Hillstone安全网关Web界面配置指导

Web界面配置指导Version4.0Hillstone山石网科Hillstoneversion4.01目录一、设备的登录...........................................................................................................................2二、基本上网配置........................................................................................................................3三、端口映射...............................................................................................................................8四、IPSECVPN两种模式的配置..................................................................................................14五、SCVPN配置.........................................................................................................................19六、WEB认证上网功能配置......................................................................................................23七、URL日志记录......................................................................................................................26八、IP-MAC绑定实现IP或MAC变更不能上网........................................................................28九、设备恢复出厂操作..............................................................................................................30十、AAA服务器使用AD域类型的配置....................................................................................31十一、SCVPN调用两个AAA服务器中的用户认证登录...........................................................34十二、HA配置注意事项............................................................................................................35Hillstoneversion4.02一、设备的登录设备默认的管理接口为ethernet0/0，登录的ip为192.168.1.1,，默认的管理账号为hillstone，密码为hillstone。把本地电脑网卡填写IP为192.168.1.2，使用web、telnet、ssh均可登录，，在浏览器中输入192.168.1.1就可以通过WEBui的方式登录管理设备。注意：如果是SG6000-NAV系列的http的服务端口统一为9090，https的服务端口统一为8443。所以默认登录该设备的WEBui的方式为或登录的账号密码都为hillstoneHillstoneversion4.03二、基本上网配置1.设置接口信息购买的宽带地址是静态IP，一般会营业厅会告知IP地址、子网掩码、网关、DNS。例如IP地址200.0.0.188子网掩码255.255.255.0或24，网关200.0.0.1DNS202.106.0.20配置外网接口，ethernet0/1为连接外网的接口【网络】【接口】，在接口列表中选择ethernet0/1，点击该接口后面的“编辑”按钮显示接口配置界面如下：配置完基本信息，点击“确认”上面是静态IP的使用，如果是ADSL拨号，【网络】【PPPoE客户端】新建填写使用的用户名和密码Hillstoneversion4.04外网接口调用PPPoE，选择【设置路由】启用，勾选后不需要创建第2步的目的路由Hillstoneversion4.05配置内网口，比如ethernet0/3连接内网：ethernet0/3的配置界面如下：配置完基本信息，点击“确认”2.增加内网上网的目的路由【网络】【路由】【目的路由】，填写完信息，点击“确认”Hillstoneversion4.063．增加内网用户上网的NAT配置【防火墙】【NAT】【源NAT】，点击“新建”选择“基本配置”：选择出接口，点击“确认”。4.增加内网用户访问外网的策略【防火墙】【策略】，源安全域选择“trust”，目前安全域选择“untrust”，点击“新建”点击“新建”显示如下：Hillstoneversion4.07选择服务簿、设备行为，点击“确认”配置完以上四步后，就可以实现内部用户的基本上网。命令行配置：进入config配置模式接口配置interfaceethernet0/1zoneuntrustipaddress200.0.0.188255.255.255.0managepingmanagesshmanagehttpsexitinterfaceethernet0/3zone“trust”ipaddress192.168.2.1255.255.255.0managepingmanagesshmanagehttpsexit路由和NAT配置ipvroutertrust-vrsnatruleid1fromAnytoAnyeifethernet0/1trans-toeif-ipmodedynamicportiproute0.0.0.0/0200.0.0.1exit配置策略policyfromtrusttountrustrulefromanytoanyserviceanypermitexitHillstoneversion4.08三、端口映射1、最好先配好地址薄和服务薄，映射的地址都用32位掩码，4个255。服务可以先查看是否有预定义好的，可以自定义。2、点击配置界面“目的地址”点击新建，显示如下Hillstoneversion4.09“服务”，下拉框中选择“自定义服务”，选择“新建”，具体配置如下：Hillstoneversion4.010点击“新建”如下：端口是范围就写最小最大，是一个端口只需要写最小即可，源端口不填写“映射目的地址”，选择“新建”点击新建，显示如下：Hillstoneversion4.011“映射到端口”，填写如下：点击确定后显示如下：“点击编辑”显示如下：Hillstoneversion4.012点击“确认”后显示如下（如图id为3的项）：1.允许从外面访问该映射的监控服务器【防火墙】【策略】新建，显示如下点击“新建”，具体配置如下：Hillstoneversion4.013以上配置完成后外网即可正常访问。注意：配置地址簿和服务薄时信息要修改成实际使用的地址和服务端口号。使用中会遇到的问题：3、映射HTTP网站或FTP，内网用户使用公网的域名无法访问，因为解析的地址是公网IP（此生不包含内网有自己建的DNS服务器可以解析到私网地址的情况）。这就需要我们再做一个策略。如果服务器和客户PC同属trust安全域，做trust到trust策略放行即可。如果服务器和客户PC分属不同安全域，如服务器属DMZ，客户PC属trust，做trust到DMZ策略放行即可。4、有时服务器使用双网卡，造成外网用户访问服务器不正常。这是因为用户访问的公网地址经过目的NAT的转换，找到服务器其中的一个网卡地址，但服务器回包却用另外一个网卡的地址回包，所以造成访问的异常。这时通过做一条源NAT来解决，首先要知道服务器连接防火墙的哪个接口，然后做SNAT，出接口就是防火墙连服务器的那个接口，做出接口地址转换。5、服务器和内网客户PC分属不同三层交换机下，但三层交换机间有互连，这时需要也需要做服务器连的三层交换机和防火墙互连的内网接口的SNAT。Hillstoneversion4.014四、IPSecVPN两种模式的配置1、创建IPSecVPN2、创建策略模式使用策略调用VPN，或路由模式使用隧道接口调用VPN3、创建其它。【VPN】【IPSecVPN】创建IPsecVPN创建第一阶段Hillstoneversion4.015第二阶段选择tunnel模式，代理ID就是两边要通信的内网网段地址，服务选择any。同样，对端的设备按照实际的网络接口信息，配置相应的提议和模式即可。2、路由模式VPN【网络】【接口】创建隧道接口并关联IPSecVPNHillstoneversion4.016对端也是如此。Hillstoneversion4.017创建策略【防火墙】【策略】对端设备也是如此配置。3、策略模式IpsecVPN，不需要创建隧道接口和路由，需要用策略和SNAT不转换来使流量加解密。先创建两条地址薄，本地和对端的。创建SNAT不转换，选择SNAT高级配置，源地址和目的地址一定要是两端内网做VPN加密的地址段，动作执行不转换，放置首位。否则将会影响流量正常使用。Hillstoneversion4.018创建策略调用VPN，启用双向后自动创建一条untrust到trust的策略。创建完毕后调整策略的上下顺序，必须保证VPN的策略在最顶上。对端亦如此配置。Hillstoneversion4.019五、SCVPN配置Scvpn配置1、创建地址池，留出tunnel接口用的IP。地址池必须要和内网其它网段分离开，不能重叠。2、Scvpn实例新建选择以下两项后直接确认。3、添加隧道路由和AAA服务器。点击隧道路由多个进行添加，添加客户端到内网访问的路由，如果内网是192.168.1.0网段，需要访问的服务器也在这个网段，就直接添加该192.168.1.0/24的路由Hillstoneversion4.020点击AAA添加AAA服务器，默认选择local，在设备上创建用户，点击确定即可。Hillstoneversion4.0214、在用户列表创建用户，添加用户名和密码5、在接口目录下，新建隧道接口并关联新建的scvpn实例tunnel接口地址必须和地址池是同一网段且不在地址池中被占用。Hillstoneversion4.022新建防火墙策略trust到trust策略放行即可。Scvpn创建完毕。登录方法：假设公网IP为200.0.0.190输入创建的用户名密码，登录成功后下载插件安装即可。Hillstoneversion4.023六、Web认证上网功能配置1、先启用web认证，使用HTTP模式进行配置，多个登录勾选代表同一个用户名可以多个人同时使用，不勾选表示一个用户名只能一个机器登录。超时时间代表客户端和设备之间的保持多久去验证是否还在线，即心跳时间。先创建三条策略，第一条放行DNS，第二和三条全