山石网科2020年三季度财务状况报告
一、资产构成
1、资产构成基本情况
山石网科2020年三季度资产总额为160,205.61万元,其中流动资产为151,493.07万元,主要以交易性金融资产、应收账款、货币资金为主,分别占流动资产的44.57%、24.32%和18.19%。非流动资产为8,712.54万元,主要以固定资产、递延所得税资产、无形资产为主,分别占非流动资产的59.85%、12.83%和11.76%。
资产构成表(万元)
2、流动资产构成特点
企业持有的货币性资产数额较大,约占流动资产的69.19%,表明企业的支付能力和应变能力较强。但应当关注货币性资产的投向。企业流动资产中被别人占用的、应当收回的资产数额较大,约占企业流动资产的24.32%,应当加强应收款项管理,关注应收款项的质量。
流动资产构成表(万元)
项目名称
2019年三季度2020年三季度
数值百分比(%) 数值百分比(%)
流动资产0 - 146,434.33 100.00 交易性金融资产0 - 0 - 应收账款0 - 28,397.82 19.39 货币资金0 - 100,751.9 68.80 应收票据0 - 8,245.9 5.63 存货0 - 5,958.94 4.07 其他流动资产0 - 1,848.11 1.26 预付款项0 - 886.11 0.61
3、资产的增减变化
2020年三季度总资产为160,205.61万元,与2019年三季度的151,106.65万元相比有所增长,增长6.02%。
4、资产的增减变化原因
以下项目的变动使资产总额增加:交易性金融资产增加67,520万元,应收账款增加8,449.34万元,固定资产增加1,827.23万元,应收票据增加1,503.3万元,存货增加1,004.77万元,长期股权投资增加997.57万元,无形资产增加509.36万元,递延所得税资产增加425.79万元,长期待摊费用增加280.27万元,预付款项增加109.96万元,共计增加82,627.59万元;
Hillstone山石网科SG-6000-X6150防火墙评测报告 作者老韩 | 2010-10-14 11:38 | 类型互联网, 弯曲推荐, 研发动态, 网络安全 | 75条用户评论? 4年时间完成从0到100G的跨越,山石网科让人无话可说。再过4年,中国信息安全行业的格局是否会被改变?10月21日,山石网科将在北京正式发布这款百G级别的产品,感兴趣的话可以猛击这里查看官方专题页。 原文发布于《计算机世界》。本文尽量注意在正文中不出现带有个人感情色彩的语言;另一方面,拓展表现形式,用视频保存下测试中的经典瞬间,编辑后以更易于接受、传播的方式加以体现。(对于镜头晃动带来的眩晕感我非常抱歉,此外请忽略鼻炎导致偶发的怪腔怪调……) Hillstone山石网科(以下简称“山石网科”)是一个令人惊叹的安全企业。自成立以来,该公司保持着稳定、高速的产品研发速度,有步骤地推出了一系列多功能安全网关产品,占据了市场先机。但所有这些产品,其形态都属于“盒子(Appliance)”的范畴,固化的业务处理单元决定了其防火墙性能无法突破20G 这条水平线。而在云计算从未来时发展为现在进行时的今天,运营商、金融、教育等大型行业用户有了更高的业务需求,百G级别的防火墙在骨干网、数据中心等环境开始进入实际应用阶段。为了应对新的需求变化,山石网科又于近期推出了SG-6000-X6150(以下简称X6150)高性能防火墙,我们也在第一时间对该产品进行了测试分析。
为了达到百G级别的处理能力,X6150改用“机框(Chassis)”式产品形态,实现了可插拔部件全冗余及业务的智能分布式处理。该产品采用5U规格设计,共内置了12个扩展槽位,其中10个可用于接口模块(IOM)、安全服务模块(SSM)或QoS服务模块(QSM),2个用于系统主控模块(SCM)。设备亦采用了高速大容量交换背板,为每个模块提供了足够大的数据通路。对于高端电信级产品来说,供电子系统与散热子系统的重要性亦不容忽视。X6150最多可内置4个电源模块(650W),支持双路主备冗余部署,加上具有热插拔特性的风扇模组,可以最大程度地保障系统的稳定运行。 多核Plus G2的高级形态 目前,通过单独的处理器还很难达到百G级别的防火墙性能,业务的分布式处理是目前市场上百G防火墙产品的主流选择。不同厂商必然有着不同的系统实现方式,对于山石网科来说,经过多次发展演变的多核Plus G2架构则是X6150实现智能分布式处理的基础。
山石网科 申请功能 (平台) QOS 流量分配 AV 复合端口 IPS 入侵 NBC 网络行为管理支持SG型号 URLDB 是NBC子键支持SG型号 HSM 设备集 4GE-B 当断电后仍然可以通讯 SSH secure Shell 安全外壳协议 是一种在不安全网络上提供安全登录和其他安全网络服务的协议。 NAT 步骤: ①,接口IP ②,配路由 缺省路由:0.0.0.0 0.0.0.0 192.168.1.2 回值路由:0.0.0.0 192.168.1.x 192.168.1.1 策略路由: ③,NAT SNAT DNAT MAP ( IP PORT ) ④,policy(策略) 检查配置环境 show seccion generic 显示连接数 show interface (name) 显示接口信息 show zone(zone name) 显示安全域类型 show admin user 显示系统管理员信息 show admin user (name)显示系统管理员配置信息 show version 显示版本号信息 show arp 显示解析地址 show fib 显示路由信息 show snat 显示nat 配置 no snatrule id 号删除NAT配置 show ip route 显示路由信息 save 保存配置 unset all 清楚配置(恢复出厂设 置。
配接口 (config)# interface Ethernet0/2 (config-if-0/2)# zone trust 或/untrust 建立区信任/不信任 (config-if-0/2)# ip add 192.168.1.1/24 (config-if-0/2)# manage ping 开通PING (config-if-0/3)# manage http 开通HTTP (config-if-0/3)# manage telnet 开通telnet 配路由 (config)# ip vrouter trust-vr 这个命令意思是可以配置多个路由 (config-route)# ip route 0.0.0.0/0 192.168.1.1 配NAT (config)# nat (config-nat)# snatrule id 1 from any to any trans-to eif-ip mode dynamicport (config)#policy # rule from any to any server any dynamicport 系统管理 web: 系统--设备管理--基本信息 CLI: (config)# hostname (name) 配置安全网关名 (config)# no hostname 清楚安全网关名 管理员密码策略配置模式 hostname(config)# password policy 进入管理员策略配置式 hostname(config-pwd-policy)# admin complexity 1 启用密码复杂度限制 hostname(config=pwd-policy)# admin min-length (length value) 启用密码最少位限制 配置系统管理员 (config)# admin user (user-name) 配置管理员名称 (config)# no admin user (user-name) 删除管理员名称 (config-hostname)# privilege PX/RXW 管理员模式下:配置管理员特权 PX是读,执行 PXW 是读,执行,写。 (config-hostname)# password password 配置管理员密码 (config-hostname)# access{console|https|ssh|telnet|any} 配置管理员的访问方式 show admin user 显示管理员信息 show admin user (user-name) 显示管理员配置信息
表29-1:手动同步配置命令列表 HA 同步信息show 命令手动同步命令 配置信息show configuration exec ha sync configuration 文件信息show file exec ha sync file file-name ARP 表项show arp exec ha sync rdo arp DNS 配置信息show ip hosts exec ha sync rdo dns DHCP 配置信息show dhcp exec ha sync rdo dhcp MAC 地址表show mac exec ha sync rdo mac show pki key PKI 配置信息 show pki trust-domain exec ha sync rdo pki 会话信息show session exec ha sync rdo session show ipsec sa IPSec VPN 信息 show isakmp sa exec ha sync rdo vpn show scvpn client test show scvpn host-check-profile show scvpn pool show scvpn user-host-binding show scvpn session SCVPN 信息 show auth-user scvpn exec ha sync rdo scvpn show l2tp tunnel show l2tp pool show l2tp client {tunnel-name name [user user-name]| tunnel-id ID} L2TP 信息 show auth-user l2tp {interface interface-name | vrouter vrouter-name} exec ha sync rdo l2tp Web 认证信息show auth-user webauth exec ha sync rdo webauth NTP 信息show ntp exec ha sync rdo ntp SCVPN 信息show scvpn exec ha sync rdo scvpn 路由信息show ip route exec ha sync rdo route
Hillstone山石网科多核安全网关 基础配置手册 version 5.0 https://www.doczj.com/doc/ce8214666.html,
目录 第1章设备管理 (1) 设备管理介绍 (1) 终端Console登录 (1) WebUI方式登录 (1) 恢复出厂设置 (2) 通过CLI方式 (2) 通过WebUI方式 (2) 通过CLR按键方式 (4) StoneOS版本升级 (4) 通过网络迅速升级StoneOS(TFTP) (4) 通过WebUI方式升级StoneOS (6) 许可证安装 (8) 通过CLI方式安装 (8) 通过WebUI方式安装 (8) 第2章基础上网配置 (10) 基础上网配置介绍 (10) 接口配置 (10) 路由配置 (11) 策略配置 (13) 源NAT配置 (14) 第3章常用功能配置 (16) 常用配置介绍 (16) PPPoE配置 (16) DHCP配置 (18) IP-MAC绑定配置 (20) 端到端IPsec VPN配置 (22) SCVPN配置 (29) DNAT配置 (36) 一对一IP映射 (37) 一对一端口映射 (39) 多对多端口映射 (42) 一对多映射(服务器负载均衡) (45)
第4章链路负载均衡 (47) 链路负载均衡介绍 (47) 基于目的路由的负载均衡 (48) 基于源路由的负载均衡 (49) 智能链路负载均衡 (49) 第5章QoS配置 (52) QoS介绍 (52) IP QoS配置 (52) 应用QoS配置 (54) 混合QoS配置 (57) QoS白名单配置 (58) 第6章网络行为控制 (59) URL过滤(有URL许可证) (59) 配置自定义URL库 (62) URL过滤(无URL许可证) (63) 网页关键字过滤 (64) 网络聊天控制 (68) 第7章VPN高级配置 (71) 基于USB Key的SCVPN配置 (71) 新建PKI信任域 (71) 配置SCVPN (76) 制作USB Key (77) 使用USB Key方式登录SCVPN (79) PnPVPN (81) 用户配置 (82) IKE VPN配置 (83) 隧道接口配置 (87) 路由配置 (88) 策略配置 (89) PnPVPN客户端配置 (90) 第8章高可靠性 (92) 高可靠性介绍 (92) 高可靠性配置 (93)
病毒过滤 高性能纯硬件系列病毒过滤 ——基于多核Plus G2架构和全并行流检测引擎 高性能纯硬件系列病毒过滤 Hillstone 山石网科的病毒过滤是基于多核Plus G2安全架构,并采用了全并行流检测引擎。可快速有效阻止病毒、木马、蠕虫、间谍软件等恶意软件通过网页、邮件等应用渗透至内网,从而预防病毒感染引起的信息丢失、内网主机无法正常工作、数据泄漏或被窃取等现象。作为现代防病毒体系中必不可少的防病毒网关,Hillstone 山石网科病毒过滤采用世界知名厂商kasperskyLab(卡巴斯基)的病毒库,可及时、有效、可靠地更新病毒数据库信息。Hillstone 山石网科系列产品可为电信运营商、各类大中小型企业、金融机构以及各种机关单位提供专业的高性能的防病毒解决方案。 基于多核Plus? G2 Hillstone 山石网科自主开发的64位实时安全操作系统StoneOS?,具备强大的并行处理能力。StoneOS?采用专利的多处理器全并行架构,和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同;StoneOS?实现了从网络层到应用层的多核全并行处理。较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能的无法两全的局限。所以,Hillstone山石网科系列网关的每秒新建处理能力、网络处理能力以及抗DOS攻击能力超于一般的防病毒网关,其自身的安全性、可靠性和可用性也都远远高于传统的防病毒网关。 可扩展的病毒过滤 Hillstone 山石网科支持的应用处理扩展模块充分保护用户投资,应用处理模块FEC-AV-30和FEC-AV-60可以提高本机应用处理能力,将病毒过滤的处理放在应用处理模块上进行,释放主机处理和运算能力,让病毒过滤不再成为性能瓶颈。同时,病毒过滤的性能上也有1倍左右的提升。 基于全并性流检测引擎 传统的串联型检测和基于代理的内容安全网关技术不能满足作为网关设备的性能和容量要求。Hillstone山石网科独创了全并行流扫描引擎,与传统的文件型防病毒网关的引擎不同,并发流病毒扫描引擎无需将应用会话中所有数据包在内部进行重组缓存后再对文件进行扫描,而是接收数据包和病毒扫描同时并行处理,并发的流扫描引擎能提供高性能,低延迟,高容量的处理, 对扫描的文件大小和数量没有限制,同时,所有内容安全处理在统一的内容处理流程中完成,能保证同时开启防病毒,入侵检测等内容安全处理,依然能保持高性能的处理。 专业及时的病毒库更新服务 Hillstone 山石网科与国际知名反病毒厂商kaspersky Lab(卡巴斯基)技术合作,采用专门为多核Plus架构以及并发流病毒扫描引擎优化的病毒库,为用户提供专业的、本地化的、实时的病毒库样本更新,实时阻断木马、病毒、蠕虫、间谍软件通过Web页面、邮件等应用向内网渗透。 丰富的软件特性
Hillstone山石网科上网行为管理白皮书 概述 互联网的兴起与普及为人们的工作和生活提供了极大的便利,与此同时,经由内部访问互联网导致的带宽滥用、效率下降、信息泄漏、法律风险、安全隐患等问题日益凸显。例如,在企业内部,部分员工利用工作时间在线炒股、玩在线游戏、欣赏音乐和视频、通过P2P工具下载、使用即时通讯工具无节制地网络聊天、通过网络外泄公司机密;在网吧等一些公共上网场所,人们可以随意浏览不健康网站、发表不负责任的言论、甚至参与非法网络活动…… 针对互联网所带来的上述问题,StoneOS提供许可证控制的上网行为管理功能。该功能通过对用户的网络访问行为进行控制和管理,有效解决因接入互联网而可能引发的各种问题,优化对互联网资源的应用。 产品功能 StoneOS上网行为管理功能对网络游戏、在线聊天、在线炒股、P2P下载、网页访问、邮件外发及论坛发帖等各种网络行为进行全面控制管理,并可以根据需要针对不同用户、不同网络行为、不同时间进行灵活的管理策略设置和日志记录,同时能够配合Hillstone山石网科集中网络安全管理系统(HSM)对网络行为日志进行查询统计与审计分析,从而为网络管理者的决策和管理提供重要的数据依据。 上网行为管理策略 StoneOS上网行为管理功能主要通过策略机制实现,网络管理者可以针对不同用户制定适合的上网行为管理策略规则,系统则会根据策略规则对网络应用流量进行行为控制和管理。 上网行为管理策略规则共分为三类:网络应用控制策略规则、网页内容控制策略规则和外发信息控制策略规则,每类中又包含若干子控制策略规则。 策略规则名称、优先级、用户、时间表、网络行为以及控制动作构成上网行为管理策略规则的基本元素。通过WebUI配置上网行为管理策略规则,需要进行下列基本元素的配置:?策略规则名称–上网行为管理策略规则的名称。 ?优先级- 上网行为管理策略规则的优先级。当有多条匹配策略规则的时候,优先级高的策略规则会被优先使用。 ?用户–上网行为管理策略规则的用户,即发起网络行为的主体,比如某个用户、用户组、角色、IP地址等。 ?时间表–上网行为管理策略规则的生效时间,可以针对不同用户控制其在特定时间段内的
hillstone防火墙配置步骤(以hillstone SA5040为例讲解) 厦门领航立华科技有限公司
目录 1需要从客户方获取的基本信息 (3) 2配置步骤 (3) 2.1 配置安全域 (3) 2.2 配置接口地址 (4) 2.3 配置路由 (4) 2.4 配置NAT (6) 2.4.1 源地址NAT (6) 2.4.2 目的地址NA T (6) 3配置策略 (8) 3.1 配置安全域之间的允许策略 (8) 3.1.1 配置trust到Untrust的允许所有的策略 (8) 3.1.2 配置DMZ到Untrust的允许所有的策略 (9) 3.1.3 配置trust到DMZ的允许策略 (9) 3.1.4 配置Untrust到DMZ服务器的允许策略 (10) 3.1.5 配置Untrust到Trust服务器的允许策略 (10) 3.1.6 配置详细策略 (11) 4配置QOS (12) 5配置SCVPN (13)
1需要从客户方获取的基本信息 ◆部署位置:互联网出口位置,还是其他,如部署在出口路由器之后等 ◆部署方式:三层接入(需要做NAT,大部分都是这种接入方式),二层透明接 入(透明接入不影响客户网络架构),混合接入模式(有几个接口需要配置成透明接口模式,可以支持这种方式) ◆外网出口信息:几个出口,电信Or网通,外网IP地址资源(多少个),外 网网关(防火墙默认路由设置) ◆安全域划分:一般正常3个安全域,Untrust(外网)、Trust(内网)、Dmz (服务器网段),也可以自定义多个 ◆外网接口IP地址:由客户提供 ◆内网口IP地址: ◆如果客户内网有多个网段,建议在客户中心交换机配置独立的VLAN 网段,不要与客户内部网段相同。 ◆如果客户内网只有1个网段,没有中心交换机,则把防火墙内网口地 址设置为客户内网地址段,并作为客户内网网关(适用于中小型网络)◆DMZ口IP地址:由客户提供,建议配置成服务器网段的网关; 2配置步骤 2.1 配置安全域 默认就有常用的3个安全域了,Trust,Untrust,DMZ
Ipv6整体解决方案 Hillstone Networks Inc. 2016年03月10日
内容提交人审核人更新内容日期 V1 2016/3/10 目录 1需求分析 (3) 2解决方案 (3) 2.1设备信息 (3) 2.2拓扑 (3) 2.3主要配置 (4) 2.3.1总部 (4) 2.3.2分支1(模拟环境,不考虑上互联网问题) (6) 2.3.3分支2 (8) 3建设效果 (8)
1需求分析 某用户有100多个office,都采用电信光纤接入,需要逐步从IPv4演变为IPv6地址,在这种场景下,需要做到IPv4到IPv6内网的互通。 场景模拟如下:一个总部两个分支,总部内网采用IPv6地址,外网地址采用IPv4;分支1外网IPv4,内网IPv6;分支机构2内外网都为IPv4地址。需求如下: A.总部的IPv6地址可以访问到互联网IPv4资源,总部的IPv6地址可以提供互联网用户 访问。 B.总部和分支1的IPv6地址通过公网6in4隧道互相通信。 C.总部和分支2的IPv4地址互相通信。 2解决方案 2.1设备信息 2.2拓扑
分支1 2005::2/96 2.3主要配置 2.3.1总部 A.接口 interface ethernet0/1 zone "untrust" ip address 200.0.0.2 255.255.255.0 manage http exit interface ethernet0/2 zone "trust"
dns-proxy ipv6 enable ipv6 address 2005::1/96 manage ping exit interface tunnel1 zone "trust" ipv6 enable tunnel ip6in4 "fenzhi1" exit B.Nat和路由 ip vrouter "trust-vr" snatrule id 1 from "2005::/96" to "2003::/96" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #总部上网snat snatrule id 2 from "2005::2/96" to "2004::2" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #与分支2通信snat snatrule id 3 from "Any" to "200.0.0.2" service "Any" eif ethernet0/2 trans-to 2005::1 mode dynamicport #公网已知ip访问总部ipv6服务器snat dnatrule id 1 from "2005::/96" to "2003::/96" service "Any" v4-mapped #总部上网dnat dnatrule id 2 from "2005::2/96" to "2004::2" service "Any" trans-to "200.0.0.4" #与分支2通信dnat dnatrule id 3 from "Any" to "200.0.0.2" service "Any" trans-to "2005::2" #公网已知ip访问总部ipv6服务器dnat ip route 0.0.0.0/0 200.0.0.1 ipv6 route 2001::/96 tunnel1 exit C.策略 rule id 1 action permit src-addr "Any" dst-addr "Any" service "Any" exit rule id 2 action permit src-ip 2005::/96 dst-ip 2004::/96 service "Any" exit rule id 3 action permit src-ip 2005::/96
表29-1:手动同步配置命令列表;HA同步信息show命令手动同步命令;配置信息showconfigurationexe;文件信息showfileexechasyncfi;ARP表项sh owarpexechasyncrd;DNS配置信息showiphostsexecha;DHCP配置信息showdh cpexechasy;MAC地址表showmacexecha 表 29-1:手动同步配置命令列表 HA 同步信息 show 命令手动同步命令 配置信息show configuration exec ha sync configuration 文件信息 show file exec ha sync file file-name ARP 表项show arp exec ha sync rdoarp DNS 配置信息show ip hosts exec ha sync rdodns DHCP 配置信息show dhcp exec ha sync rdodhcp MAC 地址表show mac exec ha sync rdo mac showpki key PKI 配置信息 showpki trust-domain exec ha sync rdopki 会话信息 show session exec ha sync rdo session
showipsecsa IPSec VPN 信息showisakmpsa exec ha sync rdovpn showscvpn client test showscvpn host-check-profile showscvpn pool showscvpn user-host-binding showscvpn session SCVPN 信息 showauth-user scvpn exec ha sync rdoscvpn show l2tp tunnel show l2tp pool show l2tp client
目录 一、设备基础管理 (1) 1.1设备登录 (1) 1.1.1 通过CLI管理设备 (1) 1.1.2 通过WebUI管理设备 (2) 1.2管理员帐号及权限设置 (4) 1.2.1 新增管理员 (4) 1.2.1 修改管理员密码 (5) 1.3 License安装 (6) 1.4设备软件升级 (7) 1.5设备配置备份与恢复 (9) 1.5.1 备份设备配置 (9) 1.5.2 恢复设备配置 (12) 1.6系统诊断工具的使用 (14) 二、对象配置 (16) 2.1 配置地址薄 (16) 2.2 配置服务簿 (17) 三、网络配置 (21) 3.1 配置安全域 (21) 3.2 配置接口 (22) 3.3 配置路由 (23) 3.4 配置DNS (24) 四、防火墙配置 (26) 4.1 配置防火墙策略 (26) 4.1.1 新增防火墙安全策略 (26) 4.1.2 编辑防火墙安全策略 (27) 4.2 配置NAT (28) 4.2.1 配置源NAT (28) 4.2.2 配置目的NAT (31) 4.3 防火墙配置举例 (35) 五、QOS配置 (44) 5.1 配置IP QOS (45) 5.2 配置应用QOS (46) 六、常用日志配置 (48)
一、设备基础管理 1.1设备登录 安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。 1.1.1 通过CLI管理设备 通过Console 口配置安全网关时需要在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与安全网关的连接,并按如下表所示设置参数(与连接Cisco设备的参数一致): 通过telnet或者SSH管理设备时,需要在相应接口下启用telnet或SSH 管理服务,然后允许相应网段的IP管理设备(可信主机)。 对接口启用telnet或SSH管理服务的方法如下: 首先在网络—>网络连接模式下的页面下方勾选指定接口,点击图示为 的编辑按钮,
1.1 考察sizeof 在32位机子上,输出值 /* value1 = 4,value2 = 4,value3 = 4 * value4 = 4,value5 = 4,value6 = 4 * value7 = 1,value8 = 1,value9 = 1 * value10 = 25 * value11 = 9 * value12 = 0 * value13 = 8 */ #include
等保2.0通用要求解读及产品运维实践 1、环境现状:勒索、泄密、破坏 2、等保意义:降低风险法律法规主管要求规避责任 3、2.0与1.0不同:1.0单产品单设备单点,2.0多产品 多维度 4、等保2.0边界防护法规要求:保证跨边界的访问和数据 流通过边界设备提供的受控接口进行通讯;对非授权设备私自连到内网的行为进行检查或限制;对内部用户非授权连到外网行为进行检查或限制;保证无线网通过受控的边界设备接入内部网络。(解决:防火墙支持IP 端口协议文件大小类型名称URL 设置访问规则,对受控接口的管理;防火墙支持802.1x实现非法内联;支持WEB_AUTH实现非法外联、无线网络认证的验证和管理) 5、访问控制法规要求:在网络边界或区域之间根据访问 控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;删除多余或无效访问控制规则,优化访问控制列表,保证规则最小化;对源、目的地址、源端口、协议进行检查,以允许或拒绝数据包进出;根据会话状态信息为进出数据流提供明确的允许或拒绝访问控制;对进出网络数据流基于应用协议和应用内容访问控制(解决:支持基于IP、端口、应用协
议、文件大小名称类型等设置访问规则,仅受控接口可以通信; 支持规则匹配分析,对策略五元组进行匹配检查) 6、入侵防范法规要求:在关键网络节点处检测、防止或 限制从外部或从内部发起的网络攻击行为;采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;当检测到攻击行为,记录源IP、攻击类型、目标、时间,在发生严重入侵时间时提供报警(解决:IPS及IDS单品或模块、WAF支持双向攻击行为检测和阻断;基于云沙箱技术的产品可实现未知威胁检测和控制) 7、恶意代码和垃圾邮件防范法规要求:在关键网络节点 处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;在关键网络节点对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新(解决:IPS、IDS、AV模块支持对病毒进行检测、阻断、抓包和留存) 8、安全审计法规要求:在网络边界、重要节点进行安全 审计,审计覆盖到每个用户,对重要的用户行为和重要的安全事件进行审计;审计记录包括时间的时间、日期、用户、时间类型、时间是否成功及其他审计相关信息;对审计记录进行保护,定期备份,避免未到预期的删除、修改或覆盖等;对远程用户访问行为单独进行行为审计和数据分析
新一代多核安全网关 SG-6000-M2105/M3100/M3108 SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP和端口的防范限制。处理器模块化设计可以提升整体处理能力,突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps,广泛适用于企业分支、中小企业等机构,可部署在网络的主要结点及Internet出口,为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。 产品亮点 安全可视化 ●网络可视化 通过StoneOS?内置的网络流量分析模块,用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势,随时、随地监控自己的网络,从而对流量进行优化和精细化的管理。 ●接入可视化 StoneOS?基于角色的管理(RBNS)模块,让网络接入更加精细和直观化,实现了对接入用户更加人性化的管理,摆脱了过去只能通过IP地址来控制的尴尬,可以实时地监控、管理用户接入的状态,资源的分配,从而使网络资源的分配更加合理和可控化。 ●应用可视化 StoneOS?内置独创的应用识别模块,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,即使加密过的数据流也能应付自如。StoneOS?识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、、HTTP等协议的应用,应用特征库通过网络服务可以实时更新。 全面的VPN解决方案 SG-6000多核安全网关支持多种IPSecVPN的部署,它能够完全兼容标准的IPSec VPN。SG-6000系列
山石防火墙配置
hillstone防火墙配置步骤(以hillstone SA5040为例讲解)
厦门领航立华科技有限公司 目录 1需要从客户方获取的基本信息 (5) 2配置步骤 (5) 2.1配置安全域 5 2.2配置接口地址 6 2.3配置路由 7 2.4配置NAT 8
2.4.1源地址NAT 8 2.4.2目的地址NAT 9 3配置策略 (11) 3.1配置安全域之间的允许策略 11 3.1.1配置trust到Untrust的允许所有的 策略 (12) 3.1.2配置DMZ到Untrust的允许所有 的策略 (12) 3.1.3配置trust到DMZ的允许策略 13 3.1.4配置Untrust到DMZ服务器的允 许策略 (14) 3.1.5配置Untrust到Trust服务器的允 许策略 (14) 3.1.6配置详细策略 15 4配置QOS (16) 5配置SCVPN (18)
1需要从客户方获取的基本信息 ◆部署位置:互联网出口位置,还是其他,如部署在出口路由器之后等 ◆部署方式:三层接入(需要做NAT,大部分都是这种接入方式),二层透明 接入(透明接入不影响客户网络架构),混合接入模式(有几个接口需要配置成透明接口模式,可以支持这种方式) ◆外网出口信息:几个出口,电信Or网通,外网IP地址资源(多少个),外 网网关(防火墙默认路由设置) ◆安全域划分:一般正常3个安全域,Untrust(外网)、Trust(内网)、Dmz (服务器网段),也可以自定义多个 ◆外网接口IP地址:由客户提供 ◆内网口IP地址: ◆如果客户内网有多个网段,建议在客户中心交换机配置独立的VLAN 网段,不要与客户内部网段相同。 ◆如果客户内网只有1个网段,没有中心交换机,则把防火墙内网口地 址设置为客户内网地址段,并作为客户内网网关(适用于中小型网络)◆DMZ口IP地址:由客户提供,建议配置成服务器网段的网关; 2配置步骤 2.1 配置安全域 默认就有常用的3个安全域了,Trust,Untrust,DMZ
Hillstone山石网科基础配置手册5.0
Hillstone山石网科多核安全网关 基础配置手册 version 5.0
目录 第1章设备管理 (1) 设备管理介绍 (1) 终端Console登录 (1) WebUI方式登录 (2) 恢复出厂设置 (3) 通过CLI方式 (3) 通过WebUI方式 (4) 通过CLR按键方式 (6) StoneOS版本升级 (7) 通过网络迅速升级StoneOS(TFTP) (7) 通过WebUI方式升级StoneOS (9) 许可证安装 (12) 通过CLI方式安装 (12) 通过WebUI方式安装 (13) 第2章基础上网配置 (15) 基础上网配置介绍 (15) 接口配置 (15) 路由配置 (17) 策略配置 (20) 源NAT配置 (21) 第3章常用功能配置 (23) 常用配置介绍 (23) PPPoE配置 (23) DHCP配置 (26) IP-MAC绑定配置 (28) 端到端IPsec VPN配置 (30) SCVPN配置 (40) DNAT配置 (50) 一对一IP映射 (51) 一对一端口映射 (55) 多对多端口映射 (58) 一对多映射(服务器负载均衡) (62)
第4章链路负载均衡 (65) 链路负载均衡介绍 (65) 基于目的路由的负载均衡 (67) 基于源路由的负载均衡 (69) 智能链路负载均衡 (70) 第5章QoS配置 (74) QoS介绍 (74) IP QoS配置 (74) 应用QoS配置 (78) 混合QoS配置 (81) QoS白名单配置 (82) 第6章网络行为控制 (84) URL过滤(有URL许可证) (85) 配置自定义URL库 (89) URL过滤(无URL许可证) (91) 网页关键字过滤 (92) 网络聊天控制 (97) 第7章VPN高级配置 (100) 基于USB Key的SCVPN配置 (100) 新建PKI信任域 (100) 配置SCVPN (106) 制作USB Key (107) 使用USB Key方式登录SCVPN (109) PnPVPN (112) 用户配置 (114) IKE VPN配置 (116) 隧道接口配置 (121) 路由配置 (122) 策略配置 (123) PnPVPN客户端配置 (124) 第8章高可靠性 (126) 高可靠性介绍 (126) 高可靠性配置 (129)
进化的艺术——Hillstone山石网科SG-6000-G5150产品评测 来源:计算机世界实验室作者:韩勖发布时间:2009-09-25 https://www.doczj.com/doc/ce8214666.html,/html/wangluotongxin/20090925/1327.html 与信息安全行业内众多老牌厂商相比,Hillstone山石网科(以下简称“山石网科”)是个年轻的企业。短短几年内,该公司成功发布了SA、SR两大系列共十几款产品,可以提供企业级至电信级的全方位信息安全解决方案,取得了令人刮目相看的成绩。作为后来者,必须要有足够强大的核心竞争力,才能在激烈多变的市场竞争中站稳脚跟,而深厚的技术积累和具有前瞻性的产品设计思路,就是山石网科的制胜法宝。近日,该公司即将发布最新的SG-6000系列产品,再次将这一优势演绎的淋漓尽致。 感谢山石网科在产品发布前为实验室提供了测试样机,让我们有机会在第一时间与读者朋友们分享最新鲜的测试感受。这是一台型号为SG-6000- G5150的产品(以下简称“G5150”),采用2U规格设计,定位于中高端。产品前面板设计得很漂亮,不过右侧4个扩展槽位更吸引人。G5150可以支持类型众多的扩展模块,用以增加整机接口数量或业务处理能力。面板左侧分布着4个千兆电口与8个千兆SFP接口,加上USB、AUX、控制口和状态指示灯,显得很紧凑。此外,该产品还配备了互为冗余的两组热插拔电源,以满足运营商、IDC服务提供商等电信级用户的需求。 多核Plus G2:全新的系统平台 毫无疑问,模块化设计是SG-6000系列产品最吸引人的地方,而其基础则是改进后的多核Plus G2系统平台。该平台延续了上一代的设计理念,强化了以交换为中心的设计思路,在硬件体系架构方面继续保持领
山石网科2020年三季度财务状况报告 一、资产构成 1、资产构成基本情况 山石网科2020年三季度资产总额为160,205.61万元,其中流动资产为151,493.07万元,主要以交易性金融资产、应收账款、货币资金为主,分别占流动资产的44.57%、24.32%和18.19%。非流动资产为8,712.54万元,主要以固定资产、递延所得税资产、无形资产为主,分别占非流动资产的59.85%、12.83%和11.76%。 资产构成表(万元) 2、流动资产构成特点 企业持有的货币性资产数额较大,约占流动资产的69.19%,表明企业的支付能力和应变能力较强。但应当关注货币性资产的投向。企业流动资产中被别人占用的、应当收回的资产数额较大,约占企业流动资产的24.32%,应当加强应收款项管理,关注应收款项的质量。
流动资产构成表(万元) 项目名称 2019年三季度2020年三季度 数值百分比(%) 数值百分比(%) 流动资产0 - 146,434.33 100.00 交易性金融资产0 - 0 - 应收账款0 - 28,397.82 19.39 货币资金0 - 100,751.9 68.80 应收票据0 - 8,245.9 5.63 存货0 - 5,958.94 4.07 其他流动资产0 - 1,848.11 1.26 预付款项0 - 886.11 0.61 3、资产的增减变化 2020年三季度总资产为160,205.61万元,与2019年三季度的151,106.65万元相比有所增长,增长6.02%。 4、资产的增减变化原因 以下项目的变动使资产总额增加:交易性金融资产增加67,520万元,应收账款增加8,449.34万元,固定资产增加1,827.23万元,应收票据增加1,503.3万元,存货增加1,004.77万元,长期股权投资增加997.57万元,无形资产增加509.36万元,递延所得税资产增加425.79万元,长期待摊费用增加280.27万元,预付款项增加109.96万元,共计增加82,627.59万元;
Hillstone山石网科多核安全网关 快速配置手册 Hillstone山石网科 QS-UG0509-V1.1-01
前言 手册内容 首先感谢您使用山石网科的网络安全产品。本手册为Hillstone山石网科多核系列安全网关的快速配置手册,对Hillstone山石网科多核系列安全网关的主要功能模块配置进行介绍,帮助用户快速掌握安全网关的WebUI的配置。 本手册的内容包括以下各章: ?搭建配置环境。介绍配置环境信息以及WebUI配置环境的搭建。 ?第2章系统管理。介绍系统固件StoneOS的升级、配置文件的备份等。 ?第3章快速部署安全网关。介绍安全网关的路由应用模式部署。 ?第4章对外发布服务器。介绍DNAT的基本配置。 ?第5章IP QoS。介绍IP QoS的配置用例。 ?第6章应用QoS。介绍应用QoS的配置用例。 ?第7章SCVPN。介绍SCVPN的配置用例。 手册约定 为方便用户阅读与理解,本手册遵循以下约定: 内容约定 本手册内容约定如下: ?提示:为用户提供相关参考信息。 ?说明:为用户提供有助于理解内容的说明信息。 ?注意:如果该操作不正确,会导致系统出错。 ?『』:用该方式表示WebUI页面上的链接、标签或者按钮。 ?< >:用该方式表示WebUI页面上提供的文本信息,包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。
目录 第1章搭建配置环境 (1) 配置环境介绍 (1) 搭建WebUI配置环境 (1) 搭建Console配置环境 (3) 安全网关的基本配置 (3) 第2章系统管理 (5) 介绍 (5) 时间配置 (5) 升级StoneOS (5) 配置信息操作 (6) 保存配置信息 (6) 导出配置信息 (7) 导入配置信息 (7) 恢复出厂配置 (8) 第3章快速部署安全网关 (9) 介绍 (9) 组网 (9) 配置步骤 (9) 第4章对外发布服务器 (15) 介绍 (15) 组网 (15) 配置步骤 (16) 第5章IP QoS (23) 介绍 (23) 配置需求 (23) 配置步骤 (23) 第6章应用QoS (25) 介绍 (25) 配置需求 (25) 配置步骤 (25) 第7章SCVPN (26) 介绍 (26) 组网 (26) 配置步骤 (26)