山石SA2001A VPN防火墙简明配置手册(2)

山石SA2001A操作指导手册 ，可以看到主机名称已经变为“2001A” 。 3.2.2 配置系统信息显示语言

系统信息包括日志信息、错误信息和提示信息。设备支持简体中文和英文两种系统信息显示语言，在全局配置模式下，使用以下命令设置显示语言： language {en | zh_CN} en - 设置系统信息显示语言为英文。 默认情况下，系统信息显示语言为英文。 zh_CN - 设置系统信息显示语言为简体中文。 在全局配置模式下使用 no language 命令恢复显示语言为默认情况。 需要注意的是，该命令的设置不会影响 Web 管理界面的语言。 现举例如下： 此时表示成功配置系统信息显示为中文。 3.2.3 配置系统管理员

SA2001A由系统管理员（Administrator）管理、配置。系统管理员的配置包括创建管理 员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。安全网关拥有一个默认管理员 “hillstone”，用户可以对管理员“hillstone”进行编辑，但是不能删除该管理员。 对系统管理员的各项配置需要在管理员配置模式下进行。在 CLI 中，进入管理员配置模式，需在全局配置模式下输入以下命令： admin user user-name

user-name 指定管理员名称。长度范围是 4 到 31 个字符。执行该命令后，系统创建指定名称的管理员，并且进入管理员配置模式；如果指定的管理员名称已经存在，则直接进入管理员配置模式。如下： 表示建立管理员“xiao”。 3.2.4 配置管理员特权 信息中心

7/11/2013

6

山石SA2001A操作指导手册 管理员特权为管理员登录设备后拥有的权限。StoneOS 允许的权限有 RX（读-执行）和 RXW （读-执行-写）。 如下图： 表示为管理员“xiao”配置特权为可读可写可执行的权限。 3.2.5 配置管理员密码 SA2001A具有密码策略，要指定管理员密码，在管理员配 置模式下，输入以下命令配置管理员的密码： password password 如下图：

表示为管理员“xiao”配置密码为“xiao”。 3.2.6 配置管理员访问方式 默认情况下，新建的管理员不可以访问安全网关进行配置。需指定用户的访问方式。在管理员配置模式下，输入以下命令配置管理员的访问方式： access （参数表）。 如下图：

输入“access ?”后回车，可以看到可以为管理员配置不同的访问方式，下面以配置管理员“xiao”

可以通过控制台访问SA2001A为例做说明：

上图配置表示管理员“xiao”可以通过控制台接口对SA2001A进行访问，其他类推。

信息中心

7/11/2013

7

山石SA2001A操作指导手册

四，StoneOS架构简介

4.1 StoneOS系统介绍

StoneOS 是安全网关运行的系统固件。StoneOS 系统中的基本组成部分包括：接口、安全域、 VSwitch、VRouter、策略以及 VPN。

4.1.1 接口

接口允许流量进出安全域。因此，为使流量能够流入和流出某个安全域，必须将接口绑定到该安全域，并且，如果是三层安全域，还需要为接口配置 IP 地址。然后，必须配置相应的策略规则， 允许流量在不同安全域中的接口之间传输。多个接口可以被绑定到一个安全域，但是一个接口不能 被绑定到多个安全域。 4.1.2 安全域

安全域将网络划分为不同部分，例如 trust（通常为内网等可信任部分）、untrust（通常为因 特网等存在安全威胁的不可信任部分）等。将配置的策略规则应用到安全域上后，安全网关就能够对出入安全域的流量进行管理和控制。StoneOS 提供 8 个预定义安全域，分别是：trust、untrust、 dmz、L2-trust、L2-untrust、L2-dmz、VPNHub 和 HA。 4.1.3 VSwitch

VSwitch（Virtual Switch）即虚拟交换机，具有交换机功能。VSwitch 工作在二层，将二层安全域绑定到的VSwitch上后，绑定到安全域的接口也被绑定到该 VSwitch 上。StoneOS 有一 个默认的 VSwitch，名为 VSwitch1，默认情况下，二层安全域都会被绑定到 VSwtich1 中。用户 可以根据需要创建其它 VSwitch，绑定二层安全域到不同 VSwitch 中。 一个 VSwitch 就是一个二层转发域，每个 VSwitch 都有自己独立的 MAC 地址表，因此设备的二层转发在 VSwitch 中实现。并且，流量可以通过 VSwitch 接口，实现二层与三层之间的转发。 4.1.4 VRouter VRouter（Virtual Router）即虚拟路由器，在StoneOS系统中简称为VR。VRouter 具有路由器功能，不同 VR 拥有各自独立的路由表。系统中有一个默认 VR，名为trust-vr，默认情况 下，所有三层安全域都将会自动绑定到trust-vr 信息中心

7/11/2013

8

山石SA2001A操作指导手册 上。系统支持多 VR 功能且不同硬件平台支持的最大VR数不同。多VR将设备划分成多个虚拟路由器，每个虚拟路由器使用和维护各自完全独立的 路由表，此时一台设备可以充当多台路由器使用。多VR使设备能够实现不同路由域的地址隔离与 不同 VR 间的地址重叠，同时能够在一定程度上避免路由泄露，增加网络的路由安全。 4.1.5 策略

策略实现安全网关保证网络安全的功能。策略通过策略规则决定从一个安全域到另一个安全域 的哪些流量该被允许，哪些流量该被拒绝。默认情况下，所有通过安全网关的流量都是被拒绝的， 用户可以根据需要，创建策略规则，允许特定的流量在不同安全域之间或者安全域内通过，例如， 允许从 trust 域发起到 untrust 域的所有类型流量通过，或者只允许从 untrust 域发起到 DMZ 域 的某种特定应用类型的流量在指定的时间内（时间表功能）通过。 4.1.6 VPN

StoneOS 支持 VPN 功能，包括 IPSec VPN、基于 SSL 的远程登录解决方案——Secure Connect VPN（简称为 SCVPN）、拨号 VPN、PnPVPN 和 L2TP VPN。用户可以配置 VPN 隧道， 并且根据不同需求选择以下两种 VPN 隧道的应用方式： 基于策略的 VPN：将配置成功的 VPN 隧道名称引用到策略规则中，使符合条件的流量通过 指定的 VPN 隧道进行传输。 基于路由的 VPN：将配置成功的 VPN 隧道与隧道接口绑定；配置静态路由时，将隧道接口指定为下一跳路由。符合条件的流量将会经过 VPN 隧道进行传输。

信息中心

7/11/2013

9

山石SA2001A操作指导手册

五，SA2001A接口具体介绍

5.1 接口分类

5.1.1 按性质分类

SA2001A具有多种类型接口，根据性质的不同，分为物理接口和逻辑接口。

物理接口：SA2001A上的每一个以太网接口都表示一个物理接口。物理接口的名称是预先定义的，由媒体类型、插槽号和位置参数组成，例如 ethernet2/1 或 ethernet0/2。

逻辑接口：StoneOS 的逻辑接口包括 BGroup 接口、子接口、VSwitch 接口、VLAN 接口、回环接口、隧道接口、集聚接口和冗余接口。

5.1.2 按安全域分类

根据接口所处安全域的不同，接口还可以分为二层接口和三层接口。

二层接口：属于二层域、BGroup 以及 VLAN 的接口均为二层接口。

三层接口：属于三层域的接口为三层接口。只有三层接口可以在 NAT/路由模式下工作。

5.2 各逻辑接口介绍

5.2.1 Bgroup口

BGroup口将多个物理接口组织在一起。每一个 BGroup 构成一个独立的广播域，

数据包可以在BGroup中的接口之间根据 MAC 地址进行快速转发。

BGroup 接口为 BGroup 相对应的接口，与外部代表 BGroup 进行流量转发。

5.2.2 子接口

子接口的名称是所在物理接口或逻辑接口名字的扩展，例如 ethernet0/2.1。StoneOS 支 持以下类型子接口：以太网子接口、集聚子接口和冗余子接口。接口和它的子接口可以被绑定到同一个安全域中，也可以被绑定到不同的安全域中。

5.2.3 VSwitch接口

信息中心

7/11/2013

10

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库山石SA2001A VPN防火墙简明配置手册(2)在线全文阅读。