目录
防火墙常规部署文档 2
防火墙配置前初始化预配置 2
升级至稳定固件系统 2
修改默认远程管理端口 3
防火墙常规部署操作 4
将规划的接口与IP配置好。 5
默认路由配置 6
流量策略配置 7
CLI-命令行快速配置 7
常用配置简单介绍 9
Dnat配置方法 9
策略放行 9
防火墙常规部署文档
防火墙配置前初始化预配置
升级至稳定固件系统
升级具体操作截图如下
因为hillstone-nav20出厂为3.5系统
需由运维工程师提供稳定版本的固件文件,(请主动向运维工程师索取)
笔记本直接防火墙Eth0/0口,配置本地IP地址:192.168.1.X/24 。Ping测试,然后浏览器输入“192.168.1.1”进入Web管理界面。
默认用户名/密码:hillstone
找到如下界面:
PS:选择前面由运维工程师提供的稳定版本固件。等待上传完成后,如下界面会有最新版本的固件下拉菜单。选择下次启动用5.0系统固件,确认。重启设备即可
修改默认远程管理端口
找到如下界面:
修改默认用户名/密码
防火墙常规部署操作
1、事先由运维工程师与客户沟通确认规划内网IP、端口分配(切记)
Hillstone-Nav20为例:
开机后,笔记本直接防火墙Eth0/0口,配置本地IP地址:192.168.1.X/24 。Ping测试,然后浏览器输入“192.168.1.1”进入Web管理界面。
默认用户名/密码:hillstone
找到如下界面:
将规划的接口与IP配置好。
(PS:引导图标可选选项。注意接口区域,Untrust和Trust。且注意以下服务勾选,拒绝开启telnet)
默认路由配置
接着找到如下界面:
点左上角-新建:配置网关如下(PS:注意选择公网出接口)
流量策略配置
然后找到如下界面:(添加一条Dmz到外网Untrust的策略)
完成。做好上联端口接入即可。PS:这里只放行了内网10.8.1.33的主机可以访问公网资源,如果需要放行所有,填写any即可。
以上是习惯Web-UI的伙伴配置远程管理的步骤。下面也简单的介绍下CLI快速配置方法。
CLI-命令行快速配置
Console连接至防火墙
接口管理--ssh、http、https、snmp
Allen-hillstone(config)# interface ethernet0/1
Allen-hillstone(config-if-eth0/1)# zone untrust
Allen-hillstone(config-if-eth0/1)# ip address 192.168.10.135 255.255.255.0
Allen-hillstone(config-if-eth0/1)# manage ping
Allen-hillstone(config-if-eth0/1)# manage ssh
Allen-hillstone(config-if-eth0/1)# manage http
Allen-hillstone(config-if-eth0/1)# manage https
Allen-hillstone(config-if-eth0/1)# manage snmp
默认路由—
Allen-hillstone(config)# ip vrouter
Allen-hillstone(config)# ip vrouter trust-vr
Allen-hillstone(config-vrouter)# ip route 0.0.0.0/0 ethernet0/1 192.168.10.1
配置策略---
Allen-hillstone(config)# policy-global
Allen-hillstone(config)# rule
Allen-hillstone(config-policy-rule)# src-zone dmz
Allen-hillstone(config-policy-rule)# dst-zone untrust
Allen-hillstone(config-policy-rule)# src-addr any
Allen-hillstone(config-policy-rule)# dst-addr any
Allen-hillstone(config-policy-rule)# service any
Allen-hillstone(config-policy-rule)# action permit
Allen-hillstone(config-policy-rule)# exit
配置完毕。
现在接上公网上联,即可远程管理了。
常用配置简单介绍
Dnat配置方法
策略放行
若dmz-untrust是any、untrust-dmz也是any,即可跳过此步,若没有。添加一条untrust-dmz的放行策略即可:
本文转自 Bill_Xing 51CTO博客,原文链接:http://blog.51cto.com/zhanx/2043784