山石防火墙简单配置步骤.docx

L&IVhillstone防火墙配置步骤（以 hillstone SA5040 为例讲解）厦门领航立华科技有限公司1 需要从客户方获取的基本信息32 配置步骤32.1 配置安全域32.2 配置接口地址42.3 配置路由42.4 配置 NAT62.4.1 源地址 NAT62.4.2 目的地址NAT63 配置策略83.1 配置安全域之间的允许策略83.1.1 配置trust到Untrust的允许所有的策略83.1.2 配置DMZ到Untrust的允许所有的策略93.1.3 配置trust到DMZ的允许策略93.1.4 配置Untrust到DMZ服务器的允许策略101需要从客户方获取的基本信息 多少个），外网网关（防火墙默认路由设置） 安全域划分：一般正常3个安全域，Untrust （部署位置：互联网出口位置， 还是其他，如部署在出口路由器之后等部署方式：三层接入（需要做NAT，大部分都是这种接入方式），二层透明接 入（透明接入不影响客户网络架构），混合接入模式（有几个接口需要配置 成透明接口模式，可以支持这种方式） 外网出口信息：几个出口，电信Or网通，外网IP地址资源（外网）、Trust（内网）、Dmz （服务器网段），也可以自定义多个外网接口 IP地址：由客户提供内网口 IP地址：如果客户内网有多个网段，建议在客户中心交换机配置独立的VLAN 网段，不要与客户内部网段相同。如果客户内网只有1个网段，没有中心交换机，则把防火墙内网口地 址设置为客户内网地址段，并作为客户内网网关（适用于中小型网络） DMZ 口 IP地址：由客户提供，建议配置成服务器网段的网关；2.1配置安全域默认就有常用的3个安全域了，Trust，Untrust， DMZHillstanenYworks。关于圈帮助-保存炉注销巨重启Englishk系统k对象k用户刷络接口瑶由DHCPDISDOBSPPPoE客户蕃VebUuEIP分片802.IXk防火增k应用k防病毒kVPNkSCVPNkQoSk监控安全域列表总条数：16每页：| 50 二收 q i k n o£新建.名称类型虚拟路由器/VS witch接口数操作trust13trust-vr1un trust13trust-vr1dmz13trust-vr012-trust12vs w itch 1012-untrust12vs w itch 10土12-dmz12vs w itch 10BiSrVPNHub13trust-vr01nrHA13trust-vr1pub13trust-vr1shengchan13trust-vr1园itsun13trust-vr1proxy13trust-vr1sslvpn13trust-vr1ipsec13trust-vr1squid13trust-vr1土test13trust-vr1B1&IN 4 i k i>il 02.2配置接口地址HillstaneNE T W 0 R K S命关于圈帮助-保存夕注销巨重启English系统1*对象,用户朗络安全只路由DHCFDNSDDVSPPPoE客户蓄VebU 证廿分片802.IX*防火堵*应用防病毒 VPN SCVPH，QoS*监控接口列表何新建名称IP地址/网络掩码安全域 MAC总条数：15每页：（503牧1 H M O物理状态管理状态链路状态协议状态操作ethernet0/0172.16.201.2/24trust001c.5403.1540,ethernetO/159.60.12.38/28untrust001c.5403.1541电ethemet0/10o.o.o.o/oNULL001c.5403.154aethemetO/11o.o.o.o/oNULL001c.5403.154bMLethernetO/259.60.12.62/28pub001c.5403.1542电ethernetO/3192.168.151.2/24shengchan001c.5403.1543ethemetO/4192.168.52.254/24sun001c.5403.1544电ethernetO/5192.168.51.2/24proxy001c.5403.1545吐ethemetO/6172.16.16.1/24squid001c.5403.1546ethemetO/7100.100.100.2/30test001c.5403.1547电ethernetO/8o.o.o.o/oNULL001c.5403.1548*电ethernetO/9o.o.o.o/oNULL001c.5403.1549电tunnel 1172.168.8.1/24sslvpn电tunnel2o.o.o.o/oipsec电vs witchiflo.o.o.o/oNULL001c.5403.155c电2.3配置路由默认路由：其中指定的接口： Untrust （外网）接口，如果有多个出口，可以在这选择不同的 接口。其中网关为跟FW互联设备接口的地址，比如59.60.12.33是电信给的出口网关地址。关于 帮助-保存 夕注销 巨重启Engli系统目的路由列表总条数：48每页：三J H 4 0对象恒新建:状态 IP地址/网貉掩码网关接口虚拟路由器协议优先级度量权值操作JL 0.0.0.0/059.60.12.33ethemetO/1静态接口安全域路由目的路由源路由源接口路由ISF信息ISF珞由策略路由RIPDHCFDISDDISTebUuE口分片802.IX防火墙目的路由配置静态直连*目的IP|0.0.0.0主机市子网掩码|n.n.n.u直连率下一跳中接口网关忧先级路由权.值| ethernetiJ/1|59,60.12.33|（1-255.,缺省 1）（1-255,缺省 1）主机静态静态直连主机-II 0主机000011172.16.201.2/32ethernetO/O172.17.0.0/16192.168.151.1ethemetO/3静态101172.168.2.0/24172.16.201.1ethernetO/O静态101#172.168.7.0/24172.16.201.1ethernetO/O静态101ffi172.168.8.0/24tunnell直连001静态101确定取消静态路由：网关地址为下一跳地址，客户内部有多个VLAN，需要在这配置静态路由，比如 客户内部网有172.16.2.0/24，172.168.3.0/24等多网段，可以指定一条静态路由，Ip route 172.16.0.0/16内部核心交换机地址HillstoneNfefWORKS籍关于 帮助-保存 夕注销 昱重启English£系统对象用户网络接口 安全域瑶由目的路由 源路由 通接口强由 工SF信息 1SP玲由 策略路由RIPDHCPDBSDDBSFFF迁客户蕃TebU 证 邛分片 802.IX7防火墙目的路由列表伺新建.状态 IP地址/网路掩码JL 0.0.0.0/0JL 10.6.185.206/32总条数：48每页：一3 代1 H O网关接口 由器59.60.12.33ethernetO/1192.168.151.1ethemet0/3 目的路由配置JL-* 目的IP|10,6,105.0* 子网掩码|255.255.255,0*下一琲r网关g接口* 接口| etherriHtU/a网关|142.168.151,1|忧先缀匚i；1.-255.缺省1）路由权值|1（1.-.255,. l；iJL 172.17.0.0/16JL 172.168.2.0/24JL 172.168.7.0/24192.168.151.1 ethemet0/3172.16.201.1 ethemet0/0172.16.201.1ethemet0/0协议静态静态直连主机直连主机静态静态直连主机静态直连主机静态静态静态忧先皱度是权值操作A 172.168.8.0/24tunnell直连1011010010010010011011010010011010010011011011010012.4配置NAT2.4.1源地址NAT内部网络访问互联网NAT,选择互联网出口接口为eth0/1,配置接口地址就为NAT地址，并 配置动态端口，启用Sticky （启用这个会更好的利用接口的资源）。演关于 帮助-保存 夕注销 巨重启Engt*系统»对象*屈络匕防火墙策略 IAT痂心目的耻T攻击防护二层防护会话限制应用层网关k应用防病毒 VPI SCVPN QoS监控»日志报表HillstoneNt f W O R k S：i：虚拟路由器trust-vr*源地址宇地址簿*地址簿*出接口来行为学NAT地址NAT日志*模式StickyID花地址簿 r ip地址|Any&地址簿 r ip地址|Any|ethernetO/lr地址簿 r ip地址 挥出接口ipF启用l静态 r动态ip c动态端口（只有配置了源地址NAT，内部网络才能上互联网）2.4.2目的地址NATip映射，把外网一个ip地址完全映射到内部一台服务器，具体如下，创建ip映射端口映射，把访问外网某个地址的指定端口映射到内部服务器的指定端口，具体配置如下: 新建 > 选择端口映射3配置策略3.1配置安全域之间的允许策略配置初始允许策略（在做测试，或者部署前，首先配置允许策略，让策略先全部允许；测试 联通性没问题了，如路由，NAT都没问题了，才来做策略的优化，比如限制允许的服务等）3.1.1配置trust到Untrust的允许所有的策略HillstaneNE T W O R K S3.1.2配置DMZ到Untrust的允许所有的策略。关于帮助-保存夕注销日重启EngH策略VAT攻击防护二层防护会话限君座用层网关HillstoneNC f W O R K S3.1.3配置trust到DMZ的允许策略q关于。帮助 日保存 夕注销 昱重启 m3.1.4配置Untrust到DMZ服务器的允许策略3.1.5配置Untrust到Trust服务器的允许策略（有时候我们的客户有需要从Untrust访问Trust内部地址的需求，同样要先做目的NAT,然 后配置从Untrust到Trust的允许策略）3.1.6配置详细策略配置地址簿配置服务组，可以自己新建服务组，服务组可以选择预定义好的服务4配置QOS在外网接口，即Untrust 口，配置对P2P的下载限制，注意上行带宽要设置为小一点，这样效果会更好Hillstane关于帮助-保存夕注销巨重启Eniart系统对象,用户»网络>防火堵*应用防病毒 VPN SCVPH QoS接口带宽IF QoS 应用QoS 角色QoS 混合QoS»监控日志报表NE T W 0 RK-S应用QoS配置基本配置”规则名称|P2P-QQS普接口绑定*应用控制策略带宽细粒度控制(1-31字符)F 保全域:untrust)可用成员>AIM*A0L百度下吧x»服荟成员->P2P下载P2P视频网洛游艰百度Hx网窟电视BBSee*«BGPBT*|ethernetO/1上行最大带宽 广最小带宽国下行最大带竟|1000时间表fe IP QoS 广角色三配置三配置应用QoS列表启用规则名称接口绑定应用上行(kbps)下行(kbps)细粒度控制操作P2P-QOSethernetO/1P2P下载P2P视频 网约馅*是丈带贺32是大带宽1。00匚.而确定职消5配置SCVPN先建立一个IP pool不能和内网 同一网段配置SSL vpn http端口注意，接口： untrust隧道路由内网网段，AAA加local添加SSL登陆用户Aaa建立一个SSL vpn的zone建立一个隧道接口配置隧道接口安全zone选择 刚建立的zoneSSL ip地址是和pool 一个网段但不能用pool 里面的地址，scvpn tunnel选择 建立的SCVPN名字建立 from ssl 域(zone) to any service any permit 的安全策略Web 登陆 FW untrust https:/192.168.1.2:8888 端口匹配