HILLSTONE防火墻配置實例介紹

1、目錄一基本情況介紹11.車管所機房情況：12.通璟檢測站：23.風順、安運檢測站：24.關(guān)于防火墻的配置方式：25.關(guān)于配置文件：26.關(guān)于授權(quán)證書：4二車管所防火墻配置說明51.第12行：52.第90行，地址薄的設(shè)置：53.第316行，接口的設(shè)置：74.第371行，虛擬路由的配置：95.第381行，策略的配置：10三通璟檢測站防火墻的配置：131.第83行，地址薄的設(shè)置：132.第290行，接口的配置：143.第312行，虛擬路由的設(shè)置：154.第317行，策略的配置：16四風順檢測站防火墻的配置：171.第86行，地址薄的配置：172.第305行，接口的配置：183.第328行，虛擬路由的

2、配置：194.第335行，策略的設(shè)置：21五總結(jié)22一基本情況介紹本文檔適用于hillstone sg-6000 m2105(車管所)和hillstone sg-6000 nav20（檢測站），網(wǎng)絡(luò)連接方式為車管所與檢測站防火墻用網(wǎng)線直連、車管所與檢測站防火墻在同一公安網(wǎng)ip段內(nèi)兩種。具體配置如下：1車管所機房情況：數(shù)據(jù)服務(wù)器、應用/通訊服務(wù)器、hillstone防火墻、審核電腦1/2的ip分別8/62/68/36/37，系統(tǒng)管理員給的ip地址格式為：；防火墻配置完畢后，車管所服務(wù)器設(shè)置的ip格式為：webserviceip:3。2.通璟檢測站：局

3、域網(wǎng)ip地址為192.168.11.*段，網(wǎng)關(guān)。因為距離短，有一條一百多米網(wǎng)線直接通到車管所機房。站點服務(wù)器、簽證申請崗、查驗崗、無線路由、pda、檢測線主控、登錄機等都接在交換機上，然后交換機接網(wǎng)線到hillstone防火墻的0/1口，到車管所機房的網(wǎng)線接防火墻0/0口。3.風順、安運檢測站：ip段分別是192.168.12.*和192.168.13.*，網(wǎng)關(guān)分別是和。兩個站都是依靠著當?shù)氐慕痪箨?，直接把大隊公安網(wǎng)接網(wǎng)線到檢測站防火墻的0/0口。因為交警大隊和交警支隊車管所的ip都是一個網(wǎng)段（10.137.186.*）

4、，所以兩個站防火墻的0/0口ip分別是7和67。4.關(guān)于防火墻的配置方式：第一種是訪問防火墻的默認ip，輸入用戶名、密碼，在配置頁面進行配置，一般是按照地址薄、接口、目的路由、策略的順序進行配置；（注意設(shè)置完要保存配置）第二種是上傳已設(shè)置好的配置文件，然后設(shè)置生效，重啟（約2-3分鐘）。5.關(guān)于配置文件：在“系統(tǒng)”-“配置”頁面有本防火墻的配置文件，可上傳新的配置文件、現(xiàn)在當前的配置文件。但下載下來的是dat文件，使用的是unicode編碼，用記事本打開是亂碼?？蓪ⅰ跋到y(tǒng)”-“配置”頁面的配置命令復制，新建文本文檔，粘貼，另存為，將編碼選為unicode，選“是”確認。

5、這樣在新建的txt文檔中就可以編輯配置命令，又保證編碼格式是unicode（不出亂碼）。6.關(guān)于授權(quán)證書：防火墻啟用后有個試用期限，應當跟采購部要廠家給的永久使用授權(quán)證書。二車管所防火墻配置說明我只將需要配置的命令段作說明。1.第12行：“password +wfd5cq1jurjq6detwjldaqqmj”，這個密碼應該是個加密的東西，最好遵照原始文件的配置，不要更換，以防出錯。2.第90行，地址薄的設(shè)置：address 通璟檢測站 reference-zone trust range 54exitaddress 浮梁風順檢測站 refer

6、ence-zone trust range 54exitaddress 樂平安運檢測站 reference-zone trust range 54exitaddress 備用檢測站 reference-zone trust range 54exitaddress 調(diào)用地址 reference-zone trust range 54exit這段是設(shè)置地址?。▌e名+地址范圍）上圖中，代碼是添加了上邊的通璟

7、檢測站、風順檢測站、安運檢測站、備用監(jiān)測站和調(diào)用地址5個地址薄，下邊的是自動顯示的5個已設(shè)置好接口的ip設(shè)置。（后文“接口”有介紹）“ethernet0/0 8/32”意思是車管所防火墻0/0口的ip設(shè)為8；“ethernet0/0_subnet 8/24”意思是車管所防火墻0/0口所在的是10.137.186.網(wǎng)段。3.第316行，接口的設(shè)置：interface ethernet0/0 zone trust ip address 8 manage ssh manage

8、telnet manage ping manage snmp manage http manage httpsexitinterface ethernet0/1 zone trust ip address manage telnet manage ssh manage ping manage http manage https manage snmpexitinterface ethernet0/2 zone trust ip address manage telnet manage

9、 ssh manage ping manage http manage https manage snmpexitinterface ethernet0/3 zone trust ip address manage telnet manage ssh manage ping manage http manage https manage snmpexitinterface ethernet0/4 zone trust ip address manage telnet manage s

10、sh manage ping manage http manage https manage snmpexit車管所的防火墻有5個接口，分別是ethernet0/0、ethernet0/1、ethernet0/2、ethernet0/3、ethernet0/4。其中ethernet0/0接口是直接連公安網(wǎng)交換機的，設(shè)的ip是8 ；ethernet0/1口是接通璟檢測站ethernet0/0口出來的網(wǎng)線，給的ip是 ；ethernet0/2、ethernet0/3、ethernet0/4這三個原

11、本設(shè)想的是四個檢測站都是直連光纖到車管所防火墻，但風順、樂平使用不同的接入模式，所以這三個接口設(shè)置在這里沒有使用。風順和安運檢測站的防火墻ethernet0/0設(shè)的是公安網(wǎng)的ip，直接接入當?shù)亟痪箨牭墓簿W(wǎng)交換機。并且這倆防火墻的ip跟交警支隊車管所的ip都是10.137.186.*（假若當?shù)亟痪箨犑遣煌?0.137.186.*的ip地址，則可添加虛擬路由跳轉(zhuǎn)）。上圖可看到，車管所防火墻的5個接口ip都配置了，但是（物理狀態(tài)）只用到了ethernet0/0口和ethernet0/1口，ip分別為8、。4.第371行，虛擬路由的配置：ip

12、vrouter trust-vr snatrule id 1 from any to any eif ethernet0/0 trans-to eif-ip mode dynamicport ip route /24 ip route /24 ip route /24 ip route /24 ip route /24 49exit其中“sna

13、trule id 1 from any to any eif ethernet0/0 trans-to eif-ip mode dynamicport”這句是“防火墻”-“nat”-“源nat”頁面的配置?！?ip route /24 ip route /24 ip route /24 ip route /24 ip route /24 49”

14、這段是“網(wǎng)絡(luò)”-“路由”-“目的路由”的設(shè)置。若車管所（10.137.186.*地址段）要跟不同的地址段（如3、192.168.11.*）通訊，需要添加虛擬路由，通過要網(wǎng)關(guān)跳轉(zhuǎn)訪問。在上圖中，“狀態(tài)”一欄，我們看到綠色活動的只有6個，有3個未啟用；再看“協(xié)議”一欄，“主機”和“直連”都是配置接口完畢后自動生成的，“靜態(tài)”一欄只有2個。一個是接入公安網(wǎng)交換機的ethernet0/0口。本來通訊服務(wù)器（2）的網(wǎng)關(guān)是49，是可以直接從webserviceip（3）調(diào)取公安網(wǎng)機動車基本信息；現(xiàn)在將通訊服務(wù)器的網(wǎng)

15、關(guān)設(shè)為車管所防火墻ethernet0/0口的ip（8），在這里就添加一個49的網(wǎng)關(guān)跳到10.136.46.*段，去獲取公安網(wǎng)機動車基本信息。另一個ethernet0/1口（ip設(shè)為）是與通璟檢測站的防火墻的ethernet0/0口連接的。這里設(shè)置的是10.137.186.*網(wǎng)段的機器要去訪問通璟檢測站192.168.11.*網(wǎng)段的機器，就要加一個這個網(wǎng)關(guān)，也就是通璟檢測站的防火墻的ethernet0/0的ip。可以這么理解，邏輯不一定正確，但結(jié)果真確：防火墻的不同接口相當于服務(wù)器上同時有幾個網(wǎng)卡

16、，不同網(wǎng)卡的網(wǎng)段是可以相互通信的。車管所的0/0、0/1口接入的網(wǎng)段分別是10.137.186.*和192.168.200.*這兩個網(wǎng)段的機器是可以相互通信的；通璟檢測站的0/0、0/1口接入的網(wǎng)段分別是192.168.200.*和192.168.11.*這兩個網(wǎng)段的機器是可以相互通信的；風順檢測站的0/0、0/1口接入的網(wǎng)段分別是10.137.186.*和192.168.12.*這兩個網(wǎng)段的機器是可以相互通信的。這樣子：車管所的機器要訪問通璟檢測站的機器，需要在0/1口添加一個目的地址是、跳轉(zhuǎn)網(wǎng)關(guān)是通璟防火墻0/0口的ip的虛擬路由；車管所的機器要訪問風順檢測站的機器

17、就不用添加虛擬路由，可直接訪問；通璟檢測站的機器要訪問車管所的機器，需要在0/0口添加一個目的地址是、跳轉(zhuǎn)網(wǎng)關(guān)是車管所防火墻0/1口的ip的虛擬路由；風順檢測站的機器要訪問車管所的機器，不用添加虛擬路由，可直接訪問。當然通璟檢測站機器要訪問webserviceip的機器，還需在0/0口添加一個目的地址是3.0、跳轉(zhuǎn)網(wǎng)關(guān)是車管所防火墻0/1口的ip的虛擬路由，而車管所已經(jīng)有一個0/0口、目的地址是、跳轉(zhuǎn)網(wǎng)關(guān)是49的虛擬路由，這樣通璟的機器跳轉(zhuǎn)兩次網(wǎng)關(guān)就可訪問webserviceip的機器；風順的防火墻就是

18、公安網(wǎng)的ip，要訪問webserviceip的機器直接跟車管所防火墻一樣在0/0口添加一個目的地址是、跳轉(zhuǎn)網(wǎng)關(guān)是49的虛擬路由。5.第381行，策略的配置：policy from trust to trust rule id 2 action permit disable src-addr 浮梁風順檢測站 dst-addr ipv4.ethernet0/0_subnet service any exit rule id 3 action permit disable src-addr 樂平安運檢測站 dst-addr ipv4.ethernet0/

19、0_subnet service any exit rule id 4 action permit disable src-addr 備用檢測站 dst-addr ipv4.ethernet0/0_subnet service any exit rule id 10 action permit disable src-addr 通璟檢測站 dst-addr ipv4.ethernet0/0_subnet service any exit rule id 11 action permit disable src-addr ipv4.ethernet0/0_subnet dst-addr 通璟檢測

20、站 service any exit rule id 1 action permit disable src-addr ipv4.ethernet0/0_subnet dst-addr 浮梁風順檢測站 service any exit rule id 5 action permit disable src-addr ipv4.ethernet0/0_subnet dst-addr 樂平安運檢測站 service any exit rule id 6 action permit disable src-addr ipv4.ethernet0/0_subnet dst-addr 備用檢測站 ser

21、vice any exit rule id 7 action permit disable src-addr ipv4.ethernet0/0_subnet dst-addr 調(diào)用地址 service any exit rule id 8 action permit src-addr any dst-addr any service any exit這里設(shè)置的是通璟檢測站、風順檢測站、安運檢測站、備用檢測站的機器可以訪問車管所防火墻0/0口所在的子網(wǎng)段ipv4.ethernet0/0_subnet的機器，反過來車管所防火墻0/0口所在的子網(wǎng)段ipv4.ethernet0/0_subnet的機器

22、可以訪問通璟檢測站、風順檢測站、安運檢測站、備用檢測站和調(diào)用地址的機器。rule8是說來回誰都可以訪問誰，沒有限制。上圖我們可以看到我們只啟用了rule8，也就是沒有限制，any到any。三通璟檢測站防火墻的配置：1.第83行，地址薄的設(shè)置：address 車管所 reference-zone trust range 54 range 54exitpki trust-domain trust_domain_default keypair default-key enrollment self sub

23、ject commonname sg-6000 subject organization hillstone networksexit地址薄只設(shè)置了一個“車管所”，包括“ 54”和“ 54”兩個ip段。2.第290行，接口的配置：interface ethernet0/0 zone trust ip address manage ssh manage telnet manage ping manage snmp manage http manage

24、 httpsexitinterface ethernet0/1 zone trust ip address manage telnet manage ssh manage ping manage http manage https manage snmpexit這里設(shè)置通璟檢測站ethernet0/0口的ip是 （車管所防火墻的ethernet0/1口的ip是 ），ethernet0/1口的ip是 255.255.

25、255.0。3.第312行，虛擬路由的設(shè)置：ip vrouter trust-vr ip route /24 ip route /24 exit這里的意思是通璟檢測站的機器（192.168.11.*）要訪問10.137.186.*段和10.136.46.*段的公安網(wǎng)機器的話，得先跳轉(zhuǎn)到車管所防火墻，然后再跳轉(zhuǎn)車管所防火墻配置的虛擬路由的網(wǎng)關(guān)49去訪問10.137.186.*段和10.136.46.*段的公安網(wǎng)機器。4.第317行，策略的配置：po

26、licy from trust to trust rule id 4 action permit disable src-addr 車管所 dst-addr ipv4.ethernet0/1_subnet service any exit rule id 1 action permit disable src-addr ipv4.ethernet0/1_subnet dst-addr 車管所 service any exit rule id 2 action permit src-addr any dst-addr any service any exit就是“車管所”這個地址薄的機器可以訪問

27、ipv4.ethernet0/1_subnet這個子網(wǎng)下的機器（192.168.11.*），反過來一樣可以；還有個any到any。這里我們啟用的是any到any。四風順檢測站防火墻的配置：1.第86行，地址薄的配置：address 車管所 reference-zone trust range 54exitaddress fs reference-zone trust ip /24 range 5 5 range 00 03ex

28、itaddress cgs reference-zone trust range 54 range 54 range 7 0exit這里配了3個地址薄。車管所的地址是“ 54”； fs的地址有/24、 5 5、 00 03這三個；cgs有 10.137.186.

29、254、 54和7 0三個。u但“車管所”那個地址薄是包含在“cgs”那個地址薄中的，所以是多余的，在“策略”截圖中可看到并沒用啟用“車管所”這個地址。2.第305行，接口的配置： interface ethernet0/0 zone trust ip address 7 manage ssh manage telnet manage ping manage snmp manage http manage httpsexitinterface eth

30、ernet0/1 zone trust ip address manage telnet manage ssh manage ping manage http manage https manage snmpexit設(shè)置了ethernet0/0口的ip是7 ，ethernet0/1的ip是 3.第328行，虛擬路由的配置：ip vrouter trust-vr snatrule id 1 from fs to any eif ethernet0/0 trans-to eif-ip mode dynamicport ip route /24 ip route /24 49 ip route /24 49exit其中“snatrule id 1 from fs to any eif ethernet0/0 trans-to eif-ip mode dynamicport”是“防火墻”-“nat”-“源nat”的配置：“ip route