山石网科Ipv6整体解决方案

Version2.11.0山石网科安全审计平台版本说明本文档包含了山石网科安全审计平台2.5.0到2.11.0版本的版本说明，主要介绍了各版本的新增功能和已知问题等内容。

l HSA2.11.0l HSA2.10.0l HSA2.9.0l HSA2.8.0l HSA2.7.1l HSA2.6.0l HSA2.5.0HSA2.11.0发布概述发布日期：2021年1月8日平台和系统文件适用StoneOS版本适用于StoneOS4.0R6及更高的版本，建议使用最新的StoneOS版本。

新增功能已知问题HSA2.10.0发布概述发布日期：2020年9月30日平台和系统文件适用StoneOS版本适用于StoneOS4.0R6及更高的版本，建议使用最新的StoneOS版本。

新增功能已知问题HSA2.9.0发布概述发布日期：2020年8月5日平台和系统文件适用StoneOS版本适用于StoneOS4.0R6及更高的版本，建议使用最新的StoneOS版本。

新增功能HSA2.8.0发布概述发布日期：2020年5月20日平台和系统文件适用StoneOS版本适用于StoneOS4.0R6及更高的版本，建议使用最新的StoneOS版本。

已知问题HSA2.7.1发布概述发布日期：2020年2月28日平台和系统文件适用StoneOS版本适用于StoneOS4.0R6及更高的版本，建议使用最新的StoneOS版本。

新增功能已知问题HSA2.6.0发布概述发布日期：2019年8月12日平台和系统文件适用StoneOS版本适用于StoneOS4.0R6及更高的版本，建议使用最新的StoneOS版本。

新增功能已知问题HSA2.5.0发布概述发布日期：2020年4月8日平台和系统文件适用StoneOS版本适用于StoneOS4.0R6及更高的版本，建议使用最新的StoneOS版本。

新增功能已知问题版本升级说明l当HSA2.0R3P3及以前版本升级到该版本时，需要首先升级过渡版本HSApro2.0R3P3_transition.bin。

Hillstone山石网科下一代防火墙基础配置手册V5.5版本Hillstone Networks Inc.服务热线：400 828 6655内容提交人审核人更新内容日期陈天骄陈天骄初次编写2016/1/14目录1 设备管理 (3)1.1 终端console登录 (3)1.2 网页WebUI登录 (3)1.3 恢复出厂设置 (5)1.3.1 CLI命令行操作 (5)1.3.2 WebUI图形化界面操作 (5)1.3.3 硬件CLR操作 (6)1.4 设备系统（StoneOS）升级 (6)1.4.1 通过sysloader升级 (6)1.4.2 通过CLI升级 (9)1.4.3 通过WebUI升级 (9)1.5 许可证安装 (10)1.5.1 CLI命令行安装 (10)1.5.2 WebUI安装 (11)2 基础上网配置 (11)2.1 接口配置 (11)2.2 路由配置 (13)2.3 策略配置 (14)2.4 源地址转换配置（SNAT） (15)3 常用功能配置 (16)3.1 PPPoE拨号配置 (16)3.2 动态地址分配（DHCP）配置 (17)3.3 IP-MAC地址绑定配置 (20)3.4 端到端IPSec VPN配置 (21)3.4.1 配置第一阶段P1提议 (22)3.4.2 配置ISAKMP网关 (23)3.4.3 配置第二阶段P2提议 (24)3.4.4 配置隧道 (25)3.4.5 配置隧道接口 (26)3.4.6 配置隧道路由和策略 (28)3.4.7 查看VPN状态 (29)3.5 远程接入SCVPN配置 (30)3.6 目的地址转换DNAT配置 (38)3.6.1 IP映射 (39)3.6.2 端口映射 (41)1设备管理安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、Telnet、SSH等主流通信管理协议。

“安全”的IPv6依然不安全作者：孙杰贤来源：《中国信息化》2018年第10期截至2016年10月底，亚太、欧洲、拉美、北美等地区IPv4地址池已完全耗尽。

和最多提供约43亿个IP地址的IPv4 相比，IPv6理论可提供2的128次方个IP地址。

据说，就算给铺在地球表面上的每一粒沙子都分配一个IP地址，IPv6仍然是绰绰有余。

当然，相比IPv4，IPv6的优势不至海量这一点。

大概10多年前，就有“未来的互联网属于IPv6”的欢呼和论断。

但我们从来没有IPv4被吊打的深切感受，也没有见到IPv6的遍地开花。

然而5G来了，物联网来了，这一次，IPv6真的有了用武之地。

IPv6部署重回正轨去年11月26日，中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版（IPv6）规模部署行动计划》，指出：“抓住全球网络信息技术加速创新变革、信息基础设施快速演进升级的历史机遇，加强统筹谋划，加快推进IPv6规模部署，构建高速率、广普及、全覆盖、智能化的下一代互联网，是加快网络强国建设、加速国家信息化进程、助力经济社会发展、赢得未来国际竞争新优势的紧迫要求。

”可以说，《行动计划》的推出让IPv6部署和应用重回正轨。

我国计划用5到10年时间，形成下一代互联网自主技术体系和产业生态，建成全球最大规模的IPv6商业应用网络，实现下一代互联网在经济社会各领域深度融合应用，成为全球下一代互联网发展的重要主导力量。

我国政府之所以大力推进IPv6的规模部署，一方面因为IPv6拥有更充沛的地址资源、更可靠的安全保障；更是顺应了因AI、大数据、云计算、5G、物联网等技术的出现和应用而蓬勃发展的万物互联智能世界的要求。

数字技术的创新，将进一步推动产业的发展，从而驱动数字经济的进一步增长。

此外，还有一个很重要的原因就是IPv6网络的安全性。

加快IPv6规模应用为解决网络安全问题提供了新平台，为提高网络安全管理效率和创新网络安全机制提供了新思路。

Version 1.0
1
版权所有，保留所有权利Copyright © 2022, Hillstone Networks
《版本说明_IGAP_工业网闸 1.0》包含了工业网闸1.0版本以及后续版本的版本说明，主要介绍了各版本的新增功能、已知问题等内容。

版本说明 IGAP 工业网闸 1.0
版本说明 IGAP 工业网闸 1.0
发布概述
发布日期：2022年09月07日
该版本是山石网科IGAP系列工业网闸的首次发布，主要内容为产品型号、产品功能列表、已知问题等。

平台和系统文件
产品功能列表
浏览器兼容性
以下浏览器通过了WebUI测试，推荐用户使用：✹Firefox
✹Microsoft Edge
✹Chrome
获得帮助
Hillstone IGAP系列工业网闸配有以下手册，请访问获取：✹《山石网科工业网闸IGAP_硬件参考指南》
✹《山石网科工业网闸IGAP_WebUI用户手册》
✹《山石网科工业网闸IGAP_日志信息参考指南》
✹《山石网科工业网闸IGAP_故障排查手册》
✹《山石网科工业网闸IGAP_新手入门指南》
✹《山石网科工业网闸IGAP_配置案例手册》
✹《山石网科工业网闸IGAP_RESTful API手册》
服务热线：400-828-6655
官方网址：。

Version5.5R8Copyright2020Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is furnished under a license agreement or nondisclosure agreement.The software may be used or copied only in accordance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hill-stone Networks.Hillstone Networks本文档禁止用于任何商业用途。

联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州高新区科技城景润路181号邮编：100192邮编：215000联系我们：/about/contact_Hillstone.html关于本手册本手册介绍山石网科的产品系统的使用方法。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：*************************山石网科https://TWNO:TW-CUG-UNI-VSY-5.5R8-CN-V1.0-11/11/2020目录目录1关于本手册1手册约定1内容约定1CLI约定1命令行接口（CLI）2CLI介绍2命令模式和提示符2执行模式2全局配置模式2子模块配置模式3CLI命令模式切换3命令行错误信息提示3命令行的输入4命令行的缩写形式4自动列出命令关键字4自动补齐命令关键字4命令行的编辑4查看历史命令4快捷键5过滤CLI输出信息5分页显示CLI输出信息6设置终端属性7设置连接超时时间7重定向输出7诊断命令8虚拟系统9 VSYS对象9根VSYS和非根VSYS9管理员10 VRouter、VSwitch、安全域和接口12共享VRouter12共享VSwitch13共享域13共享接口13创建接口13配置VSYS13创建非根VSYS14配置非根VSYS的描述信息14创建VSYS Profile14设置资源配额15设置日志的缓存配额17配置URL过滤18配置入侵防御19配置病毒过滤19配置边界流量过滤20配置QoS20启用/禁用CPU资源配额21绑定Profile到VSYS21进入非根VSYS22配置共享属性22导入/导出物理接口23分配逻辑接口23绑定监测对象23监测指定VSYS状态24回退配置信息（非根VSYS）24退出配置回滚模式25配置退出配置回滚模式的动作26配置VSYS日志功能26配置跨VSYS转发功能27开启跨VSYS转发功能27配置Simple-Switch27创建Simple-Switch27绑定二层安全域到Simple-Switch28创建VWANIF接口28创建VPort接口29配置VWANIF接口29分配VWANIF接口29显示跨VSYS转发功能信息29显示VWANIF接口配置信息30显示VWANIF接口IPv6配置信息30显示VSYS信息30显示VSYS Profile信息30 VSYS配置举例30例1：VSYS在三层流量转发中的应用（通过单一VSYS）31组网需求31配置步骤31例2：VSYS在三层流量转发中的应用（通过共享VRouter）33组网需求33配置步骤34例3：VSYS在二层流量转发中的应用（通过共享VSwitch）37组网需求37配置步骤38例4：跨VSYS的流量转发（通过Simple-Switch）42组网需求42配置步骤43关于本手册手册约定为方便用户阅读与理解，本手册遵循以下约定：内容约定本手册内容约定如下：l提示：为用户提供相关参考信息。

Version4.16.0版本说明本文档包含HSM4.2.0及以后各版本的新增功能、已知问题等内容。

l HSM4.16.0l HSM4.15.0l HSM4.14.0l HSM4.13.0l HSM4.11.0l HSM4.10.0l HSM4.8.0l HSM4.7.0l HSM4.6.0l HSM4.5.0l HSM4.4.0l HSM4.3.0l HSM4.2.0HSM4.16.0本节为HSM4.16.0的版本说明。

产品和版本信息产品名称：山石网科集中安全管理平台（HSM）产品型号：HSM-50、HSM-100-D4、HSM-200、HSM-500-D4、vHSM 软件名称：HSM pro4.16.0发布日期：2022年5月12日适用StoneOS版本：l StoneOS5.5R9和5.5R8支持除了IPS特征库下发以外的所有功能；l StoneOS5.5R7支持HSM的全部功能；l StoneOS5.0R3F5、5.0R4P6支持HSM除2.5R2及更高版本新增功能外的所有功能；l StoneOS4.5R4、5.0R3支持除配置管理和2.5R2及更高版本新增功能外的所有功能（监控功能为受限支持）；l StoneOS4.5R1至4.5R3版本支持注册以及查看设备信息。

适用产品型号：l SG-6000K系列、E系列、X系列、G系列、M系列、T系列、NIP(D)S、ADC、WAF、BDS产品l云•界CloudEdge产品系统文件版本升级说明l vHSM不支持从2.5R3升级到2.5R4P2，但支持从2.5R4升级到2.5R4P1和2.5R4P2。

兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试：l IE11l Chrome新增功能HSM4.15.0本节为HSM4.15.0的版本说明。

产品和版本信息产品名称：山石网科集中安全管理平台（HSM）产品型号：HSM-50、HSM-100-D4、HSM-200、HSM-500-D4、vHSM 软件名称：HSM pro4.15.0发布日期：2022年3月4日适用StoneOS版本：l StoneOS5.5R9和5.5R8支持除了IPS特征库下发以外的所有功能；l StoneOS5.5R7支持HSM的全部功能；l StoneOS5.0R3F5、5.0R4P6支持HSM除2.5R2及更高版本新增功能外的所有功能；l StoneOS4.5R4、5.0R3支持除配置管理和2.5R2及更高版本新增功能外的所有功能（监控功能为受限支持）；l StoneOS4.5R1至4.5R3版本支持注册以及查看设备信息。

Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS（TFTP） (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (41)一对多映射（服务器负载均衡） (44)第4章链路负载均衡 (46)链路负载均衡介绍 (46)基于目的路由的负载均衡 (47)基于源路由的负载均衡 (48)智能链路负载均衡 (48)第5章QoS配置 (51)QoS介绍 (51)IP QoS配置 (51)应用QoS配置 (53)混合QoS配置 (56)QoS白名单配置 (57)第6章网络行为控制 (58)URL过滤（有URL许可证） (58)配置自定义URL库 (61)URL过滤（无URL许可证） (62)网页关键字过滤 (63)网络聊天控制 (67)第7章VPN高级配置 (70)基于USB Key的SCVPN配置 (70)新建PKI信任域 (70)配置SCVPN (75)制作USB Key (76)使用USB Key方式登录SCVPN (78)PnPVPN (80)用户配置 (81)IKE VPN配置 (82)隧道接口配置 (86)路由配置 (87)策略配置 (88)PnPVPN客户端配置 (89)第8章高可靠性 (91)高可靠性介绍 (91)高可靠性配置 (92)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册，对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI配置。

山石网科网络安全审计系统V2.0R1发布概述发布日期：2021年09月03日本次发布主要新增以下功能：1.新增支持SG-6000-ICM1050C、SG-6000-ICM1050C-L、SG-6000-ICM1150C、SG-6000-ICM1250C、SG-6000-ICM1350C和SG-6000-ICM1500C平台；2.基础网络、高级网络、安全防护、控制审计策略、IPS引擎、Restful API接口等功能均支持IPv6网络；3.针对管理员支持分级分权控制（日志、用户、策略、目录）；4.设备本地用户支持通过终端用户自注册方式进入；5.支持同步AD服务器的安全组，且一个用户可以属于多个安全组；6.IPsec VPN支持管理员自行修改端口；7.控制策略、审计策略、流控通道策略支持VLAN和TOS匹配条件；8.Https证书告警消除、终端导入证书之后消除证书告警；9.设备支持http和sock代理功能；10.设备支持LLDP链路发现功能；11.支持针对SNMP同步的信息查询；12.增加多种系统告警机制；13.针对桥下的子接口、二层接口，支持加入到安全域；14.针对聚合接口，支持加入到接口状态同步组；15.DHCP支持option 252和253；16.IC卡认证支持账号提前导入和校验；17.针对Portal页面，支持导入和导出功能，管理员可执行编辑认证页面；18.支持http通用短信接口网关；19.支持配置导出路径设备和统计设备动态缓存。

平台和系统文件功能列表浏览器兼容性以下浏览器通过了WebUI测试，推荐用户使用：✹Chrome 53以及以上版本✹Firefox 58以及以上版本✹IE9以上版本获得帮助山石网科网络安全审计系统配有以下手册，请访问https://获取：✹《山石网科SG-6000-ICM系列安装手册》✹《山石网科网络安全审计系统WebUI用户手册》✹《山石网科网络安全审计系统命令行用户手册》✹《山石网科网络安全审计系统日志信息参考指南》服务热线：400-828-6655官方网址：https:///。

Version 2.0
安全隔离与信息交换系统版本说明 V2.0 好的发布概述
发布日期：2021年11月3日
本次为正式版首次公开发布，主要内容为产品型号、产品功能列表。

平台
产品功能列表
浏览器兼容性
以下浏览器通过了WebUI测试，推荐用户使用：
✹Chrome
获得帮助
Hillstone 山石网科安全隔离与信息交换系统配有以下手册，请访问获取：
✹《山石山石网科安全隔离与信息交换系统用户手册》
✹《山石山石网科安全隔离与信息交换系统部署手册》
✹《山石山石网科安全隔离与信息交换系统日志手册》
✹《山石山石网科安全隔离与信息交换系统快速安装手册》
服务热线：400-828-6655
官方网址：。

SSL VPN概述Hillstone山石网科的SCVPN(Secure Connect VPN)是高性能的第三代SSL VPN解决方案。

该方案结合了传统IPSec和SSL VPN的优点，在通过IP层面的连接充分保障应用兼容的同时，也提供了细粒度的访问控制。

Hillstone山石网科的SSL VPN基于SSL的用户认证机制，无需预先安装和配置客户端，所有的安装和升级都可以在远程接入时自动完成，把IT部门的负担减少到最低。

Hillstone山石网科的SSL VPN是基于路由的，这样可以保证用户的全网访问。

同时，通过配置Hillstone山石网科的SSL VPN接入网关，可以对用户接入和内网访问实现细粒度的访问控制，保障某些特定的网络资源只能被授权的用户访问。

产品特点高性能采用Hillstone 山石网科的多核Plus G2架构，支持硬件加速，解决数据加解密的性能问题，最高可达8G吞吐量和1万并发用户。

安全可靠支持双因子认证（用户口令+硬件USB Key）支持客户端主机的安全检测, 支持用户和主机的硬件绑定支持基于角色（用户名或用户组）的访问控制，这些控制内容包括：带宽控制、应用控制、内容过滤、时间策略和应用安全。

易使用基于IP层面的接入，兼容所有基于IP的应用免维护设计新版本自动识别并安装升级客户端可从SSL VPN安全接入网关自动学习配置路由，自动学习配置内网的DNS和WINS 服务器，提供内部域名解析。

易管控基于用户身份的访问可以角色，用户名或者用户组的组合，管理方式灵活。

通过本地用户数据库、微软的Active Directory、LDAP、RADIUS，或通过USB证书，或两者的组合可实现身份认证。

支持自动线路选择，能够使不同ISP 线路接入的客户端自动选择最快线路。

支持通过普通地址池，IP用户绑定以及角色地址池绑定为客户端分配IP地址。

支持同一个用户同时从多个PC同时连接登录。

典型案例Hillstone山石网科的第三代的SSL VPN解决方案，最适宜远程接入。

目录产品介绍 (1)前面板 (1)后面板 (1)扩展模块 (2)常用工具 (2)注意事项 (2)安装上架导轨 (2)将设备安装到标准机架上 (3)安装扩展模块 (5)卸载扩展模块 (5)连接交流电源 (6)准备工作 (6)通过WebUI界面访问设备 (6)修改管理IP (6)部署旁路（Tap）模式 (7)一体机部署 (7)完成配置 (8)关机 (8)产品介绍平台型号配置说明SG-6000-RAS3000 标准1U上架ZX-100S平台整机/C4580/8G/1T/板载6电口/支持1个ENS网卡拓展模块位/搭配NET-1512VD6N-04主板/180W单电源/无BypassSG-6000-RAS5000 标准2U上架Intel C236平台整机/I5-6500/16G/1T/板载6电口/支持2个ENS网卡拓展模块位/搭配NET-1828VD6N-05主板/350W冗余电源/无Bypass前面板SG-6000-RAS3000设备的前面板有6个千兆电口、2个USB接口、1个串口、2个扩展槽（仅左侧扩展槽可用）以及1个状态灯、1个电源指示灯、1个复位灯。

如图所示：SG-6000-RAS5000设备的前面板有6个千兆电口、2个USB接口、1个串口、2个扩展槽以及1个状态灯、1个电源指示灯、1个复位灯。

如图所示：后面板SG-6000-RAS3000设备的后面板有1个VGA接口，1个电源开关，1个电源线接口。

如图所示：SG-6000-RAS5000设备的后面板有1个VGA接口，1个电源开关，2个电源线接口。

如图所示：扩展模块设备可支持的扩展模块和设备平台对应关系请参见下表：型号网络芯片网络速度网口数量网口类型Bypass数量IOC-RAS-8SFP Intel®i350（带桥芯片）千兆8 SFP光口0IOC-RAS-8GE Intel®i350（带桥芯片）千兆8 RJ-45电口 4IOC-RAS-4GE-4SFP Intel®i350(带桥芯片) 千兆4+4 RJ-45电口+SFP光口2IOC-RAS-2SFP+ Intel®X710万兆 2 SFP+光口0常用工具十字螺丝刀防静电手套网线注意事项安装前请做好防静电保护措施。

Version1.0Copyright 2022Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is fur-nished under a license agreement or nondisclosure agreement.The software may be used or copied only in accord-ance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrievalsystem,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks.Hillstone Networks本文档仅面向山石网科内部读者，禁止外传及用于任何商业用途。

联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州高新区科技城景润路181号邮编：100192邮编：215000联系我们：/about/contact_Hillstone.html关于本手册本手册为山石网科防火墙设备使用过程中的常见问题及解答。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：*************************山石网科https://TWNO:TW-FAQ-AKXE-CN-V1.0-6/27/2022用内部使用内部使用内部使用内部使用内部使用内部使用内部使用内部使用目录目录常见问题及解答介绍目标读者10更多资源10产品优势及定位A系列防火墙优势及定位问答121.A系列防火墙产品定位是什么？122.A系列防火墙有哪些主要特点，这些特点有哪些优势？123.A系列智能下一代防火墙有哪些应用场景？13K系列防火墙优势及定位问答144.K系列防火墙产品定位是什么？145.K系列防火墙有哪些主要功能亮点？14X系列防火墙优势及定位问答156.X系列数据中心防火墙产品定位是什么？157.X系列数据中心防火墙有哪些主要特点，这些特点有哪些优势？158.X系列数据中心防火墙在软件上有哪些优势功能？159.X系列数据中心防火墙有哪些应用场景？1610.X系列防火墙在选型时，参照客户现网业务流量该如何选择配置模型？16功能类问答硬件平台18TOC -1用内部使用内部使用内部使用内部使用内部使用内部使用内部使用内部使用1.A系列产品的型号及支持的扩展模块有哪些？182.A系列设备可以安装哪些硬盘？183.A系列设备支持的电源情况？184.K系列产品的型号及支持的扩展模块有哪些？195.K系列设备可以安装哪些硬盘？196.K系列设备支持的电源情况？197.X系列防火墙的CPU是什么架构？208.X系列产品的型号及支持的扩展模块有哪些？209.X系列设备需要哪些扩展模块才能正常工作？2110.X系列设备的扩展模块是否支持热插拔？2111.X10800和X9180电源线是16A的还是10A的？2112.X系列QSM扩展模块与IOM/SIOM扩展模块在实现QoS功能上有什么区别？2113.E系列设备最多可以安装几块万兆接口扩展模块？2114.防火墙设备支持40G光模块型号TRAN-QSFP+BiDi吗？2215.防火墙哪些光接口支持拆分？2216.如何拆分100GE(QSFP28)光接口和40GE(QSFP+)光接口？2217.防火墙哪些光接口支持降速？2318.防火墙光接口如何进行降速？2419.防火墙哪些光接口支持光转电？2520.防火墙光接口如何进行光转电？2521.防火墙设备的硬盘可以保存多久的日志信息？2622.山石网科设备可以使用其他厂商的光模块吗？26TOC -2用内内部使用内部使用内部使用内部使用内部使用内部使用内部使用23.光纤连接器的接口有哪些类型？2624.B系列产品的型号及支持的扩展模块有哪些？2725.C系列产品的型号及支持的扩展模块有哪些？27规格参数/许可证/特征库2726.A系列设备的IPS特征库数量为多少个？2727.A系列防火墙能满足10万以上用户的添加和管理吗？2828.A系列的病毒库能支持到300W吗？2829.StoneOS支持的VSYS有无数量限制？2830.A5500支持的VSYS最大数量是多少？2831.防火墙的IPS、AV、僵尸网络防御（C2）特征库分别是和哪些厂商合作的？2832.如何查看垃圾邮件过滤功能的特征库？2933.如何查看特征库的历史升级情况?2934.部分功能测试许可到期后功能仍可以正常使用吗？2935.僵尸网络防御许可证过期后，还能使用该功能吗？2936.僵尸网络防御特征库数量是多少？2937.僵尸网络防御特征库会自动更新到最新版本吗？3038.防火墙许可证导入后是否需要重启设备？30版本升级3139.防火墙升级版本前要注意什么？3140.防火墙正式平台许可证过期，对版本升级有影响吗？3241.A系列防火墙能使用StoneOS 5.5R8软件版本吗？3242.A系列防火墙升级是否有限制？32TOC -3用内内部使用内部使用内部使用内部使用内部使用内部使用内部使用系统管理3343.A系列和X系列防火墙设备是否可以强制断电？3344.StoneOS支持其他语言吗？3345.系统的默认管理员可以编辑或删除吗？3346.防火墙支持哪些配置管理方式？3347.如何查看设备的推荐版本？3348.如何查询设备售后服务到期时间和硬件保修时间？3449.如何查看当前运行的版本和运行时间？3450.如何关闭系统调试功能？3451.如何查看设备的配置信息？3452.如何查看SNMP OID值？34零信任3553.零信任支持基于哪些维度进行权限控制？3554.零信任支持哪些双因子认证方式？3555.零信任使用什么客户端接入？3556.因为终端状态原因而无法访问特定资源的用户，可以通过调整终端设备的配置获取访问权限吗？35策略3557.防火墙安全域之间默认是允许信息传输的吗？3558.策略规则的匹配顺序是什么？3659.防火墙是否支持导入安全策略？3660.未匹配到任何防火墙安全策略的流量默认是允许通过还是拒绝通过？3661.防火墙是否支持策略的五元组快速查询以及针对策略未命中时间进行查询？36TOC -4用内内部使用内部使用内部使用内部使用内部使用内部使用内部使用62.什么是失效策略？3663.防火墙最大策略数量和策略中的源/目的IP或者端口数量有关联吗？3764.策略规则调用的源地址条目/目的地址条目数量有限制吗？3765.在两个内网区域间通过防火墙做内网隔离，如何配置防火墙策略？37VSYS3766.VSYS支持Netflow吗？3767.防火墙中存在多个VSYS时，可以实现单个VSYS重启吗？3868.VSYS的数量增加，是否会影响根VSYS的性能？38路由3869.路由的优先级顺序是什么？3870.哪些类型的路由支持IPv6？3871.哪些类型的路由支持BFD功能？38VPN3872.StoneOS支持哪些VPN？3873.SSL VPN支持对接手机身份验证器吗？如Google Authenticator。

IPv6园区网解决方案1IPv6园区网解决方案一、IPv6网络部署原则目前国内的各类园区网络、行业网络大部分为只支持IPv4的网络，由于IPv4与IPv6的完全不兼容，所以无法实现IPv4到IPv6网络的自然升级和平滑过渡。

少部分网络的部分设备支持通过升级软件或者添加基于NP的智能板卡升级到IPv6网络，但还是存在其他部分网络不支持IPv6的问题。

矚慫润厲钐瘗睞枥庑赖賃軔。

从技术上，当前网络要支持IPv6，必须有支持IPv6硬件转发的IPv6网络设备，不管是通过对现有设备升级实现还是购买新的IPv6网络设备。

本解决方案着重讨论通过添加新的IPv6网络设备给现有网络添加IPv6支持功能，通过新IPv6网络设备可以构建IPv6实验网络或者IPv6园区网络，新建的网络中心可以提供原生的IPv6协议支持，同时通过双栈技术和隧道技术对原IPv4网络中的IPv4用户进行IPv6接入覆盖。

聞創沟燴鐺險爱氇谴净祸測。

目前部署IPv6有一个很重要的原则，那就是除了少数科研IPv6网络之外，新建的IPv6网络一定是一个既支持IPv6也支持IPv4的网络，而不是纯的IPv6网络。

IPv4与IPv6将长期共存，直至IPv4完全消失，因为很长时间以内基于IPv4的网络资源还会大量存在，所以那种认为IPv6可以迅速替代IPv4并摒弃IPv4的想法在现实中是行不通的。

残骛楼諍锩瀨濟溆塹籟婭骒。

二、IPV6园区网解决方案随着此次驻地网信息点大幅增加，原有的以ISATAP隧道、配置隧道为主的低速过渡模式已经不能满足约来越多的IPv6访问需求，建设高速双栈园区网已经成为不可逆转的趋势。

为此建立此次IPv6网络建设为双栈分布式园区网，汇聚层以上交换设备必须支持硬件ASIC双栈，本节根据网络规模与实际节点数量不同分别给出了几种建议方案，方便网络建设时根据实际情况选用不同的方案。

酽锕极額閉镇桧猪訣锥顧荭。

(1) 20000点以上IPv6园区网解决方案方案采用可靠稳定的星型结构，模块化设计，核心层采用2台DCRS-9816机箱式十万兆路由交换机，采用VRRP实现双机热备。

Version V5.5-1.9.7山石网科漏洞扫描系统V5.5-1.9.7发布概述发布日期：2022年9月27日本次发布新增基线配置核查支持RDP协议和支持批量上传Windows离线检查结果,优化漏洞引擎，提升内网存活探测准确率及漏洞检测精度。

平台和系统文件新增功能功能描述新漏洞库信息总数192236条。

在线基线扫描支持RDP协议。

基线配置核查支持批量上传Windows离线检查结果。

增加基线配置核查离线脚本（apache、tomcat、weblogic、webshere、mysql、oracle、sqlserver）。

更新了Apache ActiveMQ、Google Golang、Iteris Apache Velocity、Mozilla Firefox、Sangoma Technologies Asterisk、Linux kernel、Pillow、AdPlug、Gnome gnome-autoar、KDE Discover、wpa_supplicant组件相关的漏洞库。

新增CVE-2019-0630 SMB2远程代码执行漏洞、CVE-2020-1350 域名服务器漏洞信息扫描。

修复了MySQL弱密码漏报。

更新了Adobe Acrobat Reader、 Apache Ambari、 Struts2、Mozilla Firefox、Linux kernel、Dovecot、aiohttp、OpenSSL、OpenLDAP、Oracle Database Server、TYPO3 Core、Python、Oracle Fusion Middleware组件相关的漏洞库。

更新了artifex mupdf、 Linux kernel、 pki-core 、Samba、Caucho Technology Resin、Red Hat Directory Server、Wireshark、Cloud Native Computing CNI、Openvswitch、Google Chrome、GNOME Keyring、GNU Binutils组件相关的漏洞库。

Hillstone IPv6邻居发现攻击防护解决方案技术白皮书关键词：IPv6，邻居发现（ND），安全网关，NS/NA，RS/RA摘要：本文介绍了IPv6邻居发现协议的基本原理、攻击种类、Hillstone安全网关防护方法，以及典型实际环境中的应用。

缩略语：1.IPv6邻居发现协议简介IPv6的邻节点发现（ND）协议，是用一系列的报文和步骤来确定邻节点之间关系的过程。

ND取代了IPv4中使用的ARP、ICMP路由器发现和ICMP重定向报文。

●ND协议定义功能：●ND协议报文格式：邻节点发现报文使用ICMPv6的报文格式，及ICMPv6的从133到137的报文类型。

●ND协议报文类型：2.IPv6邻居发现攻击介绍在IPv4网络中，ARP攻击问题已经为广大的网络管理者、设备厂商所认识，ARP攻击能够造成大面积网络不能正常访问外网，使得正常用户深受其害。

针对ARP攻击，大部分的网络设备厂商都推出了自己的ARP攻击解决方案，在很大程度上解决了ARP攻击的问题。

而伴随着IPv6网络的建设，在IPv6协议族中的ND协议越来越被重视，而ND协议在设计上与ARP协议一样并未提供认证机制，导致网络中的主机是不可信的，从而使得针对ND协议的攻击非常容易。

ND攻击类型总结如下：●地址欺骗攻击攻击者利用NS/NA/RA报文来修改受害主机或网关上的MAC地址，造成受害主机无法与网络进行正常的通信，甚至形成中间人攻击。

●路由通告欺骗攻击RA报文能够携带很多网络配置信息，包括默认路由器，网络前缀列表，是否进行有状态地址分配等网络配置的关键信息。

如果受害者接收了虚假的RA信息，会造成网络配置错误，从而引发欺骗攻击。

●针对网关的泛洪攻击通过发送大量的NS/RS报文，造成网关的ND表项溢出。

3.Hillstone IPv6邻居发现攻击防护方法通过对上文ND攻击类型的介绍，我们可以看出发现当前ND攻击防御的关键所在：如何获取到合法用户和网关的IPv6地址和MAC地址的对应关系，并如何利用该对应关系对ND报文进行检查，过滤掉非法ND报文。