Web界面配置指导V4.0
Hillstone version 4.0
30
警告:请慎用该功能。安全网关恢复到出厂配置后,所有已做配置都将被清除。
CLI 命令: unset all
WebUI 系统管理> 配置备份还原> 『恢复出厂配置』
硬件CLR
CLR按键位于前面板的针孔内,其功能为恢复安全网关的出厂配置。用户忘记密码无法登录
时,可通过此方法重新登录。
恢复安全网关出厂配置的操作步骤如下:
1. 关闭安全网关的电源。
2. 用针状物按住CLR按键,打开安全网关的电源。
3. 保持按住状态直到指示灯STA和ALM均变为红色常亮,释放CLR按键。此时系统开始恢
复出厂配置。
4. 出厂配置恢复完毕,系统将会自动重新启动。
Hillstone version 4.0
31
HA
1、设备硬件平台型号要一样,软件StoneOS版本要一样。
2、两端设备的许可证开启的功能必须一样。许可证类型可以有正式和测试,但开启的功能
必须一致。
3、查下列对应表:
policy mode是全局还是基于zone的
show av status
show ips status
show url-db info
exec vrouter disable
这些要一致,如果特征库不一致,要升级到相同的版本号。 Hillstone version 4.0
10
点击“新建”如下:
“映射目的地址”,选择“新建”
点击新建,显示如下: Hillstone version 4.0
11
“映射到端口”,填写如下:
点击确定后显示如下:
“点击编辑”显示如下: Hillstone version 4.0
12
点击“确认”后显示如下 (如图id 为3的项):
1. 允许从外面访问该映射的监控服务器
【防火墙】>>【策略】>>新建,显示如下
点击“新建”,具体配置如下: Hillstone version 4.0
13
以上配置完成后外网即可正常访问。
注意:
配置地址簿和服务薄时 信息要修改成实际使用的地址和服务端口号。
3、映射HTTP网站或FTP,内网用户使用公网的域名无法访问,因为解析的地址是公网IP
(此生不包含内网有自己建的DNS服务器可以解析到私网地址的情况)。
这就需要我们再做一个策略。
如果服务器和客户PC同属trust安全域,做trust到trust策略放行即可。
如果服务器和客户PC分属不同安全域,如服务器属DMZ,客户PC属trust,做trust到DMZ
策略放行即可。
4、有时服务器使用双网卡,造成外网
用户访问服务器不正常。
这是因为用户访问的公网地址经过目的NAT的转换,找到服务器其中的一个网卡地址,但
服务器回包却用另外一个网卡的地址回包,所以造成访问的异常。
这时通过做一条源NAT来解决,首先要知道服务器连接防火墙的哪个接口,然后做SNAT,
出接口就是防火墙连服务器的那个接口,做出接口地址转换。
5、服务器和内网客户PC分属不同三层交换机下,但三层交换机间有互连,这时需要也需
要做服务器连的三层交换机和防火墙互连的内网接口的SNAT。
Hillstone version 4.0
14
IPSecVPN
1、创建IPSecVPN
2、创建策略模式使用策略调用VPN,或路由模式使用隧道接口调用VPN
3、创建其它。
【VPN】>>【IPSec VPN】创建IPsecVPN
创建第一阶段
Hillstone version 4.0
15
第二阶段选择
tunnel模式,代理ID就是两边要通信的内网网段地址,服务选择any。
同样,对端的设备按照实际的网络接口信息,配置相应的提议和模式即可。
2、路由模式VPN
【网络】>>【接口】 创建隧道接口并关联IPSecVPN
Hillstone version 4.0
16
对端也是如此。 Hillstone version 4.0
17
创建策略
【防火墙】>>【策略】
对端设备也是如此配置。
3、策略模式IpsecVPN,不需要创建隧道接口和路由,需要用策略和SNAT不转换来使流量
加解密。
先创建两条地址薄,本地和对端的。
创建SNAT不转换,选择SNAT高级配置,源地址和目的地址一定要是两端内网做VPN加密
的地址段,动作执行不转换,放置首位。否则将会影响流量正常使用。 Hillstone version 4.0
18
创建策略调用VPN,启用双向后自动创建一条untrust到trust的策略。
创建完毕后调整策略的上下顺序,必须保证VPN的策略在最顶上。对端亦如此配置。
Hillstone version 4.0
19
SCVPN
Scvpn配置
1、创建地址池,留出tunnel接口用的IP。地址池必须要和内网其它网段分离开,不能重叠。
2、Scvpn实例新建
选择以下两项后直接确认。
3、添加隧道路由和AAA服务器。
点击隧道路由多个进行添加,添加客户端到内网访问的路由,如果内网是192.168.1.0网段,
需要访问的服务器也在这个网段,就直接添加该192.168.1.0 /24 的路由 Hillstone version 4.0
20
点击AAA添加AAA服务器,默认选择local,在 设备上创建用户,点击确定即可。 Hillstone version 4.0
21
4、在用户列表创建用户,添加用户名和密码
5、在接口目录下,新建隧道接口并关联新建的scvpn实例
tunnel接口地址必须和地址池是同一网段且不在地址池中被占用。 Hillstone version 4.0
22
新建防火墙策略trust到trust策略放行即可。
Scvpn创建完毕。
登录方法:假设公网IP为200.0.0.190
https://200.0.0.190:4433
输入创建的用户名密码,登录成功后下载插件安装即可。
Hillstone version 4.0
23
Web
1、先启用web认证,使用HTTP模式进行配置,多个登录勾选代表同一个用户名可以多个
人同时使用,不勾选表示一个用户名只能一个机器登录。
超时时间代表客户端和设备之间的保持多久去验证是否还在线,即心跳时间。
先创建三条策略,第一条放行DNS,第二和三条全放行,然后编辑第二条策略。
编辑第二条策略,角色一定为unknow。 Hillstone version 4.0
24
概念解释: :认证成功后,系统会在超时时间结束前对认证成功页面进行自动刷新,
确认登录信息。文本框中输入超时时间,单位为秒。范围为20至86400秒,
默认值为120秒。
:指定用户进行重认证的时间间隔,单位为分钟。范围为10
到1440分钟。
:指定用户重新登录的时间间隔,单位为分钟。范围为10到144000
分钟。
:选中<启用>复选框开启自动踢出功能。同一用户再次登录的信息
会替换掉已登录的信息,系统自动断开已登录的连接。
URL:指定重定向的URL的地址。重定向URL是指用户在认证成功并
返回认证页面后,弹出的新页面将会重定向到指定的URL页面。如果没有配
置该功能,新弹出页面将返回用户输入的地址页面。该功能的正确执行需要 Hillstone version 4.0
25
浏览器关闭弹出窗口阻止程序。如果浏览器阻止弹出窗口,新弹出的页面将
被阻止,需要手工确认才能打开。 补充说明如下:
1、超时,指Webauth的页面和防火墙定期做心跳检查的时间
2、重新认证超时,指Webauth客户端与防火墙会在这个时间内做重新认证的检查,当
Webauth的客户端页面处于打开的状态时,Webauth客户端会自动重新认证。当
Webauth客户端关闭或者该Webauth的用户名密码更改后,重新认证会失败。
3、强制超时,指用户在时间间隔到达时,必须用户重新
认证
Hillstone version 4.0
26
URL
【应用】>>【HTTP控制】
【对象】>>【Profile组】
上网的那条策略调用Profile组 Hillstone version 4.0
27
进入日志配置中启用流量日志
Hillstone version 4.0
28
IP-MAC
IPMAC 先扫描内网网段
绑定所有,然后再去掉互连网地址的绑定
去掉互连网绑定后只留下内网的绑定。互连网地址若绑定后,一旦运营商更换设备将造成网
关IP和MAC无法对应造成断网。
关闭内网接口的ARP学习,这样防火墙将只查看静态绑定列表。当有新电脑加入时只需添
加IP-MAC即可。 Hillstone version 4.0
29
另外不关闭学习也可以命令行操作,在内网e0/0接口配置模式下敲入以下命令:
SG-6000(config)# interface ethernet0/0
SG-6000(config-if-eth0/0)# arp-disable-dynamic-entry
SG-6000(config-if-eth0/0)# exit
这个命令是ARP还学习,但只检查静态绑定的列表。
Hillstone version 4.0
30
警告:请慎用该功能。安全网关恢复到出厂配置后,所有已做配置都将被清除。
CLI 命令: unset all
WebUI 系统管理> 配置备份还原> 『恢复出厂配置』
硬件CLR
CLR按键位于前面板的针孔内,其功能为恢复安全网关的出厂配置。用户忘记密码无法登录
时,可通过此方法重新登录。
恢复安全网关出厂配置的操作步骤如下:
1. 关闭安全网关的电源。
2. 用针状物按住CLR按键,打开安全网关的电源。
3. 保持按住状态直到指示灯STA和ALM均变为红色常亮,释放CLR按键。此时系统开始恢
复出厂配置。
4. 出厂配置恢复完毕,系统将会自动重新启动。
Hillstone version 4.0
31
HA
1、设备硬件平台型号要一样,软件StoneOS版本要一样。
2、两端设备的许可证开启的功能必须一样。许可证类型可以有正式和测试,但开启的功能
必须一致。
3、查下列对应表:
policy mode是全局还是基于zone的
show av status
show ips status
show url-db info
exec vrouter disable
这些要一致,如果特征库不一致,要升级到相同的版本号。