HILLSTONE防火墙配置实例介绍

1、目录一基本情况介绍11.车管所机房情况：12.通璟检测站：23.风顺、安运检测站：24.关于防火墙的配置方式：25.关于配置文件：26.关于授权证书：4二车管所防火墙配置说明51.第12行：52.第90行，地址薄的设置：53.第316行，接口的设置：74.第371行，虚拟路由的配置：95.第381行，策略的配置：10三通璟检测站防火墙的配置：131.第83行，地址薄的设置：132.第290行，接口的配置：143.第312行，虚拟路由的设置：154.第317行，策略的配置：16四风顺检测站防火墙的配置：171.第86行，地址薄的配置：172.第305行，接口的配置：183.第328行，虚拟路由的

2、配置：194.第335行，策略的设置：21五总结22一基本情况介绍本文档适用于hillstone sg-6000 m2105(车管所)和hillstone sg-6000 nav20（检测站），网络连接方式为车管所与检测站防火墙用网线直连、车管所与检测站防火墙在同一公安网ip段内两种。具体配置如下：1车管所机房情况：数据服务器、应用/通讯服务器、hillstone防火墙、审核电脑1/2的ip分别8/62/68/36/37，系统管理员给的ip地址格式为：；防火墙配置完毕后，车管所服务器设置的ip格式为：webserviceip:3。2.通璟检测站：局

3、域网ip地址为192.168.11.*段，网关。因为距离短，有一条一百多米网线直接通到车管所机房。站点服务器、签证申请岗、查验岗、无线路由、pda、检测线主控、登录机等都接在交换机上，然后交换机接网线到hillstone防火墙的0/1口，到车管所机房的网线接防火墙0/0口。3.风顺、安运检测站：ip段分别是192.168.12.*和192.168.13.*，网关分别是和。两个站都是依靠着当地的交警大队，直接把大队公安网接网线到检测站防火墙的0/0口。因为交警大队和交警支队车管所的ip都是一个网段（10.137.186.*）

4、，所以两个站防火墙的0/0口ip分别是7和67。4.关于防火墙的配置方式：第一种是访问防火墙的默认ip，输入用户名、密码，在配置页面进行配置，一般是按照地址薄、接口、目的路由、策略的顺序进行配置；（注意设置完要保存配置）第二种是上传已设置好的配置文件，然后设置生效，重启（约2-3分钟）。5.关于配置文件：在“系统”-“配置”页面有本防火墙的配置文件，可上传新的配置文件、现在当前的配置文件。但下载下来的是dat文件，使用的是unicode编码，用记事本打开是乱码。可将“系统”-“配置”页面的配置命令复制，新建文本文档，粘贴，另存为，将编码选为unicode，选“是”确认。

5、这样在新建的txt文档中就可以编辑配置命令，又保证编码格式是unicode（不出乱码）。6.关于授权证书：防火墙启用后有个试用期限，应当跟采购部要厂家给的永久使用授权证书。二车管所防火墙配置说明我只将需要配置的命令段作说明。1.第12行：“password +wfd5cq1jurjq6detwjldaqqmj”，这个密码应该是个加密的东西，最好遵照原始文件的配置，不要更换，以防出错。2.第90行，地址薄的设置：address 通璟检测站 reference-zone trust range 54exitaddress 浮梁风顺检测站 refer

6、ence-zone trust range 54exitaddress 乐平安运检测站 reference-zone trust range 54exitaddress 备用检测站 reference-zone trust range 54exitaddress 调用地址 reference-zone trust range 54exit这段是设置地址薄（别名+地址范围）上图中，代码是添加了上边的通璟

7、检测站、风顺检测站、安运检测站、备用监测站和调用地址5个地址薄，下边的是自动显示的5个已设置好接口的ip设置。（后文“接口”有介绍）“ethernet0/0 8/32”意思是车管所防火墙0/0口的ip设为8；“ethernet0/0_subnet 8/24”意思是车管所防火墙0/0口所在的是10.137.186.网段。3.第316行，接口的设置：interface ethernet0/0 zone trust ip address 8 manage ssh manage

8、telnet manage ping manage snmp manage http manage httpsexitinterface ethernet0/1 zone trust ip address manage telnet manage ssh manage ping manage http manage https manage snmpexitinterface ethernet0/2 zone trust ip address manage telnet manage

9、 ssh manage ping manage http manage https manage snmpexitinterface ethernet0/3 zone trust ip address manage telnet manage ssh manage ping manage http manage https manage snmpexitinterface ethernet0/4 zone trust ip address manage telnet manage s

10、sh manage ping manage http manage https manage snmpexit车管所的防火墙有5个接口，分别是ethernet0/0、ethernet0/1、ethernet0/2、ethernet0/3、ethernet0/4。其中ethernet0/0接口是直接连公安网交换机的，设的ip是8 ；ethernet0/1口是接通璟检测站ethernet0/0口出来的网线，给的ip是 ；ethernet0/2、ethernet0/3、ethernet0/4这三个原

11、本设想的是四个检测站都是直连光纤到车管所防火墙，但风顺、乐平使用不同的接入模式，所以这三个接口设置在这里没有使用。风顺和安运检测站的防火墙ethernet0/0设的是公安网的ip，直接接入当地交警大队的公安网交换机。并且这俩防火墙的ip跟交警支队车管所的ip都是10.137.186.*（假若当地交警大队是不同于10.137.186.*的ip地址，则可添加虚拟路由跳转）。上图可看到，车管所防火墙的5个接口ip都配置了，但是（物理状态）只用到了ethernet0/0口和ethernet0/1口，ip分别为8、。4.第371行，虚拟路由的配置：ip

12、vrouter trust-vr snatrule id 1 from any to any eif ethernet0/0 trans-to eif-ip mode dynamicport ip route /24 ip route /24 ip route /24 ip route /24 ip route /24 49exit其中“sna

13、trule id 1 from any to any eif ethernet0/0 trans-to eif-ip mode dynamicport”这句是“防火墙”-“nat”-“源nat”页面的配置。“ ip route /24 ip route /24 ip route /24 ip route /24 ip route /24 49”

14、这段是“网络”-“路由”-“目的路由”的设置。若车管所（10.137.186.*地址段）要跟不同的地址段（如3、192.168.11.*）通讯，需要添加虚拟路由，通过要网关跳转访问。在上图中，“状态”一栏，我们看到绿色活动的只有6个，有3个未启用；再看“协议”一栏，“主机”和“直连”都是配置接口完毕后自动生成的，“静态”一栏只有2个。一个是接入公安网交换机的ethernet0/0口。本来通讯服务器（2）的网关是49，是可以直接从webserviceip（3）调取公安网机动车基本信息；现在将通讯服务器的网

15、关设为车管所防火墙ethernet0/0口的ip（8），在这里就添加一个49的网关跳到10.136.46.*段，去获取公安网机动车基本信息。另一个ethernet0/1口（ip设为）是与通璟检测站的防火墙的ethernet0/0口连接的。这里设置的是10.137.186.*网段的机器要去访问通璟检测站192.168.11.*网段的机器，就要加一个这个网关，也就是通璟检测站的防火墙的ethernet0/0的ip。可以这么理解，逻辑不一定正确，但结果真确：防火墙的不同接口相当于服务器上同时有几个网卡

16、，不同网卡的网段是可以相互通信的。车管所的0/0、0/1口接入的网段分别是10.137.186.*和192.168.200.*这两个网段的机器是可以相互通信的；通璟检测站的0/0、0/1口接入的网段分别是192.168.200.*和192.168.11.*这两个网段的机器是可以相互通信的；风顺检测站的0/0、0/1口接入的网段分别是10.137.186.*和192.168.12.*这两个网段的机器是可以相互通信的。这样子：车管所的机器要访问通璟检测站的机器，需要在0/1口添加一个目的地址是、跳转网关是通璟防火墙0/0口的ip的虚拟路由；车管所的机器要访问风顺检测站的机器

17、就不用添加虚拟路由，可直接访问；通璟检测站的机器要访问车管所的机器，需要在0/0口添加一个目的地址是、跳转网关是车管所防火墙0/1口的ip的虚拟路由；风顺检测站的机器要访问车管所的机器，不用添加虚拟路由，可直接访问。当然通璟检测站机器要访问webserviceip的机器，还需在0/0口添加一个目的地址是3.0、跳转网关是车管所防火墙0/1口的ip的虚拟路由，而车管所已经有一个0/0口、目的地址是、跳转网关是49的虚拟路由，这样通璟的机器跳转两次网关就可访问webserviceip的机器；风顺的防火墙就是

18、公安网的ip，要访问webserviceip的机器直接跟车管所防火墙一样在0/0口添加一个目的地址是、跳转网关是49的虚拟路由。5.第381行，策略的配置：policy from trust to trust rule id 2 action permit disable src-addr 浮梁风顺检测站 dst-addr ipv4.ethernet0/0_subnet service any exit rule id 3 action permit disable src-addr 乐平安运检测站 dst-addr ipv4.ethernet0/

19、0_subnet service any exit rule id 4 action permit disable src-addr 备用检测站 dst-addr ipv4.ethernet0/0_subnet service any exit rule id 10 action permit disable src-addr 通璟检测站 dst-addr ipv4.ethernet0/0_subnet service any exit rule id 11 action permit disable src-addr ipv4.ethernet0/0_subnet dst-addr 通璟检测

20、站 service any exit rule id 1 action permit disable src-addr ipv4.ethernet0/0_subnet dst-addr 浮梁风顺检测站 service any exit rule id 5 action permit disable src-addr ipv4.ethernet0/0_subnet dst-addr 乐平安运检测站 service any exit rule id 6 action permit disable src-addr ipv4.ethernet0/0_subnet dst-addr 备用检测站 ser

21、vice any exit rule id 7 action permit disable src-addr ipv4.ethernet0/0_subnet dst-addr 调用地址 service any exit rule id 8 action permit src-addr any dst-addr any service any exit这里设置的是通璟检测站、风顺检测站、安运检测站、备用检测站的机器可以访问车管所防火墙0/0口所在的子网段ipv4.ethernet0/0_subnet的机器，反过来车管所防火墙0/0口所在的子网段ipv4.ethernet0/0_subnet的机器

22、可以访问通璟检测站、风顺检测站、安运检测站、备用检测站和调用地址的机器。rule8是说来回谁都可以访问谁，没有限制。上图我们可以看到我们只启用了rule8，也就是没有限制，any到any。三通璟检测站防火墙的配置：1.第83行，地址薄的设置：address 车管所 reference-zone trust range 54 range 54exitpki trust-domain trust_domain_default keypair default-key enrollment self sub

23、ject commonname sg-6000 subject organization hillstone networksexit地址薄只设置了一个“车管所”，包括“ 54”和“ 54”两个ip段。2.第290行，接口的配置：interface ethernet0/0 zone trust ip address manage ssh manage telnet manage ping manage snmp manage http manage

24、 httpsexitinterface ethernet0/1 zone trust ip address manage telnet manage ssh manage ping manage http manage https manage snmpexit这里设置通璟检测站ethernet0/0口的ip是 （车管所防火墙的ethernet0/1口的ip是 ），ethernet0/1口的ip是 255.255.

25、255.0。3.第312行，虚拟路由的设置：ip vrouter trust-vr ip route /24 ip route /24 exit这里的意思是通璟检测站的机器（192.168.11.*）要访问10.137.186.*段和10.136.46.*段的公安网机器的话，得先跳转到车管所防火墙，然后再跳转车管所防火墙配置的虚拟路由的网关49去访问10.137.186.*段和10.136.46.*段的公安网机器。4.第317行，策略的配置：po

26、licy from trust to trust rule id 4 action permit disable src-addr 车管所 dst-addr ipv4.ethernet0/1_subnet service any exit rule id 1 action permit disable src-addr ipv4.ethernet0/1_subnet dst-addr 车管所 service any exit rule id 2 action permit src-addr any dst-addr any service any exit就是“车管所”这个地址薄的机器可以访问

27、ipv4.ethernet0/1_subnet这个子网下的机器（192.168.11.*），反过来一样可以；还有个any到any。这里我们启用的是any到any。四风顺检测站防火墙的配置：1.第86行，地址薄的配置：address 车管所 reference-zone trust range 54exitaddress fs reference-zone trust ip /24 range 5 5 range 00 03ex

28、itaddress cgs reference-zone trust range 54 range 54 range 7 0exit这里配了3个地址薄。车管所的地址是“ 54”； fs的地址有/24、 5 5、 00 03这三个；cgs有 10.137.186.

29、254、 54和7 0三个。u但“车管所”那个地址薄是包含在“cgs”那个地址薄中的，所以是多余的，在“策略”截图中可看到并没用启用“车管所”这个地址。2.第305行，接口的配置： interface ethernet0/0 zone trust ip address 7 manage ssh manage telnet manage ping manage snmp manage http manage httpsexitinterface eth

30、ernet0/1 zone trust ip address manage telnet manage ssh manage ping manage http manage https manage snmpexit设置了ethernet0/0口的ip是7 ，ethernet0/1的ip是 3.第328行，虚拟路由的配置：ip vrouter trust-vr snatrule id 1 from fs to any eif ethernet0/0 trans-to eif-ip mode dynamicport ip route /24 ip route /24 49 ip route /24 49exit其中“snatrule id 1 from fs to any eif ethernet0/0 trans-to eif-ip mode dynamicport”是“防火墙”-“nat”-“源nat”的配置：“ip route