Hillstone防火墙常规部署文档

目录
防火墙常规部署文档 2
防火墙配置前初始化预配置 2
升级至稳定固件系统 2
修改默认远程管理端口 3
防火墙常规部署操作 4
将规划的接口与IP配置好。 5
默认路由配置 6
流量策略配置 7
CLI-命令行快速配置 7
常用配置简单介绍 9
Dnat配置方法 9
策略放行 9

防火墙常规部署文档
防火墙配置前初始化预配置
升级至稳定固件系统
升级具体操作截图如下
因为hillstone-nav20出厂为3.5系统
需由运维工程师提供稳定版本的固件文件，（请主动向运维工程师索取）
笔记本直接防火墙Eth0/0口，配置本地IP地址：192.168.1.X/24 。Ping测试，然后浏览器输入“192.168.1.1”进入Web管理界面。
默认用户名/密码：hillstone
找到如下界面：


PS：选择前面由运维工程师提供的稳定版本固件。等待上传完成后，如下界面会有最新版本的固件下拉菜单。选择下次启动用5.0系统固件，确认。重启设备即可

修改默认远程管理端口
找到如下界面：

修改默认用户名/密码


防火墙常规部署操作
1、事先由运维工程师与客户沟通确认规划内网IP、端口分配（切记）
Hillstone-Nav20为例：
开机后，笔记本直接防火墙Eth0/0口，配置本地IP地址：192.168.1.X/24 。Ping测试，然后浏览器输入“192.168.1.1”进入Web管理界面。
默认用户名/密码：hillstone
找到如下界面：


将规划的接口与IP配置好。
（PS：引导图标可选选项。注意接口区域，Untrust和Trust。且注意以下服务勾选，拒绝开启telnet）

默认路由配置 
接着找到如下界面：

点左上角-新建：配置网关如下（PS：注意选择公网出接口）

流量策略配置
然后找到如下界面：（添加一条Dmz到外网Untrust的策略）


完成。做好上联端口接入即可。PS：这里只放行了内网10.8.1.33的主机可以访问公网资源，如果需要放行所有，填写any即可。
以上是习惯Web-UI的伙伴配置远程管理的步骤。下面也简单的介绍下CLI快速配置方法。
CLI-命令行快速配置
Console连接至防火墙
接口管理--ssh、http、https、snmp
Allen-hillstone(config)# interface ethernet0/1
Allen-hillstone(config-if-eth0/1)# zone untrust
Allen-hillstone(config-if-eth0/1)# ip address 192.168.10.135 255.255.255.0
Allen-hillstone(config-if-eth0/1)# manage ping
Allen-hillstone(config-if-eth0/1)# manage ssh 
Allen-hillstone(config-if-eth0/1)# manage http
Allen-hillstone(config-if-eth0/1)# manage https
Allen-hillstone(config-if-eth0/1)# manage snmp 
默认路由—
Allen-hillstone(config)# ip vrouter 
Allen-hillstone(config)# ip vrouter trust-vr 
Allen-hillstone(config-vrouter)# ip route 0.0.0.0/0 ethernet0/1 192.168.10.1 
配置策略---
Allen-hillstone(config)# policy-global 
Allen-hillstone(config)# rule
Allen-hillstone(config-policy-rule)# src-zone dmz
Allen-hillstone(config-policy-rule)# dst-zone untrust
Allen-hillstone(config-policy-rule)# src-addr any
Allen-hillstone(config-policy-rule)# dst-addr any
Allen-hillstone(config-policy-rule)# service any
Allen-hillstone(config-policy-rule)# action permit 
Allen-hillstone(config-policy-rule)# exit
配置完毕。
现在接上公网上联，即可远程管理了。

常用配置简单介绍
Dnat配置方法



策略放行
若dmz-untrust是any、untrust-dmz也是any，即可跳过此步，若没有。添加一条untrust-dmz的放行策略即可：

本文转自 Bill_Xing 51CTO博客，原文链接:http://blog.51cto.com/zhanx/2043784