Hillstone QoS流量控制解决方案

山石网关智能流量控制配置一、流量控制原则及原理山石网关智能流量控制配置原则：带宽IP QoS（kbps）应用优先级P2P下载（kbps）2M IP QOS共享为 1950HTTP、DNS、电子邮件优先级1；HTTP分片下载、P2P下载优先级5；QQ游戏等、常玩游戏优先级2（按客户需求可选）总出口限制16004M IP QOS共享为 3900 总出口限制32006M IP QOS共享为 5900 总出口限制48008M IP QOS共享为 7800 总出口限制650010M IP QOS共享为 9800 总出口限制8000>10M IP QOS共享为98% 总出口限制80%智能流量分配原理：将网间应用人为分出优先级，按优先级高低赋予带宽。

并且控制总P2P下载的带宽。

如：在10M互联网专线中只有客户在进行迅雷下载（优先级5），他们的下载总速率可达8000kbps。

突然有客户点击网页浏览（优先级1），这时迅雷下载所占用的8000kbps将施放给网页加载（优先级1高于优先级5）。

当网页加载完毕时迅雷下载将再次被赋予相应的带宽。

二、配置流程配置举例：某集团为10M互联网专线，流控需设置成“IP QOS限制为 9.8M，HTTP、DNS、电子邮件优先级1；HTTP分片下载、P2P下载优先级5；QQ游戏等、常玩游戏优先级2（按客户需求可选），P2P下载总出口限制8M。

”山石配置过程：1、升级应用特征库；依次点击右侧菜单中“系统”、“应用特征库”进入配置界面，点击在线升级，等待升级成功。

2、安全域配置；依次点击右侧菜单中“网络”、“安全域”，点击“trust”操作图标，将“应用识别”勾选。

完成后再按相同操作将“untrust”中的“应用识别”勾选。

3、IP Qos设置；依次点击右侧菜单中“Qos”、“IP Qos”填写“规则名称”、“接口绑定（外网地址端口）”、“共享”“最大带宽（共享9800）”，点击“添加”。

Hillstone山石网科经过对山东政法学院的网络环境分析，认为山东政法学院的网络安全需求主要包含四个方面内容：一是网络负载均衡问题，在学院的六条线路当中，经常出现联通线路满负载，但电信线路流量不高的现象；二是网络攻击问题，学院多次出现对内部网络的服务器、主机，甚至信息中心的综合电子平台发起的探测和攻击，甚至曾出现考试服务器被篡改主页的现象；三是应用控制问题，大量P2P等非关键应用吞噬着校园网络有限的带宽资源，邮件、网页、数据传输等关键性应用服务却得不到保障；四是上网行为管理问题，学生个人电脑数量众多、管理松散，有必要对其上网行为进行一定程度的控制。

经过对山东政法学院网络环境的了解，Hillstone山石网科提出了采用高性能多核安全网关来解决学院内部的网络安全问题，开启防火墙、QoS、网络行为控制等功能后，运行稳定，状态良好，设备优异的技术特点和功能优势得到了充分发挥。

Hillstone山石网科守护山东政法校园网络安全在本项目中，Hillstone山石网科高性能多核安全网关体现出了众多的优势：首先，Hillstone山石网科高性能多核安全网关通过实时更新的ISP路由表可对CERNET 教育网、电信、网通等进行策略路由优选，充分利用每条链路的资源；并通过Hillstone山石网科高性能多核安全网关的链路负载均衡功能，对多条链路权重的设定，来平均分配网络资源请求；通过业内领先的P2P引流量技术，把P2P等非关键应用分流到电信线路。

其次，通过Hillstone山石网科高性能多核安全网关加强上网行为监控，有效监控校园互联网论坛、博客、网页、电子邮件内容，可以及时发现和过滤各类有害信息，并能告警、响应准确定位到人，方便学校管理部门及时处理，防止不良影响扩大。

凭借超过2000万条的URL网页数据库，Hillstone山石网科网络行为控制对互联网上的色情、反动等不良网站进行准确过滤，从而将不良信息屏蔽在校园外，为学生上网营造安全文明的上网环境。

服务热线：400 828 6655Hillstone山石网科多核安全网关高级功能配置手册V 5.0版本一．链路负载均衡 (3)**基于目的路由的流量负载 (4)**基于源路由的流量负载 (6)**基于策略路由的流量负载 (7)**智能链路负载均衡 (9)二．流量控制QOS配置10**配置IP Q O S (10)**配置应用Q O S (14)**配置混合Q O S (16)**配置Q O S白名单 (18)三．NBC网络行为控制配置19**URL过滤(有URL许可证) (20)**URL过滤（无URL库许可证） (25)**网页关键字过滤 (28)**网络聊天控制 (33)四．VPN高级配置37**基于USB-KEY的SCVPN配置 (35)**P N P-VPN (48)五．高可靠性HA配置63一．链路负载均衡当防火墙有多条链路接入，同时需要对内网的流量根据源地址，目的地址或者服务进行流量的负载分摊时，需要进行负载均衡的配置，以便保证流量的负载分担；在配置源地址，目的地址的负载均衡时，可以实现冗余，当某一条路由失效时，可以保证正常的流量转发。

配置多链路负载均衡前，先保证接口，snat和策略都配置正确。

1.确认接口的地址和掩码都配置正确，其中掩码的位数一定和运行商确认：2.两条源地址转换，使内网的流量可以分别nat成对应公网出口地址池的地址，去访问互联网：3.确认流量穿越防火墙时，防火墙策略允许（源和目的地址以及服务可以根据具体情况作相应修改）：**基于目的路由的流量负载例：e0/1口接入10M电信，e0/2接入20M网通；实现所有访问公网的流量按1：2的比例分别从e0/1口和e0/2口转发出去。

即当设备总共转发3数值的流量时，e0/1转发1数值；e0/2口转发2数值。

Web页面配置如下：1．网络-〉路由-〉新建 :2．创建一条默认路由权值为2，即可得到配置如下：如此即可实现流量从e0/1转发和从e0/2转发的比是10：20即流量的1：2负载。

Hillstone QoS流量控制解决方案QoS介绍QoS（Quality of Service）即“服务质量”。

它是指网络为特定流量提供更高优先服务的同时控制抖动和延迟的能力，并且能够降低数据传输丢包率。

当网络过载或拥塞时，QoS 能够确保重要业务流量的正常传输。

QoS的实现通常来讲，实现QoS管理功能的工具包括：♦分类和标记工具♦管制和整形工具♦拥塞管理工具♦拥塞避免工具图22-1描绘了QoS的体系结构。

图22-1：QoS体系结构如图22-1所示，数据包通过入接口进入系统后，首先会被分类和标记。

在这一过程中，系统会通过管制机制丢弃一些数据包。

然后，根据标记结果，数据包会被再次分类。

系统会通过拥塞管理（Congection Management）机制和拥塞避免（Congection Avoidence）机制对数据包进行管理，为数据包排列优先次序并且在发生拥塞时保证高优先级数据包的顺利通过。

最后，系统会将经过QoS管理的数据包通过出接口发送出去。

分类和标记分类和标记的过程就是识别出需进行不同处理（优先或者区分）的流量的过程。

分类和标记是执行QoS管理的第一步。

分类和标记应该在和源主机尽量接近的地方进行。

分类通常来讲，分类工具依据封装报文的头部信息对流量进行分类。

为做出分类决定，分类工具需要对头部信息进行逐层深入检查。

图22-2显示出头部信息的分类字段，而表22-1列出不同字段的分类标准。

图22-2：分类字段表22-1：分类标准标记可携带标记的字段如下：♦第2层标记字段：802.1Q/p。

♦第3层标记字段：IP优先权和DSCP。

802.1Q/p通过设置802.1Q头的802.1p用户优先级位（CoS）来标记以太网帧。

在以太网第2层以太网帧中至于8种服务类别（0到7）可以标记。

数值的分配请参阅表22-2。

表22-2：应用类型值IP优先权和DSCPIP优先权与CoS相同，有8种服务（0到7）可以标记，请参考表22-2。

Hillstone山石网科广电网多链路出口安全解决方案——应用Hillstone山石网科助力广电网多链路负载均衡&安全管理解决方案山石网科通信技术(北京)有限公司2010年4月前言Hillstone山石网科Networks Inc.“山石网科”创建于2006年，是网络安全领域的代表企业之一，公司总部位于中国北京，并在美国硅谷设有研发中心。

Hillstone山石网科山石网科积累了多年网络安全产品研发和市场运作经验，专注于信息安全，是专业的新一代安全网络设备提供商。

目前，Hillstone山石网科山石网科拥有员工150余人，其中博士、硕士占30%以上。

公司创始人均是国际安全业界的专家，包括Netscreen早期创始团队成员。

公司的核心团队由来自NetScreen、Cisco、Juniper、Fortinet和H3C等中外著名企业的精英组成，具备先进的技术经验和丰富的企业管理经验。

公司设有系统架构部、系统运营部、软件系统部、市场部、渠道销售部、售前售后技术部等部门，并且已经通过投资、控股和合作等形式，在亚太区形成了良性发展的产业和营销体系。

自成立以来，Hillstone山石网科山石网科就以“贴近市场，贴近客户，快速把握并满足客户需求”为己任，用产品和方案来帮助客户获得网络安全，从而实现自身的企业价值。

Hillstone山石网科山石网科凭借其独特的服务精神和强大的技术实力，以国际一流的技术打造适合中国本土化应用需求的高性能产品，并提供高性价比的新一代网络安全整体解决方案，服务于中国高速发展的网络市场。

作为产业链中至关重要的一环，Hillstone山石网科山石网科勇于创新，公司的SA系列安全网关和SR系列安全路由器产品，已经为网络安全领域树立了新的安全网络产品质量水平标杆，在国内各大中小型企业及各高校中拥有了广大的客户群体，并赢得了用户的高度肯定。

在网络时代的今天，Hillstone山石网科山石网科愿与所有客户、合作伙伴一起，在探索与实践中国网络安全稳健和谐发展的新长征中，携手共赢！一、广电网出口网络现状描述1项目背景广电网，通常是各地有线电视网络公司（台）负责建设运营的。

HillStone SA-2001配置手册之阿布丰王创作1网络端口配置22防火墙设置123VPN配置144流量控制的配置244.1P2P限流244.2禁止P2P流量254.3IP流量控制284.4时间的设置294.5统计功能325基础配置35本文是基于平安网关把持系统为Version 3.5进行编写,如版天职歧,配置过程有可能纷歧样.1 网络端口配置SA-2001平安网关前面板有5个千兆电口、1个配置口、1个CLR 按键、1个USB接口以及状态指示灯.下图为SA-2001的前面板示意图：将网线接入到E0/0.防火墙的ethernet0/0接口配有默认IP地址192.168.1.1/24,但该端口没有设置为DHCP服务器为客户端提供IP地址,因此需要将PC机的IP地址设置为同一网段,例如192.168.1.2/24才华连上防火墙.通过IE翻开192.168.1.1,然后输入默认的用户名和密码（均为hillstone）登录后的首页面.可以看到CPU、内存、会话等使用情况.很多品牌的防火墙或者路由器等,在默认情况下内网端口都是划分好而且形成一个小型交换机的,可是hillstone的产物却需要自己手工设置.在本文档中,我们准备将E0/0划分为UNTRUST口连接互联网,E0/1～E0/4总共4个端口我们则划到一个交换机中并作为TRUST口连接内网.在网络－接口界面中,新建一个bgroup端口,该端口是一个虚拟的端口.因为bgroup1接口需要提供路由功能,因此需要划入到三层平安域（trust）中.输入由集团信息中心提供的IP地址.在管理设置中,尽量将各个管理功能的协议翻开,尤其是HTTP功能.建好bgroup1之后,对网络－接口页面中的e0/1～e0/4分别修改,依次将它们划归为bgroup1.设置好交换机功能后,还需要设置DHCP功能,以便PC机接入时可以自动获取IP地址.新建一个DHCP地址池根据集团信息中心提供的IP地址段设置IP地址池. 租约里尽量将时间设年夜一些,这样在追查记录的时候,不会因为PC机的IP地址频繁发生变更而难以追踪.确定之后,POOL1的地址则建好了,不外,还需要修改DNS才华让PC机可以访问到集团内网.编纂POOL1进入高级配置界面. DNS1和DNS2分别设置为集团总部的10.0.1.11和10.0.1.13两个DNS.设置完地址池之后,需要将该地址池捆绑到bgroup1以便让bgroup1可以为PC机分配IP地址.确认以上步伐把持胜利后,将原来连接到E0/0的网线任意拔出到E0/1~E0/4的一个端口中,看看PC机是否可以获取到IP地址了.通过IPCONFIG/ALL命令可以看到,PC机这时候已经获取到IP 及DNS了.将原来的IE浏览器关闭,重新翻开IE浏览器、输入网关地址（即bgroup1的地址）并输入用户名密码.确认完E0/1-4的任意一个TRUST口能获取IP后,即可修改E0/0为对外连接端口.本文档中是以E0/0为ADSL拨号连接为示例.新建一个PPPOE配置输入ADSL的用户名及密码.将自动重连间隔修改为1,否则ADSL不会自动重拨.默认配置中,E0/0是属于trust域的,需要将该端口修改为untrust并将PPPOE捆绑到该端口.点击网络－接口,并修改E0/0的设置.启用设置路由.管理的协议中,原来默认均开启了e0/0所有的管理端口,我们可以在稍后确认所有的配置均调试完毕后关闭一些协议以增强防火墙的平安性.点击确定后,可以看到e0/0已经划入到untrust的平安域中.2 防火墙设置源NAT规则指定是否对符合条件的流量的源IP地址做NAT转换.通过基本选项的配置指定源NAT规则中流量应符合的条件.符合条件的流量才华依照规则指定的行为进行转换.HillStone平安网关与其他品牌的防火墙在战略配置中的其中一个区别就是NAT设置.其他防火墙一般都是自动设置好,但在HillStone中,必需要手工将上网行为和访问内网的NAT战略明确区分才行.建立一条让项目PC可以访问互联网时进行NAT转换的战略.在防火墙－NAT－源NAT中新建一条基本配置的战略源地址选择ipv4.bgroup1_subnet,出接口仍然是选择e0/0.行为选择NAT（出接口IP）NAT战略建立好之后,在防火墙－战略中需要新建访问战略.源平安域选择trust,目的平安域选择untrust,点击新建服务簿中选择ANY,即默认允许所有的网络应用均可使用.行为默认为允许3 VPN配置设置完网络端口的配置之后,开始设置VPN.HillStone的VPN 设置跟5GT或者FVS114有点区别,需要手工先设置合适的P1提议和P2提议.点击VPN－IPSec VPN.在P1提议中新建一个提议,如gemdale-p1.集团现在均使用pre-shared key-MD5-3DES-Group2的加密战略.同样的方式再新建一个P2.选用ESP-MD5-3DES-No PFS新建完P1和P2之后,开始新建一个IPSec VPN.在IKE VPN列表中点新建输入对端名称gemdale（可以随便起名,分歧防火墙设备均可以设置相同的名字.为方便识别,这里可以统一设置为gemdale）.接口设置为对外连接的端口－E/0. 模式为野蛮模式（aggressive mode）.静态IP61.144.195.60指向集团总部防火墙.本地ID一定要设置,一般由集团信息中心提供（常为城市＋项目名＋用途,如上海赵巷项目部为shzhaoxxmb）.对端ID可以不用设置.提议1则选用前面新增的gemdale-p1.共享密钥为便于记忆可以设置与本地ID一致.（这些设置均须与集团信息中心协商）点击高级,增加DPD功能：勾选对端存活体检测（DPD）设置好步伐1之后,点击步伐2：隧道为便于管理,隧道的名称与本地ID值一致.模式为tunnel,提议名称选用前面设置好的gemdale-p2.自动连接：配置自动连接功能.默认情况下,该功能是关闭的,选择<启用>复选框开启该功能.平安网关提供两种触发建立SA的方式：自动方式和流量触发方式.自动方式时,设备每60秒检查一次SA的状态,如果SA未建立则自动发起协商请求；流量触发方式时,当有数据流量需要通过隧道进行传输时,该隧道才发起协商请求.默认情况下,系统使用流量触发方式.为了访问集团内网,需要制定一条不需要NAT转换的战略.点击防火墙－NAT－源NAT,在源NAT列表中,新建一条高级配置在源地址的地址簿中选择ipv4.bgroup1_subnet,这个就是平安网关的内部网段.在目的地址中,如果之前没有在对象－地址簿中建立过集团总部网段的信息,则可以直接通过点目的地址的地址簿,下拉菜单中会有【新建…】的提示点击【新建…】之后呈现下面的地址簿配置界面.名称起集团总部,IP地址填10.0.0.0,掩码为17位,即255.255.128.0建好集团总部这个地址簿之后,在目的地址的地址簿中就可以选择集团总部.出接口选择e0/0,行为选择不做NAT除建立一条访问集团总部内网的NAT战略之外,还需要继续新建VPN访问的战略.同样,在防火墙－战略中,选择新建一条从trust到untrust的战略.源地址选择ipv4.bgroup1_subnet,目的地址选择集团总部,行为选择【隧道】,隧道中选择之前在VPN建好的IPSEC VPN战略.将双向VPN战略构选,这样,就不需要再建一条从untrust到trust的VPN防火墙战略了（如果配置的时候忘记构选该选项,则需要再新建一条untrust到trust的战略,行为则要选择来自隧道）.此时,点防火墙－战略可以看到之前设置好的3条战略.如果新建战略的时候顺序反了,例如新建了VPN的防火墙战略之后再建上网战略,则需要将点将顺序对换一下.下图为顺序建反的情况,必需要将ANY到ANY的战略放在VPN防火墙战略的下面,即将ID 为1的战略放在ID为2的战略下面.4 流量控制的配置使用HillStone的最年夜目的则是利用其丰富的流量控制管理功能实现项目上的网络流量控制.默认情况下,平安网关没有翻开应用识别功能,需要在网络－平安域中,将trust或者untrust或者两个平安域的应用识别启用.4.1 P2P限流对P2P流量,可以实行限流.即允许用户使用迅雷或者电驴等软件,但流量做了特另外限制,例如只允许上下行带宽为32kbps （相当于4Kbyte/秒）.这里可以根据各项目的实际情况而放宽流量的年夜小.在QoS－应用QoS中添加一条控制战略.例如,规则名称起名为gemdale-p2p流量,接口绑定到bgroup1,应用选择P2P下载、P2P视频和HTTP_Download（这里的HTTP_Download其实不是是指IE中的直接下载,而是指封堵迅雷中的80端口P2P下载功能）.注意上行和下行.HillStone中对上行和下行的界说与在一些专业级路由器相似,即根据端口的进出来决定上行还是下行.对bgroup1,PC机的下载流量对这个端口而言是出去的流量,因此是上行流量；而PC机上传的流量对这个端口而言是进到平安网关的流量,因此是下行流量.4.2 禁止P2P流量除限流这种控制方式之外,我们也可以选择直接禁止P2P流量.在对象－服务簿中,新建一个自界说服务组,并将P2P所用到的协议划分到该服务组中.例如,组名可以起禁止P2P服务,组成员选择P2P下载、P2P视频和HTTP_Download（这里的HTTP_Download其实不是是指IE中的直接下载,而是指封堵迅雷中的80端口P2P下载功能）.建好自界说服务组之后,在防火墙－战略中新建一条从trust 到untrust的战略,该战略用于禁止P2P流量的下载.在服务簿中选择之前建好的禁止P2P服务,然后行为在选择拒绝.建好战略之后,可以看到新建的战略是位于默认上网战略（ID1）下面的,因此,还需要将该禁止战略放在ANY到ANY战略的上面.点击对其进行调整.将该条战略规则移到默认上网战略（ID 1）的前面移完之后再确认一下配置是否正确4.3 IP流量控制除控制P2P流量之外,我们还要对单个IP进行流量控制.这是基于一下几点考虑的：一、有可能P2P的软件不竭更新,而平安网关的应用特征库没有及时更新,可能会招致新的P2P流量呈现从而招致带宽资源全部被占用；二、PC也有可能中病毒而发生年夜流量从而招致带宽资源全部被占用；三、用户有可能通过IE直接下载一些年夜流量的软件在QoS－IP QoS中新建一个规则.规则名称起名gemdale-qos；接口绑定到bgroup1；IP地址从地址簿的下拉菜单中选择ipv4.bgroup1_subnet；对项目部,年夜大都都是选用2M的ADSL（下载到2M,上传到512K）,因此,可以考虑将每个IP的流量限制在上行400kbps,下行100kbps.注意上行和下行.HillStone中对上行和下行的界说与在一些专业级路由器相似,即根据端口的进出来决定上行还是下行.对bgroup1,PC机的下载流量对这个端口而言是出去的流量,因此是上行流量；而PC机上传的流量对这个端口而言是进到平安网关的流量,因此是下行流量.4.4 时间的设置如果需要设置人性化的流量管理,可以考虑将时间考虑进去.例如,可以计划每天早上8：30到晚上8点半这个时间段禁止（或者限流）进行P2P的下载.在对象－时间内外新建一个时间表.在防火墙－战略中找到禁止P2P服务的规则,对它进行编纂,并将时间表的下拉菜单中选择之前新建的时间表规则.如果是限流P2P流量的设置,则在QoS－应用Qos中将上下行的时间表选中如果是对IP限流,则在QoS－IP QoS中增加上下行的时间表4.5 统计功能默认情况下,平安网关没有将流量情况进行统计,需要根据实际情况开启自己所需的功能.在监控－统计集里,构选接口＋IP＋应用带宽.（如果需要一登录平安网关即可在首页里看到统计,则还需要构选系统全局统计中的IP上下行带宽等.构选完毕之后,在监控－统计集里可以选择bgroup1看到项目上PC使用网络的情况.首页的界面可以看到前10IP的上下行带宽.不外,所有这些监控菜单中的统计数据均寄存在设备的缓存中而已,一旦平安网关重启则全部丧失.如果配合HIllStone的HSM 网管平台则可以解决这个问题.5 基础配置新设备购买过来之后,license一般都还没更新,需要让供应商将合法的License发给我们后自行更新.2010年1月1日之后,License至少有两个,一个是基础平台,一个是QOS.升级如下：上图是两个License.升级的时候将license:开头的一段拷贝到系统－许可证－许可证装置下面的手工框里,然后点确认.每导入一个License,系统会提示需要重启等两个license均导入之后点击右上角的重启确认即可.为便于对设备进行管理,可以为每台设备起一个名称,如果有网管软件的时候尤其重要.在系统－设备管理－基本信息中,为该主机名称起一个名字同时,为平安起见,需要修改登录密码.在平安性方面,为防止外部一些攻击,可以将连接互联网的E0/0的管理端口适当关闭（在网络－接口）.例如,仅开放HTTPS.全部配置确认完毕,功能也均测试完毕之后,可以将该配置进行备份.。

多核安全网关成功案例——宿迁市权力阳光政务网升级改造客户名称：宿迁市政府所属行业：政府客户需求：网络良好的安全性，能够抵御各种病毒，有效防护内外部攻击，保障信息的机密性、完整性和可用性；对信息访问实行严格控制，合理分配应用带宽，确保网络安全、可靠、持续运行。

产品型号：Hillstone SG－6000-G3150实现功能：NAT/防火墙、防病毒、安全防护、QoS、HSM集中管控平台。

网络技术的发展已经深入到日常生活，为政府部门日常办公提供了极大的便利，推进电子政务建设成为信息化工作的重点。

宿迁市政府领导认识到了权力阳光系统安全建设的重要意义，适时的提出了建设宿迁市权力阳光安全建设的构想，并制定了切实可行的系统规划和建设方案，为宿迁市权力阳光工程的建设打下扎实的基础。

宿迁市政府共有60多家部委办局接入到权力阳光网络中，采用核心、汇聚、接入三级星形拓扑结构，网络核心层使用两台交换机采用多条万兆捆绑链路相联建立双机热备，核心设备支持热插拔，具有容错及备份功能。

随着系统网络服务的多样化和各接入单位业务应用不断增多，网络安全风险也日益暴露出来，主要有以下几方面：缺乏防攻击手段及有效性能，若互联单位中一个单位感染病毒，可能会导致整个网络大规模的病毒爆发，甚至瘫痪，将会严重影响业务通信；业务的实时可靠性差，网络的稳定性严重影响着权力阳光工程的稳定性，权力阳光政务系统类的多种业务如视频会议系统，都对网络系统的实时性、不间断性、高可靠性和可用性的提出很高的要求；病毒防护能力差对于病毒的防护都是采用主机防护的方式，防病毒程序及病毒库都运行在主机端，其本机安全却存在极大的隐患甚至存在极大的漏洞；对于应用层无法有效管控，尤其是一些P2P软件和网络病毒，极大的消耗了有限的网络资源，导致网络的发展仍然不能满足带宽使用，如何有效管控网络应用也是用户急需解决的问题；网络行为无法实时监管，网络的使用情况对管理人员是未知的，如何使复杂网络使用情况做到网络可视化，也是网络管理者关心的问题。

1、早上9：00-12：00，下午13：00-17：00对下联用户实行限速，每IP带宽为2M。

2、对下联用户终端应用的控制，实现对BT,迅雷,电驴等下载限速，最大500K。

安全域设计：L2-untrust-vs1 (G3150:E0/1) vswitch1 (G3150:E0/5) L2-trust-vs1 L2-untrust-vs2 (G3150:E0/2) vswitch2 (G3150:E0/6) L2-trust-vs2说明：本手册，由于截图不是原配置机截图，所有有些图上的配置名称可能不一致，这点不必在意，你需要注意的是配置的方法与思路。

WEB:SToneOS:(config)：vswtich vswtich2N OTE：V SWTICH1是系统默认的，所以这里只建立一个V SWTICH2。

WEB：绑定vswtich 1的trunst 安全域，启用应用识别。

绑定vswtich 1的untrunst 安全域，启用应用识别,WAN安全域。

SToneOS(config):zone l2-trust-vs2application-identifybind vswitch2zone l2-trust-vs1application-identifybind vswitch1zone l2-untrust-vs2application-identify 启用应用识别 bind vswitch2绑定vswitch type wan 启用WAN安全域zone l2-untrust-vs1application-identifybind vswitch1根据topology与规划，每组接口关系：E0/5(TRUST)流入，E0/1(UNTRUST)流出，分配到Vswitch 1 E0/6(TRUST)流入，E0/2(UNTRUST)流出，分配到Vswitch 2 WEBSToneOS(config):interface ethernet0/1zone l2-untrust-vs1exitinterface ethernet0/2zone l2-untrust-vs2exitinterface ethernet0/5zone l2-trust-vs1exitinterface ethernet0/6zone l2-trust-vs2exitWEB一般安全域设计是双向的,也就是说这个也是有方向性的,所以,不只要permit trust-untrust ,还需要permit untrust-trust .当然还有复杂的应用,这里不提及.如果不建安全域,或者只建单方向的安全域,那么网络是不会通的.(这里只贴trust-untrust的图)StoneOS :policy from l2-trust-vs2 to l2-untrust-vs2rule id 1action permitsrc-addr Anydst-addr Anyservice Anyexitexitpolicy from l2-untrust-vs2 to l2-trust-vs2rule id 2action permitsrc-addr Anydst-addr Anyservice Anyexitdepartpolicy from l2-trust-vs1 to l2-untrust-vs1rule id 3action permitsrc-addr Anydst-addr Anyservice Anyexitexitpolicy from "l2-untrust-vs1" to "l2-trust-vs1" rule id 4action permitsrc-addr Anydst-addr Anyservice Anyexit这里只针对IP与应用进行设置,根据用户需求,我们先去定义一些对象属性: 地址池定义这里定义内部的地址,并与trust安全域关联WEBStoneOS:address qcs-userreference-zone l2-trust-vs1ip 10.16.0.0/16exitaddress 71-userreference-zone l2-trust-vs1ip 10.16.0.0/16exit时间表定义根据客户需求，把控制时间定义为：AM：9：00-12：00PM：13：00-17：00WEBStoneOS：schedule AMperiodic weekdays 09:00 to 12:00 exitschedule PMperiodic weekdays 13:00 to 17:00 exitIPQos配置WEB最大带宽是以KB为单位接口绑定，一般都是untrust物理接口，本案例中E0/1,E0/2就属于这种端口需要单独针对两个untrust物理接口配置IPQOS，这里可以选上面我们配置的地址池，也可以自己手动输入IP范围。

Hillstone 山石网科流量管理白皮书Hillstone 山石网科流量管理白皮书1. 概述随着互联网的应用和企事业应用的快速发展，爆发出来种类繁多的新应用正在一点一点的蚕食着用户网络中带宽，你也许会碰到下面的一些问题：●即使把带宽增加了，正常业务访问还是变慢了？● 有没有办法保证重要业务不受到影响？● 有没有办法查看到底是谁在蚕食我的带宽？从根本上来讲，QOS 功能能够为特定类型的流量提供更好的服务，特定类型既可以是针对某个角色，比如老板的流量访问、财务部门的流量，也可以针对某种应用，比如针对企事业重要的正常业务。

从技术实现来看，主要是通过提高这些特定类型的流量优先级和带宽配额或者降低其他流量的优先级和带宽配额来实现，比如降低P2P 下载应用的带宽。

StoneOS ® QoS是一个工具箱，能够保证服务的可用性，能够有效管理带宽资源和区分网络应用的优先级。

同时，StoneOS ® QoS是建立在Hillstone 山石网科多核Plus ® G2安全架构之上，能提供基于深度应用、角色等流量管理。

2. StoneOS® QoS基本结构StoneOS ®的QoS 基于以下基本模块实现：● QoS识别和标记技术。

用于网络元素间从点到点的QoS 协调● 单一网络元素内的QoS(例如：队列、拥塞避免、调度、管制以及流量整形工具● 统计功能。

基于角色、应用的实时流量统计，用于控制和管理流量。

Hillstone 山石网科流量管理白皮书3. Hillstone 山石网科解决方案通过结合以下技术，StoneOS ®用创新的专有的技术实现强大而灵活的QoS 解决方案：● 基于RFC 的DSCP 标记●IP QoS● 角色QOS ● 应用QoS ● 混合QOS ● 应用标记● 弹性QoS3.1 与第三方设备互通QoS 是不同品牌网络设备之间共同努力的结果。

以一个大型企业的网络环境为例，Hillstone 山石网科设备可以被部署为分支办公室的网关设备，它可能与Cisco 的路由器共同工作。

Hillstone山石网科流量管理白皮书Hillstone山石网科流量管理白皮书1. 概述随着互联网的应用和企事业应用的快速发展，爆发出来种类繁多的新应用正在一点一点的蚕食着用户网络中带宽，你也许会碰到下面的一些问题：●即使把带宽增加了，正常业务访问还是变慢了？●有没有办法保证重要业务不受到影响？●有没有办法查看到底是谁在蚕食我的带宽？从根本上来讲，QOS功能能够为特定类型的流量提供更好的服务，特定类型既可以是针对某个角色，比如老板的流量访问、财务部门的流量，也可以针对某种应用，比如针对企事业重要的正常业务。

从技术实现来看，主要是通过提高这些特定类型的流量优先级和带宽配额或者降低其他流量的优先级和带宽配额来实现，比如降低P2P下载应用的带宽。

StoneOS® QoS是一个工具箱，能够保证服务的可用性，能够有效管理带宽资源和区分网络应用的优先级。

同时，StoneOS® QoS是建立在Hillstone 山石网科多核Plus® G2安全架构之上，能提供基于深度应用、角色等流量管理。

2. StoneOS® QoS基本结构StoneOS®的QoS基于以下基本模块实现：●QoS识别和标记技术。

用于网络元素间从点到点的QoS协调●单一网络元素内的QoS(例如：队列、拥塞避免、调度、管制以及流量整形工具)●统计功能。

基于角色、应用的实时流量统计，用于控制和管理流量。

Hillstone山石网科流量管理白皮书3. Hillstone 山石网科解决方案通过结合以下技术，StoneOS®用创新的专有的技术实现强大而灵活的QoS解决方案：●基于RFC的DSCP标记●IP QoS●角色QOS●应用QoS●混合QOS●应用标记●弹性QoS3.1 与第三方设备互通QoS是不同品牌网络设备之间共同努力的结果。

以一个大型企业的网络环境为例，Hillstone 山石网科设备可以被部署为分支办公室的网关设备，它可能与Cisco的路由器共同工作。

创新的网络安全架构Hillstone SA-2010采用了先进的多核处理器技术，自主开发的专用安全芯片(ASIC)和内部高速交换总线，使得Hillstone SA-2010在应用层安全处理的性能上有了质的飞跃，为企业应用安全提供专业的高性能硬件平台。

强大的处理能力Hillstone SA-2010采用64位网络专用多核并行处理器，运算能力超过3.2GOPS ，能够避免传统ASIC 和NP 安全系统会话创建能力和流量控制能力弱的弊病，为VPN 和应用层内容安全功能提供强大的处理能力保障。

强大的抗攻击能力Hillstone SA-2010采用的多核处理器架构和新一代的StoneOS 安全操作系统，能够提供高性能的应用安全处理能力和更强的应用层抗攻击能力。

Hillstone SA-2010每秒能够处理超过3万的TCP 会话请求，超过同类产品5-10倍，具有超强的DDoS 攻击防护能力。

强健的专用实时操作系统Hillstone 自主开发的64位实时并行操作系统StoneOS ，强大的并行处理能力和模块化的结构设计，易于集成和扩展更多的安全功能。

通过对新一代多核处理器的全面优化和安全加固，极大地提高了系统处理效率、稳定性和安全性。

模块化和并行多任务的处理机制，为Hillstone 新一代的网络安全系统提供了极大的可扩展能力，包括支持更多核处理器和集成更多的安全功能。

精密的流量控制依靠高性能的多核处理器及ASIC 专用芯片，Hillstone SA-2010可实现精密的基于用户和应用的流量控制。

在保障系统运行性能的情况下，Hillstone SA-2010可实现精密度为1kbps ，多达2500用户的流量控制。

基于应用的流量控制可识别各种P2P 及IM(即时通讯)协议，配合时间表功能的使用，帮助您灵活掌控带宽分配。

VPNHillstone SA 支持IPSec 和SSL VPN ，在多种拓扑下可以灵活结合，解决您远程互联和远程接入的问题。

Hillstone边检网络安全解决方案使用Hillstone助力边检网络安全管理和应用层管控一、边检网络应用现状及面临的挑战当前，边检信息处理量不断加大，边检资源管理的复杂化也不断加大，这要求信息的处理有更高的效率，传统的人工管理方式难以适应以上系统，而只能依靠计算机系统来实现。

对于边检信息化系统的安全问题，大多数边检部门考虑最多的还是病毒，认为病毒对边检各系统的影响最大，所以大部分的财力人力都投向了防病毒系统，当然这是对的。

但这还远远不够，仍然会有很多心怀叵测的人或者组织对边检部门发起攻击，甚至数据窃密等，往往会对边检部门的核心数据造成不可弥补的损失。

在边检部门对于信息化系统严重依赖的情况下，如何有效地增强边检部门安全防范以及有效的1、防火墙性能不够边检用户网络中现有的防火墙一般都是采用X86架构，采用Asic架构的都很少。

他们的网络性能一般都不高，尤其是对于Internet应用骤增的边检网络环境来说，现有防火墙的网络性能更是导致网络传输延迟增大的直接原因，使其成为整个网络传输的瓶颈之一，严重影响边检部门的正常办公需求，已经不能够满足边检信息化持续发展的需要。

而一款高性能、高吞吐、价格适中的防火墙是边检用户所急切需要的。

2、缺乏防攻击能力一般认为Internet上充斥着各种病毒和攻击源，但随着局域网技术的发展，网络安全不再只是外网的专利，包括内、外网在内的整个网络环境都需要足够的安全防护意识及安全防护措施。

具有Internet接入的边检办公网在访问众多Internet免费资源的同时，也在承受着巨大的攻击压力，如：∙syn-flood∙udp-flood∙icmp-flood∙Winnuke∙Smurf/Fraggle∙畸形报文∙报文分片攻击∙IP异常选项攻击∙地址欺骗∙地址扫描∙端口扫描等在内网，边检部门网络同样面临着巨大的攻击压力。

∙Arp欺骗攻击∙Mac欺骗攻击∙流量攫取∙地址欺骗∙地址扫描∙端口扫描等而边检网络现有防火墙并不具备内、外网防攻击手段及能力，在面临大范围病毒爆发或攻击发作的时候无法提供良好的处理性能，严重时将导致设备宕机，严重影响边检部门的正常工作。

高校互联网出口网络安全解决方案意见征询稿Hillstone Networks Inc.2011年6月1日概要高校互联网是高校校园网的重要部分,也是发生安全事件相对集中的环节，对此采取必要的安全防护措施来进行保障，是非常必要的，Hillstone山石网科根据类似的项目经验，总结出高校互联网出口的安全特性，并对应性地提出安全建设建议，实现保障的效果。

1.开放使用、合理管控●高校互联网出口是为学生、教师、职工等提供上网服务的途径，对此需要在开放使用的基础上进行合理管控，特别是对学生的上网行为，需要有对应的管控措施，对行为进行深度分析和管控。

●方案针对此特点通过Hillstone山石网科的用户认证，和深度应用访问控制技术来提供保障，在有效鉴别用户身份的基础上，针对特定用户进行不同细粒度的检测与控制策略，保障校园网互联网出口被合理使用；2.稳定运营、灵活扩展●在稳定运营的基础上实现灵活扩展，也是高校互联网出口商普遍关注的问题，稳定运行是高校互联网出口的基本要求。

但同时也看到，高校互联网出口总是存在多链路、多运营商的特点，因此在出口进行安全防护，引入的安全设备必须具备有灵活扩展的能力，能够有效适应多链路、多运营商的趋势要求。

●方案针对此特点，引入的Hillstone山石网科安全网关能够支撑高稳定性，和高可扩展性要求，在可靠性上支撑多种双机、多链路技术，从而有效适应高校互联网的特点；另外设备支持功能、接口的扩展，以适应高校校园网的不断发展。

3.绿色校园、差异服务●对比其他行业，高校对互联网访问内容的控制更加严格，特别针对学生的上网访问行为，从保障青少年心理健康的角度，需要对学生进行更加严格的控制。

除了对学生的严格控制以外，对于教师和职工，以及家属的上网行为则适当放松，体现差异化的服务性。

●方案通过Hillstone山石网科安全网关提供的上网行为管理、身份认证技术，在区分访问者角色的基础上，对访问行为进行深度分析，和有效控制。

Hillstone QoS流量控制解决方案QoS介绍QoS（Quality of Service）即“服务质量”。

它是指网络为特定流量提供更高优先服务的同时控制抖动和延迟的能力，并且能够降低数据传输丢包率。

当网络过载或拥塞时，QoS 能够确保重要业务流量的正常传输。

QoS的实现通常来讲，实现QoS管理功能的工具包括：♦分类和标记工具♦管制和整形工具♦拥塞管理工具♦拥塞避免工具图22-1描绘了QoS的体系结构。

图22-1：QoS体系结构如图22-1所示，数据包通过入接口进入系统后，首先会被分类和标记。

在这一过程中，系统会通过管制机制丢弃一些数据包。

然后，根据标记结果，数据包会被再次分类。

系统会通过拥塞管理（Congection Management）机制和拥塞避免（Congection Avoidence）机制对数据包进行管理，为数据包排列优先次序并且在发生拥塞时保证高优先级数据包的顺利通过。

最后，系统会将经过QoS管理的数据包通过出接口发送出去。

分类和标记分类和标记的过程就是识别出需进行不同处理（优先或者区分）的流量的过程。

分类和标记是执行QoS管理的第一步。

分类和标记应该在和源主机尽量接近的地方进行。

分类通常来讲，分类工具依据封装报文的头部信息对流量进行分类。

为做出分类决定，分类工具需要对头部信息进行逐层深入检查。

图22-2显示出头部信息的分类字段，而表22-1列出不同字段的分类标准。

图22-2：分类字段表22-1：分类标准标记可携带标记的字段如下：♦第2层标记字段：802.1Q/p。

♦第3层标记字段：IP优先权和DSCP。

802.1Q/p通过设置802.1Q头的802.1p用户优先级位（CoS）来标记以太网帧。

在以太网第2层以太网帧中至于8种服务类别（0到7）可以标记。

数值的分配请参阅表22-2。

表22-2：应用类型值IP优先权和DSCPIP优先权与CoS相同，有8种服务（0到7）可以标记，请参考表22-2。

Hillstone 山石网科UTM Plus 技术白皮书1 概述从防火墙到UTM早期的安全设备基本上都是单点串行的接入方式。

安全设备独立运行，管理复杂，单点故障多带来的可靠性极低., 同时，安全状态分析复杂, 并且投资较高，维护成本高，使用的处理的数据在所有的设备上都需要处理以便，对性能的牺牲也是极大的。

从UTM到UTM PlusUTM（统一威胁管理）的出现似乎解决了这以问题，UTM的部署方式不再是单点串行部署，而是将所有的安全引擎都内置在同一安全设备上，从理论上来将，UTM的出现解决了传统防火墙，防病毒，入侵防御等单点式安全产品串行部署带来的一系列如安全管理，投资高，维护成本大，单点故障多的问题。

但是，是不是UTM的出现就能解决所有的问题了呢？●从传统的UTM实现来看，只是将安全功能简单的叠加，导致系统性能急剧下降，系统不可用。

所有安全功能单独运行，仅是简单集成到了一个系统平台上，安全模块没有做到内部互动，安全问题依然存在, 传统UTM越来越成为了概念，离使用越来越远…图1 传统UTM 串行软件处理架构●从当前用户对网络安全需求的角度来看，之前网络安全的管理的重心主要是集中在在外网到内网的攻击防护和阻断，但随着互联网业务的发展，业务带宽被P2P等下载软件蚕食，无序的、不受约束的上网行为导致不良网站访问、“安全门”、“泄密门”等信息泄密事件的产生等。

全网安全管理，而不仅仅是外网攻击防护，已经让传统UTM只能“防外不防内”的解决方案失去了意义。

UTM Plus是什么UTM Plus是建立在传统UTM解决方案之上，能应对当今复杂多变的网络应用，能满足当下用户对安全应用的需求，并且不管从系统架构层面到软件设计，都具备良好的处理能力来支持所有庞大的功能模块正常运行。

●从网络应用的变化角度来看，UTM Plus解决方案必须能识别和处理新型复杂多变的应用，只有可视化的识别这些应用才能针对应用进一步做对应安全引擎处理。

Hillstone下一代智能防火墙技术白皮书之• 流量的划分不够精细，大部分QoS只能做到基于5元组的流量划分• 缺乏QoS管理手段，缺少直观可视，简单易用的QoS呈现• 优先级的处理效果有限，不能很好的保证关键业务优先调度处理• 剩余带宽不能得到合理有效的利用Hillstone T系列下一代智能防火墙独创的具有专利技术的增强的智能流量管理（iQoS），可以实现两层八级的管道嵌套以及更细粒度的流量控制，满足不同网络层次部署的需要，能够很好的解决传统QoS无法解决的问题。

制总P2P下载带宽30Mbps；这种配置很不灵活，其实是通过分别限制财务总监和普通员工的P2P下载带宽达到限制总P2P下载带宽30Mbps的目的。

iQoS两层流控的做法是：第一层流控基于用户进行控制，即限制财务总监带宽50Mbps、普通财务员工带宽30Mbps，第二层流控基于P2P应用进行控制，即将总的P2P下载速率限制到30Mbps。

这种处理很灵活，不需要分别限制财务总监和普通员工的P2P下载带宽，他们各自P2P的下载带宽不用设置成固定的值，经过第二层流控时很自然会将总的P2P下载速率限制到30Mbps。

两层流控工作流程如下图：第一层流控第二层流控图1 两层流控工作流程示意图2.1.2 单层四级嵌套Hillstone 增强的智能流量管理（iQoS ）在每一层流控中，最多支持四级管道的嵌套。

流量会按照匹配条件，逐级匹配管道；未匹配到任何管道的流量，则进入预定义的默认管道。

每一级管道都有各自的匹配条件（rule ）和流控动作，满足匹配条件的流量按照该管道配置的流控动作进行相应的流量控制。

匹配条件（rule ）包括源安全域、源接口、源地址条目、目的安全域、目的接口、目的地址条目、用户/用户组、服务/服务组、应用/应用组、TOS 、Vlan ，可以根据一种条件来划分流量，如根据源地址条目；也可以根据多种条件组合来划分流量，多种条件之间是”与”的关系，如根据源接口、目的地址条目和应用HTTP ，即从指定的源接口到具体的目的地址的HTTP 流量，这样能够更加精细的划分流量。