Hillstone山石网科上网行为管理白皮书

Hi山石网科通信技术(北京)有限公司Hillstone 助力网吧业网络安全接入与管控网吧安全解决方案2008年 6月销售/服务热线：400-650-0259 Hillstone网吧行业安全解决方案Hillstone助力网吧业网络安全接入与管控一、概述随着互联网产业的蓬勃发展，传统网吧在速度、稳定性、安全性方面等都不尽如人意，已经很难承载网民们喜爱的各式各样的互联网服务了，包括视频聊天、网络游戏等。

同时，随着网吧市场的竞争加剧，高速网吧的概念逐渐清晰，网吧业主纷纷注资于网吧的线路改造，不断提升的网络带宽需求也加大了网吧业主的经济负担。

有调查表明，网吧业主的信息服务水平在很大程度上影响着网吧用户对该网吧的喜欢程度和忠诚度。

因此对于网吧业主来说，建设一个高速、高安全、高可靠、可管理、易维护的宽带网络，是构建网吧的主要目标，选取专业的网络设备和专业的解决方案是重中之重，这就需要有专业的网络设备厂商来参与策划和实施。

二、需求分析网吧是比较特殊的网络环境，路由器作为网吧的核心接入设备，必须要满足和适合网吧的特点，概括起来有以下几个方面：•规模大，用户多，设备不间断运行大型网吧的机器数量在500台以上，运营商提供的接入带宽往往满足不了需求，需要有效控制带宽，精打细算使用。

网吧多为游戏、聊天和网页浏览等，传输的均是小数据包，因此需要较大的并发连接数和极高的包转发能力。

•需要带宽管理功能网吧业主最苦恼的莫过于网速慢的问题，虽然不断增加成本扩充带宽，但却仍有用户抱怨游戏卡、上网慢，简单的接入功能无法满足网吧现状，一款带有流量分析、流量管理的安全路由器才是用户迫切需要的。

•需要高稳定性网吧作为服务型营业场所，服务质量至关重要，而随着网吧行业不断发展，市场相对饱和后加剧竞争，频繁断线或大延迟网络将直接影响网吧的声誉和收益。

•多线路接入和负载均衡为扩大接入带宽和优化电信/网通访问速度，很多网吧采用多链路接入方式，需要支持多链路负载均衡和电信/网通链路优选的设备来支持。

Hillstone山石网科入侵防御白皮书Hillstone山石网科入侵防御白皮书1. 概述互联网的发展趋势表明：1. 网络攻击正逐渐从简单的网络层攻击向应用层转变，单纯的防火墙功能已经不能满足当下应用安全的需求。

旁路的入侵检测方式又不能满足对攻击源实时屏蔽的需求，与防火墙联动的入侵检测一直没有标准的联动协议来支撑。

入侵检测解决方案正在被入侵防御取代。

2. 安全漏洞、安全隐患的发生似乎是不可避免的，互联网的应用和业务却正在爆炸式的增长。

应用类型在增加，应用特征却更复杂，比如现在有很多应用都是基于HTTP等基础协议，让传统基于端口来识别应用的入侵防御解决方案已经不能适用。

如何识别出这些新的应用，从而去检测防御针对这些应用的攻击，是新一代入侵检测网关需要解决的问题。

3. 网络带宽在增加，应用类型在增加，应用协议在复杂化，攻击类型在增加，攻击方式在隐蔽化。

传统入侵防御设备受限于自身处理能力，已经不能胜任这样的趋势，如何去进行深度应用分析、深度攻击原理分析，也许所有的厂家都知道简单的攻击特征匹配已经不能满足时下用户对入侵防御漏判误判的要求，却受限与设备自身的处理能力，从而误判漏判的行为时有发生。

Hillstone山石网科的入侵防御是基于多核plus® G2架构、全并行的流检测引擎和基于攻击原理的入侵防御检测引擎。

基于多核plus®G2的安全架提供了高性能的入侵防御解决发难，并为入侵防御需要的深度应用分析和攻击原理分析提供了强劲的处理能力。

全并行流检测引擎则使用较少的系统资源，并且在并行扫描会话和开启其他多项应用处理功能提供了高可用性。

基于攻击原理的入侵防御有助于提高攻击检测率和降低攻击误判率。

Hillstone山石网科入侵防御解决方案具有以下特性：●基于深度应用识别，积极防范复杂应用攻击●基于多核Plus® G2构架满足深度应用分析、入侵防御功能的高CPU和高内存资源需求●基于深度应用原理、攻击原理的入侵防御解决方案●支持HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、Hillstone山石网科入侵防御白皮书FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBOIS、TFTP等多种常见的应用和协议的攻击防护。

Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS（TFTP） (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (41)一对多映射（服务器负载均衡） (44)第4章链路负载均衡 (46)链路负载均衡介绍 (46)基于目的路由的负载均衡 (47)基于源路由的负载均衡 (48)智能链路负载均衡 (48)第5章QoS配置 (51)QoS介绍 (51)IP QoS配置 (51)应用QoS配置 (53)混合QoS配置 (56)QoS白名单配置 (57)第6章网络行为控制 (58)URL过滤（有URL许可证） (58)配置自定义URL库 (61)URL过滤（无URL许可证） (62)网页关键字过滤 (63)网络聊天控制 (67)第7章VPN高级配置 (70)基于USB Key的SCVPN配置 (70)新建PKI信任域 (70)配置SCVPN (75)制作USB Key (76)使用USB Key方式登录SCVPN (78)PnPVPN (80)用户配置 (81)IKE VPN配置 (82)隧道接口配置 (86)路由配置 (87)策略配置 (88)PnPVPN客户端配置 (89)第8章高可靠性 (91)高可靠性介绍 (91)高可靠性配置 (92)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册，对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI配置。

Hillstone山石网科下一代防火墙基础配置手册V5.5版本Hillstone Networks Inc.服务热线：400 828 6655内容提交人审核人更新内容日期陈天骄陈天骄初次编写2016/1/14目录1 设备管理 (3)1.1 终端console登录 (3)1.2 网页WebUI登录 (3)1.3 恢复出厂设置 (5)1.3.1 CLI命令行操作 (5)1.3.2 WebUI图形化界面操作 (5)1.3.3 硬件CLR操作 (6)1.4 设备系统（StoneOS）升级 (6)1.4.1 通过sysloader升级 (6)1.4.2 通过CLI升级 (9)1.4.3 通过WebUI升级 (9)1.5 许可证安装 (10)1.5.1 CLI命令行安装 (10)1.5.2 WebUI安装 (11)2 基础上网配置 (11)2.1 接口配置 (11)2.2 路由配置 (13)2.3 策略配置 (14)2.4 源地址转换配置（SNAT） (15)3 常用功能配置 (16)3.1 PPPoE拨号配置 (16)3.2 动态地址分配（DHCP）配置 (17)3.3 IP-MAC地址绑定配置 (20)3.4 端到端IPSec VPN配置 (21)3.4.1 配置第一阶段P1提议 (22)3.4.2 配置ISAKMP网关 (23)3.4.3 配置第二阶段P2提议 (24)3.4.4 配置隧道 (25)3.4.5 配置隧道接口 (26)3.4.6 配置隧道路由和策略 (28)3.4.7 查看VPN状态 (29)3.5 远程接入SCVPN配置 (30)3.6 目的地址转换DNAT配置 (38)3.6.1 IP映射 (39)3.6.2 端口映射 (41)1设备管理安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、Telnet、SSH等主流通信管理协议。

1.2 隐藏并保护内网主机使用网络地址转换（NAT）后，内网主机使用私网地址，而对外网却显示一个或多个公网地址，内网主机不直接暴露在公网上，避免被扫描探测和直接访问，从而增强网络安全性。

Hillstone网络地址转换基本功能2.1 SNAT（源地址转换）2.2 DNAT （目的地址转换）SNAT 是内网终端访问外网服务时使用的功能。

如图1所示，内网终端使用私网地址访问公网服务，数据包经过网关时，网关将“私网源地址：端口”修改成“公网源地址：端口”，并做下记录，当服务端返回数据包时，再按照之前的记录将“公网目的地址：端口”修改回“私网目的地址：端口”。

Hillstone 安全网关的SNAT 功能支持三种转换模式：① 静态地址静态源地址转换即一对一的转换。

该模式要求被转换到的公网地址条目包含的IP 地址数与流量的私网源地址的地址条目包含的IP 地址数相同。

② 动态地址动态源地址转换即多对多的转换。

该模式将私网源地址转换到指定的公网IP 地址。

每一个私网源地址会被映射到一个唯一的公网IP 地址做转换，直到指定公网地址全部被占用。

③ 动态端口多个私网源地址将被转换成指定公网IP 地址条目中的一个地址。

通常情况下，地址条目中的第一个地址将会首先被使用，当第一个地址的端口资源被用尽，第二个地址将会被使用。

DNAT 是外网终端访问内网服务时使用的功能。

如图2所示，外网终端使用公网地址访问内网服务，数据包经过网关时，网关将“公网目的地址：端口”修改成“私网目的地址：端口”，并做下记录，当服务端返回数据包时，再按照之前的记录将“私网源地址：端口”修改回“公网源地址：端口”。

图1 Hillstone 安全网关SNAT 工作原理图2 Hillstone 安全网关DNAT工作原理2.3 ALG （应用层网关）一些应用在通信过程中使用应用层携带网络地址信息，如SIP 协议；一些应用采用多通道数据传送，控制通道在应用层协商数据通道的网络地址，如FTP 协议。

Version4.16.0版本说明本文档包含HSM4.2.0及以后各版本的新增功能、已知问题等内容。

l HSM4.16.0l HSM4.15.0l HSM4.14.0l HSM4.13.0l HSM4.11.0l HSM4.10.0l HSM4.8.0l HSM4.7.0l HSM4.6.0l HSM4.5.0l HSM4.4.0l HSM4.3.0l HSM4.2.0HSM4.16.0本节为HSM4.16.0的版本说明。

产品和版本信息产品名称：山石网科集中安全管理平台（HSM）产品型号：HSM-50、HSM-100-D4、HSM-200、HSM-500-D4、vHSM 软件名称：HSM pro4.16.0发布日期：2022年5月12日适用StoneOS版本：l StoneOS5.5R9和5.5R8支持除了IPS特征库下发以外的所有功能；l StoneOS5.5R7支持HSM的全部功能；l StoneOS5.0R3F5、5.0R4P6支持HSM除2.5R2及更高版本新增功能外的所有功能；l StoneOS4.5R4、5.0R3支持除配置管理和2.5R2及更高版本新增功能外的所有功能（监控功能为受限支持）；l StoneOS4.5R1至4.5R3版本支持注册以及查看设备信息。

适用产品型号：l SG-6000K系列、E系列、X系列、G系列、M系列、T系列、NIP(D)S、ADC、WAF、BDS产品l云•界CloudEdge产品系统文件版本升级说明l vHSM不支持从2.5R3升级到2.5R4P2，但支持从2.5R4升级到2.5R4P1和2.5R4P2。

兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试：l IE11l Chrome新增功能HSM4.15.0本节为HSM4.15.0的版本说明。

产品和版本信息产品名称：山石网科集中安全管理平台（HSM）产品型号：HSM-50、HSM-100-D4、HSM-200、HSM-500-D4、vHSM 软件名称：HSM pro4.15.0发布日期：2022年3月4日适用StoneOS版本：l StoneOS5.5R9和5.5R8支持除了IPS特征库下发以外的所有功能；l StoneOS5.5R7支持HSM的全部功能；l StoneOS5.0R3F5、5.0R4P6支持HSM除2.5R2及更高版本新增功能外的所有功能；l StoneOS4.5R4、5.0R3支持除配置管理和2.5R2及更高版本新增功能外的所有功能（监控功能为受限支持）；l StoneOS4.5R1至4.5R3版本支持注册以及查看设备信息。

Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS（TFTP） (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (41)一对多映射（服务器负载均衡） (44)第4章链路负载均衡 (46)链路负载均衡介绍 (46)基于目的路由的负载均衡 (47)基于源路由的负载均衡 (48)智能链路负载均衡 (48)第5章QoS配置 (51)QoS介绍 (51)IP QoS配置 (51)应用QoS配置 (53)混合QoS配置 (56)QoS白名单配置 (57)第6章网络行为控制 (58)URL过滤（有URL许可证） (58)配置自定义URL库 (61)URL过滤（无URL许可证） (62)网页关键字过滤 (63)网络聊天控制 (67)第7章VPN高级配置 (70)基于USB Key的SCVPN配置 (70)新建PKI信任域 (70)配置SCVPN (75)制作USB Key (76)使用USB Key方式登录SCVPN (78)PnPVPN (80)用户配置 (81)IKE VPN配置 (82)隧道接口配置 (86)路由配置 (87)策略配置 (88)PnPVPN客户端配置 (89)第8章高可靠性 (91)高可靠性介绍 (91)高可靠性配置 (92)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册，对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI配置。

Hillstone⼭⽯⽹科防⽕墙⽇常运维操作⼿册⽬录⼀、设备基础管理 (1)1.1设备登录 (1)1.1.1 通过CLI管理设备 (1)1.1.2 通过WebUI管理设备 (2)1.2管理员帐号及权限设置 (4)1.2.1 新增管理员 (4)1.2.1 修改管理员密码 (5)1.3 License安装 (6)1.4设备软件升级 (7)1.5设备配置备份与恢复 (9)1.5.1 备份设备配置 (9)1.5.2 恢复设备配置 (12)1.6系统诊断⼯具的使⽤ (14)⼆、对象配置 (16)2.1 配置地址薄 (16)2.2 配置服务簿 (17)三、⽹络配置 (21)3.1 配置安全域 (21)3.2 配置接⼝ (22)3.3 配置路由 (23)3.4 配置DNS (24)四、防⽕墙配置 (26)4.1 配置防⽕墙策略 (26)4.1.1 新增防⽕墙安全策略 (26)4.1.2 编辑防⽕墙安全策略 (27)4.2 配置NAT (28)4.2.1 配置源NAT (28)4.2.2 配置⽬的NAT (31)4.3 防⽕墙配置举例 (35)五、QOS配置 (44)5.1 配置IP QOS (45)5.2 配置应⽤QOS (46)六、常⽤⽇志配置 (48)⼀、设备基础管理1.1设备登录安全⽹关⽀持本地与远程两种环境配置⽅法，可以通过CLI 和WebUI 两种⽅式进⾏配置。

CLI同时⽀持Console、telnet、SSH 等主流通信管理协议。

1.1.1 通过CLI管理设备通过Console ⼝配置安全⽹关时需要在计算机上运⾏终端仿真程序（系统的超级终端、SecureCRT等）建⽴与安全⽹关的连接，并按如下表所⽰设置参数（与连接Cisco设备的参数⼀致）：通过telnet或者SSH管理设备时，需要在相应接⼝下启⽤telnet或SSH 管理服务，然后允许相应⽹段的IP管理设备（可信主机）。

对接⼝启⽤telnet或SSH管理服务的⽅法如下：⾸先在⽹络—>⽹络连接模式下的页⾯下⽅勾选指定接⼝，点击图⽰为的编辑按钮，然后在弹出的接⼝配置窗⼝中对接⼝启⽤相应的管理服务，最后确认即可：1.1.2 通过WebUI管理设备WebUI同时⽀持http和https两种访问⽅式，⾸次登录设备可通过默认接⼝ethernet0/0 （默认IP 地址192.168.1.1/24，该接⼝的所有管理服务默认均已被启⽤）来进⾏，登录⽅法为：1. 将管理PC 的IP 地址设置为与192.168.1.1/24 同⽹段的IP 地址，并且⽤⽹线将管理PC与安全⽹关的ethernet0/0 接⼝进⾏连接。

Hillstone下一代智能防火墙技术白皮书之• 流量的划分不够精细，大部分QoS只能做到基于5元组的流量划分• 缺乏QoS管理手段，缺少直观可视，简单易用的QoS呈现• 优先级的处理效果有限，不能很好的保证关键业务优先调度处理• 剩余带宽不能得到合理有效的利用Hillstone T系列下一代智能防火墙独创的具有专利技术的增强的智能流量管理（iQoS），可以实现两层八级的管道嵌套以及更细粒度的流量控制，满足不同网络层次部署的需要，能够很好的解决传统QoS无法解决的问题。

制总P2P下载带宽30Mbps；这种配置很不灵活，其实是通过分别限制财务总监和普通员工的P2P下载带宽达到限制总P2P下载带宽30Mbps的目的。

iQoS两层流控的做法是：第一层流控基于用户进行控制，即限制财务总监带宽50Mbps、普通财务员工带宽30Mbps，第二层流控基于P2P应用进行控制，即将总的P2P下载速率限制到30Mbps。

这种处理很灵活，不需要分别限制财务总监和普通员工的P2P下载带宽，他们各自P2P的下载带宽不用设置成固定的值，经过第二层流控时很自然会将总的P2P下载速率限制到30Mbps。

两层流控工作流程如下图：第一层流控第二层流控图1 两层流控工作流程示意图2.1.2 单层四级嵌套Hillstone 增强的智能流量管理（iQoS ）在每一层流控中，最多支持四级管道的嵌套。

流量会按照匹配条件，逐级匹配管道；未匹配到任何管道的流量，则进入预定义的默认管道。

每一级管道都有各自的匹配条件（rule ）和流控动作，满足匹配条件的流量按照该管道配置的流控动作进行相应的流量控制。

匹配条件（rule ）包括源安全域、源接口、源地址条目、目的安全域、目的接口、目的地址条目、用户/用户组、服务/服务组、应用/应用组、TOS 、Vlan ，可以根据一种条件来划分流量，如根据源地址条目；也可以根据多种条件组合来划分流量，多种条件之间是”与”的关系，如根据源接口、目的地址条目和应用HTTP ，即从指定的源接口到具体的目的地址的HTTP 流量，这样能够更加精细的划分流量。

Hillstone 山石网科流量管理白皮书Hillstone 山石网科流量管理白皮书1. 概述随着互联网的应用和企事业应用的快速发展，爆发出来种类繁多的新应用正在一点一点的蚕食着用户网络中带宽，你也许会碰到下面的一些问题：●即使把带宽增加了，正常业务访问还是变慢了？● 有没有办法保证重要业务不受到影响？● 有没有办法查看到底是谁在蚕食我的带宽？从根本上来讲，QOS 功能能够为特定类型的流量提供更好的服务，特定类型既可以是针对某个角色，比如老板的流量访问、财务部门的流量，也可以针对某种应用，比如针对企事业重要的正常业务。

从技术实现来看，主要是通过提高这些特定类型的流量优先级和带宽配额或者降低其他流量的优先级和带宽配额来实现，比如降低P2P 下载应用的带宽。

StoneOS ® QoS是一个工具箱，能够保证服务的可用性，能够有效管理带宽资源和区分网络应用的优先级。

同时，StoneOS ® QoS是建立在Hillstone 山石网科多核Plus ® G2安全架构之上，能提供基于深度应用、角色等流量管理。

2. StoneOS® QoS基本结构StoneOS ®的QoS 基于以下基本模块实现：● QoS识别和标记技术。

用于网络元素间从点到点的QoS 协调● 单一网络元素内的QoS(例如：队列、拥塞避免、调度、管制以及流量整形工具● 统计功能。

基于角色、应用的实时流量统计，用于控制和管理流量。

Hillstone 山石网科流量管理白皮书3. Hillstone 山石网科解决方案通过结合以下技术，StoneOS ®用创新的专有的技术实现强大而灵活的QoS 解决方案：● 基于RFC 的DSCP 标记●IP QoS● 角色QOS ● 应用QoS ● 混合QOS ● 应用标记● 弹性QoS3.1 与第三方设备互通QoS 是不同品牌网络设备之间共同努力的结果。

以一个大型企业的网络环境为例，Hillstone 山石网科设备可以被部署为分支办公室的网关设备，它可能与Cisco 的路由器共同工作。

Version2.10Copyright2022Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is furnished under a license agreement or nondisclosure agreement.The software may be used or copied only in accordance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the pur-chaser's personal use without the written permission of Hillstone Networks.Hillstone Networks本文档禁止用于任何商业用途。

联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州高新区科技城景润路181号邮编：100192邮编：215000联系我们：/about/contact_Hillstone.html关于本手册本手册介绍山石网科的应用交付系统ADC的使用方法。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：*************************山石网科https://TWNO:TW-CLI-ADC-2.10-CN-V1.0-4/2/2022目录目录1第1章服务器负载均衡1 SLB相关概念2负载均衡算法2配置虚拟服务器4配置虚拟服务器IP和端口7配置流量组8配置域名匹配8启用默认虚拟服务器9配置自动源NAT9配置虚拟服务器IP地址是否允许被PING10配置虚拟服务器的状态11指定缺省服务池11指定备份服务池12指定设备与客户端的交互方式12指定支持的客户端认证方式12指定服务器名称13指定虚拟服务器支持的功能13查看虚拟服务器的运行状态14配置最大连接数14配置连接失败动作15配置连接速率限制15配置防浪涌等待队列16配置超时连接动作16开启历史信息记录17记录日志17 TOA类型18插入TOA18绑定SSL模板18绑定应用模板19配置DNS服务器19配置IPv6的DNS查询19配置DNS有效时间20开启HTTP隧道模式20配置自动修改HTTP头部协议20指定脚本文件21指定四层内容交换规则21移动规则22指定七层内容交换规则22移动规则22指定内容改写规则23移动规则23指定Web防护模板24配置主机改写24配置访问控制25移动规则25配置错误信息25导入页面26删除页面26查看页面27配置三角模式27配置UDP强制负载27逆向路由27配置调度模式28镜像请求28配置入接口模式29配置虚拟服务器IP的路由发布30配置虚拟服务器外链改写31配置基于路径方式的外链改写31配置虚拟服务器外链探测33配置基于域名方式的外链改写33配置虚拟服务器的探测服务器功能35查看虚拟服务器信息35配置真实服务35创建真实服务36指定IP和端口36指定域名和端口37自动解析域名所有IP38配置最大连接数38配置连接速率限制38指定恢复时间39指定预热时间39配置真实服务的权重39配置真实服务的状态40绑定健康检查对象40开启历史信息记录41查看真实服务配置41查看真实服务的运行状态41配置服务池42创建服务池42添加真实服务42指定真实服务恢复时间42指定真实服务预热时间43配置真实服务优先级调度功能43配置会话保持方法44基于Cookie的会话保持方法44基于Cookie哈希的会话保持方法45基于URL哈希的会话保持方法46基于首部的会话保持方法47基于插入Cookie的会话保持方法47基于改写Cookie的会话保持方法49基于HTTP版本的会话保持方法50基于请求方法的会话保持方法50基于目的IP的会话保持方法51基于源IP的会话保持方法方法52基于TOA的会话保持方法53基于TOA或源IP（TOA优先）的会话保持方法53基于真实源IP的会话保持方法54基于URL的会话保持方法55基于SSL ID的会话保持方法56基于SNI的会话保持方法57基于Call ID的会话保持方法57基于RDP的会话保持方法58查看会话保持表59清空会话保持表59配置负载均衡算法60绑定健康检查对象63开启/关闭手动恢复功能63手动恢复运行状态64查看服务池配置64查看服务池的运行状态65服务池中真实服务的运行状态65配置SLB规则66配置四层内容交换规则66配置客户端源IP66配置客户端源端口67配置客户端目的IP67配置客户端目的端口67配置四层内容交换支持的协议68配置服务池68配置描述信息68查看四层内容交换规则69配置HTTP内容改写规则69配置文本编码方式70配置匹配操作符70配置匹配条件70配置匹配条件区分大小写73配置内容改写规则动作73配置动作为重定向74原有路径查询74配置动作为消息体改写74配置动作为头部改写75配置动作为Cookie改写75配置动作为URL改写76配置动作为删除Cookie77配置动作为删除头部77配置动作为插入头部77配置动作为插入Cookie78配置动作为添加IP协议类型标识78配置动作为插入源IP79配置动作为插入真实源IP79配置描述信息80查看内容改写规则信息80 HTTP内容改写_变量使用说明80配置HTTP内容交换规则84配置描述信息84配置文本编码方式84配置匹配操作符85配置服务池85配置匹配条件85配置匹配条件区分大小写88查看HTTP内容交换规则89配置访问控制规则89配置描述信息89配置文本编码方式89配置匹配操作符90配置匹配条件90配置匹配条件区分大小写93配置访问控制动作93配置时间表94查看SLB规则状态94配置客户端SSL模板95创建SSL模板95配置握手超时时间95配置加密套件95配置SSL版本96配置证书链96配置SSL会话复用97配置SSL会话票据97配置国密加密套件97配置国密签名证书链97配置国密加密证书链98 SSL客户端验证98指定对客户端验证的方式98指定需验证的CA证书98自动CA证书通告99指定需通告的CA证书99配置验证证书最小密钥长度99配置客户端验证的证书最大深度99配置客户端验证规则100配置URL验证匹配规则101配置客户端证书的OCSP验证102清除OCSP缓存103配置OCSP Stapling103 SSL加速卡105 SSL加速卡相关命令105配置服务端SSL模板107创建服务端SSL模板107配置握手超时时间107配置加密套件108配置SSL版本108配置证书链108配置国密签名证书链109配置国密加密证书链109配置应用模板109创建应用模板110HTTP2.0协议110开启HTTP2.0110配置空闲连接超时时间111配置最大并发流111配置接收窗口大小111配置数据帧大小111配置标题表大小112插入标题X-HTTP2112配置网页优化112配置网页的HTML优化112配置网页的图片优化114开启WebSocket115配置保活超时时间115配置连接超时时间116配置读写超时时间116配置连接复用116配置读取超时时间117配置发送超时时间117开启X-Forward-For118配置缓冲区大小118配置首片缓冲区大小118配置请求体大小118HTTP缓存119配置HTTP静态资源的内存缓存119配置HTTP静态资源的磁盘缓存120清除HTTP缓存122查看HTTP缓存统计信息122 HTTP压缩122配置HTTP压缩123清除HTTP压缩123查看HTTP缓存信息123配置客户端缓存大小123配置代理缓存大小124配置读写超时时间124查看应用模板信息124配置Web防护模板124创建Web防护模板126配置防护动作126配置基于虚拟服务器的检测规则127配置基于源IP的检测规则127配置客户端IP获取方式127配置基于URL的检测规则128移动基于URL检测规则的位置128查看Web防护模板129Web防护黑名单129查看或清除Web防护黑名单130 Web防护信任名单130查看或清除Web防护信任名单131其他命令131显示或清除会话信息131显示或清除会话保持表信息132 SSL透视镜模板133配置SSL透视镜模板133指定模式133配置信任域133配置匹配规则134配置解密协议134配置域名簿134配置解密SNI为空的流量134启用状态统计135开启日志开关135启用镜像解密监控135验证服务器证书136提醒信任域证书安装136信任域缓存表137查看信任域缓存表137清除信任域缓存表137白名单138添加白名单条目138删除白名单条目138查看白名单138状态统计139查看状态统计信息139清除状态统计信息139配置状态统计过期时间139健康检查139创建健康检查140 DNS健康检查141 FTP健康检查143 SNMP-DCA健康检查144 SNMP-DCA-BASE健康检查146 HTTP/HTTPS健康检查149 ICMP健康检查151 IMAP健康检查153 POP3健康检查154 SMTP健康检查156 TCP健康检查157 TCP-ECHO健康检查158TCP-HALF-OPEN健康检查160 UDP健康检查161 Third-Party健康检查163 RADIUS-AUTHENTICATION健康检查164 RADIUS-ACCOUNTING健康检查166 WEBSOCKET健康检查167 WEBSOCKET-SSL健康检查169 SIP-TCP健康检查171 SIP-UDP健康检查172 PASSIVE-HTTP健康检查173 PASSIVE-TCP健康检查174健康检查组175配置健康检查组操作符175配置健康检查组成员176第2章全局负载均衡178 DNS服务器178实现流程178 DNS Server的部署场景179配置DNS服务器180配置DNS视图181创建DNS视图181配置源IP181配置目的IP182关联区域182关联智能DNS182递归查询183转发配置183转发目的地址183启用强制RD标志184清除DNS缓存184配置区域184创建区域184配置SOA资源185配置资源记录185配置A记录186配置AAAA记录187配置NS记录187配置CNAME记录188配置PTR记录188配置MX记录189配置TXT记录189配置SRV记录190启用资源记录190关联智能DNS190配置TTL191转发配置191转发目的地址191配置全局配置191配置DNS服务器监听地址192配置监听端口192发布监听地址路由192配置UDP会话超时193关联智能DNS193递归查询193转发配置193配置缓存194启用强制RD标志194开启GSLB统计194开启GSLB日志195智能DNS195负载均衡算法195配置智能DNS196配置ISP196添加IP网段196配置地区197配置国家信息197配置省份信息197配置IP网段198配置ISP198配置服务器和服务器池198创建服务器198服务器状态198服务器IP199服务器权重199指定健康检查199指定健康检查端口199引用地区200绑定接口200服务器优先级200启用服务器可用性验证201绑定数据中心201创建服务器池201服务器池状态201指定首选算法202指定备选算法202服务器池所属地区203服务器池权重203指定健康检查203指定健康检查端口204启用链路繁忙保护204配置服务器池成员204服务器成员运行状态205配置Smart DNS主机205 DNS主机状态205配置域名205配置TTL206配置算法206配置保持算法206配置服务器池成员207配置默认服务器池207数据中心208应用场景举例208配置数据中心209创建本地数据中心209指定IP地址210指定联系人210指定地理位置210启用虚拟服务器发现210指定本地IP地址211指定本地设备211发现数据中心211查看数据中心212配置GSLB同步组212添加GSLB同步组成员212配置同步213查看GSLB同步组213注册SLB设备到数据中心213配置本地设备213手动发现虚拟服务器213查看本地设备214第3章链路负载均衡215出站负载均衡215创建LLB Profile215配置负载均衡算法216开启综合考虑其它调度结果功能218配置链路负载均衡的优先级调度策略219配置链路探测220开启链路探测220配置链路探测掩码220配置带宽利用率阈值220配置计算链路状态时各项权值221配置链路权重刷新时间221配置子网条目最大值221配置带宽探测方向221配置负载均衡的模式222配置会话保持方法222配置会话保持超时时间223配置链路繁忙保护223配置日志记录223添加描述信息224绑定LLB Profile224查看链路负载均衡信息224第4章设备集群225集群基础概念225设备发现与认证225设备组225流量组225集群同步226配置集群226配置本地管理地址227设备发现与认证227配置本地设备227配置证书链227配置设备IP227配置主故障转移IP228配置次故障转移IP228配置主镜像IP228配置设备联系方式228配置设备地理位置229配置设备发现超时时间229配置设备在线超时时间229添加设备描述信息229发现设备230集群同步230配置设备组231配置同步范围231添加设备232配置心跳时间间隔232配置心跳阈值232配置流量组233配置故障转移顺序233配置负载系数234指定监测对象234启用抢占功能235配置抢占时间235启用数据对象同步235配置虚拟MAC235配置虚拟MAC前缀236配置非对称流量转发236启用非对称流量转发功能236查看集群配置237第5章网络连接238安全域238配置安全域239显示域信息239创建安全域239指定描述信息240绑定二层域到VSwitch240绑定三层域到VRouter240配置安全域WAN属性241接口241查看接口信息242配置接口243绑定接口到域244配置接口描述信息245配置接口IP地址245配置接口IP地址的Local属性246配置接口IP地址所属流量组246配置接口浮动IP246配置接口二级IP地址247配置接口二级管理IP地址247配置接口所属ISP247配置接口的链路负载均衡优先级248配置接口带宽248配置接口最大传输单元（MTU）248强制关闭接口249设置接口ARP超时时间249配置接口管理功能249配置FTP服务功能250配置接口代理ARP功能251配置基于策略的接口镜像过滤功能251配置mirror Profile252指定流量镜像目的接口252指定流量镜像目的地址253指定策略规则引用mirror Profile253显示mirror Profile信息253配置接口逆向路由功能254配置接口备份功能254配置接口保持时间255配置接口保活功能255配置接口联动功能256配置接口Local属性256配置接口WAN属性257回环接口257创建回环接口257以太网接口257创建以太网子接口258进入以太网接口配置模式258配置以太网接口的速率258配置以太网接口的工作方式258克隆MAC地址259配置Combo口259 VSwitch接口260创建VSwitch接口260集聚接口260创建集聚接口以及集聚子接口260添加接口到集聚接口261冗余接口261创建冗余接口以及冗余子接口261添加接口到冗余接口262指定主接口262 PPPoE子接口262链路聚合263 LACP动态协商聚合263聚合组成员接口状态263配置LACP动态协商聚合264启用/禁用LACP协议264指定LACP系统优先级264指定接口LACP优先级265指定LACP超时时间265指定最大活动链路数265指定最小活动链路数266指定报文发送均衡方式266查看聚合组信息267 DNS267配置DNS名字服务267设置域名267设置DNS域名服务器268配置DNS代理功能268配置DNS代理规则269创建DNS代理规则269配置DNS代理过滤条件269指定DNS入接口270指定DNS源地址270指定DNS目的地址270指定DNS域名271配置DNS代理规则动作271配置DNS代理服务器271配置DNS服务器272配置描述信息273启用/禁用DNS代理规则273修改DNS代理规则的排列顺序273配置DNS代理服务器探测功能274开启/关闭DNS代理的UDP报文校验和功能274指定DNS代理响应报文的TTL274查看DNS代理规则信息274解析275设置DNS请求的响应超时时间275设置DNS请求重试次数275指定链路权值275指定DNS解析动态缓存的TTL276开启DNS解析日志功能277缓存277添加静态DNS映射条目277查看DNS映射条目278清除动态DNS映射条目278DNS Snooping278开启精确域名探测功能278指定DNS响应报文的处理速率279指定DNS Snooping列表的老化时间279查看DNS Snooping配置信息279查看DNS Snooping列表条目279开启/关闭DNS功能280开启DNS解析日志功能280显示DNS配置信息280 DHCP280配置DHCP客户端功能281配置DHCP方式获取IP地址281释放和重新获取IP地址282配置路由优先级（管理距离）和路由权值282配置DHCP服务器功能282 DHCP地址池基本配置283 IP地址配置283保留地址池配置283网关配置284网络掩码配置284 DHCP租约配置284配置自动配置功能284为DHCP客户端配置DNS、WINS服务器和域名285为DHCP客户端配置SMTP、POP3和新闻服务器285配置中继代理IP地址286 IP-MAC地址绑定286绑定地址池到接口286配置DHCP选项287配置Option49287配置Option60287验证客户端Option60字段携带的VCI287设置DCHP服务器Option60字段携带的VCI288配置Option138288查看DHCP配置信息288配置DHCP中继代理功能289指定DHCP服务器的IP地址289开启接口的DHCP中继代理功能289 DDNS289配置DDNS功能290配置DDNS服务名称290指定DDNS服务器类型291指定DDNS服务器名称和端口号291指定最小更新间隔291指定最大更新间隔292指定DDNS用户292绑定DDNS服务名称到接口292显示DDNS信息293 PPPoE293配置PPPoE293配置PPPoE实例294指定访问集中器294指定验证方式294配置PPPoE连接方式295指定网络掩码295指定路由距离和权值295指定服务296指定静态IP296指定PPPoE用户信息296配置时间表功能296指定PPPoE服务器MAC地址297配置连接状态检测297配置接口使用PPPoE方式获得IP地址298绑定PPPoE实例到接口298手动连接或者断开PPPoE连接298显示PPPoE配置信息299虚拟交换机299VSwitch中的转发规则299查看MAC表信息300配置VSwitch301透明模式下的VLAN透传301透明模式下的ARP功能302配置NAT302创建SNAT规则303启用/禁用SNAT规则305修改SNAT规则排列顺序305开启/关闭扩展PAT端口池功能306删除SNAT规则306修改/删除SNAT描述信息306显示SNAT配置信息307查看监测失败的SNAT转换地址307创建DNAT规则308启用/禁用DNAT规则309修改DNAT规则排列顺序310修改/删除DNAT描述信息310删除DNAT规则311显示DNAT配置信息311 DNS Rewrite312透明NAT312Full-cone NAT312显示Full-cone NAT配置信息313 IP包数据处理选项314配置MSS值314 TCP序列号检查314 TCP三次握手超时时间检查315 TCP连接终止老化时间配置315 TCP SYN包检查316 IP分片包处理316逆向路由317应用层网关（ALG）317配置ALG功能318指定SIP代理模式319查看ALG SIP信息320第6章路由321静态路由查询321目的路由322添加目的路由条目322显示目的路由信息323目的接口路由323添加目的接口路由条目323查看目的接口路由信息324查看目的接口路由的FIB信息324源路由325添加源路由条目325查看源路由条目信息325源接口路由326添加源接口路由条目326查看源接口路由条目信息327 IPv4ISP路由327配置IPv4ISP信息327添加IPv4子网条目328添加IPv4ISP信息条目328配置IPv4ISP路由328查看IPv4ISP路由配置信息329上传IPv4ISP配置文件330删除已上传的预定义IPv4ISP配置文件331 IPv6ISP路由331配置IPv6ISP信息332添加IPv6子网条目332添加IPv6ISP信息条目332配置IPv6ISP路由333查看IPv6ISP信息334上传IPv6ISP配置文件334删除已上传的预定义IPv6ISP配置文件334策略路由335创建PBR策略335创建PBR规则335编辑PBR策略规则336启用/禁用PBR策略规则339修改规则排列顺序339配置目的路由优先查找339应用PBR策略339配置PBR策略全局匹配顺序340显示PBR策略全局匹配顺序340策略路由规则支持配置TTL340查看PBR策略规则信息341动态路由341 RIP341基本配置341指定版本号342指定缺省度量342指定缺省距离342配置缺省信息发布343配置定时器343引入路由343配置被动接口344配置邻居344配置网络345配置距离345 RIP数据库345配置接口的RIP功能346配置RIP报文认证346配置发送和接收的RIP版本号346配置水平分割347显示系统RIP信息347 OSPF347 OSPF协议配置348配置Router ID349配置接口的网络类型349配置区域的路由聚合350配置区域的缺省花费350配置区域的虚拟链路351配置stub区域352配置NSSA区域352配置OSPF的引用带宽353指定缺省度量353配置缺省信息发布353指定缺省距离354配置OSPF定时器354指定运行OSPF协议的接口网络354引入路由355配置路由映射表355匹配多条路由匹配规则358修改引入路由属性359配置路由访问控制列表359配置距离360配置被动接口361配置接口OSPF功能361配置接口的OSPF认证361指定接口的链路花费362配置接口定时器362指定接口路由器优先级363配置接口的网络类型363显示OSPF信息364 OSPFv3365配置Router ID367配置区域的虚拟链路367指定缺省度量368配置缺省管理距离368配置缺省路由发布369指定接口区域及实例369配置引入路由370配置被动接口370配置OSPFv3接口定时器370指定接口路由器优先级371配置接口的链路花费372配置接口MTU匹配检查372关闭/开启OSPFv3协议372查看OSPFv3信息373 IS-IS374 IS-IS基本配置376指定路由器类型376使能接口IS-IS376配置接口IS-IS类型376配置网络类型为点对点类型377 IS-IS路由信息配置377配置NET地址377配置管理距离377配置度量类型377配置接口度量值378引入路由378发布缺省路由379 IS-IS网络优化379配置Hello报文发送时间间隔379配置Hello报文失效乘数379配置Hello报文填充功能380配置DIS选举优先级380配置被动接口380配置LSP生成时间间隔381配置LSP最大生存时间381配置LSP刷新时间381配置SPF计算时间间隔382配置过载标志位382配置主机名映射382 IS-IS网络安全性382配置认证382配置接口认证模式383查看IS-IS信息384 BGP385 BGP协议配置386进入BGP配置模式387指定Router ID387创建聚合路由388添加静态BGP路由388配置定时器388指定BGP路由管理距离389指定缺省度量389创建BGP对等体组390添加BGP对等体到对等体组390配置BGP对等体390配置BGP MD5认证391激活BGP连接391配置缺省信息发布391配置描述信息392配置BGP对等体定时器392配置下一跳为自身393配置EBGP多跳393关闭对等体或者对等体组393重置BGP连接394配置AS路径访问控制列表394配置团体属性列表395引入路由396配置路由映射表396修改引入路由属性398配置基于AS路径访问控制列表的路由过滤399配置向对等体或者对等体组发送团体属性399配置基于路由映射表的路由过滤400等价负载均衡400查看BGP信息400等价多径路由（ECMP）401配置ECMP功能402配置ECMP选路方式402静态组播路由402开启/关闭组播路由功能403配置静态组播路由403指定入接口/出接口403显示组播路由信息404显示组播FIB信息404互联网组管理协议404 IGMP Proxy405启用IGMP代理405配置接口的IGMP代理模式406查看IGMP Proxy信息406 IGMP Snooping406启用IGMP Snooping407配置IGMP Snooping407未知组播丢弃408查看IGMP Snooping信息408 BFD408 BFD工作模式409 BFD Echo功能409配置BFD基本功能409配置BFD检测模式410配置BFD会话参数410开启/关闭Echo功能411指定接收Echo报文时间间隔411配置Echo报文的源IP地址411配置BFD与路由协议联动412配置BFD与静态路由联动412配置BFD与OSPF联动413配置BFD与BGP联动413显示BFD会话信息413第7章用户认证415用户认证流程415配置AAA服务器415创建AAA服务器416配置RADIUS服务器认证参数416配置认证主服务器的IP地址或域名417配置备份服务器1的IP地址或域名417配置备份服务器2的IP地址或域名417配置RADIUS服务器端口号418配置RADIUS服务器的共享密钥秘密418配置重试次数418配置超时时间419指定角色映射规则419配置用户黑名单419配置备份认证服务器420添加字典文件420配置TACACS+服务器认证参数421配置认证主服务器的IP地址或域名422配置备份服务器1的IP地址或域名422配置备份服务器2的IP地址或域名422配置TACACS+服务器端口号423配置TACACS+服务器的共享密钥423指定系统管理员认证服务器423显示优先使用本地服务器认证启用状态424认证与授权的显示与调试424 PKI425配置PKI426创建和删除PKI密钥对426配置PKI信任域427指定证书获得方法428指定密钥对428配置主题内容428配置证书撤销列表429配置在线证书状态协议430指定OCSP响应器430配置OCSP请求随机数431指定OCSP响应信息失效时间431导入CA证书431导入密钥432导入加密密钥对432生成证书服务请求433安装本地证书433下载证书撤销列表433导出和导入PKI信任域信息433导出PKI信任域信息433导入PKI信任域信息434证书链435创建证书链435导出证书链435导入证书链436显示证书链配置信息437重新自签名438显示PKI配置信息438第8章对象439命名规则439地址簿439地址条目439配置地址簿440添加或者删除地址条目440指定地址条目的IP地址范围440指定排除地址条目成员442指定排除IPv4地址条目成员443重新命名地址条目443查看地址条目关联项443查看地址簿信息444服务簿444通过CLI查看服务信息444查看服务关联项445预定义服务（Predefined Services）445远程Shell（RSH）445 Sun远程程序调用（Sun RPC）445微软远程过程调用（MS RPC）445修改预定义服务超时时间446预定义服务组446用户自定义服务446创建和删除自定义服务447为自定义服务添加和删除自定义服务条目447服务组（Service Group）449创建和删除服务组449为服务组添加和删除服务或者服务组449为服务或者服务组添加/删除描述信息450域名簿450添加或者删除域名条目450指定域名条目的域名范围451查看域名簿信息451时间表451创建时间表452指定绝对计划452指定周期计划452监测对象454 Ping报文监测454 HTTP报文监测455 ARP报文监测456 DNS报文监测456 TCP报文监测457接口链路状态监测458接口流量监测459配置警戒值459监测对象警戒值460报文延时警戒值460接口流量警戒值461系统监控报警461第9章流量管理465 iQoS465管道与流控层级465管道465流控层级467配置iQoS468指定流控层级468启用/禁用流控层级/根管道/子管道468启用/禁用NAT IP匹配469创建根管道469创建子管道470配置流量匹配条件471配置流量白名单473配置根管道流量管理动作475配置子管道流量管理动作476配置根管道的流控模式478配置根管道时间表479配置子管道时间表479查看流控层级及管道的配置信息479会话限制480会话限制配置480会话限制显示481第10章安全策略482进入策略配置模式483创建策略规则483编辑策略规则484启用/禁用策略规则486策略规则的日志管理487指定缺省行为487修改规则排列顺序488规则冗余检测488策略组489配置策略组489新建/删除策略组489启用/禁用策略组489添加/删除策略组描述信息490添加/删除策略规则成员490。

Hillstone山石网科流量管理白皮书Hillstone山石网科流量管理白皮书1. 概述随着互联网的应用和企事业应用的快速发展，爆发出来种类繁多的新应用正在一点一点的蚕食着用户网络中带宽，你也许会碰到下面的一些问题：●即使把带宽增加了，正常业务访问还是变慢了？●有没有办法保证重要业务不受到影响？●有没有办法查看到底是谁在蚕食我的带宽？从根本上来讲，QOS功能能够为特定类型的流量提供更好的服务，特定类型既可以是针对某个角色，比如老板的流量访问、财务部门的流量，也可以针对某种应用，比如针对企事业重要的正常业务。

从技术实现来看，主要是通过提高这些特定类型的流量优先级和带宽配额或者降低其他流量的优先级和带宽配额来实现，比如降低P2P下载应用的带宽。

StoneOS® QoS是一个工具箱，能够保证服务的可用性，能够有效管理带宽资源和区分网络应用的优先级。

同时，StoneOS® QoS是建立在Hillstone 山石网科多核Plus® G2安全架构之上，能提供基于深度应用、角色等流量管理。

2. StoneOS® QoS基本结构StoneOS®的QoS基于以下基本模块实现：●QoS识别和标记技术。

用于网络元素间从点到点的QoS协调●单一网络元素内的QoS(例如：队列、拥塞避免、调度、管制以及流量整形工具)●统计功能。

基于角色、应用的实时流量统计，用于控制和管理流量。

Hillstone山石网科流量管理白皮书3. Hillstone 山石网科解决方案通过结合以下技术，StoneOS®用创新的专有的技术实现强大而灵活的QoS解决方案：●基于RFC的DSCP标记●IP QoS●角色QOS●应用QoS●混合QOS●应用标记●弹性QoS3.1 与第三方设备互通QoS是不同品牌网络设备之间共同努力的结果。

以一个大型企业的网络环境为例，Hillstone 山石网科设备可以被部署为分支办公室的网关设备，它可能与Cisco的路由器共同工作。

Hillstone山石网科HSM（Hillstone SecurityManagement TM）白皮书概述HSM是为了使企业和服务提供商可以很容易地管理多个设备，最大程度地降低了配置，管理，监控及维护设备的投入成本。

支持企业和服务提供商集中高效地完成和管理多台设备的需求。

结合山石网科上网行为管理，为企业提供了全方位基于用户和应用的审计。

可针对Web访问、论坛发帖、P2P、IM（即时通讯）、游戏等等进行细粒度审计，能够满足公安部82号令要求，提供长期的审计数据保存和维护。

通过集中的对全网设备进行状态监控、流量监控、行为分析，总结出用户网络的安全威胁和安全漏洞，通过保持持续的安全定义和策略的应用提高了系统的安全，最终构成安全闭环，达到动态安全防护。

产品架构HSM系统分为三部分，即HSM代理（Hillstone Security Management Agent）、HSM服务器（Hillstone Security Management Server）和HSM客户端（Hillstone Security Management Client）。

将这三部分合理部署到网络中，并且实现安全连接后，用户可以通过客户端程序，查看被管理安全设备的日志信息、统计信息、设备属性等，监控被管理设备的运行状态和流量信息。

HSM代理HSM系统对Hillstone安全设备进行管理和控制，因此，每台Hillstone安全设备运行的StoneOS都包含HSM代理模块，通过对代理模块的配置，使Hillstone安全设备与服务器相连，从而实现管理和控制。

HSM服务器HSM服务器是网管系统的管理中心，完成信息及数据的存储、分析和转发,实时接收并监控所有被管理设备的运行信息，实时接收安全告警消息，实时接收各种日志消息，且可提供长达半年的日志信息多条件查询和过滤。

HSM客户端HSM客户端是一个安装在Windows 2000/2003/XP操作系统的应用程序，提供简单友好的用户操作界面。

Anti Virus高性能网关病毒过滤解决方案Hillstone 山石网科病毒过滤白皮书高性能网关病毒过滤解决方案1. 概述网络安全的发展趋势表明，网络上涌现出越来越多的攻击和感染方式去侵害PC，并且随着越来越多的移动用户和远程用户的接入，也就意味着连接在一起的PC之间同时存在不同的病毒过滤和安全配置。

在网络中，对于那些没有足够防护的PC是很容易受到危害的。

基于主机的病毒过滤解决方案已经不再能够满足安全需求。

病毒过滤网关提供了第二层安全防护，极大地提高了网络安全性。

从技术角度来看，病毒过滤扫描需要消耗大量系统资源，包括内存、总线带宽和CPU。

在有限的硬件处理能力的支持下，现有的安全网关在开启病毒过滤功能后，性能都会急剧下降。

Hillstone山石网科的病毒过滤基于多核plus® G2架构和全并行的流检测引擎，提供高性能病毒过滤解决方案，能够侦测病毒、木马、蠕虫、间谍软件和其他恶意软件。

基于多核Plus® G2架构的设计提供了病毒过滤需要的高处理能力，其提供的应用处理扩展模块进一步的提高了病毒过滤的处理能力和总计处理能力，全并行流检测引擎则使用较少的系统资源，并且在并行扫描会话和最大可扫描文件方面提供高升级性。

Hillstone 山石网科病毒过滤解决方案具有以下特性：●基于多核Plus® G2构架满足病毒过滤应用的高CPU和高内存资源需求●支持病毒过滤应用处理扩展模块提高病毒过滤和整机处理能力●全并行流检测引擎，提供了高并发，高容量，低延时的病毒过滤●基于流的多层解压缩器支持ZIP，RAR等压缩格式●定期动态病毒库更新●支持HTTP、文件传输和多个电子邮件协议●支持多种行为控制，包括中断连接、文件填充和日志记录2. Hillstone 山石网科病毒过滤架构可扩展的全并行多核Plus® G2硬件架构Hillstone山石网科自主开发的64位实时安全操作系统StoneOS®，具备强大的并行处理能力。

Version 5.5-1.9.1Copyright 2021 Hillstone Networks. All rights reserved.Information in this document is subject to change without notice. The software described in this document is furnished under a license agreement or nondisclosure agreement. The software may be used or copied only in accordance with the terms of those agreements. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form or any means electronic or mechanical, including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks.Hillstone Networks本文档禁止用于任何商业用途。

GPL软件使用声明山石网科远程安全评估系统正常运行，包含3款GPL协议的软件（NMAP、hydra、openVAS）。

本公司愿意将GPL软件提供给已购买产品且愿意遵守GPL协议的客户，请需要GPL软件的客户提供（1）已经购买的产品序列号；（2）有效送达GPL软件地址和联系人，包括但不限于姓名、公司、电话、电子邮件、地址、邮编等；（3）人民币70元的U盘费和快递费，客户即可获得产品所包含的GPL软件。

Hillstone 山石网科UTM Plus 技术白皮书1 概述从防火墙到UTM早期的安全设备基本上都是单点串行的接入方式。

安全设备独立运行，管理复杂，单点故障多带来的可靠性极低., 同时，安全状态分析复杂, 并且投资较高，维护成本高，使用的处理的数据在所有的设备上都需要处理以便，对性能的牺牲也是极大的。

从UTM到UTM PlusUTM（统一威胁管理）的出现似乎解决了这以问题，UTM的部署方式不再是单点串行部署，而是将所有的安全引擎都内置在同一安全设备上，从理论上来将，UTM的出现解决了传统防火墙，防病毒，入侵防御等单点式安全产品串行部署带来的一系列如安全管理，投资高，维护成本大，单点故障多的问题。

但是，是不是UTM的出现就能解决所有的问题了呢？●从传统的UTM实现来看，只是将安全功能简单的叠加，导致系统性能急剧下降，系统不可用。

所有安全功能单独运行，仅是简单集成到了一个系统平台上，安全模块没有做到内部互动，安全问题依然存在, 传统UTM越来越成为了概念，离使用越来越远…图1 传统UTM 串行软件处理架构●从当前用户对网络安全需求的角度来看，之前网络安全的管理的重心主要是集中在在外网到内网的攻击防护和阻断，但随着互联网业务的发展，业务带宽被P2P等下载软件蚕食，无序的、不受约束的上网行为导致不良网站访问、“安全门”、“泄密门”等信息泄密事件的产生等。

全网安全管理，而不仅仅是外网攻击防护，已经让传统UTM只能“防外不防内”的解决方案失去了意义。

UTM Plus是什么UTM Plus是建立在传统UTM解决方案之上，能应对当今复杂多变的网络应用，能满足当下用户对安全应用的需求，并且不管从系统架构层面到软件设计，都具备良好的处理能力来支持所有庞大的功能模块正常运行。

●从网络应用的变化角度来看，UTM Plus解决方案必须能识别和处理新型复杂多变的应用，只有可视化的识别这些应用才能针对应用进一步做对应安全引擎处理。

Hillstone࿍ဝᆀపࣶਖ਼ڔཝᆀਈෘഎ၄ݿྟୈۈ۾੓：StoneOS 5.0R3关于本手册本手册为Hillstone山石网科多核安全网关命令手册。

详细描述StoneOS中用到的所有命令，具体内容有命令的格式、使用方法、参数、默认值和使用实例等。

文档约定在本手册中，StoneOS命令语法描述使用以下约定：·大括弧（{ }）：指明该内容为必要元素。

·方括弧（[ ]）：指明该内容为可选元素。

·竖线（|）：分隔可选择的互相排斥的选项。

·粗体：粗体部分为命令的关键字，是命令行中不可变部分，用户必须逐字输入。

·斜体：斜体部分为需要用户提供值的参数。

命令实例约定：·命令实例中需要用户输入部分用粗体标出。

·需要用户提供值的变量用斜体标出。

·命令实例包括不同平台的输出，可能会有些许差别。

目录怎样使用StoneOS CL I (1)CLI介绍 (1)命令模式和提示符 (1)执行模式 (1)全局配置模式 (1)子模块配置模式 (1)CLI命令模式切换 (1)命令行错误信息提示 (2)命令行的输入 (2)命令行的缩写形式 (2)自动列出命令关键字 (2)自动补齐命令关键字 (3)命令行的编辑 (3)查看历史命令 (3)快捷键 (3)过滤CLI输出信息 (4)分页显示CLI输出信息 (4)设置终端属性 (5)设置连接超时时间 (5)重定向输出 (5)StoneOS系统管理命令 (6)access (6)admin (6)admin host (7)admin user (8)allow-pwd-change (8){app | ips signature} stat-report (9)arp (10)bandwidth (11)bandwidth-threshold (12)delay-threshold (12)external-bypass enable (13)clock time (14)clock summer-time (15)clock zone (16)configure (16)console timeout (17)cpu (17)debug (19)delete configuration (20)desc (20)dns (21)dst-addr-based-session-counter (22)exec admin user password update (23)exec console baudrate (23)exec format (24)exec detach (24)exec customize (25)exec license apply (25)exec license install (26)exec license uninstall (27)exec webauth kickout (27)exit (28)expire (28)export configuration (29)group (30)hostname (30)http (31)http port (32)https port (33)https trust-domain (33)ike-id (34)import configuration (34)import customize (35)import image (36)interface (37)ip (37)language (39)match (39)monitor (41)nbt-cache enable (41)nbtstat ip2name (42)network-manager enable (42)network-manager host (43)ntp authentication (44)ntp authentication-key (44)ntp enable (45)ntp max-adjustment (45)ntp query-interval (46)ntp server (47)password (47)password（user） (48)password-policy (48)ping (49)privilege (50)reboot (51)role (51)role-expression (52)role-mapping-rule (52)rollback configuration backup (53)save (54)smtp (54)snmp-server contact (55)snmp-server engineID (55)snmp-server group (56)snmp-server host (57)snmp-server location (58)snmp-server manager (58)snmp-server port (59)snmp-server trap-host (59)snmp-server user (60)ssh port (61)ssh timeout (61)tcp (62)telnet authorization-try-count (63)telnet connection-interval (64)telnet timeout (65)threshold (66)traceroute (66)track (67)user (68)user-binding (69)user-group (69)webauth force-timeout (70)webauth http (71)webauth http-port (71)webauth https (72)webauth https-port (72)webauth reauth (73)webauth redirect (73)webauth sso-ntlm (74)webauth sso-ntlm-timeout (75)webauth timeout (75)web timeout (76)系统结构命令 (77)deny-session deny-type (77)deny-session percentage (77)deny-session timeout (78)fragment chain (79)fragment timeout (79)tcp-mss (80)tcp-rst-bit-check (80)tcp-seq-check-disable (81)tcp-syn-check (82)tcp-syn-bit-check (82)安全网关应用模式命令 (84)exec vrouter enable/disable (84)ip vrouter (84)forward-tagged-packet (85)l2-nonip-action (86)virtual-wire enable (86)virtual-wire set (87)vswitch (88)安全网关网络部署模式命令 (89)tap control-interface (89)tap lan-address (89)zone （绑定接口到Tap域） (90)zone （创建Tap域） (90)域（Zone）命令 (92)bind (92)vrouter (92)zone (93)接口（Interface）命令 (94)aggregate aggregate number (94)arp timeout (94)authenticated-arp (95)bgroup bgroup number (96)clear mac (96)combo (97)duplex (97)ftp (98)ftp port (99)holddown (99)holdup (100)interface aggregate number (101)interface aggregate number.tag (101)interface bgroup number (102)interface ethernet m/n (102)interface ethernetX/Y-pppoeZ (103)interface ethernet m/n.tag (104)interface loopback number (104)interface redundant number (105)interface redundant number.tag (105)interface tunnel number (106)interface vlan id (106)interface supervlan X (107)ip address (108)ip mtu (109)lacp (109)lacp max-bundle (110)lacp min-bundle (111)lacp system-priority (112)lacp period-short (112)load-balance mode (113)mac-clone (114)manage (114)mirror to (115)mirror filter (116)primary (117)proxy-arp (117)redundant redundant number (118)reverse-route (119)shutdown (119)speed (120)tunnel (121)webauth auth-arp-prompt (122)zone (122)地址（Address）命令 (124)address (124)host (124)ip (125)member (126)range (126)rename (127)服务（Service）命令 (128)app cache (128)app cache disable (129)app cache static disable (129)application-identify (130)clear app cache table (130)description (131)icmp (131)icmp type (132)longlife-sess-percent (133)protocol (134)servgroup (134)service (135)service service-name (136)tcp | udp application (137)策略（Policy）命令 (139)absolute (139)action (139)clear policy hit-count (140)clear policy hit-count default-action (141)default-action (141)description (142)disable (142)dst-addr (143)dst-host (143)dst-ip (144)dst-range (145)dst-zone (145)enable (146)log (147)import customize webredirect (147)move (148)name (149)periodic (149)periodic (150)policy-global (151)policy-qos-tag tag (151)role (152)user (152)user-group (153)rule (154)rule id (155)schedule (156)schedule (156)service (157)src-addr (157)src-host (158)src-ip (159)src-range (159)src-zone (160)web-redirect (161)安全控制命令 (163)arp (163)arp-disable-dynamic-entry (164)arp-inspection (164)arp-inspection rate-limit (165)arp-inspection trust (165)arp-inspection vlan (166)arp-l2mode (167)arp-learning (167)behavior-profile (168)clear arp (168)clear arp-spoofing-statistics (169)clear dhcp-snooping binding (170)dhcp-snooping（BGroup或者VSwitch接口） (170)dhcp-snooping（物理接口） (171)dhcp-snooping rate-limit (172)dhcp-snooping vlan (172)exec mac-address dynamic-to-static (173)exec urlfilter apply (173)export urlfilter-database (174)gratuitous-arp-send ip (175)host-blacklist (175)host-blacklist ip (176)host-blacklist mac (177)im (178)import urlfilter-database (178)mac-address-static (179)mac-learning (180)urlfilter (180)urlfilter domain-only (181)urlfilter rule type blacklist (181)urlfilter rule type keyword (182)urlfilter rule type whitelist (183)urlfilter unlimit-ip (183)urlfilter unlimit-ip (184)urlfilter whitelist-only (184)url-profile (185)认证与授权命令 (186)aaa-server (186)accounting (186)accounting enable (187)accounting port (188)accounting secret (188)admin auth-server (189)admin auth-server radius-server-name (190)agent (190)auth-method (191)auto-sync (191)backup-aaa-server (192)backup1 (193)backup2 (194)base-dn (194)debug aaa (195)group-class (195)host (196)login-dn (197)login-password (197)member-attribute (198)naming-attribute (198)port （Active-Directory / LDAP） (199)port （RADIUS） (199)retries (200)role-mapping-rule (201)secret (201)timeout (202)user-black-list (202)802.1X 认证协议命令 (204)aaa-server (204)dot1x allow-multi-logon (204)dot1x allow-multi-logon number (205)dot1x auto-kickout (205)dot1x control-mode (206)dot1x enable (207)dot1x max-user (207)dot1x port-control (208)dot1x profile (209)dot1x timeout (210)exec dot1x kickout (210)quiet-period (211)reauth-period (212)retransmission-count (212)server-timeout (213)tx-period (213)网络地址转换（NAT）命令 (215)dnatrule (215)dnatrule move (216)expanded-port-pool (217)nat (217)nat-enable (218)no dnatrule id (219)no snatrule id (219)snatrule （NAT） (220)snatrule（NAT444） (222)snatrule move (223)应用层识别与控制命令 (225)alg (225)alg h323 session-time (225)IPSec协议命令 (227)accept-all-proxy-id (227)anti-replay (227)authentication (228)auto-connect (229)compression deflate （manual） (229)compression deflate （P2） (230)connection-type (230)df-bit (231)dpd (232)encryption （P1） (232)encryption （manual） (233)encryption （P2） (234)encryption-key (235)group （P2） (236)hash （P1） (236)hash （manual） (237)hash （P2） (238)hash-key (239)id (239)interface (240)ipsec proposal (241)ipsec-proposal (241)isakmp peer (242)isakmp-peer (242)isakmp proposal (243)isakmp-proposal (244)lifesize (244)lifetime （P1） (245)lifetime（P2） (245)local-id (246)mode （协商模式） (247)mode （操作模式） (247)nat-traversal (248)peer (248)peer-id (249)pre-share (250)protocol (250)spi (251)track-event-notify (252)trust-domain (252)tunnel ipsec name auto (253)tunnel ipsec name manual (253)type (254)vpn-track (255)Secure Connect VPN命令 (256)aaa-server (256)anti-replay (256)address (257)allow-multi-logon (258)allow-multi-logon number (258)client-auth-trust-domain (259)client-cert-authentication (260)df-bit (261)dns (261)exclude address (262)exec scvpn approve-binding (263)exec scvpn clear-binding (263)exec scvpn increase-host-binding (264)exec scvpn kickout (265)exec scvpn no-host-binding-check (265)exec scvpn no-user-binding-check (266)exec sms send test-message to (266)export aaa user-password (267)export scvpn user-host-binding (268)host-check (268)https-port (269)idle-time (270)import pki cacert (271)import aaa user-password (271)import scvpn user-host-binding (272)interface (273)ip-binding role (273)ip-binding user (274)link-select (275)move (275)phone (276)pool (277)redirect-url (277)scvpn host-check-profile (278)scvpn pool (279)scvpn-udp-port (280)sms-auth enable (280)sms-auth expiration (281)sms modem (281)split-tunnel-route (282)ssl-protocol (283)trust-domain (283)tunnel scvpn (285)tunnel scvpn (285)user-host-verify (286)wins (287)拨号VPN命令 (288)exec generate-user-key rootkey (288)generate-route (288)ike_id (289)user (290)PnPVPN命令 (291)dhcp-pool-address (291)dhcp-pool-gateway (291)dhcp-pool-netmask (292)dns (293)peer_id fqdn (293)split-tunnel-route (294)tunnel-ip-address (295)user (295)wins (296)GRE命令 (297)destination (297)interface (297)next-tunnel ipsec (298)source (298)tunnel gre (299)L2TP命令 (301)aaa-server (301)accept-client-ip (301)address (302)allow-multi-logon (303)avp-hidden (303)clear l2tp (304)dns (304)exclude address (305)exec l2tp kickout (306)interface (306)ip-binding user (307)ppp-lcp-echo interval (308)keepalive (309)move (309)next-tunnel ipsec (310)pool (311)ppp-auth (311)l2tp pool (312)local-name (312)secret (313)transmit-retry (314)tunnel-authentication (314)tunnel l2tp (315)tunnel l2tp (316)tunnel-receive-window (316)wins (317)攻击防护命令 (318)ad all (318)ad arp-spoofing (318)ad dns-query-flood (319)ad huge-icmp-pak (321)ad icmp-flood (321)ad ip-directed-broadcast (322)ad ip-fragment (323)ad ip-option (324)ad ip-spoofing (324)ad ip-sweep (325)ad land-attack (326)ad ping-of-death (326)ad port-scan (327)ad session-limit (328)ad syn-flood (329)ad syn-proxy (331)ad tcp-anomaly (332)ad tear-drop (332)ad tear-drop (333)ad udp-flood (334)ad winnuke (335)clear ad zone (336)clear session-limit (337)交换命令 (338)bridge priority (338)enable (338)forward-delay (339)hello (339)interface vlan id (340)maximum-age (340)stp (341)stp cost (342)stp enable (342)stp priority (343)sub-vlan (343)supervlan (344)switchmode (344)vlan (345)路由命令 (347)access-list route (347)access-list name description (347)aggregate-address (348)area authentication (349)area default-cost (349)area range (350)area stub (351)area virtual-link (351)area virtual-link authentication (352)auto-cost reference-bandwidth (353)bind pbr-policy (354)clear ip bgp (354)continue (355)default-information originate (356)default-information originate (356)default-metric (357)default-metric（BGP） (357)description (358)distance（BGP） (359)distance (360)distance (360)distance ospf (361)domain (362)dst-addr (362)dst-host (363)dst-ip (364)dst-range (364)ecmp enable (365)ecmp-route-select (365)eif (366)enable (367)exec isp-network clear-predefine (367)iif (368)import vrouter (368)ip (369)ip igmp-proxy enable (370)ip igmp-proxy {router-mode | host-mode} (371)ip igmp-snooping enable (371)ip igmp-snooping {router-mode | host-mode | auto | disable} (372)ip multicast-routing (373)ip mroute (373)ip ospf authentication (374)ip ospf authentication-key (375)ip ospf cost (375)ip ospf dead-interval (376)ip ospf hello-interval (377)ip ospf message-digest-key (377)ip ospf priority (378)ip ospf retransmit-interval (378)ip ospf transmit-delay (379)ip rip authentication mode (380)ip rip authentication string (380)ip rip receive version (381)ip rip send version (381)ip rip split-horizon (382)ip route isp-name (384)ip route source (384)ip route source in-interface (385)ip vrouter (386)isp-network (387)llb inbound smartdns (388)llb-outbd-prox-detect (388)llb-outbd-prox-route (389)llb outbound proximity-route (390)match（OSPF） (390)match（PBR） (391)match id (392)max-route (393)move (394)neighbor（BGP） (394)neighbor A.B.C.D peer-group (395)neighbor {A.B.C.D | peer-group} activate (395)neighbor {A.B.C.D | peer-group} default-originate (396)neighbor {A.B.C.D | peer-group} description (396)neighbor {A.B.C.D | peer-group} next-hop-self (397)neighbor {A.B.C.D | peer-group} password (398)neighbor {A.B.C.D | peer-group} remote-as (398)neighbor {A.B.C.D | peer-group} shutdown (399)neighbor {A.B.C.D | peer-group} timers (399)neighbor（RIP） (400)nexthop (401)network（BGP） (401)network（RIP） (402)network area (403)passive-interface (403)pbr-policy (404)redistribute（BGP） (404)redistribute（RIP） (405)redistribute（OSPF） (406)route-map (406)route enable/disable (407)role (408)router bgp (409)router ospf (409)router rip (410)router-id （BGP） (411)router-id （OSPF） (411)service (412)set (412)src-addr (413)src-host (414)src-ip (414)src-range (415)subnet (416)timers (416)timers basic (417)timers spf (418)unknown-multicast drop (418)user (419)user-group (419)version (420)网络参数命令 (422)ac (422)address (422)authentication (423)auto-config interface (423)auto-connect (424)clear host (425)ddns enable (425)ddns name (426)dhcp-client ip (426)dhcp-client route (427)dhcp-relay enable (428)dhcp-relay server (428)dhcp-server enable (429)dhcp-server pool (429)dns (430)dns-proxy (430)domain (431)gateway (432)exclude address (432)idle-interval (433)ip address dhcp (433)ip dns-proxy black-list enable (434)ip dns-proxy white-list enable (434)ip dns-proxy black-list domain (435)ip dns-proxy white-list domain (435)ip address pppoe (436)ip domain lookup (437)ip domain name (437)ip domain retry (438)ip domain timeout (438)ip host (439)ip name-server (439)ip dns-proxy domain (440)ipmac-bind (441)lease (441)maxupdate interval (442)minupdate interval (443)netmask（DHCP） (443)netmask（PPPoE） (444)news (444)pop3 (445)pppoe enable group (445)pppoe-client group (446)pppoe-client group (446)relay-agent (447)route (448)server (448)schedule (449)service (450)smtp (450)static-ip (451)type (451)user（DDNS） (452)user（PPPoE） (452)wins (453)虚拟系统命令 (454)enter-vsys (454)export-to (454)profile (455)session (456)vsys（创建） (457)vsys（接口） (458)vsys-profile (458)vsys-shared (459)QoS管理命令 (460)bandwidth (460)class (460)class-map (461)exception-list (462)disable (462)flex-qos (463)flex-qos low-water-mark (463)flex-qos max-bandwidth (464)flex-qos-up-rate (465)ip-qos (465)match address (466)match application (467)match cos (467)match dscp (468)match ip-range (468)match policy-qos-tag (469)match precedence (470)match-priority (470)match role (471)police (472)priority (473)qos-profile (473)qos-profile (474)qos-profile（嵌套QoS Profile） (475)random-detect (476)role-qos (476)set cos (477)set dscp (478)set precedence (479)shape (479)shaping-for-egress (480)PKI配置命令 (482)crl (482)crl configure (482)enrollment (483)export pki （PKI信任域信息） (483)export pki （本地证书） (484)import pki （PKI信任域信息） (485)import pki （本地证书） (486)keypair (487)pki authenticate (487)pki crl request (488)pki enroll (488)pki export (489)pki import (490)pki import pkcs12 (490)pki key generate (491)pki key zeroize (491)pki key zeroize noconfirm (492)pki trust-domain (492)subject commonname (493)subject country (493)subject localityname (494)subject organization (495)subject organizationunit (495)subject stateorprovincename (496)url (496)高可靠性命令 (498)arp (498)description (498)exec ha sync (499)ha cluster (499)ha group (500)ha link interface (501)ha link ip (501)ha non-group (502)ha sync rdo session (503)ha traffic delay (503)ha traffic enable (504)hello interval (504)hello threshold (505)interface (506)manage ip (506)monitor track (507)preempt (507)priority (508)send gratuitous-arp (509)病毒过滤命令 (510)anti-malicious-sites (510)av enable (510)av max-decompression-recursion (511)av-profile (512)av signature update mode (512)av signature update schedule (513)av signature update server (513)exec av (514)exec av signature update (515)file-type (515)import av signature (516)label-mail (517)mail-sig (518)protocol-type (518)IPS命令 (520)attack-level (520)banner-protect enable (521)brute-force auth (521)brute-force lookup (522)command-injection-check (523)deny-method (523)exec block-ip remove (524)exec block-service remove (524)exec ips (525)external-link-check (527)ips enable (527)ips log disable (528)ips mode (529)ips profile (529)ips signature (530)ips sigset (530)max-arg-length (531)max-bind-length (532)max-black-list (533)max-cmd-line-length (533)max-content-type-length (534)max-content-filename-length (535)max-content-type-length (536)max-failure (536)max-input-length (537)max-path-length (538)max-reply-line-length (539)max-request-length (539)max-rsp-line-length (540)max-scan-bytes (541)max-text-line-length (541)max-uri-length (542)max-white-list (543)protocol-check (543)signature id (544)signature id number disable (545)sigset (546)sql-injection-check (546)virtual-host (547)web-acl (548)web-acl-check (548)xss-check enable (549)网络行为控制命令 (551)behavior (551)behavior-profile (551)bin-type (552)category (553)clear logging nbc (554)clear sslproxy notification (554)contentfilter（进入内容过滤配置模式） (555)contentfilter（绑定内容过滤Profile到策略规则） (555)contentfilter-profile (556)exec contentfilter apply (557)exec url-db update (557)exclude-html-tag (558)export log nbc (558)export pki (559)ftp (560)http (561)im (561)import pki (562)import sslproxy (563)import url-db (564)im-profile (564)keyword (565)keyword-category（URL过滤） (566)keyword-category（网页关键字） (567)keyword-category（Web外发信息） (567)keyword-category（邮件过滤） (568)logging (569)logging nbc to (569)mail (571)mail any (572)mail attach (572)mail control (573)mail enable (574)mail max-attach-size (575)mail others (576)mail-profile (576)mail {sender | recipient} (577)mail whitelist (578)msn | ymsg | qq (579)nbc-user-notification (579)remove database (580)ssl-decode (581)ssl-notification-disable (582)sslproxy (582)sslproxy exempt-match-subject (583)sslproxy-profile (583)sslproxy require-match-subject (584)sslproxy {require-mode | exempt-mode} (585)sslproxy trust-domain (585)sslproxy trustca-delete (586)url（添加URL条目） (586)url（绑定URL过滤Profile到策略规则） (587)url-category（新建URL类别） (588)url-category（URL过滤） (588)url-category（网页关键字） (589)url-category（Web外发信息） (589)url-db update mode (590)url-db update schedule (591)url-db update server (591)url-db-query (592)url-db-query server (593)url-profile (593)webpost (594)webpost all (595)webpost-profile (595)web-surfing-record (596)统计命令 (597)active (597)export statistics-set (597)filter (598)group-by (600)statistics address (601)statistics servgroup (602)statistics-set (602)target-data (603)日志命令 (605)export log event (605)logging (606)logging app-identification (607)logging alarm to (607)logging configuration to (608)logging content [hostname | username] (609)logging debug to (610)logging email to (610)logging event to (611)logging network to (612)logging facility (613)logging security to (613)logging sms (614)logging syslog (615)logging traffic to (616)logging traffic to syslog (616)GTP防护命令 (618)apn (618)gtp-profile（创建GTP Profile） (618)gtp-profile（绑定GTP Profile到策略规则） (619)imsi (620)imei (621)internal-inspect (621)message-type (622)message gtp-in-gtp-deny (623)message length (623)message log (624)message rate (624)message sanity-check (625)msisdn-filter (626)rat (626)rai (627)uli (628)IPv6命令 (630)ad huge-icmp-pak (630)ad ip-fragment (630)ad ip-spoofing (631)ad ipv6 nd-spoofing (633)ad icmp-flood (633)ad land-attack (634)ad ping-of-death (635)ad port-scan (636)ad syn-flood (636)ad syn-proxy (638)ad tcp-anomaly (639)ad tear-drop (639)ad udp-flood (640)address (641)clear ipv6 host (642)clear ipv6 neighbor (642)clear ipv6 nd-spoofing-statistics (643)clear ipv6 pmtu (643)destination (644)dnatrule (644)dnatrule (NAT64) (646)dnatrule move (647)dst-ip (648)dst-range (648)exec ipv6 nd-dynamic-to-static (649)export configuration (650)export image (650)export license (651)export log (652)export pki (652)export scvpn user-host-binding (653)export urlfilter-database (654)icmpv6 type (654)import application-signature (655)import configuration (656)import image (656)import ispfile (657)import license (658)import pki (658)import scvpn user-host-binding (659)import urlfilter-database (660)interface (660)ip (661)ip vrouter (662)ipv6 address (662)ipv6 address autoconfig (663)ipv6 dns-proxy domain (664)ipv6 dns64-proxy id (665)ipv6 enable (665)ipv6 general-prefix (666)ipv6 host (667)ipv6 mtu (667)ipv6 name-server (668)ipv6 neighbor (669)ipv6 nd adv-linkmtu (669)ipv6 nd hoplimit (670)ipv6 nd dad attempts (670)ipv6 nd-disable-dynamic-entry (671)ipv6 nd hoplimit (672)ipv6 nd-inspection (672)ipv6 nd-inspection deny-ra (673)ipv6 nd-inspection rate-limit (673)ipv6 nd-inspection trust (674)ipv6 nd-learning (675)ipv6 nd {managed-config-flag | other-config-flag} (675)ipv6 nd prefix (676)ipv6 nd ns-interval (677)ipv6 nd ra interval (678)ipv6 nd ra lifetime (678)ipv6 nd ra suppress (679)ipv6 nd reachable-time (680)ipv6 pmtu ageout-time (680)ipv6 pmtu enable (681)ipv6 route (682)ipv6 route source (682)ipv6 route source in-interface (683)ipv6 nd router-preference (684)no dnatrule id (685)no snatrule id (685)ping ipv6 (686)policy (687)range (687)rule (688)rule id (689)service (689)show dnat (690)show dnat server (691)show ipv6 dns (691)show ipv6 host (692)show ipv6 interface (693)show ipv6 neighbor (694)show ipv6 nd-spoofing-statistics (694)show ipv6 pmtu (695)show snat (695)show snat resource (696)snatrule (697)snatrule move (698)snmp-server ipv6-host (699)snmp-server ipv6-trap-host (700)snmp-server user (701)src-ip (702)src-range (702)Show命令 (704)show aaa-server (704)show access-list route (705)show ad zone (705)show address (707)show admin host (708)show admin user (708)show alg (709)show app cache status (710)show app logging (710)show arp (711)show arp-spoofing-statistics (711)show auth-user (712)show auth-user dot1x (712)show auth-user interface (714)show auth-user l2tp (714)show auth-user static (715)show auth-user scvpn (715)show auth-user webauth (716)show auth-user vrouter (717)show av-profile (717)show av signature info (718)show av zone-binding (718)show behavior-object (719)show behavior-profile (719)show block-ip (720)show block-notification (720)show block-service (721)show class-map (722)show clock (722)show configuration (723)show configuration running (723)show configuration backup (724)show configuration record (724)show console (725)show contentfilter-profile (726)show contentfilter category (727)show contentfilter count (727)show contentfilter keyword (728)show cpu (728)show database (729)show debug (729)show dhcp-server (730)show dhcp-snooping binding (730)show dhcp-snooping configuration (731)show dnat (731)show dnat server (732)show dns (733)show dns-address (733)show dot1x (734)show dp-filter ip (734)show external-bypass (735)show fib (736)show file (737)show flow deny-session (737)show fragment (738)show ftp (738)show gtp-profile (739)show ha cluster (740)show ha flow statistics (741)show ha group (741)show ha link status (742)show ha protocol statiscitc (742)show ha sync state (743)show ha sync statistic (744)show ha traffic (745)show host-blacklist (745)show http (746)show im-object (746)show im-profile (747)show image (747)show interface (748)show interface bind-tunnels (748)show interface supervlanX (749)show inventory (750)show ip bgp (750)show ip bgp neighbor (751)show ip bgp paths (751)show ip bgp summary (752)show ip hosts (752)show ip igmp-proxy (753)show ip igmp-snooping (753)show ip mroute (754)show ip ospf (755)show ip ospf database (755)show ip ospf database (756)show ip ospf interface (756)show ip ospf neighbor (757)。

Hillstone山石网科上网行为管理白皮书第一篇：Hillstone山石网科上网行为管理白皮书Hillstone山石网科上网行为管理白皮书概述互联网的兴起与普及为人们的工作和生活提供了极大的便利，与此同时，经由内部访问互联网导致的带宽滥用、效率下降、信息泄漏、法律风险、安全隐患等问题日益凸显。

例如，在企业内部，部分员工利用工作时间在线炒股、玩在线游戏、欣赏音乐和视频、通过P2P工具下载、使用即时通讯工具无节制地网络聊天、通过网络外泄公司机密；在网吧等一些公共上网场所，人们可以随意浏览不健康网站、发表不负责任的言论、甚至参与非法网络活动……针对互联网所带来的上述问题，StoneOS提供许可证控制的上网行为管理功能。

该功能通过对用户的网络访问行为进行控制和管理，有效解决因接入互联网而可能引发的各种问题，优化对互联网资源的应用。

产品功能StoneOS上网行为管理功能对网络游戏、在线聊天、在线炒股、P2P下载、网页访问、邮件外发及论坛发帖等各种网络行为进行全面控制管理，并可以根据需要针对不同用户、不同网络行为、不同时间进行灵活的管理策略设置和日志记录，同时能够配合Hillstone山石网科集中网络安全管理系统（HSM）对网络行为日志进行查询统计与审计分析，从而为网络管理者的决策和管理提供重要的数据依据。

上网行为管理策略StoneOS上网行为管理功能主要通过策略机制实现，网络管理者可以针对不同用户制定适合的上网行为管理策略规则，系统则会根据策略规则对网络应用流量进行行为控制和管理。

上网行为管理策略规则共分为三类：网络应用控制策略规则、网页内容控制策略规则和外发信息控制策略规则，每类中又包含若干子控制策略规则。

策略规则名称、优先级、用户、时间表、网络行为以及控制动作构成上网行为管理策略规则的基本元素。

通过WebUI配置上网行为管理策略规则，需要进行下列基本元素的配置：♦策略规则名称–上网行为管理策略规则的名称。

山石网科虚拟云安全解决方案技术白皮书——山石云·格面向虚拟化数据中心的软件定义安全数据中心已经从物理架构演进到大规模虚拟和云的架构。

服务器和存储被虚拟化成为很多数据中心的标准，新兴的网络功能虚拟化（NFV）和软件定义网络（SDN）技术有望通过虚拟化的网络和安全功能完成物理到虚拟的演进。

虚拟数据中心在效率、业务敏捷性，以及快速的产品上市时间上有明显的优势。

然而，应用、服务和边界都是动态的，而不是固定和预定义的，因此实现高效的安全十分具有挑战性。

传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提供高效的安全层，这是有很多原因的。

从南北到东西在传统数据中心里，防火墙、入侵防御，以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量，一般叫做南北向流量或客户端服务器流量。

在今天的虚拟化数据中心里，像南北向流量一样，交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。

多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略，这些租户的虚拟机往往是装在同一台物理服务器里的。

不幸的是，传统安全解决方案是专为物理环境设计的，不能将自己有效地插入东西向流量的环境中，所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御，以及防病毒等服务链中去。

这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的，因为它会增加网络的延迟和制造性能瓶颈，从而导致应用响应时间的缓慢和网络掉线。

负载移动性和可扩展性静态安全解决方案在物理静态负载环境中是有效的。

在虚拟化数据中心里，负载移动性和迁移是常态，那就意味着安全解决方案不仅也要具有移动性，还要能够感知负载的移动。

而且它还得保持状态并对安全策略做出实时响应。

要做到这一点，最好的办法就是通过与云管理平台（例如vCenter和OpenStack）紧密集成。

在虚拟化环境里，负载增大、减小和移动，以满足业务和应用的需求，安全解决方案的可扩展性和弹性显得尤为重要。