Hillstone山石网科多核安全网关安装手册_3.5R2

Hillstone山石网科多核安全网关

基础配置手册

version 5.0

目录

第1章设备管理 (1)

设备管理介绍 (1)

终端Console登录 (1)

WebUI方式登录 (1)

恢复出厂设置 (2)

通过CLI方式 (2)

通过WebUI方式 (2)

通过CLR按键方式 (4)

StoneOS版本升级 (4)

通过网络迅速升级StoneOS（TFTP） (4)

通过WebUI方式升级StoneOS (6)

许可证安装 (8)

通过CLI方式安装 (8)

通过WebUI方式安装 (8)

第2章基础上网配置 (11)

基础上网配置介绍 (11)

接口配置 (11)

路由配置 (12)

策略配置 (14)

源NAT配置 (15)

第3章常用功能配置 (17)

常用配置介绍 (17)

PPPoE配置 (17)

DHCP配置 (19)

IP-MAC绑定配置 (21)

端到端IPsec VPN配置 (23)

SCVPN配置 (30)

DNAT配置 (37)

一对一IP映射 (38)

一对一端口映射 (40)

多对多端口映射 (43)

一对多映射（服务器负载均衡） (46)

第4章链路负载均衡 (48)

链路负载均衡介绍 (48)

基于目的路由的负载均衡 (49)

基于源路由的负载均衡 (50)

智能链路负载均衡 (50)

第5章QoS配置 (53)

QoS介绍 (53)

IP QoS配置 (53)

应用QoS配置 (55)

混合QoS配置 (58)

QoS白名单配置 (59)

第6章网络行为控制 (60)

URL过滤（有URL许可证） (60)

配置自定义URL库 (63)

URL过滤（无URL许可证） (64)

Hillstone山石网科多核安全网关

基础配置手册

version 5.0

目录

第1章设备管理 (1)

设备管理介绍 (1)

终端Console登录 (1)

WebUI方式登录 (1)

恢复出厂设置 (2)

通过CLI方式 (2)

通过WebUI方式 (2)

通过CLR按键方式 (4)

StoneOS版本升级 (4)

通过网络迅速升级StoneOS（TFTP） (4)

通过WebUI方式升级StoneOS (6)

许可证安装 (8)

通过CLI方式安装 (8)

通过WebUI方式安装 (8)

第2章基础上网配置 (10)

基础上网配置介绍 (10)

接口配置 (10)

路由配置 (11)

策略配置 (13)

源NAT配置 (14)

第3章常用功能配置 (16)

常用配置介绍 (16)

PPPoE配置 (16)

DHCP配置 (18)

IP-MAC绑定配置 (20)

端到端IPsec VPN配置 (22)

SCVPN配置 (29)

DNAT配置 (36)

一对一IP映射 (37)

一对一端口映射 (39)

多对多端口映射 (42)

一对多映射（服务器负载均衡） (45)

第4章链路负载均衡 (47)

链路负载均衡介绍 (47)

基于目的路由的负载均衡 (48)

基于源路由的负载均衡 (49)

智能链路负载均衡 (49)

第5章QoS配置 (52)

QoS介绍 (52)

IP QoS配置 (52)

应用QoS配置 (54)

混合QoS配置 (57)

QoS白名单配置 (58)

第6章网络行为控制 (59)

URL过滤（有URL许可证） (59)

配置自定义URL库 (62)

URL过滤（无URL许可证） (63)

Hillstone山石网科多核安全网关

快速配置手册

Hillstone山石网科

QS-UG0509-V1.1-01

前言

手册内容

首先感谢您使用山石网科的网络安全产品。本手册为Hillstone山石网科多核系列安全网关的快速配置手册，对Hillstone山石网科多核系列安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI的配置。

本手册的内容包括以下各章：

♦搭建配置环境。介绍配置环境信息以及WebUI配置环境的搭建。

♦第2章系统管理。介绍系统固件StoneOS的升级、配置文件的备份等。

♦第3章快速部署安全网关。介绍安全网关的路由应用模式部署。

♦第4章对外发布服务器。介绍DNAT的基本配置。

♦第5章IP QoS。介绍IP QoS的配置用例。

♦第6章应用QoS。介绍应用QoS的配置用例。

♦第7章SCVPN。介绍SCVPN的配置用例。

手册约定

为方便用户阅读与理解，本手册遵循以下约定：

内容约定

本手册内容约定如下：

♦提示：为用户提供相关参考信息。

♦说明：为用户提供有助于理解内容的说明信息。

♦注意：如果该操作不正确，会导致系统出错。

♦『』：用该方式表示WebUI页面上的链接、标签或者按钮。

♦< >：用该方式表示WebUI页面上提供的文本信息，包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。

目录

第1章搭建配置环境 (1)

配置环境介绍 (1)

搭建WebUI配置环境 (1)

搭建Console配置环境 (3)

安全网关的基本配置 (3)

第2章系统管理 (5)

介绍 (5)

服务热线：400 828 6655

Hillstone山石网科

多核安全网关

高级功能配置手册

V 5.0版本

一．链路负载均衡 (3)

**基于目的路由的流量负载 (4)

**基于源路由的流量负载 (6)

**基于策略路由的流量负载 (7)

**智能链路负载均衡 (9)

二．流量控制QOS配置10

**配置IP Q O S (10)

**配置应用Q O S (14)

**配置混合Q O S (16)

**配置Q O S白名单 (18)

三．NBC网络行为控制配置19

**URL过滤(有URL许可证) (20)

**URL过滤（无URL库许可证） (25)

**网页关键字过滤 (28)

**网络聊天控制 (33)

四．VPN高级配置37

**基于USB-KEY的SCVPN配置 (35)

**P N P-VPN (48)

五．高可靠性HA配置63

一．链路负载均衡

当防火墙有多条链路接入，同时需要对内网的流量根据源地址，目的地址或者服务进行流量的负载分摊时，需要进行负载均衡的配置，以便保证流量的负载分担；在配置源地址，目的地址的负载均衡时，可以实现冗余，当某一条路由失效时，可以保证正常的流量转发。

配置多链路负载均衡前，先保证接口，snat和策略都配置正确。

1.确认接口的地址和掩码都配置正确，其中掩码的位数一定和运行商确认：

2.两条源地址转换，使内网的流量可以分别nat成对应公网出口地址池的地址，去访问互联网：

3.确认流量穿越防火墙时，防火墙策略允许（源和目的地址以及服务可以根据具体情况作相应修改）：

**基于目的路由的流量负载

例：e0/1口接入10M电信，e0/2接入20M网通；实现所有访问公网的流量按1：2的比例分别从e0/1口和e0/2口转发出去。即当设备总共转发3数值的流量时，e0/1转发1数值；e0/2口转发2数值。

Hillstone山石网科多核安全网关

基础配置手册

version 5.0

目录

第1章设备管理 (1)

设备管理介绍 (1)

终端Console登录 (1)

WebUI方式登录 (1)

恢复出厂设置 (2)

通过CLI方式 (2)

通过WebUI方式 (2)

通过CLR按键方式 (4)

StoneOS版本升级 (4)

通过网络迅速升级StoneOS（TFTP） (4)

通过WebUI方式升级StoneOS (6)

许可证安装 (8)

通过CLI方式安装 (8)

通过WebUI方式安装 (8)

第2章基础上网配置 (10)

基础上网配置介绍 (10)

接口配置 (10)

路由配置 (11)

策略配置 (13)

源NAT配置 (14)

第3章常用功能配置 (16)

常用配置介绍 (16)

PPPoE配置 (16)

DHCP配置 (18)

IP-MAC绑定配置 (20)

端到端IPsec VPN配置 (22)

SCVPN配置 (29)

DNAT配置 (36)

一对一IP映射 (37)

一对一端口映射 (39)

多对多端口映射 (41)

一对多映射（服务器负载均衡） (44)

第4章链路负载均衡 (46)

链路负载均衡介绍 (46)

基于目的路由的负载均衡 (47)

基于源路由的负载均衡 (48)

智能链路负载均衡 (48)

第5章QoS配置 (51)

QoS介绍 (51)

IP QoS配置 (51)

应用QoS配置 (53)

混合QoS配置 (56)

QoS白名单配置 (57)

第6章网络行为控制 (58)

URL过滤（有URL许可证） (58)

配置自定义URL库 (61)

URL过滤（无URL许可证） (62)

目录

一、设备基础管理 (1)

1.1设备登录 (1)

1.1.1 通过CLI管理设备 (1)

1.1.2 通过WebUI管理设备 (2)

1.2管理员帐号及权限设置 (4)

1.2.1 新增管理员 (4)

1.2.1 修改管理员密码 (5)

1.3 License安装 (6)

1.4设备软件升级 (7)

1.5设备配置备份与恢复 (9)

1.5.1 备份设备配置 (9)

1.5.2 恢复设备配置 (12)

1.6系统诊断工具的使用 (14)

二、对象配置 (16)

2.1 配置地址薄 (16)

2.2 配置服务簿 (17)

三、网络配置 (21)

3.1 配置安全域 (21)

3.2 配置接口 (22)

3.3 配置路由 (23)

3.4 配置DNS (24)

四、防火墙配置 (26)

4.1 配置防火墙策略 (26)

4.1.1 新增防火墙安全策略 (26)

4.1.2 编辑防火墙安全策略 (27)

4.2 配置NAT (28)

4.2.1 配置源NAT (28)

4.2.2 配置目的NAT (31)

4.3 防火墙配置举例 (35)

五、QOS配置 (44)

5.1 配置IP QOS (45)

5.2 配置应用QOS (46)

六、常用日志配置 (48)

一、设备基础管理

1.1设备登录

安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。

1.1.1 通过CLI管理设备

通过Console 口配置安全网关时需要在计算机上运行终端仿真程序（系统的超级终端、SecureCRT等）建立与安全网关的连接，并按如下表所示设置参数（与连接Cisco设备的参数一致）：

Hillstone Security Management安装手册

Hillstone山石网科

HSM-IM0110-2.2.2.31C-01

前言

内容简介

感谢您选用Hillstone山石网科的网络安全产品。

本手册为Hillstone Security Management的安装手册，能够帮助用户正确安装Hillstone Security Management。本手册的内容包括：

• 1 产品介绍

• 2 服务器的安装与升级

•3客户端的安装与卸载

• 4 配置Hillstone Security Management代理

手册约定

为方便用户阅读与理解，本手册遵循如下约定：

•警告：表示如果该项操作不正确，可能会给安全网关或安全网关操作者带来极大危险。因此操作者必须严格遵守正确的操作规程。

•注意：表示在安装和使用安全网关过程中需要注意的操作。该操作不正确，可能影响安全网关的正常使用。

•说明：为用户提供有助于理解内容的说明信息。

内容目录

1产品介绍 (2)

1.1简介 (2)

1.2HSM代理 (2)

1.3HSM服务器 (2)

1.4HSM客户端 (2)

2服务器的安装与升级 (3)

2.1服务器安装环境说明 (3)

2.2安装HSM Server软件 (3)

2.2.1管理HSM Server (5)

2.2.2HSM Server配置 (6)

2.2.3卸载HSM Server (7)

2.3安装HSM Backup Server (8)

2.3.1配置HSM Backup Server (9)

2.3.2卸载HSM Backup Server (10)

销售与服务热线:400-828-6655

密过的数据流也能应付自如。StoneOS ®识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P 、IM(即时通讯)、游戏、办公软件以及基于SIP 、H.323、HTTP 等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN 解决方案

SG-6000多核安全网关支持多种IPSec VPN 的部署，它能够完全兼容标准的IPSec VPN 。SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN 解决方案。

Hillstone 山石网科独具特色的即插即用VPN ，可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置，完全解决了传统IPSec VPN 设备配置难、使用难、维护成本高的缺点。

SG-6000多核安全网关还通过集成第三代SSL VPN 实现角色访问控制和即插即用特性，为用户提供方便、快捷的安全远程接入服务。

因此SG-6000较业界其他的多核或NP/ASIC 系统在同档的硬件配置下有多达5倍的性能提升，为同时开启多项防护功能奠定了性能基础，突破了传统安全网关的功能实用性和性能无法两全的局限。

另外SG-6000多核安全网关还支持通过软件license 方式进行设备高级扩展，例如提升设备的最大并发会话数等。

电信级硬件设计

SG-6000-X5100采用电信级高可靠、高冗余设计。电源模块化，并提供交流/直流两种输入选择。双热插拔冗余电源保证在任何一路电源输入故障的时候系统运行不间断。

山石网科运维安全网关V5.5ST00001B108 发布概述

发布日期：2019年10月23日

本次为正式版首次公开发布，主要内容为产品型号、产品功能列表和注意事项。

产品型号

产品功能列表

注意事项

Hillstone山石网科多核安全网关扩展模块手册

Hillstone山石网科

C-IM1009-V2.0-01

产品中有毒有害物质或元素的名称及含量

有毒有害物质或元素

部件名称

铅 汞 镉 六价铬多溴联苯 多溴二苯醚金属零部件（包括紧固件）²|||||

印刷电路板组件和元件²|||||

线缆和线缆组件²|||||

塑料和聚合物²|||²²

除印刷电路板以外的其它电子组件²||||| |：代表此种部件的所有均质材料中所含有的该种有毒有害物质均低于中华人民共和国信息产业部颁布的《电子信息产品中有毒有害物质的限量要求》（SJ/T11363-2006）规定的限量。

²：代表此种部件的所有均质材料中，至少有一类材料其所含有的有毒有害物质高于中华人民共和国信息产业部颁布的《电子信息产品中有毒有害物质的限量要求》（SJ/T11363-2006）规定的限量。注：并非上述所有部件都含有在内装产品中。

所有产品及其部件的环保实用期限均由此符号表示。此环保使用期限只适用于该手册中所规定的正常使用条件。

前言

内容简介

感谢您选用Hillstone Networks的网络安全产品。

本手册为Hillstone 山石网科多核安全网关扩展模块手册，能够帮助用户正确使用Hillstone安全网关的各种扩展模块。本手册的内容包括：

•第1章扩展模块介绍

•第2章扩展模块的安装与拆卸

•第3章扩展模块的配置与使用

•第4章常见故障处理

手册约定

为方便用户阅读与理解，本手册遵循如下约定：

•警告：表示如果该项操作不正确，可能会给安全网关或安全网关操作者带来极大危险。因此操作者必须严格遵守正确的操作规程。

Hillstone统一智能防火墙安装手册

目录

第1章介绍 (1)

第2章准备工作 (3)

第3章安装与升级 (7)

安装统一智能系统软件到虚拟机 (8)

升级企业安全网关到指定的系统固件 (10)

第4章初始化 (12)

初始化 (12)

第5章登录统一智能防火墙 (17)

第6章高级功能设置 (18)

查看统一智能系统接口信息 (18)

配置统一智能系统接口 (18)

修改统一智能系统登录密码 (18)

升级统一智能防火墙 (18)

通过WebUI升级 (18)

通过CLI升级 (20)

升级或回退企业安全网关的系统固件 (20)

删除统一智能系统 (21)

查看统一智能系统软件的版本及企业安全网关系统固件的版本 (21)

配置可信主机 (21)

智一能系统与企业安全网关连接通道的加密 (22)

关于本手册

手册内容

该文档介绍统一智能防火墙的安装部署，具体内容包括：

♦第1章介绍

♦第2章准备工作

♦第3章安装与升级

♦第4章初始化

♦第5章登录统一智能防火墙

♦第6章高级功能设置

手册约定

为方便用户阅读与理解，本手册遵循以下约定：

内容约定

本手册内容约定如下：

♦提示：为用户提供相关参考信息。

♦说明：为用户提供有助于理解内容的说明信息。

♦注意：如果该操作不正确，会导致系统出错。

♦『』：用该方式表示Hillstone设备WebUI界面上的链接、标签或者按钮。例如，“点击『登录』按钮进入Hillstone设备的主页”。

♦< >：用该方式表示WebUI界面上提供的文本信息，包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。例如，“改变MTU值，选中<手动>单选按钮，然后在

【关键字】手册

Hillstone安全网关NAV50配置手册

一、配置准备

Hillstone 山石网科多核安全网关提供WebUI 界面，使用户能够更简便与直观地对设备进行管理与配置。安全网关的ethernet0/0 接口配有默认IP 地址，并且该接口的各种管理功能均为开启状态。初次使用安全网关时，可以通过该接口访问安全网关的WebUI 页面。请按照以下步骤搭建WebUI 配置环境：

1. 将管理PC 的IP 地址设置为与同网段的IP 地址，并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。

2. 在管理PC 的Web 浏览器中访问地址.1 并按回车键。出现登录页面如下图所示：

3.输入用户名和密码。安全网关提供的默认用户名和密码均为“hillstone”。点击『登录』按钮进入安全网关的主页。

二、版本升级

设备出厂时为默认版本Version4.0。最新的版本Version4.5更强大。建议升级到最新版本。点击软件版本后的升级选项。

弹出如下页面：

点击升级，弹出如下页面

点击浏览，选中电脑本地的软件版本。

选择后出现如下页面：

加载完后，选择下次启动时使用的系统软件会现实为4.5版本。点击确定按钮

点击确定

重启设备

点击确定

重启后的页面

三、更新系统时间（时间与生成日志有关）

点击同步，然后点击确定。

四、修改登录密码和添加新账号

五、安装正式许可证

六、配置内外网接口地址

点击“配置”栏中的“网络连接”，选中“Ethernet0/X”，点击“编辑”，如下图所示。

七、配置出网路由（根据网络情况添加内部网络回程路由）

版本说明

本文件为SG-6000系列安全网关系统固件StoneOS的版本说明，描述版本信息、软件功能以及版本中的已知问题等。

StoneOS 5.0R3P6

本节为StoneOS 5.0R3P6版本说明。

产品和版本信息

产品名称：Hillstone SG-6000系列安全网关

产品型号和系统文件：

发布日期：2014年06月06日

文档说明

Hillstone SG-6000系列安全网关配有以下手册：

✹《Hillstone山石网科多核安全网关使用手册》

✹《Hillstone山石网科多核安全网关命令手册》

✹《Hillstone SG-6000多核安全网关安装手册》

✹《Hillstone山石网科多核安全网关扩展模块手册》

✹《Hillstone山石网科多核安全网关日志信息参考手册》

✹《Hillstone山石网科SNMP私有MIB信息参考手册》

版本升级说明

从低版本升级到StoneOS 5.0R3P6时，有以下几个问题需要注意：

✹系统文件升级说明

✹地址簿功能相关配置升级说明

✹策略规则相关配置升级说明

✹统计集功能相关配置升级说明

✹接口镜像功能相关配置升级说明

✹攻击防护功能相关配置升级说明

系统文件升级说明

因较早版本曾对系统文件的大小进行了限制，所以当从4.0R6P15.1（包括4.0R6P15.1）之前的版本升级到5.0R3P6时，用户需要通过sysloader才能升级成功。

可以直接升级5.0R3P6的系统版本包括5.0R2P2之后的5.0R版本、4.5R3P8以及4.5R4P1，更低版本建议先升级到上述版本，然后再升级到5.0R3P6。