Hillstone防火墙技术

山石网科：防火墙的那些性能指标,你了解吗？正如购买其他电子设备需要了解很多性能参数一样，选购一台防火墙也需要了解众多的的性能指标。

那么作为防火墙的四项基本性能指标——吞吐、时延、新建、并发，都意味着什么，如何测算得出，到底可以带给用户什么好处？有什么意义？山石网科Hillstone将为您解读防火墙四大指标的含义以及测试方法。

吞吐量(Throughput)吞吐量是衡量一款防火墙或者路由交换设备的最重要的指标，它是指网络设备在每一秒内处理数据包的最大能力。

吞吐量意味这台设备在每一秒以内所能够处理的最大流量或者说每一秒内能处理的数据包个数。

设备吞吐量越高，所能提供给用户使用的带宽越大，就像木桶原理所描述的，网络的最大吞吐取决于网络中的最低吞吐量设备，足够的吞吐量可以保证防火墙不会成为网络的瓶颈。

举一个形象的例子，一台防火墙下面有100个用户同时上网，每个用户分配的是10Mbps的带宽，那么这台防火墙如果想要保证所有用户全速的网络体验，必须要有至少1Gbps的吞吐量。

吞吐量的计量单位有两种方式：常见的就是带宽计量，单位是Mbps(Megabits per second)或者Gbps(Gigabits per second)，另外一种是数据包处理量计量，单位是pps(packets per second)，两种计量方式是可以相互换算的。

在进行对一款设备进行吞吐性能测试时，通常会记录一组从64字节到1518字节的测试数据，每一个测试结果均有相对应的pps数。

64字节的pps数最大，基本上可以反映出设备处理数据包的最大能力。

所以从64字节的这个数，基本上可以推算出系统最大能处理的吞吐量是多少。

很多路由设备的性能指标有一点就是标称xxMpps，所指的就是设备处理64字节的pps数。

比如64字节的pps为100000pps，吞吐量通过换算为100000×(64+20) ×8/1000000= 67.2Mbps，拿这个结果计算1518字节的数据为100000×(1518+20) ×8/100000=1230.4Mbps。

表29-1：手动同步配置命令列表；HA同步信息show命令手动同步命令；配置信息showconfigurationexe；文件信息showfileexechasyncfi；ARP表项s howarpexechasyncrd；DNS配置信息showiphostsexecha；DHCP配置信息s howdhcpexechasy；MAC地址表showmacexecha表29-1：手动同步配置命令列表HA 同步信息show 命令手动同步命令配置信息show configuration exec ha sync configuration文件信息show file exec ha sync file file-nameARP 表项show arp exec ha sync rdo arpDNS 配置信息show ip hosts exec ha sync rdo dnsDHCP 配置信息show dhcp exec ha sync rdo dhcpMAC 地址表show mac exec ha sync rdo macshow pki keyPKI 配置信息show pki trust-domainexec ha sync rdo pki会话信息show session exec ha sync rdo session show ipsec saIPSec VPN 信息show isakmp saexec ha sync rdo vpnshow scvpn client testshow scvpnhost-check-profileshow scvpn poolshow scvpnuser-host-bindingshow scvpn sessionSCVPN 信息show auth-user scvpnexec ha sync rdo scvpnshow l2tp tunnelshow l2tp poolshow l2tp client{tunnel-name name [useruser-name]| tunnel-id ID}L2TP 信息show auth-user l2tp{interface interface-name| vrouter vrouter-name}exec ha sync rdo l2tpWeb 认证信息show auth-user webauth exec ha sync rdo webauth NTP 信息show ntp exec ha sync rdo ntpSCVPN 信息show scvpn exec ha sync rdo scvpn路由信息show ip route exec ha sync rdo route显示HA配置系统提供相应的show 命令，查看HA 配置信息。

Hillstone山石网科下一代防火墙基础配置手册V5.5版本Hillstone Networks Inc.服务热线：400 828 6655内容提交人审核人更新内容日期陈天骄陈天骄初次编写2016/1/14目录1 设备管理 (3)1.1 终端console登录 (3)1.2 网页WebUI登录 (3)1.3 恢复出厂设置 (5)1.3.1 CLI命令行操作 (5)1.3.2 WebUI图形化界面操作 (5)1.3.3 硬件CLR操作 (6)1.4 设备系统（StoneOS）升级 (6)1.4.1 通过sysloader升级 (6)1.4.2 通过CLI升级 (9)1.4.3 通过WebUI升级 (9)1.5 许可证安装 (10)1.5.1 CLI命令行安装 (10)1.5.2 WebUI安装 (11)2 基础上网配置 (11)2.1 接口配置 (11)2.2 路由配置 (13)2.3 策略配置 (14)2.4 源地址转换配置（SNAT） (15)3 常用功能配置 (16)3.1 PPPoE拨号配置 (16)3.2 动态地址分配（DHCP）配置 (17)3.3 IP-MAC地址绑定配置 (20)3.4 端到端IPSec VPN配置 (21)3.4.1 配置第一阶段P1提议 (22)3.4.2 配置ISAKMP网关 (23)3.4.3 配置第二阶段P2提议 (24)3.4.4 配置隧道 (25)3.4.5 配置隧道接口 (26)3.4.6 配置隧道路由和策略 (28)3.4.7 查看VPN状态 (29)3.5 远程接入SCVPN配置 (30)3.6 目的地址转换DNAT配置 (38)3.6.1 IP映射 (39)3.6.2 端口映射 (41)1设备管理安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、Telnet、SSH等主流通信管理协议。

【hillstone】2.关于⼭⽯防⽕墙端⼝映射的配置
关于⼭⽯防⽕墙端⼝映射的配置1．⾸先便是在“对象”中添加服务端⼝以及地址，以便⼀会调⽤先添加服务端⼝，在“服务簿”的“所有⾃定义服务”中添加
点击“新建”，添加服务端⼝的对象
接下来添加IP地址的对象
添加公⽹的IP对象
添加服务器的IP对象
PS：值得⼀提的是，在做映射的时候，⽆论公⽹还是内⽹地址，在创建对象的时候皆是使⽤32位主机位的掩码。

2．接下来，便是做端⼝的映射
在“防⽕墙”“NAT”的“⽬的NAT”中
“新建”⼀个“端⼝映射”或者“⾼级配置”，但建议配置不熟悉的初学者使⽤“端⼝映射”即可
配置如下
在“⽬的地址”中添加公⽹地址的对象，服务为服务端⼝，映射到的地址是内⽹的地址。

3．策略上的放⾏
防⽕墙离不开策略，所做的DNAT也同样需要在防⽕墙上做个放⾏的策略，如下
这样，从外⽹访问公⽹地址的80服务端⼝时，皆被放⾏。

端⼝映射的配置到此完毕！。

图1 使用虚拟防火墙进行业务灵活扩展在传统数据中心方案中，业务服务器与防火墙基本上是一对一配比。

因此，当业务增加时，用户需要购置新的防火墙；而当业务减少时，对应的防火墙就闲置下来，导致投资浪费。

虚拟防火墙技术以其灵活可扩展的特性帮助用户保护投资，用户可以随时根据业务增减相应的虚拟防火墙。

同时，通过使用虚拟防火墙的CPU资源虚拟化技术，数据中心还可以为客户定量出租虚拟防火墙，例如，可以向某些客户出租10M吞吐量的虚拟防火墙，而向另一些客户出租100M吞吐量的虚拟防火墙。

Hillstone 的虚拟防火墙功能简称为VSYS ，能够将一台物理防火墙在逻辑上划分成多个虚拟防火墙，每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备，拥有独立的系统资源，且能够实现防火墙的大部分功能。

每个虚拟防火墙系统之间相互独立，不可直接相互通信。

不同型号的Hillstone 物理防火墙设备支持的最大VSYS 个数不同，支持License 控制的VSYS 个数的扩展。

数据中心业务类型多种多样，需要使用的防火墙策略也不同。

例如，DNS 服务器需要进行DNS Query Flood 攻击防护，而HTTP 服务器则需要进行HTTP Get Flood 攻击防护。

虚拟防火墙的划分能够实现不同业务的专属防护策略配置。

同时，CPU 资源虚拟化可隔离虚拟防火墙之间的故障，当单个虚拟防火墙受到攻击或资源耗尽时，其它虚拟防火墙不会受到影响，这样就大大提升了各业务的综合可用性。

图2使用虚拟防火墙进行业务隔离Hillstone 虚拟防火墙功能包含以下特性：■ 每个VSYS 拥有独立的管理员■ 每个VSYS 拥有独立的安全域、地址簿、服务簿等■ 每个VSYS 可以拥有独立的物理接口或者逻辑接口■ 每个VSYS 拥有独立的安全策略■每个VSYS 拥有独立的日志1.2 业务隔离，互不影响3.2 专有对象与共享对象系统在没有配置任何虚拟防火墙时，只有一个逻辑的防火墙系统，称为根虚拟系统（根VSYS ），所有的系统资源都被根VSYS 所使用（不只是硬件资源）。

目录一．基本情况介绍 (2)1.车管所机房情况： (2)2.通璟检测站： (2)3.风顺、安运检测站： (2)4.关于防火墙的配置方式： (3)5.关于配置文件： (3)6.关于授权证书： (4)二．车管所防火墙配置说明 (5)1.第12行： (5)2.第90行，地址薄的设置： (5)3.第316行，接口的设置： (7)4.第371行，虚拟路由的配置： (9)5.第381行，策略的配置： (11)三．通璟检测站防火墙的配置： (13)1.第83行，地址薄的设置： (13)2.第290行，接口的配置： (14)3.第312行，虚拟路由的设置： (15)4.第317行，策略的配置： (16)四．风顺检测站防火墙的配置： (17)1.第86行，地址薄的配置： (17)2.第305行，接口的配置： (18)3.第328行，虚拟路由的配置： (19)4.第335行，策略的设置： (21)五．总结 (22)一．基本情况介绍本文档适用于HillStone SG-6000 M2105(车管所)和HillStone SG-6000 NA V20（检测站），网络连接方式为车管所与检测站防火墙用网线直连、车管所与检测站防火墙在同一公安网IP段内两种。

具体配置如下：1．车管所机房情况：数据服务器、应用/通讯服务器、hillstone防火墙、审核电脑1/2的IP分别10.137.186.78/62/68/36/37，系统管理员给的IP地址格式为：；防火墙配置完毕后，车管所服务器设置的IP格式为：webserviceIP:10.136.46.23。

2.通璟检测站：局域网IP地址为192.168.11.*段，网关192.168.11.1。

因为距离短，有一条一百多米网线直接通到车管所机房。

站点服务器、签证申请岗、查验岗、无线路由、PDA、检测线主控、登录机等都接在交换机上，然后交换机接网线到hillstone防火墙的0/1口，到车管所机房的网线接防火墙0/0口。

Hillstone⼭⽯⽹科防⽕墙⽇常运维操作⼿册⽬录⼀、设备基础管理 (1)1.1设备登录 (1)1.1.1 通过CLI管理设备 (1)1.1.2 通过WebUI管理设备 (2)1.2管理员帐号及权限设置 (4)1.2.1 新增管理员 (4)1.2.1 修改管理员密码 (5)1.3 License安装 (6)1.4设备软件升级 (7)1.5设备配置备份与恢复 (9)1.5.1 备份设备配置 (9)1.5.2 恢复设备配置 (12)1.6系统诊断⼯具的使⽤ (14)⼆、对象配置 (16)2.1 配置地址薄 (16)2.2 配置服务簿 (17)三、⽹络配置 (21)3.1 配置安全域 (21)3.2 配置接⼝ (22)3.3 配置路由 (23)3.4 配置DNS (24)四、防⽕墙配置 (26)4.1 配置防⽕墙策略 (26)4.1.1 新增防⽕墙安全策略 (26)4.1.2 编辑防⽕墙安全策略 (27)4.2 配置NAT (28)4.2.1 配置源NAT (28)4.2.2 配置⽬的NAT (31)4.3 防⽕墙配置举例 (35)五、QOS配置 (44)5.1 配置IP QOS (45)5.2 配置应⽤QOS (46)六、常⽤⽇志配置 (48)⼀、设备基础管理1.1设备登录安全⽹关⽀持本地与远程两种环境配置⽅法，可以通过CLI 和WebUI 两种⽅式进⾏配置。

CLI同时⽀持Console、telnet、SSH 等主流通信管理协议。

1.1.1 通过CLI管理设备通过Console ⼝配置安全⽹关时需要在计算机上运⾏终端仿真程序（系统的超级终端、SecureCRT等）建⽴与安全⽹关的连接，并按如下表所⽰设置参数（与连接Cisco设备的参数⼀致）：通过telnet或者SSH管理设备时，需要在相应接⼝下启⽤telnet或SSH 管理服务，然后允许相应⽹段的IP管理设备（可信主机）。

对接⼝启⽤telnet或SSH管理服务的⽅法如下：⾸先在⽹络—>⽹络连接模式下的页⾯下⽅勾选指定接⼝，点击图⽰为的编辑按钮，然后在弹出的接⼝配置窗⼝中对接⼝启⽤相应的管理服务，最后确认即可：1.1.2 通过WebUI管理设备WebUI同时⽀持http和https两种访问⽅式，⾸次登录设备可通过默认接⼝ethernet0/0 （默认IP 地址192.168.1.1/24，该接⼝的所有管理服务默认均已被启⽤）来进⾏，登录⽅法为：1. 将管理PC 的IP 地址设置为与192.168.1.1/24 同⽹段的IP 地址，并且⽤⽹线将管理PC与安全⽹关的ethernet0/0 接⼝进⾏连接。

山石防火墙参数1.网络接口配置参数：山石防火墙支持多个网络接口，用于与不同的网络进行连接和通信。

网络接口配置参数包括接口名称、接口地址、子网掩码、默认网关等。

通过配置这些参数，可以实现防火墙与其他设备的通信。

2.防火墙规则配置参数：防火墙规则用于定义允许或禁止特定网络流量通过防火墙的规则集。

这些规则可以根据源IP地址、目标IP地址、协议、端口等条件进行设置。

防火墙规则配置参数包括规则名称、规则动作（允许或禁止）、源地址、目标地址、协议、端口等。

3.安全策略参数：安全策略用于定义防火墙的安全控制策略，包括入站策略和出站策略。

安全策略参数包括策略名称、优先级、源地址、目标地址、协议、端口等。

通过配置安全策略参数，可以控制特定网络流量的进出防火墙的行为。

4.虚拟专网（VPN）参数：山石防火墙支持虚拟专网功能，用于建立安全的远程访问连接。

VPN参数包括VPN隧道类型、加密算法、身份验证方式等。

通过配置VPN参数，可以提供加密的数据传输通道，保护远程访问连接的安全性。

5.防火墙日志参数：防火墙日志用于记录防火墙所处理的网络流量和事件，包括入站和出站连接、安全事件、访问日志等。

防火墙日志参数包括日志级别、日志格式、日志保存位置等。

通过配置日志参数，可以方便地查看和分析防火墙的活动和事件。

6.网络地址转换（NAT）参数：NAT用于在内部网络和外部网络之间转换IP地址，隐藏内部网络的真实IP地址。

NAT参数包括转换类型（静态NAT、动态NAT、端口地址转换等）、转换规则、源地址池、目标地址池等。

通过配置NAT参数，可以实现内部网络和外部网络之间的互联和通信。

7.服务质量（QoS）参数：QoS用于优化网络性能，提供带宽管理、流量控制、优先级和类别化等功能。

QoS参数包括带宽限制、流量分类、优先级设置等。

通过配置QoS参数，可以根据不同的网络应用和服务的需求，合理分配和管理带宽资源。

这些参数只是山石防火墙所提供的一部分，具体的参数设置和配置可能因不同型号和版本的防火墙而有所差异。

山石防火墙图文讲解简单配置步骤(总17页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面，使用请直接删除hillstone防火墙配置步骤(以hillstone SA5040为例讲解)厦门领航立华科技有限公司目录1 需要从客户方获取的基本信息................................................................. 错误!未定义书签。

2 配置步骤 .................................................................................................... 错误!未定义书签。

配置安全域................................................................................. 错误!未定义书签。

配置接口地址............................................................................. 错误!未定义书签。

配置路由..................................................................................... 错误!未定义书签。

配置NAT ..................................................................................... 错误!未定义书签。

源地址NAT ......................................................................... 错误!未定义书签。

Version2.0
TechDocs|
版本说明
本手册包含了IFW2_2.0版本以及后续版本的版本说明，主要介绍了各版本的新增功能、已知问题等内容。

l IFW22.0
IFW22.0
发布日期：2022年6月24日
本版本是山石网科IFW2系列工控防火墙的首次发布。

山石网科IFW2系列工控防火墙满足工业场景的各种需求，有无风扇、低噪音、适用于宽温宽湿工作条件的特点。

可以识别S7comm、PROFINET-IO、Modbus、IEC-61850、IEC-60870-5-104、FINS、DNP3、EthernetIP以及IEC-60850-MMS多种工业协议。

工控协议白名单防护中，对Modbus、OPC、IEC104这三种工业协议满足主机级、协议级、功能级和值域级四级深度解析和管控。

可以对工业设备进行进行资产发现和资产拓扑关系展示，做到可知、可控、可管、可靠。

版本发布相关信息：https:///show_bug.cgi?id=28672
平台和系统文件
新增功能
2Title-ReleaseNote
Title-ReleaseNote3
浏览器兼容性
以下浏览器通过了WebUI测试，推荐用户使用：
l IE11
l Chrome
获得帮助
Hillstone Web应用防火墙设备配有以下手册：请访问https://进行下载。

l《IFW2_WebUI用户手册》
l《IFW2_CLI命令行手册》
l《IFW2_硬件参考指南》
服务热线：400-828-6655
官方网址：https://
4Title-ReleaseNote。

也会越来越多，关键业务系统更是企业网络应用的核心。

面对日益复杂的网络攻击如APT 、0-Day 攻击，基于特征库识别的安全设备已经失效，无法有效检测出隐藏在正常流量中的未知威胁和网络异常。

Hillstone 下一代智能防火墙通过实时的流量数据分析技术，更早更多更准的发现已知和未知威胁及网络异常，帮助企业保障业务系统的安全。

企业在互联网出口和服务器前端部署Hillstone 下一代智能防火墙后，通过异常行为分析技术，对风险对象发起和遭受的攻击进行综合分析，并结合网络中已知威胁量化形成行为信誉指数（BRI ），帮助运维人员实时掌握网络威胁状况，提前发现网络中威胁并进行安全防范，保障企业业务的安全性。

包括：● 用户指定的风险对象的异常行为分析，检测网络中未知威胁和异常● 六大威胁防护，全面检测网络中各种威胁和攻击● 行为信誉指数和威胁报告，实时掌握网络威胁状况●全面威胁防护可视化，直观了解网络威胁信息典型应用场景生产终端企业服务器企业服务器企业服务器图七：企业互联网典型应用场景下一代智能防火墙对企业网络中用户、服务器等风险对象的流量进行异常行/应用行为中的异常模式，以发现未DDoS、HTTP DDoS等AD阈值内的攻击，有效发现僵尸网络和服务器: 在深度应用识别的基础上，通过企业Spam攻击等特征无法识别的未知威APT、0-Day攻击的发现提供基础；Hillstone下一代智能防火墙中包含括WEB攻击防护、恶意网站访问网络层攻击防护、应用层攻击防护，六大威胁●WEB攻击防护：防护SQL注入攻击、XSS攻击、协议异常分析、CC攻击等基●恶意网站访问控制：通过特定的恶意URL库实现对企业内网用户的URL访问的安全防护；●恶意软件下载防护：检测防护最易携带病毒的文件类型和常用压缩类型，包含HTML, PE, JPEG, GZIP 等，可检测防护的协议类型包含HTTP 、SMTP、POP3、IMAP4和FTP等，保障内网安全；●木马攻击防护：可检测防护企业网络中多种常见流行木马；●网络层攻击防护：检测防护针对企业内网服务器常见的DoS/DDoS攻击、恶意扫描探测攻击、欺骗攻击；●应用层攻击防护：检测防护针对主流应用层协议的入侵攻击，包含：DNS、FTP、POP3、SMTP、TELNET、MYSQL、MSSQL、ORACLE、NETBIOS等，保护企业FTP、邮件等业务系统的安全。

Hillstone统一智能防火墙安装手册目录第1章介绍 (1)第2章准备工作 (3)第3章安装与升级 (7)安装统一智能系统软件到虚拟机 (8)升级企业安全网关到指定的系统固件 (10)第4章初始化 (12)初始化 (12)第5章登录统一智能防火墙 (17)第6章高级功能设置 (18)查看统一智能系统接口信息 (18)配置统一智能系统接口 (18)修改统一智能系统登录密码 (18)升级统一智能防火墙 (18)通过WebUI升级 (18)通过CLI升级 (20)升级或回退企业安全网关的系统固件 (20)删除统一智能系统 (21)查看统一智能系统软件的版本及企业安全网关系统固件的版本 (21)配置可信主机 (21)智一能系统与企业安全网关连接通道的加密 (22)关于本手册手册内容该文档介绍统一智能防火墙的安装部署，具体内容包括：♦第1章介绍♦第2章准备工作♦第3章安装与升级♦第4章初始化♦第5章登录统一智能防火墙♦第6章高级功能设置手册约定为方便用户阅读与理解，本手册遵循以下约定：内容约定本手册内容约定如下：♦提示：为用户提供相关参考信息。

♦说明：为用户提供有助于理解内容的说明信息。

♦注意：如果该操作不正确，会导致系统出错。

♦『』：用该方式表示Hillstone设备WebUI界面上的链接、标签或者按钮。

例如，“点击『登录』按钮进入Hillstone设备的主页”。

♦< >：用该方式表示WebUI界面上提供的文本信息，包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。

例如，“改变MTU值，选中<手动>单选按钮，然后在文本框中输入合适的值”。

CLI约定本手册在描述CLI时，遵循以下约定：♦大括弧（{ }）：指明该内容为必要元素。

♦方括弧（[ ]）：指明该内容为可选元素。

♦竖线（|）：分隔可选择的互相排斥的选项。

♦粗体：粗体部分为命令的关键字，是命令行中不可变部分，用户必须逐字输入。

hillstone防火墙如何设置hillstone防火墙设置怎么样设置才最好呢?能起到最大的作用!下面由店铺给你做出详细的hillstone防火墙设置方法介绍!希望对你有帮助!hillstone防火墙设置方法一：Hillstone路由器自带了邮件相关的端口协议服务组，可以登录路由器找到，对象-- 服务里面点击自定义，添加设置。

把需要映射的端口，SMTP POP IMAP 等端口加到协议组里面设置端口映射选择需要映射的公网接口设置好需要映射的协议组，然后选择启用。

即可hillstone防火墙设置方法二：口令丢失情况下的处理如果口令丢失，用户无法登录安全路由器进行配置，请在安全路由器刚启动时按住 CLR 按键大约 5 秒，使设备恢复到出厂配置。

此时用户可以使用默认管理员“hillstone”登录重新配置。

操作步骤如下：1.关闭安全路由器电源。

2.用针状物按住 CLR 按键的同时打开安全路由器电源。

3.保持按住状态直到指示灯 STA 和 ALM 均变为红色常亮，释放 CLR 按键。

此时系统开始恢复出厂配置。

4.出厂配置恢复完毕，系统将会自动重新启动。

默认IP ： 192.168.1.1默认用户名： hillstone默认密码：hillstone请注意把PC的IP改为和路由器同一网段(比如:192.168.1.2)后访问hillstone防火墙设置方法三：CMD，端口需开启telent,命令行模式配置。

以下是命令：confhost-blacklist mac *.*.*(*.*.*=需要禁止的MAC地址) save。

Version 2.8Copyright 2021 Hillstone Networks.All rights reserved.Information in this document is subject to change without notice. The software described in this document is furnished under a license agreement or nondisclosure agreement. The software may be used or copied only in accordance with the terms of those agreements. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form or any means electronic or mechanical, including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks.Hillstone Networks本文档禁止用于任何商业用途。

联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州高新区科技城景润路181号邮编：100192 邮编：215000联系我们：https:///about/contact_Hillstone.html关于本手册本手册介绍山石网科公司的Web应用防火墙（W1060-GC）的硬件相关信息。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：***********************山石网科https://TWNO: TW-HW-WAF(GC)-CN-V1.0-Y21M11产品中有毒有害物质或元素的名称及含量前言内容简介感谢您选用Hillstone Networks的Web应用安全产品-Web应用防火墙。

Hillstone防火墙高可靠组网解决方案技术白皮书关键词：防火墙，单点故障，状态检测，HA组，AP，AA，Hillstone集群管理协议（HCMP），冗余，负载均衡，非HA组，非对称流量，企业网络出口，数据中心网络出口，宽带运营商网络出口，状态机。

摘要：本文介绍了防火墙高可靠组网的需求背景、Hillstone防火墙高可靠组网的工作模式、典型应用场景，以及Hillstone集群管理协议的基本原理。

缩略语：1.防火墙高可靠组网需求背景1.1单机部署存在单点故障风险单台设备部署时，无论其可靠性多高，系统都必然要承受因单点故障而导致网络业务中断的风险。

而且防火墙部署在互联网出口一般主要使用网络地址转换（NAT）功能，因此无法使用Bypass来解决单点故障问题。

图1单机部署存在单点故障风险1.2双活单机部署依然存在问题单点故障问题可通过双活架构组网来规避，但防火墙（不同于路由器）是状态检测设备，如果仍是单机模式，会出现单台设备故障时，靠路由冗余切换过来的TCP流无法通过状态检测而中断。

即使防火墙关闭状态检测，对于需要网络地址转换的流，由于没有NAT会话同步，也会导致中断。

而且流的后续报文可能缺少应用特征关键字，导致流量应用类型识别不准。

图2双活单机部署依然存在问题2.Hillstone防火墙高可靠组网工作模式Hillstone防火墙高可靠组网工作模式目前有三种：“HA组”AP模式、“HA组”AA模式、“非HA组”AA模式。

“HA组”是指两台防火墙通过Hillstone集群管理协议建立互相备份关系（Hillstone集群管理协议的基本原理请参考附文），而“非HA组”则是两台防火墙依赖组网中的路由冗余建立互相备份关系。

2.1“HA组”AP模式两台设备（工作在透明模式或者路由模式）配置成一个“HA组”，一台作为主设备，另一台作为备份设备。

主设备处于活动状态，转发报文，同时将其所有网络和配置信息以及当前会话信息传递给备份设备。

Hillstone下一代智能防火墙技术白皮书之• 流量的划分不够精细，大部分QoS只能做到基于5元组的流量划分• 缺乏QoS管理手段，缺少直观可视，简单易用的QoS呈现• 优先级的处理效果有限，不能很好的保证关键业务优先调度处理• 剩余带宽不能得到合理有效的利用Hillstone T系列下一代智能防火墙独创的具有专利技术的增强的智能流量管理（iQoS），可以实现两层八级的管道嵌套以及更细粒度的流量控制，满足不同网络层次部署的需要，能够很好的解决传统QoS无法解决的问题。

制总P2P下载带宽30Mbps；这种配置很不灵活，其实是通过分别限制财务总监和普通员工的P2P下载带宽达到限制总P2P下载带宽30Mbps的目的。

iQoS两层流控的做法是：第一层流控基于用户进行控制，即限制财务总监带宽50Mbps、普通财务员工带宽30Mbps，第二层流控基于P2P应用进行控制，即将总的P2P下载速率限制到30Mbps。

这种处理很灵活，不需要分别限制财务总监和普通员工的P2P下载带宽，他们各自P2P的下载带宽不用设置成固定的值，经过第二层流控时很自然会将总的P2P下载速率限制到30Mbps。

两层流控工作流程如下图：第一层流控第二层流控图1 两层流控工作流程示意图2.1.2 单层四级嵌套Hillstone 增强的智能流量管理（iQoS ）在每一层流控中，最多支持四级管道的嵌套。

流量会按照匹配条件，逐级匹配管道；未匹配到任何管道的流量，则进入预定义的默认管道。

每一级管道都有各自的匹配条件（rule ）和流控动作，满足匹配条件的流量按照该管道配置的流控动作进行相应的流量控制。

匹配条件（rule ）包括源安全域、源接口、源地址条目、目的安全域、目的接口、目的地址条目、用户/用户组、服务/服务组、应用/应用组、TOS 、Vlan ，可以根据一种条件来划分流量，如根据源地址条目；也可以根据多种条件组合来划分流量，多种条件之间是”与”的关系，如根据源接口、目的地址条目和应用HTTP ，即从指定的源接口到具体的目的地址的HTTP 流量，这样能够更加精细的划分流量。

山石防火墙入站负载均衡策略
山石防火墙的入站负载均衡策略通常包括以下几个方面：
1. 虚拟服务器策略：
- 内部服务器的地址和端口通过映射成为一个虚拟服务器，对外提供服务。

- 根据不同的访问需求，将来自外部的流量根据一定的规则分发到不同的虚拟服务器。

2. IP Hash负载均衡策略：
- 通过计算外部请求的源IP地址的哈希值，将请求转发给对应的服务器，保证同一源IP 的请求总是被转发到同一服务器。

- 可以有效地保持会话的连续性，适用于需要保持会话状态的应用。

3. 轮询负载均衡策略：
- 将外部请求按照固定的顺序依次分发给内部的服务器。

- 可以均匀地将请求分发到不同服务器，但无法考虑服务器的负载情况。

4. 加权轮询负载均衡策略：
- 在轮询策略基础上，为每个服务器分配一个权重值，权重值越高的服务器会收到更多的请求。

- 可以根据服务器的性能或者处理能力，进行动态的负载均衡。

需要注意的是，具体的负载均衡策略的选择应根据实际情况进行评估和决策，以满足应用的性能需求和可靠性要求。