Hillstone网络地址转换技术解决方案白皮书

Hillstone山石网科入侵防御白皮书Hillstone山石网科入侵防御白皮书1. 概述互联网的发展趋势表明：1. 网络攻击正逐渐从简单的网络层攻击向应用层转变，单纯的防火墙功能已经不能满足当下应用安全的需求。

旁路的入侵检测方式又不能满足对攻击源实时屏蔽的需求，与防火墙联动的入侵检测一直没有标准的联动协议来支撑。

入侵检测解决方案正在被入侵防御取代。

2. 安全漏洞、安全隐患的发生似乎是不可避免的，互联网的应用和业务却正在爆炸式的增长。

应用类型在增加，应用特征却更复杂，比如现在有很多应用都是基于HTTP等基础协议，让传统基于端口来识别应用的入侵防御解决方案已经不能适用。

如何识别出这些新的应用，从而去检测防御针对这些应用的攻击，是新一代入侵检测网关需要解决的问题。

3. 网络带宽在增加，应用类型在增加，应用协议在复杂化，攻击类型在增加，攻击方式在隐蔽化。

传统入侵防御设备受限于自身处理能力，已经不能胜任这样的趋势，如何去进行深度应用分析、深度攻击原理分析，也许所有的厂家都知道简单的攻击特征匹配已经不能满足时下用户对入侵防御漏判误判的要求，却受限与设备自身的处理能力，从而误判漏判的行为时有发生。

Hillstone山石网科的入侵防御是基于多核plus® G2架构、全并行的流检测引擎和基于攻击原理的入侵防御检测引擎。

基于多核plus®G2的安全架提供了高性能的入侵防御解决发难，并为入侵防御需要的深度应用分析和攻击原理分析提供了强劲的处理能力。

全并行流检测引擎则使用较少的系统资源，并且在并行扫描会话和开启其他多项应用处理功能提供了高可用性。

基于攻击原理的入侵防御有助于提高攻击检测率和降低攻击误判率。

Hillstone山石网科入侵防御解决方案具有以下特性：●基于深度应用识别，积极防范复杂应用攻击●基于多核Plus® G2构架满足深度应用分析、入侵防御功能的高CPU和高内存资源需求●基于深度应用原理、攻击原理的入侵防御解决方案●支持HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、Hillstone山石网科入侵防御白皮书FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBOIS、TFTP等多种常见的应用和协议的攻击防护。

Hillstone Networks Version5.5R7Copyright2019Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is furnished under a license agreement or nondisclosure agreement.The software may be used or copied only in accordance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks.Hillstone Networks联系信息公司总部（北京总部）：地址：北京市海淀区宝盛南路1号院20号楼5层邮编：100192联系我们：/about/contact_Hillstone.html关于本手册本手册介绍Hillstone Networks公司的产品系统的使用方法。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：***********************Hillstone Networkshttps://TWNO:TW-CUG-UNI-VPN-5.5R7-CN-V1.0-11/12/2020目录目录1关于本手册1手册约定1内容约定1CLI约定1命令行接口（CLI）2CLI介绍2命令模式和提示符2执行模式2全局配置模式2子模块配置模式3CLI命令模式切换3命令行错误信息提示3命令行的输入4命令行的缩写形式4自动列出命令关键字4自动补齐命令关键字4命令行的编辑4查看历史命令4快捷键5过滤CLI输出信息5分页显示CLI输出信息6设置终端属性7设置连接超时时间7重定向输出7诊断命令8 VPN10 IPSec协议11 IPSec协议介绍11安全联盟（Security Association）11 SA建立方式12第一阶段SA12第二阶段SA13验证算法13加密算法14压缩算法14相关资料15 IPSec VPN的应用15配置IPSec VPN功能15提升IPSec VPN解密性能16手工密钥VPN16创建手工密钥VPN16指定IPSec协议的操作模式16指定安全参数索引17指定协议类型17指定加密算法17指定验证算法18指定压缩算法18指定对端IP地址18配置协议的验证密钥19配置协议的加密密钥19指定出接口19 IKEv1VPN20配置P1提议20创建P1提议20指定认证方式20指定加密算法21指定验证算法21选择DH组22指定安全联盟的生命周期22配置ISAKMP网关23创建ISAKMP网关23绑定接口到ISAKMP网关23配置IKE协商模式23配置自定义IKE协商端口24指定对端的IP地址及类型24接受对端ID25指定P1提议25配置预共享密钥25配置PKI信任域25配置对端证书的信任域26配置加密证书的信任域26配置协商协议标准26配置本端ID27配置对端ID27指定连接类型28开启NAT穿越功能28配置DPD功能28指定描述信息29配置P2提议29创建P2提议29指定协议类型29指定加密算法30指定验证算法30指定压缩算法31配置PFS功能31指定生命周期32配置隧道32创建IKE隧道32指定IPSec协议的操作模式33指定ISAKMP网关33指定P2提议33指定第二阶段ID33配置IPsec VPN流量分流与限流34启用接受对端ID功能34配置自动连接功能34配置分片功能35配置防重放功能35配置VPN监控及冗余备份功能36设置Commit位38指定描述信息38配置自动生成路由功能39 IKEv2VPN39配置P1提议39创建P1提议39指定验证算法40指定PRF算法40指定加密算法41选择DH组41指定的生命周期41配置IKEv2对等体42创建IKEv2对等体42绑定接口到对等体42指定对端的IP地址42配置认证方式43指定P1提议43配置本端ID43指定连接类型43创建IKEv2Profile44配置对端ID44配置预共享密钥44指定被保护的数据流量信息45配置P2提议45指定协议类型45指定验证算法46指定加密算法46配置PFS功能47指定生命周期47配置隧道47创建IKEv2隧道47指定IKEv2隧道的操作模式48指定IKEv2对等体48指定P2提议48配置自动连接功能48 XAUTH49启用XAUTH服务器49配置XAUTH地址池49绑定地址池到XAUTH服务器50配置IP用户绑定和IP角色绑定规则51修改IP角色绑定规则排列顺序52配置推送到客户端的WINS/DNS服务器52强制断开客户端XAUTH连接53配置非根VSYS隧道配额53显示IPSec配置信息53配置举例54手工密钥VPN54组网需求55配置步骤55 IKE VPN59组网需求59配置步骤59基于路由的VPN监控及冗余备份功能配置举例65组网需求65配置步骤66基于策略的VPN监控及冗余备份功能配置举例73组网需求73配置步骤74 XAUTH82组网需求82配置步骤82 HA Peer模式支持IPsec VPN85配置步骤85 SSL VPN90 SSL VPN介绍90 SSL VPN设备端配置90地址池配置91配置地址池地址范围91配置保留地址池92配置IP地址绑定规则92配置IP用户绑定规则93配置IP角色绑定规则93修改IP角色绑定规则排列顺序93配置DNS服务器94配置WINS服务器94显示SSL VPN地址池信息94资源列表配置96添加资源条目96查看资源列表97 UDP端口号配置97配置空闲时间97 SSL VPN实例配置98指定地址池99指定设备端接口99指定SSL协议99指定PKI信任域100指定加密信任域101指定隧道密码101指定AAA服务器102指定HTTPS端口号102配置SSL VPN隧道路由102指定网段102指定域名103配置防重放功能103配置分片功能104配置空闲时间104配置用户同名登录功能105配置URL重定向功能105 URL内容格式105配置SSL VPN隧道路由106启用/禁用清除SSL VPN桌面版客户端主机缓存数据功能106在HA Peer模式中使用SSL VPN107绑定L2TP VPN实例107绑定资源108绑定SSL VPN实例到隧道接口108配置客户端USB Key证书认证109开启USB Key证书认证功能110导入USB Key证书相应CA证书到信任域110配置USB Key证书相应CA证书的信任域111配置短信口令认证功能111短信猫认证111开启/关闭短信口令认证功能112设置短信认证手机号码112配置短信认证码有效时间113配置短信最大发送数量113发送测试短信113显示短信猫配置信息114短信网关认证114创建SP实例名称114设置发送认证短信的号码115指定设备ID115指定短信网关的地址和端口号115指定VRouter116指定用户名和密码116配置短信最大发送数量116指定UMS协议类型117指定企业编码117发送测试短信117开启/关闭短信网关认证功能118指定发送方名称118显示短信网关配置信息118显示短信统计信息119配置主机验证功能119开启主机验证功能119批准候选表项120配置超级用户120配置共享主机120增加/减少预批准主机数121清除绑定表121导出/导入绑定表122配置主机安全检测功能123主机安全检测内容123基于角色的访问控制和主机安全检测流程124配置主机安全检测Profile124通过WebUI配置主机安全检测Profile125配置主机安全检测策略规则128配置最优路径检测功能130强制断开客户端SSL VPN连接132允许本地用户修改密码132导出和导入密码文件134导出密码文件134导入密码文件135定制登录页面135定制登录页面135通过Radius认证服务器限定用户的访问范围136配置Radius服务器136配置客户端升级URL137显示SSL VPN信息137 SSL VPN客户端for Windows138客户端的下载与安装139下载与安装（用户名/密码）139下载与安装（用户名/密码+USB Key证书）142下载与安装（用户名/密码+软证书）144下载与安装（只用USB Key证书）145下载与安装（只用软证书）145客户端的启动146 Web方式启动146 Web方式启动（用户名/密码）146 Web方式启动（用户名/密码+USB Key证书）147 Web方式启动（用户名/密码+软证书）148 Web方式启动（只用USB Key证书）148 Web方式启动（只用软证书）149直接启动149基于TLS/SSL协议的启动方式149使用“用户名/密码”方式149使用“用户名/密码+USB Key证书”方式152使用“用户名/密码+软证书”方式154使用“只用USB Key证书”方式156使用“只用软证书”方式157基于国密SSL协议的启动方式158使用“用户名/密码”方式159使用“用户名/密码+数字证书”方式160使用“只用数字证书”方式162通过计划任务启动并自动连接164 USB Key批量部署166客户端GUI168客户端菜单171 Secure Connect设置173设置通用选项174添加登录信息条目175编辑登录信息条目176删除登录信息条目176客户端的卸载176 SSL VPN客户端for Android177下载与安装177启动与登录177 GUI179连接状态179 VPN连接配置管理180添加登录信息条目180编辑登录信息条目181删除登录信息条目182修改设备端登录密码182断开与设备端的连接/登入设备端182连接日志182系统配置183关于我们183SSL VPN客户端for iOS183安装与建立连接183建立VPN连接186 GUI187连接187日志187关于我们188 SSL VPN188 SSL VPN介绍188 SSL VPN配置举例188组网需求188需求一配置步骤189需求二配置步骤191准备工作191配置步骤191 URL重定向配置举例193配置步骤193主机安全检测配置举例196组网需求196配置步骤197最优路径检测配置举例204组网需求一204设备端作最优通道判断205客户端判断最优通道208组网需求二208设备端作最优通道判断209客户端判断最优通道212拨号VPN213拨号VPN介绍213拨号VPN的应用213中心设备配置213配置P1提议213创建P1提议214指定认证方式214指定加密算法214指定验证算法215选择DH组215指定安全联盟的生命周期216配置ISAKMP网关216创建ISAKMP网关216指定ISAKMP网关的认证服务器217绑定接口到ISAKMP网关217配置IKE协商模式217指定对端类型217指定P1提议218配置预共享密钥218配置PKI信任域218配置本端ID219指定连接类型219开启NAT穿越功能219配置DPD功能220指定描述信息220配置P2提议220创建P2提议220指定协议类型221指定加密算法221指定验证算法222配置PFS功能222指定生命周期223配置隧道223创建IKE隧道223指定IPSec协议的操作模式224指定ISAKMP网关224指定P2提议224指定第二阶段ID224配置ID为包含关系时生成IPSec SA225配置IPSec分流限流功能225配置自动连接功能225配置分片功能226配置防重放功能226设置Commit位227配置空闲时间227指定描述信息227配置自动生成路由功能227配置拨号端用户信息228创建拨号端用户帐号228生成拨号端用户预共享密钥229拨号端配置229拨号VPN举例229组网需求229中心设备配置230拨号端1配置233拨号端2配置235 PnPVPN238 PnPVPN简介238 PnPVPN工作流程238 PnPVPN链路冗余239 PnPVPN服务器端配置239通过CLI配置PnPVPN服务器端239配置用户网络参数239配置隧道网络参数240配置ISAKMP网关对端通配符241配置PnPVPN客户端的隧道接口241通过WebUI配置服务器端242用户配置243 IKE VPN配置243隧道接口配置246路由配置246策略配置247配置PnPVPN客户端247 PnPVPN配置举例248组网需求248配置步骤250服务器端配置250客户端配置254 GRE协议256 GRE协议介绍256 GRE配置256配置GRE隧道256指定源地址257指定目的地址257指定出接口257指定IPSec VPN隧道258指定验证秘钥258绑定GRE隧道到隧道接口258显示GRE隧道配置信息259 GRE配置举例259需求描述259配置步骤260中心配置260分支配置263 L2TP协议266介绍266典型的L2TP隧道组网266 L2TP over IPSec267 LNS端配置267地址池配置268配置地址池地址范围268配置保留地址池269配置IP地址绑定规则269配置静态IP地址绑定规则270配置角色-IP地址绑定规则270修改角色-IP地址绑定规则排列顺序270 L2TP实例配置271指定分配IP方式272指定地址池272配置DNS服务器273配置WINS服务器273指定隧道出接口273指定AAA服务器273指定PPP认证的协议274指定LCP Echo报文发送间隔274指定Hello报文间隔275启用隧道认证275指定隧道密码275指定LNS本端名称276启用AVP数据隐含276指定隧道接受窗口大小276配置用户同名登录功能276允许或禁止客户端指定IP地址277指定控制报文重传次数277引用IPSec隧道277配置LCP强制协商278绑定L2TP实例到隧道接口278强制断开L2TP连接279隧道重启279显示L2TP信息279 L2TP客户端配置280 L2TP配置举例280组网需求280配置步骤281 LNS配置281客户端配置283创建L2TP拨号连接283配置L2TP拨号连接284修改注册表286使用客户端连接LNS287 L2TP over IPSec配置举例288组网需求288配置步骤289 LNS配置289客户端配置292创建L2TP拨号连接292配置L2TP拨号连接293启用IPSec加密293使用客户端连接LNS294关于本手册手册约定为方便用户阅读与理解，本手册遵循以下约定：内容约定本手册内容约定如下：l提示：为用户提供相关参考信息。

高校互联网出口网络安全解决方案意见征询稿Hillstone Networks Inc.2011年6月1日概要高校互联网是高校校园网的重要部分,也是发生安全事件相对集中的环节，对此采取必要的安全防护措施来进行保障，是非常必要的，Hillstone山石网科根据类似的项目经验，总结出高校互联网出口的安全特性，并对应性地提出安全建设建议，实现保障的效果。

1.开放使用、合理管控●高校互联网出口是为学生、教师、职工等提供上网服务的途径，对此需要在开放使用的基础上进行合理管控，特别是对学生的上网行为，需要有对应的管控措施，对行为进行深度分析和管控。

●方案针对此特点通过Hillstone山石网科的用户认证，和深度应用访问控制技术来提供保障，在有效鉴别用户身份的基础上，针对特定用户进行不同细粒度的检测与控制策略，保障校园网互联网出口被合理使用；2.稳定运营、灵活扩展●在稳定运营的基础上实现灵活扩展，也是高校互联网出口商普遍关注的问题，稳定运行是高校互联网出口的基本要求。

但同时也看到，高校互联网出口总是存在多链路、多运营商的特点，因此在出口进行安全防护，引入的安全设备必须具备有灵活扩展的能力，能够有效适应多链路、多运营商的趋势要求。

●方案针对此特点，引入的Hillstone山石网科安全网关能够支撑高稳定性，和高可扩展性要求，在可靠性上支撑多种双机、多链路技术，从而有效适应高校互联网的特点；另外设备支持功能、接口的扩展，以适应高校校园网的不断发展。

3.绿色校园、差异服务●对比其他行业，高校对互联网访问内容的控制更加严格，特别针对学生的上网访问行为，从保障青少年心理健康的角度，需要对学生进行更加严格的控制。

除了对学生的严格控制以外，对于教师和职工，以及家属的上网行为则适当放松，体现差异化的服务性。

●方案通过Hillstone山石网科安全网关提供的上网行为管理、身份认证技术，在区分访问者角色的基础上，对访问行为进行深度分析，和有效控制。

Hillstone培训路由器部分1.引言Hillstone是一家专注于网络安全领域的公司，提供了一系列高性能、高可靠性的网络安全产品，包括防火墙、入侵防御系统、虚拟私有网络等。

其中，路由器作为网络互联的关键设备，扮演着至关重要的角色。

为了帮助用户更好地了解和使用Hillstone路由器，本文将详细介绍Hillstone路由器的培训内容。

2.Hillstone路由器概述Hillstone路由器是一款高性能、高可靠性的网络设备，支持多种路由协议，包括静态路由、动态路由（如BGP、OSPF、RIP 等），并提供灵活的网络地质转换（NAT）功能。

Hillstone路由器还具备强大的安全特性，如访问控制、入侵防御、病毒防护等，能够有效保护网络安全。

3.培训目标(1)了解Hillstone路由器的基本功能和特性；(2)学会配置和管理Hillstone路由器；(3)掌握路由器故障排查和性能优化的方法；(4)了解Hillstone路由器的安全特性及配置方法。

4.培训内容4.1Hillstone路由器基本配置(1)设备初始配置：包括设备命名、密码设置、接口配置等；(2)系统时间配置：同步网络时间协议（NTP）服务器，确保设备时间准确；(3)系统日志配置：设置日志服务器，以便收集和分析设备运行信息；(4)系统监控配置：配置SNMP、NQA等监控工具，实时监控设备状态。

4.2路由协议配置(1)静态路由：配置静态路由，实现网络互联；(2)动态路由：配置BGP、OSPF、RIP等动态路由协议，实现网络动态互联；(3)路由策略：配置路由策略，实现流量调度和路由优化。

4.3网络地质转换（NAT）配置(1)NAT概述：了解NAT的工作原理和类型；(2)NAT配置：配置静态NAT、动态NAT、NAPT等，实现内外网地质映射；(3)PAT配置：配置端口地质转换，提高公网IP利用率。

4.4安全特性配置(1)访问控制：配置访问控制列表（ACL），实现网络访问控制；(2)入侵防御：配置入侵防御系统（IPS），实时防御网络攻击；(3)病毒防护：配置病毒防护功能，防止病毒传播；(4)VPN配置：配置IPsecVPN、SSLVPN等，实现远程安全接入。

Hillstone 山石网科流量管理白皮书Hillstone 山石网科流量管理白皮书1. 概述随着互联网的应用和企事业应用的快速发展，爆发出来种类繁多的新应用正在一点一点的蚕食着用户网络中带宽，你也许会碰到下面的一些问题：●即使把带宽增加了，正常业务访问还是变慢了？● 有没有办法保证重要业务不受到影响？● 有没有办法查看到底是谁在蚕食我的带宽？从根本上来讲，QOS 功能能够为特定类型的流量提供更好的服务，特定类型既可以是针对某个角色，比如老板的流量访问、财务部门的流量，也可以针对某种应用，比如针对企事业重要的正常业务。

从技术实现来看，主要是通过提高这些特定类型的流量优先级和带宽配额或者降低其他流量的优先级和带宽配额来实现，比如降低P2P 下载应用的带宽。

StoneOS ® QoS是一个工具箱，能够保证服务的可用性，能够有效管理带宽资源和区分网络应用的优先级。

同时，StoneOS ® QoS是建立在Hillstone 山石网科多核Plus ® G2安全架构之上，能提供基于深度应用、角色等流量管理。

2. StoneOS® QoS基本结构StoneOS ®的QoS 基于以下基本模块实现：● QoS识别和标记技术。

用于网络元素间从点到点的QoS 协调● 单一网络元素内的QoS(例如：队列、拥塞避免、调度、管制以及流量整形工具● 统计功能。

基于角色、应用的实时流量统计，用于控制和管理流量。

Hillstone 山石网科流量管理白皮书3. Hillstone 山石网科解决方案通过结合以下技术，StoneOS ®用创新的专有的技术实现强大而灵活的QoS 解决方案：● 基于RFC 的DSCP 标记●IP QoS● 角色QOS ● 应用QoS ● 混合QOS ● 应用标记● 弹性QoS3.1 与第三方设备互通QoS 是不同品牌网络设备之间共同努力的结果。

以一个大型企业的网络环境为例，Hillstone 山石网科设备可以被部署为分支办公室的网关设备，它可能与Cisco 的路由器共同工作。

Hillstone山石网科流量管理白皮书Hillstone山石网科流量管理白皮书1. 概述随着互联网的应用和企事业应用的快速发展，爆发出来种类繁多的新应用正在一点一点的蚕食着用户网络中带宽，你也许会碰到下面的一些问题：●即使把带宽增加了，正常业务访问还是变慢了？●有没有办法保证重要业务不受到影响？●有没有办法查看到底是谁在蚕食我的带宽？从根本上来讲，QOS功能能够为特定类型的流量提供更好的服务，特定类型既可以是针对某个角色，比如老板的流量访问、财务部门的流量，也可以针对某种应用，比如针对企事业重要的正常业务。

从技术实现来看，主要是通过提高这些特定类型的流量优先级和带宽配额或者降低其他流量的优先级和带宽配额来实现，比如降低P2P下载应用的带宽。

StoneOS® QoS是一个工具箱，能够保证服务的可用性，能够有效管理带宽资源和区分网络应用的优先级。

同时，StoneOS® QoS是建立在Hillstone 山石网科多核Plus® G2安全架构之上，能提供基于深度应用、角色等流量管理。

2. StoneOS® QoS基本结构StoneOS®的QoS基于以下基本模块实现：●QoS识别和标记技术。

用于网络元素间从点到点的QoS协调●单一网络元素内的QoS(例如：队列、拥塞避免、调度、管制以及流量整形工具)●统计功能。

基于角色、应用的实时流量统计，用于控制和管理流量。

Hillstone山石网科流量管理白皮书3. Hillstone 山石网科解决方案通过结合以下技术，StoneOS®用创新的专有的技术实现强大而灵活的QoS解决方案：●基于RFC的DSCP标记●IP QoS●角色QOS●应用QoS●混合QOS●应用标记●弹性QoS3.1 与第三方设备互通QoS是不同品牌网络设备之间共同努力的结果。

以一个大型企业的网络环境为例，Hillstone 山石网科设备可以被部署为分支办公室的网关设备，它可能与Cisco的路由器共同工作。

Ipv6整体解决方案Hillstone Networks Inc. 2016年03月10日内容提交人审核人更新内容日期V1 2016/3/10目录1需求分析 (3)2解决方案 (3)2.1设备信息 (3)2.2拓扑 (3)2.3主要配置 (4)2.3.1总部 (4)2.3.2分支1（模拟环境，不考虑上互联网问题） (6)2.3.3分支2 (8)3建设效果 (8)1需求分析某用户有100多个office，都采用电信光纤接入，需要逐步从IPv4演变为IPv6地址，在这种场景下，需要做到IPv4到IPv6内网的互通。

场景模拟如下：一个总部两个分支，总部内网采用IPv6地址，外网地址采用IPv4；分支1外网IPv4，内网IPv6；分支机构2内外网都为IPv4地址。

需求如下：A.总部的IPv6地址可以访问到互联网IPv4资源，总部的IPv6地址可以提供互联网用户访问。

B.总部和分支1的IPv6地址通过公网6in4隧道互相通信。

C.总部和分支2的IPv4地址互相通信。

2解决方案2.1设备信息2.2拓扑分支12005::2/96 2.3主要配置2.3.1总部A.接口interface ethernet0/1zone "untrust"ip address 200.0.0.2 255.255.255.0manage httpexitinterface ethernet0/2zone "trust"dns-proxyipv6 enableipv6 address 2005::1/96manage pingexitinterface tunnel1zone "trust"ipv6 enabletunnel ip6in4 "fenzhi1"exitB.Nat和路由ip vrouter "trust-vr"snatrule id 1 from "2005::/96" to "2003::/96" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #总部上网snatsnatrule id 2 from "2005::2/96" to "2004::2" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #与分支2通信snatsnatrule id 3 from "Any" to "200.0.0.2" service "Any" eif ethernet0/2 trans-to 2005::1 mode dynamicport #公网已知ip访问总部ipv6服务器snatdnatrule id 1 from "2005::/96" to "2003::/96" service "Any" v4-mapped #总部上网dnat dnatrule id 2 from "2005::2/96" to "2004::2" service "Any" trans-to "200.0.0.4" #与分支2通信dnatdnatrule id 3 from "Any" to "200.0.0.2" service "Any" trans-to "2005::2" #公网已知ip访问总部ipv6服务器dnatip route 0.0.0.0/0 200.0.0.1ipv6 route 2001::/96 tunnel1exitC.策略rule id 1action permitsrc-addr "Any"dst-addr "Any"service "Any"exitrule id 2action permitsrc-ip 2005::/96dst-ip 2004::/96service "Any"exitrule id 3action permitsrc-ip 2005::/96dst-ip 2003::/96service "Any"exitrule id 4action permitsrc-ip 2005::/96dst-ip 2001::/96service "Any"exitrule id 5action permitsrc-ip 2001::/96dst-ip 2005::/96service "Any"exitrule id 6action permitsrc-addr "IPv6-any"dst-addr "IPv6-any"service "Any"exitD.其他配置tunnel ip6in4 "fenzhi1" manualinterface "ethernet0/1"destination 200.0.0.3exitip name-server 8.8.8.8 vrouter trust-vrip dns-proxy domain any name-server 8.8.8.8 vrouter trust-vripv6 dns64-proxy id 1 prefix 2003::/96 source 2005::/96 trans-mapped-ip any2.3.2分支1（模拟环境，不考虑上互联网问题）A.接口interface ethernet0/1zone "untrust"ip address 200.0.0.3 255.255.255.0manage pingexitinterface ethernet0/2zone "trust"ipv6 enableipv6 address 2001::1/96manage pinginterface tunnel1zone "trust"ipv6 enabletunnel ip6in4 "zongbu"exitB.Nat和路由ip vrouter "trust-vr"ip route 0.0.0.0/0 200.0.0.1 ipv6 route 2005::/96 tunnel1C.策略rule id 1action permitsrc-addr "Any"dst-addr "Any"service "Any"exitrule id 33action permitsrc-ip 2001::/96dst-ip 2005::/96service "Any"exitrule id 34action permitsrc-ip 2005::/96dst-ip 2001::/96service "Any"exitrule id 35action permitsrc-addr "IPv6-any"dst-addr "IPv6-any" service "Any"exitD.其他配置tunnel ip6in4 "zongbu" manual interface "ethernet0/1" destination 200.0.0.2exit2.3.3分支2A.接口interface ethernet0/3zone "trust"ip address 192.168.2.1 255.255.255.0manage pingexitinterface ethernet0/4zone "untrust"ip address 200.0.0.4 255.255.255.0manage pingexitB.Nat和路由ip vrouter "trust-vr"snatrule id 1 from "Any" to "Any" service "Any" eif ethernet0/4 trans-to eif-ip mode dynamicport dnatrule id 1 from "200.0.0.2" to "200.0.0.4" service "Any" trans-to "192.168.2.254"ip route 0.0.0.0/0 200.0.0.1exitC.策略rule id 1action permitsrc-addr "Any"dst-addr "Any"service "Any"exit3建设效果通过以上配置可以实现：A.总部访问公网IPv4域名；可以访问固定的公网ip；互联网用户可以访问总部内网服务器B.总部和分支1可以相互通信C.总部和分支2可以相互通信A.由于Nat64技术的限制，如果公网ip不固定且无法对应到域名，则总部端无法访问该ip（因为需要在FW上添加固定的转换规则）B.策略中调用IPv6的any地址簿时应该用“IPv6-any”这个地址簿C.总部PC的DNS需要指向总部FW的内网口ip，即2005::1。

Ipv6整体解决方案Hillstone Networks Inc. 2016年03月10日内容提交人审核人更新内容日期V1 2016/3/10目录1需求分析 (3)2解决方案 (3)2.1设备信息 (3)2.2拓扑 (3)2.3主要配置 (4)2.3.1总部 (4)2.3.2分支1（模拟环境，不考虑上互联网问题） (6)2.3.3分支2 (8)3建设效果 (8)1需求分析某用户有100多个office，都采用电信光纤接入，需要逐步从IPv4演变为IPv6地址，在这种场景下，需要做到IPv4到IPv6内网的互通。

场景模拟如下：一个总部两个分支，总部内网采用IPv6地址，外网地址采用IPv4；分支1外网IPv4，内网IPv6；分支机构2内外网都为IPv4地址。

需求如下：A.总部的IPv6地址可以访问到互联网IPv4资源，总部的IPv6地址可以提供互联网用户访问。

B.总部和分支1的IPv6地址通过公网6in4隧道互相通信。

C.总部和分支2的IPv4地址互相通信。

2解决方案2.1设备信息2.2拓扑分支12005::2/96 2.3主要配置2.3.1总部A.接口interface ethernet0/1zone "untrust"ip address 200.0.0.2 255.255.255.0manage httpexitinterface ethernet0/2zone "trust"dns-proxyipv6 enableipv6 address 2005::1/96manage pingexitinterface tunnel1zone "trust"ipv6 enabletunnel ip6in4 "fenzhi1"exitB.Nat和路由ip vrouter "trust-vr"snatrule id 1 from "2005::/96" to "2003::/96" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #总部上网snatsnatrule id 2 from "2005::2/96" to "2004::2" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #与分支2通信snatsnatrule id 3 from "Any" to "200.0.0.2" service "Any" eif ethernet0/2 trans-to 2005::1 mode dynamicport #公网已知ip访问总部ipv6服务器snatdnatrule id 1 from "2005::/96" to "2003::/96" service "Any" v4-mapped #总部上网dnat dnatrule id 2 from "2005::2/96" to "2004::2" service "Any" trans-to "200.0.0.4" #与分支2通信dnatdnatrule id 3 from "Any" to "200.0.0.2" service "Any" trans-to "2005::2" #公网已知ip访问总部ipv6服务器dnatip route 0.0.0.0/0 200.0.0.1ipv6 route 2001::/96 tunnel1exitC.策略rule id 1action permitsrc-addr "Any"dst-addr "Any"service "Any"exitrule id 2action permitsrc-ip 2005::/96dst-ip 2004::/96service "Any"exitrule id 3action permitsrc-ip 2005::/96dst-ip 2003::/96service "Any"exitrule id 4action permitsrc-ip 2005::/96dst-ip 2001::/96service "Any"exitrule id 5action permitsrc-ip 2001::/96dst-ip 2005::/96service "Any"exitrule id 6action permitsrc-addr "IPv6-any"dst-addr "IPv6-any"service "Any"exitD.其他配置tunnel ip6in4 "fenzhi1" manualinterface "ethernet0/1"destination 200.0.0.3exitip name-server 8.8.8.8 vrouter trust-vrip dns-proxy domain any name-server 8.8.8.8 vrouter trust-vripv6 dns64-proxy id 1 prefix 2003::/96 source 2005::/96 trans-mapped-ip any2.3.2分支1（模拟环境，不考虑上互联网问题）A.接口interface ethernet0/1zone "untrust"ip address 200.0.0.3 255.255.255.0manage pingexitinterface ethernet0/2zone "trust"ipv6 enableipv6 address 2001::1/96manage pinginterface tunnel1zone "trust"ipv6 enabletunnel ip6in4 "zongbu"exitB.Nat和路由ip vrouter "trust-vr"ip route 0.0.0.0/0 200.0.0.1 ipv6 route 2005::/96 tunnel1C.策略rule id 1action permitsrc-addr "Any"dst-addr "Any"service "Any"exitrule id 33action permitsrc-ip 2001::/96dst-ip 2005::/96service "Any"exitrule id 34action permitsrc-ip 2005::/96dst-ip 2001::/96service "Any"exitrule id 35action permitsrc-addr "IPv6-any"dst-addr "IPv6-any" service "Any"exitD.其他配置tunnel ip6in4 "zongbu" manual interface "ethernet0/1" destination 200.0.0.2exit2.3.3分支2A.接口interface ethernet0/3zone "trust"ip address 192.168.2.1 255.255.255.0manage pingexitinterface ethernet0/4zone "untrust"ip address 200.0.0.4 255.255.255.0manage pingexitB.Nat和路由ip vrouter "trust-vr"snatrule id 1 from "Any" to "Any" service "Any" eif ethernet0/4 trans-to eif-ip mode dynamicport dnatrule id 1 from "200.0.0.2" to "200.0.0.4" service "Any" trans-to "192.168.2.254"ip route 0.0.0.0/0 200.0.0.1exitC.策略rule id 1action permitsrc-addr "Any"dst-addr "Any"service "Any"exit3建设效果通过以上配置可以实现：A.总部访问公网IPv4域名；可以访问固定的公网ip；互联网用户可以访问总部内网服务器B.总部和分支1可以相互通信C.总部和分支2可以相互通信A.由于Nat64技术的限制，如果公网ip不固定且无法对应到域名，则总部端无法访问该ip（因为需要在FW上添加固定的转换规则）B.策略中调用IPv6的any地址簿时应该用“IPv6-any”这个地址簿C.总部PC的DNS需要指向总部FW的内网口ip，即2005::1。

Hillstone广电网络安全解决方案Hillstone山石网科广电网多链路出口安全解决方案——应用Hillstone山石网科助力广电网多链路负载均衡&安全管理解决方案山石网科通信技术(北京)有限公司2010年4月一、广电网出口网络现状描述1项目背景广电网，通常是各地有线电视网络公司（台）负责建设运营的。

其职能类似于ISP，可向政府，企业，网吧或普通用户提供宽带接入。

但广电自己没有独立的Internet接入出口。

所以，广电会向电信，网通等ISP租用带宽，而后再通过光纤或HFC网向用户提供宽带接入服务，其职能类似于2级ISP。

通常情况下，为了保证互联网访问的服务质量，缓解中国存在的南北两家ISP带来的互联互通问题，广电采用同时租用多家ISP链路的办法以保障INTERNET链路出口的稳定性和访问质量。

通过分析，广电网络中通常存在如下问题：1）需要高性价比的多链路负载均衡解决方案为了保证出口链路对互联网访问的质量，广电会同时租用多家ISP的链路以保障INTERNET链路出口的稳定性和访问质量。

通常情况下，广电至少租用电信和网通2大ISP的链路，部分地区会进一步接入联通，铁通和教育网的链路。

多链路的接入，扩充了带宽，但也给广电带来了新的挑战－各种出口链路的流量负载分配的问题。

选择F5等负载均衡厂商产品来解决出口网络的均衡问题是一种方法，但该类设备的价格昂贵，处理性能不理想，且安全性较低。

所以，广电迫切需要一性价比更高的多链路负载均衡的解决方案。

2）日益增长的业务访问量给防火墙带来巨大压力广电网从建立之初就考虑到了安全问题，采用防火墙设备做为广电网网络出口安全防护已经比较普遍。

但广电网现有的防火墙部署时间较早，一般都是采用传统的X86架构或ASIC架构。

其网络性能往往不能继续支撑日益增长的业务访问量。

随着跨网应用的骤增，广电网网络环境基于X86或者ASIC的传统架构的防火墙会导致网络传输延迟增大，部分的防火墙设备已成为整个网络传输的瓶颈之一，严重影响整个广电网出口的正常业务需求。

hillstone培训-路由器部分本文档涉及附件：附件1：路由器配置示例附件2：路由器常见问题解决方案附件3：路由器技术规格说明书附件4：路由器安装手册本文所涉及的法律名词及注释：1、知识产权：指股权、专利权、商标权、著作权、商业秘密等一切合法权益。

2、数据隐私：指个人或组织在使用互联网等信息技术过程中产生和环境遭遇到的隐私问题。

3、用户协议：也称为使用协议、服务协议，是指为约束用户行为，在特定服务的使用过程中规定用户权利和义务的文件。

4、网络安全：指在计算机网络上保护网络系统和数据免遭未经授权的访问、损害或窃取的能力。

5、违规行为：指违反相关法律法规、网络协议、用户协议或企业规章制度的行为。

6、配置文件：是指路由器中用于存储设备配置信息的文件，包括网络设置、接口配置、VPN配置等。

7、VLAN：指虚拟局域网，是一种将局域网的组成员限制在逻辑上的技术。

8、ACL：指访问控制列表，是用于路由器、防火墙等设备上的网络访问控制机制。

9、NAT：指网络地质转换，是一种将私有网络地质与公网地质相互转换的技术。

10、VPN：指虚拟专用网络，是一种通过公共网络（如Internet）建立私密的加密通讯技术。

路由器部分1、路由器简介1.1 路由器的定义和作用1.2 路由器的分类和应用场景2、路由器的基本原理2.1 IP地质和子网掩码2.2 路由表和路由选择协议2.3 软件路由和硬件路由3、路由器的安装与配置3.1 路由器的硬件连接3.2 路由器的初始配置3.3 路由器的网络设置（包括IP地质、子网掩码、默认网关）3.4 路由器的接口配置（包括以太网接口、串口接口）3.5 路由器的管理配置（包括用户名、密码、SSH访问）3.6 路由器的高级配置（包括VLAN、ACL、NAT、VPN设置）4、路由器的故障排除4.1 路由器常见问题及解决方案4.2 路由器故障排查的基本方法4.3 路由器故障的常见原因及处理方法。

Hillstone山石网科HSM（Hillstone SecurityManagement TM）白皮书概述HSM是为了使企业和服务提供商可以很容易地管理多个设备，最大程度地降低了配置，管理，监控及维护设备的投入成本。

支持企业和服务提供商集中高效地完成和管理多台设备的需求。

结合山石网科上网行为管理，为企业提供了全方位基于用户和应用的审计。

可针对Web访问、论坛发帖、P2P、IM（即时通讯）、游戏等等进行细粒度审计，能够满足公安部82号令要求，提供长期的审计数据保存和维护。

通过集中的对全网设备进行状态监控、流量监控、行为分析，总结出用户网络的安全威胁和安全漏洞，通过保持持续的安全定义和策略的应用提高了系统的安全，最终构成安全闭环，达到动态安全防护。

产品架构HSM系统分为三部分，即HSM代理（Hillstone Security Management Agent）、HSM服务器（Hillstone Security Management Server）和HSM客户端（Hillstone Security Management Client）。

将这三部分合理部署到网络中，并且实现安全连接后，用户可以通过客户端程序，查看被管理安全设备的日志信息、统计信息、设备属性等，监控被管理设备的运行状态和流量信息。

HSM代理HSM系统对Hillstone安全设备进行管理和控制，因此，每台Hillstone安全设备运行的StoneOS都包含HSM代理模块，通过对代理模块的配置，使Hillstone安全设备与服务器相连，从而实现管理和控制。

HSM服务器HSM服务器是网管系统的管理中心，完成信息及数据的存储、分析和转发,实时接收并监控所有被管理设备的运行信息，实时接收安全告警消息，实时接收各种日志消息，且可提供长达半年的日志信息多条件查询和过滤。

HSM客户端HSM客户端是一个安装在Windows 2000/2003/XP操作系统的应用程序，提供简单友好的用户操作界面。

Hillstone 山石网科UTM Plus 技术白皮书1 概述从防火墙到UTM早期的安全设备基本上都是单点串行的接入方式。

安全设备独立运行，管理复杂，单点故障多带来的可靠性极低., 同时，安全状态分析复杂, 并且投资较高，维护成本高，使用的处理的数据在所有的设备上都需要处理以便，对性能的牺牲也是极大的。

从UTM到UTM PlusUTM（统一威胁管理）的出现似乎解决了这以问题，UTM的部署方式不再是单点串行部署，而是将所有的安全引擎都内置在同一安全设备上，从理论上来将，UTM的出现解决了传统防火墙，防病毒，入侵防御等单点式安全产品串行部署带来的一系列如安全管理，投资高，维护成本大，单点故障多的问题。

但是，是不是UTM的出现就能解决所有的问题了呢？●从传统的UTM实现来看，只是将安全功能简单的叠加，导致系统性能急剧下降，系统不可用。

所有安全功能单独运行，仅是简单集成到了一个系统平台上，安全模块没有做到内部互动，安全问题依然存在, 传统UTM越来越成为了概念，离使用越来越远…图1 传统UTM 串行软件处理架构●从当前用户对网络安全需求的角度来看，之前网络安全的管理的重心主要是集中在在外网到内网的攻击防护和阻断，但随着互联网业务的发展，业务带宽被P2P等下载软件蚕食，无序的、不受约束的上网行为导致不良网站访问、“安全门”、“泄密门”等信息泄密事件的产生等。

全网安全管理，而不仅仅是外网攻击防护，已经让传统UTM只能“防外不防内”的解决方案失去了意义。

UTM Plus是什么UTM Plus是建立在传统UTM解决方案之上，能应对当今复杂多变的网络应用，能满足当下用户对安全应用的需求，并且不管从系统架构层面到软件设计，都具备良好的处理能力来支持所有庞大的功能模块正常运行。

●从网络应用的变化角度来看，UTM Plus解决方案必须能识别和处理新型复杂多变的应用，只有可视化的识别这些应用才能针对应用进一步做对应安全引擎处理。

Hillstone攻击防护应用随着网络应用不断深入，利用网络进展攻击速度也越来越快，手段也越来越高明，组织、企业与效劳供给商面临着越来越高风险，同时给您业务带来日益严峻威胁。

利用混合技术攻击网络根底架构新型混合攻击在不断增加与演变，这意味着企业无论规模大小都必须坚持不懈地保护自己，以抵御这些不断变化威胁。

单凭传统、被动平安技术已经不能确保网络可用性、完整性与数据保密性。

由于传统技术本身能力所限，无法提供前瞻性威胁检测与防护，对于手段高明且极具针对性拒绝效劳〔DoS〕攻击，以及间谍软件、恶意软件与IP语音〔VoIP〕等威胁，企业防线仍然十分脆弱。

企业需要部署先进前瞻性防护，以抵御基于网络威胁与攻击，从而保护其重要网络根底架构。

而且，各类企业都面临强大管理与审核压力，它们要确保机密数据平安并降低业务风险。

为了实现全面、前瞻性网络攻击防护以抵御当前众多威胁与攻击，企业与组织需要部署新一代网络平安网关防护。

创新一代Hillstone SA系列平安网关提供了全面、准确与极具扩展性威胁防护。

Hillstone SA系列平安网关能够帮助企业、效劳供给商与中小型企业〔SMB〕通过前瞻性、全面威胁防护，来确保其重要网络根底架构可用性与平安性。

Hillstone SA系列平安网关解决方案1、创新新一代网络平安架构，天生高性能应用层抗攻击能力Hillstone全线产品采用了创新新一代网络平安架构，硬件平台采用64位高性能多核处理器Multi-Core CPU〔多达16核〕，内部传输采用高达48Gbps高速交换总线，同时高端产品采用多核处理器与新一代高性能专用ASIC处理器，其网络平安处理能力到达了一个新起点。

尤其是平安产品中重要参数之一每秒新建会话数是目前业界最高性能基于ASIC与NP架构平安产品5到10倍！64位专用高性能多核处理器多核并行处理能力为应用层内容平安功能提供了强大保障，同时又防止了纯ASIC与NP平安系统对会话可管理能力与流量控制能力弱弊病。

Hillstone山石网科上网行为管理白皮书第一篇：Hillstone山石网科上网行为管理白皮书Hillstone山石网科上网行为管理白皮书概述互联网的兴起与普及为人们的工作和生活提供了极大的便利，与此同时，经由内部访问互联网导致的带宽滥用、效率下降、信息泄漏、法律风险、安全隐患等问题日益凸显。

例如，在企业内部，部分员工利用工作时间在线炒股、玩在线游戏、欣赏音乐和视频、通过P2P工具下载、使用即时通讯工具无节制地网络聊天、通过网络外泄公司机密；在网吧等一些公共上网场所，人们可以随意浏览不健康网站、发表不负责任的言论、甚至参与非法网络活动……针对互联网所带来的上述问题，StoneOS提供许可证控制的上网行为管理功能。

该功能通过对用户的网络访问行为进行控制和管理，有效解决因接入互联网而可能引发的各种问题，优化对互联网资源的应用。

产品功能StoneOS上网行为管理功能对网络游戏、在线聊天、在线炒股、P2P下载、网页访问、邮件外发及论坛发帖等各种网络行为进行全面控制管理，并可以根据需要针对不同用户、不同网络行为、不同时间进行灵活的管理策略设置和日志记录，同时能够配合Hillstone山石网科集中网络安全管理系统（HSM）对网络行为日志进行查询统计与审计分析，从而为网络管理者的决策和管理提供重要的数据依据。

上网行为管理策略StoneOS上网行为管理功能主要通过策略机制实现，网络管理者可以针对不同用户制定适合的上网行为管理策略规则，系统则会根据策略规则对网络应用流量进行行为控制和管理。

上网行为管理策略规则共分为三类：网络应用控制策略规则、网页内容控制策略规则和外发信息控制策略规则，每类中又包含若干子控制策略规则。

策略规则名称、优先级、用户、时间表、网络行为以及控制动作构成上网行为管理策略规则的基本元素。

通过WebUI配置上网行为管理策略规则，需要进行下列基本元素的配置：♦策略规则名称–上网行为管理策略规则的名称。

Hillstone防火墙高可靠组网解决方案技术白皮书关键词：防火墙，单点故障，状态检测，HA组，AP，AA，Hillstone集群管理协议（HCMP），冗余，负载均衡，非HA组，非对称流量，企业网络出口，数据中心网络出口，宽带运营商网络出口，状态机。

摘要：本文介绍了防火墙高可靠组网的需求背景、Hillstone防火墙高可靠组网的工作模式、典型应用场景，以及Hillstone集群管理协议的基本原理。

缩略语：1.防火墙高可靠组网需求背景1.1单机部署存在单点故障风险单台设备部署时，无论其可靠性多高，系统都必然要承受因单点故障而导致网络业务中断的风险。

而且防火墙部署在互联网出口一般主要使用网络地址转换（NAT）功能，因此无法使用Bypass来解决单点故障问题。

图1单机部署存在单点故障风险1.2双活单机部署依然存在问题单点故障问题可通过双活架构组网来规避，但防火墙（不同于路由器）是状态检测设备，如果仍是单机模式，会出现单台设备故障时，靠路由冗余切换过来的TCP流无法通过状态检测而中断。

即使防火墙关闭状态检测，对于需要网络地址转换的流，由于没有NAT会话同步，也会导致中断。

而且流的后续报文可能缺少应用特征关键字，导致流量应用类型识别不准。

图2双活单机部署依然存在问题2.Hillstone防火墙高可靠组网工作模式Hillstone防火墙高可靠组网工作模式目前有三种：“HA组”AP模式、“HA组”AA模式、“非HA组”AA模式。

“HA组”是指两台防火墙通过Hillstone集群管理协议建立互相备份关系（Hillstone集群管理协议的基本原理请参考附文），而“非HA组”则是两台防火墙依赖组网中的路由冗余建立互相备份关系。

2.1“HA组”AP模式两台设备（工作在透明模式或者路由模式）配置成一个“HA组”，一台作为主设备，另一台作为备份设备。

主设备处于活动状态，转发报文，同时将其所有网络和配置信息以及当前会话信息传递给备份设备。

山石网科虚拟云安全解决方案技术白皮书——山石云·格面向虚拟化数据中心的软件定义安全数据中心已经从物理架构演进到大规模虚拟和云的架构。

服务器和存储被虚拟化成为很多数据中心的标准，新兴的网络功能虚拟化（NFV）和软件定义网络（SDN）技术有望通过虚拟化的网络和安全功能完成物理到虚拟的演进。

虚拟数据中心在效率、业务敏捷性，以及快速的产品上市时间上有明显的优势。

然而，应用、服务和边界都是动态的，而不是固定和预定义的，因此实现高效的安全十分具有挑战性。

传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提供高效的安全层，这是有很多原因的。

从南北到东西在传统数据中心里，防火墙、入侵防御，以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量，一般叫做南北向流量或客户端服务器流量。

在今天的虚拟化数据中心里，像南北向流量一样，交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。

多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略，这些租户的虚拟机往往是装在同一台物理服务器里的。

不幸的是，传统安全解决方案是专为物理环境设计的，不能将自己有效地插入东西向流量的环境中，所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御，以及防病毒等服务链中去。

这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的，因为它会增加网络的延迟和制造性能瓶颈，从而导致应用响应时间的缓慢和网络掉线。

负载移动性和可扩展性静态安全解决方案在物理静态负载环境中是有效的。

在虚拟化数据中心里，负载移动性和迁移是常态，那就意味着安全解决方案不仅也要具有移动性，还要能够感知负载的移动。

而且它还得保持状态并对安全策略做出实时响应。

要做到这一点，最好的办法就是通过与云管理平台（例如vCenter和OpenStack）紧密集成。

在虚拟化环境里，负载增大、减小和移动，以满足业务和应用的需求，安全解决方案的可扩展性和弹性显得尤为重要。

Hillstone下一代智能防火墙技术白皮书之• 流量的划分不够精细，大部分QoS只能做到基于5元组的流量划分• 缺乏QoS管理手段，缺少直观可视，简单易用的QoS呈现• 优先级的处理效果有限，不能很好的保证关键业务优先调度处理• 剩余带宽不能得到合理有效的利用Hillstone T系列下一代智能防火墙独创的具有专利技术的增强的智能流量管理（iQoS），可以实现两层八级的管道嵌套以及更细粒度的流量控制，满足不同网络层次部署的需要，能够很好的解决传统QoS无法解决的问题。

制总P2P下载带宽30Mbps；这种配置很不灵活，其实是通过分别限制财务总监和普通员工的P2P下载带宽达到限制总P2P下载带宽30Mbps的目的。

iQoS两层流控的做法是：第一层流控基于用户进行控制，即限制财务总监带宽50Mbps、普通财务员工带宽30Mbps，第二层流控基于P2P应用进行控制，即将总的P2P下载速率限制到30Mbps。

这种处理很灵活，不需要分别限制财务总监和普通员工的P2P下载带宽，他们各自P2P的下载带宽不用设置成固定的值，经过第二层流控时很自然会将总的P2P下载速率限制到30Mbps。

两层流控工作流程如下图：第一层流控第二层流控图1 两层流控工作流程示意图2.1.2 单层四级嵌套Hillstone 增强的智能流量管理（iQoS ）在每一层流控中，最多支持四级管道的嵌套。

流量会按照匹配条件，逐级匹配管道；未匹配到任何管道的流量，则进入预定义的默认管道。

每一级管道都有各自的匹配条件（rule ）和流控动作，满足匹配条件的流量按照该管道配置的流控动作进行相应的流量控制。

匹配条件（rule ）包括源安全域、源接口、源地址条目、目的安全域、目的接口、目的地址条目、用户/用户组、服务/服务组、应用/应用组、TOS 、Vlan ，可以根据一种条件来划分流量，如根据源地址条目；也可以根据多种条件组合来划分流量，多种条件之间是”与”的关系，如根据源接口、目的地址条目和应用HTTP ，即从指定的源接口到具体的目的地址的HTTP 流量，这样能够更加精细的划分流量。