hillstone防火墙配置实例介绍
山石防火墙配置
先建立一个IP pool不能和内网同一网段
配置SSL vpn http端口注意,接口:untrust隧道路由内网网段,AAA加local
添加SSL登陆用户
Aaa
建立一个SSL vpn的zone
建立一个隧道接口
配置隧道接口安全zone选择刚建立的zoneSSL ip地址是和pool一个网段但不能用pool里面的地址,scvpn tunnel选择建立的SCVPN名字
如果客户内网只有1个网段,没有中心交换机,则把防火墙内网口地址设置为客户内网地址段,并作为客户内网网关(适用于中小型网络)
DMZ口IP地址:由客户提供,建议配置成服务器网段的网关;
2
2.1
默认就有常用的3个安全域了,Trust,Untrust,DMZ
2.2
2.3
默认路由:其中指定的接口:Untrust(外网)接口,如果有多个出口,可以在这选择不同的接口。其中网关为跟FW互联设备接口的地址,比如59.60.12.33是电信给的出口网关地址。
外网出口信息:几个出口,电信Or网通,外网IP地址资源(多少个),外网网关(防火墙默认路由设置)
安全域划分:一般正常3个安全域,Untrust(外网)、Trust(内网)、Dmz(服务器网段),也可以自定义多个
外网接口IP地址:由客户提供
内网口IP地址:
如果客户内网有多个网段,建议在客户中心交换机配置独立的VLAN网段,不要与客户内部网段相同。
hillstone防火墙配置步骤
(以hillstoneSA5040为例讲解)
厦门领航立华科技有限公司
1
部署位置:互联网出口位置,还是其他,如部署在出口路由器之后等
部署方式:三层接入(需要做NAT,大部分都是这种接入方式),二层透明接入(透明接入不影响客户网络架构),混合接入模式(有几个接口需要配置成透明接口模式,可以支持这种方式)
山石防火墙命令
表29-1:手动同步配置命令列表;HA同步信息show命令手动同步命令;配置信息showconfigurationexe;文件信息showfileexechasyncfi;ARP表项s howarpexechasyncrd;DNS配置信息showiphostsexecha;DHCP配置信息s howdhcpexechasy;MAC地址表showmacexecha表29-1:手动同步配置命令列表HA 同步信息show 命令手动同步命令配置信息show configuration exec ha sync configuration文件信息show file exec ha sync file file-nameARP 表项show arp exec ha sync rdo arpDNS 配置信息show ip hosts exec ha sync rdo dnsDHCP 配置信息show dhcp exec ha sync rdo dhcpMAC 地址表show mac exec ha sync rdo macshow pki keyPKI 配置信息show pki trust-domainexec ha sync rdo pki会话信息show session exec ha sync rdo session show ipsec saIPSec VPN 信息show isakmp saexec ha sync rdo vpnshow scvpn client testshow scvpnhost-check-profileshow scvpn poolshow scvpnuser-host-bindingshow scvpn sessionSCVPN 信息show auth-user scvpnexec ha sync rdo scvpnshow l2tp tunnelshow l2tp poolshow l2tp client{tunnel-name name [useruser-name]| tunnel-id ID}L2TP 信息show auth-user l2tp{interface interface-name| vrouter vrouter-name}exec ha sync rdo l2tpWeb 认证信息show auth-user webauth exec ha sync rdo webauth NTP 信息show ntp exec ha sync rdo ntpSCVPN 信息show scvpn exec ha sync rdo scvpn路由信息show ip route exec ha sync rdo route显示HA配置系统提供相应的show 命令,查看HA 配置信息。
山石网科 Hillstone山石网科 下一代防火墙 配置指南说明书
Hillstone山石网科下一代防火墙基础配置手册V5.5版本Hillstone Networks Inc.服务热线:400 828 6655内容提交人审核人更新内容日期陈天骄陈天骄初次编写2016/1/14目录1 设备管理 (3)1.1 终端console登录 (3)1.2 网页WebUI登录 (3)1.3 恢复出厂设置 (5)1.3.1 CLI命令行操作 (5)1.3.2 WebUI图形化界面操作 (5)1.3.3 硬件CLR操作 (6)1.4 设备系统(StoneOS)升级 (6)1.4.1 通过sysloader升级 (6)1.4.2 通过CLI升级 (9)1.4.3 通过WebUI升级 (9)1.5 许可证安装 (10)1.5.1 CLI命令行安装 (10)1.5.2 WebUI安装 (11)2 基础上网配置 (11)2.1 接口配置 (11)2.2 路由配置 (13)2.3 策略配置 (14)2.4 源地址转换配置(SNAT) (15)3 常用功能配置 (16)3.1 PPPoE拨号配置 (16)3.2 动态地址分配(DHCP)配置 (17)3.3 IP-MAC地址绑定配置 (20)3.4 端到端IPSec VPN配置 (21)3.4.1 配置第一阶段P1提议 (22)3.4.2 配置ISAKMP网关 (23)3.4.3 配置第二阶段P2提议 (24)3.4.4 配置隧道 (25)3.4.5 配置隧道接口 (26)3.4.6 配置隧道路由和策略 (28)3.4.7 查看VPN状态 (29)3.5 远程接入SCVPN配置 (30)3.6 目的地址转换DNAT配置 (38)3.6.1 IP映射 (39)3.6.2 端口映射 (41)1设备管理安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。
CLI同时支持Console、Telnet、SSH等主流通信管理协议。
山石防火墙HA双主Peer-mode模式配置教程
⼭⽯防⽕墙HA双主Peer-mode模式配置教程⼭⽯防⽕墙HA主备模式上⾏路由器VRRP模式协商失败都是Master状态,所以要将防⽕墙HA改为双主Peer-mode模式,⼩编和⼤家分享下HA双主配置的⽅法和注意事项,期望⼤家遇到少踩坑。
⼀、⽹络拓扑⼆、路由器双Master分析在防⽕墙上放⾏组播地址,源地址any,⽬的地址组播地址224.0.0.18,服务any。
因为HA是主备模式,备墙是不⾛流量的,相当于是断开状态,所以上⾏路由器VRRP会协商失败,都认为⾃⼰主Master。
ps:但若是双主模式,两个墙都⾛流量,上⾏路由器VRRP就能协商成功了,所以提前在防⽕墙中增加上⾯的策略放⾏组播策略。
三、双主Peer-mode模式配置1、配置管理⼝(1)中⼼思想:两台墙各配置管理⼝IP,取消HA同步,Local IP选项也不⽤勾选,这样按照上⾯的⽹络拓扑可以正常连接访问。
(2)配置管理⼝FW1:FW2:ps:1、管理⼝的逆向路由相关不⽤管。
2、管理⼝配置遇到了挺多的坑,实验坏境和⽣产环境上FW1配置100.251,创建管理⼝虚拟转发⼝0/1:1配置100.250,管理⼝HA同步开启,HA双主模式⽣效后,FW1和FW1上⾯都有251和250两个地址,但是FW1防⽕墙管理⼝192.168.100.251连接正常,FW2防⽕墙192.168.100.250只能在直连的交换机ping通,跨路由器就⽆法访问了,这个暂未解决,后⾯继续研究。
2、配置业务上下联接⼝这⾥只需要配置FW1的即可,FW2的等HA状态协商后会⾃动同步的,注意勾选HA同步和安全域配置即可。
FW1(这⾥是透明模式,不⽤配置接⼝IP):上⾏链路连接路由器:下⾏链路连接交换机FW2:不⽤配置,等HA状态协商成功,⾃动同步到FW2.3、配置HA包含:HA控制连接接⼝e0/2、HA数据连接接⼝e0/3,FW1的HA地址,FW2的HA地址,组0和组1。
备注:1、HA簇和节点先不启⽤,不然HA状态就开始协商了,等两台墙HA地址都配置好了再协商HA开启Peer-mode。
山石网科通信技术(北京) Hillstone防火墙技术 StoneOS 安全模式 说明书
Hi StoneOS安全模式山石网科通信技术(北京)有限公司Hillstone防火墙技术StoneOS安全模式1. 介绍传统防火墙通常可以在两种模式下进行操作:NAT/路由模式和透明模式。
NAT/路由模式部署灵活,并且支持防火墙和路由器两种设备的功能。
尽管如此,许多希望通过最少的网络中断而实现安全保护的客户却会选择透明模式。
随着二层与三层转换的扩展,安全集成到网络中变成一个更加困难的选择。
那么,在哪里部署能够控制所有二层和三层的所有类型流量的安全功能呢?Hillstone的StoneOS提供了一个强大的安全平台,它为安全管理者提供了“集成安全控制和网络管理的底层网络结构”。
StoneOS通过将网络功能从安全功能中分离出来,扩展了NAT/路由模式。
这样,用户就可以在一个完全灵活的环境下使用NAT功能。
StoneOS通过引入专有的Virtual Switch(虚拟交换机)的概念极大地扩展了透明模式。
在二层,用户可以定义VLAN域,并且可以将不同的安全策略应用到每一个VLAN。
StoneOS还拥有重新标记VLAN tag功能,这种功能只有高端的交换机才能实现。
StoneOS混合模式将NAT/路由模式与透明模式结合到同一个设备上。
根据配置的安全策略,部分数据在二层进行处理,而其它数据进行三层处理。
这个强大的功能将路由器和交换机的功能进行完美结合,并且能够降低网络部署的复杂性。
2. NAT/路由模式路由在NAT/路由模式下,设备被划分为多个三层域。
流量会在三层域之间进行转发,并且被转发的流量会被进行安全检查。
对于路由模式,IP地址不会被转换。
对于NAT模式,IP数据包在不同域间转发的过程中,其IP地址和端口号可以被转换。
Hillstone设备将安全管理从网络管理中分离出来。
Hillstone NAT策略是网络管理的一部分,用户可以基于特定接口或者五元组(IP地址、端口号和服务)进行灵活配置,或者将两者相结合。
山石网科防火墙配置手册
山石网科防火墙配置手册
群山石网科防火墙配置手册群山石网科防火墙是一款专为企业网络安全而设计的防火墙产品,具有高性能、高安全性和可靠性等特点。
其采用七层防火墙、IPS、防拒绝服务攻击、
防恶意网络入侵、拦截病毒木马等多重安全技术,可以满足企业网络的安全需求。
群山石网科防火墙的配置主要包括以下几步:
1. 安装群山石网科防火墙:安装前需要确保防火墙与企业网络的网络拓扑架构完全一致,以保证防火墙的正常运行。
2. 配置网络访问控制规则:根据企业网络环境,定义不同类型的网络访问控制规则,以便根据不同的需求实施网络访问控制。
3. 配置安全服务:配置安全服务,如IPS、防拒绝服务攻击、防恶意网络入侵、拦截病毒木马等,以确保企业网络的安全性。
4. 设置安全日志:定期记录防火墙的运行状态,以便及时发现可能的安全漏洞,并及时采取有效的安全措施。
5. 配置安全策略:根据企业网络的实际情况,设置合理的安全策略,以便有效地防范网络安全攻击,保护企业网络安全。
通过以上步骤,可以完成群山石网科防火墙的配置,为企业网络提供安全的保障。
群山石网科防火墙的配置,不仅可以保护企业网络免受外部恶意攻击,而且可以让企业的网络运行更加安全可靠。
Hillstone山石网科防火墙日常运维操作手册
Hillstone⼭⽯⽹科防⽕墙⽇常运维操作⼿册⽬录⼀、设备基础管理 (1)1.1设备登录 (1)1.1.1 通过CLI管理设备 (1)1.1.2 通过WebUI管理设备 (2)1.2管理员帐号及权限设置 (4)1.2.1 新增管理员 (4)1.2.1 修改管理员密码 (5)1.3 License安装 (6)1.4设备软件升级 (7)1.5设备配置备份与恢复 (9)1.5.1 备份设备配置 (9)1.5.2 恢复设备配置 (12)1.6系统诊断⼯具的使⽤ (14)⼆、对象配置 (16)2.1 配置地址薄 (16)2.2 配置服务簿 (17)三、⽹络配置 (21)3.1 配置安全域 (21)3.2 配置接⼝ (22)3.3 配置路由 (23)3.4 配置DNS (24)四、防⽕墙配置 (26)4.1 配置防⽕墙策略 (26)4.1.1 新增防⽕墙安全策略 (26)4.1.2 编辑防⽕墙安全策略 (27)4.2 配置NAT (28)4.2.1 配置源NAT (28)4.2.2 配置⽬的NAT (31)4.3 防⽕墙配置举例 (35)五、QOS配置 (44)5.1 配置IP QOS (45)5.2 配置应⽤QOS (46)六、常⽤⽇志配置 (48)⼀、设备基础管理1.1设备登录安全⽹关⽀持本地与远程两种环境配置⽅法,可以通过CLI 和WebUI 两种⽅式进⾏配置。
CLI同时⽀持Console、telnet、SSH 等主流通信管理协议。
1.1.1 通过CLI管理设备通过Console ⼝配置安全⽹关时需要在计算机上运⾏终端仿真程序(系统的超级终端、SecureCRT等)建⽴与安全⽹关的连接,并按如下表所⽰设置参数(与连接Cisco设备的参数⼀致):通过telnet或者SSH管理设备时,需要在相应接⼝下启⽤telnet或SSH 管理服务,然后允许相应⽹段的IP管理设备(可信主机)。
对接⼝启⽤telnet或SSH管理服务的⽅法如下:⾸先在⽹络—>⽹络连接模式下的页⾯下⽅勾选指定接⼝,点击图⽰为的编辑按钮,然后在弹出的接⼝配置窗⼝中对接⼝启⽤相应的管理服务,最后确认即可:1.1.2 通过WebUI管理设备WebUI同时⽀持http和https两种访问⽅式,⾸次登录设备可通过默认接⼝ethernet0/0 (默认IP 地址192.168.1.1/24,该接⼝的所有管理服务默认均已被启⽤)来进⾏,登录⽅法为:1. 将管理PC 的IP 地址设置为与192.168.1.1/24 同⽹段的IP 地址,并且⽤⽹线将管理PC与安全⽹关的ethernet0/0 接⼝进⾏连接。
山石网科 防火墙 SG-6000-M2105-M3100-M3108选型说明书
新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。
其基于角色、深度应用的多核Plus®G2安全架构突破了传统防火墙只能基于IP和端口的防范限制。
处理器模块化设计可以提升整体处理能力,突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。
SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps,广泛适用于企业分支、中小企业等机构,可部署在网络的主要结点及Internet出口,为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。
产品亮点安全可视化●网络可视化通过StoneOS®内置的网络流量分析模块,用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势,随时、随地监控自己的网络,从而对流量进行优化和精细化的管理。
●接入可视化StoneOS®基于角色的管理(RBNS)模块,让网络接入更加精细和直观化,实现了对接入用户更加人性化的管理,摆脱了过去只能通过IP地址来控制的尴尬,可以实时地监控、管理用户接入的状态,资源的分配,从而使网络资源的分配更加合理和可控化。
●应用可视化StoneOS®内置独创的应用识别模块,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,即使加密过的数据流也能应付自如。
StoneOS®识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用,应用特征库通过网络服务可以实时更新。
全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署,它能够完全兼容标准的IPSec VPN。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录一.基本情况介绍 (2)1.车管所机房情况: (2)2.通璟检测站: (2)3.风顺、安运检测站: (2)4.关于防火墙的配置方式: (3)5.关于配置文件: (3)6.关于授权证书: (4)二.车管所防火墙配置说明 (5)1.第12行: (5)2.第90行,地址薄的设置: (5)3.第316行,接口的设置: (7)4.第371行,虚拟路由的配置: (9)5.第381行,策略的配置: (11)三.通璟检测站防火墙的配置: (13)1.第83行,地址薄的设置: (13)2.第290行,接口的配置: (14)3.第312行,虚拟路由的设置: (15)4.第317行,策略的配置: (16)四.风顺检测站防火墙的配置: (17)1.第86行,地址薄的配置: (17)2.第305行,接口的配置: (18)3.第328行,虚拟路由的配置: (19)4.第335行,策略的设置: (21)五.总结 (22)一.基本情况介绍本文档适用于HillStone SG-6000 M2105(车管所)和HillStone SG-6000 NA V20(检测站),网络连接方式为车管所与检测站防火墙用网线直连、车管所与检测站防火墙在同一公安网IP段内两种。
具体配置如下:1.车管所机房情况:数据服务器、应用/通讯服务器、hillstone防火墙、审核电脑1/2的IP分别10.137.186.78/62/68/36/37,系统管理员给的IP地址格式为:;防火墙配置完毕后,车管所服务器设置的IP格式为:webserviceIP:10.136.46.23。
2.通璟检测站:局域网IP地址为192.168.11.*段,网关192.168.11.1。
因为距离短,有一条一百多米网线直接通到车管所机房。
站点服务器、签证申请岗、查验岗、无线路由、PDA、检测线主控、登录机等都接在交换机上,然后交换机接网线到hillstone防火墙的0/1口,到车管所机房的网线接防火墙0/0口。
3.风顺、安运检测站:IP段分别是192.168.12.*和192.168.13.*,网关分别是192.168.12.1和192.168.13.1。
两个站都是依靠着当地的交警大队,直接把大队公安网接网线到检测站防火墙的0/0口。
因为交警大队和交警支队车管所的IP都是一个网段(10.137.186.*),所以两个站防火墙的0/0口IP 分别是10.137.186.97和67。
4.关于防火墙的配置方式:第一种是访问防火墙的默认IP,输入用户名、密码,在配置页面进行配置,一般是按照地址薄、接口、目的路由、策略的顺序进行配置;(注意设置完要保存配置)第二种是上传已设置好的配置文件,然后设置生效,重启(约2-3分钟)。
5.关于配置文件:在“系统”-“配置”页面有本防火墙的配置文件,可上传新的配置文件、现在当前的配置文件。
但下载下来的是DA T文件,使用的是Unicode编码,用记事本打开是乱码。
可将“系统”-“配置”页面的配置命令复制,新建文本文档,粘贴,另存为,将编码选为unicode,选“是”确认。
这样在新建的TXT文档中就可以编辑配置命令,又保证编码格式是unicode(不出乱码)。
6.关于授权证书:防火墙启用后有个试用期限,应当跟采购部要厂家给的永久使用授权证书。
二.车管所防火墙配置说明我只将需要配置的命令段作说明。
1.第12行:“password +Wfd5CQ1JURJQ6DEtWjldaQQmj”,这个密码应该是个加密的东西,最好遵照原始文件的配置,不要更换,以防出错。
2.第90行,地址薄的设置:address "通璟检测站"reference-zone "trust"range 192.168.11.1 192.168.11.254exitaddress "浮梁风顺检测站"reference-zone "trust"range 192.168.12.1 192.168.12.254exitaddress "乐平安运检测站"reference-zone "trust"range 192.168.13.1 192.168.13.254exitaddress "备用检测站"reference-zone "trust"range 192.168.14.1 192.168.14.254exitaddress "调用地址"reference-zone "trust"range 10.136.46.1 10.136.46.254exit这段是设置地址薄(别名+地址范围)上图中,代码是添加了上边的通璟检测站、风顺检测站、安运检测站、备用监测站和调用地址5个地址薄,下边的是自动显示的5个已设置好接口的IP设置。
(后文“接口”有介绍)“ethernet0/0 10.137.186.68/32”意思是车管所防火墙0/0口的IP设为10.137.186.68;“ethernet0/0_subnet 10.137.186.68/24”意思是车管所防火墙0/0口所在的是10.137.186.网段。
3.第316行,接口的设置:interface ethernet0/0zone "trust"ip address 10.137.186.68 255.255.255.0 manage sshmanage telnetmanage pingmanage snmpmanage httpmanage httpsexitinterface ethernet0/1zone "trust"ip address 192.168.200.1 255.255.255.0 manage telnetmanage sshmanage pingmanage httpmanage httpsmanage snmpexitinterface ethernet0/2zone "trust"ip address 192.168.201.1 255.255.255.0 manage telnetmanage sshmanage pingmanage httpmanage httpsmanage snmpexitinterface ethernet0/3zone "trust"ip address 192.168.202.1 255.255.255.0 manage telnetmanage sshmanage pingmanage httpmanage httpsmanage snmpexitinterface ethernet0/4zone "trust"ip address 192.168.203.1 255.255.255.0manage telnetmanage sshmanage pingmanage httpmanage httpsmanage snmpexit车管所的防火墙有5个接口,分别是ethernet0/0、ethernet0/1、ethernet0/2、ethernet0/3、ethernet0/4。
其中ethernet0/0接口是直接连公安网交换机的,设的IP是10.137.186.68 255.255.255.0;ethernet0/1口是接通璟检测站ethernet0/0口出来的网线,给的IP是192.168.200.1 255.255.255.0;ethernet0/2、ethernet0/3、ethernet0/4这三个原本设想的是四个检测站都是直连光纤到车管所防火墙,但风顺、乐平使用不同的接入模式,所以这三个接口设置在这里没有使用。
风顺和安运检测站的防火墙ethernet0/0设的是公安网的IP,直接接入当地交警大队的公安网交换机。
并且这俩防火墙的IP跟交警支队车管所的IP都是10.137.186.*(假若当地交警大队是不同于10.137.186.*的IP地址,则可添加虚拟路由跳转)。
上图可看到,车管所防火墙的5个接口IP都配置了,但是(物理状态)只用到了ethernet0/0口和ethernet0/1口,IP分别为10.137.186.68、192.168.200.1。
4.第371行,虚拟路由的配置:ip vrouter "trust-vr"snatrule id 1 from "Any" to "Any" eif ethernet0/0 trans-to eif-ip mode dynamicportip route 192.168.11.0/24 192.168.200.2ip route 192.168.12.0/24 192.168.201.2ip route 192.168.13.0/24 192.168.202.2ip route 192.168.14.0/24 192.168.203.2ip route 10.136.46.0/24 10.137.186.249exit其中“snatrule id 1 from "Any" to "Any" eif ethernet0/0 trans-to eif-ip mode dynamicport”这句是“防火墙”--“NAT”--“源NA T”页面的配置。
“ ip route 192.168.11.0/24 192.168.200.2ip route 192.168.12.0/24 192.168.201.2ip route 192.168.13.0/24 192.168.202.2ip route 192.168.14.0/24 192.168.203.2ip route 10.136.46.0/24 10.137.186.249”这段是“网络”--“路由”--“目的路由”的设置。
若车管所(10.137.186.*地址段)要跟不同的地址段(如10.136.46.23、192.168.11.*)通讯,需要添加虚拟路由,通过要网关跳转访问。
在上图中,“状态”一栏,我们看到绿色活动的只有6个,有3个未启用;再看“协议”一栏,“主机”和“直连”都是配置接口完毕后自动生成的,“静态”一栏只有2个。
一个是接入公安网交换机的ethernet0/0口。
本来通讯服务器(10.137.186.62)的网关是10.137.186.249,是可以直接从webserviceIP(10.136.46.23)调取公安网机动车基本信息;现在将通讯服务器的网关设为车管所防火墙ethernet0/0口的IP(10.137.186.68),在这里就添加一个10.137.186.249的网关跳到10.136.46.*段,去获取公安网机动车基本信息。