HillStone最新配置手册

合集下载

Hillstone山石网科多核安全网关安装手册_3.5R2

Hillstone山石网科多核安全网关安装手册Hillstone山石网科SG-6000-IM0609-3.5R2C-01前言内容简介感谢您选用Hillstone Networks的网络安全产品。

本手册为Hillstone山石网科多核安全网关的安装手册，能够帮助用户正确安装Hillstone山石网科多核安全网关。

本手册的内容包括：•第1章产品介绍•第2章安全网关安装前的准备工作•第3章安全网关的安装•第4章安全网关的启动和配置•第5章安全网关的硬件维护•第6章常见故障处理手册约定为方便用户阅读与理解，本手册遵循如下约定：•警告：表示如果该项操作不正确，可能会给安全网关或安全网关操作者带来极大危险。

因此操作者必须严格遵守正确的操作规程。

•注意：表示在安装和使用安全网关过程中需要注意的操作。

该操作不正确，可能影响安全网关的正常使用。

•说明：为用户提供有助于理解内容的说明信息。

内容目录第1章产品介绍 (1)简介 (1)SG-6000系列多核安全网关的特点 (1)创新的多核Plus TM网络安全构 (1)强健的实时操作系统Hillstone (1)主机硬件介绍 (1)前面板介绍 (1)后面板介绍 (4)指示灯含义 (4)系统参数 (6)端口属性 (7)CLR按键 (9)电源 (10)第2章安全网关安装前的准备工作 (11)介绍 (11)洁净度要求 (11)防静电要求 (11)电磁环境要求 (11)接地要求 (11)检查安装台 (12)其它安全注意事项 (12)检查安全网关及其附件 (12)安装设备、工具和电缆 (12)第3章安全网关的安装 (13)安装前说明 (13)将安全网关安装在工作台上 (13)将安全网关安装到标准机柜中 (14)线缆连接 (14)连接地线 (15)连接配置电缆 (15)连接以太网电缆或光纤 (15)连接电源线 (16)安装完成后的检查 (16)第4章安全网关的启动和配置 (17)介绍 (17)搭建配置环境 (17)搭建配置口（CON口）的配置环境 (17)搭建WebUI配置环境 (18)搭建Telnet和SSH配置环境 (18)安全网关的基本配置 (18)第5章安全网关的硬件维护 (20)介绍 (20)电源模块的安装与拆卸 (20)风扇盘的安装与拆卸 (20)第6章常见故障处理 (22)介绍 (22)口令丢失情况下的处理 (22)电源系统故障处理 (22)配置系统故障处理 (22)插图目录图1-1：SG-6000-X5100前面板示意图 (2)图1-2：SG-6000-G6100前面板示意图 (2)图1-3：SG-6000-G3100前面板示意图 (3)图1-4：SG-6000-M3100前面板示意图 (3)图1-5：SG-6000-M2100前面板示意图 (3)图1-6：SG-6000-X5100/SG-6000-G6100后面板示意图 (4)图1-7：SG-6000-G3100后面板示意图 (4)图1-8：SG-6000-M3100后面板示意图 (4)图1-9：SG-6000-M2100后面板示意图 (4)图3-1：脚垫安装示意图 (13)图3-2：挂耳安装示意图 (14)图3-3：机柜安装示意图 (14)图4-1：配置口（CON口）配置环境 (17)图4-2：设置终端通讯参数 (18)表格目录表1-1：SG-6000-X5100前面板标识说明 (2)表1-2：SG-6000-G6100前面板标识说明 (2)表1-3：SG-6000-G3100前面板标识说明 (3)表1-4：SG-6000-M3100前面板标识说明 (3)表1-5：SG-6000-M2100前面板标识说明 (3)表1-6：Hillstone山石网科多核安全网关前面板指示灯含义 (5)表1-7：Hillstone山石网科多核安全网关系统参数 (7)表1-8：配置口属性 (7)表1-9：辅助口属性 (7)表1-10：USB Host接口属性 (8)表1-11：千兆电口属性 (8)表1-12：SFP接口属性 (8)表1-13：SFP光接口模块属性 (9)表1-14：SFP-T电接口模块属性 (9)表1-15：XFP接口属性 (9)表1-16：XFP光接口模块属性 (9)表2-1：机房灰尘浓度范围表 (11)第1章产品介绍简介Hillstone SG-6000系列多核安全网关是Hillstone山石网科自主开发、拥有知识产权的新一代安全网关。

Hillstone山石网科基础配置手册5.0

第1章：设备管理。介绍登录方式、StoneOS升级以及许可证安装等。
第2章：基础上网配置。介绍接口、路由、策略等基本上网配置。
第3章：常用功能配置。介绍PPPoE拨号、动态地址分配DHCP、DNAT等配置。
第4章：链路负载均衡。介绍基于目的路由、源路由、策略路由的流量负载配置等。
第5章：QoS配置。介绍QoS功能及配置。
4.系统重启后即出厂配置恢复完毕。
通过
通过WebUI恢复出厂配置，请按照以下步骤进行操作：
1.通过WebUI方式登录StoneOS，从工具栏的<系统管理>下拉菜单选择『配置备份还原』。如下图所示：
2.在弹出的<系统配置备份还原向导>对话框，选择<恢复出厂配置>单选按钮，并点击『下一步』按钮。
3.选择是否重启设备。为使配置生效，用户需重新启动设备。选择<是，立即重新启动设备>单选按钮，并点击『完成』按钮。
StoneOS
通过网络迅速升级
Sysloader可以从TFTP服务器获取StoneOS，从而保证用户能够通过网络迅速升级StoneOS。请按照以下步骤进行操作：
1.给设备上电根据提示按ESC键并且进入Sysloader。参照以下操作提示：
HILLSTONE NETWORKS
Hillstone Bootloader1.3.2Aug 14 2008-19:09:37
4.点击『下一步』。根据需要，选择<是，立即重新启动设备>单选按钮，并点击『完成』按钮。为使配置生效，用户需重新启动设备。
注意：如果选择暂不重新启动设备，将会在下次重新启动设备后加载新版本StoneOS。
许可证安装
通过
通过CLI使用命令安装许可证，请按照以下步骤进行操作：

Hillstone山石网科基础配置手册.

Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS（TFTP） (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (41)一对多映射（服务器负载均衡） (44)第4章链路负载均衡 (46)链路负载均衡介绍 (46)基于目的路由的负载均衡 (47)基于源路由的负载均衡 (48)智能链路负载均衡 (48)第5章QoS配置 (51)QoS介绍 (51)IP QoS配置 (51)应用QoS配置 (53)混合QoS配置 (56)QoS白名单配置 (57)第6章网络行为控制 (58)URL过滤（有URL许可证） (58)配置自定义URL库 (61)URL过滤（无URL许可证） (62)网页关键字过滤 (63)网络聊天控制 (67)第7章VPN高级配置 (70)基于USB Key的SCVPN配置 (70)新建PKI信任域 (70)配置SCVPN (75)制作USB Key (76)使用USB Key方式登录SCVPN (78)PnPVPN (80)用户配置 (81)IKE VPN配置 (82)隧道接口配置 (86)路由配置 (87)策略配置 (88)PnPVPN客户端配置 (89)第8章高可靠性 (91)高可靠性介绍 (91)高可靠性配置 (92)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册，对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI配置。

Hillstone山石网科基础配置手册50

Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS（TFTP） (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (42)一对多映射（服务器负载均衡） (45)第4章链路负载均衡 (47)链路负载均衡介绍 (47)基于目的路由的负载均衡 (48)基于源路由的负载均衡 (49)智能链路负载均衡 (49)第5章QoS配置 (52)QoS介绍 (52)IP QoS配置 (52)应用QoS配置 (54)混合QoS配置 (57)QoS白名单配置 (58)第6章网络行为控制 (59)URL过滤（有URL许可证） (59)配置自定义URL库 (62)URL过滤（无URL许可证） (63)网页关键字过滤 (64)网络聊天控制 (68)第7章VPN高级配置 (71)基于USB Key的SCVPN配置 (71)新建PKI信任域 (71)配置SCVPN (76)制作USB Key (77)使用USB Key方式登录SCVPN (79)PnPVPN (81)用户配置 (82)IKE VPN配置 (83)隧道接口配置 (87)路由配置 (88)策略配置 (89)PnPVPN客户端配置 (90)第8章高可靠性 (92)高可靠性介绍 (92)高可靠性配置 (93)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册，对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI配置。

HillStone最新配置手册

HillStoneSA-2001 配置手册本文是基于安全网关操作系统为进行编写，如版本不同，配置过程有可能不一样。

i网络端口配置SA-2001安全网关前面板有5个千兆电口、1个配置口、1个CLF按键、以及状态指示灯。

下图为SA-2001的前面板示意图:DHC服务器将网线接入到E0/0。

防火墙的ethernet0/0接口配有默认IP地址，但该端口没有设置为为客户端提供IP地址，因此登录后的首页面。

可以看到CPU内存、会话等使用情况。

很多品牌的防火墙或者路由器等，在默认情况下内网端口都是划分好并且形成一个小型交换机的，但是hillstone 的产品却需要自己手工设置。

在本文档中，我们准备将E0/0划分为UNTRUE连接互联网, E0/1〜E0/4总共4个端口我们则划到一个交换机中并作为TRUST：连接内网。

在网络－接口界面中，新建一个bgroup 端口，该端口是一个虚拟的端口。

因为bgroupl接口需要提供路由功能，因此需要划入到三层安全域（trust ）中。

输入由集团信息中心提供的IP地址。

在管理设置中，尽量将各个管理功能的协议打开，尤其是HTTF功能。

建好bgroupl之后，对网络一接口页面中的eO/1〜eO/4分别修改，依次将它们划归为bgroup1 。

设置好交换机功能后，还需要设置DHCF功能，以便PC机接入时可以自动获取IP地址。

新建一个DHCP地址池根据集团信息中心提供的IP 地址段设置IP 地址池。

租约里尽量将时间设大一些，这样在追查记录的时候，不会因为PC机的IP地址频繁发生变动而难以追踪。

确定之后，POOL的地址则建好了，不过，还需要修改DNS才能让PC机可以访问到集团内网。

编辑POOL进入高级配置界面。

DNS1和DNS2分别设置为集团总部的10.0.1设置完地址池之后，需要将该地址池捆绑到bgroup1 以便让bgroup1 可以为PC 机分配IP 地址。

确认以上步骤操作成功后，将原来连接到E0/0 的网线任意插入到E0/1~E0/4 的一个端口中，看看PC机是否可以获取到IP地址了。

hillstone配置手册(335)

服务热线：400 828 6655Hillstone山石网科多核安全网关高级功能配置手册V 5.0版本一．链路负载均衡 (3)**基于目的路由的流量负载 (4)**基于源路由的流量负载 (6)**基于策略路由的流量负载 (7)**智能链路负载均衡 (9)二．流量控制QOS配置10**配置IP Q O S (10)**配置应用Q O S (14)**配置混合Q O S (16)**配置Q O S白名单 (18)三．NBC网络行为控制配置19**URL过滤(有URL许可证) (20)**URL过滤（无URL库许可证） (25)**网页关键字过滤 (28)**网络聊天控制 (33)四．VPN高级配置37**基于USB-KEY的SCVPN配置 (35)**P N P-VPN (48)五．高可靠性HA配置63一．链路负载均衡当防火墙有多条链路接入，同时需要对内网的流量根据源地址，目的地址或者服务进行流量的负载分摊时，需要进行负载均衡的配置，以便保证流量的负载分担；在配置源地址，目的地址的负载均衡时，可以实现冗余，当某一条路由失效时，可以保证正常的流量转发。

配置多链路负载均衡前，先保证接口，snat和策略都配置正确。

1.确认接口的地址和掩码都配置正确，其中掩码的位数一定和运行商确认：2.两条源地址转换，使内网的流量可以分别nat成对应公网出口地址池的地址，去访问互联网：3.确认流量穿越防火墙时，防火墙策略允许（源和目的地址以及服务可以根据具体情况作相应修改）：**基于目的路由的流量负载例：e0/1口接入10M电信，e0/2接入20M网通；实现所有访问公网的流量按1：2的比例分别从e0/1口和e0/2口转发出去。

即当设备总共转发3数值的流量时，e0/1转发1数值；e0/2口转发2数值。

Web页面配置如下：1．网络-〉路由-〉新建 :2．创建一条默认路由权值为2，即可得到配置如下：如此即可实现流量从e0/1转发和从e0/2转发的比是10：20即流量的1：2负载。

Hillstone-路由配置指南

、网络 -> 接口
点击e0/0后面的编辑小图标
确认最终接口列表
网络 -> 路由 -> 目的路由
新建
点击确认最终路由表
创建地址对象【方便进行调用】
对象 -> 地址薄
新建点击按钮
输入IP地址后点确认 -> 确认
一共创建了3条地址条目
NAT转换
防火墙 -> NAT -> 源NAT
新建 -> 高级配置配置完成点击
源NAT列表
防火墙 -> NAT -> 目的NAT
新建 -> 高级配置
配置完成点击
最终目的NAT列表
策略配置
防火墙 -> 策略
新建允许内网PC访问外网
不允许10.1.1.100访问外网
不允许服务器访问外网：无需做任何设置，默认都是拒绝
允许内网访问服务器区域
不允许10.1.1.100访问服务器
允许外网访问HTTP / FTP 服务器
先设置为untrust to trust any any permit 确定后点击其后面的编辑图标点击服务中的多个，选择HTTP / FTP 确定即可
设置完成后如下，点击“确认”
最终策略列表如下：
为了使得特殊IP的设置能够达到预期的效果，请在策略列表中选择相应的条目
选择其后面的图标将策略移至前面
最终策略列表
注意：策略条目中的ID号，不代表顺序，只代表此策略的创建先后。

默认后面创建的条目会自动的加到对应的策略最后。

Ip-qos
qos -> ip qos 设置完成点击添加
IP-QOS列表，可看到刚才添加上去的条目信息。

Hillstone山石网科基础配置手册.

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

HillStone SA-2001配置手册1 网络端口配置 (2)2 防火墙设置 (12)3 VPN配置 (14)4 流量控制的配置 (25)4.1P2P限流 (25)4.2禁止P2P流量 (26)4.3IP流量控制 (29)4.4时间的设置 (30)4.5统计功能 (33)5 基础配置 (36)本文是基于安全网关操作系统为Version 3.5进行编写，如版本不同，配置过程有可能不一样。

1 网络端口配置SA-2001安全网关前面板有5个千兆电口、1个配置口、1个CLR按键、1个USB接口以及状态指示灯。

下图为SA-2001的前面板示意图：序号标识及说明序号标识及说明1 PWR：电源指示灯 5 CLR：CLR按键2 STA：状态指示灯 6 CON：配置口3 ALM：警告指示灯7 USB：USB接口4 VPN：VPN状态指示灯8 e0/0-e0/4：以太网电口将网线接入到E0/0。

防火墙的ethernet0/0接口配有默认IP地址192.168.1.1/24，但该端口没有设置为DHCP服务器为客户端提供IP地址，因此需要将PC机的IP地址设置为同一网段，例如192.168.1.2/24才能连上防火墙。

通过IE打开192.168.1.1，然后输入默认的用户名和密码（均为hillstone）登录后的首页面。

可以看到CPU、内存、会话等使用情况。

很多品牌的防火墙或者路由器等，在默认情况下内网端口都是划分好并且形成一个小型交换机的，但是hillstone的产品却需要自己手工设置。

在本文档中，我们准备将E0/0划分为UNTRUST口连接互联网，E0/1～E0/4总共4个端口我们则划到一个交换机中并作为TRUST口连接内网。

在网络－接口界面中，新建一个bgroup端口，该端口是一个虚拟的端口。

因为bgroup1接口需要提供路由功能，因此需要划入到三层安全域（trust）中。

输入由集团信息中心提供的IP地址。

在管理设置中，尽量将各个管理功能的协议打开，尤其是HTTP 功能。

建好bgroup1之后，对网络－接口页面中的e0/1～e0/4分别修改，依次将它们划归为bgroup1。

设置好交换机功能后，还需要设置DHCP功能，以便PC机接入时可以自动获取IP地址。

新建一个DHCP地址池根据集团信息中心提供的IP地址段设置IP地址池。

租约里尽量将时间设大一些，这样在追查记录的时候，不会因为PC机的IP地址频繁发生变动而难以追踪。

确定之后，POOL1的地址则建好了，不过，还需要修改DNS才能让PC机可以访问到集团内网。

编辑POOL1进入高级配置界面。

DNS1和DNS2分别设置为集团总部的10.0.1.11和10.0.1.13两个DNS。

设置完地址池之后，需要将该地址池捆绑到bgroup1以便让bgroup1可以为PC机分配IP地址。

确认以上步骤操作成功后，将原来连接到E0/0的网线任意插入到E0/1~E0/4的一个端口中，看看PC机是否可以获取到IP地址了。

通过IPCONFIG/ALL命令可以看到，PC机这时候已经获取到IP及DNS了。

将原来的IE浏览器关闭，重新打开IE浏览器、输入网关地址（即bgroup1的地址）并输入用户名密码。

确认完E0/1-4的任意一个TRUST口能获取IP后，即可修改E0/0为对外连接端口。

本文档中是以E0/0为ADSL拨号连接为示例。

新建一个PPPOE配置输入ADSL的用户名及密码。

将自动重连间隔修改为1，否则ADSL不会自动重拨。

默认配置中，E0/0是属于trust域的，需要将该端口修改为untrust并将PPPOE捆绑到该端口。

点击网络－接口，并修改E0/0的设置。

启用设置路由。

管理的协议中，原来默认均开启了e0/0所有的管理端口，我们可以在稍后确认所有的配置均调试完毕后关闭一些协议以增强防火墙的安全性。

点击确定后，可以看到e0/0已经划入到untrust的安全域中。

2 防火墙设置源NAT规则指定是否对符合条件的流量的源IP地址做NAT转换。

通过基本选项的配置指定源NAT规则中流量应符合的条件。

符合条件的流量才能按照规则指定的行为进行转换。

HillStone安全网关与其他品牌的防火墙在策略配置中的其中一个区别就是NAT设置。

其他防火墙一般都是自动设置好，但在HillStone中，必须要手工将上网行为和访问内网的NA T策略明确区分才行。

建立一条让项目PC可以访问互联网时进行NA T转换的策略。

在防火墙－NAT－源NAT中新建一条基本配置的策略源地址选择ipv4.bgroup1_subnet，出接口仍然是选择e0/0。

行为选择NAT（出接口IP）NA T策略建立好之后，在防火墙－策略中需要新建访问策略。

源安全域选择trust，目的安全域选择untrust，点击新建服务簿中选择ANY，即默认允许所有的网络应用均可使用。

行为默认为允许3 VPN配置设置完网络端口的配置之后，开始设置VPN。

HillStone的VPN设置跟5GT或者FVS114有点区别，需要手工先设置合适的P1提议和P2提议。

点击VPN－IPSec VPN。

在P1提议中新建一个提议，如gemdale-p1。

集团现在均使用pre-shared key-MD5-3DES-Group2的加密策略。

同样的方式再新建一个P2。

选用ESP-MD5-3DES-No PFS新建完P1和P2之后，开始新建一个IPSec VPN。

在IKE VPN列表中点新建输入对端名称gemdale（可以随便起名，不同防火墙设备均可以设置相同的名字。

为方便识别，这里可以统一设置为gemdale）。

接口设置为对外连接的端口－E/0。

模式为野蛮模式（aggressive mode）。

静态IP61.144.195.60指向集团总部防火墙。

本地ID一定要设置，一般由集团信息中心提供（常为城市＋项目名＋用途，如上海赵巷项目部为shzhaoxxmb）。

对端ID可以不用设置。

提议1则选用前面新增的gemdale-p1。

共享密钥为便于记忆可以设置与本地ID一致。

（这些设置均须与集团信息中心协商）点击高级,增加DPD功能：勾选对端存活体检测（DPD）设置好步骤1之后，点击步骤2：隧道为便于管理，隧道的名称与本地ID值一致。

模式为tunnel，提议名称选用前面设置好的gemdale-p2。

自动连接：配置自动连接功能。

默认情况下，该功能是关闭的，选择<启用>复选框开启该功能。

安全网关提供两种触发建立SA的方式：自动方式和流量触发方式。

自动方式时，设备每60秒检查一次SA的状态，如果SA未建立则自动发起协商请求；流量触发方式时，当有数据流量需要通过隧道进行传输时，该隧道才发起协商请求。

默认情况下，系统使用流量触发方式。

为了访问集团内网，需要制定一条不需要NAT转换的策略。

点击防火墙－NAT－源NAT，在源NAT列表中，新建一条高级配置在源地址的地址簿中选择ipv4.bgroup1_subnet，这个就是安全网关的内部网段。

在目的地址中，如果之前没有在对象－地址簿中建立过集团总部网段的信息，则可以直接通过点目的地址的地址簿，下拉菜单中会有【新建…】的提示点击【新建…】之后出现下面的地址簿配置界面。

名称起集团总部，IP地址填10.0.0.0，掩码为17位，即255.255.128.0建好集团总部这个地址簿之后，在目的地址的地址簿中就可以选择集团总部。

出接口选择e0/0，行为选择不做NAT除了建立一条访问集团总部内网的NA T策略之外，还需要继续新建VPN访问的策略。

同样，在防火墙－策略中，选择新建一条从trust到untrust的策略。

源地址选择ipv4.bgroup1_subnet，目的地址选择集团总部，行为选择【隧道】，隧道中选择之前在VPN建好的IPSEC VPN策略。

将双向VPN策略构选，这样，就不需要再建一条从untrust到trust的VPN防火墙策略了（如果配置的时候忘记构选该选项，则需要再新建一条untrust到trust的策略，行为则要选择来自隧道）。

此时，点防火墙－策略可以看到之前设置好的3条策略。

如果新建策略的时候顺序反了，例如新建了VPN的防火墙策略之后再建上网策略，则需要将点将顺序对调一下。

下图为顺序建反的情况，必须要将ANY到ANY的策略放在VPN防火墙策略的下面，即将ID为1的策略放在ID为2的策略下面。

4 流量控制的配置使用HillStone的最大目的则是利用其丰富的流量控制管理功能实现项目上的网络流量控制。

默认情况下，安全网关没有打开应用识别功能，需要在网络－安全域中，将trust或者untrust或者两个安全域的应用识别启用。

4.1 P2P限流对于P2P流量，可以实行限流。

即允许用户使用迅雷或者电驴等软件，但流量做了特别的限制，例如只允许上下行带宽为32kbps（相当于4Kbyte/秒）。

这里可以根据各项目的实际情况而放宽流量的大小。

在QoS－应用QoS中添加一条控制策略。

例如，规则名称起名为gemdale-p2p流量，接口绑定到bgroup1，应用选择P2P下载、P2P视频和HTTP_Download（这里的HTTP_Download并非是指IE中的直接下载，而是指封堵迅雷中的80端口P2P下载功能）。

注意上行和下行。

HillStone中对上行和下行的定义与在一些专业级路由器相似，即根据端口的进出来决定上行还是下行。

对于bgroup1，PC机的下载流量对于这个端口而言是出去的流量，因此是上行流量；而PC机上传的流量对于这个端口而言是进到安全网关的流量，因此是下行流量。

4.2 禁止P2P流量除了限流这种控制方式之外，我们也可以选择直接禁止P2P流量。

在对象－服务簿中，新建一个自定义服务组，并将P2P所用到的协议划分到该服务组中。

例如，组名可以起禁止P2P服务，组成员选择P2P下载、P2P视频和HTTP_Download （这里的HTTP_Download并非是指IE中的直接下载，而是指封堵迅雷中的80端口P2P下载功能）。

建好自定义服务组之后，在防火墙－策略中新建一条从trust到untrust的策略，该策略用于禁止P2P流量的下载。

在服务簿中选择之前建好的禁止P2P服务，然后行为在选择拒绝。

建好策略之后，可以看到新建的策略是位于默认上网策略（ID 1）下面的，因此，还需要将该禁止策略放在ANY到ANY策略的上面。

点击对其进行调整。

将该条策略规则移到默认上网策略（ID 1）的前面移完之后再确认一下配置是否正确4.3 IP流量控制除了控制P2P流量之外，我们还要对单个IP进行流量控制。

这是基于一下几点考虑的：一、有可能P2P的软件不断更新，而安全网关的应用特征库没有及时更新，可能会导致新的P2P流量出现从而导致带宽资源全部被占用；二、PC也有可能中病毒而产生大流量从而导致带宽资源全部被占用；三、用户有可能通过IE直接下载一些大流量的软件在QoS－IP QoS中新建一个规则。