山石防火墙配置

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

hillstone防火墙配置步骤(以hillstone SA5040为例讲解)

厦门领航立华科技有限公司

目录

1需要从客户方获取的基本信息 (3)

2配置步骤 (3)

2.1 配置安全域 (3)

2.2 配置接口地址 (4)

2.3 配置路由 (4)

2.4 配置NAT (6)

2.4.1 源地址NAT (6)

2.4.2 目的地址NA T (6)

3配置策略 (8)

3.1 配置安全域之间的允许策略 (8)

3.1.1 配置trust到Untrust的允许所有的策略 (8)

3.1.2 配置DMZ到Untrust的允许所有的策略 (9)

3.1.3 配置trust到DMZ的允许策略 (9)

3.1.4 配置Untrust到DMZ服务器的允许策略 (10)

3.1.5 配置Untrust到Trust服务器的允许策略 (10)

3.1.6 配置详细策略 (11)

4配置QOS (12)

5配置SCVPN (13)

1需要从客户方获取的基本信息

◆部署位置:互联网出口位置,还是其他,如部署在出口路由器之后等

◆部署方式:三层接入(需要做NAT,大部分都是这种接入方式),二层透明接

入(透明接入不影响客户网络架构),混合接入模式(有几个接口需要配置成透明接口模式,可以支持这种方式)

◆外网出口信息:几个出口,电信Or网通,外网IP地址资源(多少个),外

网网关(防火墙默认路由设置)

◆安全域划分:一般正常3个安全域,Untrust(外网)、Trust(内网)、Dmz

(服务器网段),也可以自定义多个

◆外网接口IP地址:由客户提供

◆内网口IP地址:

◆如果客户内网有多个网段,建议在客户中心交换机配置独立的VLAN

网段,不要与客户内部网段相同。

◆如果客户内网只有1个网段,没有中心交换机,则把防火墙内网口地

址设置为客户内网地址段,并作为客户内网网关(适用于中小型网络)◆DMZ口IP地址:由客户提供,建议配置成服务器网段的网关;

2配置步骤

2.1 配置安全域

默认就有常用的3个安全域了,Trust,Untrust,DMZ

2.2 配置接口地址

2.3 配置路由

默认路由:其中指定的接口:Untrust(外网)接口,如果有多个出口,可以在这选择不同的接口。其中网关为跟FW互联设备接口的地址,比如59.60.12.33是电信给的出口网关地址。

静态路由:网关地址为下一跳地址,客户内部有多个VLAN,需要在这配置静态路由,比如客户内部网有172.16.2.0/24 ,172.168.3.0/24 等多网段,可以指定一条静态路由,

Ip route 172.16.0.0/16 内部核心交换机地址

2.4 配置NAT

2.4.1源地址NAT

内部网络访问互联网NAT,选择互联网出口接口为eth0/1,配置接口地址就为NA T地址,并配置动态端口,启用Sticky(启用这个会更好的利用接口的资源)。

(只有配置了源地址NAT,内部网络才能上互联网)

2.4.2目的地址NAT

IP映射,把外网一个IP地址完全映射到内部一台服务器,具体如下,创建IP映射

端口映射,把访问外网某个地址的指定端口映射到内部服务器的指定端口,具体配置如下:新建——>选择端口映射

3配置策略

3.1 配置安全域之间的允许策略

配置初始允许策略(在做测试,或者部署前,首先配置允许策略,让策略先全部允许;测试联通性没问题了,如路由,NAT都没问题了,才来做策略的优化,比如限制允许的服务等)

3.1.1配置trust到Untrust的允许所有的策略

3.1.2配置DMZ到Untrust的允许所有的策略

3.1.3配置trust到DMZ的允许策略

3.1.4配置Untrust到DMZ服务器的允许策略

3.1.5配置Untrust到Trust服务器的允许策略

(有时候我们的客户有需要从Untrust访问Trust内部地址的需求,同样要先做目的NAT,然后配置从Untrust到Trust的允许策略)

3.1.6配置详细策略

配置地址簿

配置服务组,可以自己新建服务组,服务组可以选择预定义好的服务

在外网接口,即Untrust口,配置对P2P的下载限制,注意上行带宽要设置为小一点,这样效果会更好

先建立一个IP pool 不能和内网同一网段

配置SSL vpn http端口注意,接口:untrust 隧道路由内网网段,AAA 加local

添加SSL 登陆用户

Aaa

建立一个SSL vpn 的zone

建立一个隧道接口

配置隧道接口安全zone 选择刚建立的zoneSSL ip地址是和pool一个网段但不能用pool 里面的地址,scvpn tunnel 选择建立的SCVPN 名字

建立from ssl域(zone) to any service any permit 的安全策略

Web 登陆FW untrust https://192.168.1.2:8888端口匹配

相关文档
最新文档