hillstone防火墙配置实例介绍.doc

1、目录一基本情况介绍 11.车管所机房情况： .12.通璟检测站： .23.风顺、安运检测站： .24.关于防火墙的配置方式： .25.关于配置文件： .26.关于授权证书： .4二车管所防火墙配置说明 51.第 12 行： .52.第 90 行，地址薄的设置： .53.第 316 行，接口的设置： .74.第 371 行，虚拟路由的配置： .95.第 381 行，策略的配置： .10三通璟检测站防火墙的配置： 131.第 83 行，地址薄的设置： .132.第 290 行，接口的配置： .143.第 312 行，虚拟路由的设置： .154.第 317 行，策略的配置： .16四风顺检测站防火墙

2、的配置： 171.第 86 行，地址薄的配置： .172.第 305 行，接口的配置： .183.第 328 行，虚拟路由的配置： .194.第 335 行，策略的设置： .21五总结 22一基本情况介绍本文档适用于 HillStone SG-6000 M2105(车管所) 和 HillStone SG-6000 NAV20（检测站），网络连接方式为车管所与检测站防火墙用网线直连、车管所与检测站防火墙在同一公安网 IP 段内两种。具体配置如下：1车管所机房情况：数据服务器、应用/通讯服务器、 hillstone 防火墙、审核电脑 1/2 的 IP 分别10.137.186.78/62/68/3

3、6/37，系统管理员给的 IP 地址格式为：；防火墙配置完毕后，车管所服务器设置的 IP 格式为：webserviceIP:10.136.46.23。2.通璟检测站：局域网 IP 地址为 192.168.11.*段，网关 192.168.11.1。因为距离短，有一条一百多米网线直接通到车管所机房。站点服务器、签证申请岗、查验岗、无线路由、PDA、检测线主控、登录机等都接在交换机上，然后交换机接网线到 hillstone 防火墙的 0/1 口，到车管所机房的网线接防火墙 0/0 口。3.风顺、安运检测站：IP 段分别是 192.168.12.*和 192.168.13.*，网关分别是 192.1

4、68.12.1 和 192.168.13.1。两个站都是依靠着当地的交警大队，直接把大队公安网接网线到检测站防火墙的 0/0 口。因为交警大队和交警支队车管所的 IP 都是一个网段（10.137.186.*） ，所以两个站防火墙的 0/0 口IP 分别是 10.137.186.97 和 67。4.关于防火墙的配置方式：第一种是访问防火墙的默认 IP，输入用户名、密码，在配置页面进行配置，一般是按照地址薄、接口、目的路由、策略的顺序进行配置；（注意设置完要保存配置）第二种是上传已设置好的配置文件，然后设置生效，重启（约 2-3 分钟） 。5.关于配置文件：在“系统”-“配置”页面有本防火墙的配置

5、文件，可上传新的配置文件、现在当前的配置文件。但下载下来的是 DAT 文件，使用的是 Unicode 编码，用记事本打开是乱码。可将“系统”-“配置”页面的配置命令复制，新建文本文档，粘贴，另存为，将编码选为 unicode，选“是”确认。这样在新建的 TXT 文档中就可以编辑配置命令，又保证编码格式是 unicode（不出乱码） 。6.关于授权证书：防火墙启用后有个试用期限，应当跟采购部要厂家给的永久使用授权证书。二车管所防火墙配置说明我只将需要配置的命令段作说明。1.第 12 行：“password +Wfd5CQ1JURJQ6DEtWjldaQQmj”，这个密码应该是个加密的东西，最好遵

6、照原始文件的配置，不要更换，以防出错。2.第 90 行，地址薄的设置：address “通璟检测站“reference-zone “trust“range 192.168.11.1 192.168.11.254exitaddress “浮梁风顺检测站“reference-zone “trust“range 192.168.12.1 192.168.12.254exitaddress “乐平安运检测站“reference-zone “trust“range 192.168.13.1 192.168.13.254exitaddress “备用检测站“reference-zone “trust“ra

7、nge 192.168.14.1 192.168.14.254exitaddress “调用地址“reference-zone “trust“range 10.136.46.1 10.136.46.254exit这段是设置地址薄（别名+地址范围）上图中，代码是添加了上边的通璟检测站、风顺检测站、安运检测站、备用监测站和调用地址 5 个地址薄，下边的是自动显示的 5 个已设置好接口的 IP 设置。 （后文“接口”有介绍）“ethernet0/0 10.137.186.68/32”意思是车管所防火墙 0/0 口的 IP 设为 10.137.186.68；“ethernet0/0_subnet 10

8、.137.186.68/24”意思是车管所防火墙 0/0 口所在的是 10.137.186.网段。3.第 316 行，接口的设置：interface ethernet0/0zone “trust“ip address 10.137.186.68 255.255.255.0manage sshmanage telnetmanage pingmanage snmpmanage httpmanage httpsexitinterface ethernet0/1zone “trust“ip address 192.168.200.1 255.255.255.0manage telnetmanage s

9、shmanage pingmanage httpmanage httpsmanage snmpexitinterface ethernet0/2zone “trust“ip address 192.168.201.1 255.255.255.0manage telnetmanage sshmanage pingmanage httpmanage httpsmanage snmpexitinterface ethernet0/3zone “trust“ip address 192.168.202.1 255.255.255.0manage telnetmanage sshmanage pingm

10、anage httpmanage httpsmanage snmpexitinterface ethernet0/4zone “trust“ip address 192.168.203.1 255.255.255.0manage telnetmanage sshmanage pingmanage httpmanage httpsmanage snmpexit车管所的防火墙有 5 个接口，分别是ethernet0/0、ethernet0/1、ethernet0/2、ethernet0/3、ethernet0/4。其中 ethernet0/0 接口是直接连公安网交换机的，设的 IP 是 10.13

11、7.186.68 255.255.255.0；ethernet0/1 口是接通璟检测站 ethernet0/0 口出来的网线，给的 IP 是 192.168.200.1 255.255.255.0；ethernet0/2 、ethernet0/3 、ethernet0/4 这三个原本设想的是四个检测站都是直连光纤到车管所防火墙，但风顺、乐平使用不同的接入模式，所以这三个接口设置在这里没有使用。风顺和安运检测站的防火墙 ethernet0/0 设的是公安网的 IP，直接接入当地交警大队的公安网交换机。并且这俩防火墙的 IP 跟交警支队车管所的 IP 都是 10.137.186.*（假若当地交警大

12、队是不同于 10.137.186.*的 IP 地址，则可添加虚拟路由跳转） 。上图可看到，车管所防火墙的 5 个接口 IP 都配置了，但是（物理状态）只用到了ethernet0/0 口和 ethernet0/1 口， IP 分别为 10.137.186.68、192.168.200.1。4.第 371 行，虚拟路由的配置：ip vrouter “trust-vr“snatrule id 1 from “Any“ to “Any“ eif ethernet0/0 trans-to eif-ip mode dynamicport ip route 192.168.11.0/24 192.168.2

13、00.2ip route 192.168.12.0/24 192.168.201.2ip route 192.168.13.0/24 192.168.202.2ip route 192.168.14.0/24 192.168.203.2ip route 10.136.46.0/24 10.137.186.249exit其中“snatrule id 1 from “Any“ to “Any“ eif ethernet0/0 trans-to eif-ip mode dynamicport”这句是“防火墙”-“NAT”-“源 NAT”页面的配置。“ ip route 192.168.11.0/24

14、 192.168.200.2ip route 192.168.12.0/24 192.168.201.2ip route 192.168.13.0/24 192.168.202.2ip route 192.168.14.0/24 192.168.203.2ip route 10.136.46.0/24 10.137.186.249”这段是“网络”-“路由”-“目的路由”的设置。若车管所（10.137.186.*地址段）要跟不同的地址段（如10.136.46.23、192.168.11.*）通讯，需要添加虚拟路由，通过要网关跳转访问。在上图中， “状态”一栏，我们看到绿色活动的只有 6 个，有

15、3 个未启用；再看“协议”一栏， “主机”和“直连”都是配置接口完毕后自动生成的， “静态”一栏只有 2 个。一个是接入公安网交换机的 ethernet0/0口。本来通讯服务器（10.137.186.62）的网关是10.137.186.249，是可以直接从 webserviceIP（10.136.46.23）调取公安网机动车基本信息；现在将通讯服务器的网关设为车管所防火墙 ethernet0/0口的 IP（10.137.186.68），在这里就添加一个 10.137.186.249的网关跳到 10.136.46.*段，去获取公安网机动车基本信息。另一个 ethernet0/1口（IP 设为 1

16、92.168.200.1）是与通璟检测站的防火墙的ethernet0/0口连接的。这里设置的是 10.137.186.*网段的机器要去访问通璟检测站192.168.11.*网段的机器，就要加一个 192.168.200.2这个网关，也就是通璟检测站的防火墙的 ethernet0/0的 IP。可以这么理解，逻辑不一定正确，但结果真确：防火墙的不同接口相当于服务器上同时有几个网卡，不同网卡的网段是可以相互通信的。车管所的 0/0、0/1 口接入的网段分别是 10.137.186.*和 192.168.200.*这两个网段的机器是可以相互通信的；通璟检测站的 0/0、0/1 口接入的网段分别是 19

17、2.168.200.*和192.168.11.*这两个网段的机器是可以相互通信的；风顺检测站的 0/0、0/1 口接入的网段分别是 10.137.186.*和 192.168.12.*这两个网段的机器是可以相互通信的。这样子：车管所的机器要访问通璟检测站的机器，需要在 0/1口添加一个目的地址是192.168.11.0、跳转网关是通璟防火墙 0/0口的 IP的虚拟路由；车管所的机器要访问风顺检测站的机器就不用添加虚拟路由，可直接访问；通璟检测站的机器要访问车管所的机器，需要在 0/0口添加一个目的地址是 10.137.186.0、跳转网关是车管所防火墙 0/1口的 IP的虚拟路由；风顺检测站的

18、机器要访问车管所的机器，不用添加虚拟路由，可直接访问。当然通璟检测站机器要访问 webserviceIP的机器，还需在 0/0口添加一个目的地址是10.136.46.23.0、跳转网关是车管所防火墙 0/1口的 IP的虚拟路由，而车管所已经有一个0/0口、目的地址是 10.136.46.0、跳转网关是 10.137.186.249的虚拟路由，这样通璟的机器跳转两次网关就可访问 webserviceIP的机器；风顺的防火墙就是公安网的 IP，要访问 webserviceIP的机器直接跟车管所防火墙一样在 0/0口添加一个目的地址是10.136.46.0、跳转网关是 10.137.186.249的

19、虚拟路由。5.第 381 行，策略的配置：policy from “trust“ to “trust“rule id 2action permitdisablesrc-addr “浮梁风顺检测站“dst-addr “ipv4.ethernet0/0_subnet“service “Any“exitrule id 3action permitdisablesrc-addr “乐平安运检测站“dst-addr “ipv4.ethernet0/0_subnet“service “Any“exitrule id 4action permitdisablesrc-addr “备用检测站“dst-addr

20、 “ipv4.ethernet0/0_subnet“service “Any“exitrule id 10action permitdisablesrc-addr “通璟检测站“dst-addr “ipv4.ethernet0/0_subnet“service “Any“exitrule id 11action permitdisablesrc-addr “ipv4.ethernet0/0_subnet“dst-addr “通璟检测站“service “Any“exitrule id 1action permitdisablesrc-addr “ipv4.ethernet0/0_subnet“

21、dst-addr “浮梁风顺检测站“service “Any“exitrule id 5action permitdisablesrc-addr “ipv4.ethernet0/0_subnet“dst-addr “乐平安运检测站“service “Any“exitrule id 6action permitdisablesrc-addr “ipv4.ethernet0/0_subnet“dst-addr “备用检测站“service “Any“exitrule id 7action permitdisablesrc-addr “ipv4.ethernet0/0_subnet“dst-addr

22、 “调用地址“service “Any“exitrule id 8action permitsrc-addr “Any“dst-addr “Any“service “Any“exit这里设置的是通璟检测站、风顺检测站、安运检测站、备用检测站的机器可以访问车管所防火墙 0/0口所在的子网段“ipv4.ethernet0/0_subnet“的机器，反过来车管所防火墙 0/0口所在的子网段“ipv4.ethernet0/0_subnet“的机器可以访问通璟检测站、风顺检测站、安运检测站、备用检测站和调用地址的机器。Rule8 是说来回谁都可以访问谁，没有限制。上图我们可以看到我们只启用了 rule8

23、，也就是没有限制，any 到 any。三通璟检测站防火墙的配置：1.第 83 行，地址薄的设置：address “车管所“reference-zone “trust“range 10.137.186.1 10.137.186.254range 10.136.46.1 10.136.46.254exitpki trust-domain “trust_domain_default“keypair “Default-Key“enrollment selfsubject commonName “SG-6000“subject organization “Hillstone Networks“exit地

24、址薄只设置了一个“车管所”，包括“10.137.186.1 10.137.186.254”和“10.136.46.1 10.136.46.254”两个 IP段。2.第 290 行，接口的配置：interface ethernet0/0zone “trust“ip address 192.168.200.2 255.255.255.0manage sshmanage telnetmanage pingmanage snmpmanage httpmanage httpsexitinterface ethernet0/1zone “trust“ip address 192.168.11.1 255.

25、255.255.0manage telnetmanage sshmanage pingmanage httpmanage httpsmanage snmpexit这里设置通璟检测站 ethernet0/0口的 IP是 192.168.200.2 255.255.255.0（车管所防火墙的 ethernet0/1口的 IP是 192.168.200.1 255.255.255.0），ethernet0/1 口的 IP是192.168.11.1 255.255.255.0。3.第 312 行，虚拟路由的设置：ip vrouter “trust-vr“ip route 10.137.186.0/24

26、 192.168.200.1ip route 10.136.46.0/24 192.168.200.1exit这里的意思是通璟检测站的机器（192.168.11.*）要访问 10.137.186.*段和 10.136.46.*段的公安网机器的话，得先跳转到车管所防火墙 192.168.200.1，然后再跳转车管所防火墙配置的虚拟路由的网关 10.137.186.249去访问 10.137.186.*段和 10.136.46.*段的公安网机器。4.第 317 行，策略的配置：policy from “trust“ to “trust“rule id 4action permitdisablesr

27、c-addr “车管所“dst-addr “ipv4.ethernet0/1_subnet“service “Any“exitrule id 1action permitdisablesrc-addr “ipv4.ethernet0/1_subnet“dst-addr “车管所“service “Any“exitrule id 2action permitsrc-addr “Any“dst-addr “Any“service “Any“exit就是“车管所”这个地址薄的机器可以访问“ipv4.ethernet0/1_subnet“这个子网下的机器（192.168.11.*），反过来一样可以；还

28、有个 any到 any。这里我们启用的是 any到 any。四风顺检测站防火墙的配置：1.第 86 行，地址薄的配置：address “车管所“reference-zone “trust“range 10.137.186.1 10.137.186.254exitaddress “fs“reference-zone “trust“ip 192.168.12.3/24range 192.168.12.15 192.168.12.25range 192.168.12.100 192.192.12.103exitaddress “cgs“reference-zone “trust“range 10.1

29、37.186.1 10.137.186.254range 10.137.185.1 10.137.185.254range 10.136.46.17 10.136.46.50exit这里配了3个地址薄。“车管所“的地址是“ 10.137.186.1 10.137.186.254”； “fs“的地址有192.168.12.3/24、 192.168.12.15 192.168.12.25、 192.168.12.100 192.192.12.103这三个；“cgs“有10.137.186.1 10.137.186.254、 10.137.185.1 10.137.185.254和10.136.4

30、6.17 10.136.46.50三个。u但“车管所”那个地址薄是包含在“cgs”那个地址薄中的，所以是多余的，在“策略”截图中可看到并没用启用“车管所”这个地址。2.第 305 行，接口的配置：interface ethernet0/0zone “trust“ip address 10.137.186.97 255.255.255.0manage sshmanage telnetmanage pingmanage snmpmanage httpmanage httpsexitinterface ethernet0/1zone “trust“ip address 192.168.12.1 25

31、5.255.255.0manage telnetmanage sshmanage pingmanage httpmanage httpsmanage snmpexit设置了 ethernet0/0口的 IP是 10.137.186.97 255.255.255.0，ethernet0/1 的 IP是 192.168.12.1 255.255.255.03.第 328 行，虚拟路由的配置：ip vrouter “trust-vr“snatrule id 1 from “fs“ to “Any“ eif ethernet0/0 trans-to eif-ip mode dynamicport ip

32、 route 10.137.186.0/24 192.168.201.1ip route 10.136.46.0/24 10.137.186.249ip route 10.137.185.0/24 10.137.186.249exit其中“snatrule id 1 from “fs“ to “Any“ eif ethernet0/0 trans-to eif-ip mode dynamicport”是“防火墙”-“NAT”-“源 NAT”的配置：“ip route 10.137.186.0/24 192.168.201.1ip route 10.136.46.0/24 10.137.186.

33、249ip route 10.137.185.0/24 10.137.186.249”设置了要访问的 IP段和需要跳转的网关。10.137.185.0/24 10.137.186.249 这个配上了，应该是没什么用的。因为本防火墙的 IP是 10.137.186.97，跟支队车管所 IP在同一网段，可直接访问，不用设置虚拟路由。若本防火墙的 IP是公安局等与支队车管所的 IP不在同一网段（例如：10.137.42.61），在这里可加一条“ip route 10.137.186.0/24 10.137.42.61”。4.第 335 行，策略的设置：policy from “trust“ to “

34、trust“rule id 4action permitdisablesrc-addr “车管所“dst-addr “ipv4.ethernet0/1_subnet“service “Any“exitrule id 1action permitdisablesrc-addr “ipv4.ethernet0/1_subnet“dst-addr “车管所“service “Any“exitrule id 2action permitsrc-addr “ipv4.ethernet0/1_subnet“dst-addr “cgs“service “Any“exitrule id 3action per

35、mitsrc-addr “cgs“dst-addr “ipv4.ethernet0/1_subnet“service “Any“exit看上图，因为“车管所”这个地址薄包含在“cgs”中，所以只启用了rule id 2和rule id 3这两个策略。五总结0/0 口 IP 0/1 口 IP 0/0 口目的路由和网关 0/1 口目的路由好网关车管所 10.137.186.68 192.168.200.1 10.136.46.0、10.137.186.249 192.168.11.0、192.168.200.210.136.46.0、192.168.200.2通璟 192.168.200.2 192.168.11.110.137.186.0、192.168.200.2风顺 10.137.186.97 192.168.12.1 10.136.46.0、10.137.186.249