山石防火墙配置

LEADhillstone防火墙配置步骤（以hillstoneSA5040为例讲解）厦门领航立华科技有限公司TOC\o"1-5"\h\z需要从客户方获取的基本信息3配置步骤3\o"CurrentDocument"配置安全域3\o"CurrentDocument"配置接口地址4\o"CurrentDocument"配置路由4\o"CurrentDocument"配置NAT6\o"CurrentDocument"源地址NAT6\o"CurrentDocument"目的地址NAT6配置策略8\o"CurrentDocument"3.1配置安全域之间的允许策略8\o"CurrentDocument"配置trust到Untrust的允许所有的策略8配置DMZ到Untrust的允许所有的策略9\o"CurrentDocument"配置trust到DMZ的允许策略9\o"CurrentDocument"配置Untrust到DMZ服务器的允许策略10配置Untrust到Trust服务器的允许策略10\o"CurrentDocument"配置详细策略11配置QOS12配置SCVPN131需要从客户方获取的基本信息部署位置：互联网出口位置，还是其他，如部署在出口路由器之后等♦部署方式：三层接入（需要做NAT，大部分都是这种接入方式），二层透明接入（透明接入不影响客户网络架构），混合接入模式（有几个接口需要配置成透明接口模式，可以支持这种方式）♦外网出口信息：几个出口，电信Or网通，外网IP地址资源（多少个），外网网关（防火墙默认路由设置）安全域划分：一般正常3个安全域，Untrust（外网）、Trust（内网）、Dmz（服务器网段），也可以自定义多个♦外网接口IP地址：由客户提供♦内网口IP地址：♦如果客户内网有多个网段，建议在客户中心交换机配置独立的VLAN网段，不要与客户内部网段相同。♦如果客户内网只有1个网段，没有中心交换机，则把防火墙内网口地址设置为客户内网地址段，并作为客户内网网关（适用于中小型网络）DMZ口IP地址：由客户提供，建议配置成服务器网段的网关；2配置步骤2.1配置安全域默认就有常用的3个安全域了，Trust，Untrust，DMZHillstnneNirwOHfl*慕统►对量卜用户"南络■HillstnneNirwOHfl*慕统►对量卜用户"南络■口1_J>«crIISDDISMF宓富月城「叫征If分片80?.11卜的*捋*昉希►WITrQ«iSP船控.珪嫉呷53rto：16«J?：||5Ozl1*4iN-Gg.(SlflSfc由圈MS祯Chfsnfttrust□trust-uri■/ffiuntrust13tnj=t-uTi.dmzatrust-vrD12-tHJEt02岫强ElDIz-untrustH2vsw'tachl0顼1疝12-dmz12v&rtfcdnlDO®VPNHub□trust-vr0弟而HAotnjst-«ri.目Wpub□trust-vri国血Ehangch^n13bust-vriQlftsun13trust-ur1赤prowyhtnjst-vr1ssivpntnjst-vr1l&S&l13trust-vr1与而squid□trust-iiir1testotrust-Mri.目UDNT1►K.<r2.2配置接口地址HWstonemItwarks。美于0W胃长存X注韬拦重启E唤h卜巍■ffiQSlHiS^S：15可页：B土zJH■LRH办*mfc粗胞…卜用1若呻甲时址府枷吗赛主魄MAC顾5状恣用盐芯踏妆有峙诩M密村世帆格etnemeto/o172.16.201.^24trustQ01C.5403.15dO<<<<.Hl1:迎口1ethemeta,1'!59.fi0A2a38；28untRj^001c.5403.1541<<<<©路ETHHTTnoDIBSTThE答尸辟Mgn努片BOZ.11etnemeta/iao.a.o.a/anullMicsaos.isia<4<MLgrethemeto/l1D.O„D.QA)Null00ic.54O2.i54t-44L<<@flthflmQtOra5D.60.12.62/23pubMlsc.S4O2.lS42电电宅电口etfiemeta.Ca192,108431,2^24甘*nqdian001^3403,1543<<<itettiemetO/4192,153.52,254/24SJ1O01G5W3,1544〈.电地电口ethemetO/S152.16351.^2^proxy001c54O3.15d5%<<<@ememeta/fi17245A6.V24&QuidCM1G54O2.1546<4ML<|^effiemetfl/-?/30tea001C-54O3.154-7<4LML<@ethemetO/SD.Q-.D.a/ONULL001^5402.1546ML电岑ML园athamata/Qa.a.D.Q/aNULL001C-5403.154DML虹*MLK瞩火靖,岫k岫京►Will3CVFKvsntdllflO.Q-D.a/aNULL&31C.54O3.155C<<<MlN4■卜dC?*监映ZJ2.3配置路由默认路由：其中指定的接口：Untrust（外网）接口，如果有多个出口，可以在这选择不同的接口。其中网关为跟FW互联设备接口的地址，比如3是电信给的出口网关地址。

HfllstoneN?*nrw=Q-FfHfllstoneN?*nrw=Q-Ff•系统"r瞰r用户摧口喝仙-n的障rt疆路曲通授口的13I*信里rg西物陇由■1FnmzpUK?HIHBSIWnl^Fft"好卸丘IEk防火信目削留由如衰＜魅建.世有［PtUJfFTK-ffWRXJLa.a.D.o/o59-60.12.33etfiemetQ/151Qi目的路由配胃10iw00i,目的ip|d.d.d.d询JLa.a.D.o/o59-60.12.33etfiemetQ/151Qi目的路由配胃10iw00i,目的ip|d.d.d.d询00i£子瞰盼|D.a.D.O-旬宣00i零下一跣广r..T.■■-i*.ii主机aai授口|ethciTittDi'l工|1ai血|s孔泡isE10iwttASJiIl~-U-255,^^110Qi111[1^255.feJ1]询00iffii瑚走理Tfl10iaai▲172.16.201.^22etfiem-etQiitl珈aaiJki172.17_D.0；16192-16E.151.1■ediemecQ/3i0iw4172.163^2.0/24172-16.201.1ethemetfi/Oiaiffid172.103-7.0/2^1172-ia.2Dl.latfiam4ba/0iaiAltunnel100iHillstunefl~E~—F'-fl”关于g助■保存4注韬习重启En网•系就-目融培由破卷龄.：眼顺：底L回并4■V>Jo粗新建…k用尸［嘛火唳庵可FK展口忧枕tftffl权值操作▲D.OuD.O/O59-60.12833etnernetD/1101择口▲10.5-135.206/32192.1-53.1514ethemetD/3蒂嘉101•SUKEllRfiBa£D01_x.主710Q1SKrirmos»Hi[就床H,*目的tp110,0-135JO攻001▲■干网K吗fTt|255.5552550~广月是（t姓口主加D01.5iTWF博前雷略外Fkair中萤口哄lerhemeHl.n|192.16E：.151.1|r:0>i而|1'1-m'、rL)主扒D0'1METIBS|1i1-53E1)1aiDDES▲瘢-j取福jD01rrr*卷尸/if务玲ttf.IX•A▲]7Z,17,0-D/]017Z.10B.2,0/24ig^ricsasj.i172-1&20L1ethemetD/3ethemeto.^)ethemetO/QtylL:ii疝li,B1XJB▲”己1弭裁刷172rl&2D].lHT：£iJ3^0■NEt—WORK~EeiMUTAK二1£助#合沽障R•关于由帮助自保存夕注焦旧重启▼I2.4配置NAT2.4.1源地址NAT内部网络访问互联网NAT,选择互联网出口接口为eth0/1,配置接口地址就为NAT地址，并配置动态端口，启用Sticky（启用这个会更好的利用接口的资源）。NEt—WORK~EeiMUTAK二1£助#合沽障R•关于由帮助自保存夕注焦旧重启▼Iu福由黑UUST-MfTOC\o"1-5"\h\zHAlfl~3'iS坷址质地址母L[FWt■叫畀[Any旦目f也址苗r[pkut"rtitnr|Any三,tiJSO|cth0-00^0/1刁■'行为rTflJWTQNAT"Niinctr地址用r[R^jj：整出建口】p职r日志p6用'明：广恰志广3b£ip用动本W口5trtkyP启用aID1（只有配置了源地址NAT，内部网络才能上互联网）2.4.2目的地址NATip映射，把外网一个ip地址完全映射到内部一台服务器，具体如下，创建ip映射

Histone0TifSk❹灯皿划“瞄,注销皿启'目时ATIPRWA任dEKJK由置^^"3H51BM2JLL-rt：-|5A.60.1^,563，防枷典龄即址limmAKNJdMMRTTZI-就定职清1&EA.Tri的住s.t.wir会编也卜VFHKSCWJFt如G卜ST控・日志Ifi轰端口映射，把访问外网某个地址的指定端口映射到内部服务器的指定端口，具体配置如下:新建>选择端口映射3配置策略3.1配置安全域之间的允许策略配置初始允许策略（在做测试，或者部署前，首先配置允许策略，让策略先全部允许；测试联通性没问题了，如路由，NAT都没问题了，才来做策略的优化，比如限制允许的服务等）3.1.1配置trust到Untrust的允许所有的策略3.1.2配置DMZ到Untrust的允许所有的策略3.1.3配置trust到3.1.3配置trust到DMZ的允许策略HillstoncRErWORKS3.1.4配置Untrust到DMZ服务器的允许策略❹差于糖带助H琨有炉注帝目重启血谒空至域MFH用堵-me•目的S±K•目的地址BUT季出险#HillstoncRErWORKS谒空至域MFH用堵-me•目的S±K•目的地址BUT季出险#■应用「•剧雄|•行为耿有*VFKfSC¥Fa*日志报去3.1.5配置Untrust到Trust服务器的允许策略（有时候我们的客户有需要从Untrust访问Trust内部地址的需求，同样要先做目的NAT,然后配置从Untrust到Trust的允许策略）Hi/istoncWFT*L，"关于口精助螳保存夕注销明重启IS73*卬用户二防火增BUhT攻主防护~s»r会话毗I厘用isna；成潮卜炜病毒»ri?NQoS"US日林米目的安全域时漏去'行为K.ift3.1.6配置详细策略配置地址簿渤ID地址成伺“英型房]ptt址广[p?offlr王翻：5卷广地址母•房员|L7Z.la.l.l_|/[|32立斯耳配奇盛裾配置服务组，可以自己新建服务组，服务组可以选择预定义好的服务维关于祥带助h保存户注艄切重启，寡SE二诙MeiH阙家*，理用kflPiNPSCVFiB*q槌・日志擢未OA_service肝有地迎JE省斯看麒殳JB蓉甘~—J—-1|1__名荷操作notes厨即时.1血RO4i_S*rwic<丽氏用P2PUa供敝件网路由谀里企,巧有目定幻E务序看目定殳眠苗宙imaiLserb-ice基踵旦tHS赣[|3A_snrKca可用芯〔1131字筑〔MW非利〕顺员AIM*司AnyDSL百虞"百5#融电理B6E.ee*B-jPai*CHARGS^cvr醐JCFTFST炒般笔件大戏DCERPC-*DHCP*DHCP-RehYzJ二・iinabc-sHTTPPOP3OA_servii：esnis_seniKi=!Lw-i"hr—rvir—、些TtoH11_l±J4配置QOS在外网接口，即Untrust口，配置对P2P的下载限制，注意上行带宽要设置为小一点，这样HfllstumHETWHI效果会更好。羔于葬帮助曰毋存炉注销巨重启E陌箕SCWSI:|.||fHfllstumHETWHI箕SCWSI:|.||f*..满EthernetO/1二|，：箕尘域j.untrust)<-nr用疝±\ALMK二］P2PTftAOL百ST寸亏度HL酬定讥B65&e"BGPETZJaPx'PWffl|叫叫05(1F字股SQ¥«itq点混03«S±:：，.；Tr”直r-17,.十*=if+n下壮f：i"_JtAsSQ¥«itq