Hillstone山石网科多核安全网关安装手册_3.5R2
Hillstone山石网科多核安全网关安装手册
Hillstone山石网科
SG-6000-IM0609-3.5R2C-01
前言
内容简介
感谢您选用Hillstone Networks的网络安全产品。
本手册为Hillstone山石网科多核安全网关的安装手册,能够帮助用户正确安装Hillstone山石网科多核安全网关。本手册的内容包括:
?第1章产品介绍
?第2章安全网关安装前的准备工作
?第3章安全网关的安装
?第4章安全网关的启动和配置
?第5章安全网关的硬件维护
?第6章常见故障处理
手册约定
为方便用户阅读与理解,本手册遵循如下约定:
?警告:表示如果该项操作不正确,可能会给安全网关或安全网关操作者带来极大危险。因此操作者必须严格遵守正确的操作规程。
?注意:表示在安装和使用安全网关过程中需要注意的操作。该操作不正确,可能影响安全网关的正常使用。
?说明:为用户提供有助于理解内容的说明信息。
内容目录
第1章产品介绍 (1)
简介 (1)
SG-6000系列多核安全网关的特点 (1)
创新的多核Plus TM网络安全构 (1)
强健的实时操作系统Hillstone (1)
主机硬件介绍 (1)
前面板介绍 (1)
后面板介绍 (4)
指示灯含义 (4)
系统参数 (6)
端口属性 (7)
CLR按键 (9)
电源 (10)
第2章安全网关安装前的准备工作 (11)
介绍 (11)
洁净度要求 (11)
防静电要求 (11)
电磁环境要求 (11)
接地要求 (11)
检查安装台 (12)
其它安全注意事项 (12)
检查安全网关及其附件 (12)
安装设备、工具和电缆 (12)
第3章安全网关的安装 (13)
安装前说明 (13)
将安全网关安装在工作台上 (13)
将安全网关安装到标准机柜中 (14)
线缆连接 (14)
连接地线 (15)
连接配置电缆 (15)
连接以太网电缆或光纤 (15)
连接电源线 (16)
安装完成后的检查 (16)
第4章安全网关的启动和配置 (17)
介绍 (17)
搭建配置环境 (17)
搭建配置口(CON口)的配置环境 (17)
搭建WebUI配置环境 (18)
搭建Telnet和SSH配置环境 (18)
安全网关的基本配置 (18)
第5章安全网关的硬件维护 (20)
介绍 (20)
电源模块的安装与拆卸 (20)
风扇盘的安装与拆卸 (20)
第6章常见故障处理 (22)
介绍 (22)
口令丢失情况下的处理 (22)
电源系统故障处理 (22)
配置系统故障处理 (22)
插图目录
图1-1:SG-6000-X5100前面板示意图 (2)
图1-2:SG-6000-G6100前面板示意图 (2)
图1-3:SG-6000-G3100前面板示意图 (3)
图1-4:SG-6000-M3100前面板示意图 (3)
图1-5:SG-6000-M2100前面板示意图 (3)
图1-6:SG-6000-X5100/SG-6000-G6100后面板示意图 (4)
图1-7:SG-6000-G3100后面板示意图 (4)
图1-8:SG-6000-M3100后面板示意图 (4)
图1-9:SG-6000-M2100后面板示意图 (4)
图3-1:脚垫安装示意图 (13)
图3-2:挂耳安装示意图 (14)
图3-3:机柜安装示意图 (14)
图4-1:配置口(CON口)配置环境 (17)
图4-2:设置终端通讯参数 (18)
表格目录
表1-1:SG-6000-X5100前面板标识说明 (2)
表1-2:SG-6000-G6100前面板标识说明 (2)
表1-3:SG-6000-G3100前面板标识说明 (3)
表1-4:SG-6000-M3100前面板标识说明 (3)
表1-5:SG-6000-M2100前面板标识说明 (3)
表1-6:Hillstone山石网科多核安全网关前面板指示灯含义 (5)
表1-7:Hillstone山石网科多核安全网关系统参数 (7)
表1-8:配置口属性 (7)
表1-9:辅助口属性 (7)
表1-10:USB Host接口属性 (8)
表1-11:千兆电口属性 (8)
表1-12:SFP接口属性 (8)
表1-13:SFP光接口模块属性 (9)
表1-14:SFP-T电接口模块属性 (9)
表1-15:XFP接口属性 (9)
表1-16:XFP光接口模块属性 (9)
表2-1:机房灰尘浓度范围表 (11)
第1章产品介绍
简介
Hillstone SG-6000系列多核安全网关是Hillstone山石网科自主开发、拥有知识产权的新一代安全网关。Hillstone山石网科采用创新的多核Plus TM网络安全架构,将多核网络专用处理器、高性能ASIC 处理器和高速交换总线完美地集成在一起,并使用全面优化的专用实时操作系统,在性能稳定性和可扩展性上提供了新的业界标准,在特定性能指标上有了质的飞跃。Hillstone SG-6000系列多核安全网关是专门为电信运营商、金融机构、政府机关、大中型企业及高校等机构设计的高性能网关,可为网络提供访问控制、数据加密保护、远程安全接入、应用带宽管理、网络防病毒、抗DDoS/DoS攻击等安全服务。
目前,SG-6000系列产品的型号有SG-6000-X5100、SG-6000-G6100、SG-6000-G3100、SG-6000-M3100和SG-6000-M2100。
SG-6000系列多核安全网关的特点
本节介绍SG-6000系列多核安全网关的主要特点。
创新的多核Plus TM网络安全构
Hillstone山石网科多核安全网关采用业界先进的多核Plus TM网络安全架构,该架构使用自主开发的StoneOS无缝整合多核CPU、自主开发的专用安全芯片StoneASIC TM和高速内部交换总线,使得安全网关在安全处理的性能上有了质的飞跃。
强健的实时操作系统Hillstone
山石网科多核安全网关采用自主开发的64位实时并行操作系统StoneOS,具有强大的并行处理能力和模块化的结构设计,易于集成和扩展更多的安全功能。通过对新一代多核处理器的全面优化和安全加固,极大的提高了系统处理效率、稳定性和安全性。模块化和并行多任务的处理机制为Hillstone山石网科新一代的网络安全系统提供了极大的扩展能力,包括支持更多核处理器和集成更多的安全功能。
主机硬件介绍
Hillstone山石网科多核安全网关按照19英寸标准机柜的尺寸设计,可以安装在标准机柜中使用,也可以放在工作台上使用。
前面板介绍
SG-6000-X5100安全网关前面板有1个千兆电口、12个SFP接口、2个XFP接口、2个USB接口、1个配置口、1个辅助口、1个CLR按键、状态指示灯以及风扇盘。图1-1为SG-6000-X5100的
前面板示意图:
图1-1:SG-6000-X5100前面板示意图
序号 标识及说明 序号 标识及说明 序号标识及说明
1 PWR:电源指示灯 6 PS1:电源PS1指示灯11 USB0-USB1:USB接口
2 STA:状态指示灯7 FAN:风扇指示灯12 e0/0:千兆电口
3 ALM:警告指示灯8 CLR:CLR按键13 e0/1-e0/12:SFP接口
4 HA:高可用状态指示灯9 CON:配置口14 xe0/13-xe0/14:XFP接口
5 PS0:电源PS0指示灯10 AUX:辅助口15 风扇盘
表1-1:SG-6000-X5100前面板标识说明
SG-6000-G6100安全网关前面板有1个千兆电口、12个SFP接口、2个USB接口、1个配置口、1个辅助口、1个CLR按键、状态指示灯以及风扇盘。图1-2为SG-6000-G6100的前面板示意图:
图1-2:SG-6000-G6100前面板示意图
序号 标识及说明 序号 标识及说明 序号标识及说明
1 PWR:电源指示灯 6 PS1:电源PS1指示灯11 USB0-USB1:USB接口
2 STA:状态指示灯7 FAN:风扇指示灯12 e0/0:千兆电口
3 ALM:警告指示灯8 CLR:CLR按键13 e0/1-e0/12:SFP接口
4 HA:高可用状态指示灯9 CON:配置口14 风扇盘
5 PS0:电源PS0指示灯10 AUX:辅助口
表1-2:SG-6000-G6100前面板标识说明
SG-6000-G3100安全网关前面板布局相同,有6个千兆电口、6个千兆Combo口(SFP口+电
口)、2个USB接口、1个配置口、1个辅助口、1个CLR按键以及状态指示灯。图1-3为SG-6000-G3100的前面板示意图:
图1-3:SG-6000-G3100前面板示意图
序号 标识及说明 序号 标识及说明 序号标识及说明
1 PWR:电源指示灯 5 PS0:电源PS0指示灯9 AUX:辅助口
2 STA:状态指示灯 6 PS1:电源PS1指示灯10 USB0-USB1:USB接口
3 ALM:警告指示灯7 CLR:CLR按键11 e0/0-e0/5:千兆电口
4 HA:高可用状态指示灯8 CON:配置口12 e0/6-e0/11:Combo口
表1-3:SG-6000-G3100前面板标识说明
SG-6000-M3100安全网关前面板有8个千兆电口、1个USB接口、1个配置口、1个CLR按键以及状态指示灯。图1-4为SG-6000-M3100的前面板示意图:
图1-4:SG-6000-M3100前面板示意图
序号 标识及说明 序号 标识及说明 序号标识及说明
1 PWR:电源指示灯 4 HA:高可用状态指示灯7 USB:USB接口
2 ALM:警告指示灯 5 CLR:CLR按键8 e0/0-e0/7:千兆电口
3 STA:状态指示灯 6 CON:配置口
表1-4:SG-6000-M3100前面板标识说明
SG-6000-M2100安全网关前面板有5个千兆电口、1个配置口、1个CLR按键、1个USB接口以及状态指示灯。图1-5为SG-6000-M2100的前面板示意图:
图1-5:SG-6000-M2100前面板示意图
序号 标识及说明 序号 标识及说明 序号标识及说明
1 PWR:电源指示灯 4 VPN:VPN状态指示灯7 USB:USB接口
2 STA:状态指示灯 5 CLR:CLR按键8 e0/0-e0/4:千兆电口
3 ALM:警告指示灯 6 CON:配置口
表1-5:SG-6000-M2100前面板标识说明
后面板介绍
SG-6000-X5100和SG-6000-G6100安全网关后面板布局相同,采用双电源供电。后面板有2个电源插座及开关、接地保护螺丝以及出风孔。图1-6为SG-6000-X5100和SG-6000-G6100的后面板示意图:
图1-6:SG-6000-X5100/SG-6000-G6100后面板示意图
SG-6000-G3100安全网关采用双电源供电。后面板有2个开关、2个插座、接地保护螺丝以及出风孔。图1-7为SG-6000-G3100的后面板示意图:
图1-7:SG-6000-G3100后面板示意图
SG-6000-M3100安全网关使用单电源供电。后面板装有开关、插座以及接地保护螺丝。图1-8为SG-6000-M3100安全网关的后面板示意图:
图1-8:SG-6000-M3100后面板示意图
SG-6000-M2100安全网关使用电源适配器供电。后面板装有1个插座、接地保护螺丝、以及安全锁孔。图1-9为SG-6000-M2100安全网关的后面板示意图:
图1-9:SG-6000-M2100后面板示意图
指示灯含义
Hillstone山石网科多核安全网关前面板指示灯的颜色、状态及其含义如表1-6所示:
指示灯 颜色/状态 含义
绿色常亮 系统电源工作正常 橙色常亮 电源工作异常
红色常亮 电源工作异常或者系统处于关闭状态 PWR
熄灭 系统没有供电 绿色常亮
系统处于启动状态 绿色闪烁 系统已启动并且正常工作 STA 红色常亮 系统启动失败或者系统异常 红色常亮 系统告警 绿色闪烁
系统处于等待状态 熄灭 系统正常
橙色闪烁 系统正在使用试用许可证
ALM
橙色 系统的试用许可证已过期,无合法许可证 绿色常亮 电源PS0正常供电
橙色常亮 电源PS0正常供电,但电源散热风扇发生故障,用户应尽快更换
PS0(SG-6000-X5100 SG-6000-G6100 SG-6000-G3100) 熄灭 电源PS0没有供电或电源故障
绿色常亮 电源PS1正常供电
橙色常亮 电源PS1正常供电,但电源散热风扇发生故障,用户应尽快更换
PS1(SG-6000-X5100 SG-6000-G6100 SG-6000-G3100)
熄灭 电源PS1没有供电或电源故障 绿色常亮 只有一台设备,工作在Master 状态
绿色闪烁 有一主一备两台设备,本机工作在Master 状态 橙色闪烁 有一主一备两台设备,本机工作在Slave 状态
HA (SG-6000-M2100没有HA 指示灯)
红色闪烁 HA 功能异常
绿色常亮
风扇系统工作正常
橙色常亮
风扇系统有一个风扇故障,但系统仍能正常运行。
用户应尽快更换
FAN (SG-6000-X5100 SG-6000-G6100)
红色常亮
风扇系统发生严重故障或者风扇盘未插入。系统延
时15秒后自动进入关闭状态
绿色常亮 VPN 隧道已连接
橙色常亮 VPN 功能开启,无隧道连接 VPN (SG-6000-M2100)
熄灭 VPN 功能未启动
绿色常亮 端口与对端设备通过网线或光纤连接且连接正常 LNK 熄灭 端口与对端设备无连接或端口连接失败 黄色闪烁 端口处于收发数据状态 ACT
熄灭
端口无数据传输
表1-6:Hillstone 山石网科多核安全网关前面板指示灯含义
注意:
? 由于系统软件损坏而造成启动失败时,PWR 、STA 、ALM 和HA 指示灯均会变为红色。出现该状况,请与代理商联系。
? 不同型号产品指示灯会有所不同,请以实物为准。
系统参数
Hillstone山石网科多核安全网关所有型号产品的系统参数如下表所示:项目 描述
SG-6000-X5100 1个千兆电口
12个SFP接口
2个XFP接口
2个USB 2.0 Host接口1个配置口(CON口)1个辅助口(AUX口)
SG-6000-G6100 1个千兆电口
12个SFP接口
2个USB 2.0 Host接口1个配置口(CON口)1个辅助口(AUX口)
SG-6000-G3100 6个千兆电口
6个千兆以太网Combo口2个USB 2.0 Host接口1个配置口(CON口)
1个辅助口(AUX口)
SG-6000-M3100 8个千兆电口
1个USB 2.0 Host接口1个配置口(CON口)
固定接口
SG-6000-M2100 5个千兆电口
1个USB 2.0 Host接口1个配置口(CON口)
CPU 64位专用多核处理器
SG-6000-X5100
SG-6000-G6100 标配4GB,可扩展至8GB
SG-6000-G3100 标配2GB,可扩展至4GB
SG-6000-M3100 标配512M,可扩展至1GB DDR2 SDRAM
SG-6000-M2100 512MB
SG-6000-X5100 SG-6000-G6100 512MB
Flash Memory SG-6000-G3100
SG-6000-M3100
SG-6000-M2100
256MB
SG-6000-X5100
SG-6000-G6100
440.0mm x 520.0mm x 88.0mm
SG-6000-G3100 442.0mm x 366.7mm x 44.0mm
SG-6000-M3100 442.0mm x 240.7mm x 44.0mm 外型尺寸(W×D×H)
SG-6000-M2100 221.0mm x 142.4mm x 32.6mm
SG-6000-X5100 SG-6000-G6100 净重:11.1kg
毛重:14.53kg(含附件和所有包装)
SG-6000-G3100 净重:5.5kg
毛重:7.7kg(含附件和所有包装)重量
SG-6000-M3100 净重:2.8kg
毛重:4.5kg(含附件和所有包装)
SG-6000-M2100 净重:0.85kg
毛重:1.85kg(含附件和所有包装)
SG-6000-X5100
200W x 2
SG-6000-G6100
SG-6000-G3100 120W x 2
额定功率
SG-6000-M3100 45W
SG-6000-M2100 15W
100-240V AC,50/60Hz
输入电压
5V DC(SG-6000-M2100)
工作环境温度0℃-45℃
环境相对湿度 10%-95%(不结露)
表1-7:Hillstone山石网科多核安全网关系统参数
说明:DDR2 SDRAM就是常说的内存,用来存储系统运行时与CPU的通信数据。Flash Memory用来存放操作系统和应用程序文件。
端口属性
Hillstone山石网科多核安全网关的端口有配置口、辅助口、USB接口、千兆电口、SFP接口以及XFP接口。本节具体介绍各种接口的属性。
配置口(CON口)
Hillstone山石网科多核安全网关提供1个符合RS-232C异步串行规范的配置口(CON口)。通过这个配置口,用户可自行完成对安全网关的配置。配置口的属性及描述如表1-8所示:
属性 描述
连接器类型RJ-45
端口类型RS-232C
波特率9600/19200/38400/57600/115200 bit/s
支持服务与终端的串口相连,并在终端上运行终端仿真程序
传输介质配置电缆
表1-8:配置口属性
辅助口(AUX口)
Hillstone山石网科多核安全网关提供1个符合RS-232C异步串行规范的辅助口(AUX口)。辅助口的属性及描述如表1-9所示:
属性 描述
连接器类型RJ-45
端口类型RS-232C
波特率9600/19200/38400/57600/115200 bit/s
支持服务辅助调试
表1-9:辅助口属性
USB 接口
Hillstone山石网科多核安全网关最多提供2个USB Host接口。USB Host接口的属性及描述如表
1-10所示:
属性 描述
连接器类型 USB
Type
A插座
端口类型USB 2.0 Host接口
工作方式 1.1/2.0自适应
表1-10:USB Host接口属性
千兆电口
Hillstone山石网科多核安全网关提供多个固定的千兆电口。另外,安全网关的Combo口也支持电接口。千兆电口的属性及描述如表1-11所示:
属性 描述
连接器类型RJ-45
接口标准 Auto-MDI/MDIX(交叉线和直连线自适应)
帧格式Ethernet_II Ethernet_SNAP
工作方式10/100/1000Mbps自适应
全双工/半双工(1000Mbps与半双工不能同时配置)
表1-11:千兆电口属性
SFP接口
Hillstone山石网科多核安全网关提供多个SFP接口。SFP接口的属性及描述如表1-12所示:属性 描述
连接器类型SFP
帧格式Ethernet_II Ethernet_SNAP
使用SFP光接口模块
工作方式
使用SFP-T电接口模块
1000Mbps
表1-12:SFP接口属性
注意:设备外置时,如果灰尘落入闲置SFP接口,可能影响接口性能。为避免该情况发生,每个SFP接口均配备一个防尘塞,对接口进行保护。用户只需将附件中的防尘塞插入SFP接口即可。
Hillstone山石网科多核安全网关SFP接口支持下列类型的模块,用户可以根据需要选用:
?光收发一体的SFP光接口模块
?光转电SFP-T电接口模块
当SFP接口配合光收发一体的SFP光接口模块使用时,将采用带LC型光纤连接器的光纤。Hillstone 山石网科多核安全网关支持5种类型的1000Base-FX SFP光接口模块,所有光模块均支持热插拔。
描述
属性 短距多模光模块
(850nm) 中距单模光模块
(1310nm)
长距单模光模块
(1310nm)
长距单模光模块
(1550nm)
超长距单模光模
块(1550nm)
连接器类型LC
光纤62.5/125μm
多模光纤
9/125μm
单模光纤
9/125μm
单模光纤
9/125μm
单模光纤
9/125μm
单模光纤
最大传输距离0.55km
10km 40km 40km 70km
中心波长850nm 1310nm 1310nm 1550nm 1550nm
表1-13:SFP光接口模块属性
当SFP接口配合光转电类型的SFP-T电接口模块使用时,将采用交叉网线或者直连网线(也称标准网线)。SFP-T电接口模块属性及描述如表1-14所示:
属性 描述
连接器类型RJ-45
接口标准 Auto-MDI/MDIX(交叉线和直连线自适应)
最大传输距离 100米
工作方式1000Mbps
表1-14:SFP-T电接口模块属性
注意:当Combo口进行电口/SFP口切换时,应先在当前工作模式下(电或光)清除速率和双工等配置后再进行切换,待切换完成后再重新配置。
XFP接口
Hillstone山石网科多核安全网关提供多个XFP接口,该接口支持光收发一体的XFP光接口模块。XFP接口的属性及描述如表1-15所示:
属性 描述
连接器类型XFP
帧格式Ethernet_II Ethernet_SNAP
工作方式使用XFP光接口模块10Gbps
表1-15:XFP接口属性
Hillstone山石网科多核安全网关支持5种类型的10GBase-FX XFP光接口模块。光模块提供LC接口。所有光模块均支持热插拔。
描述
属性 短距多模光模块
(850nm) 短距多模光模块
(850nm)
中距单模光模块
(1310nm)
长距单模光模块
(1550nm)
超长距单模光
模块(1550nm)
连接器类型LC
光纤50/125μm
多模光纤
62.5/125μm
多模光纤
9/125μm
单模光纤
9/125μm
单模光纤
9/125μm
单模光纤
最大传输距离
0.3km
(984.3ft)
0.033km
(108.3ft)
10km40km 80km
中心波长850nm 850nm 1310nm1550nm 1550nm
表1-16:XFP光接口模块属性
注意:设备外置时,如果灰尘落入闲置XFP接口,可能影响接口性能。为避免该情况发生,每个XFP接口均配备一个防尘塞,对接口进行保护。用户只需将附件中的防尘塞插入XFP接口即可。
CLR按键
CLR按键位于前面板的针孔内,其功能为恢复安全网关的出厂配置。用户忘记密码无法登录时,可通过此方法重新登录。
警告:请慎重使用该功能。安全网关恢复到出厂配置后,所有已做配置都将会被清除。
恢复安全网关出厂配置的操作步骤如下:
1.关闭安全网关的电源。
2.用针状物按住CLR按键的同时打开安全网关的电源。
3.保持按住状态直到指示灯STA和ALM均变为红色常亮,释放CLR按键。此时系统开始恢复出厂
配置。
4.出厂配置恢复完毕,系统将会自动重新启动。
电源
SG-6000-X5100、SG-6000-G6100和SG-6000-G3100安全网关均可以提供双路电源供电,即两路电源同时连接的状态下,若其中一路运行过程中出现故障,另一路电源同步启用,防止因断电造成损失。两路电源互为备份。SG-6000-M3100和SG-6000-M2100安全网关为单电源供电。
SG-6000-M2100安全网关使用直流电源,输入范围为5V DC。SG-6000系列其它安全网关使用交流电源,输入范围为100-240V AC,50/60Hz。
注意:SG-6000-X5100和SG-6000-G6100安全网关支持直流电源供电。双路交流电源供电为SG-6000-X5100和SG-6000-G6100安全网关标配,如需采用直流电源供电,请向山石网科购买直流电源盒。
第2章安全网关安装前的准备工作
介绍
为避免安装不当造成设备损坏或其他意外,在安装产品前,请认真阅读本章所有注意事项。
Hillstone山石网科多核安全网关必须在室内使用,为保证安全网关正常工作和延长使用寿命,安装场所应该满足下列要求。
洁净度要求
灰尘浓度应符合表2-1的要求。
机械活性物质 单位 含量
灰尘粒子粒/m3≤3×104(3天内桌面无可见灰尘)
注:灰尘粒子直径≥5μm
表2-1:机房灰尘浓度范围表
防静电要求
为防止静电损伤,应做到:
?设备良好接地。机箱后面的接地保护螺丝与接地线连通。
?室内防尘。
?保持适当的温度、湿度条件。
?请勿擅自打开机壳,以免发生危险。未经厂家允许打开机壳将失去保修服务。
电磁环境要求
安全网关使用中可能的干扰源,无论是来自设备外部还是内部,都是以电容耦合、电感耦合、电磁波辐射和公共阻抗(包括接地系统)耦合的传导方式对设备产生影响的。因此为达到抗电磁干扰的要求,应做到:
?对供电系统采取有效的防电网干扰措施。
?安全网关工作地最好不要与电力设备的接地装置或防雷接地装置合用,并尽可能相距远一些。
?远离强功率无线电发射台、雷达发射台和高频大电流设备。
?必要时采取电磁屏蔽的方法。
接地要求
为了更加安全地使用安全网关,确保以下事项:
?保证机箱的接地螺丝通过接地线与大地保持良好接触。
?保证电源插座的接地点与大地良好接触。
检查安装台
对Hillstone山石网科多核安全网关进行安装前要保证以下条件:
?确认安全网关的入风口及出风口处留有空间,以利于设备散热。
?确认机柜自身有良好的通风散热系统。
?确认机柜足够牢固,能够支撑安全网关及其安装附件的重量。
?确认机柜良好接地。
其它安全注意事项
在安全网关的安装和使用过程中,特提出如下安全建议:
?请将安全网关放置在远离潮湿和热源的地方。
?请在安装维护过程中正确佩戴防静电手腕。
?注意激光使用安全。不要用眼睛直视激光器的光发射口或与其相连的光纤连接器。
?建议用户使用不间断电源。
检查安全网关及其附件
请打开安全网关包装箱,并对照订货合同及装箱清单仔细核对安全网关及附件是否齐全。如有疑问或差错,请及时与代理商联系。
安装设备、工具和电缆
Hillstone山石网科多核安全网关附带电源线和配置电缆。在安装安全网关前,请准备好以下安装设备:
?终端:配置终端(可以是普通的PC机)。
?工具:十字螺丝刀和防静电手腕。
?电缆:电源线、配置电缆和网线。
第3章安全网关的安装
安装前说明
Hillstone山石网科多核安全网关机箱的一个螺丝上封有一个黄底黑字的防拆易碎标签,代理商对安全网关进行维修前,要求所维修设备的防拆标签完好。用户如果需要自行打开安全网关机箱,请先与当地代理商联系。未经允许的擅自拆机将会失去保修服务。
开始安装Hillstone山石网科多核安全网关之前,请确认:
?已经仔细阅读第2章内容。
?第2章中所述要求已经满足。
Hillstone山石网科多核安全网关有以下两种安装方式:
?直接安装在平台上。
?安装到机柜上。
将安全网关安装在工作台上
将安全网关安装在工作台上,用户首先需要为安全网关安装防滑脚垫,再将安全网关放置于稳定、干净的工作台上。安装脚垫步骤如下:
第一步:将脚垫的粘贴纸撕掉。
第二步:将脚垫粘胶一面贴到安全网关机箱底板上的直角模压标识部位。图3-1为安全网关脚垫安装示意图:
图3-1:脚垫安装示意图
安全网关放置在工作台的操作中需要注意如下事项:
?工作台平稳并且接地良好。
?安全网关的通风口无任何遮挡,保证安全网关通风良好。
?安全网关机箱上请勿放置重物。
将安全网关安装到标准机柜中
安全网关安装到标准机柜之前必须确定安全网关已断电并且机柜接地良好、放置平稳。Hillstone山石网科多核安全网关按照19英寸标准机柜的尺寸设计。
注意:SG-6000-M2100安全网关需要配戴托盘才能安装在标准机柜中。
按照以下步骤将安全网关安装到标准机柜中:
第一步:安装挂耳。从塑料袋内取出2个挂耳和8颗M4 x 8mm十字沉头螺丝。将2个挂耳贴紧机箱左右侧壁,然后两边各用4颗十字沉头螺丝将安装挂耳锁固。如图3-2所示:
图3-2:挂耳安装示意图
第二步:将安全网关安装到机柜。挂耳安装完毕后,从塑料袋中取出4颗M6 x 16mm十字盘头螺丝和4颗M6 x 3.8mm六角螺母,左右两边各用2颗十字盘头螺丝和2颗六角螺母锁固将机箱固定到机架上,如图3-3所示:
图3-3:机柜安装示意图
注意:
?机箱挂耳只起到固定作用,不能承重。把机箱安装到19英寸标准机柜时,机箱下边要有平台支撑。
?以上安装步骤仅以1U机箱为例,安装其它U型机箱所需螺钉数目请以附件提供的实物为准。
线缆连接
Hillstone山石网科多核安全网关的线缆连接包括地线连接、配置电缆连接、以太网电缆连接以及电源线连接。
山石网科 防火墙 SG-6000-M2105-M3100-M3108选型说明书
新一代多核安全网关 SG-6000-M2105/M3100/M3108 SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。处理器模块化设计可以提升整体处理能力,突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps,广泛适用于企业分支、中小企业等机构,可部署在网络的主要结点及Internet出口,为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。 产品亮点 安全可视化 ●网络可视化 通过StoneOS?内置的网络流量分析模块,用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势,随时、随地监控自己的网络,从而对流量进行优化和精细化的管理。 ●接入可视化 StoneOS?基于角色的管理(RBNS)模块,让网络接入更加精细和直观化,实现了对接入用户更加人性化的管理,摆脱了过去只能通过IP地址来控制的尴尬,可以实时地监控、管理用户接入的状态,资源的分配,从而使网络资源的分配更加合理和可控化。 ●应用可视化 StoneOS?内置独创的应用识别模块,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,即使加密过的数据流也能应付自如。StoneOS?识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包
括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、、HTTP等协议的应用,应用特征库通过网络服务可以实时更新。 全面的VPN解决方案 SG-6000多核安全网关支持多种IPSecVPN的部署,它能够完全兼容标准的IPSec VPN。SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速,结合多核平台的处理能力,可为用户提供高容量、高性能的VPN解决方案。 Hillstone山石网科独具特色的即插即用VPN,可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置,完全解决了传统IPSecVPN设备配置难、使用难、维护成本高的问题。 SG-6000多核安全网关还通过集成第三代SSL VPN实现角色访问控制和即插即用特性,为用户提供方便、快捷的安全远程接入服务。 内容安全(UTM Plus?) SG-6000可选UTMPlus?软件包提供病毒过滤、入侵防御、内容过滤、网页访问控制和应用流量整形等功能,可以防范病毒、间谍软件、蠕虫、木马等网络攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问。病毒库、攻击库、网页库可以通过网络服务实时下载,确保对新爆发的病毒、攻击、新的网页做到及时响应。 模块化、全并行处理的安全架构(多核Plus? G2) Hillstone山石网科自主开发的64位实时安全操作系统StoneOS?采用专利的多处理器全并行架构,和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同;StoneOS?实现了从网络层到应用层的多核全并行处理。 因此SG-6000较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能无法两全的局限。 SG-6000-M3108支持SD卡扩展。通过扩展SD卡可以在设备上实时记录各种审计日志和审计数据,满足公安部82号令的要求,也可以使用外置高性能日志服务器。 另外SG-6000多核安全网关还支持通过软件license方式进行设备高级扩展,
Hillstone山石网科SG-6000-X6150防火墙评测报告
Hillstone山石网科SG-6000-X6150防火墙评测报告 作者老韩 | 2010-10-14 11:38 | 类型互联网, 弯曲推荐, 研发动态, 网络安全 | 75条用户评论? 4年时间完成从0到100G的跨越,山石网科让人无话可说。再过4年,中国信息安全行业的格局是否会被改变?10月21日,山石网科将在北京正式发布这款百G级别的产品,感兴趣的话可以猛击这里查看官方专题页。 原文发布于《计算机世界》。本文尽量注意在正文中不出现带有个人感情色彩的语言;另一方面,拓展表现形式,用视频保存下测试中的经典瞬间,编辑后以更易于接受、传播的方式加以体现。(对于镜头晃动带来的眩晕感我非常抱歉,此外请忽略鼻炎导致偶发的怪腔怪调……) Hillstone山石网科(以下简称“山石网科”)是一个令人惊叹的安全企业。自成立以来,该公司保持着稳定、高速的产品研发速度,有步骤地推出了一系列多功能安全网关产品,占据了市场先机。但所有这些产品,其形态都属于“盒子(Appliance)”的范畴,固化的业务处理单元决定了其防火墙性能无法突破20G 这条水平线。而在云计算从未来时发展为现在进行时的今天,运营商、金融、教育等大型行业用户有了更高的业务需求,百G级别的防火墙在骨干网、数据中心等环境开始进入实际应用阶段。为了应对新的需求变化,山石网科又于近期推出了SG-6000-X6150(以下简称X6150)高性能防火墙,我们也在第一时间对该产品进行了测试分析。
为了达到百G级别的处理能力,X6150改用“机框(Chassis)”式产品形态,实现了可插拔部件全冗余及业务的智能分布式处理。该产品采用5U规格设计,共内置了12个扩展槽位,其中10个可用于接口模块(IOM)、安全服务模块(SSM)或QoS服务模块(QSM),2个用于系统主控模块(SCM)。设备亦采用了高速大容量交换背板,为每个模块提供了足够大的数据通路。对于高端电信级产品来说,供电子系统与散热子系统的重要性亦不容忽视。X6150最多可内置4个电源模块(650W),支持双路主备冗余部署,加上具有热插拔特性的风扇模组,可以最大程度地保障系统的稳定运行。 多核Plus G2的高级形态 目前,通过单独的处理器还很难达到百G级别的防火墙性能,业务的分布式处理是目前市场上百G防火墙产品的主流选择。不同厂商必然有着不同的系统实现方式,对于山石网科来说,经过多次发展演变的多核Plus G2架构则是X6150实现智能分布式处理的基础。
山石网科安全网关配置命令
山石网科 申请功能 (平台) QOS 流量分配 AV 复合端口 IPS 入侵 NBC 网络行为管理支持SG型号 URLDB 是NBC子键支持SG型号 HSM 设备集 4GE-B 当断电后仍然可以通讯 SSH secure Shell 安全外壳协议 是一种在不安全网络上提供安全登录和其他安全网络服务的协议。 NAT 步骤: ①,接口IP ②,配路由 缺省路由:0.0.0.0 0.0.0.0 192.168.1.2 回值路由:0.0.0.0 192.168.1.x 192.168.1.1 策略路由: ③,NAT SNAT DNAT MAP ( IP PORT ) ④,policy(策略) 检查配置环境 show seccion generic 显示连接数 show interface (name) 显示接口信息 show zone(zone name) 显示安全域类型 show admin user 显示系统管理员信息 show admin user (name)显示系统管理员配置信息 show version 显示版本号信息 show arp 显示解析地址 show fib 显示路由信息 show snat 显示nat 配置 no snatrule id 号删除NAT配置 show ip route 显示路由信息 save 保存配置 unset all 清楚配置(恢复出厂设 置。
配接口 (config)# interface Ethernet0/2 (config-if-0/2)# zone trust 或/untrust 建立区信任/不信任 (config-if-0/2)# ip add 192.168.1.1/24 (config-if-0/2)# manage ping 开通PING (config-if-0/3)# manage http 开通HTTP (config-if-0/3)# manage telnet 开通telnet 配路由 (config)# ip vrouter trust-vr 这个命令意思是可以配置多个路由 (config-route)# ip route 0.0.0.0/0 192.168.1.1 配NAT (config)# nat (config-nat)# snatrule id 1 from any to any trans-to eif-ip mode dynamicport (config)#policy # rule from any to any server any dynamicport 系统管理 web: 系统--设备管理--基本信息 CLI: (config)# hostname (name) 配置安全网关名 (config)# no hostname 清楚安全网关名 管理员密码策略配置模式 hostname(config)# password policy 进入管理员策略配置式 hostname(config-pwd-policy)# admin complexity 1 启用密码复杂度限制 hostname(config=pwd-policy)# admin min-length (length value) 启用密码最少位限制 配置系统管理员 (config)# admin user (user-name) 配置管理员名称 (config)# no admin user (user-name) 删除管理员名称 (config-hostname)# privilege PX/RXW 管理员模式下:配置管理员特权 PX是读,执行 PXW 是读,执行,写。 (config-hostname)# password password 配置管理员密码 (config-hostname)# access{console|https|ssh|telnet|any} 配置管理员的访问方式 show admin user 显示管理员信息 show admin user (user-name) 显示管理员配置信息
Hillstone山石网科多核安全网关安装手册_3.5R2
Hillstone山石网科多核安全网关安装手册 Hillstone山石网科 SG-6000-IM0609-3.5R2C-01
前言 内容简介 感谢您选用Hillstone Networks的网络安全产品。 本手册为Hillstone山石网科多核安全网关的安装手册,能够帮助用户正确安装Hillstone山石网科多核安全网关。本手册的内容包括: ?第1章产品介绍 ?第2章安全网关安装前的准备工作 ?第3章安全网关的安装 ?第4章安全网关的启动和配置 ?第5章安全网关的硬件维护 ?第6章常见故障处理 手册约定 为方便用户阅读与理解,本手册遵循如下约定: ?警告:表示如果该项操作不正确,可能会给安全网关或安全网关操作者带来极大危险。因此操作者必须严格遵守正确的操作规程。 ?注意:表示在安装和使用安全网关过程中需要注意的操作。该操作不正确,可能影响安全网关的正常使用。 ?说明:为用户提供有助于理解内容的说明信息。
内容目录 第1章产品介绍 (1) 简介 (1) SG-6000系列多核安全网关的特点 (1) 创新的多核Plus TM网络安全构 (1) 强健的实时操作系统Hillstone (1) 主机硬件介绍 (1) 前面板介绍 (1) 后面板介绍 (4) 指示灯含义 (4) 系统参数 (6) 端口属性 (7) CLR按键 (9) 电源 (10) 第2章安全网关安装前的准备工作 (11) 介绍 (11) 洁净度要求 (11) 防静电要求 (11) 电磁环境要求 (11) 接地要求 (11) 检查安装台 (12) 其它安全注意事项 (12) 检查安全网关及其附件 (12) 安装设备、工具和电缆 (12) 第3章安全网关的安装 (13) 安装前说明 (13) 将安全网关安装在工作台上 (13) 将安全网关安装到标准机柜中 (14) 线缆连接 (14) 连接地线 (15) 连接配置电缆 (15) 连接以太网电缆或光纤 (15) 连接电源线 (16) 安装完成后的检查 (16) 第4章安全网关的启动和配置 (17) 介绍 (17) 搭建配置环境 (17) 搭建配置口(CON口)的配置环境 (17) 搭建WebUI配置环境 (18) 搭建Telnet和SSH配置环境 (18) 安全网关的基本配置 (18)
山石网科防火墙检查命令
表29-1:手动同步配置命令列表 HA 同步信息show 命令手动同步命令 配置信息show configuration exec ha sync configuration 文件信息show file exec ha sync file file-name ARP 表项show arp exec ha sync rdo arp DNS 配置信息show ip hosts exec ha sync rdo dns DHCP 配置信息show dhcp exec ha sync rdo dhcp MAC 地址表show mac exec ha sync rdo mac show pki key PKI 配置信息 show pki trust-domain exec ha sync rdo pki 会话信息show session exec ha sync rdo session show ipsec sa IPSec VPN 信息 show isakmp sa exec ha sync rdo vpn show scvpn client test show scvpn host-check-profile show scvpn pool show scvpn user-host-binding show scvpn session SCVPN 信息 show auth-user scvpn exec ha sync rdo scvpn show l2tp tunnel show l2tp pool show l2tp client {tunnel-name name [user user-name]| tunnel-id ID} L2TP 信息 show auth-user l2tp {interface interface-name | vrouter vrouter-name} exec ha sync rdo l2tp Web 认证信息show auth-user webauth exec ha sync rdo webauth NTP 信息show ntp exec ha sync rdo ntp SCVPN 信息show scvpn exec ha sync rdo scvpn 路由信息show ip route exec ha sync rdo route
Hillstone山石网科基础配置手册5.0
Hillstone山石网科多核安全网关 基础配置手册 version 5.0 https://www.wendangku.net/doc/0113613552.html,
目录 第1章设备管理 (1) 设备管理介绍 (1) 终端Console登录 (1) WebUI方式登录 (1) 恢复出厂设置 (2) 通过CLI方式 (2) 通过WebUI方式 (2) 通过CLR按键方式 (4) StoneOS版本升级 (4) 通过网络迅速升级StoneOS(TFTP) (4) 通过WebUI方式升级StoneOS (6) 许可证安装 (8) 通过CLI方式安装 (8) 通过WebUI方式安装 (8) 第2章基础上网配置 (10) 基础上网配置介绍 (10) 接口配置 (10) 路由配置 (11) 策略配置 (13) 源NAT配置 (14) 第3章常用功能配置 (16) 常用配置介绍 (16) PPPoE配置 (16) DHCP配置 (18) IP-MAC绑定配置 (20) 端到端IPsec VPN配置 (22) SCVPN配置 (29) DNAT配置 (36) 一对一IP映射 (37) 一对一端口映射 (39) 多对多端口映射 (42) 一对多映射(服务器负载均衡) (45)
第4章链路负载均衡 (47) 链路负载均衡介绍 (47) 基于目的路由的负载均衡 (48) 基于源路由的负载均衡 (49) 智能链路负载均衡 (49) 第5章QoS配置 (52) QoS介绍 (52) IP QoS配置 (52) 应用QoS配置 (54) 混合QoS配置 (57) QoS白名单配置 (58) 第6章网络行为控制 (59) URL过滤(有URL许可证) (59) 配置自定义URL库 (62) URL过滤(无URL许可证) (63) 网页关键字过滤 (64) 网络聊天控制 (68) 第7章VPN高级配置 (71) 基于USB Key的SCVPN配置 (71) 新建PKI信任域 (71) 配置SCVPN (76) 制作USB Key (77) 使用USB Key方式登录SCVPN (79) PnPVPN (81) 用户配置 (82) IKE VPN配置 (83) 隧道接口配置 (87) 路由配置 (88) 策略配置 (89) PnPVPN客户端配置 (90) 第8章高可靠性 (92) 高可靠性介绍 (92) 高可靠性配置 (93)
山石网科 防病毒-概念
病毒过滤 高性能纯硬件系列病毒过滤 ——基于多核Plus G2架构和全并行流检测引擎 高性能纯硬件系列病毒过滤 Hillstone 山石网科的病毒过滤是基于多核Plus G2安全架构,并采用了全并行流检测引擎。可快速有效阻止病毒、木马、蠕虫、间谍软件等恶意软件通过网页、邮件等应用渗透至内网,从而预防病毒感染引起的信息丢失、内网主机无法正常工作、数据泄漏或被窃取等现象。作为现代防病毒体系中必不可少的防病毒网关,Hillstone 山石网科病毒过滤采用世界知名厂商kasperskyLab(卡巴斯基)的病毒库,可及时、有效、可靠地更新病毒数据库信息。Hillstone 山石网科系列产品可为电信运营商、各类大中小型企业、金融机构以及各种机关单位提供专业的高性能的防病毒解决方案。 基于多核Plus? G2 Hillstone 山石网科自主开发的64位实时安全操作系统StoneOS?,具备强大的并行处理能力。StoneOS?采用专利的多处理器全并行架构,和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同;StoneOS?实现了从网络层到应用层的多核全并行处理。较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能的无法两全的局限。所以,Hillstone山石网科系列网关的每秒新建处理能力、网络处理能力以及抗DOS攻击能力超于一般的防病毒网关,其自身的安全性、可靠性和可用性也都远远高于传统的防病毒网关。 可扩展的病毒过滤 Hillstone 山石网科支持的应用处理扩展模块充分保护用户投资,应用处理模块FEC-AV-30和FEC-AV-60可以提高本机应用处理能力,将病毒过滤的处理放在应用处理模块上进行,释放主机处理和运算能力,让病毒过滤不再成为性能瓶颈。同时,病毒过滤的性能上也有1倍左右的提升。 基于全并性流检测引擎 传统的串联型检测和基于代理的内容安全网关技术不能满足作为网关设备的性能和容量要求。Hillstone山石网科独创了全并行流扫描引擎,与传统的文件型防病毒网关的引擎不同,并发流病毒扫描引擎无需将应用会话中所有数据包在内部进行重组缓存后再对文件进行扫描,而是接收数据包和病毒扫描同时并行处理,并发的流扫描引擎能提供高性能,低延迟,高容量的处理, 对扫描的文件大小和数量没有限制,同时,所有内容安全处理在统一的内容处理流程中完成,能保证同时开启防病毒,入侵检测等内容安全处理,依然能保持高性能的处理。 专业及时的病毒库更新服务 Hillstone 山石网科与国际知名反病毒厂商kaspersky Lab(卡巴斯基)技术合作,采用专门为多核Plus架构以及并发流病毒扫描引擎优化的病毒库,为用户提供专业的、本地化的、实时的病毒库样本更新,实时阻断木马、病毒、蠕虫、间谍软件通过Web页面、邮件等应用向内网渗透。 丰富的软件特性
山石防火墙配置
hillstone防火墙配置步骤(以hillstone SA5040为例讲解) 厦门领航立华科技有限公司
目录 1需要从客户方获取的基本信息 (3) 2配置步骤 (3) 2.1 配置安全域 (3) 2.2 配置接口地址 (4) 2.3 配置路由 (4) 2.4 配置NAT (6) 2.4.1 源地址NAT (6) 2.4.2 目的地址NA T (6) 3配置策略 (8) 3.1 配置安全域之间的允许策略 (8) 3.1.1 配置trust到Untrust的允许所有的策略 (8) 3.1.2 配置DMZ到Untrust的允许所有的策略 (9) 3.1.3 配置trust到DMZ的允许策略 (9) 3.1.4 配置Untrust到DMZ服务器的允许策略 (10) 3.1.5 配置Untrust到Trust服务器的允许策略 (10) 3.1.6 配置详细策略 (11) 4配置QOS (12) 5配置SCVPN (13)
1需要从客户方获取的基本信息 ◆部署位置:互联网出口位置,还是其他,如部署在出口路由器之后等 ◆部署方式:三层接入(需要做NAT,大部分都是这种接入方式),二层透明接 入(透明接入不影响客户网络架构),混合接入模式(有几个接口需要配置成透明接口模式,可以支持这种方式) ◆外网出口信息:几个出口,电信Or网通,外网IP地址资源(多少个),外 网网关(防火墙默认路由设置) ◆安全域划分:一般正常3个安全域,Untrust(外网)、Trust(内网)、Dmz (服务器网段),也可以自定义多个 ◆外网接口IP地址:由客户提供 ◆内网口IP地址: ◆如果客户内网有多个网段,建议在客户中心交换机配置独立的VLAN 网段,不要与客户内部网段相同。 ◆如果客户内网只有1个网段,没有中心交换机,则把防火墙内网口地 址设置为客户内网地址段,并作为客户内网网关(适用于中小型网络)◆DMZ口IP地址:由客户提供,建议配置成服务器网段的网关; 2配置步骤 2.1 配置安全域 默认就有常用的3个安全域了,Trust,Untrust,DMZ
Hillstone山石网科上网行为管理白皮书
Hillstone山石网科上网行为管理白皮书 概述 互联网的兴起与普及为人们的工作和生活提供了极大的便利,与此同时,经由内部访问互联网导致的带宽滥用、效率下降、信息泄漏、法律风险、安全隐患等问题日益凸显。例如,在企业内部,部分员工利用工作时间在线炒股、玩在线游戏、欣赏音乐和视频、通过P2P工具下载、使用即时通讯工具无节制地网络聊天、通过网络外泄公司机密;在网吧等一些公共上网场所,人们可以随意浏览不健康网站、发表不负责任的言论、甚至参与非法网络活动…… 针对互联网所带来的上述问题,StoneOS提供许可证控制的上网行为管理功能。该功能通过对用户的网络访问行为进行控制和管理,有效解决因接入互联网而可能引发的各种问题,优化对互联网资源的应用。 产品功能 StoneOS上网行为管理功能对网络游戏、在线聊天、在线炒股、P2P下载、网页访问、邮件外发及论坛发帖等各种网络行为进行全面控制管理,并可以根据需要针对不同用户、不同网络行为、不同时间进行灵活的管理策略设置和日志记录,同时能够配合Hillstone山石网科集中网络安全管理系统(HSM)对网络行为日志进行查询统计与审计分析,从而为网络管理者的决策和管理提供重要的数据依据。 上网行为管理策略 StoneOS上网行为管理功能主要通过策略机制实现,网络管理者可以针对不同用户制定适合的上网行为管理策略规则,系统则会根据策略规则对网络应用流量进行行为控制和管理。 上网行为管理策略规则共分为三类:网络应用控制策略规则、网页内容控制策略规则和外发信息控制策略规则,每类中又包含若干子控制策略规则。 策略规则名称、优先级、用户、时间表、网络行为以及控制动作构成上网行为管理策略规则的基本元素。通过WebUI配置上网行为管理策略规则,需要进行下列基本元素的配置:?策略规则名称–上网行为管理策略规则的名称。 ?优先级- 上网行为管理策略规则的优先级。当有多条匹配策略规则的时候,优先级高的策略规则会被优先使用。 ?用户–上网行为管理策略规则的用户,即发起网络行为的主体,比如某个用户、用户组、角色、IP地址等。 ?时间表–上网行为管理策略规则的生效时间,可以针对不同用户控制其在特定时间段内的
Hillstone山石网科防火墙日常运维操作手册
目录 一、设备基础管理 (1) 1.1设备登录 (1) 1.1.1 通过CLI管理设备 (1) 1.1.2 通过WebUI管理设备 (2) 1.2管理员帐号及权限设置 (4) 1.2.1 新增管理员 (4) 1.2.1 修改管理员密码 (5) 1.3 License安装 (6) 1.4设备软件升级 (7) 1.5设备配置备份与恢复 (9) 1.5.1 备份设备配置 (9) 1.5.2 恢复设备配置 (12) 1.6系统诊断工具的使用 (14) 二、对象配置 (16) 2.1 配置地址薄 (16) 2.2 配置服务簿 (17) 三、网络配置 (21) 3.1 配置安全域 (21) 3.2 配置接口 (22) 3.3 配置路由 (23) 3.4 配置DNS (24) 四、防火墙配置 (26) 4.1 配置防火墙策略 (26) 4.1.1 新增防火墙安全策略 (26) 4.1.2 编辑防火墙安全策略 (27) 4.2 配置NAT (28) 4.2.1 配置源NAT (28) 4.2.2 配置目的NAT (31) 4.3 防火墙配置举例 (35) 五、QOS配置 (44) 5.1 配置IP QOS (45) 5.2 配置应用QOS (46) 六、常用日志配置 (48)
一、设备基础管理 1.1设备登录 安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。 1.1.1 通过CLI管理设备 通过Console 口配置安全网关时需要在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与安全网关的连接,并按如下表所示设置参数(与连接Cisco设备的参数一致): 通过telnet或者SSH管理设备时,需要在相应接口下启用telnet或SSH 管理服务,然后允许相应网段的IP管理设备(可信主机)。 对接口启用telnet或SSH管理服务的方法如下: 首先在网络—>网络连接模式下的页面下方勾选指定接口,点击图示为 的编辑按钮,
山石网科Ipv6整体解决方案
Ipv6整体解决方案 Hillstone Networks Inc. 2016年03月10日
内容提交人审核人更新内容日期 V1 2016/3/10 目录 1需求分析 (3) 2解决方案 (3) 2.1设备信息 (3) 2.2拓扑 (3) 2.3主要配置 (4) 2.3.1总部 (4) 2.3.2分支1(模拟环境,不考虑上互联网问题) (6) 2.3.3分支2 (8) 3建设效果 (8)
1需求分析 某用户有100多个office,都采用电信光纤接入,需要逐步从IPv4演变为IPv6地址,在这种场景下,需要做到IPv4到IPv6内网的互通。 场景模拟如下:一个总部两个分支,总部内网采用IPv6地址,外网地址采用IPv4;分支1外网IPv4,内网IPv6;分支机构2内外网都为IPv4地址。需求如下: A.总部的IPv6地址可以访问到互联网IPv4资源,总部的IPv6地址可以提供互联网用户 访问。 B.总部和分支1的IPv6地址通过公网6in4隧道互相通信。 C.总部和分支2的IPv4地址互相通信。 2解决方案 2.1设备信息 2.2拓扑
分支1 2005::2/96 2.3主要配置 2.3.1总部 A.接口 interface ethernet0/1 zone "untrust" ip address 200.0.0.2 255.255.255.0 manage http exit interface ethernet0/2 zone "trust"
dns-proxy ipv6 enable ipv6 address 2005::1/96 manage ping exit interface tunnel1 zone "trust" ipv6 enable tunnel ip6in4 "fenzhi1" exit B.Nat和路由 ip vrouter "trust-vr" snatrule id 1 from "2005::/96" to "2003::/96" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #总部上网snat snatrule id 2 from "2005::2/96" to "2004::2" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #与分支2通信snat snatrule id 3 from "Any" to "200.0.0.2" service "Any" eif ethernet0/2 trans-to 2005::1 mode dynamicport #公网已知ip访问总部ipv6服务器snat dnatrule id 1 from "2005::/96" to "2003::/96" service "Any" v4-mapped #总部上网dnat dnatrule id 2 from "2005::2/96" to "2004::2" service "Any" trans-to "200.0.0.4" #与分支2通信dnat dnatrule id 3 from "Any" to "200.0.0.2" service "Any" trans-to "2005::2" #公网已知ip访问总部ipv6服务器dnat ip route 0.0.0.0/0 200.0.0.1 ipv6 route 2001::/96 tunnel1 exit C.策略 rule id 1 action permit src-addr "Any" dst-addr "Any" service "Any" exit rule id 2 action permit src-ip 2005::/96 dst-ip 2004::/96 service "Any" exit rule id 3 action permit src-ip 2005::/96
Hillstone入侵防御配置手册StoneOS R
Hillstone山石网科 入侵防御配置手册 V5.5版本 Hillstone Networks Inc. 服务热线:400 828 6655
目录 1设备管理 (3) 1.1终端console登录 (3) 1.2网页WebUI登录 (3) 1.3设备系统(StoneOS)升级 (5) 1.3.1通过WebUI升级 (5) 1.4许可证安装 (5) 1.4.1CLI命令行安装 (5) 1.4.2WebUI安装 (6) 2基础上网配置 (6) 2.1接口配置 (6) 2.2路由配置 (8) 2.3策略配置 (9) 3入侵防御功能配置 (11) 3.1防火墙联动配置 (11) 3.2入侵防御配置 (12) 3.3高级配置 (14) 3.3.1配置协议特征库 (15) 3.3.2自定义威胁特征库 (16)
1设备管理 设备支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、Telnet、SSH等主流通信管理协议。 1.1终端console登录 通过Console 口配置设备时需要在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与设备的连接,并按如下表所示设置参数(与连接Cisco设备的参数一致): 1.2网页WebUI登录 WebUI同时支持http和https两种访问方式,首次登录设备可通过默认接口 ethernet0/0来进行,登录方法为: 1. 将管理PC的IP地址设置为与19 2.168.1.1/24 同网段的IP 地址,并且用网线将管理PC与设备的ethernet0/0接口进行连接。 2. 在管理PC的Web浏览器中访问地址“http://192.168.1.1” 并按回车键。出现的登录页面如下图所示:
山石防火墙命令
表29-1:手动同步配置命令列表;HA同步信息show命令手动同步命令;配置信息showconfigurationexe;文件信息showfileexechasyncfi;ARP表项sh owarpexechasyncrd;DNS配置信息showiphostsexecha;DHCP配置信息showdh cpexechasy;MAC地址表showmacexecha 表 29-1:手动同步配置命令列表 HA 同步信息 show 命令手动同步命令 配置信息show configuration exec ha sync configuration 文件信息 show file exec ha sync file file-name ARP 表项show arp exec ha sync rdoarp DNS 配置信息show ip hosts exec ha sync rdodns DHCP 配置信息show dhcp exec ha sync rdodhcp MAC 地址表show mac exec ha sync rdo mac showpki key PKI 配置信息 showpki trust-domain exec ha sync rdopki 会话信息 show session exec ha sync rdo session
showipsecsa IPSec VPN 信息showisakmpsa exec ha sync rdovpn showscvpn client test showscvpn host-check-profile showscvpn pool showscvpn user-host-binding showscvpn session SCVPN 信息 showauth-user scvpn exec ha sync rdoscvpn show l2tp tunnel show l2tp pool show l2tp client
Hillstone安全网关基础配置手册v4.0
服务热线:400 828 6655 Hillstone山石网科 多核安全网关 基础配置手册 V 4.0版本
目录 一.设备管理 (1) 1.1终端CONSOLE登录 (1) 1.2网页W EB UI登录 (1) 1.3恢复出厂设置 (2) 1.4设备软件S TONE-OS升级 (4) 1.5许可证安装 (7) 二.基础上网配置 (8) 2.1接口配置 (8) 2.2路由配置 (10) 2.3策略配置 (11) 2.4源地址转换配置 (12) 三.常用功能配置 (13) 3.1PPP O E拨号配置 (13) 3.2动态地址分配DHCP配置 (15) 3.3I P-M AC地址绑定配置 (17) 3.4端到端I PSEC VPN配置 (19) 3.5远程接入SCVPN配置 (26) 3.6目的地址转换DNAT配置 (34) 3.6.1一对一IP映射 (34) 3.6.2一对一端口映射 (38) 3.6.3多对多端口映射 (43) 3.6.4一对多映射(服务器负载均衡) (49)
一.设备管理 安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。 1.1 终端console登录 通过Console 口配置安全网关时需要在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与安全网关的连接,并按如下表所示设置参数(与连接Cisco设备的参数一致): 1.2网页WebUI登录 WebUI同时支持http和https两种访问方式,首次登录设备可通过默认接口ethernet0/0来进行,登录方法为: 1. 将管理 PC 的IP 地址设置为与19 2.168.1.1/24 同网段的IP 地址,并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。 2. 在管理 PC 的Web 浏览器中访问地址http://192.168.1.1 并按回车键。出现的登录页面如下图所示:
山石网科笔试题及部分答案
1.1 考察sizeof 在32位机子上,输出值 /* value1 = 4,value2 = 4,value3 = 4 * value4 = 4,value5 = 4,value6 = 4 * value7 = 1,value8 = 1,value9 = 1 * value10 = 25 * value11 = 9 * value12 = 0 * value13 = 8 */ #include
山石网科等保通用2.0
等保2.0通用要求解读及产品运维实践 1、环境现状:勒索、泄密、破坏 2、等保意义:降低风险法律法规主管要求规避责任 3、2.0与1.0不同:1.0单产品单设备单点,2.0多产品 多维度 4、等保2.0边界防护法规要求:保证跨边界的访问和数据 流通过边界设备提供的受控接口进行通讯;对非授权设备私自连到内网的行为进行检查或限制;对内部用户非授权连到外网行为进行检查或限制;保证无线网通过受控的边界设备接入内部网络。(解决:防火墙支持IP 端口协议文件大小类型名称URL 设置访问规则,对受控接口的管理;防火墙支持802.1x实现非法内联;支持WEB_AUTH实现非法外联、无线网络认证的验证和管理) 5、访问控制法规要求:在网络边界或区域之间根据访问 控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;删除多余或无效访问控制规则,优化访问控制列表,保证规则最小化;对源、目的地址、源端口、协议进行检查,以允许或拒绝数据包进出;根据会话状态信息为进出数据流提供明确的允许或拒绝访问控制;对进出网络数据流基于应用协议和应用内容访问控制(解决:支持基于IP、端口、应用协
议、文件大小名称类型等设置访问规则,仅受控接口可以通信; 支持规则匹配分析,对策略五元组进行匹配检查) 6、入侵防范法规要求:在关键网络节点处检测、防止或 限制从外部或从内部发起的网络攻击行为;采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;当检测到攻击行为,记录源IP、攻击类型、目标、时间,在发生严重入侵时间时提供报警(解决:IPS及IDS单品或模块、WAF支持双向攻击行为检测和阻断;基于云沙箱技术的产品可实现未知威胁检测和控制) 7、恶意代码和垃圾邮件防范法规要求:在关键网络节点 处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;在关键网络节点对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新(解决:IPS、IDS、AV模块支持对病毒进行检测、阻断、抓包和留存) 8、安全审计法规要求:在网络边界、重要节点进行安全 审计,审计覆盖到每个用户,对重要的用户行为和重要的安全事件进行审计;审计记录包括时间的时间、日期、用户、时间类型、时间是否成功及其他审计相关信息;对审计记录进行保护,定期备份,避免未到预期的删除、修改或覆盖等;对远程用户访问行为单独进行行为审计和数据分析
Hillstone安全网关Web界面配置指导
Web界面配置指导 Version 4.0 Hillstone山石网科
目录 一、设备的登录 (2) 二、基本上网配置 (3) 三、端口映射 (8) 四、IPSECVPN两种模式的配置 (14) 五、SCVPN配置 (19) 六、WEB认证上网功能配置 (23) 七、URL日志记录 (26) 八、IP-MAC绑定实现IP或MAC变更不能上网 (28) 九、设备恢复出厂操作 (30) 十、AAA服务器使用AD域类型的配置 (31) 十一、SCVPN调用两个AAA服务器中的用户认证登录 (34) 十二、HA配置注意事项 (35)
一、设备的登录 设备默认的管理接口为ethernet0/0,登录的ip为192.168.1.1,,默认的管理账号为hillstone,密码为hillstone。 把本地电脑网卡填写IP为192.168.1.2,使用web、telnet、ssh均可登录,,在浏览器中输入192.168.1.1 就可以通过WEBui的方式登录管理设备。 注意:如果是SG6000-NAV 系列的http的服务端口统一为9090,https的服务端口统一为8443。所以默认登录该设备的WEBui的方式为http://192.168.1.1:9090,或 h ttps://192.168.1.1:8443登录的账号密码都为hillstone
二、基本上网配置 1.设置接口信息 购买的宽带地址是静态IP,一般会营业厅会告知IP地址、子网掩码、网关、DNS。例如IP地址200.0.0.188 子网掩码255.255.255.0 或24,网关200.0.0.1 DNS 202.106.0.20 配置外网接口,ethernet0/1 为连接外网的接口 【网络】>>【接口】,在接口列表中选择ethernet0/1,点击该接口后面的“编辑”按钮显示接口配置界面如下:配置完基本信息,点击“确认” 上面是静态IP的使用,如果是ADSL拨号, 【网络】>>【PPPoE客户端】新建填写使用的用户名和密码
- Hillstone安全网关基础配置手册v4.0
- HillStone最新配置手册
- Hillstone安全网关Web界面配置指导
- 山石网科安全网关配置命令
- HillstoneSG-6000-NAV多核安全网关安装手册_4.0R4
- 山石防火墙配置
- 山石网科防火墙 sgm-m精选-m精选选型说明书
- Hillstone安全网关高级功能配置手册v5.0(初版)
- 山石网科(hillstone) SG-6000-G5150
- Hillstone入侵防御配置手册StoneOS R
- 山石网科Vpn基本配置与简单排错
- 山石防火墙图文讲解简单配置步骤
- 山石网科 防火墙 SG-6000-M2105-M3100-M3108选型说明书
- 山石防火墙配置
- Hillstone山石网科新手入门指南StoneOS_5.5R2
- Hillstone山石网科HSM白皮书
- 山石防火墙图文讲解简单配置步骤
- 山石网科Vpn基本配置与简单排错
- Hillstone山石网科基础配置手册.
- Hillstone安全网关Web界面配置指导