山石网科 防病毒-概念

新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色、深度应用的多核Plus G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。

处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点安全可视化●网络可视化通过StoneOS内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

●接入可视化StoneOS基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。

●应用可视化StoneOS内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSec VPN。

SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。

一、设备工作原理防火墙作为一种网络安全产品，通过控制进出网络的流量，保护网络的安全。

防火墙的基本原理是通过分析数据包，根据已有的策略规则，允许或阻断数据流量。

除此之外，防火墙也具有连通网络的功能，实现安全可信区域（内部网络）和不信任区域（外部网络）之间的桥接。

StoneOS系统架构组成StoneOS系统架构的基本元素包括：•安全域：域是一个逻辑实体，将网络划分为不同部分，应用了安全策略的域称为“安全域”。

例如，trust安全域通常为内网等可信任网络，untrust 安全域通常为互联网等存在安全威胁的不可信任网络。

•接口：接口是流量进出安全域的通道，接口必须绑定到某个安全域才能工作。

默认情况下，接口都不能互相访问，只有通过策略规则，才能允许流量在接口之间传输。

•虚拟交换机（VSwitch）：具有交换机功能。

VSwitch工作在二层，将二层安全域绑定到VSwitch上后，绑定到安全域的接口也被绑定到该VSwitch上。

一个VSwitch就是一个二层转发域，每个VSwitch都有自己独立的MAC地址表，因此设备的二层转发在VSwitch中实现。

并且，流量可以通过VSwitch接口，实现二层与三层之间的转发。

•虚拟路由器（VRouter）：简称为VR。

VRouter具有路由器功能，不同VR 拥有各自独立的路由表。

系统中有一个默认VR，名为trust-vr，默认情况下，所有三层安全域都将会自动绑定到trust-vr上。

系统支持多VR功能且不同硬件平台支持的最大VR数不同。

多VR将设备划分成多个虚拟路由器，每个虚拟路由器使用和维护各自完全独立的路由表，此时一台设备可以充当多台路由器使用。

多VR使设备能够实现不同路由域的地址隔离与不同VR间的地址重叠，同时能够在一定程度上避免路由泄露，增加网络的路由安全。

•策略：策略是设备的基本功能，控制安全域间/不同地址段间的流量转发。

默认情况下，设备会拒绝设备上所有安全域/接口/地址段之间的信息传输。

Copyright 2021 Hillstone Networks. All rights reserved.Information in this document is subject to change without notice. The software described in this document is furnished under a license agreement or nondisclosure agreement. The software may be used or copied only in accordance with the terms of those agreements. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form or any means electronic or mechanical, including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks.Hillstone Networks本文档禁止用于任何商业用途。

联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州高新区科技城景润路181号邮编：100192 邮编：215000联系我们：https:///about/contact_Hillstone.html关于本手册本手册介绍山石网科公司的国产化NIPS设备硬件相关信息。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：***********************山石网科不预置隐藏或不允许用户更改的默认口令、承诺不设置恶意程序、隐藏接口或未明示功能模块。

Hillstone山石网科入侵防御白皮书Hillstone山石网科入侵防御白皮书1. 概述互联网的发展趋势表明：1. 网络攻击正逐渐从简单的网络层攻击向应用层转变，单纯的防火墙功能已经不能满足当下应用安全的需求。

旁路的入侵检测方式又不能满足对攻击源实时屏蔽的需求，与防火墙联动的入侵检测一直没有标准的联动协议来支撑。

入侵检测解决方案正在被入侵防御取代。

2. 安全漏洞、安全隐患的发生似乎是不可避免的，互联网的应用和业务却正在爆炸式的增长。

应用类型在增加，应用特征却更复杂，比如现在有很多应用都是基于HTTP等基础协议，让传统基于端口来识别应用的入侵防御解决方案已经不能适用。

如何识别出这些新的应用，从而去检测防御针对这些应用的攻击，是新一代入侵检测网关需要解决的问题。

3. 网络带宽在增加，应用类型在增加，应用协议在复杂化，攻击类型在增加，攻击方式在隐蔽化。

传统入侵防御设备受限于自身处理能力，已经不能胜任这样的趋势，如何去进行深度应用分析、深度攻击原理分析，也许所有的厂家都知道简单的攻击特征匹配已经不能满足时下用户对入侵防御漏判误判的要求，却受限与设备自身的处理能力，从而误判漏判的行为时有发生。

Hillstone山石网科的入侵防御是基于多核plus® G2架构、全并行的流检测引擎和基于攻击原理的入侵防御检测引擎。

基于多核plus®G2的安全架提供了高性能的入侵防御解决发难，并为入侵防御需要的深度应用分析和攻击原理分析提供了强劲的处理能力。

全并行流检测引擎则使用较少的系统资源，并且在并行扫描会话和开启其他多项应用处理功能提供了高可用性。

基于攻击原理的入侵防御有助于提高攻击检测率和降低攻击误判率。

Hillstone山石网科入侵防御解决方案具有以下特性：●基于深度应用识别，积极防范复杂应用攻击●基于多核Plus® G2构架满足深度应用分析、入侵防御功能的高CPU和高内存资源需求●基于深度应用原理、攻击原理的入侵防御解决方案●支持HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、Hillstone山石网科入侵防御白皮书FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBOIS、TFTP等多种常见的应用和协议的攻击防护。

Hillstone山石网科下一代防火墙基础配置手册V5.5版本Hillstone Networks Inc.服务热线：400 828 6655内容提交人审核人更新内容日期陈天骄陈天骄初次编写2016/1/14目录1 设备管理 (3)1.1 终端console登录 (3)1.2 网页WebUI登录 (3)1.3 恢复出厂设置 (5)1.3.1 CLI命令行操作 (5)1.3.2 WebUI图形化界面操作 (5)1.3.3 硬件CLR操作 (6)1.4 设备系统（StoneOS）升级 (6)1.4.1 通过sysloader升级 (6)1.4.2 通过CLI升级 (9)1.4.3 通过WebUI升级 (9)1.5 许可证安装 (10)1.5.1 CLI命令行安装 (10)1.5.2 WebUI安装 (11)2 基础上网配置 (11)2.1 接口配置 (11)2.2 路由配置 (13)2.3 策略配置 (14)2.4 源地址转换配置（SNAT） (15)3 常用功能配置 (16)3.1 PPPoE拨号配置 (16)3.2 动态地址分配（DHCP）配置 (17)3.3 IP-MAC地址绑定配置 (20)3.4 端到端IPSec VPN配置 (21)3.4.1 配置第一阶段P1提议 (22)3.4.2 配置ISAKMP网关 (23)3.4.3 配置第二阶段P2提议 (24)3.4.4 配置隧道 (25)3.4.5 配置隧道接口 (26)3.4.6 配置隧道路由和策略 (28)3.4.7 查看VPN状态 (29)3.5 远程接入SCVPN配置 (30)3.6 目的地址转换DNAT配置 (38)3.6.1 IP映射 (39)3.6.2 端口映射 (41)1设备管理安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、Telnet、SSH等主流通信管理协议。

Hillstone山石网科经过对山东政法学院的网络环境分析，认为山东政法学院的网络安全需求主要包含四个方面内容：一是网络负载均衡问题，在学院的六条线路当中，经常出现联通线路满负载，但电信线路流量不高的现象；二是网络攻击问题，学院多次出现对内部网络的服务器、主机，甚至信息中心的综合电子平台发起的探测和攻击，甚至曾出现考试服务器被篡改主页的现象；三是应用控制问题，大量P2P等非关键应用吞噬着校园网络有限的带宽资源，邮件、网页、数据传输等关键性应用服务却得不到保障；四是上网行为管理问题，学生个人电脑数量众多、管理松散，有必要对其上网行为进行一定程度的控制。

经过对山东政法学院网络环境的了解，Hillstone山石网科提出了采用高性能多核安全网关来解决学院内部的网络安全问题，开启防火墙、QoS、网络行为控制等功能后，运行稳定，状态良好，设备优异的技术特点和功能优势得到了充分发挥。

Hillstone山石网科守护山东政法校园网络安全在本项目中，Hillstone山石网科高性能多核安全网关体现出了众多的优势：首先，Hillstone山石网科高性能多核安全网关通过实时更新的ISP路由表可对CERNET 教育网、电信、网通等进行策略路由优选，充分利用每条链路的资源；并通过Hillstone山石网科高性能多核安全网关的链路负载均衡功能，对多条链路权重的设定，来平均分配网络资源请求；通过业内领先的P2P引流量技术，把P2P等非关键应用分流到电信线路。

其次，通过Hillstone山石网科高性能多核安全网关加强上网行为监控，有效监控校园互联网论坛、博客、网页、电子邮件内容，可以及时发现和过滤各类有害信息，并能告警、响应准确定位到人，方便学校管理部门及时处理，防止不良影响扩大。

凭借超过2000万条的URL网页数据库，Hillstone山石网科网络行为控制对互联网上的色情、反动等不良网站进行准确过滤，从而将不良信息屏蔽在校园外，为学生上网营造安全文明的上网环境。

山石网科网络安全审计系统V2.0R1发布概述发布日期：2021年09月03日本次发布主要新增以下功能：1.新增支持SG-6000-ICM1050C、SG-6000-ICM1050C-L、SG-6000-ICM1150C、SG-6000-ICM1250C、SG-6000-ICM1350C和SG-6000-ICM1500C平台；2.基础网络、高级网络、安全防护、控制审计策略、IPS引擎、Restful API接口等功能均支持IPv6网络；3.针对管理员支持分级分权控制（日志、用户、策略、目录）；4.设备本地用户支持通过终端用户自注册方式进入；5.支持同步AD服务器的安全组，且一个用户可以属于多个安全组；6.IPsec VPN支持管理员自行修改端口；7.控制策略、审计策略、流控通道策略支持VLAN和TOS匹配条件；8.Https证书告警消除、终端导入证书之后消除证书告警；9.设备支持http和sock代理功能；10.设备支持LLDP链路发现功能；11.支持针对SNMP同步的信息查询；12.增加多种系统告警机制；13.针对桥下的子接口、二层接口，支持加入到安全域；14.针对聚合接口，支持加入到接口状态同步组；15.DHCP支持option 252和253；16.IC卡认证支持账号提前导入和校验；17.针对Portal页面，支持导入和导出功能，管理员可执行编辑认证页面；18.支持http通用短信接口网关；19.支持配置导出路径设备和统计设备动态缓存。

平台和系统文件功能列表浏览器兼容性以下浏览器通过了WebUI测试，推荐用户使用：✹Chrome 53以及以上版本✹Firefox 58以及以上版本✹IE9以上版本获得帮助山石网科网络安全审计系统配有以下手册，请访问https://获取：✹《山石网科SG-6000-ICM系列安装手册》✹《山石网科网络安全审计系统WebUI用户手册》✹《山石网科网络安全审计系统命令行用户手册》✹《山石网科网络安全审计系统日志信息参考指南》服务热线：400-828-6655官方网址：https:///。

Hillstone山石网科:防火墙的重定义作者：来源：《计算机世界》2010年第45期韩勖：X6150在山石网科的产品线中是一款与众不同的产品，代表了面向数据中心的一种新产品形态。

这一系列产品未来的发展方向是什么？有何明确的计划？王钟：首先要明确一点，我们将X6150定位为数据中心防火墙，是因为在应用模式的发展面前，越来越多的数据中心用户有了更合适的选择。

除此之外，这一系列产品同样适用于运营商、高校等行业用户。

而针对产品本身来说，产品线的完善是一个长期工作，而当前我们要做的是在现有平台上增加功能和提升产品的综合特性。

目前X6150有QoS业务模块，可以进行网络层到应用层的流量控制，是很多用户比较急需的功能；产品综合特性包括稳定性、可靠性等很多方面，单纯从产品规格表中看到的双主控、业务模块冗余等只是一个基础，还有更多的与用户业务紧密相关的细节特性要加入进去。

刘向明：例如我们很快就要发布一个新特性，可以让用户在业务不中断的情况下实现系统的在线升级。

控制层面与业务层面分离的安全产品在线升级相对复杂一些，除了主控模块上的系统，业务模块同样也需要做软件升级，才能提供更多的安全特性。

韩勖：刚才您提到了产品线的完善，其实我注意到与原先2U规格的高端产品相比，X6150在性能上似乎已经有一些重叠，未来这是否会给用户在选型时造成更多的困扰？王钟：这个问题其实不是产品定位的问题，而是用户定位的问题。

经过调研，山石网科认为数据中心用户的关注点在于性能的可扩展性，业务的可扩展性、设备的可靠性和可管理性。

所以在产品研发的过程中，不管是硬件架构还是软件特性，我们都围绕着目标用户关注的这几个点去做。

并且未来完善产品线时，也都会按照这个思路去做。

在同样处理能力的前提下，X6150的整体价格肯定会高于传统产品，用户额外得到的是安全基础架构的可扩展性。

这一系列产品的目标用户必然要为业务承载网做长期的发展规划，否则也没有必要使用X6150这种架构的产品。

Version 2.0
安全隔离与信息交换系统版本说明 V2.0 好的发布概述
发布日期：2021年11月3日
本次为正式版首次公开发布，主要内容为产品型号、产品功能列表。

平台
产品功能列表
浏览器兼容性
以下浏览器通过了WebUI测试，推荐用户使用：
✹Chrome
获得帮助
Hillstone 山石网科安全隔离与信息交换系统配有以下手册，请访问获取：
✹《山石山石网科安全隔离与信息交换系统用户手册》
✹《山石山石网科安全隔离与信息交换系统部署手册》
✹《山石山石网科安全隔离与信息交换系统日志手册》
✹《山石山石网科安全隔离与信息交换系统快速安装手册》
服务热线：400-828-6655
官方网址：。

⼭⽯⽹科防⽕墙sgm-m精选-m精选选型说明书新⼀代多核安全⽹关SG-6000-M2105/M3100/M3108SG-6000是Hillstone⼭⽯⽹科公司全新推出的新⼀代多核安全⽹关系列产品。

其基于⾓⾊、深度应⽤的多核Plus?G2安全架构突破了传统防⽕墙只能基于IP和端⼝的防范限制。

处理器模块化设计可以提升整体处理能⼒，突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能⼒⾼达600Mbps-2Gbps，⼴泛适⽤于企业分⽀、中⼩企业等机构，可部署在⽹络的主要结点及Internet出⼝，为⽹络提供基于⾓⾊、深度应⽤安全的访问控制以及IPSec/SSLVPN、应⽤带宽管理、病毒过滤、⼊侵防护、⽹页访问控制、上⽹⾏为管理等安全服务。

产品亮点安全可视化●⽹络可视化通过StoneOS?内置的⽹络流量分析模块，⽤户可以图形化了解设备使⽤的状况、带宽的使⽤情况以及流量的趋势，随时、随地监控⾃⼰的⽹络，从⽽对流量进⾏优化和精细化的管理。

●接⼊可视化StoneOS?基于⾓⾊的管理(RBNS)模块，让⽹络接⼊更加精细和直观化，实现了对接⼊⽤户更加⼈性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理⽤户接⼊的状态，资源的分配，从⽽使⽹络资源的分配更加合理和可控化。

●应⽤可视化StoneOS?内置独创的应⽤识别模块，可以根据应⽤的⾏为和特征实现对应⽤的识别和控制，⽽不仅仅依赖于端⼝或协议，即使加密过的数据流也能应付⾃如。

StoneOS?识别的应⽤多达⼏百种，⽽且跟随着应⽤的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应⽤，应⽤特征库通过⽹络服务可以实时更新。

全⾯的VPN解决⽅案SG-6000多核安全⽹关⽀持多种IPSecVPN的部署，它能够完全兼容标准的IPSec VPN。

多核安全网关成功案例——宿迁市权力阳光政务网升级改造客户名称：宿迁市政府所属行业：政府客户需求：网络良好的安全性，能够抵御各种病毒，有效防护内外部攻击，保障信息的机密性、完整性和可用性；对信息访问实行严格控制，合理分配应用带宽，确保网络安全、可靠、持续运行。

产品型号：Hillstone SG－6000-G3150实现功能：NAT/防火墙、防病毒、安全防护、QoS、HSM集中管控平台。

网络技术的发展已经深入到日常生活，为政府部门日常办公提供了极大的便利，推进电子政务建设成为信息化工作的重点。

宿迁市政府领导认识到了权力阳光系统安全建设的重要意义，适时的提出了建设宿迁市权力阳光安全建设的构想，并制定了切实可行的系统规划和建设方案，为宿迁市权力阳光工程的建设打下扎实的基础。

宿迁市政府共有60多家部委办局接入到权力阳光网络中，采用核心、汇聚、接入三级星形拓扑结构，网络核心层使用两台交换机采用多条万兆捆绑链路相联建立双机热备，核心设备支持热插拔，具有容错及备份功能。

随着系统网络服务的多样化和各接入单位业务应用不断增多，网络安全风险也日益暴露出来，主要有以下几方面：缺乏防攻击手段及有效性能，若互联单位中一个单位感染病毒，可能会导致整个网络大规模的病毒爆发，甚至瘫痪，将会严重影响业务通信；业务的实时可靠性差，网络的稳定性严重影响着权力阳光工程的稳定性，权力阳光政务系统类的多种业务如视频会议系统，都对网络系统的实时性、不间断性、高可靠性和可用性的提出很高的要求；病毒防护能力差对于病毒的防护都是采用主机防护的方式，防病毒程序及病毒库都运行在主机端，其本机安全却存在极大的隐患甚至存在极大的漏洞；对于应用层无法有效管控，尤其是一些P2P软件和网络病毒，极大的消耗了有限的网络资源，导致网络的发展仍然不能满足带宽使用，如何有效管控网络应用也是用户急需解决的问题；网络行为无法实时监管，网络的使用情况对管理人员是未知的，如何使复杂网络使用情况做到网络可视化，也是网络管理者关心的问题。

Anti Virus高性能网关病毒过滤解决方案Hillstone 山石网科病毒过滤白皮书高性能网关病毒过滤解决方案1. 概述网络安全的发展趋势表明，网络上涌现出越来越多的攻击和感染方式去侵害PC，并且随着越来越多的移动用户和远程用户的接入，也就意味着连接在一起的PC之间同时存在不同的病毒过滤和安全配置。

在网络中，对于那些没有足够防护的PC是很容易受到危害的。

基于主机的病毒过滤解决方案已经不再能够满足安全需求。

病毒过滤网关提供了第二层安全防护，极大地提高了网络安全性。

从技术角度来看，病毒过滤扫描需要消耗大量系统资源，包括内存、总线带宽和CPU。

在有限的硬件处理能力的支持下，现有的安全网关在开启病毒过滤功能后，性能都会急剧下降。

Hillstone山石网科的病毒过滤基于多核plus® G2架构和全并行的流检测引擎，提供高性能病毒过滤解决方案，能够侦测病毒、木马、蠕虫、间谍软件和其他恶意软件。

基于多核Plus® G2架构的设计提供了病毒过滤需要的高处理能力，其提供的应用处理扩展模块进一步的提高了病毒过滤的处理能力和总计处理能力，全并行流检测引擎则使用较少的系统资源，并且在并行扫描会话和最大可扫描文件方面提供高升级性。

Hillstone 山石网科病毒过滤解决方案具有以下特性：●基于多核Plus® G2构架满足病毒过滤应用的高CPU和高内存资源需求●支持病毒过滤应用处理扩展模块提高病毒过滤和整机处理能力●全并行流检测引擎，提供了高并发，高容量，低延时的病毒过滤●基于流的多层解压缩器支持ZIP，RAR等压缩格式●定期动态病毒库更新●支持HTTP、文件传输和多个电子邮件协议●支持多种行为控制，包括中断连接、文件填充和日志记录2. Hillstone 山石网科病毒过滤架构可扩展的全并行多核Plus® G2硬件架构Hillstone山石网科自主开发的64位实时安全操作系统StoneOS®，具备强大的并行处理能力。

新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。

处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点安全可视化●网络可视化通过StoneOS?内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

●接入可视化StoneOS?基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。

●应用可视化StoneOS?内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSecVPN。

SG-6000系列产品对VPN(包括SSLVPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。

Hillstone 山石网科UTM Plus 技术白皮书1 概述从防火墙到UTM早期的安全设备基本上都是单点串行的接入方式。

安全设备独立运行，管理复杂，单点故障多带来的可靠性极低., 同时，安全状态分析复杂, 并且投资较高，维护成本高，使用的处理的数据在所有的设备上都需要处理以便，对性能的牺牲也是极大的。

从UTM到UTM PlusUTM（统一威胁管理）的出现似乎解决了这以问题，UTM的部署方式不再是单点串行部署，而是将所有的安全引擎都内置在同一安全设备上，从理论上来将，UTM的出现解决了传统防火墙，防病毒，入侵防御等单点式安全产品串行部署带来的一系列如安全管理，投资高，维护成本大，单点故障多的问题。

但是，是不是UTM的出现就能解决所有的问题了呢？●从传统的UTM实现来看，只是将安全功能简单的叠加，导致系统性能急剧下降，系统不可用。

所有安全功能单独运行，仅是简单集成到了一个系统平台上，安全模块没有做到内部互动，安全问题依然存在, 传统UTM越来越成为了概念，离使用越来越远…图1 传统UTM 串行软件处理架构●从当前用户对网络安全需求的角度来看，之前网络安全的管理的重心主要是集中在在外网到内网的攻击防护和阻断，但随着互联网业务的发展，业务带宽被P2P等下载软件蚕食，无序的、不受约束的上网行为导致不良网站访问、“安全门”、“泄密门”等信息泄密事件的产生等。

全网安全管理，而不仅仅是外网攻击防护，已经让传统UTM只能“防外不防内”的解决方案失去了意义。

UTM Plus是什么UTM Plus是建立在传统UTM解决方案之上，能应对当今复杂多变的网络应用，能满足当下用户对安全应用的需求，并且不管从系统架构层面到软件设计，都具备良好的处理能力来支持所有庞大的功能模块正常运行。

●从网络应用的变化角度来看，UTM Plus解决方案必须能识别和处理新型复杂多变的应用，只有可视化的识别这些应用才能针对应用进一步做对应安全引擎处理。

新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。

处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点安全可视化●网络可视化通过StoneOS?内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

●接入可视化StoneOS?基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。

●应用可视化StoneOS?内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSecVPN。

SG-6000系列产品对VPN(包括SSLVPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。

Version5.5R9TechDocs|目录目录1介绍1文档内容1目标读者1产品信息1虚拟防火墙的功能2 VMware Tools的功能2 Cloud-init的功能3许可证4许可证机制4平台类许可证4订阅类许可证5功能服务类许可证6申请许可证7安装许可证7许可证校验8在KVM上部署云·界10系统要求10虚拟防火墙的工作原理10准备工作10安装步骤11步骤一：获取防火墙软件包11步骤二：导入脚本和系统文件11步骤三：首次登录防火墙13将vFW联网14步骤一：查看接口的信息。

15步骤二：连接接口15其他操作16查看虚拟防火墙16启动虚拟防火墙17关闭虚拟防火墙17升级虚拟防火墙17重启虚拟防火墙17卸载虚拟防火墙17访问虚拟防火墙的WebUI界面18在OpenStack上部署云·界19部署场景19系统要求20安装步骤20步骤一：导入镜像文件21步骤二：创建实例类型22步骤三：创建网络23步骤四：启动实例24步骤五：登录及配置云·界虚拟防火墙25步骤六：重新配置OpenStack的路由器26步骤七：关闭OpenStack对云.界接口的IP检查27步骤八：在云·界上配置路由、NAT及安全策略28配置完成31使用云·界替换Openstack虚拟路由器32系统要求32安装步骤32步骤一：获取Hillstone-Agent插件文件32步骤二：配置port_security33步骤三：安装hs-manager33步骤四：在hs-manager上进行相关配置33步骤五：在hs-manager上安装CloudEdge34附：hs-manager命令行37步骤六：在控制节点上安装patch文件38步骤七：配置完成40访问云·界虚拟防火墙41使用SSH2远程登录vFW：42使用HTTPS远程登录vFW：42在VMware ESXi上部署云·界43支持的部署场景43系统要求和限制43部署防火墙45安装防火墙45通过OVA模板安装防火墙45通过VMDK文件安装防火墙47第一步：导入VMDK文件47第二步：创建虚拟机48第三步：添加硬盘49启动和访问虚拟防火墙50防火墙初始配置50升级防火墙52在Xen平台上部署云·界53系统要求53部署虚拟防火墙53步骤一：获取防火墙软件包53步骤二：导入镜像文件53步骤三：首次登录防火墙55访问虚拟防火墙的WebUI界面56升级虚拟防火墙56在Hyper-V上部署云·界57系统要求57虚拟防火墙的工作原理57准备工作58安装步骤58步骤一：获取防火墙软件包58步骤二：创建虚拟机58步骤三：首次登录防火墙62访问虚拟防火墙的WebUI界面62升级虚拟防火墙63在AWS上部署云·界64 AWS介绍64位于AWS的云·界65场景介绍65虚拟防火墙作为互联网网关65虚拟防火墙作为VPN网关65服务器负载均衡66本手册的组网设计67准备您的VPC68第一步：登录AWS账户68第二步：为VPC添加子网69第三步：为子网添加路由70在亚马逊云AWS上部署虚拟防火墙71创建防火墙实例71第一步：创建EC2实例71第二步：为实例选择AMI模板72第三步：选择实例类型72第四步：配置实例详细信息73第五步：添加存储73第六步：标签实例74第七步：配置安全组74第八步：启动实例75配置子网和接口76分配弹性IP地址76在主控台查看实例76购买并申请许可证77访问云·界虚拟防火墙77使用PuTTy访问CLI管理界面77步骤一：使用PuTTYgen转换密钥对77步骤二：使用PuTTY访问CLI界面78访问WebUI界面80配置虚拟防火墙82创建策略82测试AWS上的虚拟防火墙连通性84创建测试用虚拟机（Windows）84第一步：配置路由表84第二步：创建EC2实例。