收藏
下载资源下载资源 加入VIP,免费下载

山石防火墙图文讲解简单配置步骤.docx

上传人:b****8 文档编号:9179164 上传时间:2023-05-17 格式:DOCX 页数:14 大小:2.99MB
下载 相关 举报
山石防火墙图文讲解简单配置步骤.docx_第1页
第1页 / 共14页
山石防火墙图文讲解简单配置步骤.docx_第2页
第2页 / 共14页
山石防火墙图文讲解简单配置步骤.docx_第3页
第3页 / 共14页
山石防火墙图文讲解简单配置步骤.docx_第4页
第4页 / 共14页
山石防火墙图文讲解简单配置步骤.docx_第5页
第5页 / 共14页
山石防火墙图文讲解简单配置步骤.docx_第6页
第6页 / 共14页
山石防火墙图文讲解简单配置步骤.docx_第7页
第7页 / 共14页
山石防火墙图文讲解简单配置步骤.docx_第8页
第8页 / 共14页
山石防火墙图文讲解简单配置步骤.docx_第9页
第9页 / 共14页
山石防火墙图文讲解简单配置步骤.docx_第10页
第10页 / 共14页
山石防火墙图文讲解简单配置步骤.docx_第11页
第11页 / 共14页
山石防火墙图文讲解简单配置步骤.docx_第12页
第12页 / 共14页
山石防火墙图文讲解简单配置步骤.docx_第13页
第13页 / 共14页
山石防火墙图文讲解简单配置步骤.docx_第14页
第14页 / 共14页
亲,该文档总共14页,全部预览完了,如果喜欢就下载吧!
下载资源
资源描述

山石防火墙图文讲解简单配置步骤.docx

《山石防火墙图文讲解简单配置步骤.docx》由会员分享,可在线阅读,更多相关《山石防火墙图文讲解简单配置步骤.docx(14页珍藏版)》请在冰点文库上搜索。

山石防火墙图文讲解简单配置步骤.docx

山石防火墙图文讲解简单配置步骤

 

 

hillstone防火墙配置步骤

(以hillstoneSA5040为例讲解)

 

厦门领航立华科技有限公司

 

目录

1需要从客户方获取的基本信息3

2配置步骤3

2.1配置安全域3

2.2配置接口地址4

2.3配置路由4

2.4配置NAT6

2.4.1源地址NAT6

2.4.2目的地址NAT6

3配置策略8

3.1配置安全域之间的允许策略8

3.1.1配置trust到Untrust的允许所有的策略8

3.1.2配置DMZ到Untrust的允许所有的策略9

3.1.3配置trust到DMZ的允许策略9

3.1.4配置Untrust到DMZ服务器的允许策略10

3.1.5配置Untrust到Trust服务器的允许策略10

3.1.6配置详细策略11

4配置QOS12

5配置SCVPN13

1需要从客户方获取的基本信息

◆部署位置:

互联网出口位置,还是其他,如部署在出口路由器之后等

◆部署方式:

三层接入(需要做NAT,大部分都是这种接入方式),二层透明接入(透明接入不影响客户网络架构),混合接入模式(有几个接口需要配置成透明接口模式,可以支持这种方式)

◆外网出口信息:

几个出口,电信Or网通,外网IP地址资源(多少个),外网网关(防火墙默认路由设置)

◆安全域划分:

一般正常3个安全域,Untrust(外网)、Trust(内网)、Dmz(服务器网段),也可以自定义多个

◆外网接口IP地址:

由客户提供

◆内网口IP地址:

◆如果客户内网有多个网段,建议在客户中心交换机配置独立的VLAN网段,不要与客户内部网段相同。

◆如果客户内网只有1个网段,没有中心交换机,则把防火墙内网口地址设置为客户内网地址段,并作为客户内网网关(适用于中小型网络)

◆DMZ口IP地址:

由客户提供,建议配置成服务器网段的网关;

2配置步骤

2.1配置安全域

默认就有常用的3个安全域了,Trust,Untrust,DMZ

2.2配置接口地址

2.3配置路由

默认路由:

其中指定的接口:

Untrust(外网)接口,如果有多个出口,可以在这选择不同的接口。

其中网关为跟FW互联设备接口的地址,比如59.60.12.33是电信给的出口网关地址。

静态路由:

网关地址为下一跳地址,客户内部有多个VLAN,需要在这配置静态路由,比如客户内部网有172.16.2.0/24,172.168.3.0/24等多网段,可以指定一条静态路由,

Iproute172.16.0.0/16内部核心交换机地址

2.4配置NAT

2.4.1源地址NAT

内部网络访问互联网NAT,选择互联网出口接口为eth0/1,配置接口地址就为NAT地址,并配置动态端口,启用Sticky(启用这个会更好的利用接口的资源)。

(只有配置了源地址NAT,内部网络才能上互联网)

2.4.2目的地址NAT

IP映射,把外网一个IP地址完全映射到内部一台服务器,具体如下,创建IP映射

端口映射,把访问外网某个地址的指定端口映射到内部服务器的指定端口,具体配置如下:

新建——>选择端口映射

3配置策略

3.1配置安全域之间的允许策略

配置初始允许策略(在做测试,或者部署前,首先配置允许策略,让策略先全部允许;测试联通性没问题了,如路由,NAT都没问题了,才来做策略的优化,比如限制允许的服务等)

3.1.1配置trust到Untrust的允许所有的策略

3.1.2配置DMZ到Untrust的允许所有的策略

3.1.3配置trust到DMZ的允许策略

3.1.4配置Untrust到DMZ服务器的允许策略

3.1.5配置Untrust到Trust服务器的允许策略

(有时候我们的客户有需要从Untrust访问Trust内部地址的需求,同样要先做目的NAT,然后配置从Untrust到Trust的允许策略)

3.1.6配置详细策略

配置地址簿

配置服务组,可以自己新建服务组,服务组可以选择预定义好的服务

4配置QOS

在外网接口,即Untrust口,配置对P2P的下载限制,注意上行带宽要设置为小一点,这样效果会更好

5配置SCVPN

先建立一个IPpool不能和内网同一网段

配置SSLvpnhttp端口注意,接口:

untrust隧道路由内网网段,AAA加local

添加SSL登陆用户

Aaa

建立一个SSLvpn的zone

建立一个隧道接口

配置隧道接口安全zone选择刚建立的zoneSSLip地址是和pool一个网段但不能用pool里面的地址,scvpntunnel选择建立的SCVPN名字

建立fromssl域(zone)toanyserviceanypermit的安全策略

Web登陆FWuntrusthttps:

//192.168.1.2:

8888端口匹配

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > IT计算机 > 电脑基础知识

copyright@ 2008-2023 冰点文库 网站版权所有

经营许可证编号:鄂ICP备19020893号-2