文档介绍:山石防火墙配置hillstone防火墙配置步骤(以hillstoneSA5040为例讲解)厦门领航立华科技有限公司目录1 需要从客户方获取的基本信息 32 配置步骤 配置安全域 配置接口地址 配置路由 配置NAT 源地址NAT 目的地址NAT 63 配置策略 配置安全域之间的允许策略 配置trust到Untrust的允许所有的策略 配置DMZ到Untrust的允许所有的策略 配置trust到DMZ的允许策略 配置Untrust到DMZ服务器的允许策略 配置Untrust到Trust服务器的允许策略 配置详细策略 114 配置QOS 125 配置SCVPN 13需要从客户方获取的基本信息部署位置:互联网出口位置,还是其他,如部署在出口路由器之后等部署方式:三层接入(需要做NAT,大部分都是这种接入方式),二层透明接入(透明接入不影响客户网络架构),混合接入模式(有几个接口需要配置成透明接口模式,可以支持这种方式)外网出口信息:几个出口,电信Or网通,外网IP地址资源(多少个),外网网关(防火墙默认路由设置)安全域划分:一般正常3个安全域,Untrust(外网)、Trust(内网)、Dmz(服务器网段),也可以自定义多个外网接口IP地址:由客户提供内网口IP地址:如果客户内网有多个网段,建议在客户中心交换机配置独立的VLAN网段,不要与客户内部网段相同。如果客户内网只有1个网段,没有中心交换机,则把防火墙内网口地址设置为客户内网地址段,并作为客户内网网关(适用于中小型网络)DMZ口IP地址:由客户提供,建议配置成服务器网段的网关;配置步骤配置安全域默认就有常用的3个安全域了,Trust,Untrust,DMZ配置接口地址配置路由默认路由:其中指定的接口:Untrust(外网)接口,如果有多个出口,可以在这选择不同的接口。其中网关为跟FW互联设备接口的地址,。静态路由:网关地址为下一跳地址,客户内部有多个VLAN,需要在这配置静态路由,,,可以指定一条静态路由,,选择互联网出口接口为eth0/1,配置接口地址就为NAT地址,并配置动态端口,启用Sticky(启用这个会更好的利用接口的资源)。(只有配置了源地址NAT,内部网络才能上互联网)目的地址NATIP映射,把外网一个IP地址完全映射到内部一台服务器,具体如下,创建IP映射端口映射,把访问外网某个地址的指定端口映射到内部服务器的指定端口,具体配置如下:新建——>选择端口映射