hillstone防火墙配置实例介绍 - 图文(3)

需要在0/0口添加一个目的地址是10.137.186.0、跳转网关是车管所防火墙0/1口的IP的虚拟路由；风顺检测站的机器要访问车管所的机器，不用添加虚拟路由，可直接访问。当然通璟检测站机器要访问webserviceIP的机器，还需在0/0口添加一个目的地址是10.136.46.23.0、跳转网关是车管所防火墙0/1口的IP的虚拟路由，而车管所已经有一个0/0口、目的地址是10.136.46.0、跳转网关是10.137.186.249的虚拟路由，这样通璟的机器跳转两次网关就可访问webserviceIP的机器；风顺的防火墙就是公安网的IP，要访问webserviceIP的机器直接跟车管所防火墙一样在0/0口添加一个目的地址是10.136.46.0、跳转网关是10.137.186.249的虚拟路由。

5.第381行，策略的配置：

policy from \ rule id 2

action permit disable

src-addr \浮梁风顺检测站\

dst-addr \ service \ exit

rule id 3

action permit disable

src-addr \乐平安运检测站\

dst-addr \ service \ exit

rule id 4

action permit disable

src-addr \备用检测站\

dst-addr \ service \ exit

rule id 10

action permit disable

src-addr \通璟检测站\

dst-addr \ service \ exit

rule id 11

action permit disable

src-addr \ dst-addr \通璟检测站\ service \ exit

rule id 1

action permit disable

src-addr \ dst-addr \浮梁风顺检测站\ service \ exit

rule id 5

action permit disable

src-addr \ dst-addr \乐平安运检测站\ service \ exit

rule id 6

action permit disable

src-addr \ dst-addr \备用检测站\ service \ exit

rule id 7

action permit disable

src-addr \ dst-addr \调用地址\ service \ exit

rule id 8

action permit src-addr \

dst-addr \ service \ exit

这里设置的是通璟检测站、风顺检测站、安运检测站、备用检测站的机器可以访问车管所防火墙0/0口所在的子网段\的机器，反过来车管所防火墙0/0口所在的子网段\的机器可以访问通璟检测站、风顺检测站、安运检测站、备用检测站和调用地址的机器。Rule8是说来回谁都可以访问谁，没有限制。

上图我们可以看到我们只启用了rule8，也就是没有限制，any到any。

三．通璟检测站防火墙的配置：

1.第83行，地址薄的设置：

address \车管所\

reference-zone \

range 10.137.186.1 10.137.186.254 range 10.136.46.1 10.136.46.254 exit

pki trust-domain \ keypair \ enrollment self

subject commonName \

subject organization \exit

地址薄只设置了一个“车管所”，包括“10.137.186.1 10.137.186.254”和“10.136.46.1 10.136.46.254”两个IP段。

2.第290行，接口的配置：

interface ethernet0/0 zone \

ip address 192.168.200.2 255.255.255.0 manage ssh manage telnet manage ping manage snmp manage http manage https exit

interface ethernet0/1

zone \

ip address 192.168.11.1 255.255.255.0 manage telnet manage ssh manage ping manage http manage https manage snmp exit

这里设置通璟检测站ethernet0/0口的IP是192.168.200.2 255.255.255.0（车管所防火墙的ethernet0/1口的IP是192.168.200.1 255.255.255.0），ethernet0/1口的IP是

192.168.11.1 255.255.255.0。

3.第312行，虚拟路由的设置：

ip vrouter \

ip route 10.137.186.0/24 192.168.200.1 ip route 10.136.46.0/24 192.168.200.1 exit

这里的意思是通璟检测站的机器（192.168.11.*）要访问10.137.186.*段和10.136.46.*段的公安网机器的话，得先跳转到车管所防火墙192.168.200.1，然后再跳转车管所防火墙配置的虚拟路由的网关10.137.186.249去访问10.137.186.*段和10.136.46.*段的公安网机器。