![HILLSTONE防火墻配置實例介紹_第1頁](http://file2.renrendoc.com/fileroot_temp3/2021-4/27/f621540a-0444-4f9c-b515-4229ec1f2557/f621540a-0444-4f9c-b515-4229ec1f25571.gif)
![HILLSTONE防火墻配置實例介紹_第2頁](http://file2.renrendoc.com/fileroot_temp3/2021-4/27/f621540a-0444-4f9c-b515-4229ec1f2557/f621540a-0444-4f9c-b515-4229ec1f25572.gif)
![HILLSTONE防火墻配置實例介紹_第3頁](http://file2.renrendoc.com/fileroot_temp3/2021-4/27/f621540a-0444-4f9c-b515-4229ec1f2557/f621540a-0444-4f9c-b515-4229ec1f25573.gif)
![HILLSTONE防火墻配置實例介紹_第4頁](http://file2.renrendoc.com/fileroot_temp3/2021-4/27/f621540a-0444-4f9c-b515-4229ec1f2557/f621540a-0444-4f9c-b515-4229ec1f25574.gif)
![HILLSTONE防火墻配置實例介紹_第5頁](http://file2.renrendoc.com/fileroot_temp3/2021-4/27/f621540a-0444-4f9c-b515-4229ec1f2557/f621540a-0444-4f9c-b515-4229ec1f25575.gif)
版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
1、目錄一基本情況介紹11.車管所機房情況:12.通璟檢測站:23.風順、安運檢測站:24.關于防火墻的配置方式:25.關于配置文件:26.關于授權證書:4二車管所防火墻配置說明51.第12行:52.第90行,地址薄的設置:53.第316行,接口的設置:74.第371行,虛擬路由的配置:95.第381行,策略的配置:10三通璟檢測站防火墻的配置:131.第83行,地址薄的設置:132.第290行,接口的配置:143.第312行,虛擬路由的設置:154.第317行,策略的配置:16四風順檢測站防火墻的配置:171.第86行,地址薄的配置:172.第305行,接口的配置:183.第328行,虛擬路由的
2、配置:194.第335行,策略的設置:21五總結22一基本情況介紹本文檔適用于hillstone sg-6000 m2105(車管所)和hillstone sg-6000 nav20(檢測站),網(wǎng)絡連接方式為車管所與檢測站防火墻用網(wǎng)線直連、車管所與檢測站防火墻在同一公安網(wǎng)ip段內兩種。具體配置如下:1車管所機房情況:數(shù)據(jù)服務器、應用/通訊服務器、hillstone防火墻、審核電腦1/2的ip分別8/62/68/36/37,系統(tǒng)管理員給的ip地址格式為:;防火墻配置完畢后,車管所服務器設置的ip格式為:webserviceip:3。2.通璟檢測站:局
3、域網(wǎng)ip地址為192.168.11.*段,網(wǎng)關。因為距離短,有一條一百多米網(wǎng)線直接通到車管所機房。站點服務器、簽證申請崗、查驗崗、無線路由、pda、檢測線主控、登錄機等都接在交換機上,然后交換機接網(wǎng)線到hillstone防火墻的0/1口,到車管所機房的網(wǎng)線接防火墻0/0口。3.風順、安運檢測站:ip段分別是192.168.12.*和192.168.13.*,網(wǎng)關分別是和。兩個站都是依靠著當?shù)氐慕痪箨?,直接把大隊公安網(wǎng)接網(wǎng)線到檢測站防火墻的0/0口。因為交警大隊和交警支隊車管所的ip都是一個網(wǎng)段(10.137.186.*)
4、,所以兩個站防火墻的0/0口ip分別是7和67。4.關于防火墻的配置方式:第一種是訪問防火墻的默認ip,輸入用戶名、密碼,在配置頁面進行配置,一般是按照地址薄、接口、目的路由、策略的順序進行配置;(注意設置完要保存配置)第二種是上傳已設置好的配置文件,然后設置生效,重啟(約2-3分鐘)。5.關于配置文件:在“系統(tǒng)”-“配置”頁面有本防火墻的配置文件,可上傳新的配置文件、現(xiàn)在當前的配置文件。但下載下來的是dat文件,使用的是unicode編碼,用記事本打開是亂碼??蓪ⅰ跋到y(tǒng)”-“配置”頁面的配置命令復制,新建文本文檔,粘貼,另存為,將編碼選為unicode,選“是”確認。
5、這樣在新建的txt文檔中就可以編輯配置命令,又保證編碼格式是unicode(不出亂碼)。6.關于授權證書:防火墻啟用后有個試用期限,應當跟采購部要廠家給的永久使用授權證書。二車管所防火墻配置說明我只將需要配置的命令段作說明。1.第12行:“password +wfd5cq1jurjq6detwjldaqqmj”,這個密碼應該是個加密的東西,最好遵照原始文件的配置,不要更換,以防出錯。2.第90行,地址薄的設置:address 通璟檢測站 reference-zone trust range 54exitaddress 浮梁風順檢測站 refer
6、ence-zone trust range 54exitaddress 樂平安運檢測站 reference-zone trust range 54exitaddress 備用檢測站 reference-zone trust range 54exitaddress 調用地址 reference-zone trust range 54exit這段是設置地址?。▌e名+地址范圍)上圖中,代碼是添加了上邊的通璟
7、檢測站、風順檢測站、安運檢測站、備用監(jiān)測站和調用地址5個地址薄,下邊的是自動顯示的5個已設置好接口的ip設置。(后文“接口”有介紹)“ethernet0/0 8/32”意思是車管所防火墻0/0口的ip設為8;“ethernet0/0_subnet 8/24”意思是車管所防火墻0/0口所在的是10.137.186.網(wǎng)段。3.第316行,接口的設置:interface ethernet0/0 zone trust ip address 8 manage ssh manage
8、telnet manage ping manage snmp manage http manage httpsexitinterface ethernet0/1 zone trust ip address manage telnet manage ssh manage ping manage http manage https manage snmpexitinterface ethernet0/2 zone trust ip address manage telnet manage
9、 ssh manage ping manage http manage https manage snmpexitinterface ethernet0/3 zone trust ip address manage telnet manage ssh manage ping manage http manage https manage snmpexitinterface ethernet0/4 zone trust ip address manage telnet manage s
10、sh manage ping manage http manage https manage snmpexit車管所的防火墻有5個接口,分別是ethernet0/0、ethernet0/1、ethernet0/2、ethernet0/3、ethernet0/4。其中ethernet0/0接口是直接連公安網(wǎng)交換機的,設的ip是8 ;ethernet0/1口是接通璟檢測站ethernet0/0口出來的網(wǎng)線,給的ip是 ;ethernet0/2、ethernet0/3、ethernet0/4這三個原
11、本設想的是四個檢測站都是直連光纖到車管所防火墻,但風順、樂平使用不同的接入模式,所以這三個接口設置在這里沒有使用。風順和安運檢測站的防火墻ethernet0/0設的是公安網(wǎng)的ip,直接接入當?shù)亟痪箨牭墓簿W(wǎng)交換機。并且這倆防火墻的ip跟交警支隊車管所的ip都是10.137.186.*(假若當?shù)亟痪箨犑遣煌?0.137.186.*的ip地址,則可添加虛擬路由跳轉)。上圖可看到,車管所防火墻的5個接口ip都配置了,但是(物理狀態(tài))只用到了ethernet0/0口和ethernet0/1口,ip分別為8、。4.第371行,虛擬路由的配置:ip
12、vrouter trust-vr snatrule id 1 from any to any eif ethernet0/0 trans-to eif-ip mode dynamicport ip route /24 ip route /24 ip route /24 ip route /24 ip route /24 49exit其中“sna
13、trule id 1 from any to any eif ethernet0/0 trans-to eif-ip mode dynamicport”這句是“防火墻”-“nat”-“源nat”頁面的配置?!?ip route /24 ip route /24 ip route /24 ip route /24 ip route /24 49”
14、這段是“網(wǎng)絡”-“路由”-“目的路由”的設置。若車管所(10.137.186.*地址段)要跟不同的地址段(如3、192.168.11.*)通訊,需要添加虛擬路由,通過要網(wǎng)關跳轉訪問。在上圖中,“狀態(tài)”一欄,我們看到綠色活動的只有6個,有3個未啟用;再看“協(xié)議”一欄,“主機”和“直連”都是配置接口完畢后自動生成的,“靜態(tài)”一欄只有2個。一個是接入公安網(wǎng)交換機的ethernet0/0口。本來通訊服務器(2)的網(wǎng)關是49,是可以直接從webserviceip(3)調取公安網(wǎng)機動車基本信息;現(xiàn)在將通訊服務器的網(wǎng)
15、關設為車管所防火墻ethernet0/0口的ip(8),在這里就添加一個49的網(wǎng)關跳到10.136.46.*段,去獲取公安網(wǎng)機動車基本信息。另一個ethernet0/1口(ip設為)是與通璟檢測站的防火墻的ethernet0/0口連接的。這里設置的是10.137.186.*網(wǎng)段的機器要去訪問通璟檢測站192.168.11.*網(wǎng)段的機器,就要加一個這個網(wǎng)關,也就是通璟檢測站的防火墻的ethernet0/0的ip??梢赃@么理解,邏輯不一定正確,但結果真確:防火墻的不同接口相當于服務器上同時有幾個網(wǎng)卡
16、,不同網(wǎng)卡的網(wǎng)段是可以相互通信的。車管所的0/0、0/1口接入的網(wǎng)段分別是10.137.186.*和192.168.200.*這兩個網(wǎng)段的機器是可以相互通信的;通璟檢測站的0/0、0/1口接入的網(wǎng)段分別是192.168.200.*和192.168.11.*這兩個網(wǎng)段的機器是可以相互通信的;風順檢測站的0/0、0/1口接入的網(wǎng)段分別是10.137.186.*和192.168.12.*這兩個網(wǎng)段的機器是可以相互通信的。這樣子:車管所的機器要訪問通璟檢測站的機器,需要在0/1口添加一個目的地址是、跳轉網(wǎng)關是通璟防火墻0/0口的ip的虛擬路由;車管所的機器要訪問風順檢測站的機器
17、就不用添加虛擬路由,可直接訪問;通璟檢測站的機器要訪問車管所的機器,需要在0/0口添加一個目的地址是、跳轉網(wǎng)關是車管所防火墻0/1口的ip的虛擬路由;風順檢測站的機器要訪問車管所的機器,不用添加虛擬路由,可直接訪問。當然通璟檢測站機器要訪問webserviceip的機器,還需在0/0口添加一個目的地址是3.0、跳轉網(wǎng)關是車管所防火墻0/1口的ip的虛擬路由,而車管所已經(jīng)有一個0/0口、目的地址是、跳轉網(wǎng)關是49的虛擬路由,這樣通璟的機器跳轉兩次網(wǎng)關就可訪問webserviceip的機器;風順的防火墻就是
18、公安網(wǎng)的ip,要訪問webserviceip的機器直接跟車管所防火墻一樣在0/0口添加一個目的地址是、跳轉網(wǎng)關是49的虛擬路由。5.第381行,策略的配置:policy from trust to trust rule id 2 action permit disable src-addr 浮梁風順檢測站 dst-addr ipv4.ethernet0/0_subnet service any exit rule id 3 action permit disable src-addr 樂平安運檢測站 dst-addr ipv4.ethernet0/
19、0_subnet service any exit rule id 4 action permit disable src-addr 備用檢測站 dst-addr ipv4.ethernet0/0_subnet service any exit rule id 10 action permit disable src-addr 通璟檢測站 dst-addr ipv4.ethernet0/0_subnet service any exit rule id 11 action permit disable src-addr ipv4.ethernet0/0_subnet dst-addr 通璟檢測
20、站 service any exit rule id 1 action permit disable src-addr ipv4.ethernet0/0_subnet dst-addr 浮梁風順檢測站 service any exit rule id 5 action permit disable src-addr ipv4.ethernet0/0_subnet dst-addr 樂平安運檢測站 service any exit rule id 6 action permit disable src-addr ipv4.ethernet0/0_subnet dst-addr 備用檢測站 ser
21、vice any exit rule id 7 action permit disable src-addr ipv4.ethernet0/0_subnet dst-addr 調用地址 service any exit rule id 8 action permit src-addr any dst-addr any service any exit這里設置的是通璟檢測站、風順檢測站、安運檢測站、備用檢測站的機器可以訪問車管所防火墻0/0口所在的子網(wǎng)段ipv4.ethernet0/0_subnet的機器,反過來車管所防火墻0/0口所在的子網(wǎng)段ipv4.ethernet0/0_subnet的機器
22、可以訪問通璟檢測站、風順檢測站、安運檢測站、備用檢測站和調用地址的機器。rule8是說來回誰都可以訪問誰,沒有限制。上圖我們可以看到我們只啟用了rule8,也就是沒有限制,any到any。三通璟檢測站防火墻的配置:1.第83行,地址薄的設置:address 車管所 reference-zone trust range 54 range 54exitpki trust-domain trust_domain_default keypair default-key enrollment self sub
23、ject commonname sg-6000 subject organization hillstone networksexit地址薄只設置了一個“車管所”,包括“ 54”和“ 54”兩個ip段。2.第290行,接口的配置:interface ethernet0/0 zone trust ip address manage ssh manage telnet manage ping manage snmp manage http manage
24、 httpsexitinterface ethernet0/1 zone trust ip address manage telnet manage ssh manage ping manage http manage https manage snmpexit這里設置通璟檢測站ethernet0/0口的ip是 (車管所防火墻的ethernet0/1口的ip是 ),ethernet0/1口的ip是 255.255.
25、255.0。3.第312行,虛擬路由的設置:ip vrouter trust-vr ip route /24 ip route /24 exit這里的意思是通璟檢測站的機器(192.168.11.*)要訪問10.137.186.*段和10.136.46.*段的公安網(wǎng)機器的話,得先跳轉到車管所防火墻,然后再跳轉車管所防火墻配置的虛擬路由的網(wǎng)關49去訪問10.137.186.*段和10.136.46.*段的公安網(wǎng)機器。4.第317行,策略的配置:po
26、licy from trust to trust rule id 4 action permit disable src-addr 車管所 dst-addr ipv4.ethernet0/1_subnet service any exit rule id 1 action permit disable src-addr ipv4.ethernet0/1_subnet dst-addr 車管所 service any exit rule id 2 action permit src-addr any dst-addr any service any exit就是“車管所”這個地址薄的機器可以訪問
27、ipv4.ethernet0/1_subnet這個子網(wǎng)下的機器(192.168.11.*),反過來一樣可以;還有個any到any。這里我們啟用的是any到any。四風順檢測站防火墻的配置:1.第86行,地址薄的配置:address 車管所 reference-zone trust range 54exitaddress fs reference-zone trust ip /24 range 5 5 range 00 03ex
28、itaddress cgs reference-zone trust range 54 range 54 range 7 0exit這里配了3個地址薄。車管所的地址是“ 54”; fs的地址有/24、 5 5、 00 03這三個;cgs有 10.137.186.
29、254、 54和7 0三個。u但“車管所”那個地址薄是包含在“cgs”那個地址薄中的,所以是多余的,在“策略”截圖中可看到并沒用啟用“車管所”這個地址。2.第305行,接口的配置: interface ethernet0/0 zone trust ip address 7 manage ssh manage telnet manage ping manage snmp manage http manage httpsexitinterface eth
30、ernet0/1 zone trust ip address manage telnet manage ssh manage ping manage http manage https manage snmpexit設置了ethernet0/0口的ip是7 ,ethernet0/1的ip是 3.第328行,虛擬路由的配置:ip vrouter trust-vr snatrule id 1 from fs to any eif ethernet0/0 trans-to eif-ip mode dynamicport ip route /24 ip route /24 49 ip route /24 49exit其中“snatrule id 1 from fs to any eif ethernet0/0 trans-to eif-ip mode dynamicport”是“防火墻”-“nat”-“源nat”的配置:“ip route
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025年度基礎設施建設項目施工合同進度控制與調整方案
- 2025年度新能源電池研發(fā)合同知識產(chǎn)權共享協(xié)議
- 2025年個人餐廳訂餐服務合同(2篇)
- 2025年度垃圾處理設施建設項目施工合同
- 2025年度數(shù)據(jù)中心能效提升合同能源管理服務協(xié)議
- 2025年度國際知識產(chǎn)權許可與轉讓合同
- 2025年度圍欄安裝工程勞務分包合同范本
- 2025年九年級上冊語文組期末工作總結(2篇)
- 2025年二手車車輛租賃合同協(xié)議模板(三篇)
- 2025年乒乓球比賽活動總結模版(三篇)
- 語文-百師聯(lián)盟2025屆高三一輪復習聯(lián)考(五)試題和答案
- 地理-山東省濰坊市、臨沂市2024-2025學年度2025屆高三上學期期末質量檢測試題和答案
- 正面上手發(fā)球技術 說課稿-2023-2024學年高一上學期體育與健康人教版必修第一冊
- 佛山市普通高中2025屆高三下學期一??荚嚁?shù)學試題含解析
- 人教 一年級 數(shù)學 下冊 第6單元 100以內的加法和減法(一)《兩位數(shù)加一位數(shù)(不進位)、整十數(shù)》課件
- 事故隱患排查治理情況月統(tǒng)計分析表
- 2024年中國黃油行業(yè)供需態(tài)勢及進出口狀況分析
- 永磁直流(汽車)電機計算程序
- 中學學校2024-2025學年教師發(fā)展中心工作計劃
- 小班期末家長會-雙向奔赴 共育花開【課件】
- 國家電網(wǎng)招聘2025-企業(yè)文化復習試題含答案
評論
0/150
提交評論