Hillstone的FTP端口映射简要配置指导2

海康硬盘录像机在TP-LINK上端口映射方法我们使用的路由器是TL-R410，在配置路由器前先用一根网线连接路由器和局域网中的集线器或交换机，或用一根网线将路由器和计算机相连。

1．建立正确的网络配置路由器默认的IP地址是192.168.1.1，默认子网掩码是255.255.255.0，（这些值都可以根据需要而改变），然后配置计算机的IP地址：方法1：手动设置IP地址设置计算机的IP地址为192.168.1.xxx（xxx范围是2～254），子网掩码为255.255.225.0，默认网关为192.168.1.1。

方法2：利用路由器内置的DHCP服务器自动设置IP地址1）设置计算机的TCP/IP协议为“自动获取IP地址”。

2）关闭路由器和计算机电源。

首先打开路由器，然后再启动计算机，这样路由器内置DHCP服务器将自动为计算机设置IP地址。

2.配置路由器在浏览器的地址栏里输入路由器的IP地址，如：,连接建立起来后，你会看到如图1登陆界面，（用户名和密码均为admin）：如果名称和密码真确，浏览器将显示管理员模式的画面，并会弹出一个设置向导的画面，如图2：第一步：在网络参数中设置路由器的内网地址，如图3：第二步：在网络参数中设置路由器的外网地址，将出现如图4界面（这里我们采用PPPoE 拨号的方式）：配置好之后在运行状态中的状态信息如图5：3.配置DVR将DVR的网关设为路由器的内网地址（如：192.168.1.1），IP地址设为跟网关在同一网段（如：192.168.1.21），如图6：4.端口映射然后在转发规则的虚拟服务器中进行端口映射，若局域网中有两台或两台以上的设备，应改变设备的两个端口号来区分，如图7：5.域名解析先到花生壳网站上去申请一个域名，然后进行域名解析，如图8：域名解析连接成功后，用域名信息中提示的域名去访问，如图9：出现如上界面则表示端口映射成功。

Hillstone山石网科下一代防火墙基础配置手册V5.5版本Hillstone Networks Inc.服务热线：400 828 6655内容提交人审核人更新内容日期陈天骄陈天骄初次编写2016/1/14目录1 设备管理 (3)1.1 终端console登录 (3)1.2 网页WebUI登录 (3)1.3 恢复出厂设置 (5)1.3.1 CLI命令行操作 (5)1.3.2 WebUI图形化界面操作 (5)1.3.3 硬件CLR操作 (6)1.4 设备系统（StoneOS）升级 (6)1.4.1 通过sysloader升级 (6)1.4.2 通过CLI升级 (9)1.4.3 通过WebUI升级 (9)1.5 许可证安装 (10)1.5.1 CLI命令行安装 (10)1.5.2 WebUI安装 (11)2 基础上网配置 (11)2.1 接口配置 (11)2.2 路由配置 (13)2.3 策略配置 (14)2.4 源地址转换配置（SNAT） (15)3 常用功能配置 (16)3.1 PPPoE拨号配置 (16)3.2 动态地址分配（DHCP）配置 (17)3.3 IP-MAC地址绑定配置 (20)3.4 端到端IPSec VPN配置 (21)3.4.1 配置第一阶段P1提议 (22)3.4.2 配置ISAKMP网关 (23)3.4.3 配置第二阶段P2提议 (24)3.4.4 配置隧道 (25)3.4.5 配置隧道接口 (26)3.4.6 配置隧道路由和策略 (28)3.4.7 查看VPN状态 (29)3.5 远程接入SCVPN配置 (30)3.6 目的地址转换DNAT配置 (38)3.6.1 IP映射 (39)3.6.2 端口映射 (41)1设备管理安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、Telnet、SSH等主流通信管理协议。

路由器的端口映射设置技巧在进行端口映射时，路由器是必不可少的设备。

通过使用端口映射，您可以从互联网上访问您的家庭网络中的设备。

在这篇文章中，我们将讨论路由器的端口映射设置技巧。

一、了解端口映射1. 端口映射的定义在计算机网络中，端口是与设备上运行的进程相关的数字标识符。

当您与互联网通信时，您的路由器会将数据包从互联网路由到您的家庭网络。

要使此过程顺利完成，路由器必须知道将数据包交付给哪个设备。

这是通过将路由器的公共IP地址映射到您的家庭网络中的设备的私有IP地址来完成的。

此过程称为端口映射。

2. 端口映射的作用端口映射允许您在互联网上访问您家庭网络中的设备，例如网络摄像头、服务器和打印机等。

具体来说，当您从互联网上请求与您的网络中的设备通信时，路由器将查看该请求的目标端口。

如果该端口已映射到您的网络中的某个设备，则路由器将该请求转发到该设备。

二、端口映射设置技巧1. 了解您的设备和服务在进行端口映射之前，您应该了解您的设备和服务所需的端口号。

例如，如果您的网络摄像头使用端口号8080，则您需要将路由器的公共IP地址映射到局域网中运行网络摄像头的设备的私有IP地址和端口号8080。

2. 打开路由器的管理页面您需要打开路由器的管理页面才能进行端口映射设置。

你可以在浏览器中输入路由器的IP地址进入管理页面。

3. 寻找端口映射设置进入路由器的管理页面后，您需要寻找端口映射设置的选项。

这通常可以在“高级设置”或“网络设置”之类的标签下找到。

4. 添加端口映射规则在端口映射设置中，您需要添加端口映射规则。

具体而言，您需要输入映射规则的名称、服务类型、公共端口和私有端口。

您还需要将映射规则应用于您的局域网中的特定设备。

5. 保存设置完成端口映射设置后，您需要保存设置并重新启动路由器。

此后，您应该能够从互联网访问您的家庭网络中的设备。

三、总结端口映射是您在互联网上访问您家庭网络中的设备所需的重要步骤。

本文介绍了端口映射的定义、作用以及在路由器上进行端口映射设置的技巧。

hillstone防火墙配置步骤(以hillstone SA5040为例讲解)厦门领航立华科技有限公司目录1需要从客户方获取的基本信息 (3)2配置步骤 (3)2.1 配置安全域 (3)2.2 配置接口地址 (4)2.3 配置路由 (4)2.4 配置NAT (6)2.4.1 源地址NAT (6)2.4.2 目的地址NA T (6)3配置策略 (8)3.1 配置安全域之间的允许策略 (8)3.1.1 配置trust到Untrust的允许所有的策略 (8)3.1.2 配置DMZ到Untrust的允许所有的策略 (9)3.1.3 配置trust到DMZ的允许策略 (9)3.1.4 配置Untrust到DMZ服务器的允许策略 (10)3.1.5 配置Untrust到Trust服务器的允许策略 (10)3.1.6 配置详细策略 (11)4配置QOS (12)5配置SCVPN (13)1需要从客户方获取的基本信息◆部署位置：互联网出口位置，还是其他，如部署在出口路由器之后等◆部署方式：三层接入（需要做NAT，大部分都是这种接入方式），二层透明接入（透明接入不影响客户网络架构），混合接入模式（有几个接口需要配置成透明接口模式，可以支持这种方式）◆外网出口信息：几个出口，电信Or网通，外网IP地址资源（多少个），外网网关（防火墙默认路由设置）◆安全域划分：一般正常3个安全域，Untrust（外网）、Trust（内网）、Dmz（服务器网段），也可以自定义多个◆外网接口IP地址：由客户提供◆内网口IP地址：◆如果客户内网有多个网段，建议在客户中心交换机配置独立的VLAN网段，不要与客户内部网段相同。

◆如果客户内网只有1个网段，没有中心交换机，则把防火墙内网口地址设置为客户内网地址段，并作为客户内网网关（适用于中小型网络）◆DMZ口IP地址：由客户提供，建议配置成服务器网段的网关；2配置步骤2.1 配置安全域默认就有常用的3个安全域了，Trust，Untrust，DMZ2.2 配置接口地址2.3 配置路由默认路由：其中指定的接口：Untrust（外网）接口，如果有多个出口，可以在这选择不同的接口。

服务热线：400 828 6655Hillstone山石网科多核安全网关高级功能配置手册V 5.0版本一．链路负载均衡 (3)**基于目的路由的流量负载 (4)**基于源路由的流量负载 (6)**基于策略路由的流量负载 (7)**智能链路负载均衡 (9)二．流量控制QOS配置10**配置IP Q O S (10)**配置应用Q O S (14)**配置混合Q O S (16)**配置Q O S白名单 (18)三．NBC网络行为控制配置19**URL过滤(有URL许可证) (20)**URL过滤（无URL库许可证） (25)**网页关键字过滤 (28)**网络聊天控制 (33)四．VPN高级配置37**基于USB-KEY的SCVPN配置 (35)**P N P-VPN (48)五．高可靠性HA配置63一．链路负载均衡当防火墙有多条链路接入，同时需要对内网的流量根据源地址，目的地址或者服务进行流量的负载分摊时，需要进行负载均衡的配置，以便保证流量的负载分担；在配置源地址，目的地址的负载均衡时，可以实现冗余，当某一条路由失效时，可以保证正常的流量转发。

配置多链路负载均衡前，先保证接口，snat和策略都配置正确。

1.确认接口的地址和掩码都配置正确，其中掩码的位数一定和运行商确认：2.两条源地址转换，使内网的流量可以分别nat成对应公网出口地址池的地址，去访问互联网：3.确认流量穿越防火墙时，防火墙策略允许（源和目的地址以及服务可以根据具体情况作相应修改）：**基于目的路由的流量负载例：e0/1口接入10M电信，e0/2接入20M网通；实现所有访问公网的流量按1：2的比例分别从e0/1口和e0/2口转发出去。

即当设备总共转发3数值的流量时，e0/1转发1数值；e0/2口转发2数值。

Web页面配置如下：1．网络-〉路由-〉新建 :2．创建一条默认路由权值为2，即可得到配置如下：如此即可实现流量从e0/1转发和从e0/2转发的比是10：20即流量的1：2负载。

Hillstone⼭⽯⽹科防⽕墙⽇常运维操作⼿册⽬录⼀、设备基础管理 (1)1.1设备登录 (1)1.1.1 通过CLI管理设备 (1)1.1.2 通过WebUI管理设备 (2)1.2管理员帐号及权限设置 (4)1.2.1 新增管理员 (4)1.2.1 修改管理员密码 (5)1.3 License安装 (6)1.4设备软件升级 (7)1.5设备配置备份与恢复 (9)1.5.1 备份设备配置 (9)1.5.2 恢复设备配置 (12)1.6系统诊断⼯具的使⽤ (14)⼆、对象配置 (16)2.1 配置地址薄 (16)2.2 配置服务簿 (17)三、⽹络配置 (21)3.1 配置安全域 (21)3.2 配置接⼝ (22)3.3 配置路由 (23)3.4 配置DNS (24)四、防⽕墙配置 (26)4.1 配置防⽕墙策略 (26)4.1.1 新增防⽕墙安全策略 (26)4.1.2 编辑防⽕墙安全策略 (27)4.2 配置NAT (28)4.2.1 配置源NAT (28)4.2.2 配置⽬的NAT (31)4.3 防⽕墙配置举例 (35)五、QOS配置 (44)5.1 配置IP QOS (45)5.2 配置应⽤QOS (46)六、常⽤⽇志配置 (48)⼀、设备基础管理1.1设备登录安全⽹关⽀持本地与远程两种环境配置⽅法，可以通过CLI 和WebUI 两种⽅式进⾏配置。

CLI同时⽀持Console、telnet、SSH 等主流通信管理协议。

1.1.1 通过CLI管理设备通过Console ⼝配置安全⽹关时需要在计算机上运⾏终端仿真程序（系统的超级终端、SecureCRT等）建⽴与安全⽹关的连接，并按如下表所⽰设置参数（与连接Cisco设备的参数⼀致）：通过telnet或者SSH管理设备时，需要在相应接⼝下启⽤telnet或SSH 管理服务，然后允许相应⽹段的IP管理设备（可信主机）。

对接⼝启⽤telnet或SSH管理服务的⽅法如下：⾸先在⽹络—>⽹络连接模式下的页⾯下⽅勾选指定接⼝，点击图⽰为的编辑按钮，然后在弹出的接⼝配置窗⼝中对接⼝启⽤相应的管理服务，最后确认即可：1.1.2 通过WebUI管理设备WebUI同时⽀持http和https两种访问⽅式，⾸次登录设备可通过默认接⼝ethernet0/0 （默认IP 地址192.168.1.1/24，该接⼝的所有管理服务默认均已被启⽤）来进⾏，登录⽅法为：1. 将管理PC 的IP 地址设置为与192.168.1.1/24 同⽹段的IP 地址，并且⽤⽹线将管理PC与安全⽹关的ethernet0/0 接⼝进⾏连接。

关于山石防火墙端口映射的配置1．首先便是在“对象”中添加服务端口以及地址，以便一会调用先添加服务端口，在“服务簿”的“所有自定义服务”中添加
点击“新建”，添加服务端口的对象
接下来添加IP地址的对象
添加公网的IP对象
添加服务器的IP对象
PS：值得一提的是，在做映射的时候，无论公网还是内网地址，在创建对象的时候皆是使用32位主机位的掩码。

2．接下来，便是做端口的映射
在“防火墙”“NAT”的“目的NAT”中
“新建”一个“端口映射”或者“高级配置”，但建议配置不熟悉的初学者使用“端口映射”即可
配置如下
在“目的地址”中添加公网地址的对象，服务为服务端口，映射到的地址是内网的地址。

3．策略上的放行
防火墙离不开策略，所做的DNAT也同样需要在防火墙上做个放行的策略，如下
这样，从外网访问公网地址的80服务端口时，皆被放行。

端口映射的配置到此完毕！。

山石防火墙配置hillstone防火墙配置步骤(以hillstone SA5040为例讲解)厦门领航立华科技有限公司目录1需要从客户方获取的基本信息 (5)2配置步骤 (5)2.1配置安全域52.2配置接口地址62.3配置路由72.4配置NAT82.4.1源地址NAT82.4.2目的地址NAT93配置策略 (11)3.1配置安全域之间的允许策略113.1.1配置trust到Untrust的允许所有的策略 (12)3.1.2配置DMZ到Untrust的允许所有的策略 (12)3.1.3配置trust到DMZ的允许策略133.1.4配置Untrust到DMZ服务器的允许策略 (14)3.1.5配置Untrust到Trust服务器的允许策略 (14)3.1.6配置详细策略154配置QOS (16)5配置SCVPN (18)1需要从客户方获取的基本信息◆部署位置：互联网出口位置，还是其他，如部署在出口路由器之后等◆部署方式：三层接入（需要做NAT，大部分都是这种接入方式），二层透明接入（透明接入不影响客户网络架构），混合接入模式（有几个接口需要配置成透明接口模式，可以支持这种方式）◆外网出口信息：几个出口，电信Or网通，外网IP地址资源（多少个），外网网关（防火墙默认路由设置）◆安全域划分：一般正常3个安全域，Untrust（外网）、Trust（内网）、Dmz（服务器网段），也可以自定义多个◆外网接口IP地址：由客户提供◆内网口IP地址：◆如果客户内网有多个网段，建议在客户中心交换机配置独立的VLAN网段，不要与客户内部网段相同。

◆如果客户内网只有1个网段，没有中心交换机，则把防火墙内网口地址设置为客户内网地址段，并作为客户内网网关（适用于中小型网络）◆DMZ口IP地址：由客户提供，建议配置成服务器网段的网关；2配置步骤2.1 配置安全域默认就有常用的3个安全域了，Trust，Untrust，DMZ2.2 配置接口地址2.3 配置路由默认路由：其中指定的接口：Untrust（外网）接口，如果有多个出口，可以在这选择不同的接口。

Hillstone山石网科 入侵防御配置手册V5.5版本Hillstone Networks Inc.服务热线：400 828 6655目录1设备管理 (3)1.1终端console登录 (3)1.2网页WebUI登录 (3)1.3设备系统（StoneOS）升级 (5)1.3.1通过WebUI升级 (5)1.4许可证安装 (5)1.4.1CLI命令行安装 (5)1.4.2WebUI安装 (6)2基础上网配置 (6)2.1接口配置 (6)2.2路由配置 (8)2.3策略配置 (9)3入侵防御功能配置 (11)3.1防火墙联动配置 (11)3.2入侵防御配置 (12)3.3高级配置 (14)3.3.1配置协议特征库 (15)3.3.2自定义威胁特征库 (16)1设备管理设备支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、Telnet、SSH等主流通信管理协议。

1.1终端console登录通过Console 口配置设备时需要在计算机上运行终端仿真程序（系统的超级终端、SecureCRT等）建立与设备的连接，并按如下表所示设置参数（与连接Cisco设备的参数一致）：1.2网页WebUI登录WebUI同时支持http和https两种访问方式，首次登录设备可通过默认接口ethernet0/0来进行，登录方法为：1. 将管理PC的IP地址设置为与192.168.1.1/24 同网段的IP 地址，并且用网线将管理PC与设备的ethernet0/0接口进行连接。

2. 在管理PC的Web浏览器中访问地址“http://192.168.1.1” 并按回车键。

出现的登录页面如下图所示：默认用户名：hillstone，密码：hillstone 登录后主页如下：5.5版本推荐使用chrome和IE11浏览器1.3设备系统（StoneOS）升级1.3.1通过WebUI升级A．登录设备后，依次点击“系统”→“升级管理”→“浏览”，选择本地保存的StoneOS 文件A．勾选“立即重启，使新版本生效”，然后点击“应用” 重启设备，系统将使用新的StoneOS启动1.4许可证安装1.4.1CLI命令行安装登录设备，运行命令exec license install +许可证（从“license:”开始输入完整的字符），如下图：注意：根据“info”提示，部分许可证安装后需要重启才能生效1.4.2WebUI安装登录设备，依次点击“系统”→“许可证” →“手动输入”如果收到License的是一个压缩包文件，则解压，在该页面选择“上传许可证文件”，依次选择各文件即可注意：根据WebUI提示，部分许可证安装后需要重启才能生效2基础上网配置对于一台全新或者刚刚恢复出厂的设备，如果只是需要简单的内部用户可以正常上网，只需要配置接口、路由、策略和源NAT这4项功能，以下是具体配置方法：2.1接口配置A．登录设备后，依次点击“网络”→“接口”B．选择相应的接口，点击“编辑”或者直接双击C．在接口配置界面中，选择接口的安全域类型（如果是直接连接运营商公网网线，一般是三层安全域；如果是透明部署选择二层安全域）、安全域名称（一般内网使用trust或l2-trust安全域，外网使用untrust或l2-untrust）、接口ip地址、网络掩码和接口的管理方式，最后点击“确定”注意：如果外网接口使用的是PPPoE的拨号接入，接口配置请参考文档3.1PPPoE相关配置。

缺省初始密‎码：hil‎l ston‎e/hil‎l ston‎e查看命‎令：sho‎w，在配置‎模式下可以‎直接使用，‎但需要打全‎。

sho‎w con‎f int‎eth0‎/0 查看‎配置文件下‎的子项，常‎用的有in‎t erfa‎c e、ad‎d ress‎、poli‎c y、s‎h ow c‎o nf r‎e cord‎：查看配置‎文件生成的‎时间sh‎o w v‎e rsio‎n：查看系‎统版本信息‎、开机时间‎show‎serv‎i ce：查‎看定义的服‎务(端口)‎信息sh‎o w re‎f eren‎c e se‎r vice‎xxxx‎：查看服务‎x xxx被‎引用的情况‎show‎admi‎n aut‎h-ser‎v er：查‎看管理员登‎录验证服务‎器sho‎w aaa‎-serv‎e r ra‎d ius：‎查看rad‎i us服务‎器的配置‎s how ‎s nat/‎d nat：‎查看NAT‎条目sh‎o w ip‎ospf‎nei/‎d atab‎a se/r‎o ute：‎查看OSP‎F的邻接、‎数据库及路‎由信息等‎u nset‎all：‎清除所有配‎置，恢复出‎厂设置s‎a ve(a‎l l)：保‎存配置r‎e boot‎：重启系统‎管理类‎：进入配‎置模式：c‎o nf ，‎与cisc‎o类似，但‎不需要带t‎e rmin‎a lnt‎p ser‎v er 1‎92.16‎8.0.x‎x x so‎u rce ‎e th0/‎0 pre‎f er：定‎义NTP服‎务器，指定‎源端口为e‎t h0/0‎ntp ‎e nabl‎e：打开N‎T P时间同‎步clo‎c k zo‎n e ch‎i na：将‎时区直接设‎置为中国‎c onso‎l e ti‎m eout‎10：串‎口管理超时‎设置为10‎分钟ss‎h tim‎e out ‎10：ss‎h远程登‎录起时设置‎为10分钟‎logg‎i ng t‎r affi‎c on：‎在全局范围‎内打安全策‎略、NAT‎的log记‎录。

Web界面配置指导Version 4.0Hillstone山石网科目录一、设备的登录 (2)二、基本上网配置 (3)三、端口映射 (8)四、IPSECVPN两种模式的配置 (14)五、SCVPN配置 (19)六、WEB认证上网功能配置 (23)七、URL日志记录 (26)八、IP-MAC绑定实现IP或MAC变更不能上网 (28)九、设备恢复出厂操作 (30)十、AAA服务器使用AD域类型的配置 (31)十一、SCVPN调用两个AAA服务器中的用户认证登录 (34)十二、HA配置注意事项 (35)一、设备的登录设备默认的管理接口为ethernet0/0，登录的ip为192.168.1.1,，默认的管理账号为hillstone，密码为hillstone。

把本地电脑网卡填写IP为192.168.1.2，使用web、telnet、ssh均可登录，，在浏览器中输入192.168.1.1 就可以通过WEBui的方式登录管理设备。

注意：如果是SG6000-NAV 系列的http的服务端口统一为9090，https的服务端口统一为8443。

所以默认登录该设备的WEBui的方式为http://192.168.1.1:9090,或h ttps://192.168.1.1:8443登录的账号密码都为hillstone二、基本上网配置1.设置接口信息购买的宽带地址是静态IP，一般会营业厅会告知IP地址、子网掩码、网关、DNS。

例如IP地址200.0.0.188 子网掩码255.255.255.0 或24，网关200.0.0.1DNS 202.106.0.20配置外网接口，ethernet0/1 为连接外网的接口【网络】>>【接口】，在接口列表中选择ethernet0/1，点击该接口后面的“编辑”按钮显示接口配置界面如下：配置完基本信息，点击“确认”上面是静态IP的使用，如果是ADSL拨号，【网络】>>【PPPoE客户端】新建填写使用的用户名和密码外网接口调用PPPoE，选择【设置路由】启用，勾选后不需要创建第2步的目的路由配置内网口，比如ethernet0/3连接内网：ethernet0/3的配置界面如下：配置完基本信息，点击“确认”2.增加内网上网的目的路由【网络】>>【路由】>>【目的路由】，填写完信息，点击“确认”3．增加内网用户上网的NAT配置【防火墙】>>【NAT】>>【源NAT】，点击“新建”选择“基本配置”：选择出接口，点击“确认”。

Hillstone配置文档V50Hilltone网关配置文档一、产品外观二、场景说明Mak:255.255.255.252Gateway:124.237.87.29DNS:222.222.202.202备用DNS:222.222.222.222酒店内网信息：IP:10.35.58.0/24（办公网段）IP:172.16.0.0/24（客房网段）MAC:00-2B-2B-68-5C-4F酒店带宽:20MBHilltone版本信息：HilltoneStoneOSSoftwareVerion5.0三、登录WebUI配置界面设备配置1.配置网络>网络连接>eth0/1(外网)>编辑：常规：绑定安全域选择三层安全域安全域选择untrutIP配置：类型选择静态IPIP：124.237.87.30网络掩码:255.255.255.252网络>网络连接>eht0/2(办公)>操作：名字和类型：绑定安全域选择三层安全域安全域选择dmzIP配置：类型选择静态IPIP/网络掩码:10.35.58.1/24网络>网络连接>eht0/3(客房)>操作：名字和类型：绑定安全域选择三层安全域安全域选择trutIP配置：类型选择静态IPIP/网络掩码:172.16.0.1/24管理：只选择Ping2.路由配置网络>路由>目的路由>新建：目的IP：0.0.0.0子网掩码：0.0.0.0下一跳选择网关网关：124.237.87.293.DHCP配置办公网络网络>网络连接>DHCP列表：基本配置：接口：ethernet0/2类型：DHCP服务器网关：10.35.58.1掩码：255.255.255.0DNS1:222.222.202.202DNS2:222.222.222.222起始IP地址：10.35.58.40结束IP地址：10.35.58.150高级配置：租约：86400客房网络网络>网络连接>DHCP列表：接口：ethernet0/3类型：DHCP服务器网关：172.16.0.1掩码：255.255.255.0DNS1:222.222.202.202DNS2:222.222.222.222起始IP地址：172.16.0..20结束IP地址：172.16.0..254高级配置：租约：864004.DNS配置网络>网络连接>DNS列表>新建：服务器IP:222.222.202.202网络>网络连接>DNS列表>新建：服务器IP:222.222.222.2225.策略配置安全>策略>新建：Trut->untrut名称：Trut->untrut源安全域：trut源地址：any目的安全域:untrut目的地址：any服务簿：any行为：允许Trut->dmz名称：Trut->dmz源安全域：trut源地址：any目的安全域:dmz目的地址：any服务簿：any行为：拒绝Dmz->trut名称：Dmz->trut源安全域：dmz源地址：any目的安全域:trut目的地址：any服务簿：any行为：允许dmz->untrt名称：dmz->untrt源安全域：dmz源地址：any目的安全域:untrut目的地址：any服务簿：any行为：允许Untrut->trut名称：Untrut->trut源安全域：untrut源地址：any目的安全域:trut目的地址：any服务簿：any行为：允许Untrut->dmz名称：Untrut->dmz源安全域：untrut源地址：any目的安全域:dmz目的地址：any服务簿：any行为：允许6.NAT配置网络>NAT>源NAT>新建>源地址：地址条目地址条目：any目的地址：地址条目地址条目：any出接口：eth1转换为：出接口IP模式：动态端口7.限速控制>流量管理>应用Qo>新建规则名称：bangong限流对象：ethernet0/2网络>NAT>目的NAT>新建>高级配置源地址：IP地址IP地址：222.66.142.18目的地址：IP地址IP地址：124.237.87.30服务：10010动作：转换IP地址：10.35.58.10转换端口：选择启用；端口33899.修改密码、添加酒店登录账号系统管理>设备管理>基本信息>管理员列表>新建管理员名称：121846权限：读-执行密码：121846重新输入密码：121846登录类型：HTTP五、恢复出厂设置1.关闭安全路由器电源。

目录一．基本情况介绍 (2)1.车管所机房情况： (2)2.通璟检测站： (2)3.风顺、安运检测站： (2)4.关于防火墙的配置方式： (3)5.关于配置文件： (3)6.关于授权证书： (4)二．车管所防火墙配置说明 (5)1.第12行： (5)2.第90行，地址薄的设置： (5)3.第316行，接口的设置： (7)4.第371行，虚拟路由的配置： (9)5.第381行，策略的配置： (11)三．通璟检测站防火墙的配置： (13)1.第83行，地址薄的设置： (13)2.第290行，接口的配置： (14)3.第312行，虚拟路由的设置： (15)4.第317行，策略的配置： (16)四．风顺检测站防火墙的配置： (17)1.第86行，地址薄的配置： (17)2.第305行，接口的配置： (18)3.第328行，虚拟路由的配置： (19)4.第335行，策略的设置： (21)五．总结 (22)一．基本情况介绍本文档适用于HillStone SG-6000 M2105(车管所)和HillStone SG-6000 NA V20（检测站），网络连接方式为车管所与检测站防火墙用网线直连、车管所与检测站防火墙在同一公安网IP段内两种。

具体配置如下：1．车管所机房情况：数据服务器、应用/通讯服务器、hillstone防火墙、审核电脑1/2的IP分别10.137.186.78/62/68/36/37，系统管理员给的IP地址格式为：；防火墙配置完毕后，车管所服务器设置的IP格式为：webserviceIP:10.136.46.23。

2.通璟检测站：局域网IP地址为192.168.11.*段，网关192.168.11.1。

因为距离短，有一条一百多米网线直接通到车管所机房。

站点服务器、签证申请岗、查验岗、无线路由、PDA、检测线主控、登录机等都接在交换机上，然后交换机接网线到hillstone防火墙的0/1口，到车管所机房的网线接防火墙0/0口。

Hillstone的FTP端口映射（目的NAT）简要配置指导
1、新建所需对象；
配置地址簿及服务簿等所需对象:
地址簿:
碣认取消
地址尊基本配置
基本配置
"若称ip_112.5.Gl.92/32
黄麻安全域
咸员列表
□全逵类型成"
□IP地址112HR.92 阳2
描逑(1-255?^)咸员列表
□全选类型
□QPtMt192.16SA.253/32关联安全域
确走取消应用运加“,册際
____________________J
2、策略：
策略高霾配费id" j
J睥安全域uritrust
诵也址
-目的安全麼
-目的地址
•服尊簿
时间瑕
帝色
-行为
描述
□ Qo百际记
Profiled 日志trust
iD 112,5.81.92/32
FTP梦竹,
^■T.M
X. F _r
Any V
◎允许CH鵠O Web认证0健這O来自擀道
(1-1324)…” ■
□策略拒绝□会话开妬口盘话结束
确定腐肖
3、配置端口映射规则;
目的"T
攻击防护二层防护会话限制症用层网关。

Vpn基本配置与简单排错前言本手册来源于在山石学习期间做实验与工作时候遇到的问题总结，web配置以5.R4版本为主，其中内容层次不深，只希望对还在学习的同学有一点借鉴作用此类文章是第一次书写，写的不周全的地方还请包含，如果中间有错误的地方请及时联系我任鹏实习生Hillstoneipsecvpn（web ui和cli）Webui配置方法：1.配置端到端的vpn第一步需要建立ipsecVPN隧道，如下图：选择IPsec VPN 新建（俩边都是固定公网ip的情况下）配置第一阶段对端的时候注意：1.接口选择公网接口2.模式模式可以任意选择，但是俩端模式必须相同3.类型静态ip4.对端地址对方公网地址5.该环境下的vpn不需要填写本地id和对端的FQDN6.提议任意填写，但是俩端必须相同7.秘钥任意填写，但是俩端必须相同一阶段完成，配置二阶段隧道二阶段注意事项1．二阶段提议俩端要相同2．代理id 如果俩端都是我们山石的设备可以选择自动（juniper也可以）和别的厂家的vpn不能选择自动需要手动填写对端id和本地id （都是内网地址）3. 选择高级配置开启自动连接配置完ipsecvpn隧道后将协议绑定到隧道中如下图：创建隧道接口隧道接口创建隧道名称只能填1-8 建议写描述方便以后查看安全域建议自定义一个vpn安全域方便与策略管理隧道接口ip地址如果两端走静态路由访问可以不填ip地址（对方有特殊要求除外）如果俩端走动态路由的访问一定要填写ip地址，且隧道ip地址要与对端隧道ip地址在同一网段隧道绑定静态或者这个接口下只绑定一个vpn时不需要填写网关动态或者绑定多接口的时候需要填写网关完成以上配置后再添加路由和策略在没有策略路由，源路由和源接口的路由情况下：建立一条目的地址是对方私网的地址，下一条为tunnel隧道的路由如果有上述路由，请用优先级高的路由进行流量引流策略放行根据个人设置的安全域进行放行放行隧道接口安全域到内网安全域的策略再放行一条反向的策略如果有特殊需求，可以自行更改自此之上为web界面配置方法。

HillStone SA-2001配置手册1网络端口配置22防火墙设置123VPN配置144流量控制的配置244.1P2P限流244.2禁止P2P流量254.3IP流量控制284.4时间的设置294.5统计功能325基础配置35本文是基于安全网关操作系统为Version 3.5进行编写，如版本不同，配置过程有可能不一样。

1 网络端口配置SA-2001安全网关前面板有5个千兆电口、1个配置口、1个CLR按键、1个USB接口以及状态指示灯。

下图为SA-2001的前面板示意图：将网线接入到E0/0。

防火墙的ethernet0/0接口配有默认IP地址192.168.1.1/24，但该端口没有设置为DHCP服务器为客户端提供IP地址，因此需要将PC机的IP地址设置为同一网段，例如192.168.1.2/24才能连上防火墙。

通过IE打开192.168.1.1，然后输入默认的用户名和密码（均为hillstone）登录后的首页面。

可以看到CPU、内存、会话等使用情况。

很多品牌的防火墙或者路由器等，在默认情况下内网端口都是划分好并且形成一个小型交换机的，但是hillstone 的产品却需要自己手工设置。

在本文档中，我们准备将E0/0划分为UNTRUST口连接互联网，E0/1～E0/4总共4个端口我们则划到一个交换机中并作为TRUST口连接内网。

在网络－接口界面中，新建一个bgroup端口，该端口是一个虚拟的端口。

因为bgroup1接口需要提供路由功能，因此需要划入到三层安全域（trust）中。

输入由集团信息中心提供的IP地址。

在管理设置中，尽量将各个管理功能的协议打开，尤其是HTTP功能。

建好bgroup1之后，对网络－接口页面中的e0/1～e0/4分别修改，依次将它们划归为bgroup1。

设置好交换机功能后，还需要设置DHCP功能，以便PC机接入时可以自动获取IP地址。

新建一个DHCP地址池根据集团信息中心提供的IP地址段设置IP地址池。

HillStone SA-2001配置手册1网络端口配置22防火墙设置123VPN配置144流量控制的配置244.1P2P限流244.2禁止P2P流量254.3IP流量控制284.4时间的设置294.5统计功能325基础配置35本文是基于安全网关操作系统为Version 3.5进行编写，如版本不同，配置过程有可能不一样。

1 网络端口配置SA-2001安全网关前面板有5个千兆电口、1个配置口、1个CLR按键、1个USB接口以及状态指示灯。

下图为SA-2001的前面板示意图：将网线接入到E0/0。

防火墙的ethernet0/0接口配有默认IP地址192.168.1.1/24，但该端口没有设置为DHCP服务器为客户端提供IP地址，因此需要将PC机的IP地址设置为同一网段，例如192.168.1.2/24才能连上防火墙。

通过IE打开192.168.1.1，然后输入默认的用户名和密码（均为hillstone）登录后的首页面。

可以看到CPU、内存、会话等使用情况。

很多品牌的防火墙或者路由器等，在默认情况下内网端口都是划分好并且形成一个小型交换机的，但是hillstone的产品却需要自己手工设置。

在本文档中，我们准备将E0/0划分为UNTRUST口连接互联网，E0/1～E0/4总共4个端口我们则划到一个交换机中并作为TRUST口连接内网。

在网络－接口界面中，新建一个bgroup端口，该端口是一个虚拟的端口。

因为bgroup1接口需要提供路由功能，因此需要划入到三层安全域（trust）中。

输入由集团信息中心提供的IP 地址。

在管理设置中，尽量将各个管理功能的协议打开，尤其是HTTP功能。

建好bgroup1之后，对网络－接口页面中的e0/1～e0/4分别修改，依次将它们划归为bgroup1。

设置好交换机功能后，还需要设置DHCP功能，以便PC机接入时可以自动获取IP地址。

新建一个DHCP地址池根据集团信息中心提供的IP地址段设置IP地址池。