Hillstone培訓(xùn)文檔的教案第1頁/共159頁日程安排準(zhǔn)備工作安全策略網(wǎng)絡(luò)地址轉(zhuǎn)換VPN部署QoS流量管理報表統(tǒng)計網(wǎng)關(guān)防病毒IPS入侵防護(hù)NBC上網(wǎng)行為管理HSM第2頁/共159頁一、準(zhǔn)備工作通過完成此章節(jié)課程，您將可以實(shí)現(xiàn)：完成設(shè)備基本管理搭建基本實(shí)驗(yàn)環(huán)境第3頁/共159頁管理接口用戶管理接口類型:CLI:ConsoleTelnetSSHWebUI:HTTPHTTPS第4頁/共159頁不同管理方式支持本地與遠(yuǎn)程兩種環(huán)境配置方法，可以通過CLI和WebUI兩種方式進(jìn)行配置支持Console、telnet、ssh、http、https管理參數(shù)數(shù)值波特率9600bit/s數(shù)據(jù)位8停止位1校驗(yàn)/流控?zé)o參數(shù)數(shù)值接口Eth0/0用戶名hillstone密碼hillstone管理IP第5頁/共159頁圖形化管理界面-WebUI基于瀏覽器的WebUI管理方式簡單靈活，可以完成常用的各種配置。準(zhǔn)備工作：

安全網(wǎng)關(guān)設(shè)備的e0/0接口配有默認(rèn)IP地址，該接口的各種管理功能均為開啟狀態(tài)。初次使用可以通過該接口管理設(shè)備，具體操作為：

將管理PC的IP地址設(shè)置為與/24同網(wǎng)段的IP地址，打開PC的Web瀏覽器，輸入

設(shè)備默認(rèn)管理員用戶名及密碼均為“hillstone”登陸后第6頁/共159頁WebUI界面初始頁面結(jié)構(gòu)導(dǎo)航菜單設(shè)備面板的端口連接狀態(tài)CPU、內(nèi)存、會話數(shù)等設(shè)備運(yùn)行情況設(shè)備基本信息，包括：序列號、運(yùn)行時間、軟件版本、AV及特征庫版本等第7頁/共159頁搭建基本實(shí)驗(yàn)環(huán)境基本配置步驟:配置接口配置默認(rèn)路由配置允許訪問策略第8頁/共159頁1）配置接口網(wǎng)絡(luò)>接口

編輯網(wǎng)絡(luò)>接口點(diǎn)擊需配置接口右側(cè)編輯按鈕第9頁/共159頁2）配置默認(rèn)路由網(wǎng)絡(luò)>路由>目的路由

新建第10頁/共159頁3）配置上網(wǎng)策略防火墻>策略點(diǎn)擊需配置接口右側(cè)編輯按鈕內(nèi)部上網(wǎng)是從Trust到untrust的訪問，因此創(chuàng)建從內(nèi)到外的訪問策略防火墻>策略點(diǎn)擊需配置接口右側(cè)編輯按鈕“源地址”處選擇要被限制的IP地址范圍，若選擇“Any”則會對經(jīng)過設(shè)備的所有地址有效第11頁/共159頁配置系統(tǒng)管理員系統(tǒng)管理安全網(wǎng)關(guān)設(shè)備由系統(tǒng)管理員（Administrator）管理、配置。系統(tǒng)管理員的配置包括創(chuàng)建管理員、配置管理員的特權(quán)、配置管理員密碼、以及管理員的訪問方式。安全網(wǎng)關(guān)擁有一個默認(rèn)管理員“hillstone”，用戶可以對管理員“hillstone”進(jìn)行編輯，但是不能刪除該管理員。管理員分為讀寫執(zhí)行權(quán)限管理員、只讀執(zhí)行權(quán)限管理員。第12頁/共159頁配置系統(tǒng)管理員系統(tǒng)>設(shè)備管理>基本信息第13頁/共159頁配置系統(tǒng)管理員系統(tǒng)>設(shè)備管理>基本信息新建第14頁/共159頁配置文件管理系統(tǒng)>配置管理員可以導(dǎo)入、導(dǎo)出或者將系統(tǒng)恢復(fù)出廠配置當(dāng)前配置窗口提供對current配置的Web方式查閱第15頁/共159頁StoneOS升級通過WebUI升級StoneOS：系統(tǒng)>系統(tǒng)軟件選擇<上載新系統(tǒng)固件>單選按鈕。選中<備份當(dāng)前系統(tǒng)固件>復(fù)選框。系統(tǒng)將在上載的同時備份當(dāng)前運(yùn)行的StoneOS。如不選中該選項(xiàng)，系統(tǒng)將用新上載的StoneOS覆蓋當(dāng)前運(yùn)行的StoneOS。點(diǎn)擊『瀏覽』按鈕并且選中要上載的StoneOS。點(diǎn)擊『確定』按鈕，系統(tǒng)開始上載指定的StoneOS。完成升級后，需要重啟安全網(wǎng)關(guān)啟動新升級的StoneOS。第16頁/共159頁系統(tǒng)診斷工具（WebUI）系統(tǒng)>工具:安全網(wǎng)關(guān)提供基本的診斷工具方便，用戶可以通過這些工具察看網(wǎng)絡(luò)和路由是否連通。第17頁/共159頁二、安全策略通過完成此章節(jié)課程，您將可以：理解安全策略的用途通過安全策略保護(hù)網(wǎng)絡(luò)資源第18頁/共159頁安全策略基礎(chǔ)安全策略策略是網(wǎng)絡(luò)安全設(shè)備的基本功能。默認(rèn)情況下，安全設(shè)備會拒絕設(shè)備上所有安全域之間的信息傳輸。而策略則通過策略規(guī)則（PolicyRule）決定從一個安全域到另一個安全域的哪些流量該被允許，哪些流量該被拒絕。哪些網(wǎng)絡(luò)流量可以允許通過？第19頁/共159頁地址（Address）地址簿是StoneOS系統(tǒng)中用來儲存IP地址范圍與其名稱的對應(yīng)關(guān)系的數(shù)據(jù)庫。地址簿中的IP地址與名稱的對應(yīng)關(guān)系條目被稱作地址條目（AddressEntry）。地址條目的IP地址改變時，StoneOS會自動更新引用了該地址條目的模塊。第20頁/共159頁配置地址本（WebUI）對象>地址簿>新建第21頁/共159頁配置地址本（WebUI）對象>地址簿>編輯第22頁/共159頁服務(wù)（Service）服務(wù)（Service）：具有協(xié)議標(biāo)準(zhǔn)的信息流。服務(wù)具有一定的特征，例如相應(yīng)的協(xié)議、端口號等。服務(wù)組：將一些服務(wù)組織到一起便組成了服務(wù)組。用戶可以直接將服務(wù)組應(yīng)用到安全網(wǎng)關(guān)策略中，這樣便簡化了管理。第23頁/共159頁系統(tǒng)預(yù)定義服務(wù)對象>服務(wù)簿>預(yù)定義>列出用戶可以查看或修改系統(tǒng)預(yù)定義服務(wù)，預(yù)定義服務(wù)只提供對服務(wù)超時時間進(jìn)行修改。第24頁/共159頁系統(tǒng)預(yù)定義服務(wù)組對象>服務(wù)組>預(yù)定義>列出用戶可以查看系統(tǒng)預(yù)定義服務(wù)組，預(yù)定義服務(wù)組不可修改。第25頁/共159頁用戶自定義服務(wù)除了使用StoneOS提供的預(yù)定義服務(wù)以外，用戶還可以很容易地創(chuàng)建自己的自定義服務(wù)。用戶自定義服務(wù)可包含最多8條服務(wù)條目。用戶需指定的自定義服務(wù)條目的參數(shù)包括：名稱傳輸協(xié)議TCP或UDP類型服務(wù)的源和目標(biāo)端口號或者ICMP類型服務(wù)的type和code值超時時間應(yīng)用類型第26頁/共159頁配置自定義服務(wù)對象>服務(wù)簿>自定義>新建第27頁/共159頁配置服務(wù)組對象>服務(wù)簿>組>新建第28頁/共159頁配置策略規(guī)則（WebUI）安全>策略>列出第29頁/共159頁配置策略規(guī)則（WebUI）安全>策略>基本配置第30頁/共159頁檢查/移動策略規(guī)則安全>策略>列出第31頁/共159頁小結(jié)在本章中講述了以下內(nèi)容：安全策略的用途配置安全策略使用的地址薄配置服務(wù)簿和服務(wù)組配置安全策略保護(hù)網(wǎng)絡(luò)資源第32頁/共159頁源NAT目的NATNAT與相關(guān)策略三、網(wǎng)絡(luò)地址轉(zhuǎn)換第33頁/共159頁源NAT配置示例配置SNAT步驟：第一步，配置源NAT規(guī)則第二步，配置訪問策略示例環(huán)境描述：系統(tǒng)部署模式為路由模式，外網(wǎng)接口為Eth0/4所有用戶上網(wǎng)均需NAT成防火墻外網(wǎng)接口IP地址第34頁/共159頁第一步，配置源NAT規(guī)則創(chuàng)建源NAT規(guī)則，將上網(wǎng)流量數(shù)據(jù)包源接口轉(zhuǎn)換為外網(wǎng)IP。第35頁/共159頁第二步，配置訪問策略源NAT規(guī)則只是定義了網(wǎng)絡(luò)層面的轉(zhuǎn)換，如需上網(wǎng)，則要添加相應(yīng)訪問策略。第36頁/共159頁源NAT目的NATNAT與相關(guān)策略議程：網(wǎng)絡(luò)地址轉(zhuǎn)換第37頁/共159頁示例一端口映射DNAT（VIP）DMZ安全域有FTP服務(wù)器和WEB服務(wù)器，IP如下圖所示，現(xiàn)有公網(wǎng)IP地址可用，通過此IP將上述兩服務(wù)器發(fā)布。第38頁/共159頁第一步，配置地址簿分別添加和0、1的地址簿。39第39頁/共159頁第二步，配置目的NAT規(guī)則添加端口映射的目的NAT策略，將訪問到的FTP服務(wù)的流量轉(zhuǎn)到0的21端口。40第40頁/共159頁第二步，配置目的NAT規(guī)則（續(xù)）添加端口映射的目的NAT策略，將訪問到的HTTP服務(wù)的流量轉(zhuǎn)到1的80端口。41第41頁/共159頁第三步，配置訪問策略上述NAT規(guī)則已經(jīng)定義了網(wǎng)絡(luò)層面的對應(yīng)關(guān)系，如需開放外網(wǎng)到服務(wù)器的訪問，需添加相應(yīng)訪問策略，策略目的IP為服務(wù)器映射所對應(yīng)的公網(wǎng)IP，如下圖依次添加untrust>dmz，目的IP為映射虛IP，服務(wù)為FTP和HTTP的策略。42第42頁/共159頁示例二IP映射（MIP）DMZ安全域有FTP服務(wù)器和WEB服務(wù)器，IP如下圖所示，現(xiàn)有公網(wǎng)IP地址和可用，通過IP映射將上述兩服務(wù)器發(fā)布。第43頁/共159頁第一步，配置地址簿分別添加、和0、1的地址簿。44第44頁/共159頁第二步，配置目的NAT規(guī)則添加IP映射的目的NAT規(guī)則，將訪問到的流量轉(zhuǎn)到0，訪問到的流量轉(zhuǎn)到1。45第45頁/共159頁第三步，配置訪問策略上述NAT規(guī)則已經(jīng)定義了網(wǎng)絡(luò)層面的對應(yīng)關(guān)系，如需開放外網(wǎng)到服務(wù)器的訪問，需添加相應(yīng)訪問策略，策略目的IP為服務(wù)器映射所對應(yīng)的公網(wǎng)IP，如下圖依次添加untrust>dmz，目的IP為映射虛IP（/）的策略。46第46頁/共159頁小結(jié)在本章中講述了以下內(nèi)容：NAT的分類源和目的NAT的應(yīng)用第47頁/共159頁VPN介紹Hillstone

IPSec

VPN配置基于策略VPN配置基于路由VPN配置LabHillstone

SSL

VPN配置SecureConnectVPNLab四、VPN部署第48頁/共159頁VirturalPrivateNetworkVPN（VirtualPrivateNetwork）在公網(wǎng)上建立的虛擬私有網(wǎng)絡(luò)節(jié)約成本簡化了企業(yè)聯(lián)網(wǎng)和廣域網(wǎng)操作VPN網(wǎng)絡(luò)有很好的兼容性和可擴(kuò)展性企業(yè)可以利用VPN迅速開展新的服務(wù)和連接全球的設(shè)施通過隧道協(xié)議需要加密、完整性校驗(yàn)、用戶認(rèn)證等安全措施第49頁/共159頁VirturalPrivateNetwork總部XYFromAtoBFromAtoBFromXtoYFromAtoB分公司ABInternet?VirtualPrivatenetworks(VPNs)在公網(wǎng)上為兩個私域網(wǎng)絡(luò)提供安全通信通道?通過加密通道保證連接的安全–在兩個公共網(wǎng)關(guān)間提供私密數(shù)據(jù)的封包服務(wù)第50頁/共159頁VPN介紹Hillstone

IPSec

VPN配置基于策略VPN配置基于路由VPN配置LabHillstone

SSL

VPN配置SecureConnectVPNLab議程：VPN部署第51頁/共159頁Site-to-Site按照VPN的數(shù)據(jù)驅(qū)動類型分為：基于策略的（Policy-based）基于路由的（Route-based）LANSite1ServerSite2Internet第52頁/共159頁配置過程IKEVPN為自動協(xié)商方式，配置包括：第一步，配置IKEVPN配置P1提議（可選）配置ISAKMP網(wǎng)關(guān)配置P2提議（可選）配置隧道第二步A（基于策略）：配置VPN安全策略，策略行為選擇隧道或來自隧道第二步B（基于路由）：綁定Tunnel接口,添加通過Tunnel接口到對端訪問的路由，根據(jù)Tunnel接口綁定安全域配置普通流量策略第53頁/共159頁配置IKE

VPN-P1提議配置P1提議WebUI：VPN>IPSecVPN>P1提議第54頁/共159頁配置IKEVPN-對端網(wǎng)關(guān)配置ISAKMP網(wǎng)關(guān)（對端）WebUI:VPN>IPSecVPN>VPN對端第55頁/共159頁WebUI:VPN>IPSecVPN>P2提議

配置IKEVPN-P2提議第56頁/共159頁WebUI:VPN>IPSecVPN>IPSecVPN導(dǎo)入對端，點(diǎn)擊“步驟2：隧道”配置IKEVPN-隧道第57頁/共159頁A.基于策略VPN--2選1配置策略(WebUI)：配置策略指定哪些流量通過VPN轉(zhuǎn)發(fā)，并指明轉(zhuǎn)發(fā)所使用隧道，如果需雙向策略，可以根據(jù)提示自動生成反向策略，然后根據(jù)需求到相應(yīng)反向策略中修改。配置策略前需先定義本地及對端IP地址第58頁/共159頁添加不做NAT規(guī)則防火墻>NAT

>源NAT第59頁/共159頁B.基于路由VPN--2選1配置隧道接口(WebUI)：網(wǎng)絡(luò)>接口>新建下拉框選擇<隧道接口>第60頁/共159頁B.基于路由VPN創(chuàng)建到隧道接口的路由(WebUI)：網(wǎng)絡(luò)>路由>目的路由>新建第61頁/共159頁B.基于路由VPN創(chuàng)建普通permit策略(WebUI)：根據(jù)tunnel接口綁定的安全域，需要添加相應(yīng)安全策略，action為普通permit策略如需雙向訪問，需添加進(jìn)站策略，按上圖交換源、目的安全域即可第62頁/共159頁IPSecVPNLab服務(wù)器/數(shù)據(jù)庫InternetLAN公司總部分支機(jī)構(gòu)E0/1：/24PC1：0/24E0/0：/24E0/1：/24E0/0：/24Server1：0/24第63頁/共159頁VPN介紹Hillstone

IPSec

VPN配置基于策略VPN配置基于路由VPN配置LabHillstone

SSL

VPN配置SecureConnectVPNLab議程：VPN部署第64頁/共159頁SCVPN概念為解決遠(yuǎn)程用戶安全訪問私網(wǎng)數(shù)據(jù)的問題，Hillstone系列安全網(wǎng)關(guān)提供基于SSL的遠(yuǎn)程登錄解決方案——SecureConnectVPN，簡稱為SCVPN。InternetSSLVPNSSLVPN移動用戶移動用戶第65頁/共159頁SCVPN基本配置步驟配置SCVPN，步驟包括：第一步，配置SCVPN地址池第二步，配置SCVPN實(shí)例第三步，創(chuàng)建三層安全域第四步，創(chuàng)建隧道接口第五步，創(chuàng)建VPN訪問策略第六步，創(chuàng)建VPN登陸用戶第66頁/共159頁第一步，配置SCVPN地址池通過配置SCVPN地址池為VPN接入用戶分配IP地址，地址池需配置網(wǎng)絡(luò)中未使用網(wǎng)段。67第67頁/共159頁第二步，配置SCVPN實(shí)例按照下圖流程新建SCVPN實(shí)例，綁定出接口、地址池后點(diǎn)擊確認(rèn)。68待續(xù)第68頁/共159頁第二步，配置SCVPN實(shí)例（續(xù)）創(chuàng)建SCVPN實(shí)例后，編輯該實(shí)例，添加隧道路由和AAA服務(wù)器。69第69頁/共159頁第三步，新建安全域新建一個三層安全域，以便SCVPN隧道接口綁定并實(shí)施策略控制。70第70頁/共159頁第四步，創(chuàng)建隧道接口創(chuàng)建隧道接口，并按下圖配置接口參數(shù)。71第71頁/共159頁第四步，創(chuàng)建VPN訪問策略添加訪問策略，允許通過SCVPN到內(nèi)網(wǎng)的訪問。72第72頁/共159頁第五步，創(chuàng)建登陸用戶賬號創(chuàng)建SCVPN登陸賬戶，因本例中SCVPN實(shí)例使用local認(rèn)證，所以需在AAA服務(wù)器local中添加用戶。73第73頁/共159頁SCVPN登陸第74頁/共159頁登陸SCVPN用戶可通過互聯(lián)網(wǎng)測試SCVPN接入，開啟瀏覽器，通過HTTPS方式訪問SCVPN實(shí)例所綁定的設(shè)備外網(wǎng)接口IP，默認(rèn)端口為443375第75頁/共159頁登陸SCVPN用戶可通過互聯(lián)網(wǎng)測試SCVPN接入，開啟瀏覽器，通過HTTPS方式訪問SCVPN實(shí)例所綁定的設(shè)備外網(wǎng)接口IP，默認(rèn)端口為443376第76頁/共159頁登陸SCVPN77若瀏覽器阻擋ActiveX控件，請?jiān)试S安裝控件，以便安裝SCVPN客戶端插件。第77頁/共159頁登陸SCVPN78連接成功后在系統(tǒng)托盤可以看到綠色圖標(biāo)，雙機(jī)該圖標(biāo)可以查看IP及路由分配狀況第78頁/共159頁小結(jié)在本章中講述了以下內(nèi)容：VPN的概念如何配置基于策略的VPN如何配置基于路由的VPN如何配置SCVPN第79頁/共159頁QoS基本概念I(lǐng)PQoS應(yīng)用QoS五、QoS流量管理第80頁/共159頁為什么需要QoS大流量時關(guān)鍵應(yīng)用運(yùn)行受沖擊帶寬沒有充分利用TCP突發(fā)特性不受控制大流量時關(guān)鍵應(yīng)用運(yùn)行受保護(hù)帶寬充分利用TCP突發(fā)特性受到控制第81頁/共159頁IPQoS示例用戶環(huán)境描述：出口帶寬50Mbps，外網(wǎng)為E0/1接口內(nèi)網(wǎng)連接兩個網(wǎng)段：/24和/24用戶需求描述：-00需限制其下載帶寬為500K/IP，如出口帶寬空閑時可最高到5M/IP，上傳不做限制/24網(wǎng)段中每IP下載300K，上傳整個網(wǎng)段共享10M82第82頁/共159頁第二步---指定接口帶寬接口默認(rèn)帶寬為物理最高支持帶寬而非ISP承諾帶寬，用戶需根據(jù)實(shí)際帶寬值指定接口上/下行帶寬。第83頁/共159頁第三步---配置IPQoS策略限制-100每IP下載帶寬500K，并在出口帶寬空閑時允許突破500K/IP限制，每IP最大占用5M帶寬。第84頁/共159頁第三步---配置IPQoS策略（續(xù)）限制/24每IP下載帶寬最大300K，上傳整個網(wǎng)段最大占用10M帶寬。第85頁/共159頁顯示已配置控制策略添加后策略會在IPQoS列表顯示，如多條策略的IP地址范圍重疊，請點(diǎn)擊策略右側(cè)箭頭移動策略位置，從上至下第一條匹配到的策略生效。第86頁/共159頁應(yīng)用QoS第87頁/共159頁應(yīng)用QoS功能介紹基于應(yīng)用的QoS可以實(shí)現(xiàn)保障關(guān)鍵應(yīng)用的帶寬或者限制非關(guān)鍵應(yīng)用的帶寬。應(yīng)用QoS全局有效?？梢詫?shí)現(xiàn)基于時間表的應(yīng)用QoS限制。應(yīng)用QoS可以綁定在出接口和入接口。應(yīng)用QoS可以實(shí)現(xiàn)上下行帶寬獨(dú)立限制。88第88頁/共159頁應(yīng)用QoS示例用戶環(huán)境描述：出口帶寬50Mbps，外網(wǎng)為E0/1接口，內(nèi)網(wǎng)連接E0/0內(nèi)網(wǎng)連接兩個網(wǎng)段：/24和/24用戶需求描述：P2P應(yīng)用需限制其下行帶寬為10M，上傳最大5MHTTP和SMTP應(yīng)用下載保障20M，上傳保障10M89第89頁/共159頁第二步---指定接口帶寬90接口默認(rèn)帶寬為物理最高支持帶寬而非ISP承諾帶寬，用戶需根據(jù)實(shí)際帶寬值指定接口上/下行帶寬。第90頁/共159頁第三步---開啟應(yīng)用識別91防火墻默認(rèn)不對帶*號服務(wù)做應(yīng)用層識別，如需對BT、xunlei等應(yīng)用做基于應(yīng)用的QoS控制，需要開啟外網(wǎng)安全域的應(yīng)用識別功能。第91頁/共159頁第四步---配置應(yīng)用QoS策略92限制P2P應(yīng)用下行帶寬為10M，上傳最大5M。第92頁/共159頁第四步---配置應(yīng)用QoS策略（續(xù)）93HTTP和SMTP應(yīng)用上行保障10M。第93頁/共159頁第四步---配置應(yīng)用QoS策略（續(xù)）94HTTP和SMTP應(yīng)用下行保障20M。保證帶寬功能為出接口工具，所以對下載流量保證帶寬需要配置在內(nèi)網(wǎng)接口保證上行帶寬。第94頁/共159頁顯示已配置控制策略95添加后策略會在應(yīng)用QoS列表顯示，如多條策略的應(yīng)用重疊，請點(diǎn)擊策略右側(cè)箭頭移動策略位置，從上至下第一條匹配到的策略生效。第95頁/共159頁小結(jié)在本章中講述了以下內(nèi)容：基本QoS概念基于IP-QoS配置基于應(yīng)用QoS配置基于角色QoS配置第96頁/共159頁通過完成此章節(jié)課程，您將可以：描述IPS功能配置IPS防護(hù)您的網(wǎng)絡(luò)六、報表統(tǒng)計第97頁/共159頁統(tǒng)計集功能介紹StoneOS的統(tǒng)計集功能允許用戶查看實(shí)時的或者一定統(tǒng)計周期內(nèi)（5分鐘或者24小時）基于不同統(tǒng)計數(shù)據(jù)類型（如帶寬、會話、新建會話數(shù)速率、攻擊速率和病毒個數(shù)）以及數(shù)據(jù)組織方式（如IP、接口、安全域、攻擊類型、應(yīng)用、病毒和用戶）的系統(tǒng)統(tǒng)計信息，并且可以根據(jù)不同需求過濾統(tǒng)計信息，從而幫助用戶更加詳細(xì)和精確地了解系統(tǒng)的資源分配及網(wǎng)絡(luò)安全狀態(tài)。98第98頁/共159頁預(yù)定義統(tǒng)計集第99頁/共159頁啟用預(yù)定義統(tǒng)計集系統(tǒng)已經(jīng)預(yù)置常見的統(tǒng)計集供用戶選擇啟用，啟用統(tǒng)計集按照右圖流程勾選相應(yīng)統(tǒng)計集并啟用即可。100第100頁/共159頁查看統(tǒng)計數(shù)據(jù)101啟用統(tǒng)計集后，點(diǎn)擊統(tǒng)計集名稱即可顯示實(shí)時統(tǒng)計數(shù)據(jù)。點(diǎn)擊查看處的5分鐘或24小時可查看該時間范圍內(nèi)的歷史曲線。第101頁/共159頁自定義統(tǒng)計集第102頁/共159頁新建自定義統(tǒng)計集103對于某些特定需求的統(tǒng)計，可以通過自定義統(tǒng)計集實(shí)現(xiàn)。第103頁/共159頁查看自定義統(tǒng)計數(shù)據(jù)104第104頁/共159頁關(guān)閉統(tǒng)計功能第105頁/共159頁關(guān)閉預(yù)定義統(tǒng)計集統(tǒng)計集功能需要占用系統(tǒng)大量運(yùn)算能力，關(guān)閉非必要統(tǒng)計集有利于節(jié)約系統(tǒng)資源。106第106頁/共159頁關(guān)閉自定義統(tǒng)計集107對于自定義統(tǒng)計集，可以編輯其狀態(tài)為非活躍暫時關(guān)閉統(tǒng)計功能。如果不再需要該統(tǒng)計集，可以直接點(diǎn)擊統(tǒng)計集右側(cè)刪除。第107頁/共159頁SA防病毒功能通過策略機(jī)制實(shí)現(xiàn)，即用戶需要首先配置防病毒Profile，并且將防病毒Profile添加到Profile組中，然后將該P(yáng)rofile組綁定到策略規(guī)則上，以此實(shí)現(xiàn)基于策略的防病毒掃描和處理。SA采用卡巴斯基病毒庫，包含萬余種病毒特征，支持病毒庫的每日自動升級，也可以手動實(shí)時升級。SA防病毒功能可掃描協(xié)議類型包括POP3、HTTP、SMTP、IMAP4以及FTP；可掃描文件類型包括存檔文件（包含壓縮存檔文件，支持壓縮類型有GZIP、ZIP和RAR）、PE、HTML、Mail、RIFF、CryptFF和JPEG。七、網(wǎng)關(guān)防病毒第108頁/共159頁防病毒全局配置防病毒>配置勾選防病毒“啟用”，開啟防病毒功能配置壓縮包最大過濾層數(shù)及超出行為SA支持自動在線更新病毒特征庫，可以按需配置每天/每周升級第109頁/共159頁配置防病毒步驟實(shí)現(xiàn)SA的防病毒過濾功能，用戶需要按照以下步驟進(jìn)行操作：1.創(chuàng)建防病毒Profile，在Profile中指定掃描文件類型、掃描協(xié)議以及系統(tǒng)發(fā)現(xiàn)病毒后采取的動作。2.將防病毒Profile綁定到安全域。第110頁/共159頁配置防病毒功能防病毒>配置新建防病毒Profile，勾選需檢測文件類型和需檢測協(xié)議，并設(shè)置對該協(xié)議中所發(fā)現(xiàn)病毒的處理動作第111頁/共159頁綁定防病毒Profile安全域防病毒>安全域綁定新建或編輯綁定列表，將上述所創(chuàng)建防病毒Profile綁定到需實(shí)現(xiàn)病毒防護(hù)的目的安全域。第112頁/共159頁查看病毒檢測日志日志報表>安全日志第113頁/共159頁小結(jié)在本章中講述了以下內(nèi)容：描述SA防病毒功能配置病毒防護(hù)第114頁/共159頁通過完成此章節(jié)課程，您將可以：描述IPS功能配置IPS防護(hù)您的網(wǎng)絡(luò)八、IPS入侵防護(hù)第115頁/共159頁從網(wǎng)絡(luò)層防火墻到入侵防御網(wǎng)絡(luò)層防火墻入侵檢測入侵防御第二階段–入侵檢測旁路接入分析網(wǎng)絡(luò)中的攻擊并告警無法實(shí)時阻斷攻擊沒有和FW聯(lián)動的標(biāo)準(zhǔn)的協(xié)議第一階段–三四層防護(hù)僅僅檢測三四層攻擊第三階段–入侵防御串聯(lián)入網(wǎng)絡(luò)，實(shí)時攻擊源阻斷深度應(yīng)用防護(hù)應(yīng)用層網(wǎng)絡(luò)層第116頁/共159頁傳統(tǒng)安全系統(tǒng)部署方式InternetAVIPSURL設(shè)備獨(dú)立運(yùn)行，管理復(fù)雜設(shè)備越多，性能影響越大，可靠性越低安全狀態(tài)分析復(fù)雜高投資，高維護(hù)成本安全問題依然存在，安全事件頻發(fā)串行部署方式，安全設(shè)備越來越多第117頁/共159頁UTM面臨的問題InternetAVIPSURL將安全功能簡單的疊加，導(dǎo)致系統(tǒng)性能急劇下降，系統(tǒng)不可用所有安全功能單獨(dú)運(yùn)行，僅是簡單集成到了一個系統(tǒng)平臺上安全模塊沒有做到內(nèi)部互動，安全問題依然存在第一代UTM越來越成為了概念，離使用越來越遠(yuǎn)…

有限的安全功能集成，離客戶的安全需求越來越遠(yuǎn)…第一代UTM僅解決了統(tǒng)一管理問題，但問題…UTMFWURLIPSAV第118頁/共159頁Hillstone解決方案-在線阻斷攻擊Internet在線檢測并阻斷攻擊，實(shí)現(xiàn)主動防護(hù)整合防火墻、IPS、流控、上網(wǎng)行為管理等，統(tǒng)一管理，提供整體解決方案基于多核全并行架構(gòu)，提供高性能應(yīng)用層檢測及防護(hù)能力

多引擎協(xié)同工作，保證AV、IPS多功能啟用下的優(yōu)異處理能力新一代Hillstone入侵防御方案，提供多重優(yōu)勢第119頁/共159頁Hillstone山石網(wǎng)科入侵防御基于深度應(yīng)用識別全新一代基于應(yīng)用行為和特征的應(yīng)用識別超過幾百種以上的應(yīng)用特征庫支持針對HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBIOS、TFTP等多種協(xié)議和應(yīng)用的攻擊檢測和防御基于多核plusG2架構(gòu)，高性能提供強(qiáng)勁的處理能力全并行的流引擎提供統(tǒng)一內(nèi)容引擎處理，內(nèi)容安全部再是性能瓶頸基于深度攻擊檢測，高精準(zhǔn)基于深度應(yīng)用狀態(tài)、精準(zhǔn)的高性能攻擊檢測和防御實(shí)時攻擊源阻斷、IP屏蔽、攻擊事件記錄攻擊迅速響應(yīng)防御最新攻擊支持超過3,000種的攻擊檢測和防御

安全專家，安全專員分析，積極應(yīng)對新攻擊支持攻擊特征庫離線在線更新，定期自動更新第120頁/共159頁IPS特征庫包含多種攻擊特征，特征根據(jù)協(xié)議進(jìn)行分類，以特征ID作為特征的唯一標(biāo)識。特征ID由兩部分構(gòu)成，分別為協(xié)議ID（第1位或者第1和第2位）和攻擊特征ID（后5位），例如ID“600120”中，“6”表示Telnet協(xié)議，“00120”表示攻擊特征ID。攻擊特征ID大于60000的為協(xié)議異常特征，攻擊特征小于60000的為攻擊特征。協(xié)議ID與協(xié)議對應(yīng)關(guān)系：攻擊特征第121頁/共159頁StoneOS支持兩種IPS工作模式，分別是IPS在線模擬模式和IPS模式。IPS在線模擬模式提供協(xié)議異常和網(wǎng)絡(luò)攻擊行為的告警、日志功能，不對檢出攻擊做重置和阻斷操作；IPS模式在提供協(xié)議異常和網(wǎng)絡(luò)攻擊行為的告警、日志功能的同時，還對檢出攻擊做重置和阻斷操作。系統(tǒng)默認(rèn)情況下工作在IPS模式下。IPS工作模式第122頁/共159頁IPS配置流程配置IPS功能防護(hù)您的網(wǎng)絡(luò)，需要按照以下步驟進(jìn)行操作：1.確認(rèn)StoneOS版本支持IPS功能（StoneOS4.0以上）。2.安裝IPS許可證，然后重啟設(shè)備。3.升級IPS攻擊特征庫。4.創(chuàng)建IPSProfile。5.將IPSProfile綁定到安全域。以下范例從第四步開始演示第123頁/共159頁創(chuàng)建IPSProfileIPS>Profile新建選擇需要檢測的協(xié)議第124頁/共159頁修改IPSProfile協(xié)議配置IPS>ProfileStoneOS提供對每種協(xié)議的單獨(dú)配置，可以根據(jù)需要細(xì)化協(xié)議具體檢測。具體配置內(nèi)容包括對該協(xié)議下不同嚴(yán)重等級的攻擊的動作、以及針對不同協(xié)議解析的具體防護(hù)參數(shù)配置第125頁/共159頁綁定IPSProfile到安全域IPS>安全域綁定新建IPS防護(hù)功能可以基于安全域啟用，綁定到安全域上的IPS策略對該安全域全局生效，并可根據(jù)需要選擇對不同攻擊方向進(jìn)行防護(hù)。第126頁/共159頁查看IPS攻擊日志日志報表>IPS日志第127頁/共159頁小結(jié)在本章中講述了以下內(nèi)容：描述安全網(wǎng)關(guān)IPS功能配置IPS防護(hù)網(wǎng)絡(luò)第128頁/共159頁通過完成此章節(jié)課程，您將可以：描述NBC功能配置NBC以實(shí)現(xiàn)上網(wǎng)行為管理九、NBC上網(wǎng)行為管理第129頁/共159頁StoneOS上網(wǎng)行為管理功能對網(wǎng)絡(luò)游戲、在線聊天、在線炒股、P2P下載、網(wǎng)頁訪問、郵件外發(fā)及論壇發(fā)帖等各種網(wǎng)絡(luò)行為進(jìn)行全面控制管理，并可以根據(jù)需要針對不同用戶、不同網(wǎng)絡(luò)行為、不同時間進(jìn)行靈活的管理策略設(shè)置和日志記錄。上網(wǎng)行為管理（NBC）第130頁/共159頁StoneOS上網(wǎng)行為管理主要功能（續(xù)）：上網(wǎng)行為管理（NBC）第131頁/共159頁StoneOS上網(wǎng)行為管理主要功能（續(xù)）：上網(wǎng)行為管理（NBC）第132頁/共159頁配置NBC步驟實(shí)現(xiàn)安全網(wǎng)關(guān)的NBC功能，用戶需要按照以下步驟進(jìn)行操作：1.轉(zhuǎn)換防火墻為全局策略模式。2.創(chuàng)建NBC策略，并指定目的安全域。3.根據(jù)需要配置例外設(shè)置。第133頁/共159頁全局策略模式NBC功能需在全局策略模式下配置，默認(rèn)情況下，系統(tǒng)處于安全域策略模式，用戶需要將安全域策略模式轉(zhuǎn)換為全局策略模式。上網(wǎng)行為>策略點(diǎn)擊全局策略并重啟第134頁/共159頁配置NBC策略NBC上網(wǎng)行為管理功能分三部分：網(wǎng)絡(luò)應(yīng)用、網(wǎng)頁內(nèi)容、外發(fā)信息。其中外發(fā)信息監(jiān)控需要配合硬盤卡及HSM實(shí)現(xiàn)。上網(wǎng)行為>策略選定目的安全域并點(diǎn)擊新建第135頁/共159頁監(jiān)控IM聊天記錄及阻斷非法應(yīng)用監(jiān)控IM聊天記錄阻斷P2P應(yīng)用第136頁/共159頁FTP及HTTP應(yīng)用控制第137頁/共159頁配置URL過濾策略NBC上網(wǎng)行為管理可以基于URL分類控制上網(wǎng)訪問，并對控制URL類別選擇是否記錄日志。第138頁/共159頁配置郵件控制策略第139頁/共159頁配置論壇發(fā)帖控制策略第140頁/共159頁配置例外設(shè)置對于特殊情況下不需要上網(wǎng)行為管理策略規(guī)則進(jìn)行控制的對象，可以通過例外設(shè)置實(shí)現(xiàn)。例外設(shè)置包括免監(jiān)督用戶、黑白名單和Bypass域名。。第141頁/共159頁小結(jié)在本章中講述了以下內(nèi)容：描述上網(wǎng)行為管理功能根據(jù)需要配置NBC功能第142頁/共159頁十、HSMHSM是山石網(wǎng)科自主研發(fā)的集中網(wǎng)絡(luò)安全管理系統(tǒng)，能夠?qū)W(wǎng)絡(luò)中的多臺Hillstone安全設(shè)備進(jìn)行集中控制和管理。HSM系統(tǒng)分為三部分，即HSM代理（HSMAgent）、HSM服務(wù)器（HSMServer）和HSM客戶端（HSMClient）。將這三部分合理部署到網(wǎng)絡(luò)中，并且實(shí)現(xiàn)安全連接后，用戶可以通過客戶端程序，查看被管理安全設(shè)備的日志信息、統(tǒng)計信息、設(shè)備屬性等，實(shí)時監(jiān)控被管理設(shè)備的運(yùn)行狀態(tài)和流量信息等。第143頁/共159頁HSM網(wǎng)管系統(tǒng)典型拓?fù)涞?44頁/共159頁

客戶端窗口介紹客戶端工作窗口包含以下各部分：菜單欄、工具欄、過濾欄、導(dǎo)航窗口、主窗口、過濾窗口、告警窗口以及狀態(tài)欄。工作窗口具體布局請參閱下圖：第145頁/共159頁

設(shè)備管理HSM提供三種方式添加設(shè)備添加單個設(shè)備批量添加設(shè)備從文件導(dǎo)入方式（支持后綴為txt和xls的文件）HSM系統(tǒng)最多同時管理200臺設(shè)備只有root用戶才有權(quán)限添加、刪除設(shè)備，給設(shè)備重命名添加設(shè)備界面如下：第146頁/共159頁

設(shè)備管理HSM設(shè)備默認(rèn)注冊密碼為“123456”，管理員可以自行修改注冊密碼在線設(shè)備不允許徹底刪除，如需刪除請先關(guān)閉設(shè)備的網(wǎng)絡(luò)管理功能修改注冊密碼界面如下：第147頁/共159頁用戶管理HSM系統(tǒng)用戶權(quán)限分三級超級管理員（默認(rèn)用戶名root，密碼123456