hillstone防火墙配置实例介绍 - 图文
更新时间:2023-03-08 08:55:31 阅读量: 综合文库 文档下载
目录
一.基本情况介绍 ............................................................................ 2
1.车管所机房情况: ................................................................................................................ 2 2.通璟检测站: ........................................................................................................................ 2 3.风顺、安运检测站: ............................................................................................................ 2 4.关于防火墙的配置方式: .................................................................................................... 3 5.关于配置文件: .................................................................................................................... 3 6.关于授权证书: .................................................................................................................... 4
二.车管所防火墙配置说明 ............................................................ 5
1.第12行: .............................................................................................................................. 5 2.第90行,地址薄的设置: .................................................................................................. 5 3.第316行,接口的设置: .................................................................................................... 7 4.第371行,虚拟路由的配置: ............................................................................................ 9 5.第381行,策略的配置: .................................................................................................. 11
三.通璟检测站防火墙的配置: .................................................. 13
1.第83行,地址薄的设置: ................................................................................................ 13 2.第290行,接口的配置: .................................................................................................. 14 3.第312行,虚拟路由的设置: .......................................................................................... 15 4.第317行,策略的配置: .................................................................................................. 16
四.风顺检测站防火墙的配置: .................................................. 17
1.第86行,地址薄的配置: ................................................................................................ 17 2.第305行,接口的配置: .................................................................................................. 18 3.第328行,虚拟路由的配置: .......................................................................................... 19 4.第335行,策略的设置: .................................................................................................. 21
五.总结 .......................................................................................... 22
一.基本情况介绍
本文档适用于HillStone SG-6000 M2105(车管所)和HillStone SG-6000 NAV20(检测站),网络连接方式为车管所与检测站防火墙用网线直连、车管所与检测站防火墙在同一公安网IP段内两种。具体配置如下:
1.车管所机房情况:
数据服务器、应用/通讯服务器、hillstone防火墙、审核电脑1/2的IP分别10.137.186.78/62/68/36/37,系统管理员给的IP地址格式为:
;
防火墙配置完毕后,车管所服务器设置的IP格式为:
webserviceIP:10.136.46.23。
2.通璟检测站:
局域网IP地址为192.168.11.*段,网关192.168.11.1。因为距离短,有一条一百多米网线直接通到车管所机房。站点服务器、签证申请岗、查验岗、无线路由、PDA、检测线主控、登录机等都接在交换机上,然后交换机接网线到hillstone防火墙的0/1口,到车管所机房的网线接防火墙0/0口。
3.风顺、安运检测站:
IP段分别是192.168.12.*和192.168.13.*,网关分别是192.168.12.1和192.168.13.1。两个站都是依靠着当地的交警大队,直接把大队公安网接网线到检测站防火墙的0/0口。因为交警大队和交警支队车管所的IP都是一个网段(10.137.186.*),所以两个站防火墙的0/0口IP分别是10.137.186.97和67。
4.关于防火墙的配置方式:
第一种是访问防火墙的默认IP,输入用户名、密码,在配置页面进行配置,一般是按照地址薄、接口、目的路由、策略的顺序进行配置;(注意设置完要保存配置) 第二种是上传已设置好的配置文件,然后设置生效,重启(约2-3分钟)。
5.关于配置文件:
在“系统”-“配置”页面有本防火墙的配置文件,可上传新的配置文件、现在当前的配置文件。
但下载下来的是DAT文件,使用的是Unicode编码,用记事本打开是乱码。可将“系统”-“配置”页面的配置命令复制,新建文本文档,粘贴,另存为,将编码选为unicode,选“是”确认。
这样在新建的TXT文档中就可以编辑配置命令,又保证编码格式是unicode(不出乱码)。
6.关于授权证书:
防火墙启用后有个试用期限,应当跟采购部要厂家给的永久使用授权证书。
二.车管所防火墙配置说明
我只将需要配置的命令段作说明。
1.第12行:
“password +Wfd5CQ1JURJQ6DEtWjldaQQmj”,这个密码应该是个加密的东西,最好遵照原始文件的配置,不要更换,以防出错。
2.第90行,地址薄的设置:
address \通璟检测站\ reference-zone \
range 192.168.11.1 192.168.11.254 exit
address \浮梁风顺检测站\ reference-zone \
range 192.168.12.1 192.168.12.254 exit
address \乐平安运检测站\ reference-zone \
range 192.168.13.1 192.168.13.254 exit
address \备用检测站\ reference-zone \
range 192.168.14.1 192.168.14.254 exit
address \调用地址\ reference-zone \
range 10.136.46.1 10.136.46.254 exit
这段是设置地址薄(别名+地址范围)
上图中,代码是添加了上边的通璟检测站、风顺检测站、安运检测站、备用监测站和调用地址5个地址薄,下边的是自动显示的5个已设置好接口的IP设置。(后文“接口”有介绍)
“ethernet0/0 10.137.186.68/32”意思是车管所防火墙0/0口的IP设为10.137.186.68; “ethernet0/0_subnet 10.137.186.68/24”意思是车管所防火墙0/0口所在的是10.137.186.网段。
3.第316行,接口的设置:
interface ethernet0/0 zone \
ip address 10.137.186.68 255.255.255.0 manage ssh manage telnet manage ping manage snmp manage http manage https exit
interface ethernet0/1 zone \
ip address 192.168.200.1 255.255.255.0 manage telnet manage ssh manage ping manage http manage https manage snmp exit
interface ethernet0/2 zone \
ip address 192.168.201.1 255.255.255.0 manage telnet manage ssh manage ping manage http manage https manage snmp exit
interface ethernet0/3 zone \
ip address 192.168.202.1 255.255.255.0 manage telnet manage ssh manage ping manage http
manage https manage snmp exit
interface ethernet0/4 zone \
ip address 192.168.203.1 255.255.255.0 manage telnet manage ssh manage ping manage http manage https manage snmp exit
车管所的防火墙有5个接口,分别是ethernet0/0、ethernet0/1、ethernet0/2、ethernet0/3、ethernet0/4。其中ethernet0/0接口是直接连公安网交换机的,设的IP是10.137.186.68 255.255.255.0;ethernet0/1口是接通璟检测站ethernet0/0口出来的网线,给的IP是192.168.200.1 255.255.255.0;ethernet0/2、ethernet0/3、ethernet0/4这三个原本设想的是四个检测站都是直连光纤到车管所防火墙,但风顺、乐平使用不同的接入模式,所以这三个接口设置在这里没有使用。风顺和安运检测站的防火墙ethernet0/0设的是公安网的IP,直接接入当地交警大队的公安网交换机。并且这俩防火墙的IP跟交警支队车管所的IP都是10.137.186.*(假若当地交警大队是不同于10.137.186.*的IP地址,则可添加虚拟路由跳转)。
上图可看到,车管所防火墙的5个接口IP都配置了,但是(物理状态)只用到了ethernet0/0口和ethernet0/1口,IP分别为10.137.186.68、192.168.200.1。
4.第371行,虚拟路由的配置:
ip vrouter \
snatrule id 1 from \ ip route 192.168.11.0/24 192.168.200.2 ip route 192.168.12.0/24 192.168.201.2 ip route 192.168.13.0/24 192.168.202.2 ip route 192.168.14.0/24 192.168.203.2 ip route 10.136.46.0/24 10.137.186.249 exit
其中“snatrule id 1 from \”这句是“防火墙”--“NAT”--“源NAT”页面的配置。
“ ip route 192.168.11.0/24 192.168.200.2 ip route 192.168.12.0/24 192.168.201.2 ip route 192.168.13.0/24 192.168.202.2 ip route 192.168.14.0/24 192.168.203.2
ip route 10.136.46.0/24 10.137.186.249”这段是“网络”--“路由”--“目的路由”的设置。
若车管所(10.137.186.*地址段)要跟不同的地址段(如10.136.46.23、192.168.11.*)通讯,需要添加虚拟路由,通过要网关跳转访问。
在上图中,“状态”一栏,我们看到绿色活动的只有6个,有3个未启用;再看“协议”一栏,“主机”和“直连”都是配置接口完毕后自动生成的,“静态”一栏只有2个。
一个是接入公安网交换机的ethernet0/0口。本来通讯服务器(10.137.186.62)的网关是10.137.186.249,是可以直接从webserviceIP(10.136.46.23)调取公安网机动车基本信息;现在将通讯服务器的网关设为车管所防火墙ethernet0/0口的IP(10.137.186.68),在这里就添加一个10.137.186.249的网关跳到10.136.46.*段,去获取公安网机动车基本信息。
另一个ethernet0/1口(IP设为192.168.200.1)是与通璟检测站的防火墙的ethernet0/0口连接的。这里设置的是10.137.186.*网段的机器要去访问通璟检测站192.168.11.*网段的机器,就要加一个192.168.200.2这个网关,也就是通璟检测站的防火墙的ethernet0/0的IP。
可以这么理解,逻辑不一定正确,但结果真确:
防火墙的不同接口相当于服务器上同时有几个网卡,不同网卡的网段是可以相互通信的。车管所的0/0、0/1口接入的网段分别是10.137.186.*和192.168.200.*这两个网段的机器是可以相互通信的;通璟检测站的0/0、0/1口接入的网段分别是192.168.200.*和192.168.11.*这两个网段的机器是可以相互通信的;风顺检测站的0/0、0/1口接入的网段分别是10.137.186.*和192.168.12.*这两个网段的机器是可以相互通信的。
这样子:车管所的机器要访问通璟检测站的机器,需要在0/1口添加一个目的地址是192.168.11.0、跳转网关是通璟防火墙0/0口的IP的虚拟路由;车管所的机器要访问风顺检测站的机器就不用添加虚拟路由,可直接访问;通璟检测站的机器要访问车管所的机器,
需要在0/0口添加一个目的地址是10.137.186.0、跳转网关是车管所防火墙0/1口的IP的虚拟路由;风顺检测站的机器要访问车管所的机器,不用添加虚拟路由,可直接访问。当然通璟检测站机器要访问webserviceIP的机器,还需在0/0口添加一个目的地址是10.136.46.23.0、跳转网关是车管所防火墙0/1口的IP的虚拟路由,而车管所已经有一个0/0口、目的地址是10.136.46.0、跳转网关是10.137.186.249的虚拟路由,这样通璟的机器跳转两次网关就可访问webserviceIP的机器;风顺的防火墙就是公安网的IP,要访问webserviceIP的机器直接跟车管所防火墙一样在0/0口添加一个目的地址是10.136.46.0、跳转网关是10.137.186.249的虚拟路由。
5.第381行,策略的配置:
policy from \ rule id 2
action permit disable
src-addr \浮梁风顺检测站\
dst-addr \ service \ exit
rule id 3
action permit disable
src-addr \乐平安运检测站\
dst-addr \ service \ exit
rule id 4
action permit disable
src-addr \备用检测站\
dst-addr \ service \ exit
rule id 10
action permit disable
src-addr \通璟检测站\
dst-addr \ service \ exit
rule id 11
action permit disable
src-addr \ dst-addr \通璟检测站\ service \ exit
rule id 1
action permit disable
src-addr \ dst-addr \浮梁风顺检测站\ service \ exit
rule id 5
action permit disable
src-addr \ dst-addr \乐平安运检测站\ service \ exit
rule id 6
action permit disable
src-addr \ dst-addr \备用检测站\ service \ exit
rule id 7
action permit disable
src-addr \ dst-addr \调用地址\ service \ exit
rule id 8
action permit src-addr \
dst-addr \ service \ exit
这里设置的是通璟检测站、风顺检测站、安运检测站、备用检测站的机器可以访问车管所防火墙0/0口所在的子网段\的机器,反过来车管所防火墙0/0口所在的子网段\的机器可以访问通璟检测站、风顺检测站、安运检测站、备用检测站和调用地址的机器。Rule8是说来回谁都可以访问谁,没有限制。
上图我们可以看到我们只启用了rule8,也就是没有限制,any到any。
三.通璟检测站防火墙的配置:
1.第83行,地址薄的设置:
address \车管所\
reference-zone \
range 10.137.186.1 10.137.186.254 range 10.136.46.1 10.136.46.254 exit
pki trust-domain \ keypair \ enrollment self
subject commonName \
subject organization \exit
地址薄只设置了一个“车管所”,包括“10.137.186.1 10.137.186.254”和“10.136.46.1 10.136.46.254”两个IP段。
2.第290行,接口的配置:
interface ethernet0/0 zone \
ip address 192.168.200.2 255.255.255.0 manage ssh manage telnet manage ping manage snmp manage http manage https exit
interface ethernet0/1
zone \
ip address 192.168.11.1 255.255.255.0 manage telnet manage ssh manage ping manage http manage https manage snmp exit
这里设置通璟检测站ethernet0/0口的IP是192.168.200.2 255.255.255.0(车管所防火墙的ethernet0/1口的IP是192.168.200.1 255.255.255.0),ethernet0/1口的IP是
192.168.11.1 255.255.255.0。
3.第312行,虚拟路由的设置:
ip vrouter \
ip route 10.137.186.0/24 192.168.200.1 ip route 10.136.46.0/24 192.168.200.1 exit
这里的意思是通璟检测站的机器(192.168.11.*)要访问10.137.186.*段和10.136.46.*段的公安网机器的话,得先跳转到车管所防火墙192.168.200.1,然后再跳转车管所防火墙配置的虚拟路由的网关10.137.186.249去访问10.137.186.*段和10.136.46.*段的公安网机器。
4.第317行,策略的配置:
policy from \ rule id 4 action permit disable
src-addr \车管所\
dst-addr \ service \ exit
rule id 1 action permit disable
src-addr \ dst-addr \车管所\ service \ exit
rule id 2 action permit src-addr \
dst-addr \ service \ exit
就是“车管所”这个地址薄的机器可以访问\这个子网下的机器(192.168.11.*),反过来一样可以;还有个any到any。
这里我们启用的是any到any。
四.风顺检测站防火墙的配置:
1.第86行,地址薄的配置:
address \车管所\
reference-zone \
range 10.137.186.1 10.137.186.254 exit
address \
reference-zone \ ip 192.168.12.3/24
range 192.168.12.15 192.168.12.25 range 192.168.12.100 192.192.12.103
exit
address \
reference-zone \
range 10.137.186.1 10.137.186.254 range 10.137.185.1 10.137.185.254 range 10.136.46.17 10.136.46.50 exit
这里配了3个地址薄。\车管所\的地址是“ 10.137.186.1 10.137.186.254”; \的地址有192.168.12.3/24、 192.168.12.15 192.168.12.25、 192.168.12.100 192.192.12.103这三个;
\有10.137.186.1 10.137.186.254、 10.137.185.1 10.137.185.254和10.136.46.17 10.136.46.50三个。u
但“车管所”那个地址薄是包含在“cgs”那个地址薄中的,所以是多余的,在“策略”截图中可看到并没用启用“车管所”这个地址。
2.第305行,接口的配置:
interface ethernet0/0 zone \
ip address 10.137.186.97 255.255.255.0 manage ssh manage telnet manage ping manage snmp manage http manage https exit
interface ethernet0/1 zone \
ip address 192.168.12.1 255.255.255.0 manage telnet manage ssh manage ping manage http manage https manage snmp exit
设置了ethernet0/0口的IP是10.137.186.97 255.255.255.0,ethernet0/1的IP是 192.168.12.1 255.255.255.0
3.第328行,虚拟路由的配置:
ip vrouter \
snatrule id 1 from \ ip route 10.137.186.0/24 192.168.201.1 ip route 10.136.46.0/24 10.137.186.249 ip route 10.137.185.0/24 10.137.186.249 exit
其中“snatrule id 1 from \”是“防火墙”--“NAT”--“源NAT”的配置:
“ip route 10.137.186.0/24 192.168.201.1
ip route 10.136.46.0/24 10.137.186.249 ip route 10.137.185.0/24 10.137.186.249”
设置了要访问的IP段和需要跳转的网关。10.137.185.0/24 10.137.186.249这个配上了,应该是没什么用的。因为本防火墙的IP是10.137.186.97,跟支队车管所IP在同一网段,可直接访问,不用设置虚拟路由。若本防火墙的IP是公安局等与支队车管所的IP不在同一网段(例如:10.137.42.61),在这里可加一条“ip route 10.137.186.0/24 10.137.42.61”。
4.第335行,策略的设置:
policy from \ rule id 4 action permit disable
src-addr \车管所\
dst-addr \ service \ exit
rule id 1 action permit disable
src-addr \ dst-addr \车管所\ service \ exit
rule id 2 action permit
src-addr \
dst-addr \ service \ exit
rule id 3 action permit src-addr \
dst-addr \ service \ exit
看上图,因为“车管所”这个地址薄包含在“cgs”中,所以只启用了rule id 2和rule id 3这两个策略。
五.总结
车管所 通璟 风顺
0/0口IP 10.137.186.68 192.168.200.2 10.137.186.97 0/1口IP 192.168.11.1 192.168.12.1 0/0口目的路由和网关 10.136.46.0、192.168.200.2 10.137.186.0、192.168.200.2 10.136.46.0、10.137.186.249 0/1口目的路由好网关 192.168.200.1 10.136.46.0、10.137.186.249 192.168.11.0、192.168.200.2
正在阅读:
房产中介房屋租赁合同03-27
王老吉促销活动08-26
安全培训考试试题04-25
电梯维保技术要求04-26
超星尔雅马克思主义的时代解读04-12
空心球柄注射模设计01-31
《会计学原理》听课笔记--持续更新06-09
- 发电电气运行规程1
- 英文简历
- 最全辅导员招聘考试题库
- 4.3崇明岛的未来的样子
- 2012年上海市普通高校招生二本批次各校投档分数线
- 江苏省如皋中学2017-2018学年第一学期高三第二次阶段测试12月数
- 农业转移人口社会参与机制浅谈
- 2017-2018学年度牛津译林版8B英语初二期中试卷及答案
- 家长委员会上的讲话
- 05继电保护设备检修规程
- 组织行为学考试重点(陈春花)
- 2016年云南省公务员考试《行测》模拟试卷(十七)
- 规避“10号文”红筹系列之案例分析
- 钱寨小学学生读书活动评价方案
- 五大联赛派系
- 国际结算课件新
- 材料科学导论 - 图文
- 领导干部任前廉政法规考试模拟试题
- 汽车综合实训
- 医疗质量管理目录
- 防火墙
- hillstone
- 实例
- 配置
- 图文
- 介绍
- 顾客网上购物10大心理分析
- 2012年中级财务管理 - 基础班 - 课后作业试题 - (1-8全)
- 杭州绿化建设现状分析
- 井工厂压裂高压管汇使用规定(试行)
- 病毒性肝炎诊疗常规0
- 省级主要媒体五四青年节评论员文章
- 发酵工程名词解释
- PD800用户手册(wince)
- 2016-2022年中国LED显示屏市场投资前景评估报告 - 图文
- 乙型肝炎与乙肝肝硬化血清HBVM.docx
- STM32F4_LCD12864串行并行驱动程序合集
- 如何挽救出轨的老婆老婆果然没有经受住“七年之痒”
- 大理至南涧高速公路南涧段征地拆迁
- 人教版第六册数学教案
- MATLAB实践
- 十大杰出母亲评选方案
- 2017年12月份考试作业建筑经济与企业管理第3次
- 2010年中考数学试题分类大全46 - 综合型问题 - 图文
- 甲级单位编制炭块项目可行性报告(立项可研+贷款+用地+2013案例
- 为进一步加强对信访活动中违法犯罪行为依法处置工作