HCSA 实验指导手册

HCSA 实验指导手册

目录

Lab 1. Lab 2. Lab 3. Lab 4. Lab 5. Lab 6. Lab 7. Lab 8.

搭建配置环境 ............................................................................................ 2 系统管理 ................................................................................................... 5 设备工作模式及IP 路由 ............................................................................ 7 安全策略基础 ............................................................................................ 9 网络地址转换 ........................................................................................... 11 安全策略高级特性 . .................................................................................. 14 日志报表 ................................................................................................. 17 流量管理QoS . ........................................................................................ 19

H i

l l s

t o n

e 山

石

Lab 9. VPN ........................................................................................................ 21 Lab 10. 网关防病毒 ............................................................................................. 24 Lab 11. 网络行为控制 .......................................................................................... 26

网科

Lab 1. 搭建配置环境

实验目的：

1、理解Hillstone 安全网关系统架构。 2、掌握Hillstone 安全网关登录方法。 3、掌握Hillstone 安全网关接口配置步骤。 4、了解StoneOS 数据处理流程。

实验拓扑图：

l l s

t o n

e 山

石

网科

网络拓朴说明

学员安全网关设备外网接口连接到上游设备接口，IP 地址分配按照组号如图所示。

H i

实验要求：

1、先清空手中的安全网关设备，然后按上图连接实验设备到网络，将接口Eth0/4连接到出口网关，学员计算机连接到Eth0/0，使管理员可以通过WebUI 对安全网关进行管理。

2、按照以下要求搭建配置环境后，学员PC 应可通过实验设备访问互联网。

实验步骤：

1、用console 线登陆到安全网关，熟悉Tab 键和？号的使用。

执行如下命令查看结果： show interface ； show zone

show configuration ； show tech-support.

2、执行unset all清空安全网关, 等待重启完成重新登录。 3、按照上图说明配置接口安全域和IP 地址，掌握配置模式(以下以第一组为例) ：

//配置接口

hostname#

hostname#config

hostname(config)# interface ethernet0/1 hostname(config-if-eth0/0)# zone trust

hostname(config-if-eth0/0)# ip address 192.168.10.1/24 hostname(config-if-eth0/0)# manage http hostname(config-if-eth0/0)# manage ping hostname(config-if-eth0/0)# manage telnet

hostname(config-if-eth0/0)# interface ethernet0/4 hostname(config-if-eth0/4)# zone untrust

hostname(config-if-eth0/4)# ip address 200.0.0.10/24 hostname(config-if-eth0/4)# manage ping hostname(config-if-eth0/4)# manage http hostname(config-if-eth0/4)# exit

//配置路由

hostname(config)#ip vrouter trust-vr

hostname(config-vrouter)# ip route 0.0.0.0/0 200.0.0.1 hostname(config-vrouter)# exit //添加策略

hostname(config)# policy-global

hostname(config-policy)# rule from any to any service any permit hostname(config-policy)# exit

H i

l l s

t o n

e 山

石

网科

4、用网线连接PC 至安全网关e0/0接口，使用WebUI 登陆安全网关，参照教材中WebUI 配置步骤，查看并修改e0/2接口安全域及IP 设置，同时开放接口管理ping 。 5、添加默认路由：

配置 > 网络 > 路由 > 目的路由 点击新建

添加到0.0.0.0/0.0.0.0 ，网关为200.0.0.1的路由。 6、添加安全策略：

配置 > 安全 > 策略 点击新建

创建源安全域trust 到目的安全域untrust ，源地址any 、目的地址any 、服务any 行为为允许的策略。

若使用命令已配置了接口、路由、策略，WebUI 就无需配置了。

实验完成。 确认并思考：

4、建议接口够用的情况下，一组两个人进行实验操作，便于后面实验更改接口IP 配置时免去来回修改PC 网卡的重复动作。

H i

l l s

t o n

e 山

石

1、接口的不同管理方式。

2、必须添加放行动作的安全策略（policy ），数据才能够穿越安全网关。 3、show session 了解安全网关转发处理数据的机制。

网科

Lab 2. 系统管理

实验目的：

1、掌握系统管理配置方法。 2、掌握许可证管理方法。

3、掌握配置文件管理及StoneOS 升级方法。 4、理解配置系统时间的意义及配置方法。

实验拓扑图：

H i

l l s

t o n

e 山

石

网科

实验要求：

1、现用户使用一台Hillstone 安全网关作为公司出口设备，因业务需要对网络进行改造。网络改造过程中，需要对安全网关配置文件进行备份以便进行网络改造过程中的异常回退。

2、改造过程需要升级安全网关的Image 来支持StoneOS 版本新增的功能。

实验步骤： 1、同步设备时间：

通过WebUI 登陆安全网关，系统 > 日期/时间 界面点击『同步』按钮，与管理PC 同步系统时间。

2、保存系统配置：

3、启动TFTP 服务器，通过sysloader 升级StoneOS （无串口可通过import image 命令或WebUI 升级）。

查看当前设备保存的StoneOS image文件。

4、系统管理员的添加及删除，请参照教材章节中WebUI 界面进行操作。 5、许可证管理：

通过WebUI 填写许可证申请信息，同时观察WebUI 界面许可证的不同类型，掌握开启安全网关相应功能需要的许可证类型。

实验完成。 确认并思考：

1、如何将配置导入设备并生效。

2、如何将设备中备份StoneOS image更改为主。

H i

l l s

t o n

e 山

石

网科

通过WebUI 登陆安全网关，导出配置文件到本地，或者选择系统管理 > 配置文件管理，点击『配置还原向导』，在弹出菜单备份当前配置。

Lab 3. 设备工作模式及IP 路由

实验目的：

1、掌握StoneOS 系统架构。

2、理解Hillstone 安全网关三种工作模式。 3、掌握路由工作模式的配置方法。

4、理解不同类型路由的优先顺序及参数作用。

实验拓扑图：

H i

l l s

t o n

e 山

石

网科

实验要求：

1、将当前各小组实验设备改成混合模式并验证数据转发规则。 2、配置SIBR 。

实验步骤：

一、混合模式：

1、 清空安全网关配置，若接口没有占用满，可以不清空恢复出厂。

2、 绑定VSwitchif1到3层安全域（如trust ），配置VSwitchif IP为分

配给各小组的内网地址，做为内部PC 机的网关。 3、 绑定两个空闲接口到不同的2层安全域（如l2-trust 、l2-untrust 等），

并配置2层安全域间策略、验证2层接口间访问规则。 （1） 验证PC 机ARP 学习是否受二层策略影响。

Dos 命令行下arp –a

（2） 验证PC 机之间互访是否受二层策略影响。

互ping 对方IP 地址前关闭Windows 防火墙

（3） 两个二层接口在同一个二层安全域下是否需要配置策略，若需配

置策略，需要什么样的策略。

4、 配置默认路由。

5、 配置3层安全域间访问策略，允许VSwitchif1所在安全域访问Internet

并验证。

二、配置SIBR

1、完成上述混合模式试验配置。

2、配置SIBR ，指定VSwitchif1为入接口时下一跳为200.0.0.200，验证该接口连接PC 是否能上网。

实验完成。 确认并思考：

1、创建多个VSwitch 时，不同VSwitch 间互访需要使用什么样的安全域策略。 2、相同安全域下不同接口间需要什么样的策略。 3、二层接口和三层接口间的数据互访需要什么样的策略。

H i

l l s

t o n

e 山

石

网科

Lab 4. 安全策略基础

实验目的：

1、理解安全策略的用途。

2、掌握地址薄和服务薄的配置方法。

3、掌握安全策略的配置步骤及策略动作的作用。 4、掌握如何使用安全策略保护网络资源。

实验拓扑图：

H i

l l s

t o n

e 山

石

网科

实验要求：

1、实现访问Internet 需求，策略服务需调用服务组，服务组成员为自定义上网浏览所需服务，只开放自己PC 的网页浏览请求。 2、开放自己PC 所属网段到Internet 的ping 服务。

实验步骤：

1、使用教材第三章要求的配置环境，两台PC 机使用同网段地址并完成接口配置。 2、定义内网PC 地址簿：

通过WebUI 登陆安全网关，对象用户 > 地址簿 界面点击『新建』按钮，创建IP

成员方式内网PC 地址簿，掩码为32位或255.255.255.255。

3、配置允许访问internet 策略：

4、测试访问internet 网页, 确认是否能够访问。

开放自己PC 所属网段到Internet 的ping 服务。

5、定义内网网段地址簿，并添加trust>untrust服务为ping 的允许策略。

实验完成。

确认并思考：

1、放行DNS 的意义。

2、定义单个IP 为什么使用32位掩码，若使用Windows 系统中网卡配置的地址掩码信息会造成什么影响。区分网络设备与Windows 系统识别地址的不同。 3、自定义服务源目端口的作用。

H i

l l s

t o n

配置 > 安全 > 策略 点击『新建』添加安全策略，界面选择源安全域trust ，目的安全域untrust ，源地址选择内网PC 地址簿，目的地址any ，服务选择上述定义服务组，选允许行为点击『确定』。

e 山

石

通过WebUI 登陆安全网关，对象用户 > 服务簿 界面点击『新建』按钮创建“服务”，分别新建自定义http 、dns 服务（由于预定义服务已使用上述名称，所以需用其他服务名称新建自定义服务）。

对象用户 > 服务簿 界面点击『新建』按钮新建“服务组”，并将上述自定义服务添加到该服务组。

网科

3、配置自定义服务及服务组：

Lab 5. 网络地址转换

实验目的：

1、理解NAT 功能的用途。

2、掌握源地址转换（SNAT ）的应用环境及配置方法。 3、掌握目的地址转换（DNAT ）的应用环境及配置方法。 4、掌握与NAT 地址转换相关的策略配置。

实验拓扑图：

H i

l l s

t o n

e 山

石

网科

实验要求：

1、路由模式部署，配置安全网关实现内网用户使用其做NAT 上网。 2、要求实现外网用户对内网服务器访问。

（1）访问http://200.0.0.n1:80的流量转到http://192.168.n0.11:80 访问ftp://200.0.0.n1:21的流量转到ftp://192.168.n0.12:21 （2）访问200.0.0.n5的所有流量转到192.168.n0.15 实验步骤：

1、实现路由模式部署，配置安全网关实现内网用户使用其做NAT 上网。 （1）选择源地址及出接口，NAT 为出接口IP ，转换模式为动态端口，并启用NAT 日志。

配置 > 网络 > NAT > 源NAT 『新建』

（2）启用流量日志功能，发起上网访问并查看NAT 日志验证NAT 转换。

日志 > 日志管理 > Log配置 启用流量日志

日志 > 审计 > NAT日志 查看NAT 转换日志

2、访问http://200.0.0.n1:80的流量转到http://192.168.n0.11:80

访问ftp://200.0.0.n1:21的流量转到ftp://192.168.n0.12:21

（1）配置两条基于端口的DNAT ，目的地址为虚拟地址，映射目的地址为内网服务器IP 地址，服务选择需映射服务。

配置 > 网络 > NAT > 目的NAT 『新建』端口映射

拟地址的相应流量。

3、访问200.0.0.n5的所有流量转到192.168.n0.15

（1）配置基于IP 的DNAT ，目的地址为虚拟地址，映射目的地址为内网服务器IP 地址。

配置 > 网络 > NAT > 目的NAT 『新建』IP 映射

（2）配置访问策略，允许untrust > trust 目的IP 为服务器所对应的映射虚拟地址的所有流量。

实验完成。

H i

（2）配置访问策略，允许untrust > trust 目的IP 为服务器所对应的映射虚

l l s

t o n

e 山

石

网科

确认并思考：

1、如何记录并查看NAT 日志。

2、DNAT 目的地址转换所需策略的目的地址。

3、若配置DNAT 使用地址薄，地址薄中IP 地址的掩码需要配置为多少。 4、若配置DNAT 时使用自定义服务，源端口是否需要配置。另外与之相关的策略中需要哪个服务。

H i

l l s

t o n

e 山

石

网科

Lab 6. 安全策略高级特性

实验目的：

1、掌握Web 认证的原理及配置方法。 2、掌握AAA 服务器的配置及类型。 3、掌握基于时间表策略的配置及用途。 4、理解网络攻击防护的原理。 5、掌握防护ARP 攻击的方法。

实验拓扑图：

H i

l l s

t o n

e 山

石

网科

实验要求：

1、所有人必须Web 认证通过才能上网，允许user1访问HTTP 资源，允许user2访问internet 所有应用。 2、上班时间禁止登陆QQ 。 3、禁止大于512字节的ping 包。

4、对内网接口启用ARP 强制认证，必须安装“Hillstone Secure Defender ”才允许上网。

5、绑定自己PC 的ARP 信息到安全网关，并取消安全网关对动态学习到ARP 的主机的流量转发。

实验步骤：

1、所有人必须Web 认证通过才能上网，允许user1访问HTTP 资源，允许user2

（1）配置 > 网络 > Web认证 点击的『新建Web 认证』，按照向导完成配置。 （2）对象用户 > 本地用户 创建user1、user2两个用户。

（3）配置 > 安全 > 策略 编辑上述向导生成的策略, 配置不同用户可访问不同资源。

2、上班时间禁止登陆QQ 。

（1）清除上述实验所配置安全策略规则

（2）对象用户 > 时间表 创建时间表，时间范围为基于周期的上班时间 （3）配置安全策略，拒绝访问QQ*服务，调用新建的时间表。 （4）配置安全策略，允许any 服务，置于上述策略之后

3、禁止大于512字节的ping 包。

警戒值配置为512, 配置 > 安全 > 攻击防护 开启trust 安全域ICMP 大包攻击防护，行为为丢弃

4、对内网接口启用ARP 强制认证，必须安装“Hillstone Secure Defender ”才允许上网。

（1）配置 > 安全 > ARP防护 点击『ARP 认证』，在内网接口开启ARP 强制认证，并设置

为强制安装客户端

H i

l l

s

t o n

e 山

石

访问internet 所有应用。

网科

（2）本地PC 执行“arp –d ”命令清空arp 缓存，访问外网网站测试。

5、绑定自己PC 的MAC 地址到安全网关，取消安全网关内网口ARP 学习功能。 （1）配置 > 安全 > ARP防护 选定本机ARP 条目双击，选择绑定IP

（2）命令行内网接口模式下执行“arp-disable-dynamic-entry”关闭动态学习到ARP 转

发流量

（3）更改本地PC 为同网段其他IP ，测试是否能够连接到安全网关

实验完成。 确认并思考：

1、Web 认证策略中为什么要用放行DNS 服务的策略。

2、Web 认证unknow 角色策略中是否要以使用其它用户或角色。

3、调用了时间表的策略什么情况下是生效的，时间表生效的根据是什么。 4、StoneOS 在哪一步处理攻击的数据报文。 5、安全网关中接口ARP 学习的用途。

H i

l l s

t o n

e 山

石

网科

Lab 7. 日志报表

实验目的：

1、掌握常用日志类型的记录配置方法。 2、掌握统计集的使用方法。

实验拓扑图：

H i

l l s

t o n

e 山

石

网科

实验要求：

1、配置日志服务器，并将访问互联网的流量日志记录到Syslog 日志服务器上。 2、配置预定义统计集，统计各应用带宽占用情况。

3、配置自定义统计集，统计学员测试PC 的HTTP 下载占用带宽情况。

实验步骤：

1、配置日志服务器，并将访问互联网的流量日志记录到Syslog 日志服务器上。 （1）添加日志服务器，启用流量日志，并记录到日志服务器。

日志 > 日志管理 > 日志服务器 新建日志服务器

日志 > 日志管理 > Log配置 启用流量日志，并记录到日志服务器

配置 > 安全 > 策略 编辑上网访问的策略，在高级配置页面选择记录会话开始

2、配置预定义统计集，统计各应用带宽占用情况。

监控 > 预定义 > 配置预定义统计集 启用 流量

3、配置自定义统计集，统计学员测试PC 的HTTP 下载占用带宽情况。

『选项』，添加过滤条件服务为HTTP 以及过滤条件IP 为学员测试PC 地址：

实验完成。 确认并思考：

1、各种功能产生的日志类型。

2、常用NAT 日志及会话日志的记录和查看。

H i

l l s

监控 > 自定义 > 配置自定义统计集 新建

t o n

（1）新建自定义统计集，统计数据类型为流量统计，数据组织方式为IP ，点击

e 山

石

（1）开启预定义统计集流量。

网科

Lab 8. 流量管理QoS

实验目的：

1、理解QoS 的作用。

2、掌握IPQoS 的配置方法并理解弹性QoS 的作用。 3、掌握应用QoS 的配置方法。 4、理解上下行的概念。

实验拓扑图：

H i

l l s

t o n

e 山

石

网科

实验要求：

1、安全网关外网接口真实链路带宽为1Mbps 。 2、通过IP-QoS 限制内网每IP 最大带宽占用100kbps 。

3、对每IP 中流量做应用细化控制，限制HTTP 最大占用50%带宽。 4、保障全局SMTP 服务可占用50%上传带宽。

实验步骤：

1、 完成搭建的配置环境，允许内部用户访问互联网。 2、 配置 > 控制 > 流量管理

新建IP QoS 策略，限制每IP 最大下行带宽100kbps ；新建细粒度应用QoS ，限制HTTP 占用带宽50kbps 。

3、 点击任务栏接口带宽 配置外网接口真实链路带宽。 4、 配置 > 控制 > 流量管理

新建应用策略，匹配SMTP 服务并保障其上行带宽占用，绑定到外网接口。

实验完成。 确认并思考：

H i

l l s

t o n

1、上下行的区分。 2、接口带宽的作用。

3、配置应用QoS 需要注意的事项。

e 山

石

网科

Lab 9. VPN

实验目的：

1、理解IPsecVPN 的三要素及IKE 协商内容。

2、掌握IPSecVPN 基于策略的配置方法和基于路由的配置方法。 3、掌握SSLVPN 的配置方法。

实验拓扑图：

H i

l l s

t o n

e 山

石

网科

实验要求：

1、配置基于策略的VPN ，连通两台安全网关内网网段。 2、配置基于路由的VPN ，连通两台安全网关内网网段。

3、配置安全网关，实现移动用户通过SSL VPN实现到安全网关内网资源的安全访问。

实验步骤：

1、配置IPsecVPN 协议的两个阶段 （1）配置P1提议

配置 > 网络 > IPSec VPN > P1提议 新建P1提议

（2）配置ISAKMP 网关 （3）配置P2提议 （4）配置隧道

“步骤2：隧道”配置隧道

配置 > 网络 > IPSec VPN > VPN对端列表 新建对端

配置 > 网络 > IPSec VPN > IPSec VPN 新建IKE VPN；首先导入已建好对端，然后点击

（1）配置策略

配置 > 安全 > 策略 添加VPN 访问策略，源地址/目的地址需指定两内网网段且和对端安全网关策略相匹配，行为选择隧道（来自隧道）

（2）配置SNAT 规则

3、基于路由VPN

删除步骤2所配置策略及SNAT 不转换规则。 （1）配置隧道接口

配置 > 网络 > 网络连接 新建隧道接口，指定接口名称、安全域并绑定到IPSec 隧道

（2）创建到隧道接口的路由

配置 > 网络 > 路由 > 目的路由 新建目的路由，目的地址为对端内网网段，下一跳为tunnel 接口

（3）创建普通permit 策略

配置 > 安全 > 策略 添加VPN 访问策略，源地址/目的地址指定内网网段，行为选择允许

H i

配置 > 网络 > NAT > 源NAT 新建SNAT 规则，对本地内网访问对端内网不做NAT ，并置顶

l l s

t o n

2、基于策略VPN

e 山

石

配置 > 网络 > IPSec VPN > P2提议 新建P2提议

网科

4、配置安全网关，实现移动用户通过SSL VPN实现到安全网关内网资源的安全访问。

配置 > 网络 > SSL VPN 点击新建，根据向导创建SSL VPN。

实验完成。 确认并思考：

1、基于策略的IPsecVPN 配置为什么需要两条策略并置于所有策略最上面。 2、基于路由的IPsecVPN 配置为什么需要普通策略，而不是加密策略。 3、SSLVPN 配置地址池时网关为什么不被包含在可分配地址中。

H i

l l s

t o n

e 山

石

网科

Lab 10. 网关防病毒

实验目的：

1、掌握防病毒的功能。

2、掌握防病毒功能的配置方法。

实验拓扑图：

H i

l l s

t o n

e 山

石

网科

实验要求：

1、配置安全网关实现对上网访问实现病毒过滤，对SMTP 处理动作为魔术填充术，对HTTP 为重置连接。

2、启用标签邮件功能，对SMTP 发送邮件添加检测标签。

实验步骤：

1、 完成搭建实验环境，允许内网PC 访问互联网

2、 确定安全网关具有有效防病毒许可证，并升级病毒特征库。 3、 配置 > 安全 > 病毒过滤

新建病毒过滤规则，绑定目的安全域“untrust ”，防护类型选择“自定义”，按照实验要求配置对HTTP 协议重置连接，SMTP 协议魔术填充；并启用标签邮件功能。

4、 访问www.eicar.org 下载病毒测试样本验证检测效果，分析安全日志。

实验完成。 确认并思考：

1、升级病毒库为什么需要配置DNS 。 2、病毒日志属于哪种日志类型。

H i

l l s

t o n

e 山

石

网科

Lab 11. 网络行为控制

实验目的：

1、了解上网行为控制的用途。

2、掌握配置URL 过滤及记录聊天软件行为的配置方法。 3、了解配置URL 黑白名单的配置方法。 4、掌握记录上网日志的配置方法。

实验拓扑图：

H i

l l s

t o n

e 山

石

网科

实验要求：

1、阻断内网某MSN 账号登陆，记录所有人QQ 登陆时间。 2、阻断内网用户访问搜索类网站、记录新闻类网站的访问。

实验步骤：

1、完成搭建实验环境，允许内网PC 访问互联网 2、阻断内网某MSN 账号登陆，记录所有人QQ 登陆时间。 （1）确定安全网关具有有效许可证，并升级URL 库。

（2）配置 > 控制 > 网络聊天 新建网络聊天规则，在MSN 选项框内添加需阻止MSN 账号并选择“阻止”，勾选QQ “记录日志”。

3、阻断内网用户访问搜索类网站、记录新闻类网站的访问。

（1）配置 > 控制 > URL过滤 新建URL 过滤规则，配置阻止搜索类URL 、记录新闻类URL 访问日志。

实验完成。 确认并思考：

H i

l l

s

1、使用网络聊天行为控制功能要开启安全域的应用识别。

2、记录上网日志需要记录所有类型的URL 日志，并开启流量日志记录功能。

t o n

e 山

（2）开启流量日志功能，访问搜索类及新闻类网站，并查看上网日志验证。

石

网科