hillstone防火墙配置实例介绍 - 图文

目录

一．基本情况介绍 ............................................................................ 2

1.车管所机房情况： ................................................................................................................ 2 2.通璟检测站： ........................................................................................................................ 2 3.风顺、安运检测站： ............................................................................................................ 2 4.关于防火墙的配置方式： .................................................................................................... 3 5.关于配置文件： .................................................................................................................... 3 6.关于授权证书： .................................................................................................................... 4

二．车管所防火墙配置说明 ............................................................ 5

1.第12行： .............................................................................................................................. 5 2.第90行，地址薄的设置： .................................................................................................. 5 3.第316行，接口的设置： .................................................................................................... 7 4.第371行，虚拟路由的配置： ............................................................................................ 9 5.第381行，策略的配置： .................................................................................................. 11

三．通璟检测站防火墙的配置： .................................................. 13

1.第83行，地址薄的设置： ................................................................................................ 13 2.第290行，接口的配置： .................................................................................................. 14 3.第312行，虚拟路由的设置： .......................................................................................... 15 4.第317行，策略的配置： .................................................................................................. 16

四．风顺检测站防火墙的配置： .................................................. 17

1.第86行，地址薄的配置： ................................................................................................ 17 2.第305行，接口的配置： .................................................................................................. 18 3.第328行，虚拟路由的配置： .......................................................................................... 19 4.第335行，策略的设置： .................................................................................................. 21

五．总结 .......................................................................................... 22

一．基本情况介绍

本文档适用于HillStone SG-6000 M2105(车管所)和HillStone SG-6000 NAV20（检测站），网络连接方式为车管所与检测站防火墙用网线直连、车管所与检测站防火墙在同一公安网IP段内两种。具体配置如下：

1．车管所机房情况：

数据服务器、应用/通讯服务器、hillstone防火墙、审核电脑1/2的IP分别10.137.186.78/62/68/36/37，系统管理员给的IP地址格式为：

；

防火墙配置完毕后，车管所服务器设置的IP格式为：

webserviceIP:10.136.46.23。

2.通璟检测站：

局域网IP地址为192.168.11.*段，网关192.168.11.1。因为距离短，有一条一百多米网线直接通到车管所机房。站点服务器、签证申请岗、查验岗、无线路由、PDA、检测线主控、登录机等都接在交换机上，然后交换机接网线到hillstone防火墙的0/1口，到车管所机房的网线接防火墙0/0口。

3.风顺、安运检测站：

IP段分别是192.168.12.*和192.168.13.*，网关分别是192.168.12.1和192.168.13.1。两个站都是依靠着当地的交警大队，直接把大队公安网接网线到检测站防火墙的0/0口。因为交警大队和交警支队车管所的IP都是一个网段（10.137.186.*），所以两个站防火墙的0/0口IP分别是10.137.186.97和67。

4.关于防火墙的配置方式：

第一种是访问防火墙的默认IP，输入用户名、密码，在配置页面进行配置，一般是按照地址薄、接口、目的路由、策略的顺序进行配置；（注意设置完要保存配置） 第二种是上传已设置好的配置文件，然后设置生效，重启（约2-3分钟）。

5.关于配置文件：

在“系统”-“配置”页面有本防火墙的配置文件，可上传新的配置文件、现在当前的配置文件。

但下载下来的是DAT文件，使用的是Unicode编码，用记事本打开是乱码。可将“系统”-“配置”页面的配置命令复制，新建文本文档，粘贴，另存为，将编码选为unicode，选“是”确认。

这样在新建的TXT文档中就可以编辑配置命令，又保证编码格式是unicode（不出乱码）。

6.关于授权证书：

防火墙启用后有个试用期限，应当跟采购部要厂家给的永久使用授权证书。

二．车管所防火墙配置说明

我只将需要配置的命令段作说明。

1.第12行：

“password +Wfd5CQ1JURJQ6DEtWjldaQQmj”，这个密码应该是个加密的东西，最好遵照原始文件的配置，不要更换，以防出错。

2.第90行，地址薄的设置：

address \通璟检测站\ reference-zone \

range 192.168.11.1 192.168.11.254 exit

address \浮梁风顺检测站\ reference-zone \

range 192.168.12.1 192.168.12.254 exit

address \乐平安运检测站\ reference-zone \

range 192.168.13.1 192.168.13.254 exit

address \备用检测站\ reference-zone \

range 192.168.14.1 192.168.14.254 exit

address \调用地址\ reference-zone \

range 10.136.46.1 10.136.46.254 exit

这段是设置地址薄（别名+地址范围）

上图中，代码是添加了上边的通璟检测站、风顺检测站、安运检测站、备用监测站和调用地址5个地址薄，下边的是自动显示的5个已设置好接口的IP设置。（后文“接口”有介绍）

“ethernet0/0 10.137.186.68/32”意思是车管所防火墙0/0口的IP设为10.137.186.68； “ethernet0/0_subnet 10.137.186.68/24”意思是车管所防火墙0/0口所在的是10.137.186.网段。

3.第316行，接口的设置：

interface ethernet0/0 zone \

ip address 10.137.186.68 255.255.255.0 manage ssh manage telnet manage ping manage snmp manage http manage https exit

interface ethernet0/1 zone \

ip address 192.168.200.1 255.255.255.0 manage telnet manage ssh manage ping manage http manage https manage snmp exit

interface ethernet0/2 zone \

ip address 192.168.201.1 255.255.255.0 manage telnet manage ssh manage ping manage http manage https manage snmp exit

interface ethernet0/3 zone \

ip address 192.168.202.1 255.255.255.0 manage telnet manage ssh manage ping manage http

manage https manage snmp exit

interface ethernet0/4 zone \

ip address 192.168.203.1 255.255.255.0 manage telnet manage ssh manage ping manage http manage https manage snmp exit

车管所的防火墙有5个接口，分别是ethernet0/0、ethernet0/1、ethernet0/2、ethernet0/3、ethernet0/4。其中ethernet0/0接口是直接连公安网交换机的，设的IP是10.137.186.68 255.255.255.0；ethernet0/1口是接通璟检测站ethernet0/0口出来的网线，给的IP是192.168.200.1 255.255.255.0；ethernet0/2、ethernet0/3、ethernet0/4这三个原本设想的是四个检测站都是直连光纤到车管所防火墙，但风顺、乐平使用不同的接入模式，所以这三个接口设置在这里没有使用。风顺和安运检测站的防火墙ethernet0/0设的是公安网的IP，直接接入当地交警大队的公安网交换机。并且这俩防火墙的IP跟交警支队车管所的IP都是10.137.186.*（假若当地交警大队是不同于10.137.186.*的IP地址，则可添加虚拟路由跳转）。

上图可看到，车管所防火墙的5个接口IP都配置了，但是（物理状态）只用到了ethernet0/0口和ethernet0/1口，IP分别为10.137.186.68、192.168.200.1。

4.第371行，虚拟路由的配置：

ip vrouter \

snatrule id 1 from \ ip route 192.168.11.0/24 192.168.200.2 ip route 192.168.12.0/24 192.168.201.2 ip route 192.168.13.0/24 192.168.202.2 ip route 192.168.14.0/24 192.168.203.2 ip route 10.136.46.0/24 10.137.186.249 exit

其中“snatrule id 1 from \”这句是“防火墙”--“NAT”--“源NAT”页面的配置。

“ ip route 192.168.11.0/24 192.168.200.2 ip route 192.168.12.0/24 192.168.201.2 ip route 192.168.13.0/24 192.168.202.2 ip route 192.168.14.0/24 192.168.203.2

ip route 10.136.46.0/24 10.137.186.249”这段是“网络”--“路由”--“目的路由”的设置。

若车管所（10.137.186.*地址段）要跟不同的地址段（如10.136.46.23、192.168.11.*）通讯，需要添加虚拟路由，通过要网关跳转访问。

在上图中，“状态”一栏，我们看到绿色活动的只有6个，有3个未启用；再看“协议”一栏，“主机”和“直连”都是配置接口完毕后自动生成的，“静态”一栏只有2个。

一个是接入公安网交换机的ethernet0/0口。本来通讯服务器（10.137.186.62）的网关是10.137.186.249，是可以直接从webserviceIP（10.136.46.23）调取公安网机动车基本信息；现在将通讯服务器的网关设为车管所防火墙ethernet0/0口的IP（10.137.186.68），在这里就添加一个10.137.186.249的网关跳到10.136.46.*段，去获取公安网机动车基本信息。

另一个ethernet0/1口（IP设为192.168.200.1）是与通璟检测站的防火墙的ethernet0/0口连接的。这里设置的是10.137.186.*网段的机器要去访问通璟检测站192.168.11.*网段的机器，就要加一个192.168.200.2这个网关，也就是通璟检测站的防火墙的ethernet0/0的IP。

可以这么理解，逻辑不一定正确，但结果真确：

防火墙的不同接口相当于服务器上同时有几个网卡，不同网卡的网段是可以相互通信的。车管所的0/0、0/1口接入的网段分别是10.137.186.*和192.168.200.*这两个网段的机器是可以相互通信的；通璟检测站的0/0、0/1口接入的网段分别是192.168.200.*和192.168.11.*这两个网段的机器是可以相互通信的；风顺检测站的0/0、0/1口接入的网段分别是10.137.186.*和192.168.12.*这两个网段的机器是可以相互通信的。

这样子：车管所的机器要访问通璟检测站的机器，需要在0/1口添加一个目的地址是192.168.11.0、跳转网关是通璟防火墙0/0口的IP的虚拟路由；车管所的机器要访问风顺检测站的机器就不用添加虚拟路由，可直接访问；通璟检测站的机器要访问车管所的机器，

需要在0/0口添加一个目的地址是10.137.186.0、跳转网关是车管所防火墙0/1口的IP的虚拟路由；风顺检测站的机器要访问车管所的机器，不用添加虚拟路由，可直接访问。当然通璟检测站机器要访问webserviceIP的机器，还需在0/0口添加一个目的地址是10.136.46.23.0、跳转网关是车管所防火墙0/1口的IP的虚拟路由，而车管所已经有一个0/0口、目的地址是10.136.46.0、跳转网关是10.137.186.249的虚拟路由，这样通璟的机器跳转两次网关就可访问webserviceIP的机器；风顺的防火墙就是公安网的IP，要访问webserviceIP的机器直接跟车管所防火墙一样在0/0口添加一个目的地址是10.136.46.0、跳转网关是10.137.186.249的虚拟路由。

5.第381行，策略的配置：

policy from \ rule id 2

action permit disable

src-addr \浮梁风顺检测站\

dst-addr \ service \ exit

rule id 3

action permit disable

src-addr \乐平安运检测站\

dst-addr \ service \ exit

rule id 4

action permit disable

src-addr \备用检测站\

dst-addr \ service \ exit

rule id 10

action permit disable

src-addr \通璟检测站\

dst-addr \ service \ exit

rule id 11

action permit disable

src-addr \ dst-addr \通璟检测站\ service \ exit

rule id 1

action permit disable

src-addr \ dst-addr \浮梁风顺检测站\ service \ exit

rule id 5

action permit disable

src-addr \ dst-addr \乐平安运检测站\ service \ exit

rule id 6

action permit disable

src-addr \ dst-addr \备用检测站\ service \ exit

rule id 7

action permit disable

src-addr \ dst-addr \调用地址\ service \ exit

rule id 8

action permit src-addr \

dst-addr \ service \ exit

这里设置的是通璟检测站、风顺检测站、安运检测站、备用检测站的机器可以访问车管所防火墙0/0口所在的子网段\的机器，反过来车管所防火墙0/0口所在的子网段\的机器可以访问通璟检测站、风顺检测站、安运检测站、备用检测站和调用地址的机器。Rule8是说来回谁都可以访问谁，没有限制。

上图我们可以看到我们只启用了rule8，也就是没有限制，any到any。

三．通璟检测站防火墙的配置：

1.第83行，地址薄的设置：

address \车管所\

reference-zone \

range 10.137.186.1 10.137.186.254 range 10.136.46.1 10.136.46.254 exit

pki trust-domain \ keypair \ enrollment self

subject commonName \

subject organization \exit

地址薄只设置了一个“车管所”，包括“10.137.186.1 10.137.186.254”和“10.136.46.1 10.136.46.254”两个IP段。

2.第290行，接口的配置：

interface ethernet0/0 zone \

ip address 192.168.200.2 255.255.255.0 manage ssh manage telnet manage ping manage snmp manage http manage https exit

interface ethernet0/1

zone \

ip address 192.168.11.1 255.255.255.0 manage telnet manage ssh manage ping manage http manage https manage snmp exit

这里设置通璟检测站ethernet0/0口的IP是192.168.200.2 255.255.255.0（车管所防火墙的ethernet0/1口的IP是192.168.200.1 255.255.255.0），ethernet0/1口的IP是

192.168.11.1 255.255.255.0。

3.第312行，虚拟路由的设置：

ip vrouter \

ip route 10.137.186.0/24 192.168.200.1 ip route 10.136.46.0/24 192.168.200.1 exit

这里的意思是通璟检测站的机器（192.168.11.*）要访问10.137.186.*段和10.136.46.*段的公安网机器的话，得先跳转到车管所防火墙192.168.200.1，然后再跳转车管所防火墙配置的虚拟路由的网关10.137.186.249去访问10.137.186.*段和10.136.46.*段的公安网机器。

4.第317行，策略的配置：

policy from \ rule id 4 action permit disable

src-addr \车管所\

dst-addr \ service \ exit

rule id 1 action permit disable

src-addr \ dst-addr \车管所\ service \ exit

rule id 2 action permit src-addr \

dst-addr \ service \ exit

就是“车管所”这个地址薄的机器可以访问\这个子网下的机器（192.168.11.*），反过来一样可以；还有个any到any。

这里我们启用的是any到any。

四．风顺检测站防火墙的配置：

1.第86行，地址薄的配置：

address \车管所\

reference-zone \

range 10.137.186.1 10.137.186.254 exit

address \

reference-zone \ ip 192.168.12.3/24

range 192.168.12.15 192.168.12.25 range 192.168.12.100 192.192.12.103

exit

address \

reference-zone \

range 10.137.186.1 10.137.186.254 range 10.137.185.1 10.137.185.254 range 10.136.46.17 10.136.46.50 exit

这里配了3个地址薄。\车管所\的地址是“ 10.137.186.1 10.137.186.254”； \的地址有192.168.12.3/24、 192.168.12.15 192.168.12.25、 192.168.12.100 192.192.12.103这三个；

\有10.137.186.1 10.137.186.254、 10.137.185.1 10.137.185.254和10.136.46.17 10.136.46.50三个。u

但“车管所”那个地址薄是包含在“cgs”那个地址薄中的，所以是多余的，在“策略”截图中可看到并没用启用“车管所”这个地址。

2.第305行，接口的配置：

interface ethernet0/0 zone \

ip address 10.137.186.97 255.255.255.0 manage ssh manage telnet manage ping manage snmp manage http manage https exit

interface ethernet0/1 zone \

ip address 192.168.12.1 255.255.255.0 manage telnet manage ssh manage ping manage http manage https manage snmp exit

设置了ethernet0/0口的IP是10.137.186.97 255.255.255.0，ethernet0/1的IP是 192.168.12.1 255.255.255.0

3.第328行，虚拟路由的配置：

ip vrouter \

snatrule id 1 from \ ip route 10.137.186.0/24 192.168.201.1 ip route 10.136.46.0/24 10.137.186.249 ip route 10.137.185.0/24 10.137.186.249 exit

其中“snatrule id 1 from \”是“防火墙”--“NAT”--“源NAT”的配置：

“ip route 10.137.186.0/24 192.168.201.1

ip route 10.136.46.0/24 10.137.186.249 ip route 10.137.185.0/24 10.137.186.249”

设置了要访问的IP段和需要跳转的网关。10.137.185.0/24 10.137.186.249这个配上了，应该是没什么用的。因为本防火墙的IP是10.137.186.97，跟支队车管所IP在同一网段，可直接访问，不用设置虚拟路由。若本防火墙的IP是公安局等与支队车管所的IP不在同一网段（例如：10.137.42.61），在这里可加一条“ip route 10.137.186.0/24 10.137.42.61”。

4.第335行，策略的设置：

policy from \ rule id 4 action permit disable

src-addr \车管所\

dst-addr \ service \ exit

rule id 1 action permit disable

src-addr \ dst-addr \车管所\ service \ exit

rule id 2 action permit

src-addr \

dst-addr \ service \ exit

rule id 3 action permit src-addr \

dst-addr \ service \ exit

看上图，因为“车管所”这个地址薄包含在“cgs”中，所以只启用了rule id 2和rule id 3这两个策略。

五．总结

车管所 通璟 风顺

0/0口IP 10.137.186.68 192.168.200.2 10.137.186.97 0/1口IP 192.168.11.1 192.168.12.1 0/0口目的路由和网关 10.136.46.0、192.168.200.2 10.137.186.0、192.168.200.2 10.136.46.0、10.137.186.249 0/1口目的路由好网关 192.168.200.1 10.136.46.0、10.137.186.249 192.168.11.0、192.168.200.2

本文来源：https://www.bwwdw.com/article/0oi3.html