山石网科虚拟云安全解决方案
山石网科虚拟云安全解决方案
——山石云·格
面向虚拟化数据中心的软件定义安全
数据中心已经从物理架构演进到大规模虚拟和云的架构。服务器和存储被虚拟化成为很多数据中
心的标准,新兴的网络功能虚拟化(NFV)和软件定义网络(SDN)技术有望通过虚拟化的网络
和安全功能完成物理到虚拟的演进。
虚拟数据中心在效率、业务敏捷性,以及快速的产品上市时间上有明显的优势。然而,应用、服
务和边界都是动态的,而不是固定和预定义的,因此实现高效的安全十分具有挑战性。传统安全
解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提供高效的安全层,这是有很
多原因的。
从南北到东西
在传统数据中心里,防火墙、入侵防御,以及防病毒等安全解决方案主要聚焦在内外网之间边界
上通过的流量,一般叫做南北向流量或客户端服务器流量。
在今天的虚拟化数据中心里,像南北向流量一样,交互式数据中心服务和分布式应用组件之间产
生的东西向流量也对访问控制和深度报文检测有刚性的需求。多租户云环境也需要租户隔离和向
不同的租户应用不同的安全策略,这些租户的虚拟机往往是装在同一台物理服务器里的。
不幸的是,传统安全解决方案是专为物理环境设计的,不能将自己有效地插入东西向流量的环境中,所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御,以及防病毒等
服务链中去。这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的,因为
它会增加网络的延迟和制造性能瓶颈,从而导致应用响应时间的缓慢和网络掉线。
负载移动性和可扩展性
静态安全解决方案在物理静态负载环境中是有效的。在虚拟化数据中心里,负载移动性和迁移是
常态,那就意味着安全解决方案不仅也要具有移动性,还要能够感知负载的移动。而且它还得保
持状态并对安全策略做出实时响应。要做到这一点,最好的办法就是通过与云管理平台(例如vCenter和OpenStack)紧密集成。
在虚拟化环境里,负载增大、减小和移动,以满足业务和应用的需求,安全解决方案的可扩展性
和弹性显得尤为重要。固定静态的网关或服务器安全解决方案可以有效的工作在传统数据中心里,因为那里每台物理服务器的负载都是固定的。然而,移动弹性虚拟化数据中心需要能够跟被保护
的环境一样弹性、可扩展,以及虚拟化的安全解决方案。这样能够确保它不会在一个地方成为瓶
颈,过度的影响其它地方,而没有办法共享资源。理想情况下,安全服务应该一直工作在靠近负
载的地方。
软件定义网络和网络功能虚拟化
任何虚拟化安全解决方案也必须融入以NFV和SDN为特点的新兴数据中心网络架构中。通过NFV,交换和路由功能由跑在X86服务器上的虚拟机来提供,而不再使用物理的路由器和交换机。SDN
通过使网络平面和数据平面分离来提高网络的灵活性。
今天的大多数NFV实现的特点是分布式虚拟路由,这使每个租户拥有自己的虚拟路由器用于子网
之间的通信。它将路由软件分布在网络中所有的虚拟交换机上,为高度移动负载环境提供可扩展
的性能和策略执行。
用户急需解决的安全问题
在云环境中,某虚机由于某种原因中了病毒,从内部向其它虚机和外部网络发起端口扫描和DoS
等攻击,缺少识控方案的情况下,只能将有问题的虚机从网络中移除,让问题虚机的管理员线下
解决问题后,才允许连接回网络,这样的处理方案简单粗暴,虽然隔离了攻击,但也同时断掉了
问题虚机的对外服务。
对于云环境,虽然外部可能部署入侵防御设施,但可能存在这样的情况,某虚机由于弱口令之类
的漏洞被远程控制,然后黑客以此虚机为跳板,再对其它虚机进行漏洞扫描和利用入侵,DoS攻
击会产生大量的会话,可能通过云管理平台发现,然而从内部发起的漏洞入侵的过程在网络层面
上与正常访问无异,无法被发现,因此需要识控的方案。
当前虚拟化安全解决方案架构的局限
显然,传统的物理安全解决方案无法满足新兴虚拟化数据中心对安全性、性能、流量和移动性的
需求。任何安全解决方案必须像它所要保护的数据中心一样,是虚拟、敏捷、弹性、移动和可扩
展的。理想情况下,安全就应该作为另一个虚拟资源池深度插入到数据中心的虚拟化环境中,随
着计算、存储和网络资源池的增大、减小和迁移。就像虚拟路由器演进成分布式虚拟路由器一样,任何虚拟化网络服务必须能够以分布式的方式部署来满足虚拟化数据中心的需求。
今天的大多数虚拟数据中心安全解决方案使用以下两种架构之一:
第一个是给每个租户分配一个单防火墙虚机,同时解决南北向和东西向流量问题,允许每个租户
有一套自己独立的防火墙策略应用。要无瓶颈或无计算资源浪费的满足平均和突发负载的需要,
扩展单防火墙虚机的性能是一个挑战。管理大量有自己独立策略的不同租户的防火墙虚机也是一
个很大的困难。
第二个是把防火墙功能插入到虚拟机管理程序层中。由于它是虚拟机管理程序的一部分,它就能
更有效地处理负载在虚拟化环境中的移动和弹性。然而,重要的是要记住,虚拟机管理程序是整
个虚拟计算资源的基础操作系统,虚拟机管理程序中任何服务的问题都将对整个虚拟化环境产生
影响。这个问题限制了可以应用到管理程序的安全服务的功能和复杂性。因此开发一个不会影响虚拟化环境和应用性能而又健壮的虚拟机管理程序防火墙解决方案,是一个显著的挑战。
用户对虚拟化安全方案的顾虑
云环境先有网络,后有安全,虚拟安全方案如何插入不对既有网络产生影响?
传统物理网络中,通常仅需做不同网段间的安全隔离,而虚拟化网络中需要细粒度到虚拟机之间的隔离,怎么做?
几十台甚至上百台的分布式安全防护业务虚机如何管理,会不会给管理员带来巨大的工作量?
云环境中虚拟机的动态迁移是常态,安全防护如何跟随?
山石网科视角
山石网科的云内部安全防护产品(山石云·格)基于第三方视角,利用NFV和SDN的优势,将自己深度插入到虚拟化环境中,按需部署和扩展防火墙资源。与现有的云计算管理平台(如vCenter 和OpenStack)紧密集成,将可视化能力一直深入到虚拟化架构中,使防火墙资源随其要保护的的虚拟资源增长和缩减。
图1:山石网科的分布式NFV业务环保证安全服务始终贴近被保护的虚拟资源
不走安全服务链的流量重定向绕路,也不产生性能瓶颈,山石云·格的分布式架构将防火墙业务
虚机部署在靠近租户负载的位置上,创建了一个一直靠近数据中心资源的虚拟安全业务环(如图
1所示),弹性的处理东西向流量和南北向流量。由于安全业务环一直靠近被保护的虚拟资源,
不会产生不必要的延迟。
图2:云内部安全防护产品(山石云·格)架构
类似NFV,山石云·格是基于虚拟机和软件的。为了分发和扩展安全服务,山石云·格将控制平
面和业务平面进行了分离。
控制平面,就是山石云·格的虚拟安全控制模块(vSCM),作为中央安全配置管理器,主备模式
设计,通过驱动程序和RESTful API与数据中心的云计算管理平台紧密集成,并提供了管理界面
来配置和监控虚拟安全服务。
业务平面,就是山石云·格的虚拟安全业务模块(vSSM),处理安全策略查找和高级安全服务,
转发南北和东西向的数据流量,随流量的增加和减少弹性扩展,以确保没有性能瓶颈。
图2展示了山石云·格如何在数据中心租户网络中互联,以形成一个安全服务平台,以及如何通
过按需增加vSSM虚机来简单的完成扩展。
由于所有这些服务都是弹性和分布于整个虚拟化环境中的,它们总是靠近需要被保护的虚拟资源。这使它们能够不需要流量重定向绕路和无性能瓶颈的使能安全策略。
安全管理员可以管理整个防火墙架构就好像它是一台单一的设备,同时在管理界面中允许每个租
户有自己的防火墙管理接口和个人的安全策略集。
面对新的恶意软件不断挑战的安全环境,防火墙的升级绝对是至关重要的。不幸的是,升级可能
破坏防火墙、网络和应用性能。山石网科在山石云·格中另外做了一个重要组件,在线软件升级(ISSU),使部署的更新和升级不会产生任何服务中断。
面向虚拟机的微隔离
山石云·格将自己深度插入到虚拟化环境中,能够做到每一个虚拟机跟外部网络或内部其它虚拟
机之间通信的精细监控,我们称之为微隔离。这样的方案才能够完全解决用户急需解决的安全问题,阻断从内部向其它虚机和外部网络发起的端口扫描和DoS等攻击,而仍然保持问题虚机的对
外服务;监控到绕过外部防护、以被控制虚拟机为跳板的内部入侵,为每一台业务虚拟机都提供
最贴身的安全防护力度。
山石云·格的优势
山石云·格的优势是十分明显的。
敏捷山石云·格的易于扩展、移动和弹性保证了数据中心安全像被保护的虚拟架构一样敏捷、弹
性和灵活,提高业务灵活性并为新的IT创新产品缩短上市时间。山石云·格既保护了南北向的流量,也保护了东西向的流量。
高效很多静态模型不是在平均负载时提供过多的资源,就是在峰值负载时提供不足的资源,山石云·格能够为所需之处申请确切数量的资源,非常的高效。
应用和负载性能山石云·格不需要流量重定向而弹性申请安全资源的能力,保证了应用程序性能
不会对负载产生不利影响。这对于关键应用特别的重要,因为性能下降、停机或安全漏洞可能导
致收入的损失或客户的丢失。
高可靠性山石云·格架构的冗余和ISSU方面的考虑确保防火墙的保护始终正常运行不会中断。
管理简单集中式的管理界面以及跟云计算管理平台的紧密集成,简化了虚拟化环境中的安全管理,允许更多的IT资源被分配给项目和功能,以增强业务能力。
保护能力强大山石云·格提供了强大的深度包检测、防火墙、入侵防御以及分布式拒绝服务攻击(DDoS)防护,以抵御当今最复杂的威胁。实时升级确保新的防御技术可以被立即应用,没有
任何业务会因为新的威胁出现而中断。
图3:云内部安全防护产品(山石云·格)二层部署
为了能够看到和控制同一VLAN内虚拟机之间的流量,图3展示了山石云·格被应用在二层网络环境中的用例。在这个用例中,不同数量的vSCM,vSSM被按需部署,来保护一个个的租户和负载。
虚拟和基于云的技术给数据中心带来了许多新的安全挑战,这些在物理数据中心环境中是不存在的。只有分布式的虚拟防火墙弹性架构能够提供敏捷性、灵活性、弹性,以及南北和东西流量的高效通路,这是虚拟和基于云的数据中心所要需要的。山石云·格采用了最前沿的新兴NFV和SDN技术,将自己深度插入和集成到虚拟化环境中,为虚拟化数据中心提供最强大、高效和最少侵扰的安全解决方案。
山石网科 防火墙 SG-6000-M2105-M3100-M3108选型说明书
新一代多核安全网关 SG-6000-M2105/M3100/M3108 SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。处理器模块化设计可以提升整体处理能力,突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps,广泛适用于企业分支、中小企业等机构,可部署在网络的主要结点及Internet出口,为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。 产品亮点 安全可视化 ●网络可视化 通过StoneOS?内置的网络流量分析模块,用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势,随时、随地监控自己的网络,从而对流量进行优化和精细化的管理。 ●接入可视化 StoneOS?基于角色的管理(RBNS)模块,让网络接入更加精细和直观化,实现了对接入用户更加人性化的管理,摆脱了过去只能通过IP地址来控制的尴尬,可以实时地监控、管理用户接入的状态,资源的分配,从而使网络资源的分配更加合理和可控化。 ●应用可视化 StoneOS?内置独创的应用识别模块,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,即使加密过的数据流也能应付自如。StoneOS?识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包
括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、、HTTP等协议的应用,应用特征库通过网络服务可以实时更新。 全面的VPN解决方案 SG-6000多核安全网关支持多种IPSecVPN的部署,它能够完全兼容标准的IPSec VPN。SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速,结合多核平台的处理能力,可为用户提供高容量、高性能的VPN解决方案。 Hillstone山石网科独具特色的即插即用VPN,可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置,完全解决了传统IPSecVPN设备配置难、使用难、维护成本高的问题。 SG-6000多核安全网关还通过集成第三代SSL VPN实现角色访问控制和即插即用特性,为用户提供方便、快捷的安全远程接入服务。 内容安全(UTM Plus?) SG-6000可选UTMPlus?软件包提供病毒过滤、入侵防御、内容过滤、网页访问控制和应用流量整形等功能,可以防范病毒、间谍软件、蠕虫、木马等网络攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问。病毒库、攻击库、网页库可以通过网络服务实时下载,确保对新爆发的病毒、攻击、新的网页做到及时响应。 模块化、全并行处理的安全架构(多核Plus? G2) Hillstone山石网科自主开发的64位实时安全操作系统StoneOS?采用专利的多处理器全并行架构,和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同;StoneOS?实现了从网络层到应用层的多核全并行处理。 因此SG-6000较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能无法两全的局限。 SG-6000-M3108支持SD卡扩展。通过扩展SD卡可以在设备上实时记录各种审计日志和审计数据,满足公安部82号令的要求,也可以使用外置高性能日志服务器。 另外SG-6000多核安全网关还支持通过软件license方式进行设备高级扩展,
Hillstone山石网科SG-6000-X6150防火墙评测报告
Hillstone山石网科SG-6000-X6150防火墙评测报告 作者老韩 | 2010-10-14 11:38 | 类型互联网, 弯曲推荐, 研发动态, 网络安全 | 75条用户评论? 4年时间完成从0到100G的跨越,山石网科让人无话可说。再过4年,中国信息安全行业的格局是否会被改变?10月21日,山石网科将在北京正式发布这款百G级别的产品,感兴趣的话可以猛击这里查看官方专题页。 原文发布于《计算机世界》。本文尽量注意在正文中不出现带有个人感情色彩的语言;另一方面,拓展表现形式,用视频保存下测试中的经典瞬间,编辑后以更易于接受、传播的方式加以体现。(对于镜头晃动带来的眩晕感我非常抱歉,此外请忽略鼻炎导致偶发的怪腔怪调……) Hillstone山石网科(以下简称“山石网科”)是一个令人惊叹的安全企业。自成立以来,该公司保持着稳定、高速的产品研发速度,有步骤地推出了一系列多功能安全网关产品,占据了市场先机。但所有这些产品,其形态都属于“盒子(Appliance)”的范畴,固化的业务处理单元决定了其防火墙性能无法突破20G 这条水平线。而在云计算从未来时发展为现在进行时的今天,运营商、金融、教育等大型行业用户有了更高的业务需求,百G级别的防火墙在骨干网、数据中心等环境开始进入实际应用阶段。为了应对新的需求变化,山石网科又于近期推出了SG-6000-X6150(以下简称X6150)高性能防火墙,我们也在第一时间对该产品进行了测试分析。
为了达到百G级别的处理能力,X6150改用“机框(Chassis)”式产品形态,实现了可插拔部件全冗余及业务的智能分布式处理。该产品采用5U规格设计,共内置了12个扩展槽位,其中10个可用于接口模块(IOM)、安全服务模块(SSM)或QoS服务模块(QSM),2个用于系统主控模块(SCM)。设备亦采用了高速大容量交换背板,为每个模块提供了足够大的数据通路。对于高端电信级产品来说,供电子系统与散热子系统的重要性亦不容忽视。X6150最多可内置4个电源模块(650W),支持双路主备冗余部署,加上具有热插拔特性的风扇模组,可以最大程度地保障系统的稳定运行。 多核Plus G2的高级形态 目前,通过单独的处理器还很难达到百G级别的防火墙性能,业务的分布式处理是目前市场上百G防火墙产品的主流选择。不同厂商必然有着不同的系统实现方式,对于山石网科来说,经过多次发展演变的多核Plus G2架构则是X6150实现智能分布式处理的基础。
山石网科安全网关配置命令
山石网科 申请功能 (平台) QOS 流量分配 AV 复合端口 IPS 入侵 NBC 网络行为管理支持SG型号 URLDB 是NBC子键支持SG型号 HSM 设备集 4GE-B 当断电后仍然可以通讯 SSH secure Shell 安全外壳协议 是一种在不安全网络上提供安全登录和其他安全网络服务的协议。 NAT 步骤: ①,接口IP ②,配路由 缺省路由:0.0.0.0 0.0.0.0 192.168.1.2 回值路由:0.0.0.0 192.168.1.x 192.168.1.1 策略路由: ③,NAT SNAT DNAT MAP ( IP PORT ) ④,policy(策略) 检查配置环境 show seccion generic 显示连接数 show interface (name) 显示接口信息 show zone(zone name) 显示安全域类型 show admin user 显示系统管理员信息 show admin user (name)显示系统管理员配置信息 show version 显示版本号信息 show arp 显示解析地址 show fib 显示路由信息 show snat 显示nat 配置 no snatrule id 号删除NAT配置 show ip route 显示路由信息 save 保存配置 unset all 清楚配置(恢复出厂设 置。
配接口 (config)# interface Ethernet0/2 (config-if-0/2)# zone trust 或/untrust 建立区信任/不信任 (config-if-0/2)# ip add 192.168.1.1/24 (config-if-0/2)# manage ping 开通PING (config-if-0/3)# manage http 开通HTTP (config-if-0/3)# manage telnet 开通telnet 配路由 (config)# ip vrouter trust-vr 这个命令意思是可以配置多个路由 (config-route)# ip route 0.0.0.0/0 192.168.1.1 配NAT (config)# nat (config-nat)# snatrule id 1 from any to any trans-to eif-ip mode dynamicport (config)#policy # rule from any to any server any dynamicport 系统管理 web: 系统--设备管理--基本信息 CLI: (config)# hostname (name) 配置安全网关名 (config)# no hostname 清楚安全网关名 管理员密码策略配置模式 hostname(config)# password policy 进入管理员策略配置式 hostname(config-pwd-policy)# admin complexity 1 启用密码复杂度限制 hostname(config=pwd-policy)# admin min-length (length value) 启用密码最少位限制 配置系统管理员 (config)# admin user (user-name) 配置管理员名称 (config)# no admin user (user-name) 删除管理员名称 (config-hostname)# privilege PX/RXW 管理员模式下:配置管理员特权 PX是读,执行 PXW 是读,执行,写。 (config-hostname)# password password 配置管理员密码 (config-hostname)# access{console|https|ssh|telnet|any} 配置管理员的访问方式 show admin user 显示管理员信息 show admin user (user-name) 显示管理员配置信息
Hillstone山石网科多核安全网关安装手册_3.5R2
Hillstone山石网科多核安全网关安装手册 Hillstone山石网科 SG-6000-IM0609-3.5R2C-01
前言 内容简介 感谢您选用Hillstone Networks的网络安全产品。 本手册为Hillstone山石网科多核安全网关的安装手册,能够帮助用户正确安装Hillstone山石网科多核安全网关。本手册的内容包括: ?第1章产品介绍 ?第2章安全网关安装前的准备工作 ?第3章安全网关的安装 ?第4章安全网关的启动和配置 ?第5章安全网关的硬件维护 ?第6章常见故障处理 手册约定 为方便用户阅读与理解,本手册遵循如下约定: ?警告:表示如果该项操作不正确,可能会给安全网关或安全网关操作者带来极大危险。因此操作者必须严格遵守正确的操作规程。 ?注意:表示在安装和使用安全网关过程中需要注意的操作。该操作不正确,可能影响安全网关的正常使用。 ?说明:为用户提供有助于理解内容的说明信息。
内容目录 第1章产品介绍 (1) 简介 (1) SG-6000系列多核安全网关的特点 (1) 创新的多核Plus TM网络安全构 (1) 强健的实时操作系统Hillstone (1) 主机硬件介绍 (1) 前面板介绍 (1) 后面板介绍 (4) 指示灯含义 (4) 系统参数 (6) 端口属性 (7) CLR按键 (9) 电源 (10) 第2章安全网关安装前的准备工作 (11) 介绍 (11) 洁净度要求 (11) 防静电要求 (11) 电磁环境要求 (11) 接地要求 (11) 检查安装台 (12) 其它安全注意事项 (12) 检查安全网关及其附件 (12) 安装设备、工具和电缆 (12) 第3章安全网关的安装 (13) 安装前说明 (13) 将安全网关安装在工作台上 (13) 将安全网关安装到标准机柜中 (14) 线缆连接 (14) 连接地线 (15) 连接配置电缆 (15) 连接以太网电缆或光纤 (15) 连接电源线 (16) 安装完成后的检查 (16) 第4章安全网关的启动和配置 (17) 介绍 (17) 搭建配置环境 (17) 搭建配置口(CON口)的配置环境 (17) 搭建WebUI配置环境 (18) 搭建Telnet和SSH配置环境 (18) 安全网关的基本配置 (18)
山石网科防火墙检查命令
表29-1:手动同步配置命令列表 HA 同步信息show 命令手动同步命令 配置信息show configuration exec ha sync configuration 文件信息show file exec ha sync file file-name ARP 表项show arp exec ha sync rdo arp DNS 配置信息show ip hosts exec ha sync rdo dns DHCP 配置信息show dhcp exec ha sync rdo dhcp MAC 地址表show mac exec ha sync rdo mac show pki key PKI 配置信息 show pki trust-domain exec ha sync rdo pki 会话信息show session exec ha sync rdo session show ipsec sa IPSec VPN 信息 show isakmp sa exec ha sync rdo vpn show scvpn client test show scvpn host-check-profile show scvpn pool show scvpn user-host-binding show scvpn session SCVPN 信息 show auth-user scvpn exec ha sync rdo scvpn show l2tp tunnel show l2tp pool show l2tp client {tunnel-name name [user user-name]| tunnel-id ID} L2TP 信息 show auth-user l2tp {interface interface-name | vrouter vrouter-name} exec ha sync rdo l2tp Web 认证信息show auth-user webauth exec ha sync rdo webauth NTP 信息show ntp exec ha sync rdo ntp SCVPN 信息show scvpn exec ha sync rdo scvpn 路由信息show ip route exec ha sync rdo route
Hillstone山石网科基础配置手册5.0
Hillstone山石网科多核安全网关 基础配置手册 version 5.0 https://www.wendangku.net/doc/7b7475877.html,
目录 第1章设备管理 (1) 设备管理介绍 (1) 终端Console登录 (1) WebUI方式登录 (1) 恢复出厂设置 (2) 通过CLI方式 (2) 通过WebUI方式 (2) 通过CLR按键方式 (4) StoneOS版本升级 (4) 通过网络迅速升级StoneOS(TFTP) (4) 通过WebUI方式升级StoneOS (6) 许可证安装 (8) 通过CLI方式安装 (8) 通过WebUI方式安装 (8) 第2章基础上网配置 (10) 基础上网配置介绍 (10) 接口配置 (10) 路由配置 (11) 策略配置 (13) 源NAT配置 (14) 第3章常用功能配置 (16) 常用配置介绍 (16) PPPoE配置 (16) DHCP配置 (18) IP-MAC绑定配置 (20) 端到端IPsec VPN配置 (22) SCVPN配置 (29) DNAT配置 (36) 一对一IP映射 (37) 一对一端口映射 (39) 多对多端口映射 (42) 一对多映射(服务器负载均衡) (45)
第4章链路负载均衡 (47) 链路负载均衡介绍 (47) 基于目的路由的负载均衡 (48) 基于源路由的负载均衡 (49) 智能链路负载均衡 (49) 第5章QoS配置 (52) QoS介绍 (52) IP QoS配置 (52) 应用QoS配置 (54) 混合QoS配置 (57) QoS白名单配置 (58) 第6章网络行为控制 (59) URL过滤(有URL许可证) (59) 配置自定义URL库 (62) URL过滤(无URL许可证) (63) 网页关键字过滤 (64) 网络聊天控制 (68) 第7章VPN高级配置 (71) 基于USB Key的SCVPN配置 (71) 新建PKI信任域 (71) 配置SCVPN (76) 制作USB Key (77) 使用USB Key方式登录SCVPN (79) PnPVPN (81) 用户配置 (82) IKE VPN配置 (83) 隧道接口配置 (87) 路由配置 (88) 策略配置 (89) PnPVPN客户端配置 (90) 第8章高可靠性 (92) 高可靠性介绍 (92) 高可靠性配置 (93)
山石网科 防病毒-概念
病毒过滤 高性能纯硬件系列病毒过滤 ——基于多核Plus G2架构和全并行流检测引擎 高性能纯硬件系列病毒过滤 Hillstone 山石网科的病毒过滤是基于多核Plus G2安全架构,并采用了全并行流检测引擎。可快速有效阻止病毒、木马、蠕虫、间谍软件等恶意软件通过网页、邮件等应用渗透至内网,从而预防病毒感染引起的信息丢失、内网主机无法正常工作、数据泄漏或被窃取等现象。作为现代防病毒体系中必不可少的防病毒网关,Hillstone 山石网科病毒过滤采用世界知名厂商kasperskyLab(卡巴斯基)的病毒库,可及时、有效、可靠地更新病毒数据库信息。Hillstone 山石网科系列产品可为电信运营商、各类大中小型企业、金融机构以及各种机关单位提供专业的高性能的防病毒解决方案。 基于多核Plus? G2 Hillstone 山石网科自主开发的64位实时安全操作系统StoneOS?,具备强大的并行处理能力。StoneOS?采用专利的多处理器全并行架构,和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同;StoneOS?实现了从网络层到应用层的多核全并行处理。较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能的无法两全的局限。所以,Hillstone山石网科系列网关的每秒新建处理能力、网络处理能力以及抗DOS攻击能力超于一般的防病毒网关,其自身的安全性、可靠性和可用性也都远远高于传统的防病毒网关。 可扩展的病毒过滤 Hillstone 山石网科支持的应用处理扩展模块充分保护用户投资,应用处理模块FEC-AV-30和FEC-AV-60可以提高本机应用处理能力,将病毒过滤的处理放在应用处理模块上进行,释放主机处理和运算能力,让病毒过滤不再成为性能瓶颈。同时,病毒过滤的性能上也有1倍左右的提升。 基于全并性流检测引擎 传统的串联型检测和基于代理的内容安全网关技术不能满足作为网关设备的性能和容量要求。Hillstone山石网科独创了全并行流扫描引擎,与传统的文件型防病毒网关的引擎不同,并发流病毒扫描引擎无需将应用会话中所有数据包在内部进行重组缓存后再对文件进行扫描,而是接收数据包和病毒扫描同时并行处理,并发的流扫描引擎能提供高性能,低延迟,高容量的处理, 对扫描的文件大小和数量没有限制,同时,所有内容安全处理在统一的内容处理流程中完成,能保证同时开启防病毒,入侵检测等内容安全处理,依然能保持高性能的处理。 专业及时的病毒库更新服务 Hillstone 山石网科与国际知名反病毒厂商kaspersky Lab(卡巴斯基)技术合作,采用专门为多核Plus架构以及并发流病毒扫描引擎优化的病毒库,为用户提供专业的、本地化的、实时的病毒库样本更新,实时阻断木马、病毒、蠕虫、间谍软件通过Web页面、邮件等应用向内网渗透。 丰富的软件特性
山石防火墙配置
hillstone防火墙配置步骤(以hillstone SA5040为例讲解) 厦门领航立华科技有限公司
目录 1需要从客户方获取的基本信息 (3) 2配置步骤 (3) 2.1 配置安全域 (3) 2.2 配置接口地址 (4) 2.3 配置路由 (4) 2.4 配置NAT (6) 2.4.1 源地址NAT (6) 2.4.2 目的地址NA T (6) 3配置策略 (8) 3.1 配置安全域之间的允许策略 (8) 3.1.1 配置trust到Untrust的允许所有的策略 (8) 3.1.2 配置DMZ到Untrust的允许所有的策略 (9) 3.1.3 配置trust到DMZ的允许策略 (9) 3.1.4 配置Untrust到DMZ服务器的允许策略 (10) 3.1.5 配置Untrust到Trust服务器的允许策略 (10) 3.1.6 配置详细策略 (11) 4配置QOS (12) 5配置SCVPN (13)
1需要从客户方获取的基本信息 ◆部署位置:互联网出口位置,还是其他,如部署在出口路由器之后等 ◆部署方式:三层接入(需要做NAT,大部分都是这种接入方式),二层透明接 入(透明接入不影响客户网络架构),混合接入模式(有几个接口需要配置成透明接口模式,可以支持这种方式) ◆外网出口信息:几个出口,电信Or网通,外网IP地址资源(多少个),外 网网关(防火墙默认路由设置) ◆安全域划分:一般正常3个安全域,Untrust(外网)、Trust(内网)、Dmz (服务器网段),也可以自定义多个 ◆外网接口IP地址:由客户提供 ◆内网口IP地址: ◆如果客户内网有多个网段,建议在客户中心交换机配置独立的VLAN 网段,不要与客户内部网段相同。 ◆如果客户内网只有1个网段,没有中心交换机,则把防火墙内网口地 址设置为客户内网地址段,并作为客户内网网关(适用于中小型网络)◆DMZ口IP地址:由客户提供,建议配置成服务器网段的网关; 2配置步骤 2.1 配置安全域 默认就有常用的3个安全域了,Trust,Untrust,DMZ
Hillstone山石网科上网行为管理白皮书
Hillstone山石网科上网行为管理白皮书 概述 互联网的兴起与普及为人们的工作和生活提供了极大的便利,与此同时,经由内部访问互联网导致的带宽滥用、效率下降、信息泄漏、法律风险、安全隐患等问题日益凸显。例如,在企业内部,部分员工利用工作时间在线炒股、玩在线游戏、欣赏音乐和视频、通过P2P工具下载、使用即时通讯工具无节制地网络聊天、通过网络外泄公司机密;在网吧等一些公共上网场所,人们可以随意浏览不健康网站、发表不负责任的言论、甚至参与非法网络活动…… 针对互联网所带来的上述问题,StoneOS提供许可证控制的上网行为管理功能。该功能通过对用户的网络访问行为进行控制和管理,有效解决因接入互联网而可能引发的各种问题,优化对互联网资源的应用。 产品功能 StoneOS上网行为管理功能对网络游戏、在线聊天、在线炒股、P2P下载、网页访问、邮件外发及论坛发帖等各种网络行为进行全面控制管理,并可以根据需要针对不同用户、不同网络行为、不同时间进行灵活的管理策略设置和日志记录,同时能够配合Hillstone山石网科集中网络安全管理系统(HSM)对网络行为日志进行查询统计与审计分析,从而为网络管理者的决策和管理提供重要的数据依据。 上网行为管理策略 StoneOS上网行为管理功能主要通过策略机制实现,网络管理者可以针对不同用户制定适合的上网行为管理策略规则,系统则会根据策略规则对网络应用流量进行行为控制和管理。 上网行为管理策略规则共分为三类:网络应用控制策略规则、网页内容控制策略规则和外发信息控制策略规则,每类中又包含若干子控制策略规则。 策略规则名称、优先级、用户、时间表、网络行为以及控制动作构成上网行为管理策略规则的基本元素。通过WebUI配置上网行为管理策略规则,需要进行下列基本元素的配置:?策略规则名称–上网行为管理策略规则的名称。 ?优先级- 上网行为管理策略规则的优先级。当有多条匹配策略规则的时候,优先级高的策略规则会被优先使用。 ?用户–上网行为管理策略规则的用户,即发起网络行为的主体,比如某个用户、用户组、角色、IP地址等。 ?时间表–上网行为管理策略规则的生效时间,可以针对不同用户控制其在特定时间段内的
Hillstone山石网科防火墙日常运维操作手册
目录 一、设备基础管理 (1) 1.1设备登录 (1) 1.1.1 通过CLI管理设备 (1) 1.1.2 通过WebUI管理设备 (2) 1.2管理员帐号及权限设置 (4) 1.2.1 新增管理员 (4) 1.2.1 修改管理员密码 (5) 1.3 License安装 (6) 1.4设备软件升级 (7) 1.5设备配置备份与恢复 (9) 1.5.1 备份设备配置 (9) 1.5.2 恢复设备配置 (12) 1.6系统诊断工具的使用 (14) 二、对象配置 (16) 2.1 配置地址薄 (16) 2.2 配置服务簿 (17) 三、网络配置 (21) 3.1 配置安全域 (21) 3.2 配置接口 (22) 3.3 配置路由 (23) 3.4 配置DNS (24) 四、防火墙配置 (26) 4.1 配置防火墙策略 (26) 4.1.1 新增防火墙安全策略 (26) 4.1.2 编辑防火墙安全策略 (27) 4.2 配置NAT (28) 4.2.1 配置源NAT (28) 4.2.2 配置目的NAT (31) 4.3 防火墙配置举例 (35) 五、QOS配置 (44) 5.1 配置IP QOS (45) 5.2 配置应用QOS (46) 六、常用日志配置 (48)
一、设备基础管理 1.1设备登录 安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。 1.1.1 通过CLI管理设备 通过Console 口配置安全网关时需要在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与安全网关的连接,并按如下表所示设置参数(与连接Cisco设备的参数一致): 通过telnet或者SSH管理设备时,需要在相应接口下启用telnet或SSH 管理服务,然后允许相应网段的IP管理设备(可信主机)。 对接口启用telnet或SSH管理服务的方法如下: 首先在网络—>网络连接模式下的页面下方勾选指定接口,点击图示为 的编辑按钮,
山石网科Ipv6整体解决方案
Ipv6整体解决方案 Hillstone Networks Inc. 2016年03月10日
内容提交人审核人更新内容日期 V1 2016/3/10 目录 1需求分析 (3) 2解决方案 (3) 2.1设备信息 (3) 2.2拓扑 (3) 2.3主要配置 (4) 2.3.1总部 (4) 2.3.2分支1(模拟环境,不考虑上互联网问题) (6) 2.3.3分支2 (8) 3建设效果 (8)
1需求分析 某用户有100多个office,都采用电信光纤接入,需要逐步从IPv4演变为IPv6地址,在这种场景下,需要做到IPv4到IPv6内网的互通。 场景模拟如下:一个总部两个分支,总部内网采用IPv6地址,外网地址采用IPv4;分支1外网IPv4,内网IPv6;分支机构2内外网都为IPv4地址。需求如下: A.总部的IPv6地址可以访问到互联网IPv4资源,总部的IPv6地址可以提供互联网用户 访问。 B.总部和分支1的IPv6地址通过公网6in4隧道互相通信。 C.总部和分支2的IPv4地址互相通信。 2解决方案 2.1设备信息 2.2拓扑
分支1 2005::2/96 2.3主要配置 2.3.1总部 A.接口 interface ethernet0/1 zone "untrust" ip address 200.0.0.2 255.255.255.0 manage http exit interface ethernet0/2 zone "trust"
dns-proxy ipv6 enable ipv6 address 2005::1/96 manage ping exit interface tunnel1 zone "trust" ipv6 enable tunnel ip6in4 "fenzhi1" exit B.Nat和路由 ip vrouter "trust-vr" snatrule id 1 from "2005::/96" to "2003::/96" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #总部上网snat snatrule id 2 from "2005::2/96" to "2004::2" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #与分支2通信snat snatrule id 3 from "Any" to "200.0.0.2" service "Any" eif ethernet0/2 trans-to 2005::1 mode dynamicport #公网已知ip访问总部ipv6服务器snat dnatrule id 1 from "2005::/96" to "2003::/96" service "Any" v4-mapped #总部上网dnat dnatrule id 2 from "2005::2/96" to "2004::2" service "Any" trans-to "200.0.0.4" #与分支2通信dnat dnatrule id 3 from "Any" to "200.0.0.2" service "Any" trans-to "2005::2" #公网已知ip访问总部ipv6服务器dnat ip route 0.0.0.0/0 200.0.0.1 ipv6 route 2001::/96 tunnel1 exit C.策略 rule id 1 action permit src-addr "Any" dst-addr "Any" service "Any" exit rule id 2 action permit src-ip 2005::/96 dst-ip 2004::/96 service "Any" exit rule id 3 action permit src-ip 2005::/96
Hillstone入侵防御配置手册StoneOS R
Hillstone山石网科 入侵防御配置手册 V5.5版本 Hillstone Networks Inc. 服务热线:400 828 6655
目录 1设备管理 (3) 1.1终端console登录 (3) 1.2网页WebUI登录 (3) 1.3设备系统(StoneOS)升级 (5) 1.3.1通过WebUI升级 (5) 1.4许可证安装 (5) 1.4.1CLI命令行安装 (5) 1.4.2WebUI安装 (6) 2基础上网配置 (6) 2.1接口配置 (6) 2.2路由配置 (8) 2.3策略配置 (9) 3入侵防御功能配置 (11) 3.1防火墙联动配置 (11) 3.2入侵防御配置 (12) 3.3高级配置 (14) 3.3.1配置协议特征库 (15) 3.3.2自定义威胁特征库 (16)
1设备管理 设备支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、Telnet、SSH等主流通信管理协议。 1.1终端console登录 通过Console 口配置设备时需要在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与设备的连接,并按如下表所示设置参数(与连接Cisco设备的参数一致): 1.2网页WebUI登录 WebUI同时支持http和https两种访问方式,首次登录设备可通过默认接口 ethernet0/0来进行,登录方法为: 1. 将管理PC的IP地址设置为与19 2.168.1.1/24 同网段的IP 地址,并且用网线将管理PC与设备的ethernet0/0接口进行连接。 2. 在管理PC的Web浏览器中访问地址“http://192.168.1.1” 并按回车键。出现的登录页面如下图所示:
山石防火墙命令
表29-1:手动同步配置命令列表;HA同步信息show命令手动同步命令;配置信息showconfigurationexe;文件信息showfileexechasyncfi;ARP表项sh owarpexechasyncrd;DNS配置信息showiphostsexecha;DHCP配置信息showdh cpexechasy;MAC地址表showmacexecha 表 29-1:手动同步配置命令列表 HA 同步信息 show 命令手动同步命令 配置信息show configuration exec ha sync configuration 文件信息 show file exec ha sync file file-name ARP 表项show arp exec ha sync rdoarp DNS 配置信息show ip hosts exec ha sync rdodns DHCP 配置信息show dhcp exec ha sync rdodhcp MAC 地址表show mac exec ha sync rdo mac showpki key PKI 配置信息 showpki trust-domain exec ha sync rdopki 会话信息 show session exec ha sync rdo session
showipsecsa IPSec VPN 信息showisakmpsa exec ha sync rdovpn showscvpn client test showscvpn host-check-profile showscvpn pool showscvpn user-host-binding showscvpn session SCVPN 信息 showauth-user scvpn exec ha sync rdoscvpn show l2tp tunnel show l2tp pool show l2tp client
Hillstone安全网关基础配置手册v4.0
服务热线:400 828 6655 Hillstone山石网科 多核安全网关 基础配置手册 V 4.0版本
目录 一.设备管理 (1) 1.1终端CONSOLE登录 (1) 1.2网页W EB UI登录 (1) 1.3恢复出厂设置 (2) 1.4设备软件S TONE-OS升级 (4) 1.5许可证安装 (7) 二.基础上网配置 (8) 2.1接口配置 (8) 2.2路由配置 (10) 2.3策略配置 (11) 2.4源地址转换配置 (12) 三.常用功能配置 (13) 3.1PPP O E拨号配置 (13) 3.2动态地址分配DHCP配置 (15) 3.3I P-M AC地址绑定配置 (17) 3.4端到端I PSEC VPN配置 (19) 3.5远程接入SCVPN配置 (26) 3.6目的地址转换DNAT配置 (34) 3.6.1一对一IP映射 (34) 3.6.2一对一端口映射 (38) 3.6.3多对多端口映射 (43) 3.6.4一对多映射(服务器负载均衡) (49)
一.设备管理 安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。 1.1 终端console登录 通过Console 口配置安全网关时需要在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与安全网关的连接,并按如下表所示设置参数(与连接Cisco设备的参数一致): 1.2网页WebUI登录 WebUI同时支持http和https两种访问方式,首次登录设备可通过默认接口ethernet0/0来进行,登录方法为: 1. 将管理 PC 的IP 地址设置为与19 2.168.1.1/24 同网段的IP 地址,并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。 2. 在管理 PC 的Web 浏览器中访问地址http://192.168.1.1 并按回车键。出现的登录页面如下图所示:
山石网科笔试题及部分答案
1.1 考察sizeof 在32位机子上,输出值 /* value1 = 4,value2 = 4,value3 = 4 * value4 = 4,value5 = 4,value6 = 4 * value7 = 1,value8 = 1,value9 = 1 * value10 = 25 * value11 = 9 * value12 = 0 * value13 = 8 */ #include
山石网科等保通用2.0
等保2.0通用要求解读及产品运维实践 1、环境现状:勒索、泄密、破坏 2、等保意义:降低风险法律法规主管要求规避责任 3、2.0与1.0不同:1.0单产品单设备单点,2.0多产品 多维度 4、等保2.0边界防护法规要求:保证跨边界的访问和数据 流通过边界设备提供的受控接口进行通讯;对非授权设备私自连到内网的行为进行检查或限制;对内部用户非授权连到外网行为进行检查或限制;保证无线网通过受控的边界设备接入内部网络。(解决:防火墙支持IP 端口协议文件大小类型名称URL 设置访问规则,对受控接口的管理;防火墙支持802.1x实现非法内联;支持WEB_AUTH实现非法外联、无线网络认证的验证和管理) 5、访问控制法规要求:在网络边界或区域之间根据访问 控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;删除多余或无效访问控制规则,优化访问控制列表,保证规则最小化;对源、目的地址、源端口、协议进行检查,以允许或拒绝数据包进出;根据会话状态信息为进出数据流提供明确的允许或拒绝访问控制;对进出网络数据流基于应用协议和应用内容访问控制(解决:支持基于IP、端口、应用协
议、文件大小名称类型等设置访问规则,仅受控接口可以通信; 支持规则匹配分析,对策略五元组进行匹配检查) 6、入侵防范法规要求:在关键网络节点处检测、防止或 限制从外部或从内部发起的网络攻击行为;采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;当检测到攻击行为,记录源IP、攻击类型、目标、时间,在发生严重入侵时间时提供报警(解决:IPS及IDS单品或模块、WAF支持双向攻击行为检测和阻断;基于云沙箱技术的产品可实现未知威胁检测和控制) 7、恶意代码和垃圾邮件防范法规要求:在关键网络节点 处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;在关键网络节点对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新(解决:IPS、IDS、AV模块支持对病毒进行检测、阻断、抓包和留存) 8、安全审计法规要求:在网络边界、重要节点进行安全 审计,审计覆盖到每个用户,对重要的用户行为和重要的安全事件进行审计;审计记录包括时间的时间、日期、用户、时间类型、时间是否成功及其他审计相关信息;对审计记录进行保护,定期备份,避免未到预期的删除、修改或覆盖等;对远程用户访问行为单独进行行为审计和数据分析
Hillstone安全网关Web界面配置指导
Web界面配置指导 Version 4.0 Hillstone山石网科
目录 一、设备的登录 (2) 二、基本上网配置 (3) 三、端口映射 (8) 四、IPSECVPN两种模式的配置 (14) 五、SCVPN配置 (19) 六、WEB认证上网功能配置 (23) 七、URL日志记录 (26) 八、IP-MAC绑定实现IP或MAC变更不能上网 (28) 九、设备恢复出厂操作 (30) 十、AAA服务器使用AD域类型的配置 (31) 十一、SCVPN调用两个AAA服务器中的用户认证登录 (34) 十二、HA配置注意事项 (35)
一、设备的登录 设备默认的管理接口为ethernet0/0,登录的ip为192.168.1.1,,默认的管理账号为hillstone,密码为hillstone。 把本地电脑网卡填写IP为192.168.1.2,使用web、telnet、ssh均可登录,,在浏览器中输入192.168.1.1 就可以通过WEBui的方式登录管理设备。 注意:如果是SG6000-NAV 系列的http的服务端口统一为9090,https的服务端口统一为8443。所以默认登录该设备的WEBui的方式为http://192.168.1.1:9090,或 h ttps://192.168.1.1:8443登录的账号密码都为hillstone
二、基本上网配置 1.设置接口信息 购买的宽带地址是静态IP,一般会营业厅会告知IP地址、子网掩码、网关、DNS。例如IP地址200.0.0.188 子网掩码255.255.255.0 或24,网关200.0.0.1 DNS 202.106.0.20 配置外网接口,ethernet0/1 为连接外网的接口 【网络】>>【接口】,在接口列表中选择ethernet0/1,点击该接口后面的“编辑”按钮显示接口配置界面如下:配置完基本信息,点击“确认” 上面是静态IP的使用,如果是ADSL拨号, 【网络】>>【PPPoE客户端】新建填写使用的用户名和密码
- 山石防火墙参数
- 山石网科(hillstone) SG-6000-G5150
- 山石网科Ipv6整体解决方案
- 等级保护网络安全测评内容及山石网科应对方案
- Hillstone山石网科SG-6000-G5150产品评测20090925
- 山石网科 防病毒-概念
- Hillstone山石网科基础配置手册.
- 山石防火墙配置
- 山石网科2020年三季度财务状况报告
- 山石网科防火墙检查命令
- 山石防火墙配置
- 山石网科 防火墙 SG M M M 选型说明书
- Hillstone山石网科基础配置手册5.0
- Hillstone山石网科多核安全网关快速配置手册
- Hillstone山石网科基础配置手册5.0
- Hillstone山石网科防火墙日常运维操作手册
- 山石防火墙配置
- 山石网科防火墙 sgm-m精选-m精选选型说明书
- 山石网科安全网关配置命令
- Hillstone山石网科基础配置手册50