第1页 / 共616页
第2页 / 共616页
第3页 / 共616页
第4页 / 共616页
第5页 / 共616页
第6页 / 共616页
第7页 / 共616页
第8页 / 共616页
山石防火墙web配置手册.pdf
目 录
欢迎
第1章 新手入门指南
访问WebUI界面
初始配置
安装许可证
创建系统管理员
创建可信主机
升级系统版本
特征库升级
如何连通网络
在路由模式下连通网路
通过3G方式连通网络
恢复出厂配置
通过CLR按键方式
通过WebUI方式
第2章 部署您的设备
设备工作原理
StoneOS系统架构
安全策略规则
数据包处理流程
二层转发域中的转发规则
三层转发域的转发规则
部署透明模式
部署路由模式
部署混合模式
部署旁路(Tap)模式
第3章 首页
个性化配置
威胁信息
威胁视图
用户信息
应用信息
总流量
接口列表
系统信息
许可证
统计周期
第4章 iCenter
威胁
第5章 网络连接
安全域
配置安全域
接口
配置接口
新建PPPoE接口
新建隧道接口
新建Virtual Forward接口
新建回环接口
新建集聚接口
新建冗余接口
新建以太网子接口/集聚子接口/冗余子接口
新建VSwitch接口/VLAN接口
编辑以太网接口/HA接口
MGT接口
配置MGT接口
VLAN
配置VLAN
DNS
配置DNS服务器
配置DNS代理
配置DNS代理规则
启用/禁用规则
调整优先级
DNS代理全局配置
解析配置
DNS缓存
NBT缓存
DHCP
配置DHCP服务器
配置DHCP中继代理
配置DHCPv6服务器
配置DHCPv6中继代理
DDNS
配置DDNS
PPPoE
配置PPPoE
Virtual Wire
配置 Virtual Wire
配置Virtual Wire模式
虚拟路由器
新建虚拟路由器
全局配置
虚拟交换机
新建虚拟交换机
目的镜像接口
WLAN
新建无线网络
无线网络高级配置
连接3G网络
配置3G连接
数据卡管理配置
PIN码自动验证
启用/禁用PIN码保护功能
PIN码修改
PIN码认证
PIN码解锁
出站负载均衡
配置LLB模板
配置LLB规则
入站负载均衡
新建SmartDNS规则表
应用层网关
开启应用层网关
全局网络参数
配置全局网络参数
配置防护模式
第6章 高级路由功能
配置目的路由
新建目的路由
配置目的接口路由
新建目的接口路由
配置源路由
新建源路由
配置源接口路由
新建源接口路由
配置ISP信息
新建ISP信息配置文件
上传ISP信息配置文件
保存ISP信息配置文件
配置ISP路由
新建ISP路由
配置策略路由
新建策略路由
新建策略路由规则
配置策略路由规则优先级
应用策略路由
DNS重定向
设置全局匹配顺序
WAP智能分流
启用WAP智能分流
配置DNS服务器
配置域名条目
配置策略路由规则
查看WAP智能分流统计数据
视频引流
配置RIP
新建RIP
配置OSPF
新建OSPF
查看邻居信息
第7章 用户认证
用户认证流程
Web认证
启用Web认证
配置Web认证的基本参数
定制Web认证登录页面
NTLM认证
步骤一:在系统上进行配置
步骤二:在用户PC上进行配置
微信认证
步骤一:在微信公众平台上进行配置
步骤二:在系统上进行配置
单点登录
开启SSO Radius实现单点登录
通过AD Scripting实现单点登录
步骤一:在AD服务器上配置脚本程序
步骤二:在系统上配置AD Scripting功能
通过AD Polling实现单点登录
通过SSO Monitor实现单点登录
使用AD Security Agent实现单点登录
步骤一:在PC或服务器上安装并运行AD Security Agent
步骤二:在系统上配置AD服务器
802.1x认证
配置802.1x认证
创建802.1x profile
802.1x的全局配置
查看在线用户
PKI
创建PKI密钥
创建信任域
导入导出信任域的信息
导入可信根证书
在线用户
第8章 VPN
IPSec VPN
IPSec VPN基础概念
安全联盟
封装方式
协商方式
引用IPSec VPN
配置IKE VPN
配置P1提议
配置P2提议
配置VPN对端
配置IKE VPN
配置手工密钥VPN
查看IPSec VPN监控信息
配置PnPVPN
PnPVPN工作流程
PnPVPN链路冗余
配置PnPVPN
配置IPSec-XAUTH地址池
SSL VPN
配置SSL VPN
配置资源列表
配置SSL VPN地址池
配置SSL VPN认证登录页
主机绑定
配置主机绑定
配置主机绑定与解除绑定
配置超级用户
配置共享主机
导入/导出已绑定主机列表
主机检测
基于角色的访问控制和主机检测流程
配置主机检测规则
SSL VPN客户端 for Windows
下载与安装客户端
使用“用户名/密码”认证方式
使用“用户名/密码+数字证书”认证方式
使用“数字证书”认证方式
启动客户端
使用Web方式启动客户端
使用“用户名/密码”认证方式
使用“用户名/密码 + USB Key证书”方式认证
使用“用户名/密码 + 软证书”方式认证
使用“USB Key证书”方式认证
使用“软证书”方式
直接启动客户端
基于TLS/SSL协议的启动方式
使用“用户名/密码”认证方式
使用“用户名/密码 + USB Key证书”方式认证
使用“用户名/密码 + 软证书”方式认证
使用“USB Key证书”方式认证
使用“软证书”方式
基于国密SSL协议的启动方式
使用“用户名/密码”认证方式
使用“用户名/密码 + 数字证书”方式认证
使用“只用数字证书”方式认证
查看客户端图形用户界面
统计信息
接口信息
路由信息
查看客户端菜单
配置Hillstone Secure Connect
设置通用选项
添加登录信息条目
SSL VPN客户端 for Android
下载与安装
启动与登录
GUI
连接状态
VPN连接配置管理
添加登录信息条目
编辑登录信息条目
删除登录信息条目
修改设备端登录密码
断开与设备端的连接/登入设备端
连接日志
系统配置
关于我们
SSL VPN客户端 for iOS
安装与建立连接
建立VPN连接
GUI
状态
配置管理
添加登录信息条目
删除登录信息条目
断开与设备端的连接/登录设备端
开启/关闭自动重连
日志
关于我们
SSL VPN客户端 for Mac OS
下载与安装
启动与连接
客户端GUI
工具栏
连接列表
连接信息
状态栏
客户端菜单
SSL VPN客户端 for Linux
下载与安装
启动与连接
升级与卸载
客户端GUI
工具栏
连接列表
连接信息
状态栏
客户端菜单
L2TP VPN
配置L2TP VPN
配置L2TP VPN地址池
查看在线用户
第9章 对象
地址簿
新建地址簿条目
查看地址簿条目详情
域名薄
新建域名条目
服务薄
预定义服务及预定义服务组
自定义服务
自定义服务组
配置服务薄
配置自定义服务
配置自定义服务组
查看服务条目详情
应用薄
编辑预定义应用
新建自定义应用
新建自定义应用组
新建应用过滤组
新建静态特征规则
查看应用条目详情
SLB服务器池
配置SLB服务器池条目和监测规则
查看SLB服务器池条目详情
时间表
周期计划
绝对计划
创建时间表
AAA服务器
配置本地AAA服务器
配置Radius服务器
配置Active Directory服务器
配置LDAP服务器
配置TACACS+服务器
配置WeChat服务器
连通性测试
用户
本地用户
新建用户
新建用户组
导入用户密码列表
导出用户密码列表
LDAP用户
同步用户
Active Directory用户
同步用户
用户绑定
添加用户绑定
导入用户绑定列表
导出用户绑定列表
角色
配置角色
新建角色
关联到角色映射
新建角色映射
新建角色组合
监测对象
新建监测对象
URL过滤
配置URL过滤
克隆URL过滤规则
查看URL访问统计
查看上网日志记录
对象配置
预定义URL库
更改预定义URL库更新配置
在线升级URL库
本地升级URL库
自定义URL库
配置自定义URL库
导入URL列表
清除URL列表
URL查询
查询URL信息
配置URL查询服务器
关键字类别
配置关键字类别
页面提示
配置用户被阻断警告信息
配置用户被监控警告信息
数据安全
对象配置
预定义URL库
更改预定义URL库更新配置
在线升级URL库
本地升级URL库
自定义URL库
配置自定义URL库
导入URL列表
清除URL列表
URL查询
查询URL信息
配置URL查询服务器
关键字类别
配置关键字类别
页面提示
配置用户被阻断警告信息
配置用户被监控警告信息
Bypass域名
免监控用户
文件过滤
配置文件过滤规则
查看文件过滤日志
内容过滤
网页关键字
配置网页关键字
查看网页内容关键字阻断统计
查看网页内容关键字日志
Web外发信息
配置Web外发信息
查看Web外发信息关键字阻断统计
查看Web外发信息关键字日志
邮件过滤
配置邮件过滤
查看邮件内容关键字阻断统计
查看邮件过滤关键字日志
应用行为控制
配置应用行为控制规则
查看应用行为控制日志
上网行为审计
配置上网行为审计
查看上网行为审计日志
NetFlow
配置NetFlow
配置NetFlow规则
配置NetFlow全局参数
终端防护
配置终端防护
终端防护配置准备工作
配置终端防护功能
配置终端防护规则
配置终端安全控制中心参数
第10章 策略
安全策略
配置策略规则
管理策略规则
启用/禁用策略规则
复制策略规则
调整优先级
设置策略规则默认动作
查看及清零策略命中数
规则冗余检测
命中数检测
时间表有效性检测
显示禁用策略
配置策略组
新建策略组
删除策略组
启用/禁用策略组
添加/删除策略规则成员
编辑策略组
显示禁用策略组
查看及过滤策略规则/策略组
查看策略规则/策略组
过滤策略规则/策略组
用户上线通知
配置用户上线通知功能
配置用户上线通知功能参数
查看上线通知用户
iQoS
实现机制
管道与流控层级
管道
流控层级
开启iQoS
管道
基本操作
配置管道
NAT
NAT的基本转换过程
设备的NAT功能
配置源NAT
启用/禁用NAT规则
复制/粘贴源NAT规则
调整优先级
导出NAT444静态端口块映射表
命中数
命中数清零
命中数检测
配置目的NAT
配置IP映射类型的目的NAT
配置端口映射类型的目的NAT
配置NAT规则的高级配置
启用/禁用NAT规则
复制/粘贴目的NAT规则
调整优先级
命中数
命中数清零
命中数检测
查看负载均衡服务器及地址池状态
查看服务器状态
查看SLB服务器地址池状态
会话限制
配置会话限制规则
清除统计信息
流量配额
配置流量配额规则
配置用户/用户组流量配额规则
调整流量配额规则优先级
配置流量配额模板
配置流量配额安全域
共享接入
配置共享接入规则
ARP防护
配置ARP防护
配置ARP绑定
配置静态绑定
获取动态绑定信息
强制绑定IP-MAC-端口绑定信息
导入/导出绑定信息
配置ARP认证
配置ARP检查
配置DHCP监控
查看DHCP监控列表
配置主机防御
SSL代理
工作模式
当设备作为Web客户端一侧的网关时
配置SSL代理相关参数
指定设备证书的PKI信任域
获取网站证书的CN值
导入设备证书到客户端Web浏览器
配置SSL代理Profile
当设备作为Web服务器一侧的网关时
配置SSL代理Profile
绑定SSL代理Profile到策略规则
黑名单
配置IP阻断
配置服务阻断
第11章 威胁防护
威胁防护特征库
病毒过滤
配置病毒过滤
病毒过滤配置准备工作
配置病毒过滤功能
配置病毒过滤规则
克隆病毒过滤规则
配置病毒过滤全局参数
入侵防御
特征介绍
配置入侵防御
入侵防御配置准备工作
配置入侵防御功能
配置入侵防御规则
克隆入侵防御规则
配置入侵防御全局参数
管理特征规则
检索特征
管理特征
配置入侵防御白名单
沙箱防护
配置沙箱防护功能
沙箱防护配置准备工作
配置沙箱防护功能
配置沙箱防护规则
沙箱全局配置
威胁列表
信任列表
攻击防护
ICMP Flood和UDP Flood攻击
ARP欺骗攻击
SYN Flood攻击
WinNuke攻击
IP地址欺骗(IP Spoofing)攻击
地址扫描与端口扫描攻击
Ping of Death攻击
Teardrop攻击防护
Smurf攻击
Fraggle攻击
Land攻击
IP Fragment攻击
IP Option攻击
Huge ICMP包攻击
TCP Flag异常攻击
DNS Query Flood攻击
TCP Split Handshake攻击
配置攻击防护
边界流量过滤
启用边界流量过滤功能
配置自定义黑白名单
配置第三方风险IP
查询黑白名单
僵尸网络C&C防御
配置僵尸网络C&C防御
僵尸网络C&C防御配置准备工作
配置僵尸网络C&C防御功能
配置僵尸网络C&C防御规则
管理地址库
启用/禁用地址库
配置僵尸网络C&C防御全局参数
第12章 监控
监控
用户监控
概览
用户详情
地址簿详情
监控地址簿
统计周期
应用监控
概览
应用详情
应用组详情
设置需要统计的应用组
统计周期
云应用监控
概览
云应用详情
统计周期
共享接入监控
终端安全监控
用户配额监控
管道监控
管道监控详情
设备监控
概览
统计周期
详细信息页面
在线IP数
URL访问
概览
用户/IP
URL
URL类别
统计周期
链路状态监控
链路状态
链路配置
统计周期
应用阻断
概览
应用
用户/IP
统计周期
关键字阻断
概览
网页关键字
邮件内容
Web外发信息
用户/IP
统计周期
认证用户
监控配置
自定义监控
新建监控统计集
查看监控统计集信息
WAP智能分流
报表
报表汇总
自定义任务
新建自定义任务
启用/禁用自定义任务
查看报表文件
快捷任务
配置快捷任务
查看报表文件
日志
日志的严重等级
日志信息输出目的地
日志信息格式
事件日志
网络日志
配置日志
共享接入日志
威胁日志
会话日志
PBR日志
NAT日志
URL日志
EPP日志
文件过滤日志
内容过滤日志
上网行为审计日志
云沙箱日志
日志管理
配置日志信息
日志配置选项说明
日志配置
日志服务器配置
新建日志服务器
设置日志编码
Web邮件配置
设备名称配置
手机短信配置
第13章 分析诊断
测试工具
DNS查询
Ping
Traceroute
第14章 高可靠性
HA基础概念
HA簇
HA组
HA Node
HA组接口和虚拟MAC
HA选举
HA同步
配置HA
第15章 系统管理
系统信息
查看系统信息
管理设备
管理员
VSYS管理员
新建管理员
管理员角色
可信主机
新建可信主机
管理接口
系统时间
设置系统时间
设置NTP
NTP密钥
新建NTP密钥
设置及操作
重启系统
系统调试
故障反馈
系统调试信息
管理配置文件
备份/恢复配置文件
查看当前系统配置
设置SNMP
配置SNMP代理
新建SNMP主机
Trap主机
V3用户组
V3用户
SNMP服务器
新建SNMP服务器
升级管理
升级版本
升级特征库
安装许可证
许可证展示
申请许可证
安装许可证
配置邮件服务器
新建邮件服务器
短信发送参数
短信猫
短信猫设备状态
认证短信发送参数
短信测试
短信网关
配置短信网关
短信测试
连接山石云· 景
云·景典型应用场景
连接山石云· 景
连接提示
连接HSM
HSM应用场景
连接HSM
测试工具
DNS查询
Ping
Traceroute
虚拟系统
VSYS对象
根VSYS和非根VSYS
VRouter、VSwitch、安全域和接口
新建非根VSYS
配置非根VSYS专有和共享属性
配置VSYS资源配额
进入VSYS
Hillstone Networks, Inc.
StoneOS WebUI 用户手册-E系列
Version 5.5R6
Copyright 2018 Hillstone Networks, Inc.. All rights reserved.
Information in this document is subject to change without notice. The software described in this document
is furnished under a license agreement or nondisclosure agreement. The software may be used or copied
only in accordance with the terms of those agreements. No part of this publication may be reproduced,
stored in a retrieval system, or transmitted in any form or any means electronic or mechanical, including
photocopying and recording for any purpose other than the purchaser's personal use without the written
permission of Hillstone Networks, Inc..
Hillstone Networks, Inc.
联系信息
公司总部(北京总部):
地址:北京市海淀区宝盛南路1号院20号楼5层
邮编: 100192
联系我们:http://www.hillstonenet.com.cn/about/contact_Hillstone.html
关于本手册
本手册介绍Hillstone Networks, Inc. 公司的产品系统的使用方法。
获得更多的文档资料,请访问:http://docs.hillstonenet.com.cn
针对本文档的反馈,请发送邮件到:hs-doc@hillstonenet.com
Hillstone Networks, Inc.
http://www.hillstonenet.com.cn
TWNO: TW-WUG-UNI-A-5.5R6-CN-V1.0-2019/4/8
目 录
目 录
欢迎
第1章 新手入门指南
访问WebUI界面
初始配置
安装许可证
创建系统管理员
创建可信主机
升级系统版本
特征库升级
如何连通网络
在路由模式下连通网路
通过3G方式连通网络
恢复出厂配置
通过CLR按键方式
通过WebUI方式
第2章 部署您的设备
设备工作原理
StoneOS系统架构
安全策略规则
数据包处理流程
二层转发域中的转发规则
三层转发域的转发规则
部署透明模式
部署路由模式
部署混合模式
部署旁路(Tap)模式
第3章 首页
个性化配置
威胁信息
威胁视图
用户信息
应用信息
总流量
接口列表
1
1
1
2
4
4
4
5
6
6
8
8
11
14
14
14
15
16
16
17
17
17
19
21
25
30
31
34
34
35
35
35
35
36
36
TOC - 1
系统信息
许可证
统计周期
第4章 iCenter
威胁
第5章 网络连接
安全域
配置安全域
接口
配置接口
新建PPPoE接口
新建隧道接口
新建Virtual Forward接口
新建回环接口
新建集聚接口
新建冗余接口
新建以太网子接口/集聚子接口/冗余子接口
新建VSwitch接口/VLAN接口
编辑以太网接口/HA接口
MGT接口
配置MGT接口
VLAN
配置VLAN
DNS
配置DNS服务器
配置DNS代理
配置DNS代理规则
启用/禁用规则
调整优先级
DNS代理全局配置
解析配置
DNS缓存
NBT缓存
DHCP
配置DHCP服务器
配置DHCP中继代理
配置DHCPv6服务器
配置DHCPv6中继代理
36
37
37
39
39
40
41
41
43
44
44
48
52
55
58
63
64
67
68
73
73
74
74
75
75
75
75
77
77
78
78
78
79
81
81
85
85
86
TOC - 2
DDNS
配置DDNS
PPPoE
配置PPPoE
Virtual Wire
配置 Virtual Wire
配置Virtual Wire模式
虚拟路由器
新建虚拟路由器
全局配置
虚拟交换机
新建虚拟交换机
目的镜像接口
WLAN
新建无线网络
无线网络高级配置
连接3G网络
配置3G连接
数据卡管理配置
PIN码自动验证
启用/禁用PIN码保护功能
PIN码修改
PIN码认证
PIN码解锁
出站负载均衡
配置LLB模板
配置LLB规则
入站负载均衡
新建SmartDNS规则表
应用层网关
开启应用层网关
全局网络参数
配置全局网络参数
配置防护模式
第6章 高级路由功能
配置目的路由
新建目的路由
配置目的接口路由
88
88
90
90
92
92
92
94
94
94
96
96
97
98
98
99
100
100
101
101
101
101
102
102
103
103
104
105
105
107
107
108
108
109
111
112
112
113
TOC - 3
新建目的接口路由
配置源路由
新建源路由
配置源接口路由
新建源接口路由
配置ISP信息
新建ISP信息配置文件
上传ISP信息配置文件
保存ISP信息配置文件
配置ISP路由
新建ISP路由
配置策略路由
新建策略路由
新建策略路由规则
配置策略路由规则优先级
应用策略路由
DNS重定向
设置全局匹配顺序
WAP智能分流
启用WAP智能分流
配置DNS服务器
配置域名条目
配置策略路由规则
查看WAP智能分流统计数据
视频引流
配置RIP
新建RIP
配置OSPF
新建OSPF
查看邻居信息
第7章 用户认证
用户认证流程
Web认证
启用Web认证
配置Web认证的基本参数
定制Web认证登录页面
NTLM认证
步骤一:在系统上进行配置
114
116
116
118
118
120
120
120
121
122
122
124
124
124
127
128
128
129
129
130
130
130
130
130
130
131
131
134
134
135
137
137
138
138
138
142
143
143
TOC - 4
步骤二:在用户PC上进行配置
微信认证
步骤一:在微信公众平台上进行配置
步骤二:在系统上进行配置
单点登录
开启SSO Radius实现单点登录
通过AD Scripting实现单点登录
步骤一:在AD服务器上配置脚本程序
步骤二:在系统上配置AD Scripting功能
通过AD Polling实现单点登录
通过SSO Monitor实现单点登录
使用AD Security Agent实现单点登录
步骤一:在PC或服务器上安装并运行AD Security Agent
步骤二:在系统上配置AD服务器
802.1x认证
配置802.1x认证
创建802.1x profile
802.1x的全局配置
查看在线用户
PKI
创建PKI密钥
创建信任域
导入导出信任域的信息
导入可信根证书
在线用户
第8章 VPN
IPSec VPN
IPSec VPN基础概念
安全联盟
封装方式
协商方式
引用IPSec VPN
配置IKE VPN
配置P1提议
配置P2提议
配置VPN对端
配置IKE VPN
配置手工密钥VPN
143
144
145
145
146
146
147
147
150
150
152
154
154
156
158
158
158
159
160
161
161
162
164
165
166
167
168
168
168
168
168
168
169
169
170
172
175
178
TOC - 5
查看IPSec VPN监控信息
配置PnPVPN
PnPVPN工作流程
PnPVPN链路冗余
配置PnPVPN
配置IPSec-XAUTH地址池
SSL VPN
配置SSL VPN
配置资源列表
配置SSL VPN地址池
配置SSL VPN认证登录页
主机绑定
配置主机绑定
配置主机绑定与解除绑定
配置超级用户
配置共享主机
导入/导出已绑定主机列表
主机检测
基于角色的访问控制和主机检测流程
配置主机检测规则
SSL VPN客户端 for Windows
下载与安装客户端
使用“用户名/密码”认证方式
使用“用户名/密码+数字证书”认证方式
使用“数字证书”认证方式
启动客户端
使用Web方式启动客户端
使用“用户名/密码”认证方式
使用“用户名/密码 + USB Key证书”方式认证
使用“用户名/密码 + 软证书”方式认证
使用“USB Key证书”方式认证
使用“软证书”方式
直接启动客户端
基于TLS/SSL协议的启动方式
使用“用户名/密码”认证方式
使用“用户名/密码 + USB Key证书”方式认证
使用“用户名/密码 + 软证书”方式认证
使用“USB Key证书”方式认证
180
182
182
182
182
185
187
187
193
194
196
197
197
197
198
198
199
201
201
202
205
205
205
207
208
209
209
209
211
213
214
215
215
215
216
218
220
222
TOC - 6
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
