hillstone防火墙配置实例介绍.docVIP

目录 一．基本情况介绍 1 1.车管所机房情况： 1 2.通璟检测站： 2 3.风顺、安运检测站： 2 4.关于防火墙的配置方式： 2 5.关于配置文件： 2 6.关于授权证书： 4 二．车管所防火墙配置说明 5 1.第12行： 5 2.第90行，地址薄的设置： 5 3.第316行，接口的设置： 7 4.第371行，虚拟路由的配置： 9 5.第381行，策略的配置： 10 三．通璟检测站防火墙的配置： 13 1.第83行，地址薄的设置： 13 2.第290行，接口的配置： 14 3.第312行，虚拟路由的设置： 15 4.第317行，策略的配置： 16 四．风顺检测站防火墙的配置： 17 1.第86行，地址薄的配置： 17 2.第305行，接口的配置： 18 3.第328行，虚拟路由的配置： 19 4.第335行，策略的设置： 21 五．总结 22 一．基本情况介绍 本文档适用于HillStone SG-6000 M2105(车管所)和HillStone SG-6000 NAV20（检测站），网络连接方式为车管所与检测站防火墙用网线直连、车管所与检测站防火墙在同一公安网IP段内两种。具体配置如下： 1．车管所机房情况： 数据服务器、应用/通讯服务器、hillstone防火墙、审核电脑1/2的IP分别8/62/68/36/37，系统管理员给的IP地址格式为： ； 防火墙配置完毕后，车管所服务器设置的IP格式为： webserviceIP:3。 2.通璟检测站： 局域网IP地址为192.168.11.*段，网关。因为距离短，有一条一百多米网线直接通到车管所机房。站点服务器、签证申请岗、查验岗、无线路由、PDA、检测线主控、登录机等都接在交换机上，然后交换机接网线到hillstone防火墙的0/1口，到车管所机房的网线接防火墙0/0口。 3.风顺、安运检测站： IP段分别是192.168.12.*和192.168.13.*，网关分别是和。两个站都是依靠着当地的交警大队，直接把大队公安网接网线到检测站防火墙的0/0口。因为交警大队和交警支队车管所的IP都是一个网段（10.137.186.*），所以两个站防火墙的0/0口IP分别是7和67。 4.关于防火墙的配置方式： 第一种是访问防火墙的默认IP，输入用户名、密码，在配置页面进行配置，一般是按照地址薄、接口、目的路由、策略的顺序进行配置；（注意设置完要保存配置） 第二种是上传已设置好的配置文件，然后设置生效，重启（约2-3分钟）。 5.关于配置文件： 在“系统”-“配置”页面有本防火墙的配置文件，可上传新的配置文件、现在当前的配置文件。 但下载下来的是DAT文件，使用的是Unicode编码，用记事本打开是乱码。可将“系统”-“配置”页面的配置命令复制，新建文本文档，粘贴，另存为，将编码选为unicode，选“是”确认。 这样在新建的TXT文档中就可以编辑配置命令，又保证编码格式是unicode（不出乱码）。 6.关于授权证书： 防火墙启用后有个试用期限，应当跟采购部要厂家给的永久使用授权证书。 二．车管所防火墙配置说明 我只将需要配置的命令段作说明。 1.第12行： “password +Wfd5CQ1JURJQ6DEtWjldaQQmj”，这个密码应该是个加密的东西，最好遵照原始文件的配置，不要更换，以防出错。 2.第90行，地址薄的设置： address 通璟检测站 reference-zone trust range 54 exit address 浮梁风顺检测站 reference-zone trust range 54 exit address 乐平安运检测站 reference-zone trust range 54 exit address 备用检测站 reference-zone trust range 54 exit address 调用地址 reference-zone trust range 54 exit 这段是设置地址薄（别名+地址范围） 上图中，代码是添加了上边的通璟检测站、风顺检测站、安运检测站、备用监测站和调用地址5个地址薄，下边的是自动显示的5个已设置好接口的IP设置。（后文“接口”有介绍） “ethernet0/0 8/32”意思是车管所防火墙0/0口的IP设为8； “ethernet0/0_subnet 8/24”意思是车管所防火墙0/0口所在的是10.137.186.网段。 3.第316行，接口的设置： interface ethernet0/0 zone trust ip address 8 manage ssh manage telnet manage ping