山石网科防火墙SGMMM选型说明书

新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色、深度应用的多核Plus G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。

处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点安全可视化●网络可视化通过StoneOS内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

●接入可视化StoneOS基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。

●应用可视化StoneOS内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSec VPN。

SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。

Hi山石网科通信技术(北京)有限公司Hillstone 助力网吧业网络安全接入与管控网吧安全解决方案2008年 6月销售/服务热线：400-650-0259 Hillstone网吧行业安全解决方案Hillstone助力网吧业网络安全接入与管控一、概述随着互联网产业的蓬勃发展，传统网吧在速度、稳定性、安全性方面等都不尽如人意，已经很难承载网民们喜爱的各式各样的互联网服务了，包括视频聊天、网络游戏等。

同时，随着网吧市场的竞争加剧，高速网吧的概念逐渐清晰，网吧业主纷纷注资于网吧的线路改造，不断提升的网络带宽需求也加大了网吧业主的经济负担。

有调查表明，网吧业主的信息服务水平在很大程度上影响着网吧用户对该网吧的喜欢程度和忠诚度。

因此对于网吧业主来说，建设一个高速、高安全、高可靠、可管理、易维护的宽带网络，是构建网吧的主要目标，选取专业的网络设备和专业的解决方案是重中之重，这就需要有专业的网络设备厂商来参与策划和实施。

二、需求分析网吧是比较特殊的网络环境，路由器作为网吧的核心接入设备，必须要满足和适合网吧的特点，概括起来有以下几个方面：•规模大，用户多，设备不间断运行大型网吧的机器数量在500台以上，运营商提供的接入带宽往往满足不了需求，需要有效控制带宽，精打细算使用。

网吧多为游戏、聊天和网页浏览等，传输的均是小数据包，因此需要较大的并发连接数和极高的包转发能力。

•需要带宽管理功能网吧业主最苦恼的莫过于网速慢的问题，虽然不断增加成本扩充带宽，但却仍有用户抱怨游戏卡、上网慢，简单的接入功能无法满足网吧现状，一款带有流量分析、流量管理的安全路由器才是用户迫切需要的。

•需要高稳定性网吧作为服务型营业场所，服务质量至关重要，而随着网吧行业不断发展，市场相对饱和后加剧竞争，频繁断线或大延迟网络将直接影响网吧的声誉和收益。

•多线路接入和负载均衡为扩大接入带宽和优化电信/网通访问速度，很多网吧采用多链路接入方式，需要支持多链路负载均衡和电信/网通链路优选的设备来支持。

Version1.0Copyright2022Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is fur-nished under a license agreement or nondisclosure agreement.The software may be used or copied only in accord-ance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks. Hillstone Networks本文档禁止用于任何商业用途。

关于本手册本手册为光模块参考指南，可帮助用户正确使用山石网科的各款光模块。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：*************************联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州市高新区科技城景润路181号邮编：100192邮编：215000联系我们：https:///about/contact_Hillstone.html山石网科https://TWNO:TW-HW-TRAN-CN-V1.0-4/21/2022目录目录1产品中有毒有害物质或元素的名称及含量3光模块介绍4光模块分类4按照传输速率4按照封装方式4按照光纤模式4千兆SFP光模块5设备适配情况6千兆光电模块6设备适配情况7万兆SFP+光模块9设备适配情况10万兆XFP光模块11设备适配情况12 40GE（QSFP+）光模块13设备适配情况14 100GE（QSFP28）光模块15设备适配情况16光模块的重要参数说明17传输速率17封装模式17传输距离17中心波长17单模和多模18光纤直径19光纤连接器类型19发送光功率19接收灵敏度19消光比19过载光功率20光模块的对接21接口标准介绍21切换光接口的传输速率23防火墙各系列支持情况24查看光模块信息25产品中有毒有害物质或元素的名称及含量注：并非上述所有部件都含有在内装产品中。

Hillstone山石网科下一代防火墙基础配置手册V5.5版本Hillstone Networks Inc.服务热线：400 828 6655内容提交人审核人更新内容日期陈天骄陈天骄初次编写2016/1/14目录1 设备管理 (3)1.1 终端console登录 (3)1.2 网页WebUI登录 (3)1.3 恢复出厂设置 (5)1.3.1 CLI命令行操作 (5)1.3.2 WebUI图形化界面操作 (5)1.3.3 硬件CLR操作 (6)1.4 设备系统（StoneOS）升级 (6)1.4.1 通过sysloader升级 (6)1.4.2 通过CLI升级 (9)1.4.3 通过WebUI升级 (9)1.5 许可证安装 (10)1.5.1 CLI命令行安装 (10)1.5.2 WebUI安装 (11)2 基础上网配置 (11)2.1 接口配置 (11)2.2 路由配置 (13)2.3 策略配置 (14)2.4 源地址转换配置（SNAT） (15)3 常用功能配置 (16)3.1 PPPoE拨号配置 (16)3.2 动态地址分配（DHCP）配置 (17)3.3 IP-MAC地址绑定配置 (20)3.4 端到端IPSec VPN配置 (21)3.4.1 配置第一阶段P1提议 (22)3.4.2 配置ISAKMP网关 (23)3.4.3 配置第二阶段P2提议 (24)3.4.4 配置隧道 (25)3.4.5 配置隧道接口 (26)3.4.6 配置隧道路由和策略 (28)3.4.7 查看VPN状态 (29)3.5 远程接入SCVPN配置 (30)3.6 目的地址转换DNAT配置 (38)3.6.1 IP映射 (39)3.6.2 端口映射 (41)1设备管理安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、Telnet、SSH等主流通信管理协议。

Version4.16.0版本说明本文档包含HSM4.2.0及以后各版本的新增功能、已知问题等内容。

l HSM4.16.0l HSM4.15.0l HSM4.14.0l HSM4.13.0l HSM4.11.0l HSM4.10.0l HSM4.8.0l HSM4.7.0l HSM4.6.0l HSM4.5.0l HSM4.4.0l HSM4.3.0l HSM4.2.0HSM4.16.0本节为HSM4.16.0的版本说明。

产品和版本信息产品名称：山石网科集中安全管理平台（HSM）产品型号：HSM-50、HSM-100-D4、HSM-200、HSM-500-D4、vHSM 软件名称：HSM pro4.16.0发布日期：2022年5月12日适用StoneOS版本：l StoneOS5.5R9和5.5R8支持除了IPS特征库下发以外的所有功能；l StoneOS5.5R7支持HSM的全部功能；l StoneOS5.0R3F5、5.0R4P6支持HSM除2.5R2及更高版本新增功能外的所有功能；l StoneOS4.5R4、5.0R3支持除配置管理和2.5R2及更高版本新增功能外的所有功能（监控功能为受限支持）；l StoneOS4.5R1至4.5R3版本支持注册以及查看设备信息。

适用产品型号：l SG-6000K系列、E系列、X系列、G系列、M系列、T系列、NIP(D)S、ADC、WAF、BDS产品l云•界CloudEdge产品系统文件版本升级说明l vHSM不支持从2.5R3升级到2.5R4P2，但支持从2.5R4升级到2.5R4P1和2.5R4P2。

兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试：l IE11l Chrome新增功能HSM4.15.0本节为HSM4.15.0的版本说明。

产品和版本信息产品名称：山石网科集中安全管理平台（HSM）产品型号：HSM-50、HSM-100-D4、HSM-200、HSM-500-D4、vHSM 软件名称：HSM pro4.15.0发布日期：2022年3月4日适用StoneOS版本：l StoneOS5.5R9和5.5R8支持除了IPS特征库下发以外的所有功能；l StoneOS5.5R7支持HSM的全部功能；l StoneOS5.0R3F5、5.0R4P6支持HSM除2.5R2及更高版本新增功能外的所有功能；l StoneOS4.5R4、5.0R3支持除配置管理和2.5R2及更高版本新增功能外的所有功能（监控功能为受限支持）；l StoneOS4.5R1至4.5R3版本支持注册以及查看设备信息。

Version5.3.1版本说明本文档包含HSM5.0.0及以后各版本的版本说明，主要介绍了新增功能，已知问题及已解决问题等内容。

l HSM5.3.1l HSM5.3.0l HSM5.2.0l HSM5.1.0l HSM5.0.0HSM5.3.1本节为HSM5.3.1的版本说明。

产品和版本信息产品名称：山石网科集中安全管理平台（HSM）产品型号：HSM-P100、HSM-P3000、vHSM软件名称：HSMpro2.0-5.3.1发布日期：2022年9月27日适用产品型号：l HSM支持纳管SG-6000A系列、E系列、X系列、K系列、T系列、SDW系列。

注意:若需使用HSM纳管上述型号的防火墙设备，请保证其软件版本为StoneOS5.5R4及以上。

系统文件注意:若需为vHSM获取5.3.1版本的系统文件，即.ova、.qcow2和.vmdk格式的系统文件，请联系山石网科工作人员。

版本升级说明山石网科集中安全管理平台（HSM）不支持从4.X版本升级到5.3.1版本。

兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试：l Edge80及以上l Chrome80及以上新增功能已知问题HSM5.3.0本节为HSM5.3.0的版本说明。

产品和版本信息产品名称：山石网科集中安全管理平台（HSM）产品型号：HSM-P100、HSM-P3000、vHSM软件名称：HSMpro2.0-5.3.0发布日期：2022年8月4日适用StoneOS版本：l建议使用最新的StoneOS5.5R9P2、5.5R9F1，支持HSM的大部分功能；适用产品型号：l SG-6000A系列、E系列、X系列、K系列、T系列、SDW系列。

系统文件版本升级说明山石网科集中安全管理平台（HSM）不支持从4.X版本升级到5.3.0版本。

兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试：l Edge80及以上l Chrome80及以上新增功能已知问题HSM5.2.0本节为HSM5.2.0的版本说明。

山石网科防火墙配置手册
群山石网科防火墙配置手册群山石网科防火墙是一款专为企业网络安全而设计的防火墙产品，具有高性能、高安全性和可靠性等特点。

其采用七层防火墙、IPS、防拒绝服务攻击、
防恶意网络入侵、拦截病毒木马等多重安全技术，可以满足企业网络的安全需求。

群山石网科防火墙的配置主要包括以下几步：
1. 安装群山石网科防火墙：安装前需要确保防火墙与企业网络的网络拓扑架构完全一致，以保证防火墙的正常运行。

2. 配置网络访问控制规则：根据企业网络环境，定义不同类型的网络访问控制规则，以便根据不同的需求实施网络访问控制。

3. 配置安全服务：配置安全服务，如IPS、防拒绝服务攻击、防恶意网络入侵、拦截病毒木马等，以确保企业网络的安全性。

4. 设置安全日志：定期记录防火墙的运行状态，以便及时发现可能的安全漏洞，并及时采取有效的安全措施。

5. 配置安全策略：根据企业网络的实际情况，设置合理的安全策略，以便有效地防范网络安全攻击，保护企业网络安全。

通过以上步骤，可以完成群山石网科防火墙的配置，为企业网络提供安全的保障。

群山石网科防火墙的配置，不仅可以保护企业网络免受外部恶意攻击，而且可以让企业的网络运行更加安全可靠。

Hillstone⼭⽯⽹科防⽕墙⽇常运维操作⼿册⽬录⼀、设备基础管理 (1)1.1设备登录 (1)1.1.1 通过CLI管理设备 (1)1.1.2 通过WebUI管理设备 (2)1.2管理员帐号及权限设置 (4)1.2.1 新增管理员 (4)1.2.1 修改管理员密码 (5)1.3 License安装 (6)1.4设备软件升级 (7)1.5设备配置备份与恢复 (9)1.5.1 备份设备配置 (9)1.5.2 恢复设备配置 (12)1.6系统诊断⼯具的使⽤ (14)⼆、对象配置 (16)2.1 配置地址薄 (16)2.2 配置服务簿 (17)三、⽹络配置 (21)3.1 配置安全域 (21)3.2 配置接⼝ (22)3.3 配置路由 (23)3.4 配置DNS (24)四、防⽕墙配置 (26)4.1 配置防⽕墙策略 (26)4.1.1 新增防⽕墙安全策略 (26)4.1.2 编辑防⽕墙安全策略 (27)4.2 配置NAT (28)4.2.1 配置源NAT (28)4.2.2 配置⽬的NAT (31)4.3 防⽕墙配置举例 (35)五、QOS配置 (44)5.1 配置IP QOS (45)5.2 配置应⽤QOS (46)六、常⽤⽇志配置 (48)⼀、设备基础管理1.1设备登录安全⽹关⽀持本地与远程两种环境配置⽅法，可以通过CLI 和WebUI 两种⽅式进⾏配置。

CLI同时⽀持Console、telnet、SSH 等主流通信管理协议。

1.1.1 通过CLI管理设备通过Console ⼝配置安全⽹关时需要在计算机上运⾏终端仿真程序（系统的超级终端、SecureCRT等）建⽴与安全⽹关的连接，并按如下表所⽰设置参数（与连接Cisco设备的参数⼀致）：通过telnet或者SSH管理设备时，需要在相应接⼝下启⽤telnet或SSH 管理服务，然后允许相应⽹段的IP管理设备（可信主机）。

对接⼝启⽤telnet或SSH管理服务的⽅法如下：⾸先在⽹络—>⽹络连接模式下的页⾯下⽅勾选指定接⼝，点击图⽰为的编辑按钮，然后在弹出的接⼝配置窗⼝中对接⼝启⽤相应的管理服务，最后确认即可：1.1.2 通过WebUI管理设备WebUI同时⽀持http和https两种访问⽅式，⾸次登录设备可通过默认接⼝ethernet0/0 （默认IP 地址192.168.1.1/24，该接⼝的所有管理服务默认均已被启⽤）来进⾏，登录⽅法为：1. 将管理PC 的IP 地址设置为与192.168.1.1/24 同⽹段的IP 地址，并且⽤⽹线将管理PC与安全⽹关的ethernet0/0 接⼝进⾏连接。

Version7.0Copyright2022Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is fur-nished under a license agreement or nondisclosure agreement.The software may be used or copied only in accord-ance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks. Hillstone Networks本文档禁止用于任何商业用途。

关于本手册本手册为硬件参考指南，帮助用户正确安装山石网科的设备。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：*************************联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州市高新区科技城景润路181号邮编：100192邮编：215000联系我们：https:///about/contact_Hillstone.html山石网科https://TWNO:TW-HW-ADC-CN-V7.0-8/23/2022目录目录1产品中有毒有害物质或元素的名称及含量1前言1内容简介1手册约定1第1章产品介绍2主机硬件介绍2前面板介绍2后面板介绍6指示灯8系统参数11扩展模块18扩展模块指示灯含义20接口扩展模块的配置与使用22查看扩展模块的信息23扩展槽23端口属性24配置口（CON口）24USB接口24千兆电口24SFP接口25 SFP+接口26 QSFP+接口27 QSFP+接口的拆分28切换光接口工作模式28光接口的光转电29光模块29 1GE(SFP)光模块30 1GE(SFP)光模块适配情况31千兆光电模块33光电模块适配情况33 10GE(SFP+)光模块33 10GE(SFP+)光模块适配情况35 40GE(QSFP+)光模块37 40GE(QSFP+)光模块适配情况38设备适配光模块情况39查看光模块信息40 CLR按键41电源42电源模块43硬盘46国家商用密码算法加密卡46第2章设备安装前的准备工作47介绍47安装场所要求47温度/湿度要求47洁净度要求48防静电要求49电磁环境要求49接地要求49检查安装台49机柜要求50机柜尺寸和间距50机柜通风要求50机架要求50机架尺寸和承重要求50机架间距要求51机架固定要求51确认收到的物品51安装设备、工具和电缆51其它安全注意事项51第3章设备的安装53常用工具53注意事项53将设备安装在工作台上53将设备安装到标准机架中54使用托盘安装54使用导轨安装56线缆连接59连接地线59连接配置电缆60连接以太网线缆60连接以太网电口线缆61连接以太网光口线缆61连接交流电源线62连接直流电源线62安装完成后的检查64第4章设备的启动和配置65介绍65搭建配置环境65搭建配置口（CON口）的配置环境65搭建WebUI配置环境66连通网络67使用单臂模式连通网络67步骤一：配置接口。

Version 4.3Copyright 2022 Hillstone Networks. All rights reserved.Information in this document is subject to change without notice. The software described in this document is furnished under a license agreement or nondisclosure agreement. The software may be used or copied only in accordance with the terms of those agreements. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form or any means electronic or mechanical, including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks.Hillstone Networks本文档禁止用于任何商业用途。

联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州高新区科技城景润路181号邮编：100192 邮编：215000联系我们：https:///about/contact_Hillstone.html关于本手册本手册介绍山石网科公司的NIPS产品的硬件等信息。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：***********************山石网科https://TWNO: TW-HWG-NIPS-CN-V4.3-Y22M03产品中有毒有害物质或元素的名称及含量部件名称有毒有害物质或元素铅汞镉六价铬多溴联苯多溴二苯醚金属零部件（包括紧固件）印刷电路板组件和元件线缆和线缆组件塑料和聚合物除印刷电路板以外的其它电子组件 ：代表此种部件的所有均质材料中所含有的该种有毒有害物质均低于中华人民共和国信息产业部颁布的《电子信息产品中有毒有害物质的限量要求》（SJ/T11363-2006）规定的限量。

Version1.0Copyright 2022Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is fur-nished under a license agreement or nondisclosure agreement.The software may be used or copied only in accord-ance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrievalsystem,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks.Hillstone Networks本文档仅面向山石网科内部读者，禁止外传及用于任何商业用途。

联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州高新区科技城景润路181号邮编：100192邮编：215000联系我们：/about/contact_Hillstone.html关于本手册本手册为山石网科防火墙设备使用过程中的常见问题及解答。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：*************************山石网科https://TWNO:TW-FAQ-AKXE-CN-V1.0-6/27/2022用内部使用内部使用内部使用内部使用内部使用内部使用内部使用内部使用目录目录常见问题及解答介绍目标读者10更多资源10产品优势及定位A系列防火墙优势及定位问答121.A系列防火墙产品定位是什么？122.A系列防火墙有哪些主要特点，这些特点有哪些优势？123.A系列智能下一代防火墙有哪些应用场景？13K系列防火墙优势及定位问答144.K系列防火墙产品定位是什么？145.K系列防火墙有哪些主要功能亮点？14X系列防火墙优势及定位问答156.X系列数据中心防火墙产品定位是什么？157.X系列数据中心防火墙有哪些主要特点，这些特点有哪些优势？158.X系列数据中心防火墙在软件上有哪些优势功能？159.X系列数据中心防火墙有哪些应用场景？1610.X系列防火墙在选型时，参照客户现网业务流量该如何选择配置模型？16功能类问答硬件平台18TOC -1用内部使用内部使用内部使用内部使用内部使用内部使用内部使用内部使用1.A系列产品的型号及支持的扩展模块有哪些？182.A系列设备可以安装哪些硬盘？183.A系列设备支持的电源情况？184.K系列产品的型号及支持的扩展模块有哪些？195.K系列设备可以安装哪些硬盘？196.K系列设备支持的电源情况？197.X系列防火墙的CPU是什么架构？208.X系列产品的型号及支持的扩展模块有哪些？209.X系列设备需要哪些扩展模块才能正常工作？2110.X系列设备的扩展模块是否支持热插拔？2111.X10800和X9180电源线是16A的还是10A的？2112.X系列QSM扩展模块与IOM/SIOM扩展模块在实现QoS功能上有什么区别？2113.E系列设备最多可以安装几块万兆接口扩展模块？2114.防火墙设备支持40G光模块型号TRAN-QSFP+BiDi吗？2215.防火墙哪些光接口支持拆分？2216.如何拆分100GE(QSFP28)光接口和40GE(QSFP+)光接口？2217.防火墙哪些光接口支持降速？2318.防火墙光接口如何进行降速？2419.防火墙哪些光接口支持光转电？2520.防火墙光接口如何进行光转电？2521.防火墙设备的硬盘可以保存多久的日志信息？2622.山石网科设备可以使用其他厂商的光模块吗？26TOC -2用内内部使用内部使用内部使用内部使用内部使用内部使用内部使用23.光纤连接器的接口有哪些类型？2624.B系列产品的型号及支持的扩展模块有哪些？2725.C系列产品的型号及支持的扩展模块有哪些？27规格参数/许可证/特征库2726.A系列设备的IPS特征库数量为多少个？2727.A系列防火墙能满足10万以上用户的添加和管理吗？2828.A系列的病毒库能支持到300W吗？2829.StoneOS支持的VSYS有无数量限制？2830.A5500支持的VSYS最大数量是多少？2831.防火墙的IPS、AV、僵尸网络防御（C2）特征库分别是和哪些厂商合作的？2832.如何查看垃圾邮件过滤功能的特征库？2933.如何查看特征库的历史升级情况?2934.部分功能测试许可到期后功能仍可以正常使用吗？2935.僵尸网络防御许可证过期后，还能使用该功能吗？2936.僵尸网络防御特征库数量是多少？2937.僵尸网络防御特征库会自动更新到最新版本吗？3038.防火墙许可证导入后是否需要重启设备？30版本升级3139.防火墙升级版本前要注意什么？3140.防火墙正式平台许可证过期，对版本升级有影响吗？3241.A系列防火墙能使用StoneOS 5.5R8软件版本吗？3242.A系列防火墙升级是否有限制？32TOC -3用内内部使用内部使用内部使用内部使用内部使用内部使用内部使用系统管理3343.A系列和X系列防火墙设备是否可以强制断电？3344.StoneOS支持其他语言吗？3345.系统的默认管理员可以编辑或删除吗？3346.防火墙支持哪些配置管理方式？3347.如何查看设备的推荐版本？3348.如何查询设备售后服务到期时间和硬件保修时间？3449.如何查看当前运行的版本和运行时间？3450.如何关闭系统调试功能？3451.如何查看设备的配置信息？3452.如何查看SNMP OID值？34零信任3553.零信任支持基于哪些维度进行权限控制？3554.零信任支持哪些双因子认证方式？3555.零信任使用什么客户端接入？3556.因为终端状态原因而无法访问特定资源的用户，可以通过调整终端设备的配置获取访问权限吗？35策略3557.防火墙安全域之间默认是允许信息传输的吗？3558.策略规则的匹配顺序是什么？3659.防火墙是否支持导入安全策略？3660.未匹配到任何防火墙安全策略的流量默认是允许通过还是拒绝通过？3661.防火墙是否支持策略的五元组快速查询以及针对策略未命中时间进行查询？36TOC -4用内内部使用内部使用内部使用内部使用内部使用内部使用内部使用62.什么是失效策略？3663.防火墙最大策略数量和策略中的源/目的IP或者端口数量有关联吗？3764.策略规则调用的源地址条目/目的地址条目数量有限制吗？3765.在两个内网区域间通过防火墙做内网隔离，如何配置防火墙策略？37VSYS3766.VSYS支持Netflow吗？3767.防火墙中存在多个VSYS时，可以实现单个VSYS重启吗？3868.VSYS的数量增加，是否会影响根VSYS的性能？38路由3869.路由的优先级顺序是什么？3870.哪些类型的路由支持IPv6？3871.哪些类型的路由支持BFD功能？38VPN3872.StoneOS支持哪些VPN？3873.SSL VPN支持对接手机身份验证器吗？如Google Authenticator。

新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。

处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点安全可视化●网络可视化通过StoneOS?内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

●接入可视化StoneOS?基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。

●应用可视化StoneOS?内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSecVPN。

SG-6000系列产品对VPN(包括SSLVPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。

Hillstone统一智能防火墙安装手册目录第1章介绍 (1)第2章准备工作 (3)第3章安装与升级 (7)安装统一智能系统软件到虚拟机 (8)升级企业安全网关到指定的系统固件 (10)第4章初始化 (12)初始化 (12)第5章登录统一智能防火墙 (17)第6章高级功能设置 (18)查看统一智能系统接口信息 (18)配置统一智能系统接口 (18)修改统一智能系统登录密码 (18)升级统一智能防火墙 (18)通过WebUI升级 (18)通过CLI升级 (20)升级或回退企业安全网关的系统固件 (20)删除统一智能系统 (21)查看统一智能系统软件的版本及企业安全网关系统固件的版本 (21)配置可信主机 (21)智一能系统与企业安全网关连接通道的加密 (22)关于本手册手册内容该文档介绍统一智能防火墙的安装部署，具体内容包括：♦第1章介绍♦第2章准备工作♦第3章安装与升级♦第4章初始化♦第5章登录统一智能防火墙♦第6章高级功能设置手册约定为方便用户阅读与理解，本手册遵循以下约定：内容约定本手册内容约定如下：♦提示：为用户提供相关参考信息。

♦说明：为用户提供有助于理解内容的说明信息。

♦注意：如果该操作不正确，会导致系统出错。

♦『』：用该方式表示Hillstone设备WebUI界面上的链接、标签或者按钮。

例如，“点击『登录』按钮进入Hillstone设备的主页”。

♦< >：用该方式表示WebUI界面上提供的文本信息，包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。

例如，“改变MTU值，选中<手动>单选按钮，然后在文本框中输入合适的值”。

CLI约定本手册在描述CLI时，遵循以下约定：♦大括弧（{ }）：指明该内容为必要元素。

♦方括弧（[ ]）：指明该内容为可选元素。

♦竖线（|）：分隔可选择的互相排斥的选项。

♦粗体：粗体部分为命令的关键字，是命令行中不可变部分，用户必须逐字输入。

新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色、深度应用的多核PlusG2安全架构突破了传统防火墙只能基于IP和端口的防范限制。

处理器模块化设计可以提升整体处理能力，突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点安全可视化●网络可视化通过StoneOS内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

●接入可视化StoneOS基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。

●应用可视化StoneOS内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSec VPN。

SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN 解决方案。

新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。

处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点安全可视化●网络可视化通过StoneOS?内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

●接入可视化StoneOS?基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。

●应用可视化StoneOS?内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSecVPN。

SG-6000系列产品对VPN(包括SSLVPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。

Version5.5R9TechDocs|目录目录1介绍1文档内容1目标读者1产品信息1虚拟防火墙的功能2 VMware Tools的功能2 Cloud-init的功能3许可证4许可证机制4平台类许可证4订阅类许可证5功能服务类许可证6申请许可证7安装许可证7许可证校验8在KVM上部署云·界10系统要求10虚拟防火墙的工作原理10准备工作10安装步骤11步骤一：获取防火墙软件包11步骤二：导入脚本和系统文件11步骤三：首次登录防火墙13将vFW联网14步骤一：查看接口的信息。

15步骤二：连接接口15其他操作16查看虚拟防火墙16启动虚拟防火墙17关闭虚拟防火墙17升级虚拟防火墙17重启虚拟防火墙17卸载虚拟防火墙17访问虚拟防火墙的WebUI界面18在OpenStack上部署云·界19部署场景19系统要求20安装步骤20步骤一：导入镜像文件21步骤二：创建实例类型22步骤三：创建网络23步骤四：启动实例24步骤五：登录及配置云·界虚拟防火墙25步骤六：重新配置OpenStack的路由器26步骤七：关闭OpenStack对云.界接口的IP检查27步骤八：在云·界上配置路由、NAT及安全策略28配置完成31使用云·界替换Openstack虚拟路由器32系统要求32安装步骤32步骤一：获取Hillstone-Agent插件文件32步骤二：配置port_security33步骤三：安装hs-manager33步骤四：在hs-manager上进行相关配置33步骤五：在hs-manager上安装CloudEdge34附：hs-manager命令行37步骤六：在控制节点上安装patch文件38步骤七：配置完成40访问云·界虚拟防火墙41使用SSH2远程登录vFW：42使用HTTPS远程登录vFW：42在VMware ESXi上部署云·界43支持的部署场景43系统要求和限制43部署防火墙45安装防火墙45通过OVA模板安装防火墙45通过VMDK文件安装防火墙47第一步：导入VMDK文件47第二步：创建虚拟机48第三步：添加硬盘49启动和访问虚拟防火墙50防火墙初始配置50升级防火墙52在Xen平台上部署云·界53系统要求53部署虚拟防火墙53步骤一：获取防火墙软件包53步骤二：导入镜像文件53步骤三：首次登录防火墙55访问虚拟防火墙的WebUI界面56升级虚拟防火墙56在Hyper-V上部署云·界57系统要求57虚拟防火墙的工作原理57准备工作58安装步骤58步骤一：获取防火墙软件包58步骤二：创建虚拟机58步骤三：首次登录防火墙62访问虚拟防火墙的WebUI界面62升级虚拟防火墙63在AWS上部署云·界64 AWS介绍64位于AWS的云·界65场景介绍65虚拟防火墙作为互联网网关65虚拟防火墙作为VPN网关65服务器负载均衡66本手册的组网设计67准备您的VPC68第一步：登录AWS账户68第二步：为VPC添加子网69第三步：为子网添加路由70在亚马逊云AWS上部署虚拟防火墙71创建防火墙实例71第一步：创建EC2实例71第二步：为实例选择AMI模板72第三步：选择实例类型72第四步：配置实例详细信息73第五步：添加存储73第六步：标签实例74第七步：配置安全组74第八步：启动实例75配置子网和接口76分配弹性IP地址76在主控台查看实例76购买并申请许可证77访问云·界虚拟防火墙77使用PuTTy访问CLI管理界面77步骤一：使用PuTTYgen转换密钥对77步骤二：使用PuTTY访问CLI界面78访问WebUI界面80配置虚拟防火墙82创建策略82测试AWS上的虚拟防火墙连通性84创建测试用虚拟机（Windows）84第一步：配置路由表84第二步：创建EC2实例。

hillstone防火墙配置步骤(以hillstone SA5040为例讲解)厦门领航立华科技有限公司目录1需要从客户方获取的基本信息 (3)2配置步骤 (3)2.1 配置安全域 (3)2.2 配置接口地址 (4)2.3 配置路由 (4)2.4 配置NAT (6)2.4.1 源地址NAT (6)2.4.2 目的地址NA T (6)3配置策略 (8)3.1 配置安全域之间的允许策略 (8)3.1.1 配置trust到Untrust的允许所有的策略 (8)3.1.2 配置DMZ到Untrust的允许所有的策略 (9)3.1.3 配置trust到DMZ的允许策略 (9)3.1.4 配置Untrust到DMZ服务器的允许策略 (10)3.1.5 配置Untrust到Trust服务器的允许策略 (10)3.1.6 配置详细策略 (11)4配置QOS (12)5配置SCVPN (13)1需要从客户方获取的基本信息◆部署位置：互联网出口位置，还是其他，如部署在出口路由器之后等◆部署方式：三层接入（需要做NAT，大部分都是这种接入方式），二层透明接入（透明接入不影响客户网络架构），混合接入模式（有几个接口需要配置成透明接口模式，可以支持这种方式）◆外网出口信息：几个出口，电信Or网通，外网IP地址资源（多少个），外网网关（防火墙默认路由设置）◆安全域划分：一般正常3个安全域，Untrust（外网）、Trust（内网）、Dmz（服务器网段），也可以自定义多个◆外网接口IP地址：由客户提供◆内网口IP地址：◆如果客户内网有多个网段，建议在客户中心交换机配置独立的VLAN网段，不要与客户内部网段相同。

◆如果客户内网只有1个网段，没有中心交换机，则把防火墙内网口地址设置为客户内网地址段，并作为客户内网网关（适用于中小型网络）◆DMZ口IP地址：由客户提供，建议配置成服务器网段的网关；2配置步骤2.1 配置安全域默认就有常用的3个安全域了，Trust，Untrust，DMZ2.2 配置接口地址2.3 配置路由默认路由：其中指定的接口：Untrust（外网）接口，如果有多个出口，可以在这选择不同的接口。