1、Hillstone安全網(wǎng)關(guān)基本部署,成都辦事處PS 向明旺,日程安排,一、Hillstone產(chǎn)品簡介,StoneOS系統(tǒng)簡介,功能組件 接口、安全域、Vswitch、Vrouter、防火墻策略 功能介紹 -交換&路由 -NAT -防火墻策略控制 -QOS -IPS -AD（扛攻擊） -VPN -NBC,注意：以上所列出的通用功能在所有硬件平臺及版本上均支 持，前提是具備相應(yīng)的license。,報文處理流程,StoneOS系統(tǒng)架構(gòu),報文處理流程,StoneOS系統(tǒng)架構(gòu),防火墻報文處理流程,接口和安全域綁定關(guān)系,報文處理流程,接口和安全域綁定應(yīng)用案例,報文處理流程,二、準(zhǔn)

2、備工作,通過完成此章節(jié)課程，您將可以實現(xiàn)： 完成設(shè)備基本管理 搭建基本實驗環(huán)境,管理接口,用戶管理接口類型: CLI: Console Telnet SSH WebUI: HTTP HTTPS,不同管理方式,支持本地與遠(yuǎn)程兩種環(huán)境配置方法，可以通過CLI 和WebUI 兩種方式進(jìn)行配置 支持Console、telnet、ssh、http、https管理,圖形化管理界面-WebUI,基于瀏覽器的WebUI管理方式簡單靈活，可以完成常用的各種配置。 準(zhǔn)備工作： 安全網(wǎng)關(guān)設(shè)備的e0/0接口配有默認(rèn)IP地址，該接口的各種管理功能均為開啟狀態(tài)。初次使用可以通過該接口管理設(shè)備，具體操

3、作為： 將管理PC的IP地址設(shè)置為與/24同網(wǎng)段的IP地址，打開PC的Web瀏覽器，輸入 設(shè)備默認(rèn)管理員用戶名及密碼均為“hillstone”,登陸后,WebUI界面初始頁面結(jié)構(gòu),導(dǎo)航菜單,設(shè)備面板的端口連接狀態(tài),CPU、內(nèi)存、會話數(shù)等設(shè)備運行情況,設(shè)備基本信息，包括：序列號、運行時間、軟件版本、AV及特征庫版本等,搭建基本實驗環(huán)境,基本配置步驟: 配置接口 配置默認(rèn)路由 配置允許訪問策略,1）配置接口,網(wǎng)絡(luò) 接口 編輯,網(wǎng)絡(luò) 接口 點擊需配置接口右側(cè)編輯按鈕,2）配置默認(rèn)路由,網(wǎng)絡(luò) 路由 目的路由 新建,3）配置上網(wǎng)策略,防火墻 策略

4、點擊需配置接口右側(cè)編輯按鈕,內(nèi)部上網(wǎng)是從Trust到untrust的訪問，因此創(chuàng)建從內(nèi)到外的訪問策略,防火墻 策略 點擊需配置接口右側(cè)編輯按鈕,“源地址”處選擇要被限制的IP地址范圍，若選擇“Any”則會對經(jīng)過設(shè)備的所有地址有效,配置系統(tǒng)管理員,系統(tǒng)管理 安全網(wǎng)關(guān)設(shè)備由系統(tǒng)管理員（Administrator）管理、配置。系統(tǒng)管理員的配置包括創(chuàng)建管理員、配置管理員的特權(quán)、配置管理員密碼、以及管理員的訪問方式。安全網(wǎng)關(guān)擁有一個默認(rèn)管理員“hillstone”，用戶可以對管理員“hillstone”進(jìn)行編輯，但是不能刪除該管理員。 管理員分為讀寫執(zhí)行權(quán)限管理員、只讀執(zhí)行權(quán)限管理員。,配置系統(tǒng)管理員,

5、系統(tǒng) 設(shè)備管理 基本信息,配置系統(tǒng)管理員,系統(tǒng) 設(shè)備管理 基本信息 新建,配置文件管理,系統(tǒng) 配置 管理員可以導(dǎo)入、導(dǎo)出或者將系統(tǒng)恢復(fù)出廠配置 當(dāng)前配置窗口提供對current配置的Web方式查閱,StoneOS升級,通過WebUI 升級StoneOS： 系統(tǒng) 系統(tǒng)軟件 選擇單選按鈕。 選中復(fù)選框。 系統(tǒng)將在上載的同時備份當(dāng)前運行的StoneOS。 如不選中該選項，系統(tǒng)將用新上載的StoneOS 覆蓋當(dāng)前運行的StoneOS。 點擊瀏覽按鈕并且選中要上載的StoneOS。 點擊確定按鈕，系統(tǒng)開始上載指定的StoneOS。 完成升級后，需要重啟安全網(wǎng)關(guān)啟動新升級的StoneOS。,系統(tǒng)診斷工具（

6、WebUI）,系統(tǒng) 工具: 安全網(wǎng)關(guān)提供基本的診斷工具，方便用戶可以通過這些工具察看網(wǎng)絡(luò)和路由是否連通。,三、安全策略,通過完成此章節(jié)課程，您將可以： 理解安全策略的用途 通過安全策略保護(hù)網(wǎng)絡(luò)資源,安全策略基礎(chǔ),安全策略 策略是網(wǎng)絡(luò)安全設(shè)備的基本功能。默認(rèn)情況下，安全設(shè)備會拒絕設(shè)備上所有安全域之間的信息傳輸。而策略則通過策略規(guī)則（Policy Rule）決定從一個安全域到另一個安全域的哪些流量該被允許，哪些流量該被拒絕。,哪些網(wǎng)絡(luò)流量可以允許通過？,防火墻的核心功能組件,傳輸協(xié)議+端口,防火墻綜合技術(shù)原理,策略控制：,會話檢測：,對防火墻在不同安全域或安全級別之間的訪問配置相應(yīng)的策略規(guī)則后，數(shù)

7、據(jù)報文入防火墻時防火墻會基于五元組去查詢與之匹配的策略規(guī)則（每種報文只會匹配一次，如所有的規(guī)則都不匹配則匹配默認(rèn)的策略規(guī)則），然后執(zhí)行規(guī)則中定義的相應(yīng)動作（permit/drop）。,對于已經(jīng)成功建立的會話，防火墻會為之建立會話表，以記錄報文的相關(guān)信息（五元組），新的報文進(jìn)入防火墻之后防火墻會先查詢是否有與之相匹配的會話條目，如有則直接按會話狀態(tài)走fast path處理，以節(jié)約CPU等資源。如不是已經(jīng)存在的會話，則查詢策略規(guī)則并安裝會話狀態(tài)表，以便快速處理后續(xù)同一會話的其它報文。,地址（Address）,地址簿是StoneOS 系統(tǒng)中用來儲存IP 地址范圍與其名稱的對應(yīng)關(guān)系的數(shù)據(jù)庫。 地址簿中

8、的IP 地址與名稱的對應(yīng)關(guān)系條目被稱作地址條目（Address Entry）。 地址條目的IP 地址改變時，StoneOS 會自動更新引用了該地址條目的模塊。,配置地址本（WebUI）,對象 地址簿 新建,地址薄名稱,地址薄成員,配置地址本（WebUI）,對象 地址簿 編輯,地址薄成員,服務(wù)（Service）,服務(wù)（Service）：具有協(xié)議標(biāo)準(zhǔn)的信息流。服務(wù)具有一定的特征，例如相應(yīng)的協(xié)議、端口號等。 服務(wù)組：將一些服務(wù)組織到一起便組成了服務(wù)組。用戶可以直接將服務(wù)組應(yīng)用到安全網(wǎng)關(guān)策略中，這樣便簡化了管理。,系統(tǒng)預(yù)定義服務(wù),對象 服務(wù)簿 用戶可以查看或修改系統(tǒng)預(yù)定義服務(wù)，預(yù)定義服務(wù)只提供對服務(wù)超

9、時時間進(jìn)行修改。,系統(tǒng)預(yù)定義服務(wù)組,對象 服務(wù)薄 用戶可以查看系統(tǒng)預(yù)定義服務(wù)組，預(yù)定義服務(wù)組不可修改。,用戶自定義服務(wù),除了使用StoneOS 提供的預(yù)定義服務(wù)以外，用戶還可以很容易地創(chuàng)建自己的自定義服務(wù)。用戶自定義服務(wù)可包含最多8 條服務(wù)條目。用戶需指定的自定義服務(wù)條目的參數(shù)包括： 名稱 傳輸協(xié)議 TCP 或UDP 類型服務(wù)的源和目標(biāo)端口號或者ICMP 類型服務(wù)的type 和code 值 超時時間 應(yīng)用類型,配置自定義服務(wù),對象 服務(wù)簿 自定義服務(wù) 新建,服務(wù)名稱,協(xié)議,源、目的端口,配置服務(wù)組,對象 服務(wù)簿 自定義服務(wù)組,配置策略規(guī)則（WebUI）,防火墻 策略,配置策略規(guī)則（WebUI）

10、,安全 策略,檢查/移動策略規(guī)則,安全 策略,小結(jié),在本章中講述了以下內(nèi)容： 安全策略的用途 配置安全策略使用的地址薄 配置服務(wù)簿和服務(wù)組 配置安全策略保護(hù)網(wǎng)絡(luò)資源,源NAT 目的NAT NAT與相關(guān)策略,四、網(wǎng)絡(luò)地址轉(zhuǎn)換,源NAT配置示例,配置SNAT步驟： 第一步，配置源NAT規(guī)則 第二步，配置訪問策略,示例環(huán)境描述： 系統(tǒng)部署模式為路由模式，外網(wǎng)接口為Eth0/4 所有用戶上網(wǎng)均需NAT成防火墻外網(wǎng)接口IP地址,第一步，配置源NAT規(guī)則,創(chuàng)建源NAT規(guī)則，將上網(wǎng)流量數(shù)據(jù)包源接口轉(zhuǎn)換為外網(wǎng)IP。,第二步，配置訪問策略,源NAT規(guī)則只是定義了網(wǎng)絡(luò)層面的轉(zhuǎn)換，如需上網(wǎng)，則要添加相應(yīng)訪問策略。,

11、源NAT 目的NAT NAT與相關(guān)策略,議程：網(wǎng)絡(luò)地址轉(zhuǎn)換,示例一 端口映射DNAT（VIP）,DMZ安全域有FTP服務(wù)器和WEB服務(wù)器，IP如下圖所示，現(xiàn)有公網(wǎng)IP地址可用，通過此IP將上述兩服務(wù)器發(fā)布。,第一步，配置地址簿,分別添加和0、1的地址簿。,47,第二步，配置目的NAT規(guī)則,添加端口映射的目的NAT策略，將訪問到的FTP服務(wù)的流量轉(zhuǎn)到0的21端口。,第二步，配置目的NAT規(guī)則（續(xù)）,添加端口映射的目的NAT策略，將訪問到的HTTP服務(wù)的流量轉(zhuǎn)到1

12、的80端口。,第三步，配置訪問策略,上述NAT規(guī)則已經(jīng)定義了網(wǎng)絡(luò)層面的對應(yīng)關(guān)系，如需開放外網(wǎng)到服務(wù)器的訪問，需添加相應(yīng)訪問策略，策略目的IP為服務(wù)器映射所對應(yīng)的公網(wǎng)IP，如下圖依次添加untrustdmz，目的IP為映射虛IP，服務(wù)為FTP和HTTP的策略。,示例二 IP映射（MIP）,DMZ安全域有FTP服務(wù)器和WEB服務(wù)器，IP如下圖所示，現(xiàn)有公網(wǎng)IP地址和可用，通過IP映射將上述兩服務(wù)器發(fā)布。,第一步，配置地址簿,分別添加、和0、1的地址簿。,52,第二步，配置目的NAT規(guī)則,添加IP

13、映射的目的NAT規(guī)則，將訪問到的流量轉(zhuǎn)到0，訪問到的流量轉(zhuǎn)到1。,53,第三步，配置訪問策略,上述NAT規(guī)則已經(jīng)定義了網(wǎng)絡(luò)層面的對應(yīng)關(guān)系，如需開放外網(wǎng)到服務(wù)器的訪問，需添加相應(yīng)訪問策略，策略目的IP為服務(wù)器映射所對應(yīng)的公網(wǎng)IP，如下圖依次添加untrustdmz，目的IP為映射虛IP（/）的策略。,54,小結(jié),在本章中講述了以下內(nèi)容： NAT的分類 源和目的NAT的應(yīng)用,QoS基本概念 IP QoS 應(yīng)用QoS,五、QoS流量管理,為什么需要QoS,大流量時關(guān)鍵應(yīng)用運行受沖擊 帶寬沒有充分利

14、用 TCP突發(fā)特性不受控制,大流量時關(guān)鍵應(yīng)用運行受保護(hù) 帶寬充分利用 TCP突發(fā)特性受到控制,IP QoS,IP QoS功能介紹,基于IP的QoS可以實現(xiàn)保障關(guān)鍵IP/網(wǎng)段的帶寬或者限制非關(guān)鍵IP/網(wǎng)段的帶寬。 IPQoS全局有效。 可以實現(xiàn)基于時間表的IPQoS限制。 IP QoS可以綁定在出接口和入接口。 IP QoS可以實現(xiàn)上下行帶寬獨立限制。,59,IP QoS示例,用戶環(huán)境描述： 出口帶寬50Mbps，外網(wǎng)為E0/1接口 內(nèi)網(wǎng)連接兩個網(wǎng)段：/24和/24 用戶需求描述： -00需限制其下載帶寬為500K

15、/IP，如出口帶寬空閑時可最高到5M/IP，上傳不做限制 /24網(wǎng)段中每IP下載300K，上傳整個網(wǎng)段共享10M,60,第二步-指定接口帶寬,接口默認(rèn)帶寬為物理最高支持帶寬而非ISP承諾帶寬，用戶需根據(jù)實際帶寬值指定接口上/下行帶寬。,第三步-配置IP QoS策略,限制-100每IP下載帶寬500K，并在出口帶寬空閑時允許突破500K/IP限制，每IP最大占用5M帶寬。,第三步-配置IP QoS策略（續(xù)）,限制/24每IP下載帶寬最大300K，上傳整個網(wǎng)段最大占用10M帶寬。,顯示已配置控制策略,添加后策略會在IP QoS列表顯示

16、，如多條策略的IP地址范圍重疊，請點擊策略右側(cè)箭頭移動策略位置，從上至下第一條匹配到的策略生效。,應(yīng)用 QoS,應(yīng)用 QoS功能介紹,基于應(yīng)用的QoS可以實現(xiàn)保障關(guān)鍵應(yīng)用的帶寬或者限制非關(guān)鍵應(yīng)用的帶寬。 應(yīng)用QoS全局有效。 可以實現(xiàn)基于時間表的應(yīng)用QoS限制。 應(yīng)用QoS可以綁定在出接口和入接口。 應(yīng)用QoS可以實現(xiàn)上下行帶寬獨立限制。,66,應(yīng)用 QoS示例,用戶環(huán)境描述： 出口帶寬50Mbps，外網(wǎng)為E0/1接口，內(nèi)網(wǎng)連接E0/0 內(nèi)網(wǎng)連接兩個網(wǎng)段：/24和/24 用戶需求描述： P2P應(yīng)用需限制其下行帶寬為10M，上傳最大5M HTTP和SMT

17、P應(yīng)用下載保障20M，上傳保障10M,67,第二步-指定接口帶寬,68,接口默認(rèn)帶寬為物理最高支持帶寬而非ISP承諾帶寬，用戶需根據(jù)實際帶寬值指定接口上/下行帶寬。,第三步-開啟應(yīng)用識別,69,防火墻默認(rèn)不對帶*號服務(wù)做應(yīng)用層識別，如需對BT、xunlei等應(yīng)用做基于應(yīng)用的QoS控制，需要開啟外網(wǎng)安全域的應(yīng)用識別功能。,第四步-配置應(yīng)用 QoS策略,70,限制P2P應(yīng)用下行帶寬為10M，上傳最大5M。,第四步-配置應(yīng)用 QoS策略（續(xù)）,71,HTTP和SMTP應(yīng)用上行保障10M。,第四步-配置應(yīng)用 QoS策略（續(xù)）,72,HTTP和SMTP應(yīng)用下行保障20M。 保證帶寬功能為出接口工具，所以

18、對下載流量保證帶寬需要配置在內(nèi)網(wǎng)接口保證上行帶寬。,顯示已配置控制策略,73,添加后策略會在應(yīng)用QoS列表顯示，如多條策略的應(yīng)用重疊，請點擊策略右側(cè)箭頭移動策略位置，從上至下第一條匹配到的策略生效。,小結(jié),在本章中講述了以下內(nèi)容： 基本QoS概念 基于IP-QoS配置 基于應(yīng)用QoS配置,六、報表統(tǒng)計,報表統(tǒng)計功能簡介： 可統(tǒng)計的數(shù)據(jù)類型 流量、會話、新建會話數(shù)速率、攻擊速率、病 毒個數(shù)、入侵次數(shù)、URL 命中次數(shù)、關(guān)鍵字 阻斷次數(shù)和應(yīng)用阻斷次數(shù) 支持的數(shù)據(jù)組織方式 IP、接口、安全域、攻擊類型、應(yīng)用、病毒、 用戶、特征ID、URL、URL 類別、關(guān)鍵字和阻 斷類型,統(tǒng)計集功能介紹,StoneOS 的統(tǒng)計集功能允許用戶查看實時的或者一定統(tǒng)計周期內(nèi)（5 分鐘或者24 小時）基于不同統(tǒng)計數(shù)據(jù)類型（如帶寬、會話、新建會話數(shù)速率、攻擊速率和病毒個數(shù)）以及數(shù)據(jù)組織方式（如IP、接口、安全域、攻擊類型、應(yīng)用、病毒和用戶）的系統(tǒng)統(tǒng)計信息，并且可以根據(jù)不同需求過濾統(tǒng)計信息，從而幫助用戶更加詳細(xì)和精確地了解系統(tǒng)的資源分配及網(wǎng)絡(luò)安全狀態(tài)。,76,預(yù)定義統(tǒng)計集,啟用預(yù)定義統(tǒng)計集,系統(tǒng)已經(jīng)預(yù)置常