山石網(wǎng)關(guān)培訓(xùn)教材

1、 | Hillstone Confidential日程安排一.準(zhǔn)備工作二.安全架構(gòu)三.系統(tǒng)管理四.路由和交換五.基本安全策略六.高級(jí)安全策略七 八.應(yīng)用 九.日志與報(bào)表一. 準(zhǔn)備工作 通過(guò)完成此章節(jié)課程，您將可以： 了解設(shè)備管理方式 完成根本上網(wǎng)配置管理接口用戶管理接口類型: :不同管理方式支持本地與遠(yuǎn)程兩種環(huán)境配置方法，可以通過(guò) 和 兩種方式進(jìn)行配置支持、管理參數(shù) 數(shù)值 波特率 9600 數(shù)據(jù)位 8停止位 1校驗(yàn)/流控?zé)o參數(shù) 數(shù)值 接口0/0用戶名密碼管理 | Hillstone Confidential圖形化管理界面基于瀏覽器的管理方式簡(jiǎn)單靈活，可以完成常用的各種配置。準(zhǔn)備工作： 平安網(wǎng)關(guān)

2、設(shè)備的e0/0接口配有默認(rèn)地址，該接口的各種管理功能均為開(kāi)啟狀態(tài)。初次使用可以通過(guò)該接口管理設(shè)備，具體操作為： 將管理的地址設(shè)置為與/24同網(wǎng)段的地址，翻開(kāi)的瀏覽器，輸入 設(shè)備默認(rèn)管理員用戶名及密碼均為“登陸后 | Hillstone Confidential界面初始頁(yè)面結(jié)構(gòu)導(dǎo)航菜單設(shè)備面板的端口連接狀態(tài)、內(nèi)存、會(huì)話數(shù)等設(shè)備運(yùn)行情況設(shè)備根本信息，包括：序列號(hào)、運(yùn)行時(shí)間、軟件版本、及特征庫(kù)版本等當(dāng)前網(wǎng)絡(luò)中占用帶寬最多的排名用戶接口通過(guò)線連接的串口至平安網(wǎng)關(guān)的接口翻開(kāi)終端模擬器使用以下缺省賬戶登陸用戶名: 密碼: 快捷鍵使用 自動(dòng)補(bǔ)齊命令使用 ? 查看幫

3、助進(jìn)入配置模式全局配置模式:全局配置模式允許用戶修改平安網(wǎng)關(guān)的配置參數(shù)。用戶在執(zhí)行模式下，輸入 命令，可進(jìn)入全局配置模式。該模式的提示符如下所示： ()#子模塊配置模式：平安網(wǎng)關(guān)的不同模塊功能需要在其對(duì)應(yīng)的命令行子模塊模式下進(jìn)行配置。用戶在全局配置模式輸入特定的命令可以進(jìn)入相應(yīng)的子模塊配置模式。例如，運(yùn)行 0/0 命令進(jìn)入0/0 接口配置模式，此時(shí)的提示符變更為： (0/0)#初始根本配置 根本配置步驟: 配置接口 配置默認(rèn)路由 配置允許訪問(wèn)策略1配置接口網(wǎng)絡(luò)網(wǎng)絡(luò) 接口接口 編輯編輯網(wǎng)絡(luò)網(wǎng)絡(luò) 接口接口 點(diǎn)擊需配置接口右側(cè)編輯按鈕點(diǎn)擊需配置接口右側(cè)編輯按鈕2配置默認(rèn)路由網(wǎng)絡(luò)網(wǎng)絡(luò) 路由路由 目的路

4、由目的路由 新建新建3配置上網(wǎng)策略防火墻防火墻 策略策略 點(diǎn)擊需配置接口右側(cè)編輯按鈕點(diǎn)擊需配置接口右側(cè)編輯按鈕內(nèi)部上網(wǎng)是從到的訪問(wèn)，因此創(chuàng)立從內(nèi)到外的訪問(wèn)策略防火墻防火墻 策略策略 點(diǎn)擊需配置接口右側(cè)編輯按鈕點(diǎn)擊需配置接口右側(cè)編輯按鈕“源地址處選擇要被限制的地址范圍，假設(shè)選擇“那么會(huì)對(duì)經(jīng)過(guò)設(shè)備的所有地址有效小結(jié)v在本章中講述了以下內(nèi)容：v系統(tǒng)構(gòu)件的功能v完成根本上網(wǎng)配置問(wèn)題1、如何通過(guò)瀏覽器對(duì)設(shè)備進(jìn)行管理？2、如何開(kāi)啟從外網(wǎng)接口登陸平安網(wǎng)關(guān)？3、如何開(kāi)放內(nèi)網(wǎng)用戶上網(wǎng)的策略？二. 平安架構(gòu) 通過(guò)完成此章節(jié)課程，您將可以： 了解網(wǎng)絡(luò)平安設(shè)備的用途 理解的架構(gòu) 處理數(shù)據(jù)包的狀態(tài)檢測(cè)技術(shù)，通過(guò)策略過(guò)濾

5、數(shù)據(jù)包 ( , , ) ( #) (, , ) Source-IPDestination-IP21312Source-Port80Destination-Port6Protocolget http 1.1Data狀態(tài)檢測(cè)包狀態(tài)檢測(cè): 基于選定類型檢測(cè)包的內(nèi)容來(lái)決定轉(zhuǎn)發(fā)或丟棄包基于包中多個(gè)字段來(lái)保持通訊的狀態(tài)通過(guò)檢測(cè)的新通訊接著添加到狀態(tài)表中只有在包與先前建立的通訊相關(guān)聯(lián)時(shí)，非初始包才會(huì)被允許比包過(guò)濾提供了更高的平安性比應(yīng)用代理要快得多，但沒(méi)有應(yīng)用代理提供的應(yīng)用層控制多網(wǎng)絡(luò)地址轉(zhuǎn)換轉(zhuǎn)換私有地址到公網(wǎng)地址 SRC-IPDST-IP

6、36033SRC-Port80DST-Port6ProtocolSRC-IPDST-IP1025SRC-Port80DST-Port6ProtocolInternet保證關(guān)鍵業(yè)務(wù)流量應(yīng)用前關(guān)鍵業(yè)務(wù)受到?jīng)_擊應(yīng)用后關(guān)鍵業(yè)務(wù)受到保護(hù)系統(tǒng)架構(gòu)圖 與 關(guān)系接口、平安域、之間嚴(yán)格的等級(jí)架構(gòu)L3綁定到 L2綁定到 綁定到 一個(gè)接口只能綁定到一個(gè)平安域一個(gè)平安域可以包含一個(gè)或多個(gè)接口L3綁定到L3L2綁定到L2綁定到三層平安域的接口可以配置地址及管理效勞 (L3) (L3)L3 L2 L3L3 為接口配置地址前必須先將接口綁定到三層平安域InterfaceZoneL3-Zo

7、neIPL3-InterfaceL2-ZoneMAC(Auto config)L2-Interface 包轉(zhuǎn)發(fā)B B..254.254.1 (1 3) (2 3)SRC-IPSRC-IPDST-IPDST-IP29218SRC-PortSRC-Port80DST-PortDST-Port6ProtocolProtocol1. 已經(jīng)建立會(huì)話?NoAddress PairProtocol Port Pair(no match)Session Table2. 查找路由,目標(biāo)可達(dá)?YesNetInt NHR/24E1(conne

8、cted)/24E2(connected)/24 E/24 E/0E54Routing Table3. 不同Zone之間的流量?YesIntZoneE1PrivateE2PrivateE7PublicE8ExternalZone Table (3 3)4. 策略允許通過(guò)?YesFrom Private to ExternalSADAServiceAction/16anyFTPpermit /16anyHTTPpermit/16an

9、ypingpermitanyanyanydenyAction: PermitSRC-IPDST-IP29218SRC-Port80DST-Port6Protocol創(chuàng)建會(huì)話Address PairProtocolPort Pair 61042 80Session Table小結(jié)v在本章中講述了如下內(nèi)容 :v平安網(wǎng)絡(luò)設(shè)備所需具備的功能v的系統(tǒng)架構(gòu)v處理包的v根據(jù)網(wǎng)絡(luò)環(huán)境選擇基于的平安網(wǎng)絡(luò)設(shè)備問(wèn)題1、平安網(wǎng)絡(luò)設(shè)備具備的幾大功能？2、 系統(tǒng)架構(gòu)由接口、平安域、和組成，它們之間的關(guān)系？3、介紹處理包的過(guò)程？三. 系統(tǒng)管理 通過(guò)完成

10、此章節(jié)課程，您將可以實(shí)現(xiàn)： 系統(tǒng)管理功能 配置文件管理 版本升級(jí)密碼策略：系統(tǒng) 設(shè)備管理 根本信息： v密碼策略v 提供密碼復(fù)雜度檢測(cè)功能，可以通過(guò)啟用此功能強(qiáng)制新建管理員賬號(hào)的密碼符合復(fù)雜度需求。 系統(tǒng)管理員系統(tǒng)管理平安網(wǎng)關(guān)設(shè)備由系統(tǒng)管理員管理、配置。系統(tǒng)管理員的配置包括創(chuàng)立管理員、配置管理員的特權(quán)、配置管理員密碼、以及管理員的訪問(wèn)方式。平安網(wǎng)關(guān)擁有一個(gè)默認(rèn)管理員“，用戶可以對(duì)管理員“進(jìn)行編輯，但是不能刪除該管理員。管理員分為讀寫(xiě)執(zhí)行權(quán)限管理員、只讀執(zhí)行權(quán)限管理員。配置系統(tǒng)管理員系統(tǒng) 設(shè)備管理 根本信息配置系統(tǒng)管理員系統(tǒng) 設(shè)備管理 根本信息 新建 可信主機(jī)可信主機(jī)平安網(wǎng)關(guān)使用可信主機(jī)來(lái)進(jìn)一步

11、保證系統(tǒng)平安。管理員可以指定一個(gè)地址范圍，在該指定范圍內(nèi)的主機(jī)為可信主機(jī)。只有可信主機(jī)才可以對(duì)平安網(wǎng)關(guān)進(jìn)行管理。配置可信主機(jī)系統(tǒng) 設(shè)備管理 可信主機(jī)管理接口平安網(wǎng)關(guān)支持的管理接口類型:、 、 自定義管理接口：各種訪問(wèn)方式的超時(shí)時(shí)間、端口號(hào)以及 的 信任域在一分鐘內(nèi)連續(xù)三次登錄失敗，系統(tǒng)會(huì)將登錄失敗的 地址鎖定兩分鐘。被鎖定的 地址在兩分鐘內(nèi)不能建立與設(shè)備的連接配置管理接口系統(tǒng) 設(shè)備管理 用戶接口配置文件管理配置文件：以命令行的格式保存平安網(wǎng)關(guān)的配置信息1臺(tái)設(shè)備可最大支持保存10份配置配置文件中保存的用來(lái)初始化平安網(wǎng)關(guān)的配置信息稱作起始配置信息，平安網(wǎng)關(guān)通過(guò)讀取起始配置信息進(jìn)行啟動(dòng)時(shí)的初始化工作

12、；如果找不到起始配置信息，平安網(wǎng)關(guān)那么使用平安網(wǎng)關(guān)的缺省參數(shù)初始化系統(tǒng)紀(jì)錄最近十次保存的配置信息，最近一次保存的配置信息會(huì)紀(jì)錄為系統(tǒng)的當(dāng)前起始配置信息，當(dāng)前系統(tǒng)配置信息以“作為標(biāo)記；前九次的配置信息按照保存時(shí)間的先后以數(shù)字0 到8 作為標(biāo)記。配置文件管理系統(tǒng) 配置 管理員可以導(dǎo)入、導(dǎo)出或者將系統(tǒng)恢復(fù)出廠配置當(dāng)前配置窗口提供對(duì)配置的方式查閱升級(jí)通過(guò) 升級(jí)：系統(tǒng) 系統(tǒng)軟件選擇單項(xiàng)選擇按鈕。選中復(fù)選框。系統(tǒng)將在上載的同時(shí)備份當(dāng)前運(yùn)行的。如不選中該選項(xiàng)，系統(tǒng)將用新上載的 覆蓋當(dāng)前運(yùn)行的。點(diǎn)擊瀏覽按鈕并且選中要上載的。點(diǎn)擊確定按鈕，系統(tǒng)開(kāi)始上載指定的。完成升級(jí)后，需要重啟平安網(wǎng)關(guān)啟動(dòng)新升級(jí)的。系統(tǒng)時(shí)間平

13、安網(wǎng)關(guān)的時(shí)間影響到 隧道的建立和時(shí)間表的時(shí)間，并且日志都是基于系統(tǒng)時(shí)間記錄的，因此系統(tǒng)時(shí)間的精確性十分重要。平安網(wǎng)關(guān)支持兩種設(shè)置時(shí)間的方式，分別是手動(dòng)設(shè)置和通過(guò) 與效勞器同步。系統(tǒng)時(shí)間手動(dòng)設(shè)置系統(tǒng)時(shí)間:系統(tǒng) 日期/時(shí)間可以手動(dòng)設(shè)置系統(tǒng)時(shí)間，或者點(diǎn)擊“同步按鈕通過(guò)瀏覽器獲取管理員本地電腦時(shí)間。系統(tǒng)診斷工具系統(tǒng)系統(tǒng) 工具工具:平安網(wǎng)關(guān)提供根本的診斷工具方便，用戶可以通過(guò)這些工具觀察網(wǎng)絡(luò)和平安網(wǎng)關(guān)提供根本的診斷工具方便，用戶可以通過(guò)這些工具觀察網(wǎng)絡(luò)和路由是否連通。路由是否連通。小結(jié)v在本章中講述了以下內(nèi)容v配置系統(tǒng)管理員/可信主機(jī)v配置管理接口v配置文件管理v版本升級(jí)v配置系統(tǒng)時(shí)間v系統(tǒng)診斷工具問(wèn)題

14、1、如何回退到以前保存的配置？2、升級(jí)系統(tǒng) 的方法？四. 交換與路由 通過(guò)完成此章節(jié)課程，您將可以： 平安網(wǎng)關(guān)工作模式配置 接口配置 路由配置設(shè)備工作模式平安網(wǎng)關(guān)支持以下工作模式：路由應(yīng)用模式透明應(yīng)用模式混合應(yīng)用模式系統(tǒng)架構(gòu)圖平安域在 中，域是一個(gè)邏輯的實(shí)體，一個(gè)或多個(gè)接口可以綁定到域，而被應(yīng)用了策略規(guī)那么的域即為平安域。域具有以下特點(diǎn)：接口綁定到域二層和三層域決定其接口工作在二層模式或是三層模式 支持域內(nèi)部策略規(guī)那么，比方“從 到的策略規(guī)那么綁定關(guān)系接口、平安域、 和 之間的綁定關(guān)系接口綁定到平安域。綁定到二層平安域的接口為二層接口，綁定到三層平安域的接口為三層接口。平安域綁定到 或者。二層

15、平安域綁定到，三層平安域綁定到。由此，也實(shí)現(xiàn)了接口與 或者 的綁定。策略策略那么通過(guò)策略規(guī)那么 決定從一個(gè)平安域到另一個(gè)平安域的哪些流量該被允許，哪些流量該被拒絕。域間策略：域間策略對(duì)平安域間的流量進(jìn)行控制?？赏ㄟ^(guò)設(shè)置域間策略來(lái)拒絕、允許從一個(gè)平安域到另一個(gè)平安域的流量。域內(nèi)策略：平安域內(nèi)策略對(duì)綁定到同一平安域的接口間流量進(jìn)行控制。源地址和目的地址都在同一平安域中，但是通過(guò)平安網(wǎng)關(guān)的不同接口到達(dá)。虛擬交換機(jī)()一個(gè) 就是一個(gè)二層轉(zhuǎn)發(fā)域每個(gè) 都有自己獨(dú)立的 地址表 中的接口之間的數(shù)據(jù)包會(huì)被按照二層轉(zhuǎn)發(fā)規(guī)則進(jìn)行轉(zhuǎn)發(fā)在 中，用戶可以方便地配置策略規(guī)則 接口相當(dāng)于實(shí)際交換機(jī)的上連口，通過(guò) 接口，數(shù)據(jù)包

16、可以實(shí)現(xiàn)二層與三層之間的轉(zhuǎn)發(fā) 中的轉(zhuǎn)發(fā)規(guī)那么在一個(gè)，即一個(gè)二層轉(zhuǎn)發(fā)域中， 平安網(wǎng)關(guān)通過(guò)源地址學(xué)習(xí)建立 地址轉(zhuǎn)發(fā)表。每個(gè) 都有自己的 地址轉(zhuǎn)發(fā)表。 根據(jù)數(shù)據(jù)包的類型 數(shù)據(jù)包、 包和非 且非 包，分別進(jìn)行不同的處理。對(duì)未知單播的轉(zhuǎn)發(fā)采用策略限制下的播送對(duì)于非 包且非 包， 用戶可以在全局配置模式下通過(guò)配置l2 命令指定處理方式。l2 | 丟棄 轉(zhuǎn)發(fā)透明模式為實(shí)現(xiàn)透明應(yīng)用模式，需要根據(jù)策略規(guī)那么創(chuàng)立一些二層平安域，并且把接口綁定到二層平安域上，同時(shí)將二層平安域綁定到 上。可以創(chuàng)立多個(gè)，即多個(gè)二層轉(zhuǎn)發(fā)域。透明應(yīng)用模式有以下優(yōu)點(diǎn)：無(wú)需修改受保護(hù)網(wǎng)絡(luò)的 設(shè)置。無(wú)需為進(jìn)入受保護(hù)網(wǎng)絡(luò)的報(bào)文創(chuàng)立 規(guī)那么。配置

17、默認(rèn)有一個(gè)，即1，1 不能被刪除。用戶可以根據(jù)需要?jiǎng)?chuàng)立其它，也可以隨時(shí)查看 的配置信息。用戶在新建一個(gè) 的同時(shí)，也新建了與 相對(duì)應(yīng)的 接口。:創(chuàng)立查看 表信息通過(guò) ，用戶可以查看所有 或者某個(gè)指定接口的 表項(xiàng)，用戶還可以去除所有 或者某個(gè)指定接口的 表項(xiàng)。路由模式接口綁定到三層平安域上配置接口 地址、基于平安域的策略規(guī)那么在這種配置應(yīng)用下，設(shè)備具有路由功能可以配置 規(guī)那么地址轉(zhuǎn)換功能接口接口允許流量進(jìn)出平安域。因此，為使流量能夠流入和流出某個(gè)平安域，必須將接口綁定到該平安域，并且，如果是三層平安域，還需要為接口配置 地址。然后，必須配置相應(yīng)的策略規(guī)那么，允許流量在不同平安域中的接口之間傳輸。多

18、個(gè)接口可以被綁定到一個(gè)平安域，但是一個(gè)接口不能被綁定到多個(gè)平安域。接口配置三層模式v方式接口配置二層模式v方式v方式接口配置高級(jí)配置靜態(tài)路由靜態(tài)路由是手工定義的路由條目，根據(jù)目的地址指定下一跳，也稱作目的路由對(duì)外連接較少或者內(nèi)網(wǎng)連接相比照較穩(wěn)定的網(wǎng)絡(luò)通常使用靜態(tài)路由默認(rèn)路由是靜態(tài)路由的一種通過(guò)配置靜態(tài)路由，如以下圖：小結(jié)v在本章中講述了以下內(nèi)容：v系統(tǒng)架構(gòu)v接口配置v靜態(tài)路由配置五. 根本平安策略 通過(guò)完成此章節(jié)課程，您將可以： 理解平安策略的用途 通過(guò)平安策略保護(hù)網(wǎng)絡(luò)資源平安策略根底平安策略策略是網(wǎng)絡(luò)平安設(shè)備的根本功能。默認(rèn)情況下，平安設(shè)備會(huì)拒絕設(shè)備上所有平安域之間的信息傳輸。而策略那么通過(guò)

19、策略規(guī)那么 決定從一個(gè)平安域到另一個(gè)平安域的哪些流量該被允許，哪些流量該被拒絕。策略分類策略分為兩種：域間策略：域間策略對(duì)平安域間的流量進(jìn)行控制?？赏ㄟ^(guò)設(shè)置域間策略來(lái)拒絕、允許從一個(gè)平安域到另一個(gè)平安域的流量。域內(nèi)策略：平安域內(nèi)策略對(duì)綁定到同一平安域的接口間流量進(jìn)行控制。源地址和目的地址都在同一平安域中，但是通過(guò)平安網(wǎng)關(guān)的不同接口到達(dá)。策略規(guī)那么的根本元素策略規(guī)那么允許或者拒絕從一個(gè)平安域到另一個(gè)平安域的流量。流量的類型、流量的源地址與目標(biāo)地址以及行為構(gòu)成策略規(guī)那么的根本元素。 - 兩個(gè)平安域之間的流量的方向，指從源平安域到目標(biāo)平安域。 - 流量的源地址。 流量的目標(biāo)地址。 流量的效勞類型。

20、平安設(shè)備在遇到指定類型流量時(shí)所做的行為， 包括允許、拒絕、隧道、來(lái)自隧道、認(rèn)證五個(gè)行為。策略規(guī)那么策略規(guī)那么分為兩局部：過(guò)濾條件和行為平安域間流量的源地址和目的地址以及效勞類型構(gòu)成策略規(guī)那么的過(guò)濾條件。對(duì)于匹配過(guò)濾條件的流量可以制定處理行為，如或等。策略匹配順序：系統(tǒng)查找策略順序?yàn)橛缮现料拢瑢?duì)流量按照找到的第一條與過(guò)濾條件相匹配的策略規(guī)那么進(jìn)行處理。系統(tǒng)缺省的策略是拒絕所有的流量平安策略布署流程平安策略布署流程網(wǎng)絡(luò)安全分析制定安全策略布署安全策略安全效果檢驗(yàn)存在安全需求配置策略的步驟高級(jí)特性設(shè)定策略生效的時(shí)間、QoS標(biāo)簽、Profile組（IM、URL過(guò)濾）采取的動(dòng)作允許通過(guò)，還是拒絕通過(guò)等服

21、務(wù)信息什么服務(wù)如：http、ftp、bt等網(wǎng)絡(luò)層的信息源自哪個(gè)IP/段，到哪個(gè)IP/段如:從/24any策略的方向從哪個(gè)安全域，到哪個(gè)安全域如:從trustuntrust策略定義的步驟面向?qū)ο蟮牟呗怨芾硗ㄟ^(guò)采用面向?qū)ο蠓绞絹?lái)實(shí)現(xiàn)訪問(wèn)控制，可以合并類似的訪問(wèn)控制規(guī)那么，減少訪問(wèn)規(guī)那么數(shù)量。并且對(duì)象內(nèi)容的修改，平安策略可自動(dòng)更新，減少平安策略的維護(hù)量。面向?qū)ο蟮牟呗詫?shí)現(xiàn)方法：第一步，定義對(duì)象地址對(duì)象效勞對(duì)象時(shí)間對(duì)象等第二步，配置面向?qū)ο蟮钠桨膊呗?| Hillstone Confidential地址 地址簿是 系統(tǒng)中用來(lái)儲(chǔ)存 地址范圍與其名稱的對(duì)應(yīng)關(guān)系的數(shù)據(jù)庫(kù)。 地址簿中的

22、地址與名稱的對(duì)應(yīng)關(guān)系條目被稱作地址條目 。 地址條目的 地址改變時(shí)， 會(huì)自動(dòng)更新引用了該地址條目的模塊。配置地址本對(duì)象 地址簿 新建配置地址本對(duì)象 地址簿 編輯 | Hillstone Confidential效勞 效勞：具有協(xié)議標(biāo)準(zhǔn)的信息流。效勞具有效勞：具有協(xié)議標(biāo)準(zhǔn)的信息流。效勞具有一定的特征，例如相應(yīng)的協(xié)議、端口號(hào)等。一定的特征，例如相應(yīng)的協(xié)議、端口號(hào)等。 效勞組：將一些效勞組織到一起便組成了效勞效勞組：將一些效勞組織到一起便組成了效勞組。用戶可以直接將效勞組應(yīng)用到平安網(wǎng)關(guān)策組。用戶可以直接將效勞組應(yīng)用到平安網(wǎng)關(guān)策略中，這樣便簡(jiǎn)化了管理。略中，這樣便簡(jiǎn)化了管理。 | Hillstone

23、Confidential系統(tǒng)預(yù)定義效勞對(duì)象 效勞簿 預(yù)定義 列出用戶可以查看或修改系統(tǒng)預(yù)定義效勞，預(yù)定義效勞只提供對(duì)效勞超時(shí)時(shí)間進(jìn)行修改。 | Hillstone Confidential系統(tǒng)預(yù)定義效勞組對(duì)象 效勞組 預(yù)定義 列出用戶可以查看系統(tǒng)預(yù)定義效勞組，預(yù)定義效勞組不可修改。 | Hillstone Confidential用戶自定義效勞 除了使用 提供的預(yù)定義效勞以外，用戶還可以很容易地創(chuàng)立自己的自定義效勞。用戶自定義效勞可包含最多8 條效勞條目。用戶需指定的自定義效勞條目的參數(shù)包括： 名稱 傳輸協(xié)議 或 類型效勞的源和目標(biāo)端口號(hào)或者 類型效勞的 和 值 超時(shí)時(shí)間 應(yīng)用類型 | Hil

24、lstone Confidential配置自定義效勞對(duì)象 效勞簿 自定義 新建 | Hillstone Confidential配置效勞組對(duì)象 效勞簿 組 新建 | Hillstone Confidential配置策略規(guī)那么平安 策略 列出 | Hillstone Confidential配置策略規(guī)那么平安 策略 根本配置檢查/移動(dòng)策略規(guī)那么平安 策略 列出小結(jié)v在本章中講述了以下內(nèi)容：v平安策略的用途v配置平安策略使用的地址薄v配置效勞簿和效勞組v配置平安策略保護(hù)網(wǎng)絡(luò)資源問(wèn)題1、平安策略由哪幾局部組成？2、平安策略規(guī)那么的動(dòng)作支持哪幾種？3、平安策略執(zhí)行的順序？4、同一個(gè)平安域內(nèi)的策略，缺省

25、的動(dòng)作是什么？5、狀態(tài)檢測(cè)與包過(guò)濾兩種實(shí)現(xiàn)方式有何不同？六. 高級(jí)平安策略 通過(guò)完成此章節(jié)課程，您將可以： 配置基于時(shí)間表的策略 配置平安網(wǎng)關(guān)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊防護(hù) 配置平安網(wǎng)關(guān)抵御攻擊平安網(wǎng)關(guān)支持時(shí)間表功能。時(shí)間表功能可以使策略規(guī)那么在指定的時(shí)間生效，也可以控制 接口與因特網(wǎng)的連接時(shí)間。時(shí)間表包含絕對(duì)時(shí)間和周期。周期通過(guò)周期條目指定時(shí)間表的時(shí)間點(diǎn)或者時(shí)間段；而絕對(duì)時(shí)間決定周期的生效時(shí)間。每個(gè)周期最多可以擁有16 條周期條目。時(shí)間表對(duì)象 時(shí)間表 新建時(shí)間表提供“絕對(duì)時(shí)間和“周期兩種類型時(shí)間表平安 策略 根本配置調(diào)用時(shí)間表的策略，只在時(shí)間表范圍內(nèi)生效應(yīng)用時(shí)間表到策略平安 策略 列出調(diào)用時(shí)間表的策略，

26、只在時(shí)間表范圍內(nèi)生效查看調(diào)用時(shí)間表的策略 基于時(shí)間表的策略 網(wǎng)絡(luò)攻擊防護(hù) 攻擊防御議程：平安策略高級(jí)特性攻擊防護(hù)v網(wǎng)絡(luò)中存在多種防不勝防的攻擊，如侵入或破壞網(wǎng)絡(luò)上的效勞器、盜取效勞器的敏感數(shù)據(jù)、破壞效勞器對(duì)外提供的效勞，或者直接破壞網(wǎng)絡(luò)設(shè)備導(dǎo)致網(wǎng)絡(luò)效勞異常甚至中斷。作為網(wǎng)絡(luò)平安設(shè)備的平安網(wǎng)關(guān)，必須具備攻擊防護(hù)功能來(lái)檢測(cè)各種類型的網(wǎng)絡(luò)攻擊，從而采取相應(yīng)的措施保護(hù)內(nèi)部網(wǎng)絡(luò)免受惡意攻擊，以保證內(nèi)部網(wǎng)絡(luò)及系統(tǒng)正常運(yùn)行。 平安網(wǎng)關(guān)提供基于域的攻擊防護(hù)功能。平安 攻擊防護(hù) 編輯攻擊防護(hù) 基于角色和時(shí)間表的策略 網(wǎng)絡(luò)攻擊防護(hù) 攻擊防御議程：平安策略高級(jí)特性主機(jī)防御平安網(wǎng)關(guān)的主機(jī)防御功能即平安網(wǎng)關(guān)代替不同主機(jī)

27、發(fā)送免費(fèi) 包，保護(hù)被代理主機(jī)免受 攻擊。防御平安 防御 通過(guò)使用 學(xué)習(xí)、 學(xué)習(xí)、 認(rèn)證以及 檢查功能， 能夠很好的防御 欺騙攻擊。并且， 能夠?qū)?欺騙攻擊進(jìn)行統(tǒng)計(jì)，顯示 欺騙攻擊統(tǒng)計(jì)信息。綁定為加強(qiáng)網(wǎng)絡(luò)平安控制，平安網(wǎng)關(guān)支持 地址綁定、端口綁定以及端口 綁定。這些綁定信息分為靜態(tài)和動(dòng)態(tài)兩種。通過(guò) 學(xué)習(xí)功能、 掃描功能以及 學(xué)習(xí)功能獲得綁定信息為動(dòng)態(tài)綁定信息；而手工配置的綁定信息為靜態(tài)信息。同時(shí)，平安網(wǎng)關(guān)還具有 檢查功能。綁定平安 靜態(tài)綁定小結(jié)v在本章中講述了以下內(nèi)容：v基于時(shí)間表配置平安策略v配置網(wǎng)絡(luò)攻擊防護(hù)v配置主機(jī)防御及綁定 | Hillstone Confidential七、 通過(guò)完成此

28、章節(jié)課程，您將可以：理解的用途配置功能 | Hillstone Confidential 功能介紹 基于的，即 ，能夠?yàn)榫钟蚓W(wǎng)里的每一個(gè)或每一段進(jìn)行最大帶寬限制或者預(yù)留帶寬。 匹配類型支持地址范圍或者地址簿條目。 上/下行流量可以獨(dú)立限制，并可結(jié)合時(shí)間表對(duì)不同時(shí)段做不同控制。 控制策略需要綁定到接口上生效，綁定到外網(wǎng)接口的上行/下行控制策略對(duì)應(yīng)內(nèi)網(wǎng)用戶上傳/下載，綁定到內(nèi)網(wǎng)接口上行/下行對(duì)應(yīng)下載/上傳。 | Hillstone Confidential 例如用戶環(huán)境描述：出口帶寬50，外網(wǎng)為E0/1接口用戶需求描述：-00需限制其下載帶寬為500，如出口

29、帶寬空閑時(shí)可最高到5，上傳不做限制/24網(wǎng)段中每下載300K，上傳整個(gè)網(wǎng)段共享10M | Hillstone Confidential第一步登陸防火墻103在瀏覽器輸入防火墻缺省管理地址： 默認(rèn)用戶名 密碼 | Hillstone Confidential第二步指定接口帶寬104接口默認(rèn)帶寬為物理最高支持帶寬而非承諾帶寬，用戶需根據(jù)實(shí)際帶寬值指定接口上/下行帶寬。如需使用彈性功能，需點(diǎn)擊開(kāi)啟彈性全局配置。 | Hillstone Confidential第三步配置 策略105限制-100每下載帶寬500K，并在出口帶寬空閑時(shí)允許突

30、破500限制，每最大占用5M帶寬。 | Hillstone Confidential第三步配置 策略續(xù)106限制/24每下載帶寬最大300K，上傳整個(gè)網(wǎng)段最大占用10M帶寬。 | Hillstone Confidential顯示已配置控制策略107添加后策略會(huì)在 列表顯示，如多條策略的地址范圍重疊，請(qǐng)點(diǎn)擊策略右側(cè)箭頭移動(dòng)策略位置，從上至下第一條匹配到的策略生效。 | Hillstone Confidential八、應(yīng)用通過(guò)完成此章節(jié)課程，您將可以：理解應(yīng)用的用途配置應(yīng)用 | Hillstone Confidential應(yīng)用 功能介紹 基于應(yīng)用的可以實(shí)現(xiàn)保障關(guān)鍵應(yīng)用的帶寬或者限制非關(guān)鍵應(yīng)用的帶寬。 應(yīng)用全局有效。 可以實(shí)現(xiàn)基于時(shí)間表的應(yīng)用限制。 應(yīng)用可以綁定在出接口和入接口。 應(yīng)用可以實(shí)現(xiàn)上下行帶寬獨(dú)立限制。 | Hillstone Confidential應(yīng)用 例如用戶環(huán)境描述：出口帶寬50，外網(wǎng)為E0/1接口，內(nèi)網(wǎng)連接E0/0用戶需求描述：P2P應(yīng)用需限