山石网科 防病毒-概念

新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色、深度应用的多核Plus G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。

处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点安全可视化●网络可视化通过StoneOS内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

●接入可视化StoneOS基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。

●应用可视化StoneOS内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSec VPN。

SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。

一、设备工作原理防火墙作为一种网络安全产品，通过控制进出网络的流量，保护网络的安全。

防火墙的基本原理是通过分析数据包，根据已有的策略规则，允许或阻断数据流量。

除此之外，防火墙也具有连通网络的功能，实现安全可信区域（内部网络）和不信任区域（外部网络）之间的桥接。

StoneOS系统架构组成StoneOS系统架构的基本元素包括：•安全域：域是一个逻辑实体，将网络划分为不同部分，应用了安全策略的域称为“安全域”。

例如，trust安全域通常为内网等可信任网络，untrust 安全域通常为互联网等存在安全威胁的不可信任网络。

•接口：接口是流量进出安全域的通道，接口必须绑定到某个安全域才能工作。

默认情况下，接口都不能互相访问，只有通过策略规则，才能允许流量在接口之间传输。

•虚拟交换机（VSwitch）：具有交换机功能。

VSwitch工作在二层，将二层安全域绑定到VSwitch上后，绑定到安全域的接口也被绑定到该VSwitch上。

一个VSwitch就是一个二层转发域，每个VSwitch都有自己独立的MAC地址表，因此设备的二层转发在VSwitch中实现。

并且，流量可以通过VSwitch接口，实现二层与三层之间的转发。

•虚拟路由器（VRouter）：简称为VR。

VRouter具有路由器功能，不同VR 拥有各自独立的路由表。

系统中有一个默认VR，名为trust-vr，默认情况下，所有三层安全域都将会自动绑定到trust-vr上。

系统支持多VR功能且不同硬件平台支持的最大VR数不同。

多VR将设备划分成多个虚拟路由器，每个虚拟路由器使用和维护各自完全独立的路由表，此时一台设备可以充当多台路由器使用。

多VR使设备能够实现不同路由域的地址隔离与不同VR间的地址重叠，同时能够在一定程度上避免路由泄露，增加网络的路由安全。

•策略：策略是设备的基本功能，控制安全域间/不同地址段间的流量转发。

默认情况下，设备会拒绝设备上所有安全域/接口/地址段之间的信息传输。

Copyright 2021 Hillstone Networks. All rights reserved.Information in this document is subject to change without notice. The software described in this document is furnished under a license agreement or nondisclosure agreement. The software may be used or copied only in accordance with the terms of those agreements. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form or any means electronic or mechanical, including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks.Hillstone Networks本文档禁止用于任何商业用途。

联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州高新区科技城景润路181号邮编：100192 邮编：215000联系我们：https:///about/contact_Hillstone.html关于本手册本手册介绍山石网科公司的国产化NIPS设备硬件相关信息。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：***********************山石网科不预置隐藏或不允许用户更改的默认口令、承诺不设置恶意程序、隐藏接口或未明示功能模块。

Hillstone山石网科入侵防御白皮书Hillstone山石网科入侵防御白皮书1. 概述互联网的发展趋势表明：1. 网络攻击正逐渐从简单的网络层攻击向应用层转变，单纯的防火墙功能已经不能满足当下应用安全的需求。

旁路的入侵检测方式又不能满足对攻击源实时屏蔽的需求，与防火墙联动的入侵检测一直没有标准的联动协议来支撑。

入侵检测解决方案正在被入侵防御取代。

2. 安全漏洞、安全隐患的发生似乎是不可避免的，互联网的应用和业务却正在爆炸式的增长。

应用类型在增加，应用特征却更复杂，比如现在有很多应用都是基于HTTP等基础协议，让传统基于端口来识别应用的入侵防御解决方案已经不能适用。

如何识别出这些新的应用，从而去检测防御针对这些应用的攻击，是新一代入侵检测网关需要解决的问题。

3. 网络带宽在增加，应用类型在增加，应用协议在复杂化，攻击类型在增加，攻击方式在隐蔽化。

传统入侵防御设备受限于自身处理能力，已经不能胜任这样的趋势，如何去进行深度应用分析、深度攻击原理分析，也许所有的厂家都知道简单的攻击特征匹配已经不能满足时下用户对入侵防御漏判误判的要求，却受限与设备自身的处理能力，从而误判漏判的行为时有发生。

Hillstone山石网科的入侵防御是基于多核plus® G2架构、全并行的流检测引擎和基于攻击原理的入侵防御检测引擎。

基于多核plus®G2的安全架提供了高性能的入侵防御解决发难，并为入侵防御需要的深度应用分析和攻击原理分析提供了强劲的处理能力。

全并行流检测引擎则使用较少的系统资源，并且在并行扫描会话和开启其他多项应用处理功能提供了高可用性。

基于攻击原理的入侵防御有助于提高攻击检测率和降低攻击误判率。

Hillstone山石网科入侵防御解决方案具有以下特性：●基于深度应用识别，积极防范复杂应用攻击●基于多核Plus® G2构架满足深度应用分析、入侵防御功能的高CPU和高内存资源需求●基于深度应用原理、攻击原理的入侵防御解决方案●支持HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、Hillstone山石网科入侵防御白皮书FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、NETBOIS、TFTP等多种常见的应用和协议的攻击防护。

Hillstone山石网科下一代防火墙基础配置手册V5.5版本Hillstone Networks Inc.服务热线：400 828 6655内容提交人审核人更新内容日期陈天骄陈天骄初次编写2016/1/14目录1 设备管理 (3)1.1 终端console登录 (3)1.2 网页WebUI登录 (3)1.3 恢复出厂设置 (5)1.3.1 CLI命令行操作 (5)1.3.2 WebUI图形化界面操作 (5)1.3.3 硬件CLR操作 (6)1.4 设备系统（StoneOS）升级 (6)1.4.1 通过sysloader升级 (6)1.4.2 通过CLI升级 (9)1.4.3 通过WebUI升级 (9)1.5 许可证安装 (10)1.5.1 CLI命令行安装 (10)1.5.2 WebUI安装 (11)2 基础上网配置 (11)2.1 接口配置 (11)2.2 路由配置 (13)2.3 策略配置 (14)2.4 源地址转换配置（SNAT） (15)3 常用功能配置 (16)3.1 PPPoE拨号配置 (16)3.2 动态地址分配（DHCP）配置 (17)3.3 IP-MAC地址绑定配置 (20)3.4 端到端IPSec VPN配置 (21)3.4.1 配置第一阶段P1提议 (22)3.4.2 配置ISAKMP网关 (23)3.4.3 配置第二阶段P2提议 (24)3.4.4 配置隧道 (25)3.4.5 配置隧道接口 (26)3.4.6 配置隧道路由和策略 (28)3.4.7 查看VPN状态 (29)3.5 远程接入SCVPN配置 (30)3.6 目的地址转换DNAT配置 (38)3.6.1 IP映射 (39)3.6.2 端口映射 (41)1设备管理安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、Telnet、SSH等主流通信管理协议。

Hillstone山石网科经过对山东政法学院的网络环境分析，认为山东政法学院的网络安全需求主要包含四个方面内容：一是网络负载均衡问题，在学院的六条线路当中，经常出现联通线路满负载，但电信线路流量不高的现象；二是网络攻击问题，学院多次出现对内部网络的服务器、主机，甚至信息中心的综合电子平台发起的探测和攻击，甚至曾出现考试服务器被篡改主页的现象；三是应用控制问题，大量P2P等非关键应用吞噬着校园网络有限的带宽资源，邮件、网页、数据传输等关键性应用服务却得不到保障；四是上网行为管理问题，学生个人电脑数量众多、管理松散，有必要对其上网行为进行一定程度的控制。

经过对山东政法学院网络环境的了解，Hillstone山石网科提出了采用高性能多核安全网关来解决学院内部的网络安全问题，开启防火墙、QoS、网络行为控制等功能后，运行稳定，状态良好，设备优异的技术特点和功能优势得到了充分发挥。

Hillstone山石网科守护山东政法校园网络安全在本项目中，Hillstone山石网科高性能多核安全网关体现出了众多的优势：首先，Hillstone山石网科高性能多核安全网关通过实时更新的ISP路由表可对CERNET 教育网、电信、网通等进行策略路由优选，充分利用每条链路的资源；并通过Hillstone山石网科高性能多核安全网关的链路负载均衡功能，对多条链路权重的设定，来平均分配网络资源请求；通过业内领先的P2P引流量技术，把P2P等非关键应用分流到电信线路。

其次，通过Hillstone山石网科高性能多核安全网关加强上网行为监控，有效监控校园互联网论坛、博客、网页、电子邮件内容，可以及时发现和过滤各类有害信息，并能告警、响应准确定位到人，方便学校管理部门及时处理，防止不良影响扩大。

凭借超过2000万条的URL网页数据库，Hillstone山石网科网络行为控制对互联网上的色情、反动等不良网站进行准确过滤，从而将不良信息屏蔽在校园外，为学生上网营造安全文明的上网环境。

山石网科网络安全审计系统V2.0R1发布概述发布日期：2021年09月03日本次发布主要新增以下功能：1.新增支持SG-6000-ICM1050C、SG-6000-ICM1050C-L、SG-6000-ICM1150C、SG-6000-ICM1250C、SG-6000-ICM1350C和SG-6000-ICM1500C平台；2.基础网络、高级网络、安全防护、控制审计策略、IPS引擎、Restful API接口等功能均支持IPv6网络；3.针对管理员支持分级分权控制（日志、用户、策略、目录）；4.设备本地用户支持通过终端用户自注册方式进入；5.支持同步AD服务器的安全组，且一个用户可以属于多个安全组；6.IPsec VPN支持管理员自行修改端口；7.控制策略、审计策略、流控通道策略支持VLAN和TOS匹配条件；8.Https证书告警消除、终端导入证书之后消除证书告警；9.设备支持http和sock代理功能；10.设备支持LLDP链路发现功能；11.支持针对SNMP同步的信息查询；12.增加多种系统告警机制；13.针对桥下的子接口、二层接口，支持加入到安全域；14.针对聚合接口，支持加入到接口状态同步组；15.DHCP支持option 252和253；16.IC卡认证支持账号提前导入和校验；17.针对Portal页面，支持导入和导出功能，管理员可执行编辑认证页面；18.支持http通用短信接口网关；19.支持配置导出路径设备和统计设备动态缓存。

平台和系统文件功能列表浏览器兼容性以下浏览器通过了WebUI测试，推荐用户使用：✹Chrome 53以及以上版本✹Firefox 58以及以上版本✹IE9以上版本获得帮助山石网科网络安全审计系统配有以下手册，请访问https://获取：✹《山石网科SG-6000-ICM系列安装手册》✹《山石网科网络安全审计系统WebUI用户手册》✹《山石网科网络安全审计系统命令行用户手册》✹《山石网科网络安全审计系统日志信息参考指南》服务热线：400-828-6655官方网址：https:///。