Hillstone防火墙设置笔记

Last updated on 2019年10月6日 4 min read

缘起

管理的网络由于调整的时候没有具体关心,居然把防火墙下线了,后来在我的一再要求下,上线了,又怪是没有在现场,结果弄成了比我想象还要坏的情况,居然只是当了类似一个交换机的功能,没有任何防护或过滤。在一再催促下,没有继续完成下去,一气之下,穷人思维爆发,决定自己弄一下。

历史的经验

之前是用过hillstone的,但之前一直使用的是web的管理界面,基本只用于策略的调整,也没有用到其它功能。当时也是知道同时存在一个CLI,但是从来没有用过。

事前的准备

网上搜索了一个官方出品的基础操作手册,给我信心的官方的一篇在线说明。

http://docs.hillstonenet.com/cn/Content/1_Welcome/welcome.htm

要注意的是左侧的各种下载点进去之后只能看到各种新设备的下载链接,反而是右侧的在线教程的目录比较靠谱。

直接看:部署您的设备

Hillstone的架构

安全域

简单的讲,内网的都设为 trust, 外网的都设成 untrust。如果是透明模式,内网是 l2-trust。

接口

就是防火墙上的接口,接口要绑定到安全域

虚拟交换机(Vswitch)

二层,所有的二层安全域都绑定在 vswithch上。

虚拟路由器(Vrouter)

三层,所有三层安全域绑在 vrouter上

小结

接口绑定到安全域,安全域绑定到VSwitch或VRouter,进而,接口也就绑定到了某个VSwitch或VRouter。一个接口只能绑定到一个安全域上,一个安全域可以绑定多个接口。二层安全域只能绑定到VSwitch上,三层安全域只能绑定到VRouter上。

策略

策略执行的顺序是从上到下,要加的限制应该加在最上面。

策略是防火墙设置中最主要的部分,也是我平时需要修改调整的部分。

默认情况下,所有的接口之间的流量都是拒绝的。不同的安全域之间、相同的安全域之内的接口流量均不能互访。要实现接口的互访,只有通过创建策略规则,才能将流量放行。

如果既有从源到目的的访问,又有反方向的主动访问,那么就要创建两条策略规则,允许双方向的流量通过;如果只有单方向的主动访问,而反方向只回包即可,那么只需要创建源到目的的一条单方向的策略。

部署模式

部署模式有4种

透明模式配置

不用动原来的网络,直接串在原来的网络里即可。

  • 连接设备

    将管理员的PC的IP地址设置为与192.168.1.1/24同网段的IP地址,并且用网线将管理PC与设备的ethernet0/0MGT接口进行连接。

    在PC的Web浏览器中输入地址“http://192.168.1.1”并按回车键,打开登录页面

    输入用户名和密码。设备提供的默认用户名和密码均为“hillstone”。

  • 接口配置

    确定2个口,如1号口作为外网方向的口,2号口作为内网我方向。

    菜单选择 网络-接口 将1号口配置为 二层安全域 l2-untrust ,将2号口配置为 二层安全域 l2-trust

  • 配置基础策略

    加一条 l2-untrustl2-trust 的策略,地址服务全部选 =Any=,再同样的加一条反向的。这样的操作是先把网通起来,双向全部放行,后续的限制可以后面再加。

  • 配置管理地址

    网络-接口 新建 新建时选择 vswitch接口 在菜单中选择 三层安全域 安全域选 trust

    IP配置在静态IP中设置一个IP,管理方式根据需要选择,其它默认即可。

路由模式

路由模式会对地址进行转换,每个接口都会配置地址。

旁路模式

只记录,不控制,只做审计用

动手

看完网上的手册,信心十足,感觉非常简单,直接上手。

连接配置

按照手册设置了计算机的IP,结果访问不到。果然没有想象地简单。估计是上一个配置的人还是修改了自己的内容,并不是设备的默认配置,或者说这个设备比较旧,出厂设置中也未配置IP。难道要我再试试恢复出厂?

恢复出厂可能导致我最后根本无法还原到现在的可用状态,最终还是没有采用。

web界面上不了,只能CLI了,hillstone使用的是StoneOS,网上能查到的资料真是不多。好在console口还是能连的。使用?大法大概摸索出了些基本命令。

  • show configuration
  • config
  • save
  • exit

上面这四条基本就够了。

好在手头有一个很久之前的配置备份,查看了一下,应该是在 interface vswitchif1 下配置ip。成功配置,电脑直连web可以访问了。

如果要在网络中访问,需要将ethernet0/0MGT再插一根网线到网络中,并需要配置路由。

路由配置: 网络-路由-目的路由 新建 目的IP 0.0.0.0 掩码 0.0.0.0 下一条 网关 网关设置网络的网关。如果 CLI 配置,则在 ip vrouter "trust-vr" 中配置 ip route 0.0.0.0/0 <网关IP>

其它配置

解决了连接问题后,其它的操作基本都是可控的了。

  • 修改默认密码: 系统-设备管理-基本信息 编辑账号
  • 日期时间设置: 系统-时间-日期
  • 打开攻击防护: 防火墙-攻击防护 可以一个一个打开,测试对业务的影响。注意,在选择安全域时,就选择 l2-untrust ,否则可能断网。此时也应该仔细检查各个接口的安全区域的设置是否正确。
海上一民工