山石SA-2001A操作指导手册
一, 山石SA2001A概述
山石网科SA2001A多核安全网关是山石网科公司自主开发、拥有知识产权的新一代安全网关。它基于角色、深度应用的多核 Plus®G2 安全架构突破了传统防火墙只能基于 IP 和端口的防范限制。模块化设计处理器的应用实现了设备整体处理能力的极大提升,从而突破传统 UTM 在开启病毒过滤等功能后所带来的性能下降的局限。百兆到万兆的处理能力使 山石网科多核安全网关适用于多种网络环境,包括中小企业级市场、政府机关、大型企业、电信运营商和数据中心等机构。丰富的软件功能为网络提供不同层次及深度的安全控制以及接入管理,例如基于角色 深度应用安全的访问控制、IPSec/SSL VPN、应用带宽管理、病毒过滤、内容安全等。
二, 通过控制台配置山石SA2001A
2.1 配置准备及图例
准备好通过控制台端口配置所需的反转电缆,带串口的主机一台,电源线两跟以及相关主机配件;
按照如下网络拓扑将主机与SA2001A相连.
2.2 主机串口参数配置
在主机上依次选开始—程序—附件—通讯—超级终端,单击超级终端出现下图所示界面:
在名称下方框框中输入Hillstone,如:后确定,得到如下所示界面 :
这里可以在“连接时使用”中选择要使用的串口(一般默认选COM1即可),然后确定如下图:
在“数据位数”中选“9600”,“数据流控制”中选“无”,如图:
确定后得到下图:(注意:此界面是在已经做过配置的情况下。)
此时说明已经成功通过控制台端口将主机和SA2001A相连通,接下来就可以对SA2001A进行相关配制。
三,山石SA2001A常用配置命令介绍
3.1 命令模式介绍
3.1.1执行模式
用户进入到 CLI 时的模式是执行模式。执行模式允许用户使用其权限级别允许的所有的设置选 项。该模式的提示符如下所示,包含了一个井号(#)如下:
hostname#
3.1.2 全局配置模式
全局配置模式允许用户修改安全网关的配置参数。用户在执行模式下,输入 configure 命令(也可输入其简写命令“conf”) 可进入全局配置模式。该模式的提示符如下所示:
hostname(config)#
3.1.3 子模块配置模式
安全网关的不同模块功能需要在其对应的命令行子模块模式下进行配置。用户在全局配置模式输入特定的命令可以进入相应的子模块配置模式。例如,运行 interface ethernet0/0 命令进 入 ethernet0/0 接口配置模式,此时的提示符变更为:
hostname(config-if-eth0/0)#
3.2 常用管理命令介绍
3.2.1 配置主机名称
有些情况下,用户的网络环境中会配有一台以上安全网关,为区分这些安全网关,就需要为每 一台安全网关指定不同的名称。安全网关的默认名称是其平台名称。通过 CLI 配置安全网关名称, 在全局配置模式输入命令“hostname 2001A”,如下:
,可以看到主机名称已经变为“2001A” 。
3.2.2 配置系统信息显示语言
系统信息包括日志信息、错误信息和提示信息。设备支持简体中文和英文两种系统信息显示语言,在全局配置模式下,使用以下命令设置显示语言:
language {en | zh_CN} en - 设置系统信息显示语言为英文。
默认情况下,系统信息显示语言为英文。
zh_CN - 设置系统信息显示语言为简体中文。
在全局配置模式下使用 no language 命令恢复显示语言为默认情况。
需要注意的是,该命令的设置不会影响 Web 管理界面的语言。
现举例如下:
此时表示成功配置系统信息显示为中文。
3.2.3 配置系统管理员
SA2001A由系统管理员(Administrator)管理、配置。系统管理员的配置包括创建管理 员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。安全网关拥有一个默认管理员 “hillstone”,用户可以对管理员“hillstone”进行编辑,但是不能删除该管理员。
对系统管理员的各项配置需要在管理员配置模式下进行。在 CLI 中,进入管理员配置模式,需在全局配置模式下输入以下命令:
admin user user-name
user-name 指定管理员名称。长度范围是 4 到 31 个字符。执行该命令后,系统创建指定名称的管理员,并且进入管理员配置模式;如果指定的管理员名称已经存在,则直接进入管理员配置模式。如下:
表示建立管理员“xiao”。
3.2.4 配置管理员特权
管理员特权为管理员登录设备后拥有的权限。StoneOS 允许的权限有 RX(读-执行)和 RXW (读-执行-写)。 如下图:
表示为管理员“xiao”配置特权为可读可写可执行的权限。
3.2.5 配置管理员密码
SA2001A具有密码策略,要指定管理员密码,在管理员配 置模式下,输入以下命令配置管理员的密码:
password password
如下图:
表示为管理员“xiao”配置密码为“xiao”。
3.2.6 配置管理员访问方式
默认情况下,新建的管理员不可以访问安全网关进行配置。需指定用户的访问方式。在管理员配置模式下,输入以下命令配置管理员的访问方式:
access (参数表)。
如下图:
输入“access ?”后回车,可以看到可以为管理员配置不同的访问方式,下面以配置管理员“xiao”
可以通过控制台访问SA2001A为例做说明:
上图配置表示管理员“xiao”可以通过控制台接口对SA2001A进行访问,其他类推。
四,StoneOS架构简介
4.1 StoneOS系统介绍
StoneOS 是安全网关运行的系统固件。StoneOS 系统中的基本组成部分包括:接口、安全域、 VSwitch、VRouter、策略以及 VPN。
4.1.1 接口
接口允许流量进出安全域。因此,为使流量能够流入和流出某个安全域,必须将接口绑定到该安全域,并且,如果是三层安全域,还需要为接口配置 IP 地址。然后,必须配置相应的策略规则, 允许流量在不同安全域中的接口之间传输。多个接口可以被绑定到一个安全域,但是一个接口不能 被绑定到多个安全域。
4.1.2 安全域
安全域将网络划分为不同部分,例如 trust(通常为内网等可信任部分)、untrust(通常为因 特网等存在安全威胁的不可信任部分)等。将配置的策略规则应用到安全域上后,安全网关就能够对出入安全域的流量进行管理和控制。StoneOS 提供 8 个预定义安全域,分别是:trust、untrust、 dmz、L2-trust、L2-untrust、L2-dmz、VPNHub 和 HA。
4.1.3 VSwitch
VSwitch(Virtual Switch)即虚拟交换机,具有交换机功能。VSwitch 工作在二层,将二层安全域绑定到的VSwitch上后,绑定到安全域的接口也被绑定到该 VSwitch 上。StoneOS 有一 个默认的 VSwitch,名为 VSwitch1,默认情况下,二层安全域都会被绑定到 VSwtich1 中。用户 可以根据需要创建其它 VSwitch,绑定二层安全域到不同 VSwitch 中。
一个 VSwitch 就是一个二层转发域,每个 VSwitch 都有自己独立的 MAC 地址表,因此设备的二层转发在 VSwitch 中实现。并且,流量可以通过 VSwitch 接口,实现二层与三层之间的转发。
4.1.4 VRouter
VRouter(Virtual Router)即虚拟路由器,在StoneOS系统中简称为VR。VRouter 具有路由器功能,不同 VR 拥有各自独立的路由表。系统中有一个默认 VR,名为trust-vr,默认情况 下,所有三层安全域都将会自动绑定到trust-vr 上。系统支持多 VR 功能且不同硬件平台支持的最大VR数不同。多VR将设备划分成多个虚拟路由器,每个虚拟路由器使用和维护各自完全独立的 路由表,此时一台设备可以充当多台路由器使用。多VR使设备能够实现不同路由域的地址隔离与 不同 VR 间的地址重叠,同时能够在一定程度上避免路由泄露,增加网络的路由安全。
4.1.5 策略
策略实现安全网关保证网络安全的功能。策略通过策略规则决定从一个安全域到另一个安全域 的哪些流量该被允许,哪些流量该被拒绝。默认情况下,所有通过安全网关的流量都是被拒绝的, 用户可以根据需要,创建策略规则,允许特定的流量在不同安全域之间或者安全域内通过,例如, 允许从 trust 域发起到 untrust 域的所有类型流量通过,或者只允许从 untrust 域发起到 DMZ 域 的某种特定应用类型的流量在指定的时间内(时间表功能)通过。
4.1.6 VPN
StoneOS 支持 VPN 功能,包括 IPSec VPN、基于 SSL 的远程登录解决方案——Secure Connect VPN(简称为 SCVPN)、拨号 VPN、PnPVPN 和 L2TP VPN。用户可以配置 VPN 隧道, 并且根据不同需求选择以下两种 VPN 隧道的应用方式: 基于策略的 VPN:将配置成功的 VPN 隧道名称引用到策略规则中,使符合条件的流量通过 指定的 VPN 隧道进行传输。 基于路由的 VPN:将配置成功的 VPN 隧道与隧道接口绑定;配置静态路由时,将隧道接口指定为下一跳路由。符合条件的流量将会经过 VPN 隧道进行传输。
五,SA2001A接口具体介绍
5.1 接口分类
5.1.1 按性质分类
SA2001A具有多种类型接口,根据性质的不同,分为物理接口和逻辑接口。
物理接口:SA2001A上的每一个以太网接口都表示一个物理接口。物理接口的名称是预先定义的,由媒体类型、插槽号和位置参数组成,例如 ethernet2/1 或 ethernet0/2。
逻辑接口:StoneOS 的逻辑接口包括 BGroup 接口、子接口、VSwitch 接口、VLAN 接口、回环接口、隧道接口、集聚接口和冗余接口。
5.1.2 按安全域分类
根据接口所处安全域的不同,接口还可以分为二层接口和三层接口。
二层接口:属于二层域、BGroup 以及 VLAN 的接口均为二层接口。
三层接口:属于三层域的接口为三层接口。只有三层接口可以在 NAT/路由模式下工作。
5.2 各逻辑接口介绍
5.2.1 Bgroup口
BGroup口将多个物理接口组织在一起。每一个 BGroup 构成一个独立的广播域,
数据包可以在BGroup中的接口之间根据 MAC 地址进行快速转发。
BGroup 接口为 BGroup 相对应的接口,与外部代表 BGroup 进行流量转发。
5.2.2 子接口
子接口的名称是所在物理接口或逻辑接口名字的扩展,例如 ethernet0/2.1。StoneOS 支
持以下类型子接口:以太网子接口、集聚子接口和冗余子接口。接口和它的子接口可以被绑定到同一个安全域中,也可以被绑定到不同的安全域中。
5.2.3 VSwitch接口
VSwitch 接口是三层接口。它代表了 VSwitch 上所有接口的集合。VSwtich 接口相当于实际交换机的上连口,能够实现数据包在二层与三层之间的转发。
5.2.4 VLAN接口
VLAN 接口是三层接口。它代表了 VLAN 内所有以太网接口的集合,只要有一个以太网口处于UP状态,该VLAN接口就处于UP状态。VLAN 接口是 VLAN内所有设备对外通信的出口,通常情况下,VLAN 接口的 IP 地址为 VLAN 内网络设备的网关地址。
5.2.5 回环接口
回环接口是逻辑接口,并且只要回环接口所在的安全设备处于工作状态,回环接口就一直处于工作状态。因此,回环接口具有稳定的特性。
5.2.6 隧道接口
隧道接口充当 VPN 通道的入口。流量通过隧道接口进出 VPN 通道。隧道接口只能是三层接口。
5.2.7 集聚接口
集聚接口是物理接口的集合,一个集聚可以包含 1 到 4 个物理接口。这些物理接口平均分担通过集聚接口流量。因此集聚接口可以提高单个 IP 地址的可用带宽。如果集聚接口中的一个物理接口出现故障,不能工作,其它接口可以继续处理流量,只是可使用的带宽变小了。
5.2.8 冗余接口
冗余接口能够实现两个物理接口的备份。一个物理接口为主接口处理流向该冗余接口的流量。另外一个接口作为备用接口在主接口发生故障时继续处理流量。
5.3 查看接口信息
5.3.1 show interface命令显示所有接口信息
通过 show interface命令可以查看当前设备上的所有接口信息,如下图:
上图中显示了当前SA2001A上的所有接口信息,其中“Interface name”:表示显示接口的名称。“IP address/mask”:表示显示接口的 IP 地址。“Zone name”:表示显示接口的绑定域的名称。“H (Physical state)”:表示显示接口的物理状态是否为可用(UP(可用)/DOWN(不可用)。“A (Admin state)” :表示显示接口的管理状态是否为可用(UP/DOWN)。“L (Link state)”:表示显示接口的链路状态是否为可用(UP/DOWN)。“P (Protocol state)”:表示显示接口的协议状态是否为可用(UP/DOWN)。“MAC address” :表示显示接口的 MAC 地址。
5.3.2 show interface命令显示指定的接口信息
如果要查看某个特定接口的信息,可以在show interface命令加上要查看的接口名称,如下图显示的是物理接口ethernet0/0的信息:
5.4 配置接口
对接口的配置与操作,必须在接口模式下输入相应的命令来完成。接口模式有以下 8 种:
路由模式:该模式的接口是三层接口,绑定到三层域
VSwitch 模式:该模式的接口是二层接口,绑定到二层域。
VLAN 模式:该模式的接口是三层接口,绑定到三层域。
Super-VLAN 模式:该模式的接口是三层接口,绑定到三层域
集聚模式:该模式的接口是集聚接口的成员,不能绑定到任何域。
冗余模式:该模式的接口是冗余接口的成员,不能绑定到任何域。
BGroup 模式: 该模式的接口是 BGroup 接口的成员,不能绑定到任何域。
隧道模式:该模式的接口是三层接口,绑定到三层域。
5.4.1 绑定接口到域
我们可以将任何物理接口绑定到已定义的二层或三层域。将接口绑定到域,在接口配置模式下输入以下命令:
zone zone-name
如下图:
表示把以太网电接口绑定到三层域trust。
5.4.2 为接口配置IP
SA2001A上所有接口配置的 IP 地址都必须在不同网段。用户可以为接口配置静态 IP 地址,也可以让接口通过 DHCP 或者 PPPoE 协议动态获得 IP 地址。配置接口的 IP 地址,在接口配置模式下,使用命令“ip adress”:如下图:
表示为当前接口设置静态IP地址“10.0.2.4”,子网掩码为:“255.255.255.0”。
5.4.3 配置接口管理功能
接口的以下功能需要通过命令开启后才可以使用,包括 SSH、Telnet、Ping、SNMP、HTTP和 HTTPS。开启这些功能后,用户可以使用接口上的 IP 地址通过相应的功能管理和配置设备。开启以上所述功能,在接口配置模式下,使用manager命令,具体如下:
表示开启当前接口的telnet功能。
在接口配置模式下,输入“manager”命令后加空格,然后输入问号回车,出现上图界面,表示接口可以配置的管理功能项,任何命令都可以这样查看。
5.4.4 配置接口的传输模式及速率
如下图所示:
表示配置当前接口的传输模式为全双工。
上图中显示以太网电接口的传输模式有auto(自动)、full(全双工) 、half(半双工)三种。
使用命令“speed”可以给以太网电接口设置传输速率,具体如下:
表示为当前接口设置传输速率为1000Mb/s。
上图显示可以为此接口设置10Mb/s,100Mb/s,1000Mb/s的端口速率,而auto为系统默认值,
也就是说系统自动测定并使用接口的最佳工作速率。
5.4.5 创建VSwitch接口
如下图:
表示创建一个 Vswitch3,同时创建该Vswitch3的VSwitch接口并进入Vswitch接口配置模式。
5.4.6 创建VLAN接口
在全局配置模式下,输入 “interface vlan”命令创建VLAN,如下:
表示创建了VLAN2,VLAN 接口属于三层接口,一个VLAN可对应一个VLAN接口,通过 VLAN 接口可以实现VLAN间的三层互通。
5.4.7 创建Super-VLAN接口
在全局配置模式下,输入 “interface supervlan”命令创建接口下的super-vlan,如下:
表示创建了一个接口下的super-vlan1接口,Super-VLAN接口属于三层接口,一个super-VLAN可对应一个super-VLAN 接口。不同sub-VLAN 通过 super-VLAN 接口实现三层通信。
注意:要想创建接口下的super-vlan,需要在全局模式下开启全局super-vlan功能,执行如下命令:supervlan supervlan1,图片如下:
。
5.4.8 创建BGroup接口
BGroup 将多个物理接口组织在一起。每一个 BGroup 构成一个独立的广播域,数据包可以在BGroup 中的接口之间根据 MAC 地址由硬件进行快速转发。使用 BGroup 能够提高设备的性能。用户在创建一个 BGroup 接口的同时,也创建了与该 BGroup 接口相对应的 BGroup。用户可以将 BGroup 接口绑定到二层安全域,然后将其添加到 VSwitch 中,也可以将 BGroup 接口绑定到三层安全域,再为其配置 IP 地址。
在全局配置模式下,使用“interface bgroup”命令创建Bgroup接口并进入Bgroup接口配置模式,如下图:
创建好Bgroup1后我们可以添加物理接口到Bgroup1,如下:
这里需要先进入以太网口E0/1的接口配置模式,然后使用“bgroup bgroup1”命令把E0/1接口绑定到bgroup1。
注意:添加物理接口时,必须保证被添加的物理接口(此处为接口Eth0/1) 不属于任何其它接口也不属于任何安全域。
5.4.9创建集聚接口及其子接口
一个集聚接口是两个或者多个物理接口的集合。这些物理接口平均分担通过该集聚接口的流量,集聚接口可以提高接口的带宽,如果集聚接口中的一个物理接口出现故障,那么集聚接口中的其他接口可以继续处理流量,但是可使用的流量变小。
在全局配置模式下,使用“interface aggregate”命令创建集聚接口,如下图:
表示创建了名为“aggregate1”的集聚接口。
我们可以为已存在的集聚接口创建子接口。创建集聚子接口,在全局配置模式下使用命令“interface aggregate1.X”,具体如下:
表示为已经存在的集聚接口aggregate1创建子接口aggregate1.1。
5.4.10 创建冗余接口及冗余子接口
一个冗余接口绑定两个物理接口,一个物理接口作为主接口处理流向该冗余接口的流量,另外一个接口作为备用接口在主接口发生故障时升级为主接口继续处理流量。
在全局配置模式下使用“interface redundant1”命令创建名为redundant1的冗余接口,如下图:
要为已经存在的redundan1冗余接口创建冗余子接口,在全局配置模式下使用命令“interface redundant1.X”,具体如下图:
表示为冗余接口“redundan1”创建了子接口“redundan1.1”。
可以为冗余接口添加物理接口,在要添加的接口的接口配置模式下使用命令“redundant redundant1”把物理接口绑定到冗余接口“redundan1”,具体如下:
表示先进入物理接口“eth0/3”的接口配置模式,然后使用命令“redundant redundant1”把物理接口“eth0/3”绑定到冗余接口“redundan1”。
为冗余接口绑定了物理接口后,需要指定其中一个接口为主接口,使用的命令是“primary”,具体如下:
表示先在全局配置模式下进入冗余接口“redundan1”的配置模式,然后通过“primary ethernet0/3”命令指定物理接口“eth0/3”为冗余接口“redundan1”的主接口。
5.4.11 创建隧道接口
SA2001A支持 VPN 功能。隧道接口充当 VPN 通道的入口。流量通过隧道接口进出 VPN 通道。
隧道接口只能是三层接口。
在全局配置模式下,输入命令“interface tunnel1”创建一个隧道接口“tunnel1”并且进入隧道接口配置模式,如下图:
。
创建了隧道接口后,需要把指定的隧道绑定到隧道接口,隧道接口可以绑定 IPSec VPN 隧道、GRE 隧道、SCVPN 隧道或者 L2TP 隧道。一个隧道接口可以绑定多个 IPSec VPN 隧道或多个 GRE 隧道,但仅可以绑定一个 SCVPN 隧道或者一个 L2TP隧道。具体配置如下:
表示把已经存在的名为“test”的IPSec VPN隧道绑定到隧道接口“tunnel1”。
注意:在配置上述命令时,需要先在全局配置模式下创建好相关隧道(此处为“test”)。命令如下:
SA-2001(config)# tunnel ipsec test manual,表示在全局配置模式下创建名为“test”的ipsec VPN隧道。
六,SA2001A策略具体介绍
6.1 策略简介
策略是网络安全设备的基本功能。默认情况下,安全设备会拒绝设备上所有安全域之间的信息传输。而策略则通过策略规则(Policy Rule)决定从一个安全域到另一个安全域的哪些流量该被允许,哪些流量该被拒绝。
策略分为以下两种:域间策略:域间策略对安全域间的流量进行控制。可通过设置域间策略来拒绝、允许从一个安全域到另一个安全域的流量。域内策略:安全域内策略对源地址和目的地址在同一个安全域的流量进行控制。
6.2 策略规则简介
策略规则允许或者拒绝从一个安全域到另一个安全域的流量。流量的类型、流量的源地址与目标地址以及行为构成策略规则的基本元素。
Direction 表示两个安全域之间的流量的方向,指从源安全域到目标安全域。
Source Address表示流量的源地址。
Destination Address 表示流量的目标地址。
Service表示流量的服务类型。
Action表示安全设备在遇到指定类型流量时所做的行为,包括允许(Permit)、拒绝(Deny)、隧道(Tunnel)、是否来自隧道(Fromtunnel)以及 Web 认证五个行为。
举例如下:允许从 trust 域的任意地址到 untrust 域的任意地址 ICMP 服务流量通过SA2001A。
如图所示:
下面用“show policy id 2” 命令显示策略规则“2“的相关信息,如下图:
创建策略规则后,进入策略规则配置模式可以对规则相关参数进行修改,如下图:
在策略规则配置模式下可以起用或禁用策略规则,具体如下:
表示禁用当前策略规则,用“enable”命令可以起用当前策略规则。
6.3 策略规则日志管理功能介绍
我们可以根据需要,通过系统日志信息记录流量对策略规则的匹配情况,对于 permit 类型的策略规则,可以记录两种情况,分别是符合策略规则的流量建立会话时生成日志信息和结束会话时生成日志信息。对于 deny 类型的策略规则,可以记录的情况为:符合策略规则的流量被 deny 时生成日志信息。
不过需要注意的是:使用该功能前,必须保证系统的流量日志功能是开启的,即在全局配置模式下,执行 logging traffic on 命令。如下;
。
要配置规则的日志管理,需在策略规则配置模式下,使用命令“log”,事例如下:
其中policy-deny 适用于 deny 类型的策略规则,使系统生成规则拒绝流量的日志信息。
session-start 适用于 permit 类型的策略规则,使系统生成会话建立的日志信息。
session-end 适用于 permit 类型的策略规则,使系统生成会话结束的日志信息。
我们可以为安全域间未匹配到任何已配置策略规则的流量指定缺省行为,系统将按照指定的缺省行为对此类流量进行处理。默认情况下,系统会拒绝未匹配到任何已配置策略规则的流量通过。
要配置缺省行为,需使用命令 “default-action”,如下图:
表示指定缺省行为为“permit”(允许)。
6.4 修改规则排列顺序
在SA2001A中,每一条策略规则都有唯一一个 ID 号。流量进入安全网关时,安全网关对策略规则进行顺序查找,然后按照查找到的相匹配的第一条规则对流量进行处理。但是,策略规则 ID 的大小顺序并不是规则查找时的匹配顺序。使用 show policy 命令列出的规则顺序才是规则匹配顺序(系统将由上到下进行查找)。我们在创建策略规则时可以指定该规则的排列位置,也可以在策略配置模式下修改其位置。策略规则的排列位置可以是绝对位置,即处在首位(Top)或者处在末位(Bottom),也可以是相对位置,即位于某个 ID 之前或之后。
要修改规则排列顺序,在策略配置模式下使用命令“move”,具体如下:
表示把规则“4”移至规则“2”的前面,使用“show policy”查看结果如下:
上图显示ID为“4”的规则位于规则为“2”的前面,说明给规则排序成功。
七,SA2001A NAT功能介绍
7.1 NAT概述
NAT是网络地址转换(Network Address Translation)的简称,它是将 IP 数据包包头中的IP地址转换为另一个IP地址的协议。当 IP 数据包通过路由器或者安全网关时,路由器或者安全网关会把 IP 数据包的源IP地址和/或者目的IP地址进行转换。在实际应用中,NAT 主要用于私有网络访问外部网络或外部网络访问私有网络的情况。
NAT 有以下优点:
1,通过使用少量的公有IP地址代表多数的私有IP地址,缓解了可用IP地址空间枯竭的速度。
2,NAT可以隐藏私有网络,达到保护私有网络的目的。
7.2 SA2001A的NAT功能
SA2001A的 NAT 功能将内部网络主机的 IP 地址和端口替换为安全网关外部网络的地址和端口,以及将安全网关的外部网络地址和端口转换为内部网络主机的 IP 地址和端口。也就是"私有地址+端口"与"公有地址+端口"之间的转换。SA2001A通过创建并执行 NAT 规则来实现 NAT 功能。NAT 规则有两类,分别为源 NAT 规则(SNAT Rule)和目的 NAT 规则(DNAT Rule)。SNAT 转换源 IP 地址,从而隐藏内部 IP 地址或者分享有限的 IP 地址;DNAT 转换目的 IP 地址,通常是将受SA2001A保护的内部服务器(如WWW 服务器或者 SMTP 服务器)的 IP 地址转换成公网 IP 地址。
7.3 SA2001A的NAT配置规则
NAT 规则基于 VRouter 创建并生效。用户可以在 VRouter 配置模式下,创建 SNAT/DNAT规则、修改 SNAT/DNAT 规则排列以及删除 SNAT/DNAT 规则等。为缺省 VR 即 trust-vr 配置NAT,也可以使用 NAT 模式(在全局配置模式下,使用 nat 命令进入 NAT 配置模式)。
要进入 VRouter 配置模式,在全局配置模式下使用以下命令“ip vrouter”。
具体如下:
表示已经创建了名为“test”虚拟路由器并进入了VRouter 配置模式。
注意:在执行上叙操作命令时,需要在执行模式()下执行命令“exec vrouter enable”开启SA2001A的虚拟路由器功能,然后用“save”命令保存当前配置,接着使用命令”reboot”重启SA2001A,具体如下:
以上图片表示在执行模式下开启SA2001A的虚拟路由器功能;
以上图片表示保存当前配置。
以上图片表示SA2001A重启成功。
7.4创建SNAT规则
SNAT 规则指定是否对符合条件的流量的源 IP 地址做 NAT 转换,如果需要转
换,则同时指定转换的地址和方式。配置做 NAT 转换的 SNAT 规则,在 VRouter 配置模式下使用命令“snatrule”,具体如下:
表示创建ID号为2,源地址为10.0.0.0,目标地址为192.168.0.0,出接口为E0/1,NAT转换地址为172.168.2.22,NAT转换模式为PAT的SANAT规则。
执行查看命令”show snat vrouter trust-vr”输出如下所示结果:
注意:这里要保证接口E0/1在当前虚拟路由器的安全域中,此例子仅做演示用。
7.5创建DNAT规则
DNAT 规则指定是否对符合条件的流量的目的 IP 地址做 NAT 转换。配置做
NAT 转换的 DNAT规则,在 VRouter 配置模式下使用命令“dnatrule”,具体如下:
表示创建目的NAT规则,规则号为“1”,源IP为任何IP,目的IP为200.20.30.0,服务为http,转换地址为200.20.30.3,端口为80。
八,IPSec协议介绍
8.1 IPSec协议简介
IPSec 是为实现 VPN 功能而最普遍使用的协议。IPSec 不是一个单独的协议,它给出了应用于IP 层上网络数据安全的一整套体系结构。该体系结构包括认证头协议(Authentication Header,简称为 AH)、封装安全负载协议(Encapsulating Security Payload,简称为 ESP)、密钥管理协议(Internet Key Exchange,简称为 IKE)和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等体之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。
认证头协议(AH):IPsec 体系结构中的一种主要协议,它为 IP 数据包提供无连接完整性的保护与数据源认证,并提供保护以避免重播情况。AH 尽可能为 IP 头和上层协议数据提供足够多的认证。
IPsec 封装安全负载(ESP):IPsec 体系结构中的一种主要协议。ESP 加密需要保护的数据并且在 IPsec ESP 的数据部分进行数据的完整性校验,以此来保证机密性和完整性。ESP提供了与 AH 相同的安全服务并提供了一种保密性(加密)服务,ESP 与 AH 各自提供的认证根本区别在于它们的覆盖范围。
密钥管理协议(IKE):用于协商 AH 和 ESP 所使用的密码算法,并将算法所需的必备密钥放到恰当位置。
8.2 IPSec协议在SA2001A中的实现
8.2.1 SA2001A中的VPN模式
SA2001A通过"基于策略的 VPN"和"基于路由的 VPN"两种方式把配置好的 VPN 隧道
应用到SA2001A上,实现流量的加密解密安全传输。
基于策略的 VPN:将配置成功的 VPN 隧道名称引用到策略规则中,使符合条件的流
量通过指定的 VPN 隧道进行传输。
基于路由的 VPN:将配置成功的 VPN 隧道与隧道接口绑定;配置静态路由时,将隧道接口指定为下一跳路由。
8.2.2 SA2001A中VPN的配置模式
SA2001A支持两种配置 IPSec VPN 的方法,分别是手工密钥 VPN和IKE VPN。
手工密钥 VPN 的配置包括指定 IPSec 协议的操作模式、安全参数索引、协议类型、加密算法/验证算法和压缩算法等。
8.2.3 手工配置VPN
创建手工密钥 VPN,在全局配置模式下,使用命令“tunnel ipsec name manual”, name 指定所创建的手工密钥 VPN 隧道的名称。具体如下:
表示创建名为“test”的手工密钥VPN。
接下来使用命令“mode”指定IPSec协议的操作模式,如下:
表示指定模式为隧道模式。
然后需要指定安全参数索引,安全参数索引(Security Parameter Index,简称为 SPI)是为唯一标识 SA 而生成的一个32 比特的数值,它在 AH 和 ESP 头中传输。SPI 的作用是查找对应的 VPN 隧道进行解密。
使用的命令是spi spi-number out-spi-number,其中spi-number 用来指定本端的 SPI 参数,out-spi-number - 指定对端的 SPI 参数。
具体如下:
表示指定本端spi为6001,对端为6002。
接下来要指定协议类型,IPSec 协议的类型为 ESP 和 AH 两种。为手工密钥 VPN
隧道指定协议类型,在手工密钥 VPN配置模式下使用命令“protocol {esp | ah}”,其中esp指定使用 ESP 协议,该协议为系统默认协议,ah 指定使用 AH 协议。
具体如下:
表示指定协议为ESP。
然后需要指定加密算法,如下:
表示指定加密算法为 “3des”, 可以在“encryption”后面加空格加问号显示
所有可用的加密算法,如下:
接下来指定验证算法,如下:
表示指定验证算法为“sha”,同样可查看可用的验证算法,如下:
然后需要指定对端IP地址,用如下命令:
表示指定对端IP为200.20.30.4。
接下来需要配置协议的验证密钥,用户需要为安全隧道两端均配置协议的验证密
钥,且本端入方向验证密钥必须与对端出方向的验证密钥相同,而本端出方向的验证
密钥必须与对端入方向的验证密钥相同。如下:
表示指定本端进方向密钥为6100,出方向密钥为61001,需要注意的是密钥必须、
是16进制的形式。
然后要指定协议的加密密钥,如下:
表示指定本端协议进方向的加密密钥为6200,出方向的加密密钥为62001。
最后需要为手工VPN隧道指定出接口,如下:
表示指定出接口为ethernet0/4。
关于IKE VPN的配置这里省略,具体可以参考山石网科公司的使用手册。
九,Secure Connect VPN协议介绍
9.1 Secure Connect VPN简介
为解决远程用户安全访问私网数据的问题,SA2001A提供基于 SSL 的远程登录解决方案Secure Connect VPN,简称为 SCVPN。SCVPN 功能可以通过简单易用的方法实现信息的远程连通。
SA2001A的 SCVPN 功能包含设备端和客户端两部分。
配置了 SCVPN功能的SA2001A作为设备端,具有以下功能:
1,接受客户端连接;2,为客户端分配 IP 地址、DNS 服务器地址和 WINS 服务器地址;3,进行客户端用户的认证与授权;4,进行客户端主机的安全检测;5,对 IPSec 数据进行加密与转发。
SA2001A SCVPN 的客户端工具为 Hillstone Secure Connect。用户可以通过浏览器下载该客户端,然后将其安装到 PC,连接设备端成功后,用户就可以通过 SCVPN 功能安全的传输数据信息。
9.2 Secure Connect VPN设备端配置
9.2.1 地址池配置
SCVPN 设备端通过地址池给客户端分配 IP 地址。当客户端连接 SCVPN 设备端成功后,设备端会从地址池里取出一个 IP 地址与其它相关参数(如 DNS 服务器地址与 WINS 服务器地址等)一起分配给客户端。在全局配置模式,使用命令scvpn pool创建 SCVPN 地址池,具体如下:
表示创建名为“test”的地址池。
接下来配置地址池地址范围,如下:
表示创建的地址池的范围是172.3.0.1到 172.3.3.3。
然后我们可以配置保留地址池,保留地址池中的 IP 地址为地址池中的部分 IP 地址,当 SCVPN 设备端从地址池里取出 IP 地址分配给客户端时,需要保留已经被占用的部分 IP 地址(如网关、FTP 服务器等),不进行分配。
配置保留地址池,在 SCVPN 地址池配置模式下使用命令“exclude address”,具体如下:
表示配置保留地址池为172.3.2.254 到172.3.3.3。
接着需要配置IP地址绑定规则,SA2001A SCVPN 通过创建和执行 IP 地址绑定规则来满足客户端的固定 IP 地址需求。IP 地址绑定规则包括静态 IP 地址绑定规则和角色-IP 地址绑定规则。静态 IP 地址绑定规则将客户端用户与已配置地址池中的某个固定 IP 地址绑定,当客户端连接成功后,设备端会将绑定的 IP 地址分配给客户端;角色-IP 地址绑定规则是将角色与已配置地址池中的某一 IP 地址范围绑定,当此客户端连接成功后,设备端会从绑定的地址范围中取出一个 IP 地址分配给客户端。
当 SCVPN 设备端通过地址池给客户端分配 IP 地址时,系统会按照一定的顺序对客户端的 IP地址绑定规则进行检查,决定如何为客户端分配 IP 地址:
1,检查是否已为客户端用户配置静态 IP 地址绑定规则,如果是,则将绑定的 IP 地址分配给客户端;否则,需要进一步检查。注意,如果此静态 IP 地址绑定规则中的 IP 地址已被占用,则该用户无法登录。
2,检查是否已为客户端用户配置角色-IP 地址绑定规则,如果是,则从绑定的地址范围中取出一个 IP 地址分配给客户端;否则,该用户无法登录。
注意:静态 IP 地址绑定规则中的 IP 地址和角色-IP 地址绑定规则中的 IP 地址不能重叠。
配置静态 IP 地址绑定规则,在 SCVPN 地址池配置模式下使用命令“ip-binding user”,具体如下:
表示把172.3.0.1这个地址静态分配给用户“test”。
配置角色 IP 地址绑定规则,在 SCVPN 地址池配置模式下使用命令“ip-binding role”,具体如下:
表示把角色“test”和IP地址范围在172.3.0.2 和172.3.0.10之间的地址进行绑定。
注意:这里要保证角色“test”已经在全局配置模式下创建。如下:
即需要在全局配置模式下使用命令“role test”创建角色“test”。
下面配置DNS和WINS服务器,具体如下:
表示配置DNS服务器地址为172.3.0.254;
表示配置WINS服务器地址为172.3.0.253.
用 “show scvpn pool test”命令可以显示SCVPN地址池TEST的相关信息,具体如下:
在下面的图中显示的是地址池 “test”的统计信息:
表示此地址池中共有771个地址,6个保留地址,10个绑定地址,已用的地址为0,已用的绑定地址也为0,可用的地址为765个。
9.2.2 SCVPN实例配置
创建 SCVPN 实例,在全局配置模式下,使用命令“tunnel scvpn”,具体如下:
为 SCVPN 实例“test”指定 SCVPN 地址池,如下:
客户端通过 HTTPS 协议访问设备端接口。指定设备端 SCVPN 接口,在 SCVPN 实例配置模下,使用命令“interface”,如下:
表示绑定接口Eth0/2为客户端访问的接口。
为 SCVPN 指定 SSL 协议,在 SCVPN 实例配置模式下,使用命令“ssl-protocol”,如下:
表示指定协议为“sslv3”。
指定的 PKI 信任域用于 HTTPS 访问认证。为 SCVPN 指定 PKI 信任域,在 SCVPN 实例配置模式下,使用命令“trust-domain”,如下:
表示指定信任域为默认域。
指定隧道密码,隧道密码包括加密算法和验证算法。为 SCVPN 指定隧道密码,在 SCVPN 实例配置模式下,使用命令“tunnel-cipher encryption 3des hash sha”,如下:
表示指定加密算法为 “3des” 验证算法为 “sha”。
指定 AAA 服务器为进行客户端用户身份认证的 AAA 服务器。指定 AAA 服务器,在SCVPN 实例配置模式下,使用命令“aaa-server”,如下:
表示AAA服务器为本地。
配置SCVPN隧道路由
SCVPN 隧道路由是指通过 SCVPN 隧道到指定网段的路由。SCVPN 客户端通过设备下发的路由可以访问到指定的网段。配置 SCVPN 隧道路由,在 SCVPN 实例配置模式下,使用命令“split-tunnel-route”,如下:
表示配置到192.168.0.0/24网段的隧道路由。
绑定SCVPN实例到隧道接口
配置好的 SCVPN 实例需要绑定到隧道接口,才能够生效。绑定 SCVPN 实例到隧道接口,在隧道接口配置模式下,使用命令“tunnel scvpn”,如下:
表示绑定成功。
注意:一个隧道接口只能绑定某一个类型的VPN实例,不能够既绑定IPSEC类型的隧道接口又绑定SCVNP类型的接口到一个隧道接口。如下:
表示当在隧道接口上绑定了SCVPN类型实例隧道接口的前提下,再想绑定IPSEC类型的接口实例是不允许的,反之亦然,即隧道接口和隧道实例是一对一的关系。
结束语
由于本人水平有限,本指导手册介绍内容告一段落,希望本手册能够给各位带来一点帮助,同时敬请各位同事提出修改意见,谢谢!
2010-12-22
本文来源:https://www.2haoxitong.net/k/doc/5065967e5acfa1c7aa00cc28.html
文档为doc格式