HILLSTONE防火墻配置實(shí)例介紹

1、目錄一基本情況介紹11.車管所機(jī)房情況：12.通璟檢測(cè)站：23.風(fēng)順、安運(yùn)檢測(cè)站：24.關(guān)于防火墻的配置方式：25.關(guān)于配置文件：26.關(guān)于授權(quán)證書：4二車管所防火墻配置說明51.第12行：52.第90行，地址薄的設(shè)置：53.第316行，接口的設(shè)置：74.第371行，虛擬路由的配置：95.第381行，策略的配置：10三通璟檢測(cè)站防火墻的配置：131.第83行，地址薄的設(shè)置：132.第290行，接口的配置：143.第312行，虛擬路由的設(shè)置：154.第317行，策略的配置：16四風(fēng)順檢測(cè)站防火墻的配置：171.第86行，地址薄的配置：172.第305行，接口的配置：183.第328行，虛擬路由的

2、配置：194.第335行，策略的設(shè)置：21五總結(jié)22一基本情況介紹本文檔適用于hillstone sg-6000 m2105(車管所)和hillstone sg-6000 nav20（檢測(cè)站），網(wǎng)絡(luò)連接方式為車管所與檢測(cè)站防火墻用網(wǎng)線直連、車管所與檢測(cè)站防火墻在同一公安網(wǎng)ip段內(nèi)兩種。具體配置如下：1車管所機(jī)房情況：數(shù)據(jù)服務(wù)器、應(yīng)用/通訊服務(wù)器、hillstone防火墻、審核電腦1/2的ip分別8/62/68/36/37，系統(tǒng)管理員給的ip地址格式為：；防火墻配置完畢后，車管所服務(wù)器設(shè)置的ip格式為：webserviceip:3。2.通璟檢測(cè)站：局

3、域網(wǎng)ip地址為192.168.11.*段，網(wǎng)關(guān)。因?yàn)榫嚯x短，有一條一百多米網(wǎng)線直接通到車管所機(jī)房。站點(diǎn)服務(wù)器、簽證申請(qǐng)崗、查驗(yàn)崗、無線路由、pda、檢測(cè)線主控、登錄機(jī)等都接在交換機(jī)上，然后交換機(jī)接網(wǎng)線到hillstone防火墻的0/1口，到車管所機(jī)房的網(wǎng)線接防火墻0/0口。3.風(fēng)順、安運(yùn)檢測(cè)站：ip段分別是192.168.12.*和192.168.13.*，網(wǎng)關(guān)分別是和。兩個(gè)站都是依靠著當(dāng)?shù)氐慕痪箨?duì)，直接把大隊(duì)公安網(wǎng)接網(wǎng)線到檢測(cè)站防火墻的0/0口。因?yàn)榻痪箨?duì)和交警支隊(duì)車管所的ip都是一個(gè)網(wǎng)段（10.137.186.*）

4、，所以兩個(gè)站防火墻的0/0口ip分別是7和67。4.關(guān)于防火墻的配置方式：第一種是訪問防火墻的默認(rèn)ip，輸入用戶名、密碼，在配置頁面進(jìn)行配置，一般是按照地址薄、接口、目的路由、策略的順序進(jìn)行配置；（注意設(shè)置完要保存配置）第二種是上傳已設(shè)置好的配置文件，然后設(shè)置生效，重啟（約2-3分鐘）。5.關(guān)于配置文件：在“系統(tǒng)”-“配置”頁面有本防火墻的配置文件，可上傳新的配置文件、現(xiàn)在當(dāng)前的配置文件。但下載下來的是dat文件，使用的是unicode編碼，用記事本打開是亂碼?？蓪ⅰ跋到y(tǒng)”-“配置”頁面的配置命令復(fù)制，新建文本文檔，粘貼，另存為，將編碼選為unicode，選“是”確認(rèn)。

5、這樣在新建的txt文檔中就可以編輯配置命令，又保證編碼格式是unicode（不出亂碼）。6.關(guān)于授權(quán)證書：防火墻啟用后有個(gè)試用期限，應(yīng)當(dāng)跟采購部要廠家給的永久使用授權(quán)證書。二車管所防火墻配置說明我只將需要配置的命令段作說明。1.第12行：“password +wfd5cq1jurjq6detwjldaqqmj”，這個(gè)密碼應(yīng)該是個(gè)加密的東西，最好遵照原始文件的配置，不要更換，以防出錯(cuò)。2.第90行，地址薄的設(shè)置：address 通璟檢測(cè)站 reference-zone trust range 54exitaddress 浮梁風(fēng)順檢測(cè)站 refer

6、ence-zone trust range 54exitaddress 樂平安運(yùn)檢測(cè)站 reference-zone trust range 54exitaddress 備用檢測(cè)站 reference-zone trust range 54exitaddress 調(diào)用地址 reference-zone trust range 54exit這段是設(shè)置地址?。▌e名+地址范圍）上圖中，代碼是添加了上邊的通璟

7、檢測(cè)站、風(fēng)順檢測(cè)站、安運(yùn)檢測(cè)站、備用監(jiān)測(cè)站和調(diào)用地址5個(gè)地址薄，下邊的是自動(dòng)顯示的5個(gè)已設(shè)置好接口的ip設(shè)置。（后文“接口”有介紹）“ethernet0/0 8/32”意思是車管所防火墻0/0口的ip設(shè)為8；“ethernet0/0_subnet 8/24”意思是車管所防火墻0/0口所在的是10.137.186.網(wǎng)段。3.第316行，接口的設(shè)置：interface ethernet0/0 zone trust ip address 8 manage ssh manage

8、telnet manage ping manage snmp manage http manage httpsexitinterface ethernet0/1 zone trust ip address manage telnet manage ssh manage ping manage http manage https manage snmpexitinterface ethernet0/2 zone trust ip address manage telnet manage

9、 ssh manage ping manage http manage https manage snmpexitinterface ethernet0/3 zone trust ip address manage telnet manage ssh manage ping manage http manage https manage snmpexitinterface ethernet0/4 zone trust ip address manage telnet manage s

10、sh manage ping manage http manage https manage snmpexit車管所的防火墻有5個(gè)接口，分別是ethernet0/0、ethernet0/1、ethernet0/2、ethernet0/3、ethernet0/4。其中ethernet0/0接口是直接連公安網(wǎng)交換機(jī)的，設(shè)的ip是8 ；ethernet0/1口是接通璟檢測(cè)站ethernet0/0口出來的網(wǎng)線，給的ip是 ；ethernet0/2、ethernet0/3、ethernet0/4這三個(gè)原

11、本設(shè)想的是四個(gè)檢測(cè)站都是直連光纖到車管所防火墻，但風(fēng)順、樂平使用不同的接入模式，所以這三個(gè)接口設(shè)置在這里沒有使用。風(fēng)順和安運(yùn)檢測(cè)站的防火墻ethernet0/0設(shè)的是公安網(wǎng)的ip，直接接入當(dāng)?shù)亟痪箨?duì)的公安網(wǎng)交換機(jī)。并且這倆防火墻的ip跟交警支隊(duì)車管所的ip都是10.137.186.*（假若當(dāng)?shù)亟痪箨?duì)是不同于10.137.186.*的ip地址，則可添加虛擬路由跳轉(zhuǎn)）。上圖可看到，車管所防火墻的5個(gè)接口ip都配置了，但是（物理狀態(tài)）只用到了ethernet0/0口和ethernet0/1口，ip分別為8、。4.第371行，虛擬路由的配置：ip

12、vrouter trust-vr snatrule id 1 from any to any eif ethernet0/0 trans-to eif-ip mode dynamicport ip route /24 ip route /24 ip route /24 ip route /24 ip route /24 49exit其中“sna

13、trule id 1 from any to any eif ethernet0/0 trans-to eif-ip mode dynamicport”這句是“防火墻”-“nat”-“源nat”頁面的配置?！?ip route /24 ip route /24 ip route /24 ip route /24 ip route /24 49”

14、這段是“網(wǎng)絡(luò)”-“路由”-“目的路由”的設(shè)置。若車管所（10.137.186.*地址段）要跟不同的地址段（如3、192.168.11.*）通訊，需要添加虛擬路由，通過要網(wǎng)關(guān)跳轉(zhuǎn)訪問。在上圖中，“狀態(tài)”一欄，我們看到綠色活動(dòng)的只有6個(gè)，有3個(gè)未啟用；再看“協(xié)議”一欄，“主機(jī)”和“直連”都是配置接口完畢后自動(dòng)生成的，“靜態(tài)”一欄只有2個(gè)。一個(gè)是接入公安網(wǎng)交換機(jī)的ethernet0/0口。本來通訊服務(wù)器（2）的網(wǎng)關(guān)是49，是可以直接從webserviceip（3）調(diào)取公安網(wǎng)機(jī)動(dòng)車基本信息；現(xiàn)在將通訊服務(wù)器的網(wǎng)

15、關(guān)設(shè)為車管所防火墻ethernet0/0口的ip（8），在這里就添加一個(gè)49的網(wǎng)關(guān)跳到10.136.46.*段，去獲取公安網(wǎng)機(jī)動(dòng)車基本信息。另一個(gè)ethernet0/1口（ip設(shè)為）是與通璟檢測(cè)站的防火墻的ethernet0/0口連接的。這里設(shè)置的是10.137.186.*網(wǎng)段的機(jī)器要去訪問通璟檢測(cè)站192.168.11.*網(wǎng)段的機(jī)器，就要加一個(gè)這個(gè)網(wǎng)關(guān)，也就是通璟檢測(cè)站的防火墻的ethernet0/0的ip?？梢赃@么理解，邏輯不一定正確，但結(jié)果真確：防火墻的不同接口相當(dāng)于服務(wù)器上同時(shí)有幾個(gè)網(wǎng)卡

16、，不同網(wǎng)卡的網(wǎng)段是可以相互通信的。車管所的0/0、0/1口接入的網(wǎng)段分別是10.137.186.*和192.168.200.*這兩個(gè)網(wǎng)段的機(jī)器是可以相互通信的；通璟檢測(cè)站的0/0、0/1口接入的網(wǎng)段分別是192.168.200.*和192.168.11.*這兩個(gè)網(wǎng)段的機(jī)器是可以相互通信的；風(fēng)順檢測(cè)站的0/0、0/1口接入的網(wǎng)段分別是10.137.186.*和192.168.12.*這兩個(gè)網(wǎng)段的機(jī)器是可以相互通信的。這樣子：車管所的機(jī)器要訪問通璟檢測(cè)站的機(jī)器，需要在0/1口添加一個(gè)目的地址是、跳轉(zhuǎn)網(wǎng)關(guān)是通璟防火墻0/0口的ip的虛擬路由；車管所的機(jī)器要訪問風(fēng)順檢測(cè)站的機(jī)器

17、就不用添加虛擬路由，可直接訪問；通璟檢測(cè)站的機(jī)器要訪問車管所的機(jī)器，需要在0/0口添加一個(gè)目的地址是、跳轉(zhuǎn)網(wǎng)關(guān)是車管所防火墻0/1口的ip的虛擬路由；風(fēng)順檢測(cè)站的機(jī)器要訪問車管所的機(jī)器，不用添加虛擬路由，可直接訪問。當(dāng)然通璟檢測(cè)站機(jī)器要訪問webserviceip的機(jī)器，還需在0/0口添加一個(gè)目的地址是3.0、跳轉(zhuǎn)網(wǎng)關(guān)是車管所防火墻0/1口的ip的虛擬路由，而車管所已經(jīng)有一個(gè)0/0口、目的地址是、跳轉(zhuǎn)網(wǎng)關(guān)是49的虛擬路由，這樣通璟的機(jī)器跳轉(zhuǎn)兩次網(wǎng)關(guān)就可訪問webserviceip的機(jī)器；風(fēng)順的防火墻就是

18、公安網(wǎng)的ip，要訪問webserviceip的機(jī)器直接跟車管所防火墻一樣在0/0口添加一個(gè)目的地址是、跳轉(zhuǎn)網(wǎng)關(guān)是49的虛擬路由。5.第381行，策略的配置：policy from trust to trust rule id 2 action permit disable src-addr 浮梁風(fēng)順檢測(cè)站 dst-addr ipv4.ethernet0/0_subnet service any exit rule id 3 action permit disable src-addr 樂平安運(yùn)檢測(cè)站 dst-addr ipv4.ethernet0/

19、0_subnet service any exit rule id 4 action permit disable src-addr 備用檢測(cè)站 dst-addr ipv4.ethernet0/0_subnet service any exit rule id 10 action permit disable src-addr 通璟檢測(cè)站 dst-addr ipv4.ethernet0/0_subnet service any exit rule id 11 action permit disable src-addr ipv4.ethernet0/0_subnet dst-addr 通璟檢測(cè)

20、站 service any exit rule id 1 action permit disable src-addr ipv4.ethernet0/0_subnet dst-addr 浮梁風(fēng)順檢測(cè)站 service any exit rule id 5 action permit disable src-addr ipv4.ethernet0/0_subnet dst-addr 樂平安運(yùn)檢測(cè)站 service any exit rule id 6 action permit disable src-addr ipv4.ethernet0/0_subnet dst-addr 備用檢測(cè)站 ser

21、vice any exit rule id 7 action permit disable src-addr ipv4.ethernet0/0_subnet dst-addr 調(diào)用地址 service any exit rule id 8 action permit src-addr any dst-addr any service any exit這里設(shè)置的是通璟檢測(cè)站、風(fēng)順檢測(cè)站、安運(yùn)檢測(cè)站、備用檢測(cè)站的機(jī)器可以訪問車管所防火墻0/0口所在的子網(wǎng)段ipv4.ethernet0/0_subnet的機(jī)器，反過來車管所防火墻0/0口所在的子網(wǎng)段ipv4.ethernet0/0_subnet的機(jī)器

22、可以訪問通璟檢測(cè)站、風(fēng)順檢測(cè)站、安運(yùn)檢測(cè)站、備用檢測(cè)站和調(diào)用地址的機(jī)器。rule8是說來回誰都可以訪問誰，沒有限制。上圖我們可以看到我們只啟用了rule8，也就是沒有限制，any到any。三通璟檢測(cè)站防火墻的配置：1.第83行，地址薄的設(shè)置：address 車管所 reference-zone trust range 54 range 54exitpki trust-domain trust_domain_default keypair default-key enrollment self sub

23、ject commonname sg-6000 subject organization hillstone networksexit地址薄只設(shè)置了一個(gè)“車管所”，包括“ 54”和“ 54”兩個(gè)ip段。2.第290行，接口的配置：interface ethernet0/0 zone trust ip address manage ssh manage telnet manage ping manage snmp manage http manage

24、 httpsexitinterface ethernet0/1 zone trust ip address manage telnet manage ssh manage ping manage http manage https manage snmpexit這里設(shè)置通璟檢測(cè)站ethernet0/0口的ip是 （車管所防火墻的ethernet0/1口的ip是 ），ethernet0/1口的ip是 255.255.

25、255.0。3.第312行，虛擬路由的設(shè)置：ip vrouter trust-vr ip route /24 ip route /24 exit這里的意思是通璟檢測(cè)站的機(jī)器（192.168.11.*）要訪問10.137.186.*段和10.136.46.*段的公安網(wǎng)機(jī)器的話，得先跳轉(zhuǎn)到車管所防火墻，然后再跳轉(zhuǎn)車管所防火墻配置的虛擬路由的網(wǎng)關(guān)49去訪問10.137.186.*段和10.136.46.*段的公安網(wǎng)機(jī)器。4.第317行，策略的配置：po

26、licy from trust to trust rule id 4 action permit disable src-addr 車管所 dst-addr ipv4.ethernet0/1_subnet service any exit rule id 1 action permit disable src-addr ipv4.ethernet0/1_subnet dst-addr 車管所 service any exit rule id 2 action permit src-addr any dst-addr any service any exit就是“車管所”這個(gè)地址薄的機(jī)器可以訪問

27、ipv4.ethernet0/1_subnet這個(gè)子網(wǎng)下的機(jī)器（192.168.11.*），反過來一樣可以；還有個(gè)any到any。這里我們啟用的是any到any。四風(fēng)順檢測(cè)站防火墻的配置：1.第86行，地址薄的配置：address 車管所 reference-zone trust range 54exitaddress fs reference-zone trust ip /24 range 5 5 range 00 03ex

28、itaddress cgs reference-zone trust range 54 range 54 range 7 0exit這里配了3個(gè)地址薄。車管所的地址是“ 54”； fs的地址有/24、 5 5、 00 03這三個(gè)；cgs有 10.137.186.

29、254、 54和7 0三個(gè)。u但“車管所”那個(gè)地址薄是包含在“cgs”那個(gè)地址薄中的，所以是多余的，在“策略”截圖中可看到并沒用啟用“車管所”這個(gè)地址。2.第305行，接口的配置： interface ethernet0/0 zone trust ip address 7 manage ssh manage telnet manage ping manage snmp manage http manage httpsexitinterface eth

30、ernet0/1 zone trust ip address manage telnet manage ssh manage ping manage http manage https manage snmpexit設(shè)置了ethernet0/0口的ip是7 ，ethernet0/1的ip是 3.第328行，虛擬路由的配置：ip vrouter trust-vr snatrule id 1 from fs to any eif ethernet0/0 trans-to eif-ip mode dynamicport ip route /24 ip route /24 49 ip route /24 49exit其中“snatrule id 1 from fs to any eif ethernet0/0 trans-to eif-ip mode dynamicport”是“防火墻”-“nat”-“源nat”的配置：“ip route