山石防火墙侧操作步骤

前提条件

山石防火墙的基本网络配置已完成。

操作步骤

1. 登录配置界面。

   此处以5.5R9版本为例，不同防火墙型号及软件版本可能存在差异，配置时请以对应版本的产品文档为准。

2. 配置基础设置。
   1. 配置安全域。

      选择“网络 > 安全域”，单击“新建”，关键参数配置如图1所示。

      图1 安全域配置
      
   2. 配置安全策略。

      选择“策略 > 安全策略 > 策略”，单击“新建 > 策略”，关键参数配置如图2所示。

      图2 策略配置
      
   3. 配置基础路由。
      1. 选择“网络 > 路由 > 目的路由”，单击“新建”。
      2. 在“目的路由”中添加一条到山石防火墙自身VPC的静态路由。
      3. “下一跳”为山石防火墙接口。
      4. “网关”为山石防火墙接口私网地址的子网网关。
         关键参数配置如图3所示。

         图3 目的路由配置
         
      5. 单击“确定”。
3. 配置VPN连接。
   1. 选择“网络 > VPN > IPSec VPN”，在“IPSec VPN”页签下，单击“新建”。
   2. 在“对端选项”下拉选项中单击+号，添加对端信息。
   3. 在“提议1”下拉选项中单击+号新建阶段1提议，关键参数配置如图4 阶段1提议配置所示，单击“确定”。
      图4 阶段1提议配置
      
   4. 完成VPN对端配置。因为华为云VPN网关绑定两个EIP，故需要新建两个对端。

      “提议1”选择c中创建的阶段1提议，并在“高级设置”中使能NAT穿越和DPD检测，单击“确定”。

      图5 VPN对端配置
      
   5. 在“P2提议”下拉选项中单击+号新建阶段2提议，关键参数配置如图6 阶段2提议配置所示，单击“确定”。
      图6 阶段2提议配置
      
   6. 完成VPN连接配置，“对端选项”分别选择d中创建的两个VPN对端，“P2提议”为e中创建的P2提议，单击“确定”。
      图7 IPSec VPN配置
      
4. 配置tunnel接口。
   1. 选择“网络 > 接口”，单击“新建 > 隧道接口”。
   2. 配置两个tunnel接口，关键参数配置如图8所示。
      “安全域”选择a中创建的安全域，“VPN名称”分别选择f中创建的两个隧道名称。

      图8 tunnel接口配置
      
5. 配置业务路由。
   1. 选择“网络 > 路由 > 目的路由”，单击“新建”。
   2. 配置山石防火墙到华为云VPC的静态路由信息。

      本示例中，山石防火墙和华为云VPC采用双Tunnel通道进行通信，且华为云VPC存在2个子网，故此处需要配置四条静态路由信息，如图9所示。

      由于静态路由3/4和静态路由1/2的目的地相同，但优先级没有静态路由1/2高，故配置完成后不活跃。

      图9 业务路由配置