hillstone路由器培训摘要.pptVIP

默认路由匹配所有目的IP，优先级一般最低，安全网关会匹配完精确路由再匹配默认路由。 * 如果启用接口，需要先将接口绑定到安全域；接口可以绑定到2层安全域或者3层安全域，如果绑定到3层安全域，需要配置接口IP地址。 设备上所有接口配置的IP 地址都必须在不同网段。用户可以为接口配置静态IP地址，也可以让接口通过DHCP 或者PPPoE 协议动态获得IP 地址。 接口可以配置一个管理IP专用于登陆管理设备，管理IP需和接口同网段，默认接口地址为管理地址。 设备开放的管理服务基于接口配置，可以根据需要开启。 * * * 管理员密码策略包括两部分： 1、密码复杂度限制--密码必须包括至少两个大写字母，两个小写字母，两个数字和两个其它字符(如@$*) 2、密码位数限制—可以限定管理员密码最少位数，范围是4-16位 * * 在“系统 管理 管理员 列出”页面列出了已配置的管理员账号，并且可以直观看到每个管理员的管理权限和允许管理方式。 如果需要编辑管理员属性，点击该管理员右侧操作栏的编辑图标即可，可修改内容包括账户权限、允许管理方式以及该账户密码。 如需新建管理员账号，点击右上角“新建”按钮即可。 * 新建管理员可以根据需要配置不同权限和允许管理方式，管理员名称要求4-31个字符，管理员密码需符合系统已配置密码策略规则。 * 默认情况下，安全网关的可信主机范围是/0，即所有主机都是可信主机。所有可信主机列表中可信主机范围都是有效的。因此，建议用户在创建好合适的可信主机后，将系统原有的“/0”可信主机范围删除。 * 可信主机可以按IPMask方式添加子网，如/24，也可以按照IPRange方式添加IP地址范围，如-00 系统最多允许配置128 条可信主机范围 默认情况下，安全网关的可信主机范围是/0，即所有主机都是可信主机。 所有可信主机列表中可信主机范围都是有效的。因此，建议用户在创建好合适的可信 主机后，将系统原有的“/0”可信主机范围删除。 * * 管理员可以更改登陆安全网关的管理接口配置，包括修改默认端口、管理会话超时时间以及Web认证的相关配置。 本菜单下的系统语言指CLI方式交互语言，系统Web菜单语言在登陆系统时选择。 管理员认证服务器默认为local，可以根据需求配置为使用外部账号服务器认证，如果所配置的外部服务器不可达或认证服务不可用，系统会使用“Local”进行系统管理员认证。 * 安全网关的配置信息都被保存在系统的配置文件中。用户通过运行相应的命令或者访问相应的WebUI 页面查看安全网关的各种配置信息，例如安全网关的初始配置信息和当前配置信息等。配置文件以命令行的格式保存配置信息，并且也以这种格式显示配置信息。 * * 系统中最多可以保存两个StoneOS 供用户选择使用。默认情况下，系统下次启 动时将使用新上载成功的StoneOS。用户也可以指定使用其他StoneOS 作为下次 启动时使用的StoneOS。请按照以下步骤指定下次启动时使用的StoneOS： 1. 访问页面“系统维护系统固件”。 2. 选择选择下次启动时使用的系统固件单选按钮。 3. 在下拉菜单中选择下次启动是使用的StoneOS 名称。 4. 点击『确定』按钮。 * * * DNS查询功能依赖于安全网关系统所使用DNS配置，需要先在网络 DNS 服务器中添加可用DNS服务器。 * * * * * IP-MAC适用于3层模式，MAC-端口用于2层模式。 用户可以将系统通过MAC 学习得到的动态MAC-端口绑定信息进行强制绑定。配置强制绑定功能，在执行模式下，使用以下命令： exec mac-address dynamic-to-static * * * 事件 – 事件日志信息，包括错误、警告、通告、信息和调试5 个级别的系统事件信息。关于日志信息级别，请参考使用手册日志的严重等级一节。 告警 – 告警日志信息，包括紧急、警报和严重3 个级别的系统事件信息。 安全 – 安全日志信息，与系统安全相关的日志信息，例如攻击防护和应用安全等。 配置 – 配置日志信息，与CLI 配置相关的日志信息，例如接口配置等。 网络 – 网络日志信息，与网络服务操作相关的日志信息，例如PPPoE 以及DDNS 等。 流量 – 流量日志信息，与流量相关的日志信息，例如流量对策略规则的匹配情况。 调试 – 系统调试信息。关于调试信息的具体信息。 * 日志信息可以输出到不同的目的地，SA 系列安全网关支持以下6 种日志信息输出目的地，用户可以根据自己的需要指定： ? Console – 发送日志到Console终端界面。 ? 终端（Remote）– 包括Telnet 和SSH 两种终端。 ? 内存缓存（Buffer）- 内存缓存，重启不保存。 ? 文件（