hillstone防火墙配置步骤

(以hillstone SA5040为例讲解)

厦门领航立华科技有限公司

1 需要从客户方获取的基本信息

部署位置：互联网出口位置，还是其他，如部署在出口路由器之后等

部署方式：三层接入（需要做NAT，大部分都是这种接入方式），二层透明接入（透明接入不影响客户网络架构），混合接入模式（有几个接口需要配置成透明接口模式，可以支持这种方式）

外网出口信息：几个出口，电信Or网通，外网IP地址资源（多少个），外网网关（防火墙默认路由设置）

安全域划分：一般正常3个安全域，Untrust（外网）、Trust（内网）、Dmz（服务器网段），也可以自定义多个

外网接口IP地址：由客户提供

内网口IP地址：

如果客户内网有多个网段，建议在客户中心交换机配置独立的VLAN网段，不要与客户内部网段相同。

如果客户内网只有1个网段，没有中心交换机，则把防火墙内网口地址设置为客户内网地址段，并作为客户内网网关（适用于中小型网络）

DMZ口IP地址：由客户提供，建议配置成服务器网段的网关；

2 配置步骤

2.1 配置安全域

默认就有常用的3个安全域了，Trust，Untrust，DMZ

2.2 配置接口地址

2.3 配置路由

默认路由：其中指定的接口：Untrust（外网）接口，如果有多个出口，可以在这选择不同的接口。其中网关为跟FW互联设备接口的地址，比如是电信给的出口网关地址。

静态路由：网关地址为下一跳地址，客户内部有多个VLAN，需要在这配置静态路由，比如客户内部网有 ， 等多网段，可以指定一条静态路由，

Ip route 内部核心交换机地址

2.4 配置NAT

2.4.1 源地址NAT

内部网络访问互联网NAT，选择互联网出口接口为eth0/1，配置接口地址就为NAT地址，并配置动态端口，启用Sticky（启用这个会更好的利用接口的资源）。

（只有配置了源地址NAT，内部网络才能上互联网）

2.4.2 目的地址NAT

IP映射，把外网一个IP地址完全映射到内部一台服务器，具体如下，创建IP映射

端口映射，把访问外网某个地址的指定端口映射到内部服务器的指定端口，具体配置如下：

新建——>选择端口映射

3 配置策略

3.1 配置安全域之间的允许策略

配置初始允许策略（在做测试，或者部署前，首先配置允许策略，让策略先全部允许；测试联通性没问题了，如路由，NAT都没问题了，才来做策略的优化，比如限制允许的服务等）

3.1.1 配置trust到Untrust的允许所有的策略

3.1.2 配置DMZ到Untrust的允许所有的策略

3.1.3 配置trust到DMZ的允许策略

3.1.4 配置Untrust到DMZ服务器的允许策略

3.1.5 配置Untrust到Trust服务器的允许策略

（有时候我们的客户有需要从Untrust访问Trust内部地址的需求，同样要先做目的NAT，然后配置从Untrust到Trust的允许策略）

3.1.6 配置详细策略

配置地址簿

配置服务组，可以自己新建服务组，服务组可以选择预定义好的服务

4 配置QOS

在外网接口，即Untrust口，配置对P2P的下载限制，注意上行带宽要设置为小一点，这样效果会更好

5 配置SCVPN

先建立一个IP pool 不能和内网 同一网段

配置SSL vpn http端口注意， 接口：untrust 隧道路由内网网段，AAA 加local

添加SSL 登陆用户

Aaa

建立一个SSL vpn 的zone

建立一个隧道接口

配置隧道接口 安全zone 选择 刚建立的zoneSSL ip地址是和pool一个网段但不能用pool里面的地址， scvpn tunnel 选择 建立的 SCVPN 名字

建立from ssl域(zone) to any service any permit 的安全策略

Web 登陆FW untrust 端口匹配

山石防火墙图文讲解简单配置步骤