Hillstone山石网科新手入门指南StoneOS_5.5R2

Version2.11.0山石网科安全审计平台版本说明本文档包含了山石网科安全审计平台2.5.0到2.11.0版本的版本说明，主要介绍了各版本的新增功能和已知问题等内容。

l HSA2.11.0l HSA2.10.0l HSA2.9.0l HSA2.8.0l HSA2.7.1l HSA2.6.0l HSA2.5.0HSA2.11.0发布概述发布日期：2021年1月8日平台和系统文件适用StoneOS版本适用于StoneOS4.0R6及更高的版本，建议使用最新的StoneOS版本。

新增功能已知问题HSA2.10.0发布概述发布日期：2020年9月30日平台和系统文件适用StoneOS版本适用于StoneOS4.0R6及更高的版本，建议使用最新的StoneOS版本。

新增功能已知问题HSA2.9.0发布概述发布日期：2020年8月5日平台和系统文件适用StoneOS版本适用于StoneOS4.0R6及更高的版本，建议使用最新的StoneOS版本。

新增功能HSA2.8.0发布概述发布日期：2020年5月20日平台和系统文件适用StoneOS版本适用于StoneOS4.0R6及更高的版本，建议使用最新的StoneOS版本。

已知问题HSA2.7.1发布概述发布日期：2020年2月28日平台和系统文件适用StoneOS版本适用于StoneOS4.0R6及更高的版本，建议使用最新的StoneOS版本。

新增功能已知问题HSA2.6.0发布概述发布日期：2019年8月12日平台和系统文件适用StoneOS版本适用于StoneOS4.0R6及更高的版本，建议使用最新的StoneOS版本。

新增功能已知问题HSA2.5.0发布概述发布日期：2020年4月8日平台和系统文件适用StoneOS版本适用于StoneOS4.0R6及更高的版本，建议使用最新的StoneOS版本。

新增功能已知问题版本升级说明l当HSA2.0R3P3及以前版本升级到该版本时，需要首先升级过渡版本HSApro2.0R3P3_transition.bin。

Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS（TFTP） (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (11)基础上网配置介绍 (11)接口配置 (11)路由配置 (12)策略配置 (14)源NAT配置 (15)第3章常用功能配置 (17)常用配置介绍 (17)PPPoE配置 (17)DHCP配置 (19)IP-MAC绑定配置 (21)端到端IPsec VPN配置 (23)SCVPN配置 (30)DNAT配置 (37)一对一IP映射 (38)一对一端口映射 (40)多对多端口映射 (43)一对多映射（服务器负载均衡） (46)第4章链路负载均衡 (48)链路负载均衡介绍 (48)基于目的路由的负载均衡 (49)基于源路由的负载均衡 (50)智能链路负载均衡 (50)第5章QoS配置 (53)QoS介绍 (53)IP QoS配置 (53)应用QoS配置 (55)混合QoS配置 (58)QoS白名单配置 (59)第6章网络行为控制 (60)URL过滤（有URL许可证） (60)配置自定义URL库 (63)URL过滤（无URL许可证） (64)网页关键字过滤 (65)网络聊天控制 (69)第7章VPN高级配置 (72)基于USB Key的SCVPN配置 (72)新建PKI信任域 (72)配置SCVPN (77)制作USB Key (78)使用USB Key方式登录SCVPN (80)PnPVPN (82)用户配置 (83)IKE VPN配置 (84)隧道接口配置 (88)路由配置 (88)策略配置 (89)PnPVPN客户端配置 (90)第8章高可靠性 (92)高可靠性介绍 (92)高可靠性配置 (93)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册，对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI配置。

Version4.16.0版本说明本文档包含HSM4.2.0及以后各版本的新增功能、已知问题等内容。

l HSM4.16.0l HSM4.15.0l HSM4.14.0l HSM4.13.0l HSM4.11.0l HSM4.10.0l HSM4.8.0l HSM4.7.0l HSM4.6.0l HSM4.5.0l HSM4.4.0l HSM4.3.0l HSM4.2.0HSM4.16.0本节为HSM4.16.0的版本说明。

产品和版本信息产品名称：山石网科集中安全管理平台（HSM）产品型号：HSM-50、HSM-100-D4、HSM-200、HSM-500-D4、vHSM 软件名称：HSM pro4.16.0发布日期：2022年5月12日适用StoneOS版本：l StoneOS5.5R9和5.5R8支持除了IPS特征库下发以外的所有功能；l StoneOS5.5R7支持HSM的全部功能；l StoneOS5.0R3F5、5.0R4P6支持HSM除2.5R2及更高版本新增功能外的所有功能；l StoneOS4.5R4、5.0R3支持除配置管理和2.5R2及更高版本新增功能外的所有功能（监控功能为受限支持）；l StoneOS4.5R1至4.5R3版本支持注册以及查看设备信息。

适用产品型号：l SG-6000K系列、E系列、X系列、G系列、M系列、T系列、NIP(D)S、ADC、WAF、BDS产品l云•界CloudEdge产品系统文件版本升级说明l vHSM不支持从2.5R3升级到2.5R4P2，但支持从2.5R4升级到2.5R4P1和2.5R4P2。

兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试：l IE11l Chrome新增功能HSM4.15.0本节为HSM4.15.0的版本说明。

产品和版本信息产品名称：山石网科集中安全管理平台（HSM）产品型号：HSM-50、HSM-100-D4、HSM-200、HSM-500-D4、vHSM 软件名称：HSM pro4.15.0发布日期：2022年3月4日适用StoneOS版本：l StoneOS5.5R9和5.5R8支持除了IPS特征库下发以外的所有功能；l StoneOS5.5R7支持HSM的全部功能；l StoneOS5.0R3F5、5.0R4P6支持HSM除2.5R2及更高版本新增功能外的所有功能；l StoneOS4.5R4、5.0R3支持除配置管理和2.5R2及更高版本新增功能外的所有功能（监控功能为受限支持）；l StoneOS4.5R1至4.5R3版本支持注册以及查看设备信息。

Version5.3.1版本说明本文档包含HSM5.0.0及以后各版本的版本说明，主要介绍了新增功能，已知问题及已解决问题等内容。

l HSM5.3.1l HSM5.3.0l HSM5.2.0l HSM5.1.0l HSM5.0.0HSM5.3.1本节为HSM5.3.1的版本说明。

产品和版本信息产品名称：山石网科集中安全管理平台（HSM）产品型号：HSM-P100、HSM-P3000、vHSM软件名称：HSMpro2.0-5.3.1发布日期：2022年9月27日适用产品型号：l HSM支持纳管SG-6000A系列、E系列、X系列、K系列、T系列、SDW系列。

注意:若需使用HSM纳管上述型号的防火墙设备，请保证其软件版本为StoneOS5.5R4及以上。

系统文件注意:若需为vHSM获取5.3.1版本的系统文件，即.ova、.qcow2和.vmdk格式的系统文件，请联系山石网科工作人员。

版本升级说明山石网科集中安全管理平台（HSM）不支持从4.X版本升级到5.3.1版本。

兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试：l Edge80及以上l Chrome80及以上新增功能已知问题HSM5.3.0本节为HSM5.3.0的版本说明。

产品和版本信息产品名称：山石网科集中安全管理平台（HSM）产品型号：HSM-P100、HSM-P3000、vHSM软件名称：HSMpro2.0-5.3.0发布日期：2022年8月4日适用StoneOS版本：l建议使用最新的StoneOS5.5R9P2、5.5R9F1，支持HSM的大部分功能；适用产品型号：l SG-6000A系列、E系列、X系列、K系列、T系列、SDW系列。

系统文件版本升级说明山石网科集中安全管理平台（HSM）不支持从4.X版本升级到5.3.0版本。

兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试：l Edge80及以上l Chrome80及以上新增功能已知问题HSM5.2.0本节为HSM5.2.0的版本说明。

Version5.5R8MTechDocs|Copyright2021Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is furnished under a license agreement or nondisclosure agreement.The software may be used or copied only in accordance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hill-stone Networks.本文档禁止用于任何商业用途。

联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州高新区科技城景润路181号邮编：100192邮编：215000联系我们：/about/contact_Hillstone.html关于本手册本手册介绍山石网科的产品系统的使用方法。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：*************************山石网科https://TWNO:TW-NFB-UNI-A-5.5R8M-CN-V1.0-10/26/2021M版本新功能说明概述《StoneOS5.5R8M版本新功能说明》是StoneOS手册的补充说明。

Hillstone 山石网科流量管理白皮书Hillstone 山石网科流量管理白皮书1. 概述随着互联网的应用和企事业应用的快速发展，爆发出来种类繁多的新应用正在一点一点的蚕食着用户网络中带宽，你也许会碰到下面的一些问题：●即使把带宽增加了，正常业务访问还是变慢了？● 有没有办法保证重要业务不受到影响？● 有没有办法查看到底是谁在蚕食我的带宽？从根本上来讲，QOS 功能能够为特定类型的流量提供更好的服务，特定类型既可以是针对某个角色，比如老板的流量访问、财务部门的流量，也可以针对某种应用，比如针对企事业重要的正常业务。

从技术实现来看，主要是通过提高这些特定类型的流量优先级和带宽配额或者降低其他流量的优先级和带宽配额来实现，比如降低P2P 下载应用的带宽。

StoneOS ® QoS是一个工具箱，能够保证服务的可用性，能够有效管理带宽资源和区分网络应用的优先级。

同时，StoneOS ® QoS是建立在Hillstone 山石网科多核Plus ® G2安全架构之上，能提供基于深度应用、角色等流量管理。

2. StoneOS® QoS基本结构StoneOS ®的QoS 基于以下基本模块实现：● QoS识别和标记技术。

用于网络元素间从点到点的QoS 协调● 单一网络元素内的QoS(例如：队列、拥塞避免、调度、管制以及流量整形工具● 统计功能。

基于角色、应用的实时流量统计，用于控制和管理流量。

Hillstone 山石网科流量管理白皮书3. Hillstone 山石网科解决方案通过结合以下技术，StoneOS ®用创新的专有的技术实现强大而灵活的QoS 解决方案：● 基于RFC 的DSCP 标记●IP QoS● 角色QOS ● 应用QoS ● 混合QOS ● 应用标记● 弹性QoS3.1 与第三方设备互通QoS 是不同品牌网络设备之间共同努力的结果。

以一个大型企业的网络环境为例，Hillstone 山石网科设备可以被部署为分支办公室的网关设备，它可能与Cisco 的路由器共同工作。

Version1.0Copyright 2022Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is fur-nished under a license agreement or nondisclosure agreement.The software may be used or copied only in accord-ance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrievalsystem,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks.Hillstone Networks本文档仅面向山石网科内部读者，禁止外传及用于任何商业用途。

联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州高新区科技城景润路181号邮编：100192邮编：215000联系我们：/about/contact_Hillstone.html关于本手册本手册为山石网科防火墙设备使用过程中的常见问题及解答。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：*************************山石网科https://TWNO:TW-FAQ-AKXE-CN-V1.0-6/27/2022用内部使用内部使用内部使用内部使用内部使用内部使用内部使用内部使用目录目录常见问题及解答介绍目标读者10更多资源10产品优势及定位A系列防火墙优势及定位问答121.A系列防火墙产品定位是什么？122.A系列防火墙有哪些主要特点，这些特点有哪些优势？123.A系列智能下一代防火墙有哪些应用场景？13K系列防火墙优势及定位问答144.K系列防火墙产品定位是什么？145.K系列防火墙有哪些主要功能亮点？14X系列防火墙优势及定位问答156.X系列数据中心防火墙产品定位是什么？157.X系列数据中心防火墙有哪些主要特点，这些特点有哪些优势？158.X系列数据中心防火墙在软件上有哪些优势功能？159.X系列数据中心防火墙有哪些应用场景？1610.X系列防火墙在选型时，参照客户现网业务流量该如何选择配置模型？16功能类问答硬件平台18TOC -1用内部使用内部使用内部使用内部使用内部使用内部使用内部使用内部使用1.A系列产品的型号及支持的扩展模块有哪些？182.A系列设备可以安装哪些硬盘？183.A系列设备支持的电源情况？184.K系列产品的型号及支持的扩展模块有哪些？195.K系列设备可以安装哪些硬盘？196.K系列设备支持的电源情况？197.X系列防火墙的CPU是什么架构？208.X系列产品的型号及支持的扩展模块有哪些？209.X系列设备需要哪些扩展模块才能正常工作？2110.X系列设备的扩展模块是否支持热插拔？2111.X10800和X9180电源线是16A的还是10A的？2112.X系列QSM扩展模块与IOM/SIOM扩展模块在实现QoS功能上有什么区别？2113.E系列设备最多可以安装几块万兆接口扩展模块？2114.防火墙设备支持40G光模块型号TRAN-QSFP+BiDi吗？2215.防火墙哪些光接口支持拆分？2216.如何拆分100GE(QSFP28)光接口和40GE(QSFP+)光接口？2217.防火墙哪些光接口支持降速？2318.防火墙光接口如何进行降速？2419.防火墙哪些光接口支持光转电？2520.防火墙光接口如何进行光转电？2521.防火墙设备的硬盘可以保存多久的日志信息？2622.山石网科设备可以使用其他厂商的光模块吗？26TOC -2用内内部使用内部使用内部使用内部使用内部使用内部使用内部使用23.光纤连接器的接口有哪些类型？2624.B系列产品的型号及支持的扩展模块有哪些？2725.C系列产品的型号及支持的扩展模块有哪些？27规格参数/许可证/特征库2726.A系列设备的IPS特征库数量为多少个？2727.A系列防火墙能满足10万以上用户的添加和管理吗？2828.A系列的病毒库能支持到300W吗？2829.StoneOS支持的VSYS有无数量限制？2830.A5500支持的VSYS最大数量是多少？2831.防火墙的IPS、AV、僵尸网络防御（C2）特征库分别是和哪些厂商合作的？2832.如何查看垃圾邮件过滤功能的特征库？2933.如何查看特征库的历史升级情况?2934.部分功能测试许可到期后功能仍可以正常使用吗？2935.僵尸网络防御许可证过期后，还能使用该功能吗？2936.僵尸网络防御特征库数量是多少？2937.僵尸网络防御特征库会自动更新到最新版本吗？3038.防火墙许可证导入后是否需要重启设备？30版本升级3139.防火墙升级版本前要注意什么？3140.防火墙正式平台许可证过期，对版本升级有影响吗？3241.A系列防火墙能使用StoneOS 5.5R8软件版本吗？3242.A系列防火墙升级是否有限制？32TOC -3用内内部使用内部使用内部使用内部使用内部使用内部使用内部使用系统管理3343.A系列和X系列防火墙设备是否可以强制断电？3344.StoneOS支持其他语言吗？3345.系统的默认管理员可以编辑或删除吗？3346.防火墙支持哪些配置管理方式？3347.如何查看设备的推荐版本？3348.如何查询设备售后服务到期时间和硬件保修时间？3449.如何查看当前运行的版本和运行时间？3450.如何关闭系统调试功能？3451.如何查看设备的配置信息？3452.如何查看SNMP OID值？34零信任3553.零信任支持基于哪些维度进行权限控制？3554.零信任支持哪些双因子认证方式？3555.零信任使用什么客户端接入？3556.因为终端状态原因而无法访问特定资源的用户，可以通过调整终端设备的配置获取访问权限吗？35策略3557.防火墙安全域之间默认是允许信息传输的吗？3558.策略规则的匹配顺序是什么？3659.防火墙是否支持导入安全策略？3660.未匹配到任何防火墙安全策略的流量默认是允许通过还是拒绝通过？3661.防火墙是否支持策略的五元组快速查询以及针对策略未命中时间进行查询？36TOC -4用内内部使用内部使用内部使用内部使用内部使用内部使用内部使用62.什么是失效策略？3663.防火墙最大策略数量和策略中的源/目的IP或者端口数量有关联吗？3764.策略规则调用的源地址条目/目的地址条目数量有限制吗？3765.在两个内网区域间通过防火墙做内网隔离，如何配置防火墙策略？37VSYS3766.VSYS支持Netflow吗？3767.防火墙中存在多个VSYS时，可以实现单个VSYS重启吗？3868.VSYS的数量增加，是否会影响根VSYS的性能？38路由3869.路由的优先级顺序是什么？3870.哪些类型的路由支持IPv6？3871.哪些类型的路由支持BFD功能？38VPN3872.StoneOS支持哪些VPN？3873.SSL VPN支持对接手机身份验证器吗？如Google Authenticator。