山石防火墙配置

Hillstone山石网科下一代防火墙基础配置手册V5.5版本Hillstone Networks Inc.服务热线：400 828 6655内容提交人审核人更新内容日期陈天骄陈天骄初次编写2016/1/14目录1 设备管理 (3)1.1 终端console登录 (3)1.2 网页WebUI登录 (3)1.3 恢复出厂设置 (5)1.3.1 CLI命令行操作 (5)1.3.2 WebUI图形化界面操作 (5)1.3.3 硬件CLR操作 (6)1.4 设备系统（StoneOS）升级 (6)1.4.1 通过sysloader升级 (6)1.4.2 通过CLI升级 (9)1.4.3 通过WebUI升级 (9)1.5 许可证安装 (10)1.5.1 CLI命令行安装 (10)1.5.2 WebUI安装 (11)2 基础上网配置 (11)2.1 接口配置 (11)2.2 路由配置 (13)2.3 策略配置 (14)2.4 源地址转换配置（SNAT） (15)3 常用功能配置 (16)3.1 PPPoE拨号配置 (16)3.2 动态地址分配（DHCP）配置 (17)3.3 IP-MAC地址绑定配置 (20)3.4 端到端IPSec VPN配置 (21)3.4.1 配置第一阶段P1提议 (22)3.4.2 配置ISAKMP网关 (23)3.4.3 配置第二阶段P2提议 (24)3.4.4 配置隧道 (25)3.4.5 配置隧道接口 (26)3.4.6 配置隧道路由和策略 (28)3.4.7 查看VPN状态 (29)3.5 远程接入SCVPN配置 (30)3.6 目的地址转换DNAT配置 (38)3.6.1 IP映射 (39)3.6.2 端口映射 (41)1设备管理安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、Telnet、SSH等主流通信管理协议。

【hillstone】2.关于⼭⽯防⽕墙端⼝映射的配置
关于⼭⽯防⽕墙端⼝映射的配置1．⾸先便是在“对象”中添加服务端⼝以及地址，以便⼀会调⽤先添加服务端⼝，在“服务簿”的“所有⾃定义服务”中添加
点击“新建”，添加服务端⼝的对象
接下来添加IP地址的对象
添加公⽹的IP对象
添加服务器的IP对象
PS：值得⼀提的是，在做映射的时候，⽆论公⽹还是内⽹地址，在创建对象的时候皆是使⽤32位主机位的掩码。

2．接下来，便是做端⼝的映射
在“防⽕墙”“NAT”的“⽬的NAT”中
“新建”⼀个“端⼝映射”或者“⾼级配置”，但建议配置不熟悉的初学者使⽤“端⼝映射”即可
配置如下
在“⽬的地址”中添加公⽹地址的对象，服务为服务端⼝，映射到的地址是内⽹的地址。

3．策略上的放⾏
防⽕墙离不开策略，所做的DNAT也同样需要在防⽕墙上做个放⾏的策略，如下
这样，从外⽹访问公⽹地址的80服务端⼝时，皆被放⾏。

端⼝映射的配置到此完毕！。

⼭⽯防⽕墙HA双主Peer-mode模式配置教程⼭⽯防⽕墙HA主备模式上⾏路由器VRRP模式协商失败都是Master状态，所以要将防⽕墙HA改为双主Peer-mode模式，⼩编和⼤家分享下HA双主配置的⽅法和注意事项，期望⼤家遇到少踩坑。

⼀、⽹络拓扑⼆、路由器双Master分析在防⽕墙上放⾏组播地址，源地址any，⽬的地址组播地址224.0.0.18，服务any。

因为HA是主备模式，备墙是不⾛流量的，相当于是断开状态，所以上⾏路由器VRRP会协商失败，都认为⾃⼰主Master。

ps：但若是双主模式，两个墙都⾛流量，上⾏路由器VRRP就能协商成功了，所以提前在防⽕墙中增加上⾯的策略放⾏组播策略。

三、双主Peer-mode模式配置1、配置管理⼝（1）中⼼思想：两台墙各配置管理⼝IP，取消HA同步，Local IP选项也不⽤勾选，这样按照上⾯的⽹络拓扑可以正常连接访问。

（2）配置管理⼝FW1：FW2：ps:1、管理⼝的逆向路由相关不⽤管。

2、管理⼝配置遇到了挺多的坑，实验坏境和⽣产环境上FW1配置100.251，创建管理⼝虚拟转发⼝0/1:1配置100.250，管理⼝HA同步开启，HA双主模式⽣效后，FW1和FW1上⾯都有251和250两个地址，但是FW1防⽕墙管理⼝192.168.100.251连接正常，FW2防⽕墙192.168.100.250只能在直连的交换机ping通，跨路由器就⽆法访问了，这个暂未解决，后⾯继续研究。

2、配置业务上下联接⼝这⾥只需要配置FW1的即可，FW2的等HA状态协商后会⾃动同步的，注意勾选HA同步和安全域配置即可。

FW1（这⾥是透明模式，不⽤配置接⼝IP）：上⾏链路连接路由器：下⾏链路连接交换机FW2：不⽤配置，等HA状态协商成功，⾃动同步到FW2.3、配置HA包含：HA控制连接接⼝e0/2、HA数据连接接⼝e0/3，FW1的HA地址，FW2的HA地址，组0和组1。

备注：1、HA簇和节点先不启⽤，不然HA状态就开始协商了，等两台墙HA地址都配置好了再协商HA开启Peer-mode。

山石网科防火墙配置手册
群山石网科防火墙配置手册群山石网科防火墙是一款专为企业网络安全而设计的防火墙产品，具有高性能、高安全性和可靠性等特点。

其采用七层防火墙、IPS、防拒绝服务攻击、
防恶意网络入侵、拦截病毒木马等多重安全技术，可以满足企业网络的安全需求。

群山石网科防火墙的配置主要包括以下几步：
1. 安装群山石网科防火墙：安装前需要确保防火墙与企业网络的网络拓扑架构完全一致，以保证防火墙的正常运行。

2. 配置网络访问控制规则：根据企业网络环境，定义不同类型的网络访问控制规则，以便根据不同的需求实施网络访问控制。

3. 配置安全服务：配置安全服务，如IPS、防拒绝服务攻击、防恶意网络入侵、拦截病毒木马等，以确保企业网络的安全性。

4. 设置安全日志：定期记录防火墙的运行状态，以便及时发现可能的安全漏洞，并及时采取有效的安全措施。

5. 配置安全策略：根据企业网络的实际情况，设置合理的安全策略，以便有效地防范网络安全攻击，保护企业网络安全。

通过以上步骤，可以完成群山石网科防火墙的配置，为企业网络提供安全的保障。

群山石网科防火墙的配置，不仅可以保护企业网络免受外部恶意攻击，而且可以让企业的网络运行更加安全可靠。

hillstone防火墙配置步骤(以hillstone SA5040为例讲解)厦门领航立华科技有限公司目录1 需要从客户方获取的基本信息 (3)2 配置步骤 (3)2.1 配置安全域 (3)2.2 配置接口地址 (4)2.3 配置路由 (4)2.4 配置NAT (6)2.4.1 源地址NAT (6)2.4.2 目的地址NAT (6)3 配置策略 (8)3.1 配置安全域之间的允许策略 (8)3.1.1 配置trust到Untrust的允许所有的策略 (8)3.1.2 配置DMZ到Untrust的允许所有的策略 (9)3.1.3 配置trust到DMZ的允许策略 (9)3.1.4 配置Untrust到DMZ服务器的允许策略 (10)3.1.5 配置Untrust到Trust服务器的允许策略 (10)3.1.6 配置详细策略 (11)4 配置QOS (12)5 配置SCVPN (13)1需要从客户方获取的基本信息◆部署位置：互联网出口位置，还是其他，如部署在出口路由器之后等◆部署方式：三层接入（需要做NAT，大部分都是这种接入方式），二层透明接入（透明接入不影响客户网络架构），混合接入模式（有几个接口需要配置成透明接口模式，可以支持这种方式）◆外网出口信息：几个出口，电信Or网通，外网IP地址资源（多少个），外网网关（防火墙默认路由设置）◆安全域划分：一般正常3个安全域，Untrust（外网）、Trust（内网）、Dmz（服务器网段），也可以自定义多个◆外网接口IP地址：由客户提供◆内网口IP地址：◆如果客户内网有多个网段，建议在客户中心交换机配置独立的VLAN网段，不要与客户内部网段相同。

◆如果客户内网只有1个网段，没有中心交换机，则把防火墙内网口地址设置为客户内网地址段，并作为客户内网网关（适用于中小型网络）◆DMZ口IP地址：由客户提供，建议配置成服务器网段的网关；2配置步骤2.1 配置安全域默认就有常用的3个安全域了，Trust，Untrust，DMZ2.2 配置接口地址2.3 配置路由默认路由：其中指定的接口：Untrust（外网）接口，如果有多个出口，可以在这选择不同的接口。

山石防火墙参数1.网络接口配置参数：山石防火墙支持多个网络接口，用于与不同的网络进行连接和通信。

网络接口配置参数包括接口名称、接口地址、子网掩码、默认网关等。

通过配置这些参数，可以实现防火墙与其他设备的通信。

2.防火墙规则配置参数：防火墙规则用于定义允许或禁止特定网络流量通过防火墙的规则集。

这些规则可以根据源IP地址、目标IP地址、协议、端口等条件进行设置。

防火墙规则配置参数包括规则名称、规则动作（允许或禁止）、源地址、目标地址、协议、端口等。

3.安全策略参数：安全策略用于定义防火墙的安全控制策略，包括入站策略和出站策略。

安全策略参数包括策略名称、优先级、源地址、目标地址、协议、端口等。

通过配置安全策略参数，可以控制特定网络流量的进出防火墙的行为。

4.虚拟专网（VPN）参数：山石防火墙支持虚拟专网功能，用于建立安全的远程访问连接。

VPN参数包括VPN隧道类型、加密算法、身份验证方式等。

通过配置VPN参数，可以提供加密的数据传输通道，保护远程访问连接的安全性。

5.防火墙日志参数：防火墙日志用于记录防火墙所处理的网络流量和事件，包括入站和出站连接、安全事件、访问日志等。

防火墙日志参数包括日志级别、日志格式、日志保存位置等。

通过配置日志参数，可以方便地查看和分析防火墙的活动和事件。

6.网络地址转换（NAT）参数：NAT用于在内部网络和外部网络之间转换IP地址，隐藏内部网络的真实IP地址。

NAT参数包括转换类型（静态NAT、动态NAT、端口地址转换等）、转换规则、源地址池、目标地址池等。

通过配置NAT参数，可以实现内部网络和外部网络之间的互联和通信。

7.服务质量（QoS）参数：QoS用于优化网络性能，提供带宽管理、流量控制、优先级和类别化等功能。

QoS参数包括带宽限制、流量分类、优先级设置等。

通过配置QoS参数，可以根据不同的网络应用和服务的需求，合理分配和管理带宽资源。

这些参数只是山石防火墙所提供的一部分，具体的参数设置和配置可能因不同型号和版本的防火墙而有所差异。

山石防火墙使用说明
山石防火墙是一种网络安全设备，它可以对网络进行安全防护，防止网络攻击和信息泄露。

以下是山石防火墙的使用说明：
1. 安装：将山石防火墙设备放置在网络架构中，并连接所需的电源、网线等。

确保设备接通电源后能够正常工作。

2. 配置：使用管理员账号登录山石防火墙后台，进行相关设置。

其中包括规则设置、用户管理、流量统计等功能。

管理员需要根据实际情况设置相应的规则，以保证网络安全和畅通。

3. 更新：山石防火墙需要定期更新，以保障其能够有效地防御新的网络攻击和病毒。

管理员可以在后台设置自动更新或手动更新。

4. 监控：管理员可以通过后台监控山石防火墙的工作状态，包括网络流量、攻击次数、用户访问记录等。

此外，管理员还可以设置警报，当系统检测到可疑活动时，及时发送警报信息。

总之，山石防火墙是一种非常有效的网络安全设备，能够有效地保护网络安全，防止网络攻击和信息泄露。

管理员的配置和管理能力是保证山石防火墙工作正常的关键。