山石防火墙简单配置步骤.doc

hillstone防火墙配置步骤 (以hillstone SA5040为例讲解) 厦门领航立华科技有限公司 TECH2009-8-24 厦门领航立华科技有限公司 目录页 目 录 1 需要从客户方获取的基本信息 .3 2 配置步骤 .3 2.1 配置安全域 .3 2.2 配置接口地址 .4 2.3 配置路由 .4 2.4 配置 NAT 6 2.4.1 源地址 NAT 6 2.4.2 目的地址 NAT 6 3 配置策略 .8 3.1 配置安全域之间的允许策略 .8 3.1.1 配置 trust 到 Untrust 的允许所有的策略 8 3.1.2 配置 DMZ 到 Untrust 的允许所有的策略 9 3.1.3 配置 trust 到 DMZ 的允许策略 .9 3.1.4 配置 Untrust 到 DMZ 服务器的允许策略 10 3.1.5 配置 Untrust 到 Trust 服务器的允许策略.10 3.1.6 配置详细策略 .11 4 配置QOS 12 5 配置SCVPN 13 TECH2009-8-24 厦门领航立华科技有限公司 技术方案 第 3 页 1 需要从客户方获取的基本信息  部署位置：互联网出口位置，还是其他，如部署在出口路由器之后等  部署方式：三层接入（需要做NAT，大部分都是这种接入方式），二层透明 接入（透明接入不影响客户网络架构），混合接入模式（有几个接口需要配 置成透明接口模式，可以支持这种方式）  外网出口信息：几个出口，电信Or 网通，外网IP 地址资源（多少个），外 网网关（防火墙默认路由设置）  安全域划分：一般正常3 个安全域，Untrust（外网）、Trust（内网）、 Dmz（服务器网段），也可以自定义多个  外网接口IP 地址：由客户提供  内网口IP 地址：  如果客户内网有多个网段，建议在客户中心交换机配置独立的VLAN 网段，不要与客户内部网段相同。  如果客户内网只有1 个网段，没有中心交换机，则把防火墙内网口 地址设置为客户内网地址段，并作为客户内网网关（适用于中小型 网络）  DMZ 口IP 地址：由客户提供，建议配置成服务器网段的网关； 2 配置步骤 2.1 配置安全域 默认就有常用的 3 个安全域了，Trust，Untrust，DMZ TECH2009-8-24 厦门领航立华科技有限公司 技术方案 第 4 页 2.2 配置接口地址 2.3 配置路由 默认路由：其中指定