山石网科 防火墙 SG-6000-M2105-M3100-M3108选型说明书

Hillstone山石网科下一代防火墙基础配置手册V5.5版本Hillstone Networks Inc.服务热线：400 828 6655内容提交人审核人更新内容日期陈天骄陈天骄初次编写2016/1/14目录1 设备管理 (3)1.1 终端console登录 (3)1.2 网页WebUI登录 (3)1.3 恢复出厂设置 (5)1.3.1 CLI命令行操作 (5)1.3.2 WebUI图形化界面操作 (5)1.3.3 硬件CLR操作 (6)1.4 设备系统（StoneOS）升级 (6)1.4.1 通过sysloader升级 (6)1.4.2 通过CLI升级 (9)1.4.3 通过WebUI升级 (9)1.5 许可证安装 (10)1.5.1 CLI命令行安装 (10)1.5.2 WebUI安装 (11)2 基础上网配置 (11)2.1 接口配置 (11)2.2 路由配置 (13)2.3 策略配置 (14)2.4 源地址转换配置（SNAT） (15)3 常用功能配置 (16)3.1 PPPoE拨号配置 (16)3.2 动态地址分配（DHCP）配置 (17)3.3 IP-MAC地址绑定配置 (20)3.4 端到端IPSec VPN配置 (21)3.4.1 配置第一阶段P1提议 (22)3.4.2 配置ISAKMP网关 (23)3.4.3 配置第二阶段P2提议 (24)3.4.4 配置隧道 (25)3.4.5 配置隧道接口 (26)3.4.6 配置隧道路由和策略 (28)3.4.7 查看VPN状态 (29)3.5 远程接入SCVPN配置 (30)3.6 目的地址转换DNAT配置 (38)3.6.1 IP映射 (39)3.6.2 端口映射 (41)1设备管理安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、Telnet、SSH等主流通信管理协议。

Version4.16.0版本说明本文档包含HSM4.2.0及以后各版本的新增功能、已知问题等内容。

l HSM4.16.0l HSM4.15.0l HSM4.14.0l HSM4.13.0l HSM4.11.0l HSM4.10.0l HSM4.8.0l HSM4.7.0l HSM4.6.0l HSM4.5.0l HSM4.4.0l HSM4.3.0l HSM4.2.0HSM4.16.0本节为HSM4.16.0的版本说明。

产品和版本信息产品名称：山石网科集中安全管理平台（HSM）产品型号：HSM-50、HSM-100-D4、HSM-200、HSM-500-D4、vHSM 软件名称：HSM pro4.16.0发布日期：2022年5月12日适用StoneOS版本：l StoneOS5.5R9和5.5R8支持除了IPS特征库下发以外的所有功能；l StoneOS5.5R7支持HSM的全部功能；l StoneOS5.0R3F5、5.0R4P6支持HSM除2.5R2及更高版本新增功能外的所有功能；l StoneOS4.5R4、5.0R3支持除配置管理和2.5R2及更高版本新增功能外的所有功能（监控功能为受限支持）；l StoneOS4.5R1至4.5R3版本支持注册以及查看设备信息。

适用产品型号：l SG-6000K系列、E系列、X系列、G系列、M系列、T系列、NIP(D)S、ADC、WAF、BDS产品l云•界CloudEdge产品系统文件版本升级说明l vHSM不支持从2.5R3升级到2.5R4P2，但支持从2.5R4升级到2.5R4P1和2.5R4P2。

兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试：l IE11l Chrome新增功能HSM4.15.0本节为HSM4.15.0的版本说明。

产品和版本信息产品名称：山石网科集中安全管理平台（HSM）产品型号：HSM-50、HSM-100-D4、HSM-200、HSM-500-D4、vHSM 软件名称：HSM pro4.15.0发布日期：2022年3月4日适用StoneOS版本：l StoneOS5.5R9和5.5R8支持除了IPS特征库下发以外的所有功能；l StoneOS5.5R7支持HSM的全部功能；l StoneOS5.0R3F5、5.0R4P6支持HSM除2.5R2及更高版本新增功能外的所有功能；l StoneOS4.5R4、5.0R3支持除配置管理和2.5R2及更高版本新增功能外的所有功能（监控功能为受限支持）；l StoneOS4.5R1至4.5R3版本支持注册以及查看设备信息。

Version5.3.1版本说明本文档包含HSM5.0.0及以后各版本的版本说明，主要介绍了新增功能，已知问题及已解决问题等内容。

l HSM5.3.1l HSM5.3.0l HSM5.2.0l HSM5.1.0l HSM5.0.0HSM5.3.1本节为HSM5.3.1的版本说明。

产品和版本信息产品名称：山石网科集中安全管理平台（HSM）产品型号：HSM-P100、HSM-P3000、vHSM软件名称：HSMpro2.0-5.3.1发布日期：2022年9月27日适用产品型号：l HSM支持纳管SG-6000A系列、E系列、X系列、K系列、T系列、SDW系列。

注意:若需使用HSM纳管上述型号的防火墙设备，请保证其软件版本为StoneOS5.5R4及以上。

系统文件注意:若需为vHSM获取5.3.1版本的系统文件，即.ova、.qcow2和.vmdk格式的系统文件，请联系山石网科工作人员。

版本升级说明山石网科集中安全管理平台（HSM）不支持从4.X版本升级到5.3.1版本。

兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试：l Edge80及以上l Chrome80及以上新增功能已知问题HSM5.3.0本节为HSM5.3.0的版本说明。

产品和版本信息产品名称：山石网科集中安全管理平台（HSM）产品型号：HSM-P100、HSM-P3000、vHSM软件名称：HSMpro2.0-5.3.0发布日期：2022年8月4日适用StoneOS版本：l建议使用最新的StoneOS5.5R9P2、5.5R9F1，支持HSM的大部分功能；适用产品型号：l SG-6000A系列、E系列、X系列、K系列、T系列、SDW系列。

系统文件版本升级说明山石网科集中安全管理平台（HSM）不支持从4.X版本升级到5.3.0版本。

兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试：l Edge80及以上l Chrome80及以上新增功能已知问题HSM5.2.0本节为HSM5.2.0的版本说明。

Version 2.0
安全隔离与信息交换系统版本说明 V2.0 好的发布概述
发布日期：2021年11月3日
本次为正式版首次公开发布，主要内容为产品型号、产品功能列表。

平台
产品功能列表
浏览器兼容性
以下浏览器通过了WebUI测试，推荐用户使用：
✹Chrome
获得帮助
Hillstone 山石网科安全隔离与信息交换系统配有以下手册，请访问获取：
✹《山石山石网科安全隔离与信息交换系统用户手册》
✹《山石山石网科安全隔离与信息交换系统部署手册》
✹《山石山石网科安全隔离与信息交换系统日志手册》
✹《山石山石网科安全隔离与信息交换系统快速安装手册》
服务热线：400-828-6655
官方网址：。

山石网科SG-6000-ICM系列安装手册TWNO: TW-HW-ICM-CN-V1.1-Y21M09产品中有毒有害物质或元素的名称及含量前言内容简介感谢您选用Hillstone Networks的网络安全审计产品。

本手册为山石网科SG-6000-ICM系列安装手册，能够帮助用户正确安装Hillstone山石网科的设备。

本手册的内容包括：∙第1章产品介绍∙第2章设备安装前的准备工作∙第3章设备的安装∙第4章设备的启动和配置∙第5章设备的硬件维护∙第6章部署方式∙第7章常见故障处理手册约定为方便用户阅读与理解，本手册遵循如下约定：∙警告：表示如果该项操作不正确，可能会给设备或设备操作者带来极大危险。

因此操作者必须严格遵守正确的操作规程。

∙注意：表示在安装和使用设备过程中需要注意的操作。

该操作不正确，可能影响设备的正常使用。

∙说明：为用户提供有助于理解内容的说明信息。

内容目录山石网科SG-6000-ICM系列安装手册 (I)产品中有毒有害物质或元素的名称及含量 (I)前言 (I)内容简介 (I)手册约定 (I)内容目录 (I)插图目录 (I)表格目录.......................................................................................................... I V 第1章产品介绍. (1)简介 (1)硬件介绍 (1)SG-6000-ICM1050 (1)SG-6000-ICM1100 (4)SG-6000-ICM1300/SG-6000-ICM1500 (6)SG-6000-ICM2010 (8)SG-6000-ICM2050 (11)SG-6000-ICM2100 (14)SG-6000-ICM2200 (16)SG-6000-ICM1050C (19)SG-6000-ICM1050C-L (22)SG-6000-ICM1150C/SG-6000-ICM1250C (24)SG-6000-ICM1350C (27)SG-6000-ICM1500C (29)指示灯介绍 (32)固定接口规格 (33)线缆 (34)支持的光模块 (40)第2章设备安装前的准备工作 (42)安全注意事项 (42)安全标志 (42)通用安全建议 (42)用电安全 (43)激光安全 (43)搬运安全 (43)安装场所要求 (43)承重要求 (43)温度/湿度要求 (44)灰尘及有害气体要求 (44)通风要求 (44)防静电要求 (45)防电磁干扰要求 (46)防雷击要求 (46)供电要求 (46)安装工具 (46)安装附件 (47)第3章设备的安装 (49)安装流程 (49)安装到工作台 (49)注意事项 (50)安装步骤 (50)安装到19英寸标准机柜 (50)注意事项 (50)安装步骤 (50)连接保护地线 (52)通过机柜接地方式 (52)接地排接地方式 (53)埋设接地体接地方式 (53)安装可选配件 (54)安装网口避雷器（选购） (54)安装交流电源避雷器（选购） (55)连接以太网接口电缆 (56)连接以太网电口 (56)连接以太网光口 (56)连接电源线 (58)安装后的检查 (58)第4章设备的启动和配置 (59)设备上电 (59)上电前检查 (59)设备上电 (59)上电后检查 (59)常用登录方法 (59)通过CON口登录设备 (59)通过Telnet登录设备 (63)通过Web方式登录设备 (63)基本配置 (64)通过命令行配置 (64)通过Web方式配置 (65)第5章设备的硬件维护 (68)硬件更换 (68)更换电源模块 (68)更换光模块 (69)查看设备的软件及硬件版本信息 (70)重启设备 (70)系统风扇 (70)第6章部署方式 (71)部署方式简介 (71)网关模式 (71)组网需求 (71)组网图 (71)配置思路 (71)配置步骤 (71)注意事项 (75)网桥模式 (75)组网需求 (75)配置思路 (76)配置步骤 (76)注意事项 (77)旁路模式 (77)组网需求 (77)组网图 (77)配置思路 (77)配置步骤 (77)注意事项 (78)第7章常见故障处理 (79)电源故障处理 (79)故障现象 (79)故障处理 (79)配置终端无显示故障处理 (79)故障现象 (79)故障处理 (79)口令丢失的处理 (79)设备在高温下工作的处理 (80)故障现象 (80)故障处理 (80)插图目录图 1：SG-6000-ICM1050前面板 (2)图 2：SG-6000-ICM1050后面板 (2)图 3：SG-6000-ICM1100前面板示意图 (4)图 4：SG-6000-ICM1100后面板 (5)图 5：SG-6000-ICM1300/SG-6000-ICM1500前面板示意图 (6)图 6：SG-6000-ICM1300/SG-6000-ICM1500后面板 (7)图 7：SG-6000-ICM2010前面板示意图 (9)图 8：SG-6000-ICM2010后面板 (10)图 9：SG-6000-ICM2050前面板示意图 (12)图 10：SG-6000-ICM2050后面板 (12)图 11：SG-6000-ICM2100前面板示意图 (14)图 12：SG-6000-ICM2100后面板 (15)图 13：SG-6000-ICM2200前面板示意图 (17)图 14：SG-6000-ICM2200后面板 (18)图 15：SG-6000-ICM1050C前面板示意图 (20)图 16：SG-6000-ICM1050C后面板 (20)图 17：SG-6000-ICM1050C-L前面板 (22)图 18：SG-6000-ICM1050C-L后面板 (23)图 19：SG-6000-ICM1150C/SG-6000-ICM1250C前面板示意图 (25)图 20：SG-6000-ICM1150C/SG-6000-ICM1250C后面板 (25)图 21：SG-6000-ICM1350C前面板示意图 (27)图 22：SG-6000-ICM1350C后面板 (28)图 23：SG-6000-ICM1500C前面板示意图 (30)图 24：SG-6000-ICM1500C后面板 (30)图 25：保护地线 (35)图 26：OT祼压端子 (35)图 27：OT祼压端子安装示意图 (35)图 28：OT中国国标交流电源线 (36)图 29：北美交流电源线 (37)图 30：LC/PC-LC/PC单模光纤 (38)图 31：LC/PC-LC/PC多模光纤 (38)图 32：LC/PC光纤连接器 (39)图 33：SC/PC光纤连接器 (39)图 34：FC/PC光纤接器 (39)图 35：防静电手腕示意图 (45)图 36：设备安装流程示意图 (49)图 38：安装浮动螺母 (51)图 39：安装挂耳到设备前面板的左、右两侧 (51)图 40：安装浮动螺母到机柜 (51)图 41：固定设备到机柜 (52)图 42：连接到机柜接地 (52)图 43：通过接地排接地. (53)图 44：机房附近允许埋设接地体时接地安装简图 (54)图 45：网口避雷器安装示意图 (55)图 46：电源避雷器示意图 (55)图 47：千兆SFP光模块外观示意图 (57)图 48：万兆SFP+光模块外观示意图 (57)图 49：连接光纤 (58)图 50：连接交流电源线 (58)图 51：连接配置口电缆 (60)图 52：超级终端连接说明界面 (61)图 53：本地配置连接端口设置 (61)图 54：串口参数设置 (62)图 55：超级终端窗口 (62)图 56：配置超级终端属性 (63)图 57：Web登录界面 (64)图 58：管理员配置界面 (65)图 59：修改密码界面 (65)图 60：接口列表界面 (66)图 61：NAT规则编辑界面 (66)图 62：控制策略编辑界面 (67)图 63：保存配置界面示意图 (67)图 64：拆卸电源模块 (68)图 65：安装电源模块 (69)图 66：光模块金手指 (69)图 67：拆卸光接口模块示意图 (69)图 68：网关模式组网图 (71)图 69：编辑接口 (72)图 70：配置外网接口 (72)图 71：配置内网接口 (73)图 72：配置静态路由 (74)图 73：配置源NAT (75)图 74：网桥模式组网图 (75)图 75：新建桥接口 (76)图 77旁路模式组网图 (77)图 78：配置旁路模式 (78)表格目录表 1：SG-6000-ICM1050前面板标识说明 (2)表 2：SG-6000-ICM1050后面板标识说明 (2)表 3：电源模块参数 (3)表 4：SG-6000-ICM1050技术指标 (3)表 6：SG-6000-ICM1100后面板标识说明 (5)表 7：电源模块参数 (5)表 8：SG-6000-ICM1100技术指标 (5)表 9：SG-6000-ICM1300/SG-6000-ICM1500前面板标识说明 (7)表 10：SG-6000-ICM1300/SG-6000-ICM1500后面板标识说明 (7)表 11：电源模块参数 (7)表 12：SG-6000-ICM1300/SG-6000-ICM1500技术指标 (8)表 14：SG-6000-ICM2010后面板标识说明 (10)表 15：电源模块参数 (10)表 16：SG-6000-ICM2010技术指标 (11)表 18：SG-6000-ICM2050后面板标识说明 (12)表 19：电源模块参数 (13)表 20：SG-6000-ICM2050技术指标 (13)表 22：SG-6000-ICM2100后面板标识说明 (15)表 23：电源模块参数 (15)表 24：SG-6000-ICM2100技术指标 (16)表 26：SG-6000-ICM2200后面板标识说明 (18)表 27：电源模块参数 (18)表 28：SG-6000-ICM2200技术指标 (18)表 30：SG-6000-ICM1050C后面板标识说明 (20)表 31：电源模块参数 (21)表 32：SG-6000-ICM1050C技术指标 (21)表 33：SG-6000-ICM1050C-L前面板标识说明 (22)表 34：SG-6000-ICM1050C-L后面板标识说明 (23)表 35：电源模块参数 (23)表 36：SG-6000-ICM1050C-L技术指标 (23)表 38：SG-6000-ICM1150C/SG-6000-ICM1250C后面板标识说明 (25)表 39：电源模块参数 (26)表 40：SG-6000-ICM1150C/SG-6000-ICM1250C技术指标 (26)表 42：SG-6000-ICM1350C后面板标识说明 (28)表 43：电源模块参数 (28)表 44：SG-6000-ICM1350C技术指标 (28)表 46：SG-6000-ICM1500C后面板标识说明 (30)表 47：电源模块参数 (31)表 48：SG-6000-ICM1500C技术指标 (31)表 49：山石网科SG-6000-ICM系列设备前面板指示灯含义 (32)表 50：接口和槽位规格 (33)表 51：配置口属性 (33)表 52：千兆以太网电口属性 (33)表 53：千兆以太网光口属性 (34)表 54：万兆以太网接口属性 (34)表 64：机房有害气体限值 (44)第1章产品介绍简介SG-6000-ICM系列（以下简称“SG-6000-ICM”）是Hillstone山石网科公司推出的网络安全审计产品。

版本说明本文件为SG-6000系列安全网关系统固件StoneOS的版本说明，描述版本信息、软件功能以及版本中的已知问题等。

StoneOS 5.0R3P8本节为StoneOS 5.0R3P8版本说明。

产品和版本信息产品名称：Hillstone SG-6000系列安全网关产品型号和系统文件：发布日期：2014年10月17日文档说明Hillstone SG-6000系列安全网关配有以下手册：®《Hillstone山石网科多核安全网关使用手册》®《Hillstone山石网科多核安全网关命令手册》®《Hillstone SG-6000多核安全网关安装手册》®《Hillstone山石网科多核安全网关扩展模块手册》®《Hillstone山石网科多核安全网关日志信息参考手册》®《Hillstone山石网科SNMP私有MIB信息参考手册》版本升级说明从低版本升级到StoneOS 5.0R3P8时，有以下几个问题需要注意：®系统文件升级说明®地址簿功能相关配置升级说明®策略规则相关配置升级说明®统计集功能相关配置升级说明®接口镜像功能相关配置升级说明®攻击防护功能相关配置升级说明系统文件升级说明因较早版本曾对系统文件的大小进行了限制，所以当从4.0R6P15.1（包括4.0R6P15.1）之前的版本升级到5.0R3P8时，用户需要通过sysloader才能升级成功。

可以直接升级5.0R3P8的系统版本包括5.0R2P2之后的5.0R版本、4.5R3P8以及4.5R4P1，更低版本建议先升级到上述版本，然后再升级到5.0R3P8。

地址簿功能相关配置升级说明StoneOS 5.0R3P8为地址条目增加了ID属性。

当把系统从低版本升级到5.0R3P8时，系统会对已有地址簿配置做平滑处理，不影响用户使用。

目录一．基本情况介绍 (2)1.车管所机房情况： (2)2.通璟检测站： (2)3.风顺、安运检测站： (2)4.关于防火墙的配置方式： (3)5.关于配置文件： (3)6.关于授权证书： (4)二．车管所防火墙配置说明 (5)1.第12行： (5)2.第90行，地址薄的设置： (5)3.第316行，接口的设置： (7)4.第371行，虚拟路由的配置： (9)5.第381行，策略的配置： (11)三．通璟检测站防火墙的配置： (13)1.第83行，地址薄的设置： (13)2.第290行，接口的配置： (14)3.第312行，虚拟路由的设置： (15)4.第317行，策略的配置： (16)四．风顺检测站防火墙的配置： (17)1.第86行，地址薄的配置： (17)2.第305行，接口的配置： (18)3.第328行，虚拟路由的配置： (19)4.第335行，策略的设置： (21)五．总结 (22)一．基本情况介绍本文档适用于HillStone SG-6000 M2105(车管所)和HillStone SG-6000 NA V20（检测站），网络连接方式为车管所与检测站防火墙用网线直连、车管所与检测站防火墙在同一公安网IP段内两种。

具体配置如下：1．车管所机房情况：数据服务器、应用/通讯服务器、hillstone防火墙、审核电脑1/2的IP分别10.137.186.78/62/68/36/37，系统管理员给的IP地址格式为：；防火墙配置完毕后，车管所服务器设置的IP格式为：webserviceIP:10.136.46.23。

2.通璟检测站：局域网IP地址为192.168.11.*段，网关192.168.11.1。

因为距离短，有一条一百多米网线直接通到车管所机房。

站点服务器、签证申请岗、查验岗、无线路由、PDA、检测线主控、登录机等都接在交换机上，然后交换机接网线到hillstone防火墙的0/1口，到车管所机房的网线接防火墙0/0口。

新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP和端口的防范限制。

处理器模块化设计可以提升整体处理能力，突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点安全可视化●网络可视化通过StoneOS?内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

●接入可视化StoneOS?基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。

●应用可视化StoneOS?内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSec VPN。

SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。

Hillstone山石网科多核安全网关快速配置手册Hillstone山石网科QS-UG0509-V1.1-01前言手册内容首先感谢您使用山石网科的网络安全产品。

本手册为Hillstone山石网科多核系列安全网关的快速配置手册，对Hillstone山石网科多核系列安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI的配置。

本手册的内容包括以下各章：♦搭建配置环境。

介绍配置环境信息以及WebUI配置环境的搭建。

♦第2章系统管理。

介绍系统固件StoneOS的升级、配置文件的备份等。

♦第3章快速部署安全网关。

介绍安全网关的路由应用模式部署。

♦第4章对外发布服务器。

介绍DNAT的基本配置。

♦第5章IP QoS。

介绍IP QoS的配置用例。

♦第6章应用QoS。

介绍应用QoS的配置用例。

♦第7章SCVPN。

介绍SCVPN的配置用例。

手册约定为方便用户阅读与理解，本手册遵循以下约定：内容约定本手册内容约定如下：♦提示：为用户提供相关参考信息。

♦说明：为用户提供有助于理解内容的说明信息。

♦注意：如果该操作不正确，会导致系统出错。

♦『』：用该方式表示WebUI页面上的链接、标签或者按钮。

♦< >：用该方式表示WebUI页面上提供的文本信息，包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。

目录第1章搭建配置环境 (1)配置环境介绍 (1)搭建WebUI配置环境 (1)搭建Console配置环境 (3)安全网关的基本配置 (3)第2章系统管理 (5)介绍 (5)时间配置 (5)升级StoneOS (5)配置信息操作 (6)保存配置信息 (6)导出配置信息 (7)导入配置信息 (7)恢复出厂配置 (8)第3章快速部署安全网关 (9)介绍 (9)组网 (9)配置步骤 (9)第4章对外发布服务器 (15)介绍 (15)组网 (15)配置步骤 (16)第5章IP QoS (23)介绍 (23)配置需求 (23)配置步骤 (23)第6章应用QoS (25)介绍 (25)配置需求 (25)配置步骤 (25)第7章SCVPN (26)介绍 (26)组网 (26)配置步骤 (26)第1章搭建配置环境配置环境介绍Hillstone山石网科多核安全网关是山石网科自主研发的专用高性能纯硬件安全网关，可应用于大中小型企业、大型区域办事结构、电信运营商、数据中心等。

新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。

处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点安全可视化●网络可视化通过StoneOS?内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

●接入可视化StoneOS?基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。

●应用可视化StoneOS?内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSecVPN。

SG-6000系列产品对VPN(包括SSLVPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。

新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色、深度应用的多核PlusG2安全架构突破了传统防火墙只能基于IP和端口的防范限制。

处理器模块化设计可以提升整体处理能力，突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点安全可视化●网络可视化通过StoneOS内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

●接入可视化StoneOS基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。

●应用可视化StoneOS内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSec VPN。

SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN 解决方案。

新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。

处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点安全可视化●网络可视化通过StoneOS?内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

●接入可视化StoneOS?基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。

●应用可视化StoneOS?内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSecVPN。

SG-6000系列产品对VPN(包括SSLVPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。

Version3.0Copyright2022Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is fur-nished under a license agreement or nondisclosure agreement.The software may be used or copied only in accord-ance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks. Hillstone Networks本文档禁止用于任何商业用途。

关于本手册本手册为硬件参考指南，帮助用户正确安装山石网科的设备。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：*************************联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州市高新区科技城景润路181号邮编：100192邮编：215000联系我们：https:///about/contact_Hillstone.html山石网科https://TWNO:TW-HW-KS-CN-V3.0-5/26/2022目录目录I 产品中有毒有害物质或元素的名称及含量VI 前言1内容简介1手册约定1第1章产品介绍2简介2主机硬件介绍2前面板介绍2后面板介绍6指示灯含义8系统参数9端口属性13配置口（CON口）13USB接口14千兆电口14VGA接口15SFP接口15SFP+接口17扩展槽18电源18电源模块19硬盘模块21国家商用密码算法21扩展模块21扩展模块与设备型号对应关系22扩展模块前面板23指示灯含义26端口属性28千兆电口28 SFP接口28 SFP+接口29 QSFP+接口29查看扩展模块信息30第2章设备安装前的准备工作31介绍31安装场所要求31温度/湿度要求31洁净度要求31防静电要求32电磁环境要求32接地要求32检查安装台32机柜要求33机柜尺寸和间距33机柜通风要求33机架要求33机架尺寸和承重要求33机架间距要求33机架固定要求34其它安全注意事项34确认收到的物品34安装设备、工具和电缆34第3章设备的安装35将设备安装在工作台上35将设备安装到标准机架中36使用托盘安装36使用后挂耳安装38使用导轨安装41线缆连接43连接地线43连接配置电缆43连接以太网线缆44连接以太网电口线缆44连接以太网光口线缆44连接交流电源线45连接直流电源线46连接电源适配器48安装完成后的检查48第4章设备的启动和配置49介绍49搭建配置环境49搭建配置口（CON口）的配置环境49搭建WebUI配置环境50搭建Telnet和SSH配置环境51设备的基本配置51使用路由模式连通网络52第5章设备的硬件维护55介绍55开机55关机55电源模块的安装与拆卸56扩展模块的安装与拆卸57第6章常见故障处理59介绍59口令丢失情况下的处理59扩展模块故障处理59电源系统故障处理60配置系统故障处理60产品中有毒有害物质或元素的名称及含量注：并非上述所有部件都含有在内装产品中。

新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色、深度应用的多核Plus G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。

处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点安全可视化●网络可视化通过StoneOS内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

●接入可视化StoneOS基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。

●应用可视化StoneOS内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSec VPN。

SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。

山石网科：防火墙的那些性能指标,你了解吗？正如购买其他电子设备需要了解很多性能参数一样，选购一台防火墙也需要了解众多的的性能指标。

那么作为防火墙的四项基本性能指标——吞吐、时延、新建、并发，都意味着什么，如何测算得出，到底可以带给用户什么好处？有什么意义？山石网科Hillstone将为您解读防火墙四大指标的含义以及测试方法。

吞吐量(Throughput)吞吐量是衡量一款防火墙或者路由交换设备的最重要的指标，它是指网络设备在每一秒内处理数据包的最大能力。

吞吐量意味这台设备在每一秒以内所能够处理的最大流量或者说每一秒内能处理的数据包个数。

设备吞吐量越高，所能提供给用户使用的带宽越大，就像木桶原理所描述的，网络的最大吞吐取决于网络中的最低吞吐量设备，足够的吞吐量可以保证防火墙不会成为网络的瓶颈。

举一个形象的例子，一台防火墙下面有100个用户同时上网，每个用户分配的是10Mbps的带宽，那么这台防火墙如果想要保证所有用户全速的网络体验，必须要有至少1Gbps的吞吐量。

吞吐量的计量单位有两种方式：常见的就是带宽计量，单位是Mbps(Megabits per second)或者Gbps(Gigabits per second)，另外一种是数据包处理量计量，单位是pps(packets per second)，两种计量方式是可以相互换算的。

在进行对一款设备进行吞吐性能测试时，通常会记录一组从64字节到1518字节的测试数据，每一个测试结果均有相对应的pps数。

64字节的pps数最大，基本上可以反映出设备处理数据包的最大能力。

所以从64字节的这个数，基本上可以推算出系统最大能处理的吞吐量是多少。

很多路由设备的性能指标有一点就是标称xxMpps，所指的就是设备处理64字节的pps数。

比如64字节的pps为100000pps，吞吐量通过换算为100000×(64+20) ×8/1000000= 67.2Mbps，拿这个结果计算1518字节的数据为100000×(1518+20) ×8/100000=1230.4Mbps。