山石防火墙配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
hillstone防火墙配置步骤(以hillstone SA5040为例讲解)
厦门领航立华科技有限公司
目录
1需要从客户方获取的基本信息 (3)
2配置步骤 (3)
2.1 配置安全域 (3)
2.2 配置接口地址 (4)
2.3 配置路由 (4)
2.4 配置NAT (6)
2.4.1 源地址NAT (6)
2.4.2 目的地址NA T (6)
3配置策略 (8)
3.1 配置安全域之间的允许策略 (8)
3.1.1 配置trust到Untrust的允许所有的策略 (8)
3.1.2 配置DMZ到Untrust的允许所有的策略 (9)
3.1.3 配置trust到DMZ的允许策略 (9)
3.1.4 配置Untrust到DMZ服务器的允许策略 (10)
3.1.5 配置Untrust到Trust服务器的允许策略 (10)
3.1.6 配置详细策略 (11)
4配置QOS (12)
5配置SCVPN (13)
1需要从客户方获取的基本信息
◆部署位置:互联网出口位置,还是其他,如部署在出口路由器之后等
◆部署方式:三层接入(需要做NAT,大部分都是这种接入方式),二层透明接
入(透明接入不影响客户网络架构),混合接入模式(有几个接口需要配置成透明接口模式,可以支持这种方式)
◆外网出口信息:几个出口,电信Or网通,外网IP地址资源(多少个),外
网网关(防火墙默认路由设置)
◆安全域划分:一般正常3个安全域,Untrust(外网)、Trust(内网)、Dmz
(服务器网段),也可以自定义多个
◆外网接口IP地址:由客户提供
◆内网口IP地址:
◆如果客户内网有多个网段,建议在客户中心交换机配置独立的VLAN
网段,不要与客户内部网段相同。
◆如果客户内网只有1个网段,没有中心交换机,则把防火墙内网口地
址设置为客户内网地址段,并作为客户内网网关(适用于中小型网络)◆DMZ口IP地址:由客户提供,建议配置成服务器网段的网关;
2配置步骤
2.1 配置安全域
默认就有常用的3个安全域了,Trust,Untrust,DMZ
2.2 配置接口地址
2.3 配置路由
默认路由:其中指定的接口:Untrust(外网)接口,如果有多个出口,可以在这选择不同的接口。其中网关为跟FW互联设备接口的地址,比如59.60.12.33是电信给的出口网关地址。
静态路由:网关地址为下一跳地址,客户内部有多个VLAN,需要在这配置静态路由,比如客户内部网有172.16.2.0/24 ,172.168.3.0/24 等多网段,可以指定一条静态路由,
Ip route 172.16.0.0/16 内部核心交换机地址
2.4 配置NAT
2.4.1源地址NAT
内部网络访问互联网NAT,选择互联网出口接口为eth0/1,配置接口地址就为NA T地址,并配置动态端口,启用Sticky(启用这个会更好的利用接口的资源)。
(只有配置了源地址NAT,内部网络才能上互联网)
2.4.2目的地址NAT
IP映射,把外网一个IP地址完全映射到内部一台服务器,具体如下,创建IP映射
端口映射,把访问外网某个地址的指定端口映射到内部服务器的指定端口,具体配置如下:新建——>选择端口映射
3配置策略
3.1 配置安全域之间的允许策略
配置初始允许策略(在做测试,或者部署前,首先配置允许策略,让策略先全部允许;测试联通性没问题了,如路由,NAT都没问题了,才来做策略的优化,比如限制允许的服务等)
3.1.1配置trust到Untrust的允许所有的策略
3.1.2配置DMZ到Untrust的允许所有的策略
3.1.3配置trust到DMZ的允许策略
3.1.4配置Untrust到DMZ服务器的允许策略
3.1.5配置Untrust到Trust服务器的允许策略
(有时候我们的客户有需要从Untrust访问Trust内部地址的需求,同样要先做目的NAT,然后配置从Untrust到Trust的允许策略)
3.1.6配置详细策略
配置地址簿
配置服务组,可以自己新建服务组,服务组可以选择预定义好的服务
在外网接口,即Untrust口,配置对P2P的下载限制,注意上行带宽要设置为小一点,这样效果会更好
先建立一个IP pool 不能和内网同一网段
配置SSL vpn http端口注意,接口:untrust 隧道路由内网网段,AAA 加local
添加SSL 登陆用户
Aaa
建立一个SSL vpn 的zone
建立一个隧道接口
配置隧道接口安全zone 选择刚建立的zoneSSL ip地址是和pool一个网段但不能用pool 里面的地址,scvpn tunnel 选择建立的SCVPN 名字
建立from ssl域(zone) to any service any permit 的安全策略
Web 登陆FW untrust https://192.168.1.2:8888端口匹配