主机防御安全网关的主机防御功能即安全网关代替不同主机发送免费ARP包,保护被代理主机免受ARP攻击。采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物ARP防御安全IP-MACARP防御通过使用ARP学习、MAC学习、ARP认证以及ARP检查功能,StoneOS能够很好的防御ARP欺骗攻击。并且,StoneOS能够对ARP欺骗攻击进行统计,显示ARP欺骗攻击统计信息。采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位
53、干净无污物IP-MAC绑定为加强网络安全控制,安全网关支持IP-MAC地址绑定、MAC-端口绑定以及IP-MAC-端口绑定。这些绑定信息分为静态和动态两种。通过ARP学习功能、ARP扫描功能以及MAC学习功能获得绑定信息为动态绑定信息;而手工配置的绑定信息为静态信息。同时,安全网关还具有ARP检查功能。采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物IP-MAC绑定安全IP-MAC静态绑定采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部
54、位干净无污物小结v在本章中讲述了以下内容:v基于时间表配置安全策略v配置网络攻击防护v配置主机防御及IP-MAC绑定 | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物七、IPQoS通过完成此章节课程,您将可以:理解IPQOS的用途配置IPQOS功能 | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物IPQoS功能介绍基于IP的QoS
55、,即IPQoS,能够为局域网里的每一个或每一段IP进行最大带宽限制或者预留带宽。IPQoS匹配类型支持IP地址范围或者地址簿条目。上/下行流量可以独立限制,并可结合时间表对不同时段做不同控制。QoS控制策略需要绑定到接口上生效,绑定到外网接口的QoS上行/下行控制策略对应内网用户上传/下载,绑定到内网接口上行/下行对应下载/上传。 | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物IPQoS示例用户环境描述:出口带宽50Mbps,外网为E0/1接口内网连接两个网段
56、:172.16.1.0/24和192.168.1.0/24用户需求描述:172.16.1.1-172.16.1.100需限制其下载带宽为500K/IP,如出口带宽空闲时可最高到5M/IP,上传不做限制192.168.1.0/24网段中每IP下载300K,上传整个网段共享10M | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物第一步-登陆防火墙在浏览器输入防火墙缺省管理地址:192.168.1.1默认用户名hillstone密码 | Hillstone Confi
57、dential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物第二步-指定接口带宽接口默认带宽为物理最高支持带宽而非ISP承诺带宽,用户需根据实际带宽值指定接口上/下行带宽。如需使用弹性QoS功能,需点击开启弹性QoS全局配置。 | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物第三步-配置IPQoS策略限制172.16.1.1-100每IP下载带宽500K,并在出口带宽空闲时允
58、许突破500K/IP限制,每IP最大占用5M带宽。 | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物第三步-配置IPQoS策略(续)限制192.168.1.0/24每IP下载带宽最大300K,上传整个网段最大占用10M带宽。 | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物显示已配置控制策略添加后策略会在IPQoS列表显示,如多条
59、策略的IP地址范围重叠,请点击策略右侧箭头移动策略位置,从上至下第一条匹配到的策略生效。 | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物八、应用QOS通过完成此章节课程,您将可以:理解应用QOS的用途配置应用QOS | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物应用QoS功能介绍基于应用的QoS可以实现保障关键应用的带宽或者限
60、制非关键应用的带宽。应用QoS全局有效。可以实现基于时间表的应用QoS限制。应用QoS可以绑定在出接口和入接口。应用QoS可以实现上下行带宽独立限制。 | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物应用QoS示例用户环境描述:出口带宽50Mbps,外网为E0/1接口,内网连接E0/0内网连接两个网段:172.16.1.0/24和192.168.1.0/24用户需求描述:P2P应用需限制其下行带宽为10M,上传最大5MHTTP和SMTP应用下载保障20M,上传保
61、障10M | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物第一步-登陆防火墙在浏览器输入防火墙缺省管理地址:192.168.1.1默认用户名hillstone密码 | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物第二步-指定接口带宽接口默认带宽为物理最高支持带宽而非ISP承诺带宽,用户需根据实际带宽值指定接口上/下行带宽。 | H
62、illstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物第三步-开启应用识别防火墙默认不对带*号服务做应用层识别,如需对BT、xunlei等应用做基于应用的QoS控制,需要开启外网安全域的应用识别功能。 | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物第四步-配置应用QoS策略限制P2P应用下行带宽为10M,上传最大5M。 | Hillston
63、e Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物第四步-配置应用QoS策略(续)HTTP和SMTP应用上行保障10M。 | Hillstone Confidential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物第四步-配置应用QoS策略(续)HTTP和SMTP应用下行保障20M。保证带宽功能为出接口工具,所以对下载流量保证带宽需要配置在内网接口保证上行带宽。 | Hillstone Conf
64、idential采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物显示已配置控制策略添加后策略会在应用QoS列表显示,如多条策略的应用重叠,请点击策略右侧箭头移动策略位置,从上至下第一条匹配到的策略生效。117采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物九.日志报表通过完成此章节课程,您将可以:熟悉日志分类及日志的管理熟悉安全网关产品的历史统计报表功能采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切
65、断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物日志类型v事件日志EventLogv告警日志AlarmLogv安全日志securityLogv配置日志ConfigurationLogv网络日志NetworkLogv流量日志TrafficLog采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物日志输出Console终端(Remote)内存缓存(Buffer)文件(File)系统日志服务器(SyslogServer)Email地址采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切
66、断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物配置日志功能系统日志管理Log配置中可以选择需配置日志类型,如事件日志,开启日志功能并选择开启记录日志到什么位置采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物查看日志日志报表中可以选择需查看日志类型,如事件日志,如已开启到内存缓存的日志记录,则可以通过该页面查看具体日志内容采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物配置预定义统计集报表统计集预定义可以选择需
67、启用的统计集功能,启用之后,可以通过点击查看处图标查看统计内容。采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物查看统计内容统计内容可以列出当前统计信息,并且可以点击查看处的时间查看。采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物小结v在本章中讲述了以下内容:日志管理统计功能采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物问题1、安全网关日志分为哪几种?分别记录哪一类的日志?2、安全网关日志可以通过几种方式输出?3、安全网关如何打开调试日志?4、安全网关支持哪几种类型的统计功能?采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物Q/AQ/AThank You!采用PP管及配件:根据给水设计图配置好PP管及配件,用管件在管材垂直角切断管材,边剪边旋转,以保证切口面的圆度,保持熔接部位干净无污物
