HillStone必威体育精装版配置手册资料.doc

HillStone SA-2001配置手册 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc251243196 1 网络端口配置 PAGEREF _Toc251243196 \h 2 HYPERLINK \l _Toc251243197 2 防火墙设置 PAGEREF _Toc251243197 \h 12 HYPERLINK \l _Toc251243198 3 VPN配置 PAGEREF _Toc251243198 \h 14 HYPERLINK \l _Toc251243199 4 流量控制的配置 PAGEREF _Toc251243199 \h 24 HYPERLINK \l _Toc251243200 4.1 P2P限流 PAGEREF _Toc251243200 \h 24 HYPERLINK \l _Toc251243201 4.2 禁止P2P流量 PAGEREF _Toc251243201 \h 25 HYPERLINK \l _Toc251243202 4.3 IP流量控制 PAGEREF _Toc251243202 \h 28 HYPERLINK \l _Toc251243203 4.4 时间的设置 PAGEREF _Toc251243203 \h 29 HYPERLINK \l _Toc251243204 4.5 统计功能 PAGEREF _Toc251243204 \h 32 HYPERLINK \l _Toc251243205 5 基础配置 PAGEREF _Toc251243205 \h 35  本文是基于安全网关操作系统为Version 3.5进行编写，如版本不同，配置过程有可能不一样。 网络端口配置 SA-2001安全网关前面板有5个千兆电口、1个配置口、1个CLR按键、1个USB接口以及状态指示灯。下图为SA-2001的前面板示意图： 序号 标识及说明 序号 标识及说明 1 PWR：电源指示灯 5 CLR：CLR按键 2 STA：状态指示灯 6 CON：配置口 3 ALM：警告指示灯 7 USB：USB接口 4 VPN：VPN状态指示灯 8 e0/0-e0/4：以太网电口 将网线接入到E0/0。防火墙的ethernet0/0接口配有默认IP地址/24，但该端口没有设置为DHCP服务器为客户端提供IP地址，因此需要将PC机的IP地址设置为同一网段，例如/24才能连上防火墙。 通过IE打开，然后输入默认的用户名和密码（均为hillstone） 登录后的首页面。可以看到CPU、内存、会话等使用情况。 很多品牌的防火墙或者路由器等，在默认情况下内网端口都是划分好并且形成一个小型交换机的，但是hillstone的产品却需要自己手工设置。在本文档中，我们准备将E0/0划分为UNTRUST口连接互联网，E0/1～E0/4总共4个端口我们则划到一个交换机中并作为TRUST口连接内网。 在网络－接口界面中，新建一个bgroup端口，该端口是一个虚拟的端口。 因为bgroup1接口需要提供路由功能，因此需要划入到三层安全域（trust）中。输入由集团信息中心提供的IP地址。在管理设置中，尽量将各个管理功能的协议打开，尤其是HTTP功能。 建好bgroup1之后，对网络－接口页面中的e0/1～e0/4分别修改，依次将它们划归为bgroup1。 设置好交换机功能后，还需要设置DHCP功能，以便PC机接入时可以自动获取IP地址。新建一个DHCP地址池 根据集团信息中心提供的IP地址段设置IP地址池。 租约里尽量将时间设大一些，这样在追查记录的时候，不会因为PC机的IP地址频繁发生变动而难以追踪。 确定之后，POOL1的地址则建好了，不过，还需要修改DNS才能让PC机可以访问到集团内网。编辑POOL1进入高级配置界面。 DNS1和DNS2分别设置为集团总部的1和3两个DNS。 设置完地址池之后，需要将该地址池捆绑到bgroup1以便让bgroup1可以为PC机分配IP地址。 确认以上步骤操作成功后，将原来连接到E0/0的网线任意插入到E0/1~E0/4的一个端口中，看看PC机是否可以获取到IP地址了。通过IPCONFIG/ALL命令可以看到，PC机这时候已经获取到IP及DNS了。 将原来的IE浏览器关闭，重新打开IE浏览器、输入网关地址（即bgroup1的地址）并输入用户名密码。 确认完E0/1-4的任意一个TRUST口能获取IP后，即可修改E0/0为对外连接端口。本文档中是以E0/0为ADSL拨号连接为示例。新建一个PPPOE配置 输入ADSL的用户名及密码。将自动重连间隔修改为1，否则ADSL不会自动重拨