1、山石防火墙图文讲解简单配置步骤山石防火墙图文讲解简单配置步骤 hillstone 防火墙配置步骤(以 hillstone SA5040 为例讲解)厦门领航立华科技有限公司 目 录 1 需要从客户方获取的基本信息 3 2 配置步骤 3 2.1 配置安全域 3 2.2 配置接口地址 4 2.3 配置路由 4 2.4 配置 NAT 6 2.4.1 源地址 NAT 6 2.4.2 目的地址 NAT 6 3 配置策略 8 3.1 配置安全域之间的允许策略 8 3.1.1 配置 trust到 Untrust的允许所有的策略 8 3.1.2 配置 DMZ到 Untrust的允许所有的策略 9 3.1.3 配
2、置 trust到 DMZ的允许策略 9 3.1.4 配置 Untrust到 DMZ服务器的允许策略 10 3.1.5 配置 Untrust到 Trust服务器的允许策略 10 3.1.6 配置详细策略 11 4 配置 QOS 12 5 配置 SCVPN 13 1 需要从客户方获取的基本信息需要从客户方获取的基本信息 部署位置:互联网出口位置,还是其他,如部署在出口路由器之后等 部署方式:三层接入(需要做 NAT,大部分都是这种接入方式),二层透明接入(透明接入不影响客户网络架构),混合接入模式(有几个接口需要配置成透明接口模式,可以支持这种方式)外网出口信息:几个出口,电信 Or 网通,外网
3、IP地址资源(多少个),外网网关(防火墙默认路由设置)安全域划分:一般正常 3个安全域,Untrust(外网)、Trust(内网)、Dmz(服务器网段),也可以自定义多个 外网接口 IP地址:由客户提供 内网口 IP地址:如果客户内网有多个网段,建议在客户中心交换机配置独立的VLAN网段,不要与客户内部网段相同。如果客户内网只有 1 个网段,没有中心交换机,则把防火墙内网口地址设置为客户内网地址段,并作为客户内网网关(适用于中小型网络)DMZ口 IP地址:由客户提供,建议配置成服务器网段的网关;2 配置步骤配置步骤 2.1 配置安全域配置安全域 默认就有常用的 3个安全域了,Trust,Unt
4、rust,DMZ 2.2 配置接口地址配置接口地址 2.3 配置路由配置路由 默认路由:其中指定的接口:Untrust(外网)接口,如果有多个出口,可以在这选择不同的接口。其中网关为跟 FW互联设备接口的地址,比如 59.60.12.33 是电信给的出口网关地址。静态路由:网关地址为下一跳地址,客户内部有多个 VLAN,需要在这配置静态路由,比如客户内部网有 172.16.2.0/24,172.168.3.0/24 等多网段,可以指定一条静态路由,Ip route 172.16.0.0/16 内部核心交换机地址 2.4 配置配置 NAT 2.4.1 源地址源地址 NAT 内部网络访问互联网 N
5、AT,选择互联网出口接口为 eth0/1,配置接口地址就为 NAT地址,并配置动态端口,启用 Sticky(启用这个会更好的利用接口的资源)。(只有配置了源地址 NAT,内部网络才能上互联网)2.4.2 目的地址目的地址 NAT IP映射,把外网一个 IP地址完全映射到内部一台服务器,具体如下,创建 IP映射 端口映射,把访问外网某个地址的指定端口映射到内部服务器的指定端口,具体配置如下:新建选择端口映射 3 配置策略配置策略 3.1 配置安全域之间的允许策略配置安全域之间的允许策略 配置初始允许策略(在做测试,或者部署前,首先配置允许策略,让策略先全部允许;测试联通性没问题了,如路由,NAT
6、都没问题了,才来做策略的优化,比如限制允许的服务等)3.1.1 配置配置 trust 到到 Untrust 的允许所有的策略的允许所有的策略 3.1.2 配置配置 DMZ到到 Untrust 的允许所有的策略的允许所有的策略 3.1.3 配置配置 trust 到到 DMZ的允许策略的允许策略 3.1.4 配置配置 Untrust 到到 DMZ服务器的允许策略服务器的允许策略 3.1.5 配置配置 Untrust 到到 Trust 服务器的允许策略服务器的允许策略(有时候我们的客户有需要从 Untrust访问 Trust内部地址的需求,同样要先做目的 NAT,然后配置从 Untrust到 Tru
7、st的允许策略)3.1.6 配置详细策略配置详细策略 配置地址簿 配置服务组,可以自己新建服务组,服务组可以选择预定义好的服务 4 配配置置 QOS 在外网接口,即 Untrust口,配置对 P2P的下载限制,注意上行带宽要设置为小一点,这样效果会更好 5 配置配置 SCVPN 先建立一个 IP pool 不能和内网 同一网段 配置 SSL vpn http 端口注意,接口:untrust 隧道路由内网网段,AAA 加 local 添加 SSL 登陆用户 Aaa 建立一个 SSL vpn 的 zone 建立一个隧道接口 配置隧道接口 安全 zone 选择 刚建立的 zoneSSL ip 地址是和 pool一个网段但不能用 pool 里面的地址,scvpn tunnel 选择 建立的 SCVPN 名字 建立 from ssl 域(zone)to any service any permit 的安全策略 Web 登陆 FW untrust https:/192.168.1.2:8888 端口匹配