Hillstone安全网关Web界面配置指导

Web界面配置指导

Version 4.0

Hillstone山石网科

Hillstone version 4.0

目录

一、设备的登录 ...........................................................................................................................

二、基本上网配置........................................................................................................................

三、端口映射 ...............................................................................................................................

四、IPSECVPN两种模式的配置.................................................................................................. 14

五、SCVPN配置 ......................................................................................................................... 19

六、WEB认证上网功能配置...................................................................................................... 23

七、URL日志记录 ...................................................................................................................... 26

八、IP-MAC绑定实现IP或MAC变更不能上网........................................................................ 28

九、设备恢复出厂操作 .............................................................................................................. 30

十、AAA服务器使用AD域类型的配置 .................................................................................... 31

十一、SCVPN调用两个AAA服务器中的用户认证登录 ........................................................... 34

十二、HA配置注意事项 ............................................................................................................ 35

2

3

8

1

Hillstone version 4.0

一、设备的登录

设备默认的管理接口为

密码为hillstone。

把本地电脑网卡填写IP为192.168.1.2，使用web、telnet、ssh均可登录，，在浏览器中输入

9090，https的服务端口统一为

192.168.1.1 就可以通过WEBui的方式登录管理设备。

注意：如果是SG6000-NAV 系列的http的服务端口统一为

8443。所以默认登录该设备的

ethernet0/0，登录的ip为192.168.1.1,，默认的管理账号为hillstone，

WEBui的方式为192.168.1.1:9090,或

192.168.1.1:8443登录的账号密码都为hillstone

2

Hillstone version 4.0

二、基本上网配置

1.设置接口信息

购买的宽带地址是静态

例如IP地址

IP，一般会营业厅会告知IP地址、子网掩码、网关、

200.0.0.1

DNS。

200.0.0.188 子网掩码255.255.255.0 或24，网关

DNS 202.106.0.20

配置外网接口，ethernet0/1 为连接外网的接口

【网络】>>【接口】，在接口列表中选择ethernet0/1，点击该接口后面的“编辑”按钮

显示接口配置界面如下：配置完基本信息，点击“确认”

上面是静态IP的使用，如果是

【网络】>>【PPPoE客户端】

ADSL拨号，

新建填写使用的用户名和密码

3

Hillstone version 4.0

外网接口调用PPPoE，选择【设置路由】启用，勾选后不需要创建第2步的目的路由

4

Hillstone version 4.0

配置内网口，比如ethernet0/3连接内网：

ethernet0/3的配置界面如下：

配置完基本信息，点击“确认”

2.增加内网上网的目的路由

【网络】>>【路由】>>【目的路由】，

填写完信息，点击“确认”

5

Hillstone version 4.0

3．增加内网用户上网的NAT配置

【防火墙】>>【NAT】>>【源NAT】，点击“新建”

选择“基本配置”：

选择出接口，点击“确认”。

4.增加内网用户访问外网的策略

【防火墙】>>【策略】，源安全域选择“trust”，目前安全域选择“untrust”，点击“新建”

点击“新建”显示如下：

6

Hillstone version 4.0

选择服务簿、设备行为，点击“确认”

配置完以上四步后，就可以实现内部用户的基本上网。

命令行配置：

进入config配置模式

接口配置

interface ethernet0/1

zone "untrust"

ip address 200.0.0.188 255.255.255.0

manage ping

manage ssh

manage https

exit

interface ethernet0/3

zone “trust”

ip address 192.168.2.1 255.255.255.0

manage ping

manage ssh

manage https

exit

路由和NAT配置

ip vrouter "trust-vr"

snatrule id 1 from "Any" to "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport

ip route

exit

配置策略

policy from "trust" to "untrust"

rule from

exit

7

0.0.0.0/0 200.0.0.1

any to any service any permit

Hillstone version 4.0

三、端口映射

1、最好先配好地址薄和服务薄，映射的地址都用

否有预定义好的，可以自定义。

2、点击配置界面

32位掩码，4个255。服务可以先查看是

“目的地址”点击新建，显示如下

8

Hillstone version 4.0

“服务”，下拉框中选择“自定义服务”，选择“新建”，具体配置如下：

9

Hillstone version 4.0

点击“新建”如下：

端口是范围就写最小最大，是一个端口只需要写最小即可，源端口不填写

“映射目的地址”，选择“新建”

点击新建，显示如下：

10

Hillstone version 4.0

“映射到端口”，填写如下：

点击确定后显示如下：

“点击编辑”显示如下：

11

Hillstone version 4.0

点击“确认”后显示如下（如图id 为3的项）：

1.允许从外面访问该映射的监控服务器

【防火墙】>>【策略】>>新建，显示如下

点击“新建”，具体配置如下：

12

Hillstone version 4.0

以上配置完成后外网即可正常访问。

注意：

配置地址簿和服务薄时

使用中会遇到的问题：

3、映射HTTP网站或FTP，内网用户使用公网的域名无法访问，因为解析的地址是公网

（此生不包含内网有自己建的

这就需要我们再做一个策略。

如果服务器和客户

如果服务器和客户

策略放行即可。

4、有时服务器使用双网卡，造成外网用户访问服务器不正常。

这是因为用户访问的公网地址经过目的

这时通过做一条源

NAT的转换，找到服务器其中的一个网卡地址，但

SNAT，

服务器回包却用另外一个网卡的地址回包，所以造成访问的异常。

NAT来解决，首先要知道服务器连接防火墙的哪个接口，然后做

出接口就是防火墙连服务器的那个接口，做出接口地址转换。

5、服务器和内网客户PC分属不同三层交换机下，但三层交换机间有互连，这时需要也需

SNAT。

PC同属trust安全域，做trust到trust策略放行即可。

PC分属不同安全域，如服务器属DMZ，客户PC属trust，做trust到DMZ

DNS服务器可以解析到私网地址的情况）。

IP

信息要修改成实际使用的地址和服务端口号。

要做服务器连的三层交换机和防火墙互连的内网接口的

13

Hillstone version 4.0

四、IPSecVPN两种模式的配置

1、创建IPSecVPN

2、创建策略模式使用策略调用

3、创建其它。

【VPN】>>【IPSec VPN】创建IPsecVPN

VPN，或路由模式使用隧道接口调用VPN

创建第一阶段

14

Hillstone version 4.0

第二阶段选择tunnel模式，代理ID就是两边要通信的内网网段地址，服务选择any。

同样，对端的设备按照实际的网络接口信息，配置相应的提议和模式即可。

2、路由模式VPN

【网络】>>【接口】创建隧道接口并关联IPSecVPN

15

Hillstone version 4.0

对端也是如此。

16

Hillstone version 4.0

创建策略【防火墙】>>【策略】

对端设备也是如此配置。

3、策略模式

加解密。

先创建两条地址薄，本地和对端的。

IpsecVPN，不需要创建隧道接口和路由，需要用策略和SNAT不转换来使流量

创建SNAT不转换，选择SNAT高级配置，源地址和目的地址一定要是两端内网做VPN加密

的地址段，动作执行不转换，放置首位。否则将会影响流量正常使用。

17

Hillstone version 4.0

创建策略调用VPN，启用双向后自动创建一条untrust到trust的策略。

创建完毕后调整策略的上下顺序，必须保证VPN的策略在最顶上。对端亦如此配置。

18

Hillstone version 4.0

五、SCVPN配置

Scvpn配置

1、创建地址池，留出tunnel接口用的IP。地址池必须要和内网其它网段分离开，不能重叠。

2、Scvpn实例新建

选择以下两项后直接确认。

3、添加隧道路由和AAA服务器。

添加客户端到内网访问的路由，如果内网是192.168.1.0网段，

192.168.1.0 /24 的路由

点击隧道路由多个进行添加，

需要访问的服务器也在这个网段，就直接添加该

19

Hillstone version 4.0

点击AAA添加AAA服务器，默认选择local，在设备上创建用户，点击确定即可。

20

Hillstone version 4.0

4、在用户列表创建用户，添加用户名和密码

5、在接口目录下，新建隧道接口并关联新建的scvpn实例

tunnel接口地址必须和地址池是同一网段且不在地址池中被占用。

21

Hillstone version 4.0

新建防火墙策略trust到trust策略放行即可。

Scvpn创建完毕。

登录方法：假设公网IP为200.0.0.190

200.0.0.190:4433

输入创建的用户名密码，登录成功后下载插件安装即可。

22

Hillstone version 4.0

六、Web认证上网功能配置

1、先启用web认证，使用HTTP模式进行配置，多个登录勾选代表同一个用户名可以多个

人同时使用，不勾选表示一个用户名只能一个机器登录。

超时时间代表客户端和设备之间的保持多久去验证是否还在线，即心跳时间。

先创建三条策略，第一条放行DNS，第二和三条全放行，然后编辑第二条策略。

编辑第二条策略，角色一定为unknow。

23

Hillstone version 4.0

概念解释：

超时：认证成功后，系统会在超时时间结束前对认证成功页面进行自动刷新，

确认登录信息。文本框中输入超时时间，单位为秒。范围为20至86400秒，

默认值为120秒。

重新认证超时：指定用户进行重认证的时间间隔，单位为分钟。范围为

到1440分钟。

10

强制超时：指定用户重新登录的时间间隔，单位为分钟。范围为10到144000

分钟。

自动踢出：选中<启用>复选框开启自动踢出功能。同一用户再次登录的信息

会替换掉已登录的信息，系统自动断开已登录的连接。

重定向URL：指定重定向的URL的地址。重定向URL是指用户在认证成功并

返回认证页面后，弹出的新页面将会重定向到指定的URL页面。如果没有配

置该功能，新弹出页面将返回用户输入的地址页面。该功能的正确执行需要

24

Hillstone version 4.0

浏览器关闭弹出窗口阻止程序。如果浏览器阻止弹出窗口，新弹出的页面将

被阻止，需要手工确认才能打开。

补充说明如下：

1、超时，指Webauth

2、重新认证超时，指

的页面和防火墙定期做心跳检查的时间

Webauth客户端与防火墙会在这个时间内做重新认证的检查，当

Webauth的客户端页面处于打开的状态时，Webauth客户端会自动重新认证。当

Webauth客户端关闭或者该Webauth的用户名密码更改后，重新认证会失败。

3、强制超时，指用户在时间间隔到达时，必须用户重新认证

25

Hillstone version 4.0

七、URL日志记录

【应用】>>【HTTP控制】

【对象】>>【Profile组】

上网的那条策略调用Profile组

26

Hillstone version 4.0

进入日志配置中启用流量日志

27

Hillstone version 4.0

八、IP-MAC绑定实现IP或MAC变更不能上网

先扫描内网网段

绑定所有，然后再去掉互连网地址的绑定

去掉互连网绑定后只留下内网的绑定。

关IP和MAC无法对应造成断网。

互连网地址若绑定后，一旦运营商更换设备将造成网

关闭内网接口的

加IP-MAC即可。

ARP学习，这样防火墙将只查看静态绑定列表。当有新电脑加入时只需添

28

Hillstone version 4.0

另外不关闭学习也可以命令行操作，在内网

SG-6000(config)# interface ethernet0/0

e0/0接口配置模式下敲入以下命令：

SG-6000(config-if-eth0/0)# arp-disable-dynamic-entry

SG-6000(config-if-eth0/0)# exit

这个命令是ARP还学习，但只检查静态绑定的列表。

29

Hillstone version 4.0

九、设备恢复出厂操作

警告：请慎用该功能。安全网关恢复到出厂配置后，所有已做配置都将被清除。

CLI

WebUI

硬件CLR

CLR按键位于前面板的针孔内，其功能为恢复安全网关的出厂配置。用户忘记密码无法登录

时，可通过此方法重新登录。

恢复安全网关出厂配置的操作步骤如下：

1. 关闭安全网关的电源。

2. 用针状物按住

复出厂配置。

4. 出厂配置恢复完毕，系统将会自动重新启动。

CLR按键，打开安全网关的电源。

STA和ALM均变为红色常亮，释放CLR按键。此时系统开始恢3. 保持按住状态直到指示灯

命令: unset all

系统管理> 配置备份还原> 『恢复出厂配置』

30

Hillstone version 4.0

十、

AAA服务器使用AD域类型的配置

普通AAA服务器AD域类型配置

SA-2001# show aaa-server 192.168.1.100

=============================================================

aaa-server: 192.168.1.100

type: active-directory

role-mapping-rule :

server address: 192.168.1.100(trust-vr)

first backup :

second backup :

port: 389 auth-method: digest-md5

base-dn: DC=zlzhang,DC=com （牢记配置中用英文输入法）

login-dn:cn=administrator,cn=users,DC=zlzhang,DC=com

login-password:NO88JJjNoi75U9rGb506UX/H9S00

agent: 0 agent-port: 6666 disconn-del-timeout: 300

=============================================================

需求：配置AAA服务器AD域用户只读取某个OU的用户

比如以下图为例只读取测试OU的test用户，TAC部门内其它用户不读取。

配置AAA服务器时，

base-dn要配为OU=测试OU,OU=TAC部门,OU=山石网科,DC=zlzhang,DC=com

这时读出的用户只有testest，其它组织单元中的用户不读取。

而login-dn则是需要有查询权限的用户，一般我们都放在域管理员组。

此处我们使用另一个具有该权限的用户，并且在其它OU中。

31

Hillstone version 4.0

SA-2001# show aaa-server ADserver

=============================================================

aaa-server: 192.168.1.100

type: active-directory

role-mapping-rule :

server address: 192.168.1.100(trust-vr)

first backup :

second backup :

port: 389 auth-method: digest-md5

base-dn:OU=测试OU,OU=TAC部门,OU=山石网科,DC=zlzhang,DC=com

login-dn:CN=zhangziliang,OU=TAC部门,OU=山石网科,DC=zlzhang,DC=com

login-password:NO88JJjNoi75U9rGb506UX/H9S00

agent: 0 agent-port: 6666 disconn-del-timeout: 300

SA-2001# show user aaa-server ADserver

======================================================================

Username Group Expiration Description

--------------------------------------------------------------------------------

test No Limit CN=testtest,OU=测试OU

使用LDAPbrowser工具读取查看信息。

32

Hillstone version 4.0

33

Hillstone version 4.0

十一、SCVPN调用两个AAA服务器中的用户认证登录

SCVPN的AAA服务器时一个默认添加，一创建两个AAA服务器，可以为任意类型。在配置

个加域名。如下图

SG-6000# show tunnel scvpn test

Name:

HTTPS-Port:

Outgoing Interface:

Interface:ethernet0/1

Protocol:

allow-multi-logon:

Pool:

trust-domain:

client-cert-auth:

redirect URL:

English Title:

Chinese Title:

client-auth-trust-domain:

user-host-verify:

tunnel-cipher:

df-bit:

anti-reply:

idle-time:

split-tunnel-routes:

sub-net: 0.0.0.0

aaa-servers:

Server:local

Server:test

这样，在登录SCVPN用户时，使用

可，当使用test

Domain:

Domain:test

local AAA服务器中的用户时，普通输入用户名密码即

@test域。

scvpn时用户名为zhangsan@test

34

test

4433

any

enable

pool2

trust_domain_default

none

number: any

csp download website:

disable

encryption: NULL

set

64

30

netmask: 0.0.0.0 metric: 1

hash: NULL comp: -

AAA服务器中的用户时，用户名后需要添加

例如用户名zhangsan是test 服务器中的用户，登录

Hillstone version 4.0

十二、HA配置注意事项

StoneOS版本要一样。1、设备硬件平台型号要一样，软件

2、两端设备的许可证开启的功能必须一样。许可证类型可以有正式和测试，但开启的功能

必须一致。

3、查下列对应表：

policy mode是全局还是基于zone的

show av status

show av signature info

show ips status

show ips signature info

show url-db info

exec vrouter disable

这些要一致，如果特征库不一致，要升级到相同的版本号。

35