山石网科虚拟化下一代防火墙

1. 产品介绍

山石网科的虚拟防火墙产品，简称为云·界(CloudEdge)，是一个纯软件形态的产品，是运行在虚拟机上的StoneOS系统。需要先购买本平台ESS实例来安装搭建，并同时购买授权证书来组合使用。

云·界系列虚拟防火墙产品包含多种型号，每种型号的产品要求虚拟机的最低配置如下：

注意: 虚拟防火墙的型号是由CPU许可证授权数和实际虚拟机配置的规格(CPU和内存) 共同确定，以两者中较低的数值最终确定虚拟防火墙的型号。若实际安装环境未达到上述要求的最低配置，将无法正常启动对应型号的虚拟防火墙。

2. 基础安全功能配置

2.1. 网卡配置说明

使用安全访问功能需正确配置防火墙的两块网卡。

• WAN口静态IP配置
  Eth0网卡IP获取方式默认为DHCP方式获取，如需修改为静态IP，请参考以下步骤：

  1. 添加静态默认路由。
     目标地址/编码　：0.0.0.0/0 #根据访问需要进行设置
     接口eth0
     下一跳地址　　 ：100.70.0.1 #查看路由，填写原默认路由下一跳地址

     

  2. WAN口（eth0）修改为静态IP
     静态IP地址修改为边界网络IP，可在云控制台ESS信息中查看。

     重要说明：
     请操作步骤1后再进行静态IP类型修改，否则将无法访问。

     

     

2.2. 配置SNAT策略

源地址转换SNAT：私有网络客户端可访问公网服务
虚拟路由器　　：trust-vr
源地址　　　　：地址条目 - private_network
目的地址　　　：地址条目 - any
协议　　　　　：所有
源地址转换　　：指定IP 100.70.5.214　（eth0接口IP）
模式　　　　　：动态（多对一转换）

2.3. 配置DNAT策略

目的地址转换DNAT：公网客户端可通过EIP访问私网服务,如开放的80端口web服务（新建 - 选择高级配置）
虚拟路由器　　：trust-vr
源地址　　　　：地址条目 - any
目的地址　　　：IP地址 – 100.70.5.214 （eth0接口IP）
协议　　　　　：所有（或者可指定HTTP协议，eth0网卡需要配置放行HTTP）
目的地址转换　：转换 - 10.2.0.121　 （需要映射提供访问服务的私网服务器IP）

2.4. 配置应用控制策略

配完NAT策略后网络配置已经完成，由于本防火墙默认是阻拦所有数据包的，我们还需要配置安全策略将客户需要的业务数据放通，这里放通DNAT场景（公网→私网）数据访问（用户可以根据自己的需要放通相应的业务）。

以上步骤完成后，基本网络配置完成，其它功能策略，请使用者按需配置。

更多产品操作，可参考产品官方文档。