山石网关培训教材ppt课件.ppt

部署Hillstone安全网关,日程安排,一. 准备工作,通过完成此章节课程，您将可以：了解设备管理方式完成基本上网配置,管理接口,用户管理接口类型:CLI:ConsoleTelnet SSHWebUI:HTTPHTTPS,不同管理方式,支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置支持Console、telnet、ssh、http、https管理,图形化管理界面-WebUI,基于浏览器的WebUI管理方式简单灵活，可以完成常用的各种配置。准备工作： 安全网关设备的e0/0接口配有默认IP地址192.168.1.1，该接口的各种管理功能均为开启状态。初次使用可以通过该接口管理设备，具体操作为： 将管理PC的IP地址设置为与192.168.1.1/24同网段的IP地址，打开PC的Web浏览器，输入http:/192.168.1.1 设备默认管理员用户名及密码均为“hillstone”,登陆后,WebUI界面初始页面结构,导航菜单,设备面板的端口连接状态,CPU、内存、会话数等设备运行情况,设备基本信息，包括：序列号、运行时间、软件版本、AV及特征库版本等,当前网络中占用带宽最多的IP排名,CLI用户接口,通过Console线连接PC的串口至安全网关的CON接口打开终端模拟器使用以下缺省账户登陆用户名: hillstone 密码: hillstoneCLI 快捷键使用 Tab 自动补齐命令使用 ? 查看帮助,进入配置模式,全局配置模式:全局配置模式允许用户修改安全网关的配置参数。用户在执行模式下，输入configure 命令，可进入全局配置模式。该模式的提示符如下所示： hostname(config)#子模块配置模式：安全网关的不同模块功能需要在其对应的命令行子模块模式下进行配置。用户在全局配置模式输入特定的命令可以进入相应的子模块配置模式。例如，运行interface ethernet0/0 命令进入ethernet0/0 接口配置模式，此时的提示符变更为： hostname(config-if-eth0/0)#,初始基本配置,基本配置步骤:配置接口配置默认路由配置允许访问策略,1）配置接口（WebUI）,网络 接口 编辑,网络 接口 点击需配置接口右侧编辑按钮,2）配置默认路由（WebUI）,网络 路由 目的路由 新建,3）配置上网策略（WebUI）,防火墙 策略 点击需配置接口右侧编辑按钮,内部上网是从Trust到untrust的访问，因此创建从内到外的访问策略,防火墙 策略 点击需配置接口右侧编辑按钮,“源地址”处选择要被限制的IP地址范围，若选择“Any”则会对经过设备的所有地址有效,小结,在本章中讲述了以下内容：系统构件的功能完成基本上网配置,问题,1、如何通过浏览器对设备进行管理？2、如何开启从外网接口登陆安全网关？3、如何开放内网用户上网的策略？,二. 安全架构,通过完成此章节课程，您将可以：了解网络安全设备的用途理解StoneOS的架构StoneOS处理数据包的Flow,Firewall,状态检测技术，通过策略过滤数据包IP (source address, destination address, protocol)TCP/UDP (port #)Application (BT, QQ, MSN)Used to implement security policies,状态检测,包状态检测: 基于选定类型检测IP包的内容来决定转发或丢弃包基于IP包中多个字段来保持IP通讯的状态通过检测的新通讯接着添加到状态表中只有在IP包与先前建立的通讯相关联时，非初始包才会被允许比包过滤提供了更高的安全性比应用代理要快得多，但没有应用代理提供的应用层控制多,网络地址转换（NAT）,转换私有地址到公网地址,NAT,10.1.1.5,Trusted 10.1.1.1,Untrusted201.1.8.1,Internet,QoS,保证关键业务流量,QoS应用前关键业务受到冲击,QoS应用后关键业务受到保护,StoneOS系统架构图,Zone 与 Interface 关系,接口、安全域、VS、VR之间严格的等级架构L3-Zones绑定到virtual routerL2-Zones绑定到virtual switchInterfaces绑定到security zone一个接口只能绑定到一个安全域一个安全域可以包含一个或多个接口L3-interface绑定到L3-ZoneL2-interface绑定到L2-Zone绑定到三层安全域的接口可以配置IP地址及管理服务IP addresses(L3-interface)Management services(L3-interface)Others,L3-Zone,Virtual Router,L2-Zone,Virtual Switch,L3-Interface,L3-Zone,VRouter,Zones and Interfaces,为接口配置IP地址前必须先将接口绑定到三层安全域,StoneOS 包转发Flow,UntrustZone,TrustZone,1.1.70.250,1.1.70.0/24,10.1.10.5,10.1.20.0/24,B,10.1.10.0/24,DMZZone,10.1.20.5,.254,200.5.5.5,10.1.1.0/24,10.1.2.0/24,.1.254,.1.254,1.1.7.0/24,1.1.8.0/24,.254.1,Packet Flow Example (1 of 3),Web Server,Packet Flow Example (2 of 3),Packet Flow Example (3 of 3),小结,在本章中讲述了如下内容 :安全网络设备所需具备的功能StoneOS的系统架构StoneOS处理包的Flow根据网络环境选择基于StoneOS的安全网络设备,问题,1、hillstone安全网络设备具备的几大功能？2、StoneOS 系统架构由接口、安全域、vswitch和vrouter组成，它们之间的关系？3、介绍StoneOS处理包的Flow过程？,三. 系统管理,通过完成此章节课程，您将可以实现：系统管理功能配置文件管理 StoneOS版本升级,密码策略,WebUI：系统 设备管理 基本信息：,密码策略 hillstone提供密码复杂度检测功能，可以通过启用此功能强制新建管理员账号的密码符合复杂度需求。,系统管理员,系统管理安全网关设备由系统管理员（Administrator）管理、配置。系统管理员的配置包括创建管理员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。安全网关拥有一个默认管理员“hillstone”，用户可以对管理员“hillstone”进行编辑，但是不能删除该管理员。管理员分为读写执行权限管理员、只读执行权限管理员。,配置系统管理员（WebUI）,系统 设备管理 基本信息,配置系统管理员（WebUI）,系统 设备管理 基本信息 新建,可信主机,可信主机安全网关使用可信主机来进一步保证系统安全。管理员可以指定一个IP地址范围，在该指定范围内的主机为可信主机。只有可信主机才可以对安全网关进行管理。,配置可信主机（WebUI）,系统 设备管理 可信主机,管理接口,安全网关支持的管理接口类型:Console、Telnet、SSH 、WebUI 自定义管理接口：各种访问方式的超时时间、端口号以及HTTPS 的PKI 信任域在一分钟内连续三次登录失败，系统会将登录失败的IP 地址锁定两分钟。被锁定的IP 地址在两分钟内不能建立与设备的连接,配置管理接口（WebUI）,系统 设备管理 用户接口,配置文件管理,配置文件：以命令行的格式保存安全网关的配置信息1台设备可最大支持保存10份配置配置文件中保存的用来初始化安全网关的配置信息称作起始配置信息，安全网关通过读取起始配置信息进行启动时的初始化工作；如果找不到起始配置信息，安全网关则使用安全网关的缺省参数初始化系统纪录最近十次保存的配置信息，最近一次保存的配置信息会纪录为系统的当前起始配置信息，当前系统配置信息以“current”作为标记；前九次的配置信息按照保存时间的先后以数字0 到8 作为标记。,配置文件管理（WebUI）,系统 配置 管理员可以导入、导出或者将系统恢复出厂配置当前配置窗口提供对current配置的Web方式查阅,StoneOS升级,通过WebUI 升级StoneOS：系统 系统软件选择单选按钮。选中复选框。系统将在上载的同时备份当前运行的StoneOS。如不选中该选项，系统将用新上载的StoneOS 覆盖当前运行的StoneOS。点击浏览按钮并且选中要上载的StoneOS。点击确定按钮，系统开始上载指定的StoneOS。完成升级后，需要重启安全网关启动新升级的StoneOS。,系统时间,安全网关的时间影响到VPN 隧道的建立和时间表的时间，并且日志都是基于系统时间记录的，因此系统时间的精确性十分重要。安全网关支持两种设置时间的方式，分别是手动设置和通过NTP 与服务器同步。,系统时间（WebUI）,手动设置系统时间:系统 日期/时间可以手动设置系统时间，或者点击“同步”按钮通过浏览器获取管理员本地电脑时间。,系统诊断工具（WebUI）,系统 工具:安全网关提供基本的诊断工具方便，用户可以通过这些工具察看网络和路由是否连通。,小结,在本章中讲述了以下内容配置系统管理员/可信主机配置管理接口配置文件管理StoneOS版本升级配置系统时间系统诊断工具,问题,1、如何回退到以前保存的配置？2、升级系统 Image（StoneOS）的方法？,四. 交换与路由,通过完成此章节课程，您将可以：安全网关工作模式配置接口配置路由配置,设备工作模式,安全网关支持以下工作模式：路由应用模式透明应用模式混合应用模式,系统架构图,安全域,在StoneOS 中，域是一个逻辑的实体，一个或多个接口可以绑定到域，而被应用了策略规则的域即为安全域。域具有以下特点：接口绑定到域二层和三层域决定其接口工作在二层模式或是三层模式StoneOS 支持域内部策略规则，比如“从trust 到trust”的策略规则,绑定关系,接口、安全域、VSwitch 和VRouter 之间的绑定关系接口绑定到安全域。绑定到二层安全域的接口为二层接口，绑定到三层安全域的接口为三层接口。安全域绑定到VSwitch 或者VRouter。二层安全域绑定到VSwitch，三层安全域绑定到VRouter。由此，也实现了接口与VSwitch 或者VRouter 的绑定。策略策略则通过策略规则（Policy Rule）决定从一个安全域到另一个安全域的哪些流量该被允许，哪些流量该被拒绝。域间策略：域间策略对安全域间的流量进行控制。可通过设置域间策略来拒绝、允许从一个安全域到另一个安全域的流量。域内策略：安全域内策略对绑定到同一安全域的接口间流量进行控制。源地址和目的地址都在同一安全域中，但是通过安全网关的不同接口到达。,虚拟交换机(vswitch),VSwitch 中的转发规则,在一个VSwitch，即一个二层转发域中，StoneOS 安全网关通过源地址学习建立MAC 地址转发表。每个VSwitch 都有自己的MAC 地址转发表。StoneOS 根据数据包的类型（IP 数据包、ARP 包和非IP 且非ARP 包），分别进行不同的处理。对未知单播的转发采用策略限制下的广播对于非IP 包且非ARP 包， 用户可以在全局配置模式下通过配置l2-nonip-action 命令指定处理方式。l2-nonip-action drop | forwarddrop 丢弃forward 转发,透明模式,为实现透明应用模式，需要根据策略规则创建一些二层安全域，并且把接口绑定到二层安全域上，同时将二层安全域绑定到VSwitch 上。可以创建多个VSwitch，即多个二层转发域。透明应用模式有以下优点：无需修改受保护网络的IP 设置。无需为进入受保护网络的报文创建NAT 规则。,配置VSwitch,StoneOS 默认有一个VSwitch，即VSwtich1，VSwitch1 不能被删除。用户可以根据需要创建其它VSwtich，也可以随时查看VSwitch 的配置信息。用户在新建一个VSwitch 的同时，也新建了与VSwitch 相对应的VSwitch 接口。WEBUI:创建VSwtich,查看MAC 表信息,通过StoneOS CLI，用户可以查看所有VSwitch 或者某个指定接口的MAC 表项，用户还可以清除所有VSwitch 或者某个指定接口的MAC 表项。,路由模式,接口绑定到三层安全域上配置接口IP 地址、基于安全域的策略规则在这种配置应用下，设备具有路由功能可以配置NAT 规则地址转换功能,接口,接口允许流量进出安全域。因此，为使流量能够流入和流出某个安全域，必须将接口绑定到该安全域，并且，如果是三层安全域，还需要为接口配置IP 地址。然后，必须配置相应的策略规则，允许流量在不同安全域中的接口之间传输。多个接口可以被绑定到一个安全域，但是一个接口不能被绑定到多个安全域。,接口配置（三层模式）,WEBUI方式,接口配置（二层模式）,WEBUI方式,CLI方式,接口配置（高级配置）,静态路由,静态路由是手工定义的路由条目，根据目的地址指定下一跳，也称作目的路由对外连接较少或者内网连接相对比较稳定的网络通常使用静态路由默认路由是静态路由的一种通过WEBUI配置静态路由，如下图：,小结,在本章中讲述了以下内容：系统架构接口配置静态路由配置,五. 基本安全策略,通过完成此章节课程，您将可以：理解安全策略的用途通过安全策略保护网络资源,安全策略基础,安全策略策略是网络安全设备的基本功能。默认情况下，安全设备会拒绝设备上所有安全域之间的信息传输。而策略则通过策略规则（Policy Rule）决定从一个安全域到另一个安全域的哪些流量该被允许，哪些流量该被拒绝。,哪些网络流量可以允许通过？,策略分类,策略分为两种：域间策略：域间策略对安全域间的流量进行控制。可通过设置域间策略来拒绝、允许从一个安全域到另一个安全域的流量。域内策略：安全域内策略对绑定到同一安全域的接口间流量进行控制。源地址和目的地址都在同一安全域中，但是通过安全网关的不同接口到达。,策略规则的基本元素,策略规则允许或者拒绝从一个安全域到另一个安全域的流量。流量的类型、流量的源地址与目标地址以及行为构成策略规则的基本元素。Direction - 两个安全域之间的流量的方向，指从源安全域到目标安全域。Source Address - 流量的源地址。Destination Address 流量的目标地址。Service 流量的服务类型。Action 安全设备在遇到指定类型流量时所做的行为， 包括允许（Permit）、拒绝（Deny）、隧道（Tunnel）、来自隧道（Fromtunnel）、Web认证（Webauth）五个行为。,策略规则,策略规则分为两部分：过滤条件和行为安全域间流量的源地址和目的地址以及服务类型构成策略规则的过滤条件。对于匹配过滤条件的流量可以制定处理行为，如Permit或Deny等。策略匹配顺序：系统查找策略顺序为由上至下，对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理。系统缺省的策略是拒绝所有的流量,安全策略布署流程,安全策略布署流程,配置策略的步骤,策略定义的步骤,面向对象的策略管理,通过采用面向对象方式来实现访问控制，可以合并类似的访问控制规则，减少访问规则数量。并且对象内容的修改，安全策略可自动更新，减少安全策略的维护量。面向对象的策略实现方法：第一步，定义对象地址对象服务对象时间对象等第二步，配置面向对象的安全策略,地址（Address）,地址簿是StoneOS 系统中用来储存IP 地址范围与其名称的对应关系的数据库。地址簿中的IP 地址与名称的对应关系条目被称作地址条目（Address Entry）。地址条目的IP 地址改变时，StoneOS 会自动更新引用了该地址条目的模块。,配置地址本（WebUI）,对象 地址簿 新建,配置地址本（WebUI）,对象 地址簿 编辑,服务（Service）,服务（Service）：具有协议标准的信息流。服务具有一定的特征，例如相应的协议、端口号等。服务组：将一些服务组织到一起便组成了服务组。用户可以直接将服务组应用到安全网关策略中，这样便简化了管理。,系统预定义服务,对象 服务簿 预定义 列出用户可以查看或修改系统预定义服务，预定义服务只提供对服务超时时间进行修改。,系统预定义服务组,对象 服务组 预定义 列出用户可以查看系统预定义服务组，预定义服务组不可修改。,用户自定义服务,除了使用StoneOS 提供的预定义服务以外，用户还可以很容易地创建自己的自定义服务。用户自定义服务可包含最多8 条服务条目。用户需指定的自定义服务条目的参数包括：名称传输协议TCP 或UDP 类型服务的源和目标端口号或者ICMP 类型服务的type 和code 值超时时间应用类型,配置自定义服务,对象 服务簿 自定义 新建,配置服务组,对象 服务簿 组 新建,配置策略规则（WebUI）,安全 策略 列出,配置策略规则（WebUI）,安全 策略 基本配置,检查/移动策略规则,安全 策略 列出,小结,在本章中讲述了以下内容：安全策略的用途配置安全策略使用的地址薄配置服务簿和服务组配置安全策略保护网络资源,问题,1、安全策略由哪几部分组成？2、安全策略规则的动作支持哪几种？3、安全策略执行的顺序？4、同一个安全域内的策略，缺省的动作是什么？5、状态检测与包过滤两种实现方式有何不同？,六. 高级安全策略,通过完成此章节课程，您将可以：配置基于时间表的策略配置安全网关实现对网络攻击防护配置安全网关抵御ARP攻击,安全网关支持时间表（Schedule）功能。时间表功能可以使策略规则在指定的时间生效，也可以控制PPPoE 接口与因特网的连接时间。时间表包含绝对时间和周期。周期通过周期条目指定时间表的时间点或者时间段；而绝对时间决定周期的生效时间。每个周期最多可以拥有16 条周期条目。,时间表,对象 时间表 新建时间表提供“绝对时间”和“周期”两种类型,时间表,安全 策略 基本配置调用时间表的策略，只在时间表范围内生效,应用时间表到策略,安全 策略 列出调用时间表的策略，只在时间表范围内生效,查看调用时间表的策略,基于时间表的策略网络攻击防护ARP攻击防御,议程：安全策略高级特性,攻击防护,网络中存在多种防不胜防的攻击，如侵入或破坏网络上的服务器、盗取服务器的敏感数据、破坏服务器对外提供的服务，或者直接破坏网络设备导致网络服务异常甚至中断。作为网络安全设备的安全网关，必须具备攻击防护功能来检测各种类型的网络攻击，从而采取相应的措施保护内部网络免受恶意攻击，以保证内部网络及系统正常运行。hillstone 安全网关提供基于域的攻击防护功能。,安全 攻击防护 编辑,攻击防护,基于角色和时间表的策略网络攻击防护ARP攻击防御,议程：安全策略高级特性,主机防御,安全网关的主机防御功能即安全网关代替不同主机发送免费ARP 包，保护被代理主机免受ARP 攻击。,ARP防御,安全 IP-MAC ARP防御 通过使用ARP 学习、MAC 学习、ARP 认证以及ARP 检查功能，StoneOS 能够很好的防御ARP 欺骗攻击。并且，StoneOS 能够对ARP 欺骗攻击进行统计，显示ARP 欺骗攻击统计信息。,IP-MAC绑定,为加强网络安全控制，安全网关支持IP-MAC 地址绑定、MAC-端口绑定以及IP-MAC-端口 绑定。这些绑定信息分为静态和动态两种。通过ARP 学习功能、ARP 扫描功能以及MAC 学习功能获得绑定信息为动态绑定信息；而手工配置的绑定信息为静态信息。同时，安全网关还具有ARP 检查功能。,IP-MAC绑定,安全 IP-MAC 静态绑定,小结,在本章中讲述了以下内容：基于时间表配置安全策略配置网络攻击防护配置主机防御及IP-MAC绑定,七、IP QoS,通过完成此章节课程，您将可以：理解IPQOS的用途配置IPQOS功能,IP QoS功能介绍,基于IP的QoS，即IP QoS，能够为局域网里的每一个或每一段IP进行最大带宽限制或者预留带宽。IP QoS匹配类型支持IP地址范围或者地址簿条目。上/下行流量可以独立限制，并可结合时间表对不同时段做不同控制。QoS控制策略需要绑定到接口上生效，绑定到外网接口的QoS上行/下行控制策略对应内网用户上传/下载，绑定到内网接口上行/下行对应下载/上传。,101,IP QoS示例,用户环境描述：出口带宽50Mbps，外网为E0/1接口内网连接两个网段：172.16.1.0/24和192.168.1.0/24用户需求描述：172.16.1.1-172.16.1.100需限制其下载带宽为500K/IP，如出口带宽空闲时可最高到5M/IP，上传不做限制192.168.1.0/24网段中每IP下载300K，上传整个网段共享10M,102,第一步-登陆防火墙,103,在浏览器输入防火墙缺省管理地址：192.168.1.1 默认用户名 hillstone 密码hillstone,第二步-指定接口带宽,104,接口默认带宽为物理最高支持带宽而非ISP承诺带宽，用户需根据实际带宽值指定接口上/下行带宽。如需使用弹性QoS功能，需点击开启弹性QoS全局配置。,第三步-配置IP QoS策略,105,限制172.16.1.1-100每IP下载带宽500K，并在出口带宽空闲时允许突破500K/IP限制，每IP最大占用5M带宽。,第三步-配置IP QoS策略（续）,106,限制192.168.1.0/24每IP下载带宽最大300K，上传整个网段最大占用10M带宽。,显示已配置控制策略,107,添加后策略会在IP QoS列表显示，如多条策略的IP地址范围重叠，请点击策略右侧箭头移动策略位置，从上至下第一条匹配到的策略生效。,八、应用QOS,通过完成此章节课程，您将可以：理解应用QOS的用途配置应用QOS,应用 QoS功能介绍,基于应用的QoS可以实现保障关键应用的带宽或者限制非关键应用的带宽。应用QoS全局有效。可以实现基于时间表的应用QoS限制。应用QoS可以绑定在出接口和入接口。应用QoS可以实现上下行带宽独立限制。,109,应用 QoS示例,用户环境描述：出口带宽50Mbps，外网为E0/1接口，内网连接E0/0内网连接两个网段：172.16.1.0/24和192.168.1.0/24用户需求描述：P2P应用需限制其下行带宽为10M，上传最大5MHTTP和SMTP应用下载保障20M，上传保障10M,110,第一步-登陆防火墙,111,在浏览器输入防火墙缺省管理地址：192.168.1.1 默认用户名 hillstone 密码hillstone,第二步-指定接口带宽,112,接口默认带宽为物理最高支持带宽而非ISP承诺带宽，用户需根据实际带宽值指定接口上/下行带宽。,第三步-开启应用识别,113,防火墙默认不对带*号服务做应用层识别，如需对BT、xunlei等应用做基于应用的QoS控制，需要开启外网安全域的应用识别功能。,第四步-配置应用 QoS策略,114,限制P2P应用下行带宽为10M，上传最大5M。,第四步-配置应用 QoS策略（续）,115,HTTP和SMTP应用上行保障10M。,第四步-配置应用 QoS策略（续）,116,HTTP和SMTP应用下行保障20M。保证带宽功能为出接口工具，所以对下载流量保证带宽需要配置在内网接口保证上行带宽。,显示已配置控制策略,117,添加后策略会在应用QoS列表显示，如多条策略的应用重叠，请点击策略右侧箭头移动策略位置，从上至下第一条匹配到的策略生效。,九. 日志报表,通过完成此章节课程，您将可以：熟悉日志分类及日志的管理熟悉安全网关产品的历史统计报表功能,日志类型,事件日志 Event Log 告警日志 Alarm Log安全日志 security Log配置日志 Configuration Log 网络日志 Network Log流量日志 Traffic Log,日志输出,Console终端（Remote）内存缓存（Buffer）文件（File）系统日志服务器（Syslog Server） Email 地址,配置日志功能,系统 日志管理 Log配置 中可以选择需配置日志类型，如事件日志，开启日志功能并选择开启记录日志到什么位置,查看日志,日志报表 中可以选择需查看日志类型，如事件日志，如已开启到内存缓存的日志记录，则可以通过该页面查看具体日志内容,配置预定义统计集,报表 统计集 预定义 可以选择需启用的统计集功能，启用之后，可以通过点击查看处图标查看统计内容。,查看统计内容,统计内容可以列出当前统计信息，并且可以点击查看处的时间查看。,小结,在本章中讲述了以下内容：日志管理统计功能,问题,1、安全网关日志分为哪几种？分别记录哪一类的日志？2、安全网关日志可以通过几种方式输出？3、安全网关如何打开调试日志？4、安全网关支持哪几种类型的统计功能？,Q/A,Q/A,