H3C-AP-配置手册上课讲义

H3C 2210配置手册

一、修改电脑IP地址，如下：点确定。

二、在浏览器上输入192.168.0.50（AP默认IP地址），用户名为：admin、密码为：h3capadmin

点登陆进入设备。

点“无线服务”-接入服务，可以到看到默认SSID号。

取消默认SSID配置。点H3C旁边的“绑定”进入如下图。点中1---点“取消绑定”。

关闭H3C服务。选中H3C---点“关闭”。

选中H3C---点”删除”

三、创建我们自己的SSID和加密方式。

WEP加密方式创建（无线服务—接入服务---新建）

输入无线服务名称（如：WEP），无线服务类型选择“crypto”，点确定。

选中WEP加密，可选择密钥类型和密钥长度。如下图。

输入密码。如下图。

点确定

点WEP旁边的“绑定”

选中“1”点“绑定”

选中“WEP”点“开启”

到此WEP加密配置已经完成。

测试。

WPA加密配置（无线服务---接入服务---新建）

输入无线服务名称（WPA），无线服务类型（crypto）

选中加密类型（TKIP），安全IE（WPA、WPA2或者WPA and WPA2）,选中端口设置—端口模式（PSK），预共享密钥（pass-phrase）输入密码。

点确定。

点WPA旁边的“绑定”

选中“1”点“绑定”

选中“WPA”点“开启”

到此WPA加密已经配置成功

测试。

最后记得保存配置

设备管理IP地址可进行修改

修改Vlan-interface1接口ＩＰ地址

山石网科 防火墙 SG-6000-M2105-M3100-M3108选型说明书

新一代多核安全网关 SG-6000-M2105/M3100/M3108 SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。 产品亮点 安全可视化 ●网络可视化 通过StoneOS?内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。 ●接入可视化 StoneOS?基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。 ●应用可视化 StoneOS?内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。StoneOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包

括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。 全面的VPN解决方案 SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSec VPN。SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。 Hillstone山石网科独具特色的即插即用VPN，可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置，完全解决了传统IPSecVPN设备配置难、使用难、维护成本高的问题。 SG-6000多核安全网关还通过集成第三代SSL VPN实现角色访问控制和即插即用特性，为用户提供方便、快捷的安全远程接入服务。 内容安全(UTM Plus?) SG-6000可选UTMPlus?软件包提供病毒过滤、入侵防御、内容过滤、网页访问控制和应用流量整形等功能，可以防范病毒、间谍软件、蠕虫、木马等网络攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页，提高工作效率和控制对不良网站的访问。病毒库、攻击库、网页库可以通过网络服务实时下载，确保对新爆发的病毒、攻击、新的网页做到及时响应。 模块化、全并行处理的安全架构(多核Plus? G2) Hillstone山石网科自主开发的64位实时安全操作系统StoneOS?采用专利的多处理器全并行架构，和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同；StoneOS?实现了从网络层到应用层的多核全并行处理。 因此SG-6000较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升，为同时开启多项防护功能奠定了性能基础，突破了传统安全网关的功能实用性和性能无法两全的局限。 SG-6000-M3108支持SD卡扩展。通过扩展SD卡可以在设备上实时记录各种审计日志和审计数据，满足公安部82号令的要求，也可以使用外置高性能日志服务器。 另外SG-6000多核安全网关还支持通过软件license方式进行设备高级扩展，

山石网科安全网关配置命令

山石网科 申请功能 （平台） QOS 流量分配 AV 复合端口 IPS 入侵 NBC 网络行为管理支持SG型号 URLDB 是NBC子键支持SG型号 HSM 设备集 4GE-B 当断电后仍然可以通讯 SSH secure Shell 安全外壳协议 是一种在不安全网络上提供安全登录和其他安全网络服务的协议。 NAT 步骤： ①，接口IP ②，配路由 缺省路由：0.0.0.0 0.0.0.0 192.168.1.2 回值路由：0.0.0.0 192.168.1.x 192.168.1.1 策略路由： ③，NAT SNAT DNAT MAP ( IP PORT ) ④，policy(策略) 检查配置环境 show seccion generic 显示连接数 show interface (name) 显示接口信息 show zone(zone name) 显示安全域类型 show admin user 显示系统管理员信息 show admin user (name)显示系统管理员配置信息 show version 显示版本号信息 show arp 显示解析地址 show fib 显示路由信息 show snat 显示nat 配置 no snatrule id 号删除NAT配置 show ip route 显示路由信息 save 保存配置 unset all 清楚配置(恢复出厂设 置。

配接口 (config)# interface Ethernet0/2 (config-if-0/2)# zone trust 或/untrust 建立区信任/不信任 (config-if-0/2)# ip add 192.168.1.1/24 (config-if-0/2)# manage ping 开通PING (config-if-0/3)# manage http 开通HTTP (config-if-0/3)# manage telnet 开通telnet 配路由 (config)# ip vrouter trust-vr 这个命令意思是可以配置多个路由 (config-route)# ip route 0.0.0.0/0 192.168.1.1 配NAT (config)# nat (config-nat)# snatrule id 1 from any to any trans-to eif-ip mode dynamicport (config)#policy # rule from any to any server any dynamicport 系统管理 web： 系统--设备管理--基本信息 CLI： (config)# hostname (name) 配置安全网关名 (config)# no hostname 清楚安全网关名 管理员密码策略配置模式 hostname(config)# password policy 进入管理员策略配置式 hostname(config-pwd-policy)# admin complexity 1 启用密码复杂度限制 hostname(config=pwd-policy)# admin min-length (length value) 启用密码最少位限制 配置系统管理员 (config)# admin user (user-name) 配置管理员名称 (config)# no admin user (user-name) 删除管理员名称 (config-hostname)# privilege PX/RXW 管理员模式下：配置管理员特权 PX是读，执行 PXW 是读，执行，写。 (config-hostname)# password password 配置管理员密码 (config-hostname)# access{console|https|ssh|telnet|any} 配置管理员的访问方式 show admin user 显示管理员信息 show admin user (user-name) 显示管理员配置信息

Hillstone山石网科多核安全网关安装手册_3.5R2

Hillstone山石网科多核安全网关安装手册 Hillstone山石网科 SG-6000-IM0609-3.5R2C-01

前言 内容简介 感谢您选用Hillstone Networks的网络安全产品。 本手册为Hillstone山石网科多核安全网关的安装手册，能够帮助用户正确安装Hillstone山石网科多核安全网关。本手册的内容包括： ?第1章产品介绍 ?第2章安全网关安装前的准备工作 ?第3章安全网关的安装 ?第4章安全网关的启动和配置 ?第5章安全网关的硬件维护 ?第6章常见故障处理 手册约定 为方便用户阅读与理解，本手册遵循如下约定： ?警告：表示如果该项操作不正确，可能会给安全网关或安全网关操作者带来极大危险。因此操作者必须严格遵守正确的操作规程。 ?注意：表示在安装和使用安全网关过程中需要注意的操作。该操作不正确，可能影响安全网关的正常使用。 ?说明：为用户提供有助于理解内容的说明信息。

内容目录 第1章产品介绍 (1) 简介 (1) SG-6000系列多核安全网关的特点 (1) 创新的多核Plus TM网络安全构 (1) 强健的实时操作系统Hillstone (1) 主机硬件介绍 (1) 前面板介绍 (1) 后面板介绍 (4) 指示灯含义 (4) 系统参数 (6) 端口属性 (7) CLR按键 (9) 电源 (10) 第2章安全网关安装前的准备工作 (11) 介绍 (11) 洁净度要求 (11) 防静电要求 (11) 电磁环境要求 (11) 接地要求 (11) 检查安装台 (12) 其它安全注意事项 (12) 检查安全网关及其附件 (12) 安装设备、工具和电缆 (12) 第3章安全网关的安装 (13) 安装前说明 (13) 将安全网关安装在工作台上 (13) 将安全网关安装到标准机柜中 (14) 线缆连接 (14) 连接地线 (15) 连接配置电缆 (15) 连接以太网电缆或光纤 (15) 连接电源线 (16) 安装完成后的检查 (16) 第4章安全网关的启动和配置 (17) 介绍 (17) 搭建配置环境 (17) 搭建配置口（CON口）的配置环境 (17) 搭建WebUI配置环境 (18) 搭建Telnet和SSH配置环境 (18) 安全网关的基本配置 (18)

Hillstone山石网科基础配置手册5.0

Hillstone山石网科多核安全网关 基础配置手册 version 5.0 https://www.wendangku.net/doc/b115447624.html,

目录 第1章设备管理 (1) 设备管理介绍 (1) 终端Console登录 (1) WebUI方式登录 (1) 恢复出厂设置 (2) 通过CLI方式 (2) 通过WebUI方式 (2) 通过CLR按键方式 (4) StoneOS版本升级 (4) 通过网络迅速升级StoneOS（TFTP） (4) 通过WebUI方式升级StoneOS (6) 许可证安装 (8) 通过CLI方式安装 (8) 通过WebUI方式安装 (8) 第2章基础上网配置 (10) 基础上网配置介绍 (10) 接口配置 (10) 路由配置 (11) 策略配置 (13) 源NAT配置 (14) 第3章常用功能配置 (16) 常用配置介绍 (16) PPPoE配置 (16) DHCP配置 (18) IP-MAC绑定配置 (20) 端到端IPsec VPN配置 (22) SCVPN配置 (29) DNAT配置 (36) 一对一IP映射 (37) 一对一端口映射 (39) 多对多端口映射 (42) 一对多映射（服务器负载均衡） (45)

第4章链路负载均衡 (47) 链路负载均衡介绍 (47) 基于目的路由的负载均衡 (48) 基于源路由的负载均衡 (49) 智能链路负载均衡 (49) 第5章QoS配置 (52) QoS介绍 (52) IP QoS配置 (52) 应用QoS配置 (54) 混合QoS配置 (57) QoS白名单配置 (58) 第6章网络行为控制 (59) URL过滤（有URL许可证） (59) 配置自定义URL库 (62) URL过滤（无URL许可证） (63) 网页关键字过滤 (64) 网络聊天控制 (68) 第7章VPN高级配置 (71) 基于USB Key的SCVPN配置 (71) 新建PKI信任域 (71) 配置SCVPN (76) 制作USB Key (77) 使用USB Key方式登录SCVPN (79) PnPVPN (81) 用户配置 (82) IKE VPN配置 (83) 隧道接口配置 (87) 路由配置 (88) 策略配置 (89) PnPVPN客户端配置 (90) 第8章高可靠性 (92) 高可靠性介绍 (92) 高可靠性配置 (93)

山石防火墙配置

hillstone防火墙配置步骤(以hillstone SA5040为例讲解) 厦门领航立华科技有限公司

目录 1需要从客户方获取的基本信息 (3) 2配置步骤 (3) 2.1 配置安全域 (3) 2.2 配置接口地址 (4) 2.3 配置路由 (4) 2.4 配置NAT (6) 2.4.1 源地址NAT (6) 2.4.2 目的地址NA T (6) 3配置策略 (8) 3.1 配置安全域之间的允许策略 (8) 3.1.1 配置trust到Untrust的允许所有的策略 (8) 3.1.2 配置DMZ到Untrust的允许所有的策略 (9) 3.1.3 配置trust到DMZ的允许策略 (9) 3.1.4 配置Untrust到DMZ服务器的允许策略 (10) 3.1.5 配置Untrust到Trust服务器的允许策略 (10) 3.1.6 配置详细策略 (11) 4配置QOS (12) 5配置SCVPN (13)

1需要从客户方获取的基本信息 ◆部署位置：互联网出口位置，还是其他，如部署在出口路由器之后等 ◆部署方式：三层接入（需要做NAT，大部分都是这种接入方式），二层透明接 入（透明接入不影响客户网络架构），混合接入模式（有几个接口需要配置成透明接口模式，可以支持这种方式） ◆外网出口信息：几个出口，电信Or网通，外网IP地址资源（多少个），外 网网关（防火墙默认路由设置） ◆安全域划分：一般正常3个安全域，Untrust（外网）、Trust（内网）、Dmz （服务器网段），也可以自定义多个 ◆外网接口IP地址：由客户提供 ◆内网口IP地址： ◆如果客户内网有多个网段，建议在客户中心交换机配置独立的VLAN 网段，不要与客户内部网段相同。 ◆如果客户内网只有1个网段，没有中心交换机，则把防火墙内网口地 址设置为客户内网地址段，并作为客户内网网关（适用于中小型网络）◆DMZ口IP地址：由客户提供，建议配置成服务器网段的网关； 2配置步骤 2.1 配置安全域 默认就有常用的3个安全域了，Trust，Untrust，DMZ

Hillstone山石网科防火墙日常运维操作手册

目录 一、设备基础管理 (1) 1.1设备登录 (1) 1.1.1 通过CLI管理设备 (1) 1.1.2 通过WebUI管理设备 (2) 1.2管理员帐号及权限设置 (4) 1.2.1 新增管理员 (4) 1.2.1 修改管理员密码 (5) 1.3 License安装 (6) 1.4设备软件升级 (7) 1.5设备配置备份与恢复 (9) 1.5.1 备份设备配置 (9) 1.5.2 恢复设备配置 (12) 1.6系统诊断工具的使用 (14) 二、对象配置 (16) 2.1 配置地址薄 (16) 2.2 配置服务簿 (17) 三、网络配置 (21) 3.1 配置安全域 (21) 3.2 配置接口 (22) 3.3 配置路由 (23) 3.4 配置DNS (24) 四、防火墙配置 (26) 4.1 配置防火墙策略 (26) 4.1.1 新增防火墙安全策略 (26) 4.1.2 编辑防火墙安全策略 (27) 4.2 配置NAT (28) 4.2.1 配置源NAT (28) 4.2.2 配置目的NAT (31) 4.3 防火墙配置举例 (35) 五、QOS配置 (44) 5.1 配置IP QOS (45) 5.2 配置应用QOS (46) 六、常用日志配置 (48)

一、设备基础管理 1.1设备登录 安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。 1.1.1 通过CLI管理设备 通过Console 口配置安全网关时需要在计算机上运行终端仿真程序（系统的超级终端、SecureCRT等）建立与安全网关的连接，并按如下表所示设置参数（与连接Cisco设备的参数一致）： 通过telnet或者SSH管理设备时，需要在相应接口下启用telnet或SSH 管理服务，然后允许相应网段的IP管理设备（可信主机）。 对接口启用telnet或SSH管理服务的方法如下： 首先在网络—>网络连接模式下的页面下方勾选指定接口，点击图示为 的编辑按钮，

Hillstone入侵防御配置手册StoneOS R

Hillstone山石网科 入侵防御配置手册 V5.5版本 Hillstone Networks Inc. 服务热线：400 828 6655

目录 1设备管理 (3) 1.1终端console登录 (3) 1.2网页WebUI登录 (3) 1.3设备系统（StoneOS）升级 (5) 1.3.1通过WebUI升级 (5) 1.4许可证安装 (5) 1.4.1CLI命令行安装 (5) 1.4.2WebUI安装 (6) 2基础上网配置 (6) 2.1接口配置 (6) 2.2路由配置 (8) 2.3策略配置 (9) 3入侵防御功能配置 (11) 3.1防火墙联动配置 (11) 3.2入侵防御配置 (12) 3.3高级配置 (14) 3.3.1配置协议特征库 (15) 3.3.2自定义威胁特征库 (16)

1设备管理 设备支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、Telnet、SSH等主流通信管理协议。 1.1终端console登录 通过Console 口配置设备时需要在计算机上运行终端仿真程序（系统的超级终端、SecureCRT等）建立与设备的连接，并按如下表所示设置参数（与连接Cisco设备的参数一致）： 1.2网页WebUI登录 WebUI同时支持http和https两种访问方式，首次登录设备可通过默认接口 ethernet0/0来进行，登录方法为： 1. 将管理PC的IP地址设置为与19 2.168.1.1/24 同网段的IP 地址，并且用网线将管理PC与设备的ethernet0/0接口进行连接。 2. 在管理PC的Web浏览器中访问地址“http://192.168.1.1” 并按回车键。出现的登录页面如下图所示：

Hillstone安全网关基础配置手册v4.0

服务热线：400 828 6655 Hillstone山石网科 多核安全网关 基础配置手册 V 4.0版本

目录 一．设备管理 (1) 1.1终端CONSOLE登录 (1) 1.2网页W EB UI登录 (1) 1.3恢复出厂设置 (2) 1.4设备软件S TONE-OS升级 (4) 1.5许可证安装 (7) 二．基础上网配置 (8) 2.1接口配置 (8) 2.2路由配置 (10) 2.3策略配置 (11) 2.4源地址转换配置 (12) 三．常用功能配置 (13) 3.1PPP O E拨号配置 (13) 3.2动态地址分配DHCP配置 (15) 3.3I P-M AC地址绑定配置 (17) 3.4端到端I PSEC VPN配置 (19) 3.5远程接入SCVPN配置 (26) 3.6目的地址转换DNAT配置 (34) 3.6.1一对一IP映射 (34) 3.6.2一对一端口映射 (38) 3.6.3多对多端口映射 (43) 3.6.4一对多映射（服务器负载均衡） (49)

一．设备管理 安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。 1.1 终端console登录 通过Console 口配置安全网关时需要在计算机上运行终端仿真程序（系统的超级终端、SecureCRT等）建立与安全网关的连接，并按如下表所示设置参数（与连接Cisco设备的参数一致）： 1.2网页WebUI登录 WebUI同时支持http和https两种访问方式，首次登录设备可通过默认接口ethernet0/0来进行，登录方法为： 1. 将管理 PC 的IP 地址设置为与19 2.168.1.1/24 同网段的IP 地址，并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。 2. 在管理 PC 的Web 浏览器中访问地址http://192.168.1.1 并按回车键。出现的登录页面如下图所示：

Hillstone安全网关Web界面配置指导

Web界面配置指导 Version 4.0 Hillstone山石网科

目录 一、设备的登录 (2) 二、基本上网配置 (3) 三、端口映射 (8) 四、IPSECVPN两种模式的配置 (14) 五、SCVPN配置 (19) 六、WEB认证上网功能配置 (23) 七、URL日志记录 (26) 八、IP-MAC绑定实现IP或MAC变更不能上网 (28) 九、设备恢复出厂操作 (30) 十、AAA服务器使用AD域类型的配置 (31) 十一、SCVPN调用两个AAA服务器中的用户认证登录 (34) 十二、HA配置注意事项 (35)

一、设备的登录 设备默认的管理接口为ethernet0/0，登录的ip为192.168.1.1,，默认的管理账号为hillstone，密码为hillstone。 把本地电脑网卡填写IP为192.168.1.2，使用web、telnet、ssh均可登录，，在浏览器中输入192.168.1.1 就可以通过WEBui的方式登录管理设备。 注意：如果是SG6000-NAV 系列的http的服务端口统一为9090，https的服务端口统一为8443。所以默认登录该设备的WEBui的方式为http://192.168.1.1:9090,或 h ttps://192.168.1.1:8443登录的账号密码都为hillstone

二、基本上网配置 1.设置接口信息 购买的宽带地址是静态IP，一般会营业厅会告知IP地址、子网掩码、网关、DNS。例如IP地址200.0.0.188 子网掩码255.255.255.0 或24，网关200.0.0.1 DNS 202.106.0.20 配置外网接口，ethernet0/1 为连接外网的接口 【网络】>>【接口】，在接口列表中选择ethernet0/1，点击该接口后面的“编辑”按钮显示接口配置界面如下：配置完基本信息，点击“确认” 上面是静态IP的使用，如果是ADSL拨号， 【网络】>>【PPPoE客户端】新建填写使用的用户名和密码

HillStone最新配置手册

HillStone SA-2001配置手册 1 网络端口配置 (2) 2 防火墙设置 (12) 3 VPN配置 (14) 4 流量控制的配置 (25) 4.1P2P限流 (25) 4.2禁止P2P流量 (26) 4.3IP流量控制 (29) 4.4时间的设置 (30) 4.5统计功能 (33) 5 基础配置 (36)

本文是基于安全网关操作系统为Version 3.5进行编写，如版本不同，配置过程有可能不一样。 1 网络端口配置 SA-2001安全网关前面板有5个千兆电口、1个配置口、1个CLR按键、1个USB接口以及状态指示灯。下图为SA-2001的前面板示意图： 将网线接入到E0/0。防火墙的ethernet0/0接口配有默认IP地址192.168.1.1/24，但该端口没有设置为DHCP服务器为客户端提供IP地址，因此需要将PC机的IP地址设置为同一网段，例如192.168.1.2/24才能连上防火墙。

通过IE打开192.168.1.1，然后输入默认的用户名和密码（均为hillstone） 登录后的首页面。可以看到CPU、内存、会话等使用情况。

很多品牌的防火墙或者路由器等，在默认情况下内网端口都是划分好并且形成一个小型交换机的，但是hillstone的产品却需要自己手工设置。在本文档中，我们准备将E0/0划分为UNTRUST口连接互联网，E0/1～E0/4总共4个端口我们则划到一个交换机中并作为TRUST口连接内网。

在网络－接口界面中，新建一个bgroup端口，该端口是一个虚拟的端口。 因为bgroup1接口需要提供路由功能，因此需要划入到三层安全域（trust）中。输入由集团信息中心提供的IP地址。在管理设置中，尽量将各个管理功能的协议打开，尤其是HTTP 功能。

Hillstone山石网科基础配置手册5.0

Hillstone山石网科基础配置手册5.0

Hillstone山石网科多核安全网关 基础配置手册 version 5.0

目录 第1章设备管理 (1) 设备管理介绍 (1) 终端Console登录 (1) WebUI方式登录 (2) 恢复出厂设置 (3) 通过CLI方式 (3) 通过WebUI方式 (4) 通过CLR按键方式 (6) StoneOS版本升级 (7) 通过网络迅速升级StoneOS（TFTP） (7) 通过WebUI方式升级StoneOS (9) 许可证安装 (12) 通过CLI方式安装 (12) 通过WebUI方式安装 (13) 第2章基础上网配置 (15) 基础上网配置介绍 (15) 接口配置 (15) 路由配置 (17) 策略配置 (20) 源NAT配置 (21) 第3章常用功能配置 (23) 常用配置介绍 (23) PPPoE配置 (23) DHCP配置 (26) IP-MAC绑定配置 (28) 端到端IPsec VPN配置 (30) SCVPN配置 (40) DNAT配置 (50) 一对一IP映射 (51) 一对一端口映射 (55) 多对多端口映射 (58) 一对多映射（服务器负载均衡） (62)

第4章链路负载均衡 (65) 链路负载均衡介绍 (65) 基于目的路由的负载均衡 (67) 基于源路由的负载均衡 (69) 智能链路负载均衡 (70) 第5章QoS配置 (74) QoS介绍 (74) IP QoS配置 (74) 应用QoS配置 (78) 混合QoS配置 (81) QoS白名单配置 (82) 第6章网络行为控制 (84) URL过滤（有URL许可证） (85) 配置自定义URL库 (89) URL过滤（无URL许可证） (91) 网页关键字过滤 (92) 网络聊天控制 (97) 第7章VPN高级配置 (100) 基于USB Key的SCVPN配置 (100) 新建PKI信任域 (100) 配置SCVPN (106) 制作USB Key (107) 使用USB Key方式登录SCVPN (109) PnPVPN (112) 用户配置 (114) IKE VPN配置 (116) 隧道接口配置 (121) 路由配置 (122) 策略配置 (123) PnPVPN客户端配置 (124) 第8章高可靠性 (126) 高可靠性介绍 (126) 高可靠性配置 (129)

Hillstone山石网科HSM白皮书

Hillstone山石网科HSM（Hillstone Security Management TM）白皮书 概述 HSM是为了使企业和服务提供商可以很容易地管理多个设备，最大程度地降低了配置，管理，监控及维护设备的投入成本。支持企业和服务提供商集中高效地完成和管理多台设备的需求。 结合山石网科上网行为管理，为企业提供了全方位基于用户和应用的审计。可针对Web访问、论坛发帖、P2P、IM（即时通讯）、游戏等等进行细粒度审计，能够满足公安部82号令要求，提供长期的审计数据保存和维护。 通过集中的对全网设备进行状态监控、流量监控、行为分析，总结出用户网络的安全威胁和安全漏洞，通过保持持续的安全定义和策略的应用提高了系统的安全，最终构成安全闭环，达到动态安全防护。 产品架构 HSM系统分为三部分，即HSM代理（Hillstone Security Management Agent）、HSM服务器（Hillstone Security Management Server）和HSM客户端（Hillstone Security Management Client）。将这三部分合理部署到网络中，并且实现安全连接后，用户可以通过客户端程序，查看被管理安全设备的日志信息、统计信息、设备属性等，监控被管理设备的运行状态和流量信息。 HSM代理 HSM系统对Hillstone安全设备进行管理和控制，因此，每台Hillstone安全设备运行的StoneOS都包含HSM代理模块，通过对代理模块的配置，使Hillstone安全设备与服务器相连，从而实现管理和控制。 HSM服务器 HSM服务器是网管系统的管理中心，完成信息及数据的存储、分析和转发,实时接收并监控所有被管理设备的运行信息，实时接收安全告警消息，实时接收各种日志消息，且可提供长达半年的日志信息多条件查询和过滤。

山石网科 防火墙 SG-6000-M2105-M3100-M3108选型说明手册

新一代多核安全网关SG-6000-M2105/M3100/M3108 SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。 SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。 产品亮点 安全可视化 ●网络可视化 通过StoneOS?内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。 ●接入可视化 StoneOS?基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。 ●应用可视化 StoneOS?内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。StoneOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。 全面的VPN解决方案 SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSecVPN。SG-6000系列产品对VPN(包括SSLVPN)都提供硬件加速，结合

Hillstone山石网科多核安全网关快速配置手册

Hillstone山石网科多核安全网关 快速配置手册 Hillstone山石网科 QS-UG0509-V1.1-01

前言 手册内容 首先感谢您使用山石网科的网络安全产品。本手册为Hillstone山石网科多核系列安全网关的快速配置手册，对Hillstone山石网科多核系列安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI的配置。 本手册的内容包括以下各章： ?搭建配置环境。介绍配置环境信息以及WebUI配置环境的搭建。 ?第2章系统管理。介绍系统固件StoneOS的升级、配置文件的备份等。 ?第3章快速部署安全网关。介绍安全网关的路由应用模式部署。 ?第4章对外发布服务器。介绍DNAT的基本配置。 ?第5章IP QoS。介绍IP QoS的配置用例。 ?第6章应用QoS。介绍应用QoS的配置用例。 ?第7章SCVPN。介绍SCVPN的配置用例。 手册约定 为方便用户阅读与理解，本手册遵循以下约定： 内容约定 本手册内容约定如下： ?提示：为用户提供相关参考信息。 ?说明：为用户提供有助于理解内容的说明信息。 ?注意：如果该操作不正确，会导致系统出错。 ?『』：用该方式表示WebUI页面上的链接、标签或者按钮。 ?< >：用该方式表示WebUI页面上提供的文本信息，包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。

目录 第1章搭建配置环境 (1) 配置环境介绍 (1) 搭建WebUI配置环境 (1) 搭建Console配置环境 (3) 安全网关的基本配置 (3) 第2章系统管理 (5) 介绍 (5) 时间配置 (5) 升级StoneOS (5) 配置信息操作 (6) 保存配置信息 (6) 导出配置信息 (7) 导入配置信息 (7) 恢复出厂配置 (8) 第3章快速部署安全网关 (9) 介绍 (9) 组网 (9) 配置步骤 (9) 第4章对外发布服务器 (15) 介绍 (15) 组网 (15) 配置步骤 (16) 第5章IP QoS (23) 介绍 (23) 配置需求 (23) 配置步骤 (23) 第6章应用QoS (25) 介绍 (25) 配置需求 (25) 配置步骤 (25) 第7章SCVPN (26) 介绍 (26) 组网 (26) 配置步骤 (26)