山石网科 防火墙 SG-6000-M2105-M3100-M3108选型说明手册

新一代多核安全网关SG-6000-M2105/M3100/M3108

SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点

安全可视化

●网络可视化

通过StoneOS?内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

●接入可视化

StoneOS?基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。

●应用可视化

StoneOS?内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。StoneOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN解决方案

SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSecVPN。SG-6000系列产品对VPN(包括SSLVPN)都提供硬件加速，结合

多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。Hillstone山石网科独具特色的即插即用VPN，可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置，完全解决了传统IPSecVPN设备配置难、使用难、维护成本高的问题。

SG-6000多核安全网关还通过集成第三代SSLVPN实现角色访问控制和即插即用特性，为用户提供方便、快捷的安全远程接入服务。

内容安全(UTMPlus?)

SG-6000可选UTMPlus?软件包提供病毒过滤、入侵防御、内容过滤、网页访问控制和应用流量整形等功能，可以防范病毒、间谍软件、蠕虫、木马等网络攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页，提高工作效率和控制对不良网站的访问。病毒库、攻击库、网页库可以通过网络服务实时下载，确保对新爆发的病毒、攻击、新的网页做到及时响应。

模块化、全并行处理的安全架构(多核Plus?G2)

Hillstone山石网科自主开发的64位实时安全操作系统StoneOS?采用专利的多处理器全并行架构，和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同；StoneOS?实现了从网络层到应用层的多核全并行处理。

因此SG-6000较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升，为同时开启多项防护功能奠定了性能基础，突破了传统安全网关的功能实用性和性能无法两全的局限。

SG-6000-M3108支持SD卡扩展。通过扩展SD卡可以在设备上实时记录各种审计日志和审计数据，满足公安部82号令的要求，也可以使用外置高性能日志服务器。

另外SG-6000多核安全网关还支持通过软件license方式进行设备高级扩展，例如提升设备的最大并发会话数、每秒新建连接数和整机处理性能等。

关键指标

应用识别

●全新一代基于应用行为和特征的应用识别

●多达几百种的应用特征库

●应用特征库可以通过网络实时更新

防火墙

●全新一代基于应用的防火墙

●基于应用/角色的安全策略

●可防范DNSQueryFlood、SYNFlood、DoS/DDoS等攻击

●各种畸形报文攻击防护

●ARP欺骗防护

流量管理

●基于角色、应用、IP地址、时间等的流量管理策略

●支持基于服务等级(CoS)的流控，兼容DiffServ标记

●弹性流控，可以动态分配带宽

VPN

●支持各种标准IPSecVPN协议及部署方式

●创新的PnPVPN?(即插即用VPN)

●支持SSLVPN(可选USB-key)

●支持L2TPVPN

病毒过滤

●基于流、低延时、高并发、高性能的病毒过滤

●支持大病毒文件的扫描

●实时病毒连接阻断，病毒事件记录

●支持常见病毒传输协议HTTP、FTP及各种邮件协议扫描

●超过40万的病毒特征库、病毒库可以做到实时更新

网页访问控制

●基于角色、时间、优先级等条件的Web网页访问策略控制

●总数超过2千万条域名的分类Web页面库，支持Web页面库实时更新

●基于网页分类类别控制，控制对不良网站访问

●支持自定义Web页面类别

上网行为管理(6)

●超过2千万条域名的分类Web页面库，轻松控制不良网站访问

●基于应用(P2P、即时通讯、游戏、办公软件等)的细粒度网络访问控制

●内容审计，包括对论坛发帖、外发邮件、IM聊天等内容的审计

●敏感文件类型过滤，JavaApplet/ActiveX阻断

入侵防御

●基于状态、精准的高性能攻击检测和防御

●实时攻击源阻断、IP屏蔽、攻击事件记录

●支持针对HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBIOS、

TFTP等多种协议和应用的攻击检测和防御

集中监管和细粒度分析审计(HSM)

●设备集中管理

●性能、流量监控与分析

●上网行为审计

除非另有说明，否则所列出的性能，容量和特性是基于运行StoneOS?4.0的系统，实际结果可能会因StoneOS?版本和部署情况而异。

注：

(1)IPSec吞吐量是用Presharekey+AES256+SHA-1，用1400字节数据流测试得到；

(2)防病毒是根据带附件的HTTP流量测试；

(3)IPS吞吐量是使用HTTP流量，启用所有IPS规则，并打开双向检测方式下得到的；

(4)每秒新建连接是使用TCPnoclose方法测试；

(5)SG-6000-M2105/M3100不支持SD卡槽，SG-6000-M3108的SD卡(SDHC格式)由客户自行采购,推荐品牌：金士顿、SanDisk；

(6)SG-6000-M2105/M3100不支持上网行为管理。

山石网科 防火墙 SG-6000-M2105-M3100-M3108选型说明书

新一代多核安全网关 SG-6000-M2105/M3100/M3108 SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。 产品亮点 安全可视化 ●网络可视化 通过StoneOS?内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。 ●接入可视化 StoneOS?基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。 ●应用可视化 StoneOS?内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。StoneOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包

括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。 全面的VPN解决方案 SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSec VPN。SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。 Hillstone山石网科独具特色的即插即用VPN，可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置，完全解决了传统IPSecVPN设备配置难、使用难、维护成本高的问题。 SG-6000多核安全网关还通过集成第三代SSL VPN实现角色访问控制和即插即用特性，为用户提供方便、快捷的安全远程接入服务。 内容安全(UTM Plus?) SG-6000可选UTMPlus?软件包提供病毒过滤、入侵防御、内容过滤、网页访问控制和应用流量整形等功能，可以防范病毒、间谍软件、蠕虫、木马等网络攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页，提高工作效率和控制对不良网站的访问。病毒库、攻击库、网页库可以通过网络服务实时下载，确保对新爆发的病毒、攻击、新的网页做到及时响应。 模块化、全并行处理的安全架构(多核Plus? G2) Hillstone山石网科自主开发的64位实时安全操作系统StoneOS?采用专利的多处理器全并行架构，和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同；StoneOS?实现了从网络层到应用层的多核全并行处理。 因此SG-6000较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升，为同时开启多项防护功能奠定了性能基础，突破了传统安全网关的功能实用性和性能无法两全的局限。 SG-6000-M3108支持SD卡扩展。通过扩展SD卡可以在设备上实时记录各种审计日志和审计数据，满足公安部82号令的要求，也可以使用外置高性能日志服务器。 另外SG-6000多核安全网关还支持通过软件license方式进行设备高级扩展，

Hillstone山石网科SG-6000-X6150防火墙评测报告

Hillstone山石网科SG-6000-X6150防火墙评测报告 作者老韩 | 2010-10-14 11:38 | 类型互联网, 弯曲推荐, 研发动态, 网络安全 | 75条用户评论? 4年时间完成从0到100G的跨越，山石网科让人无话可说。再过4年，中国信息安全行业的格局是否会被改变？10月21日，山石网科将在北京正式发布这款百G级别的产品，感兴趣的话可以猛击这里查看官方专题页。 原文发布于《计算机世界》。本文尽量注意在正文中不出现带有个人感情色彩的语言；另一方面，拓展表现形式，用视频保存下测试中的经典瞬间，编辑后以更易于接受、传播的方式加以体现。（对于镜头晃动带来的眩晕感我非常抱歉，此外请忽略鼻炎导致偶发的怪腔怪调……） Hillstone山石网科（以下简称“山石网科”）是一个令人惊叹的安全企业。自成立以来，该公司保持着稳定、高速的产品研发速度，有步骤地推出了一系列多功能安全网关产品，占据了市场先机。但所有这些产品，其形态都属于“盒子（Appliance）”的范畴，固化的业务处理单元决定了其防火墙性能无法突破20G 这条水平线。而在云计算从未来时发展为现在进行时的今天，运营商、金融、教育等大型行业用户有了更高的业务需求，百G级别的防火墙在骨干网、数据中心等环境开始进入实际应用阶段。为了应对新的需求变化，山石网科又于近期推出了SG-6000-X6150（以下简称X6150）高性能防火墙，我们也在第一时间对该产品进行了测试分析。

为了达到百G级别的处理能力，X6150改用“机框（Chassis）”式产品形态，实现了可插拔部件全冗余及业务的智能分布式处理。该产品采用5U规格设计，共内置了12个扩展槽位，其中10个可用于接口模块（IOM）、安全服务模块（SSM）或QoS服务模块（QSM），2个用于系统主控模块（SCM）。设备亦采用了高速大容量交换背板，为每个模块提供了足够大的数据通路。对于高端电信级产品来说，供电子系统与散热子系统的重要性亦不容忽视。X6150最多可内置4个电源模块（650W），支持双路主备冗余部署，加上具有热插拔特性的风扇模组，可以最大程度地保障系统的稳定运行。 多核Plus G2的高级形态 目前，通过单独的处理器还很难达到百G级别的防火墙性能，业务的分布式处理是目前市场上百G防火墙产品的主流选择。不同厂商必然有着不同的系统实现方式，对于山石网科来说，经过多次发展演变的多核Plus G2架构则是X6150实现智能分布式处理的基础。

山石网科安全网关配置命令

山石网科 申请功能 （平台） QOS 流量分配 AV 复合端口 IPS 入侵 NBC 网络行为管理支持SG型号 URLDB 是NBC子键支持SG型号 HSM 设备集 4GE-B 当断电后仍然可以通讯 SSH secure Shell 安全外壳协议 是一种在不安全网络上提供安全登录和其他安全网络服务的协议。 NAT 步骤： ①，接口IP ②，配路由 缺省路由：0.0.0.0 0.0.0.0 192.168.1.2 回值路由：0.0.0.0 192.168.1.x 192.168.1.1 策略路由： ③，NAT SNAT DNAT MAP ( IP PORT ) ④，policy(策略) 检查配置环境 show seccion generic 显示连接数 show interface (name) 显示接口信息 show zone(zone name) 显示安全域类型 show admin user 显示系统管理员信息 show admin user (name)显示系统管理员配置信息 show version 显示版本号信息 show arp 显示解析地址 show fib 显示路由信息 show snat 显示nat 配置 no snatrule id 号删除NAT配置 show ip route 显示路由信息 save 保存配置 unset all 清楚配置(恢复出厂设 置。

配接口 (config)# interface Ethernet0/2 (config-if-0/2)# zone trust 或/untrust 建立区信任/不信任 (config-if-0/2)# ip add 192.168.1.1/24 (config-if-0/2)# manage ping 开通PING (config-if-0/3)# manage http 开通HTTP (config-if-0/3)# manage telnet 开通telnet 配路由 (config)# ip vrouter trust-vr 这个命令意思是可以配置多个路由 (config-route)# ip route 0.0.0.0/0 192.168.1.1 配NAT (config)# nat (config-nat)# snatrule id 1 from any to any trans-to eif-ip mode dynamicport (config)#policy # rule from any to any server any dynamicport 系统管理 web： 系统--设备管理--基本信息 CLI： (config)# hostname (name) 配置安全网关名 (config)# no hostname 清楚安全网关名 管理员密码策略配置模式 hostname(config)# password policy 进入管理员策略配置式 hostname(config-pwd-policy)# admin complexity 1 启用密码复杂度限制 hostname(config=pwd-policy)# admin min-length (length value) 启用密码最少位限制 配置系统管理员 (config)# admin user (user-name) 配置管理员名称 (config)# no admin user (user-name) 删除管理员名称 (config-hostname)# privilege PX/RXW 管理员模式下：配置管理员特权 PX是读，执行 PXW 是读，执行，写。 (config-hostname)# password password 配置管理员密码 (config-hostname)# access{console|https|ssh|telnet|any} 配置管理员的访问方式 show admin user 显示管理员信息 show admin user (user-name) 显示管理员配置信息

山石网科防火墙检查命令

表29-1：手动同步配置命令列表 HA 同步信息show 命令手动同步命令 配置信息show configuration exec ha sync configuration 文件信息show file exec ha sync file file-name ARP 表项show arp exec ha sync rdo arp DNS 配置信息show ip hosts exec ha sync rdo dns DHCP 配置信息show dhcp exec ha sync rdo dhcp MAC 地址表show mac exec ha sync rdo mac show pki key PKI 配置信息 show pki trust-domain exec ha sync rdo pki 会话信息show session exec ha sync rdo session show ipsec sa IPSec VPN 信息 show isakmp sa exec ha sync rdo vpn show scvpn client test show scvpn host-check-profile show scvpn pool show scvpn user-host-binding show scvpn session SCVPN 信息 show auth-user scvpn exec ha sync rdo scvpn show l2tp tunnel show l2tp pool show l2tp client {tunnel-name name [user user-name]| tunnel-id ID} L2TP 信息 show auth-user l2tp {interface interface-name | vrouter vrouter-name} exec ha sync rdo l2tp Web 认证信息show auth-user webauth exec ha sync rdo webauth NTP 信息show ntp exec ha sync rdo ntp SCVPN 信息show scvpn exec ha sync rdo scvpn 路由信息show ip route exec ha sync rdo route

山石网科Ipv6整体解决方案

Ipv6整体解决方案 Hillstone Networks Inc. 2016年03月10日

内容提交人审核人更新内容日期 V1 2016/3/10 目录 1需求分析 (3) 2解决方案 (3) 2.1设备信息 (3) 2.2拓扑 (3) 2.3主要配置 (4) 2.3.1总部 (4) 2.3.2分支1（模拟环境，不考虑上互联网问题） (6) 2.3.3分支2 (8) 3建设效果 (8)

1需求分析 某用户有100多个office，都采用电信光纤接入，需要逐步从IPv4演变为IPv6地址，在这种场景下，需要做到IPv4到IPv6内网的互通。 场景模拟如下：一个总部两个分支，总部内网采用IPv6地址，外网地址采用IPv4；分支1外网IPv4，内网IPv6；分支机构2内外网都为IPv4地址。需求如下： A.总部的IPv6地址可以访问到互联网IPv4资源，总部的IPv6地址可以提供互联网用户 访问。 B.总部和分支1的IPv6地址通过公网6in4隧道互相通信。 C.总部和分支2的IPv4地址互相通信。 2解决方案 2.1设备信息 2.2拓扑

分支1 2005::2/96 2.3主要配置 2.3.1总部 A.接口 interface ethernet0/1 zone "untrust" ip address 200.0.0.2 255.255.255.0 manage http exit interface ethernet0/2 zone "trust"

dns-proxy ipv6 enable ipv6 address 2005::1/96 manage ping exit interface tunnel1 zone "trust" ipv6 enable tunnel ip6in4 "fenzhi1" exit B.Nat和路由 ip vrouter "trust-vr" snatrule id 1 from "2005::/96" to "2003::/96" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #总部上网snat snatrule id 2 from "2005::2/96" to "2004::2" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #与分支2通信snat snatrule id 3 from "Any" to "200.0.0.2" service "Any" eif ethernet0/2 trans-to 2005::1 mode dynamicport #公网已知ip访问总部ipv6服务器snat dnatrule id 1 from "2005::/96" to "2003::/96" service "Any" v4-mapped #总部上网dnat dnatrule id 2 from "2005::2/96" to "2004::2" service "Any" trans-to "200.0.0.4" #与分支2通信dnat dnatrule id 3 from "Any" to "200.0.0.2" service "Any" trans-to "2005::2" #公网已知ip访问总部ipv6服务器dnat ip route 0.0.0.0/0 200.0.0.1 ipv6 route 2001::/96 tunnel1 exit C.策略 rule id 1 action permit src-addr "Any" dst-addr "Any" service "Any" exit rule id 2 action permit src-ip 2005::/96 dst-ip 2004::/96 service "Any" exit rule id 3 action permit src-ip 2005::/96

Hillstone防火墙技术

Hi https://www.wendangku.net/doc/ce13287062.html, 山石网科通信技术(北京)有限公司 防火墙技术 StoneOS 安全模式

Hillstone防火墙技术 StoneOS安全模式 1. 介绍 传统防火墙通常可以在两种模式下进行操作：NAT/路由模式和透明模式。NAT/路由模式部署灵活，并且支持防火墙和路由器两种设备的功能。尽管如此，许多希望通过最少的网络中断而实现安全保护的客户却会选择透明模式。随着二层与三层转换的扩展，安全集成到网络中变成一个更加困难的选择。那么，在哪里部署能够控制所有二层和三层的所有类型流量的安全功能呢？Hillstone的StoneOS提供了一个强大的安全平台，它为安全管理者提供了“集成安全控制和网络管理的底层网络结构”。 StoneOS通过将网络功能从安全功能中分离出来，扩展了NAT/路由模式。这样，用户就可以在一个完全灵活的环境下使用NAT功能。 StoneOS通过引入专有的Virtual Switch（虚拟交换机）的概念极大地扩展了透明模式。在二层，用户可以定义VLAN域，并且可以将不同的安全策略应用到每一个VLAN。StoneOS还拥有重新标记VLAN tag功能，这种功能只有高端的交换机才能实现。 StoneOS混合模式将NAT/路由模式与透明模式结合到同一个设备上。根据配置的安全策略，部分数据在二层进行处理，而其它数据进行三层处理。这个强大的功能将路由器和交换机的功能进行完美结合，并且能够降低网络部署的复杂性。 2. NAT/路由模式路由 在NAT/路由模式下，设备被划分为多个三层域。流量会在三层域之间进行转发，并且被转发的流量会被进行安全检查。对于路由模式，IP地址不会被转换。对于NAT模式，IP数据包在不同域间转发的过程中，其IP地址和端口号可以被转换。 Hillstone设备将安全管理从网络管理中分离出来。Hillstone NAT策略是网络管理的一部分，用户可以基于特定接口或者五元组（IP地址、端口号和服务）进行灵活配置，或者将两者相结合。Hillstone设备可以同时工作在路由模式和NAT模式下，即对一些数据做三层转发的同时，为另外一些数据做NAT转换。

Hillstone虚拟防火墙技术解决方案白皮书

图1 使用虚拟防火墙进行业务灵活扩展 在传统数据中心方案中，业务服务器与防火墙基本上是一对一配比。因此，当业务增加时，用户需要购置新的防火墙；而当业务减少时，对应的防火墙就闲置下来，导致投资浪费。虚拟防火墙技术以其灵活可扩展的特性帮助用户保护投资，用户可以随时根据业务增减相应的虚拟防火墙。同时，通过使用虚拟防火墙的CPU 资源虚拟化技术，数据中心还可以为客户定量出租虚拟防火墙，例如，可以向某些客户出租10M 吞吐量的虚拟防火墙，而向另一些客户出租100M 吞吐量的虚拟防火墙。

Hillstone 虚拟防火墙功能简介 Hillstone 的虚拟防火墙功能简称为VSYS ，能够将一台物理防火墙在逻辑上划分成多个虚拟防火墙，每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备，拥有独立的系统资源，且能够实现防火墙的大部分功能。每个虚拟防火墙系统之间相互独立，不可直接相互通信。不同型号的Hillstone 物理防火墙设备支持的最大VSYS 个数不同，支持License 控制的VSYS 个数的扩展。 数据中心业务类型多种多样，需要使用的防火墙策略也不同。例如，DNS 服务器需要进行DNS Query Flood 攻击防护，而HTTP 服务器则需要进行HTTP Get Flood 攻击防护。虚拟防火墙的划分能够实现不同业务的专属防护策略配置。同时，CPU 资源虚拟化可隔离虚拟防火墙之间的故障，当单个虚拟防火墙受到攻击或资源耗尽时，其它虚拟防火墙不会受到影响，这样就大大提升了各业务的综合可用性。 图2 使用虚拟防火墙进行业务隔离 Hillstone 虚拟防火墙功能包含以下特性： ■ 每个VSYS 拥有独立的管理员 ■ 每个VSYS 拥有独立的安全域、地址簿、服务簿等■ 每个VSYS 可以拥有独立的物理接口或者逻辑接口■ 每个VSYS 拥有独立的安全策略■ 每个VSYS 拥有独立的日志 1.2 业务隔离，互不影响

Hillstone山石网科防火墙日常运维操作手册

目录 一、设备基础管理 (1) 1.1设备登录 (1) 1.1.1 通过CLI管理设备 (1) 1.1.2 通过WebUI管理设备 (2) 1.2管理员帐号及权限设置 (4) 1.2.1 新增管理员 (4) 1.2.1 修改管理员密码 (5) 1.3 License安装 (6) 1.4设备软件升级 (7) 1.5设备配置备份与恢复 (9) 1.5.1 备份设备配置 (9) 1.5.2 恢复设备配置 (12) 1.6系统诊断工具的使用 (14) 二、对象配置 (16) 2.1 配置地址薄 (16) 2.2 配置服务簿 (17) 三、网络配置 (21) 3.1 配置安全域 (21) 3.2 配置接口 (22) 3.3 配置路由 (23) 3.4 配置DNS (24) 四、防火墙配置 (26) 4.1 配置防火墙策略 (26) 4.1.1 新增防火墙安全策略 (26) 4.1.2 编辑防火墙安全策略 (27) 4.2 配置NAT (28) 4.2.1 配置源NAT (28) 4.2.2 配置目的NAT (31) 4.3 防火墙配置举例 (35) 五、QOS配置 (44) 5.1 配置IP QOS (45) 5.2 配置应用QOS (46) 六、常用日志配置 (48)

一、设备基础管理 1.1设备登录 安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。 1.1.1 通过CLI管理设备 通过Console 口配置安全网关时需要在计算机上运行终端仿真程序（系统的超级终端、SecureCRT等）建立与安全网关的连接，并按如下表所示设置参数（与连接Cisco设备的参数一致）： 通过telnet或者SSH管理设备时，需要在相应接口下启用telnet或SSH 管理服务，然后允许相应网段的IP管理设备（可信主机）。 对接口启用telnet或SSH管理服务的方法如下： 首先在网络—>网络连接模式下的页面下方勾选指定接口，点击图示为 的编辑按钮，

Hillstone防火墙维护手册

Hillstone防火墙维护手册 2010/10/17

1.概述 防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。 Hillstone防火墙提供了丰富的冗余保护机制和故障诊断、排查方法，通过日常管理维护可以使防火墙运行在可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对Hillstone防火墙日常维护进行较系统的总结，为防火墙维护人员提供设备运维指导。

2.Hillstone防火墙日常维护 围绕防火墙可靠运行和出现故障时能够快速恢复为目标，Hillstone防火墙维护主要思路为：通过积极主动的日常维护将故障隐患消除在萌芽状态；故障发生时，使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行；故障处理后及时进行总结与改进避免故障再次发生。 2.1.防火墙硬件部分日常维护 2.1.1.防火墙机房要求 机房的卫生状况，要求清洁，防火墙上没有灰尘。 温度（摄氏℃） 工作环境温度0 ℃－40℃ 工作环境湿度（%）10% －95% 2.1.2.防火墙电源检查 检查防火墙电源插头有无松动。 检查防火墙LED电源指示灯颜色： 电源指示灯颜色:

2.1. 3.防火墙风扇 低端产品防火墙风扇固定在产品内； 高端产品风扇为模块化设计，可热插拔； 检测防火墙风扇风扇指示灯有否告警； 检测风扇风力是否适中 风扇指示灯颜色: 根据防火墙指示灯状况，可迅速查看防火墙某部分出现故障，以 及防火墙运行情况。

山石网科防火墙接入方式之透明模式

山石网科防火墙在接入方面为我们提供了四个方面的选择 1. 透明模式 2. 路由模式 3. 混合模式 4. 旁路模式 今天我们简单的看下透明模式的接入，首先我们来看下拓扑图。 通过这样的一个拓扑图我们发现，在防火墙的左边和右边都是连接的同一个网络，但是我们并没有给防火墙分配地址，而是让防火墙透明的存在这个网络中，这种接入方式就是我们的接入方式的透明模式。既然是透明的，并且没有IP地址，那么我们让他们正常的进行通信就需要通过二层来实现。山石网科的设备在设备内部默认存在一个虚拟交换机，通过这个交换机来实现二层的互联。

下面我们有两种方式来为配置我们的透明模式，一种是命令行方式，还有一种是网页方式。 一：命令行模式 先要把对应的接口划入到对应的zone，如我们的拓扑图所示。 QYTANG(config)# int e0/1 QYTANG(config-if-eth0/1)# zone l2-trust QYTANG(config-if-eth0/1)# no shutdown QYTANG(config-if-eth0/1)# exit QYTANG(config)# int e0/2 QYTANG(config-if-eth0/2)# zone l2-untrust QYTANG(config-if-eth0/2)# no shutdown 现在我们需要在两边的路由器上配置相应的ip地址。 R1(config)#int e0/0 R1(config-if)#ip address 10.1.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit

HillStone最新配置手册

HillStone SA-2001配置手册 1 网络端口配置 (2) 2 防火墙设置 (12) 3 VPN配置 (14) 4 流量控制的配置 (25) 4.1P2P限流 (25) 4.2禁止P2P流量 (26) 4.3IP流量控制 (29) 4.4时间的设置 (30) 4.5统计功能 (33) 5 基础配置 (36)

本文是基于安全网关操作系统为Version 3.5进行编写，如版本不同，配置过程有可能不一样。 1 网络端口配置 SA-2001安全网关前面板有5个千兆电口、1个配置口、1个CLR按键、1个USB接口以及状态指示灯。下图为SA-2001的前面板示意图： 将网线接入到E0/0。防火墙的ethernet0/0接口配有默认IP地址192.168.1.1/24，但该端口没有设置为DHCP服务器为客户端提供IP地址，因此需要将PC机的IP地址设置为同一网段，例如192.168.1.2/24才能连上防火墙。

通过IE打开192.168.1.1，然后输入默认的用户名和密码（均为hillstone） 登录后的首页面。可以看到CPU、内存、会话等使用情况。

很多品牌的防火墙或者路由器等，在默认情况下内网端口都是划分好并且形成一个小型交换机的，但是hillstone的产品却需要自己手工设置。在本文档中，我们准备将E0/0划分为UNTRUST口连接互联网，E0/1～E0/4总共4个端口我们则划到一个交换机中并作为TRUST口连接内网。

在网络－接口界面中，新建一个bgroup端口，该端口是一个虚拟的端口。 因为bgroup1接口需要提供路由功能，因此需要划入到三层安全域（trust）中。输入由集团信息中心提供的IP地址。在管理设置中，尽量将各个管理功能的协议打开，尤其是HTTP 功能。

Hillstone 安全网关 Web 界面配置指导

Web界面配置指导 Version 4.0 Hillstone山石网科

目录 一、设备的登录 (2) 二、基本上网配置 (3) 三、端口映射 (8) 四、IPSECVPN两种模式的配置 (14) 五、SCVPN配置 (19) 六、WEB认证上网功能配置 (23) 七、URL日志记录 (26) 八、IP-MAC绑定实现IP或MAC变更不能上网 (28) 九、设备恢复出厂操作 (30) 十、AAA服务器使用AD域类型的配置 (31) 十一、SCVPN调用两个AAA服务器中的用户认证登录 (34) 十二、HA配置注意事项 (35)

一、设备的登录 设备默认的管理接口为ethernet0/0，登录的ip为192.168.1.1,，默认的管理账号为hillstone，密码为hillstone。 把本地电脑网卡填写IP为192.168.1.2，使用web、telnet、ssh均可登录，，在浏览器中输入192.168.1.1 就可以通过WEBui的方式登录管理设备。 注意：如果是SG6000-NAV 系列的http的服务端口统一为9090，https的服务端口统一为8443。所以默认登录该设备的WEBui的方式为http://192.168.1.1:9090,或 h ttps://192.168.1.1:8443登录的账号密码都为hillstone

二、基本上网配置 1.设置接口信息 购买的宽带地址是静态IP，一般会营业厅会告知IP地址、子网掩码、网关、DNS。 例如IP地址200.0.0.188 子网掩码255.255.255.0 或24，网关200.0.0.1 DNS 202.106.0.20 配置外网接口，ethernet0/1 为连接外网的接口 【网络】>>【接口】，在接口列表中选择ethernet0/1，点击该接口后面的“编辑”按钮 显示接口配置界面如下：配置完基本信息，点击“确认” 上面是静态IP的使用，如果是ADSL拨号， 【网络】>>【PPPoE客户端】新建填写使用的用户名和密码

山石网科 防火墙 SG-6000-M2105-M3100-M3108选型说明手册

新一代多核安全网关SG-6000-M2105/M3100/M3108 SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。 SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。 产品亮点 安全可视化 ●网络可视化 通过StoneOS?内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。 ●接入可视化 StoneOS?基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。 ●应用可视化 StoneOS?内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。StoneOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。 全面的VPN解决方案 SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSecVPN。SG-6000系列产品对VPN(包括SSLVPN)都提供硬件加速，结合

hillstone防火墙配置实例介绍

目录 一．基本情况介绍 (2) 1.车管所机房情况： (2) 2.通璟检测站： (2) 3.风顺、安运检测站： (2) 4.关于防火墙的配置方式： (3) 5.关于配置文件： (3) 6.关于授权证书： (4) 二．车管所防火墙配置说明 (5) 1.第12行： (5) 2.第90行，地址薄的设置： (5) 3.第316行，接口的设置： (7) 4.第371行，虚拟路由的配置： (9) 5.第381行，策略的配置： (11) 三．通璟检测站防火墙的配置： (13) 1.第83行，地址薄的设置： (13) 2.第290行，接口的配置： (14) 3.第312行，虚拟路由的设置： (15) 4.第317行，策略的配置： (16) 四．风顺检测站防火墙的配置： (17) 1.第86行，地址薄的配置： (17) 2.第305行，接口的配置： (18) 3.第328行，虚拟路由的配置： (19) 4.第335行，策略的设置： (21) 五．总结 (22)

一．基本情况介绍 本文档适用于HillStone SG-6000 M2105(车管所)和HillStone SG-6000 NA V20（检测站），网络连接方式为车管所与检测站防火墙用网线直连、车管所与检测站防火墙在同一公安网IP段内两种。具体配置如下： 1．车管所机房情况： 数据服务器、应用/通讯服务器、hillstone防火墙、审核电脑1/2的IP分别10.137.186.78/62/68/36/37，系统管理员给的IP地址格式为： ； 防火墙配置完毕后，车管所服务器设置的IP格式为： webserviceIP:10.136.46.23。 2.通璟检测站： 局域网IP地址为192.168.11.*段，网关192.168.11.1。因为距离短，有一条一百多米网线直接通到车管所机房。站点服务器、签证申请岗、查验岗、无线路由、PDA、检测线主控、登录机等都接在交换机上，然后交换机接网线到hillstone防火墙的0/1口，到车管所机房的网线接防火墙0/0口。 3.风顺、安运检测站： IP段分别是192.168.12.*和192.168.13.*，网关分别是192.168.12.1和192.168.13.1。两个站都是依靠着当地的交警大队，直接把大队公安网接网线到检测站防火墙的0/0口。因为交警大队和交警支队车管所的IP都是一个网段（10.137.186.*），所以两个站防火墙的0/0口IP 分别是10.137.186.97和67。

Hillstone 防火墙技术——StoneOS

Hillstone 防火墙技术——StoneOS 安全架构 1介绍 传统防火墙通常可以在两种模式下进行操作：路由/NAT 模式和透明模式。路由/NAT 模式部署灵活，并且支持防火墙和路由器两种设备的功能。尽管如此，许多希望通过最少的网络中断来实现安全保护的客户却会选择透明模式。随着二层与三层转换的扩展，安全集成到网络中变成一个更加困难的选择。那么，在哪里部署能够控制所有二层和三层的所有类型流量的安全功能呢？Hillstone 的StoneOS 提供了一个强大的安全平台，它为安全管理者提供了“集成安全控制和网络管理的底层网络结构”。 StoneOS 通过将网络功能从安全功能中分离出来，扩展了NAT/ 路由模式。这样，用户就可以在一个完全灵活的环境下使用NAT 功能。 StoneOS 通过引入专有的Virtual Switch（虚拟交换机）的概念极大地扩展了透明模式。在二层，用户可以定义VLAN 域，并且可以将不同的安全策略应用到每一个VLAN 。StoneOS 还拥有重新标记VLAN tag 功能，这种功能只有高端的交换机才能实现。 StoneOS 混合模式将NAT/ 路由模式与透明模式结合到同一个设备上。根据配置的安全策略，部分数据在二层进行处理，而其它数据进行三层处理。这个强大的功能将路由器和交换机的功能进行完美结合，并且能够降低网络部署的复杂性。 2路由/NAT 模式路由 在路由/NAT 模式下，设备被划分为多个三层域。流量会在三层域之间进行转发，并且被转发的流量会被进行安全检查。对于路由模式，IP 地址不会被转换。对于NAT 模式，IP 数据包在不同域间转发的过程中，其IP 地址和端口号可以被转换。 Hillstone 设备将安全管理从网络管理中分离出来。Hillstone NAT 策略是网络管理的一部分，用户可以基于特定接口或者五元组（源和目的IP 地址、端口号和服务）进行灵活配置，或者将两者相结合。Hillstone 设备可以同时工作在路由模式和NAT 模式下，即对一些数据做三层转发的同时，为另外一些数据做NAT 转换。

Hillstone安全网关高级功能配置手册v5.0(初版)

服务热线：400 828 6655 Hillstone山石网科 多核安全网关 高级功能配置手册 V 5.0版本

一．链路负载均衡 (3) 1.1基于目的路由的流量负载 (4) 1.2基于源路由的流量负载 (6) 1.3基于策略路由的流量负载 (7) 1.4智能链路负载均衡 (9) 二．流量控制QOS配置 (10) 2.1配置IP Q O S (10) 2.2配置应用Q O S (14) 2.3配置混合Q O S (16) 2.4配置Q O S白名单 (18) 三．NBC网络行为控制配置 (19) 3.1URL过滤(有URL许可证) (20) 3.2URL过滤（无URL库许可证） (25) 3.3网页关键字过滤 (28) 3.4网络聊天控制 (33) 四．VPN高级配置 (35) 4.1基于USB-KEY的SCVPN配置 (35) 4.2P N P-VPN (48) 五．高可靠性HA配置 (60)

一．链路负载均衡 当防火墙有多条链路接入，同时需要对内网的流量根据源地址，目的地址或者服务进行流量的负载分摊时，需要进行负载均衡的配置，以便保证流量的负载分担；在配置源地址，目的地址的负载均衡时，可以实现冗余，当某一条路由失效时，可以保证正常的流量转发。 配置多链路负载均衡前，先保证接口，snat和策略都配置正确。 1.确认接口的地址和掩码都配置正确，其中掩码的位数一定和运行商确认： 2.两条源地址转换，使内网的流量可以分别nat成对应公网出口地址池的地址，去访问互联网：

3.确认流量穿越防火墙时，防火墙策略允许（源和目的地址以及服务可以根据具体情况作相应修改）： 1.1基于目的路由的流量负载 例：e0/1口接入10M电信，e0/2接入20M网通；实现所有访问公网的流量按1：2的比例分别从e0/1口和e0/2口转发出去。即当设备总共转发3数值的流量时，e0/1转发1数值；e0/2口转发2数值。 Web页面配置如下： 1．网络-〉路由-〉新建 :