山石网科防火墙安全架构

新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色、深度应用的多核Plus G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。

处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点安全可视化●网络可视化通过StoneOS内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

●接入可视化StoneOS基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。

●应用可视化StoneOS内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSec VPN。

SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。

一、设备工作原理防火墙作为一种网络安全产品，通过控制进出网络的流量，保护网络的安全。

防火墙的基本原理是通过分析数据包，根据已有的策略规则，允许或阻断数据流量。

除此之外，防火墙也具有连通网络的功能，实现安全可信区域（内部网络）和不信任区域（外部网络）之间的桥接。

StoneOS系统架构组成StoneOS系统架构的基本元素包括：•安全域：域是一个逻辑实体，将网络划分为不同部分，应用了安全策略的域称为“安全域”。

例如，trust安全域通常为内网等可信任网络，untrust 安全域通常为互联网等存在安全威胁的不可信任网络。

•接口：接口是流量进出安全域的通道，接口必须绑定到某个安全域才能工作。

默认情况下，接口都不能互相访问，只有通过策略规则，才能允许流量在接口之间传输。

•虚拟交换机（VSwitch）：具有交换机功能。

VSwitch工作在二层，将二层安全域绑定到VSwitch上后，绑定到安全域的接口也被绑定到该VSwitch上。

一个VSwitch就是一个二层转发域，每个VSwitch都有自己独立的MAC地址表，因此设备的二层转发在VSwitch中实现。

并且，流量可以通过VSwitch接口，实现二层与三层之间的转发。

•虚拟路由器（VRouter）：简称为VR。

VRouter具有路由器功能，不同VR 拥有各自独立的路由表。

系统中有一个默认VR，名为trust-vr，默认情况下，所有三层安全域都将会自动绑定到trust-vr上。

系统支持多VR功能且不同硬件平台支持的最大VR数不同。

多VR将设备划分成多个虚拟路由器，每个虚拟路由器使用和维护各自完全独立的路由表，此时一台设备可以充当多台路由器使用。

多VR使设备能够实现不同路由域的地址隔离与不同VR间的地址重叠，同时能够在一定程度上避免路由泄露，增加网络的路由安全。

•策略：策略是设备的基本功能，控制安全域间/不同地址段间的流量转发。

默认情况下，设备会拒绝设备上所有安全域/接口/地址段之间的信息传输。

Hillstone山石网科下一代防火墙基础配置手册V5.5版本Hillstone Networks Inc.服务热线：400 828 6655内容提交人审核人更新内容日期陈天骄陈天骄初次编写2016/1/14目录1 设备管理 (3)1.1 终端console登录 (3)1.2 网页WebUI登录 (3)1.3 恢复出厂设置 (5)1.3.1 CLI命令行操作 (5)1.3.2 WebUI图形化界面操作 (5)1.3.3 硬件CLR操作 (6)1.4 设备系统（StoneOS）升级 (6)1.4.1 通过sysloader升级 (6)1.4.2 通过CLI升级 (9)1.4.3 通过WebUI升级 (9)1.5 许可证安装 (10)1.5.1 CLI命令行安装 (10)1.5.2 WebUI安装 (11)2 基础上网配置 (11)2.1 接口配置 (11)2.2 路由配置 (13)2.3 策略配置 (14)2.4 源地址转换配置（SNAT） (15)3 常用功能配置 (16)3.1 PPPoE拨号配置 (16)3.2 动态地址分配（DHCP）配置 (17)3.3 IP-MAC地址绑定配置 (20)3.4 端到端IPSec VPN配置 (21)3.4.1 配置第一阶段P1提议 (22)3.4.2 配置ISAKMP网关 (23)3.4.3 配置第二阶段P2提议 (24)3.4.4 配置隧道 (25)3.4.5 配置隧道接口 (26)3.4.6 配置隧道路由和策略 (28)3.4.7 查看VPN状态 (29)3.5 远程接入SCVPN配置 (30)3.6 目的地址转换DNAT配置 (38)3.6.1 IP映射 (39)3.6.2 端口映射 (41)1设备管理安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、Telnet、SSH等主流通信管理协议。

Hi StoneOS安全模式山石网科通信技术(北京)有限公司Hillstone防火墙技术StoneOS安全模式1. 介绍传统防火墙通常可以在两种模式下进行操作：NAT/路由模式和透明模式。

NAT/路由模式部署灵活，并且支持防火墙和路由器两种设备的功能。

尽管如此，许多希望通过最少的网络中断而实现安全保护的客户却会选择透明模式。

随着二层与三层转换的扩展，安全集成到网络中变成一个更加困难的选择。

那么，在哪里部署能够控制所有二层和三层的所有类型流量的安全功能呢？Hillstone的StoneOS提供了一个强大的安全平台，它为安全管理者提供了“集成安全控制和网络管理的底层网络结构”。

StoneOS通过将网络功能从安全功能中分离出来，扩展了NAT/路由模式。

这样，用户就可以在一个完全灵活的环境下使用NAT功能。

StoneOS通过引入专有的Virtual Switch（虚拟交换机）的概念极大地扩展了透明模式。

在二层，用户可以定义VLAN域，并且可以将不同的安全策略应用到每一个VLAN。

StoneOS还拥有重新标记VLAN tag功能，这种功能只有高端的交换机才能实现。

StoneOS混合模式将NAT/路由模式与透明模式结合到同一个设备上。

根据配置的安全策略，部分数据在二层进行处理，而其它数据进行三层处理。

这个强大的功能将路由器和交换机的功能进行完美结合，并且能够降低网络部署的复杂性。

2. NAT/路由模式路由在NAT/路由模式下，设备被划分为多个三层域。

流量会在三层域之间进行转发，并且被转发的流量会被进行安全检查。

对于路由模式，IP地址不会被转换。

对于NAT模式，IP数据包在不同域间转发的过程中，其IP地址和端口号可以被转换。

Hillstone设备将安全管理从网络管理中分离出来。

Hillstone NAT策略是网络管理的一部分，用户可以基于特定接口或者五元组（IP地址、端口号和服务）进行灵活配置，或者将两者相结合。

Hi StoneOS安全模式山石网科通信技术(北京)有限公司Hillstone防火墙技术StoneOS安全模式1. 介绍传统防火墙通常可以在两种模式下进行操作：NAT/路由模式和透明模式。

NAT/路由模式部署灵活，并且支持防火墙和路由器两种设备的功能。

尽管如此，许多希望通过最少的网络中断而实现安全保护的客户却会选择透明模式。

随着二层与三层转换的扩展，安全集成到网络中变成一个更加困难的选择。

那么，在哪里部署能够控制所有二层和三层的所有类型流量的安全功能呢？Hillstone的StoneOS提供了一个强大的安全平台，它为安全管理者提供了“集成安全控制和网络管理的底层网络结构”。

StoneOS通过将网络功能从安全功能中分离出来，扩展了NAT/路由模式。

这样，用户就可以在一个完全灵活的环境下使用NAT功能。

StoneOS通过引入专有的Virtual Switch（虚拟交换机）的概念极大地扩展了透明模式。

在二层，用户可以定义VLAN域，并且可以将不同的安全策略应用到每一个VLAN。

StoneOS还拥有重新标记VLAN tag功能，这种功能只有高端的交换机才能实现。

StoneOS混合模式将NAT/路由模式与透明模式结合到同一个设备上。

根据配置的安全策略，部分数据在二层进行处理，而其它数据进行三层处理。

这个强大的功能将路由器和交换机的功能进行完美结合，并且能够降低网络部署的复杂性。

2. NAT/路由模式路由在NAT/路由模式下，设备被划分为多个三层域。

流量会在三层域之间进行转发，并且被转发的流量会被进行安全检查。

对于路由模式，IP地址不会被转换。

对于NAT模式，IP数据包在不同域间转发的过程中，其IP地址和端口号可以被转换。

Hillstone设备将安全管理从网络管理中分离出来。

Hillstone NAT策略是网络管理的一部分，用户可以基于特定接口或者五元组（IP地址、端口号和服务）进行灵活配置，或者将两者相结合。

山石网科防火墙配置手册
群山石网科防火墙配置手册群山石网科防火墙是一款专为企业网络安全而设计的防火墙产品，具有高性能、高安全性和可靠性等特点。

其采用七层防火墙、IPS、防拒绝服务攻击、
防恶意网络入侵、拦截病毒木马等多重安全技术，可以满足企业网络的安全需求。

群山石网科防火墙的配置主要包括以下几步：
1. 安装群山石网科防火墙：安装前需要确保防火墙与企业网络的网络拓扑架构完全一致，以保证防火墙的正常运行。

2. 配置网络访问控制规则：根据企业网络环境，定义不同类型的网络访问控制规则，以便根据不同的需求实施网络访问控制。

3. 配置安全服务：配置安全服务，如IPS、防拒绝服务攻击、防恶意网络入侵、拦截病毒木马等，以确保企业网络的安全性。

4. 设置安全日志：定期记录防火墙的运行状态，以便及时发现可能的安全漏洞，并及时采取有效的安全措施。

5. 配置安全策略：根据企业网络的实际情况，设置合理的安全策略，以便有效地防范网络安全攻击，保护企业网络安全。

通过以上步骤，可以完成群山石网科防火墙的配置，为企业网络提供安全的保障。

群山石网科防火墙的配置，不仅可以保护企业网络免受外部恶意攻击，而且可以让企业的网络运行更加安全可靠。

⼭⽯⽹科防⽕墙sgm-m精选-m精选选型说明书新⼀代多核安全⽹关SG-6000-M2105/M3100/M3108SG-6000是Hillstone⼭⽯⽹科公司全新推出的新⼀代多核安全⽹关系列产品。

其基于⾓⾊、深度应⽤的多核Plus?G2安全架构突破了传统防⽕墙只能基于IP和端⼝的防范限制。

处理器模块化设计可以提升整体处理能⼒，突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能⼒⾼达600Mbps-2Gbps，⼴泛适⽤于企业分⽀、中⼩企业等机构，可部署在⽹络的主要结点及Internet出⼝，为⽹络提供基于⾓⾊、深度应⽤安全的访问控制以及IPSec/SSLVPN、应⽤带宽管理、病毒过滤、⼊侵防护、⽹页访问控制、上⽹⾏为管理等安全服务。

产品亮点安全可视化●⽹络可视化通过StoneOS?内置的⽹络流量分析模块，⽤户可以图形化了解设备使⽤的状况、带宽的使⽤情况以及流量的趋势，随时、随地监控⾃⼰的⽹络，从⽽对流量进⾏优化和精细化的管理。

●接⼊可视化StoneOS?基于⾓⾊的管理(RBNS)模块，让⽹络接⼊更加精细和直观化，实现了对接⼊⽤户更加⼈性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理⽤户接⼊的状态，资源的分配，从⽽使⽹络资源的分配更加合理和可控化。

●应⽤可视化StoneOS?内置独创的应⽤识别模块，可以根据应⽤的⾏为和特征实现对应⽤的识别和控制，⽽不仅仅依赖于端⼝或协议，即使加密过的数据流也能应付⾃如。

StoneOS?识别的应⽤多达⼏百种，⽽且跟随着应⽤的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应⽤，应⽤特征库通过⽹络服务可以实时更新。

全⾯的VPN解决⽅案SG-6000多核安全⽹关⽀持多种IPSecVPN的部署，它能够完全兼容标准的IPSec VPN。

山石SA-2001A操作指导手册一, 山石SA2001A概述山石网科SA2001A多核安全网关是山石网科公司自主开发、拥有知识产权的新一代安全网关。

它基于角色、深度应用的多核 Plus®G2 安全架构突破了传统防火墙只能基于 IP 和端口的防范限制。

模块化设计处理器的应用实现了设备整体处理能力的极大提升，从而突破传统 UTM 在开启病毒过滤等功能后所带来的性能下降的局限。

百兆到万兆的处理能力使山石网科多核安全网关适用于多种网络环境，包括中小企业级市场、政府机关、大型企业、电信运营商和数据中心等机构。

丰富的软件功能为网络提供不同层次及深度的安全控制以及接入管理，例如基于角色深度应用安全的访问控制、IPSec/SSL VPN、应用带宽管理、病毒过滤、内容安全等。

二, 通过控制台配置山石SA2001A2.1 配置准备及图例准备好通过控制台端口配置所需的反转电缆,带串口的主机一台,电源线两跟以及相关主机配件;按照如下网络拓扑将主机与SA2001A相连.2.2 主机串口参数配置在主机上依次选开始—程序—附件—通讯—超级终端，单击超级终端出现下图所示界面：在名称下方框框中输入Hillstone,如：后确定，得到如下所示界面：这里可以在“连接时使用”中选择要使用的串口（一般默认选COM1即可），然后确定如下图：在“数据位数”中选“9600”，“数据流控制”中选“无”，如图：确定后得到下图：（注意：此界面是在已经做过配置的情况下。

）此时说明已经成功通过控制台端口将主机和SA2001A相连通，接下来就可以对SA2001A进行相关配制。

三，山石SA2001A常用配置命令介绍3.1 命令模式介绍3.1.1执行模式用户进入到 CLI 时的模式是执行模式。

执行模式允许用户使用其权限级别允许的所有的设置选项。

该模式的提示符如下所示，包含了一个井号（#）如下：hostname#3.1.2 全局配置模式全局配置模式允许用户修改安全网关的配置参数。

新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。

处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点安全可视化●网络可视化通过StoneOS?内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

●接入可视化StoneOS?基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。

●应用可视化StoneOS?内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSecVPN。

SG-6000系列产品对VPN(包括SSLVPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。

新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色、深度应用的多核PlusG2安全架构突破了传统防火墙只能基于IP和端口的防范限制。

处理器模块化设计可以提升整体处理能力，突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点安全可视化●网络可视化通过StoneOS内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

●接入可视化StoneOS基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。

●应用可视化StoneOS内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSec VPN。

SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN 解决方案。

Version 2.8Copyright 2021 Hillstone Networks.All rights reserved.Information in this document is subject to change without notice. The software described in this document is furnished under a license agreement or nondisclosure agreement. The software may be used or copied only in accordance with the terms of those agreements. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form or any means electronic or mechanical, including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks.Hillstone Networks本文档禁止用于任何商业用途。

联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州高新区科技城景润路181号邮编：100192 邮编：215000联系我们：https:///about/contact_Hillstone.html关于本手册本手册介绍山石网科公司的Web应用防火墙（W1060-GC）的硬件相关信息。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：***********************山石网科https://TWNO: TW-HW-WAF(GC)-CN-V1.0-Y21M11产品中有毒有害物质或元素的名称及含量前言内容简介感谢您选用Hillstone Networks的Web应用安全产品-Web应用防火墙。

新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。

处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点安全可视化●网络可视化通过StoneOS?内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

●接入可视化StoneOS?基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。

●应用可视化StoneOS?内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSecVPN。

SG-6000系列产品对VPN(包括SSLVPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。

Hillstone 防火墙技术——StoneOS 安全架构1介绍传统防火墙通常可以在两种模式下进行操作：路由/NAT 模式和透明模式。

路由/NAT 模式部署灵活，并且支持防火墙和路由器两种设备的功能。

尽管如此，许多希望通过最少的网络中断来实现安全保护的客户却会选择透明模式。

随着二层与三层转换的扩展，安全集成到网络中变成一个更加困难的选择。

那么，在哪里部署能够控制所有二层和三层的所有类型流量的安全功能呢？Hillstone 的StoneOS 提供了一个强大的安全平台，它为安全管理者提供了“集成安全控制和网络管理的底层网络结构”。

StoneOS 通过将网络功能从安全功能中分离出来，扩展了NAT/ 路由模式。

这样，用户就可以在一个完全灵活的环境下使用NAT 功能。

StoneOS 通过引入专有的Virtual Switch（虚拟交换机）的概念极大地扩展了透明模式。

在二层，用户可以定义VLAN 域，并且可以将不同的安全策略应用到每一个VLAN 。

StoneOS 还拥有重新标记VLAN tag 功能，这种功能只有高端的交换机才能实现。

StoneOS 混合模式将NAT/ 路由模式与透明模式结合到同一个设备上。

根据配置的安全策略，部分数据在二层进行处理，而其它数据进行三层处理。

这个强大的功能将路由器和交换机的功能进行完美结合，并且能够降低网络部署的复杂性。

2路由/NAT 模式路由在路由/NAT 模式下，设备被划分为多个三层域。

流量会在三层域之间进行转发，并且被转发的流量会被进行安全检查。

对于路由模式，IP 地址不会被转换。

对于NAT 模式，IP 数据包在不同域间转发的过程中，其IP 地址和端口号可以被转换。

Hillstone 设备将安全管理从网络管理中分离出来。

Hillstone NAT 策略是网络管理的一部分，用户可以基于特定接口或者五元组（源和目的IP 地址、端口号和服务）进行灵活配置，或者将两者相结合。

Hillstone 设备可以同时工作在路由模式和NAT 模式下，即对一些数据做三层转发的同时，为另外一些数据做NAT 转换。

Version5.5R9TechDocs|目录目录1介绍1文档内容1目标读者1产品信息1虚拟防火墙的功能2 VMware Tools的功能2 Cloud-init的功能3许可证4许可证机制4平台类许可证4订阅类许可证5功能服务类许可证6申请许可证7安装许可证7许可证校验8在KVM上部署云·界10系统要求10虚拟防火墙的工作原理10准备工作10安装步骤11步骤一：获取防火墙软件包11步骤二：导入脚本和系统文件11步骤三：首次登录防火墙13将vFW联网14步骤一：查看接口的信息。

15步骤二：连接接口15其他操作16查看虚拟防火墙16启动虚拟防火墙17关闭虚拟防火墙17升级虚拟防火墙17重启虚拟防火墙17卸载虚拟防火墙17访问虚拟防火墙的WebUI界面18在OpenStack上部署云·界19部署场景19系统要求20安装步骤20步骤一：导入镜像文件21步骤二：创建实例类型22步骤三：创建网络23步骤四：启动实例24步骤五：登录及配置云·界虚拟防火墙25步骤六：重新配置OpenStack的路由器26步骤七：关闭OpenStack对云.界接口的IP检查27步骤八：在云·界上配置路由、NAT及安全策略28配置完成31使用云·界替换Openstack虚拟路由器32系统要求32安装步骤32步骤一：获取Hillstone-Agent插件文件32步骤二：配置port_security33步骤三：安装hs-manager33步骤四：在hs-manager上进行相关配置33步骤五：在hs-manager上安装CloudEdge34附：hs-manager命令行37步骤六：在控制节点上安装patch文件38步骤七：配置完成40访问云·界虚拟防火墙41使用SSH2远程登录vFW：42使用HTTPS远程登录vFW：42在VMware ESXi上部署云·界43支持的部署场景43系统要求和限制43部署防火墙45安装防火墙45通过OVA模板安装防火墙45通过VMDK文件安装防火墙47第一步：导入VMDK文件47第二步：创建虚拟机48第三步：添加硬盘49启动和访问虚拟防火墙50防火墙初始配置50升级防火墙52在Xen平台上部署云·界53系统要求53部署虚拟防火墙53步骤一：获取防火墙软件包53步骤二：导入镜像文件53步骤三：首次登录防火墙55访问虚拟防火墙的WebUI界面56升级虚拟防火墙56在Hyper-V上部署云·界57系统要求57虚拟防火墙的工作原理57准备工作58安装步骤58步骤一：获取防火墙软件包58步骤二：创建虚拟机58步骤三：首次登录防火墙62访问虚拟防火墙的WebUI界面62升级虚拟防火墙63在AWS上部署云·界64 AWS介绍64位于AWS的云·界65场景介绍65虚拟防火墙作为互联网网关65虚拟防火墙作为VPN网关65服务器负载均衡66本手册的组网设计67准备您的VPC68第一步：登录AWS账户68第二步：为VPC添加子网69第三步：为子网添加路由70在亚马逊云AWS上部署虚拟防火墙71创建防火墙实例71第一步：创建EC2实例71第二步：为实例选择AMI模板72第三步：选择实例类型72第四步：配置实例详细信息73第五步：添加存储73第六步：标签实例74第七步：配置安全组74第八步：启动实例75配置子网和接口76分配弹性IP地址76在主控台查看实例76购买并申请许可证77访问云·界虚拟防火墙77使用PuTTy访问CLI管理界面77步骤一：使用PuTTYgen转换密钥对77步骤二：使用PuTTY访问CLI界面78访问WebUI界面80配置虚拟防火墙82创建策略82测试AWS上的虚拟防火墙连通性84创建测试用虚拟机（Windows）84第一步：配置路由表84第二步：创建EC2实例。