新一代多核安全网关-SG-6000-M3100

新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色、深度应用的多核Plus G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。

处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点安全可视化●网络可视化通过StoneOS内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

●接入可视化StoneOS基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。

●应用可视化StoneOS内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSec VPN。

SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。

新一代多核安全网关-SG-6000-M3100新一代多核安全网关SG-6000-M3100SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色，深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP和端口的防范限制。

处理器模块化设计可以提升整体处理能力，突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M3100处理能力高达1Gbps，适用于政府机关、企业、教育等机构，可部署在网络的主要结点、及Internet出口，为网络提供基于角色，深度应用安全的访问控制、IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、上网行为管理等安全服务。

产品亮点新一代防火墙 - 深度应用安全随着网络的快速发展，越来越多的应用都建立在HTTP/HTTPS等应用层协议之上。

新的安全威胁也随之嵌入到应用之中，而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略，根本无法识别应用，更谈不上安全防护。

Hillstone山石网科新一代防火墙可以根据应用的行为和特征实现对应用的识别和控制，而不依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用。

同时，应用特征库通过网络服务可以实时更新，无须等待新版本软件发布。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSec VPN的部署，它能够完全兼容标准的IPSec VPN。

SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。

Hillstone独具特色的即插即用VPN，可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置，完全解决了传统IPSec VPN设备配置难、使用难、维护成本高的缺点。

新一代多核安全关（SG）6000（G3150）-新一代多核安全网关SG-6000-g 3150SG-6000是希尔斯通网络有限公司新推出的新一代多核安全网关系列产品其基于角色和深度应用的多核PlusG2安全架构突破了传统防火墙只能基于IP和端口的限制。

处理器的模块化设计可以提高整体处理能力，突破传统UTM在开启病毒防护或入侵防御等功能时性能下降的限制。

SG-6000-G3150的处理能力高达6Gbps，适用于政府机构、企业、教育和其他机构。

它可以部署在网络的主要节点和互联网出口，为网络提供基于角色的深度应用安全访问控制、IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防御、互联网行为管理和其他安全服务。

？产品亮点新一代防火墙-深层应用安全随着网络的快速发展，越来越多的应用建立在应用层协议上，如HTTP/HTTPS新的安全威胁嵌入到应用程序中，而基于状态检测的传统防火墙只能根据端口或协议设置安全策略，根本无法识别应用程序，更不用说安全保护了希尔斯通网络新一代防火墙可以根据应用程序的行为和特征识别和控制应用程序，而无需依赖端口或协议。

即使是加密的数据流也能轻松应对。

StoneOS已经识别了数百个应用程序，并且随着应用程序的发展，它每天都在增加。

其中包括P2P、即时消息、游戏、办公软件和基于SIP、323、HTTP和其他协议的应用同时，应用特征库可以通过网络服务实时更新，而无需等待软件新版本的发布。

？综合虚拟专用网络解决方案SG-6000多核安全网关支持各种IPSec VPN的部署，与标准IPSec VPN完全兼容SG-6000系列产品为虚拟专用网络(包括SSL虚拟专用网络)提供硬件加速。

结合多核平台的处理能力，它们可以为用户提供高容量、高性能的虚拟专用网解决方案。

希尔斯通独特的即插即用型虚拟专用网络允许远程分支机构使用简单的用户名和密码从中心端自动下载网络和安全配置，彻底解决了传统IPSec虚拟专用网络设备配置困难、使用困难和维护成本高的缺点SG-6000多核安全网关还通过集成第三代SSL VPN实现角色访问控制和即插即用功能，为用户提供便捷安全的远程访问服务。

新一代多核安全网关SG-6000系列产品型号速查表-市场部201008版本
除非另有说明，否则所列出的性能，容量和特性是基于运行StoneOS®4.0的系统，实际结果可能会因StoneOS®版本和部署情况而异。

注：(1) IPSec吞吐量是用Presharekey+AES256+SHA-1，用1400字节数据流测试得到；(2) 防病毒是根据带附件的HTTP流量测试；
(3) IPS吞吐量是使用HTTP流量，启用所有IPS规则，并打开双向检测方式下得到的；(4) 每秒新建连接是使用TCP no close方法测试；
(5) SG-6000-M2105/M3100/G6100/X5100不支持存储扩展模块，SG-6000-G2110不支持应用处理扩展模块，2端口万兆XFP模块只适用于SG-6000-G5150；
(6) SD卡(SDHC格式)由用户自己购买，推荐:金士顿\SanDisk等。

Version5.3.1版本说明本文档包含HSM5.0.0及以后各版本的版本说明，主要介绍了新增功能，已知问题及已解决问题等内容。

l HSM5.3.1l HSM5.3.0l HSM5.2.0l HSM5.1.0l HSM5.0.0HSM5.3.1本节为HSM5.3.1的版本说明。

产品和版本信息产品名称：山石网科集中安全管理平台（HSM）产品型号：HSM-P100、HSM-P3000、vHSM软件名称：HSMpro2.0-5.3.1发布日期：2022年9月27日适用产品型号：l HSM支持纳管SG-6000A系列、E系列、X系列、K系列、T系列、SDW系列。

注意:若需使用HSM纳管上述型号的防火墙设备，请保证其软件版本为StoneOS5.5R4及以上。

系统文件注意:若需为vHSM获取5.3.1版本的系统文件，即.ova、.qcow2和.vmdk格式的系统文件，请联系山石网科工作人员。

版本升级说明山石网科集中安全管理平台（HSM）不支持从4.X版本升级到5.3.1版本。

兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试：l Edge80及以上l Chrome80及以上新增功能已知问题HSM5.3.0本节为HSM5.3.0的版本说明。

产品和版本信息产品名称：山石网科集中安全管理平台（HSM）产品型号：HSM-P100、HSM-P3000、vHSM软件名称：HSMpro2.0-5.3.0发布日期：2022年8月4日适用StoneOS版本：l建议使用最新的StoneOS5.5R9P2、5.5R9F1，支持HSM的大部分功能；适用产品型号：l SG-6000A系列、E系列、X系列、K系列、T系列、SDW系列。

系统文件版本升级说明山石网科集中安全管理平台（HSM）不支持从4.X版本升级到5.3.0版本。

兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试：l Edge80及以上l Chrome80及以上新增功能已知问题HSM5.2.0本节为HSM5.2.0的版本说明。

新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP 和端口的防范限制。

处理器模块化设计可以提升整体处理能力，突破传统UTM 在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点安全可视化●网络可视化通过StoneOS?内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

●接入可视化StoneOS?基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。

●应用可视化StoneOS?内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSecVPN。

SG-6000系列产品对VPN(包括SSLVPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。

Hillstone统一智能防火墙安装手册目录第1章介绍 (1)第2章准备工作 (3)第3章安装与升级 (7)安装统一智能系统软件到虚拟机 (8)升级企业安全网关到指定的系统固件 (10)第4章初始化 (12)初始化 (12)第5章登录统一智能防火墙 (17)第6章高级功能设置 (18)查看统一智能系统接口信息 (18)配置统一智能系统接口 (18)修改统一智能系统登录密码 (18)升级统一智能防火墙 (18)通过WebUI升级 (18)通过CLI升级 (20)升级或回退企业安全网关的系统固件 (20)删除统一智能系统 (21)查看统一智能系统软件的版本及企业安全网关系统固件的版本 (21)配置可信主机 (21)智一能系统与企业安全网关连接通道的加密 (22)关于本手册手册内容该文档介绍统一智能防火墙的安装部署，具体内容包括：♦第1章介绍♦第2章准备工作♦第3章安装与升级♦第4章初始化♦第5章登录统一智能防火墙♦第6章高级功能设置手册约定为方便用户阅读与理解，本手册遵循以下约定：内容约定本手册内容约定如下：♦提示：为用户提供相关参考信息。

♦说明：为用户提供有助于理解内容的说明信息。

♦注意：如果该操作不正确，会导致系统出错。

♦『』：用该方式表示Hillstone设备WebUI界面上的链接、标签或者按钮。

例如，“点击『登录』按钮进入Hillstone设备的主页”。

♦< >：用该方式表示WebUI界面上提供的文本信息，包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。

例如，“改变MTU值，选中<手动>单选按钮，然后在文本框中输入合适的值”。

CLI约定本手册在描述CLI时，遵循以下约定：♦大括弧（{ }）：指明该内容为必要元素。

♦方括弧（[ ]）：指明该内容为可选元素。

♦竖线（|）：分隔可选择的互相排斥的选项。

♦粗体：粗体部分为命令的关键字，是命令行中不可变部分，用户必须逐字输入。

设备的ethernet0/0接口配有默认IP地址192.168.1.1/24，并且该接口的各种管理功能均为开启状态。

初次使用设备时，用户可以通过该接口访问设备的WebUI界面。

搭建WebUI配置环境，请按照以下步骤进行配置：1. 将PC的IP地址设置为与192.168.1.1/24同网段的IP地址，在PC的本地连接属性中，设置Internet协议版本4（TCP/IPv4）如下：2. 用网线将PC与设备的ethernet0/0接口进行连接。

3. 在PC的Web浏览器中输入地址“http://192.168.1.1”并按回车键，打开登录页面。

4. 输入用户名和密码。

设备提供的默认用户名和密码均为“hillstone”。

5. 点击“登录”按钮，进入WebUI的主页面。

安装许可证在获得许可证字符串或者许可证文件后，按照以下步骤安装许可证：1. 点击“系统>许可证”。

2. 在<许可证申请>处，选择以下两种方式中的一种导入许可证。

上传许可证文件：选中“上传许可证文件”单选按钮，点击“浏览”按钮，并且选中许可证文件（许可证为纯文本.txt文件）。

手动输入：选中“手动输入”单选按钮，然后将许可证字符串内容输入到对应的文本框。

3. 点击“确定”按钮。

4. 点击“系统>设备管理”，在<设置及操作>标签页，点击“重启设备”。

5. 设备重启之后完成许可证的安装。

创建系统管理员系统管理员拥有读、执行和写权限，可以在任何模式下对设备所有功能模块进行配置、查看当前或者历史配置信息。

创建系统管理员，请按照以下步骤进行操作：1. 点击“系统>设备管理”。

2. 在<管理员>标签页，点击”新建“按钮。

系统管理员可以指定一个IP地址范围，在该指定范围内的主机为可信主机。

只有可信主机才可以对防火墙进行管理。

创建可信主机，请按照以下步骤进行操作：1. 点击“系统>设备管理”。

2. 选择”可信主机“标签页，点击”新建“按钮。

新一代多核安全网关SG-6000-M2105/M3100/M3108SG-6000是Hillstone山石网科公司全新推出的新一代多核安全网关系列产品。

其基于角色、深度应用的多核PlusG2安全架构突破了传统防火墙只能基于IP和端口的防范限制。

处理器模块化设计可以提升整体处理能力，突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。

SG-6000-M2105/M3100/M3108处理能力高达600Mbps-2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。

产品亮点安全可视化●网络可视化通过StoneOS内置的网络流量分析模块，用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

●接入可视化StoneOS基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。

●应用可视化StoneOS内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。

全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署，它能够完全兼容标准的IPSec VPN。

SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN 解决方案。

版本说明本文件为SG-6000系列安全网关系统固件StoneOS的版本说明，描述版本信息、软件功能以及版本中的已知问题等。

StoneOS 5.0R3P6本节为StoneOS 5.0R3P6版本说明。

产品和版本信息产品名称：Hillstone SG-6000系列安全网关产品型号和系统文件：发布日期：2014年06月06日文档说明Hillstone SG-6000系列安全网关配有以下手册：✹《Hillstone山石网科多核安全网关使用手册》✹《Hillstone山石网科多核安全网关命令手册》✹《Hillstone SG-6000多核安全网关安装手册》✹《Hillstone山石网科多核安全网关扩展模块手册》✹《Hillstone山石网科多核安全网关日志信息参考手册》✹《Hillstone山石网科SNMP私有MIB信息参考手册》版本升级说明从低版本升级到StoneOS 5.0R3P6时，有以下几个问题需要注意：✹系统文件升级说明✹地址簿功能相关配置升级说明✹策略规则相关配置升级说明✹统计集功能相关配置升级说明✹接口镜像功能相关配置升级说明✹攻击防护功能相关配置升级说明系统文件升级说明因较早版本曾对系统文件的大小进行了限制，所以当从4.0R6P15.1（包括4.0R6P15.1）之前的版本升级到5.0R3P6时，用户需要通过sysloader才能升级成功。

可以直接升级5.0R3P6的系统版本包括5.0R2P2之后的5.0R版本、4.5R3P8以及4.5R4P1，更低版本建议先升级到上述版本，然后再升级到5.0R3P6。

地址簿功能相关配置升级说明StoneOS 5.0R3P6为地址条目增加了ID属性。

当把系统从低版本升级到5.0R3P6时，系统会对已有地址簿配置做平滑处理，不影响用户使用。

当把系统从5.0R3P6降级时，已有地址簿配置会丢失。

策略规则相关配置升级说明StoneOS 5.0R3P6将策略规则的默认模式转变为全局配置模式。

Version5.5R9Copyright2022Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is fur-nished under a license agreement or nondisclosure agreement.The software may be used or copied only in accord-ance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hillstone Networks. Hillstone Networks本文档禁止用于任何商业用途。

关于本手册本手册为硬件参考指南，帮助用户正确安装山石网科的设备。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：*************************联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州市高新区科技城景润路181号邮编：100192邮编：215000联系我们：https:///about/contact_Hillstone.html山石网科https://TWNO:TW-HW-AS-CN-V2.0-6/13/2022目录目录I 产品中有毒有害物质或元素的名称及含量1前言2内容简介2手册约定2第1章产品介绍3简介3主机硬件介绍3前面板介绍3后面板介绍7指示灯含义9系统参数12扩展模块介绍18扩展模块类型21接口扩展模块21Bypass模块22Bypass模块连接方法23指示灯含义23扩展模块的配置与使用24接口扩展模块的配置与使用24查看扩展模块的信息25端口属性25配置口（CON口）25 USB接口25千兆电口26 SFP接口26 SFP+接口28 QSFP+接口29光接口的拆分、降速与光转电30光接口的拆分31光接口的降速31光接口的模式切换32光接口的光转电33 CLR按键33电源34电源模块35硬盘37冷却系统38第2章设备安装前的准备工作40介绍40安装场所要求40温度/湿度要求40洁净度要求40防静电要求41电磁环境要求41接地要求41检查安装台41机柜要求42机柜尺寸和间距42机柜通风要求42机架要求42机架尺寸和承重要求42机架间距要求42机架固定要求43其它安全注意事项43确认收到的物品43安装设备、工具和电缆43第3章设备的安装44将设备安装在工作台上44将设备安装到标准机架中45使用托盘安装45使用导轨安装47线缆连接49连接地线49连接配置电缆50连接以太网线缆50连接以太网电口线缆51连接以太网光口线缆51连接交流电源线51连接直流电源线52连接电源适配器54安装天线54安装SIM卡55安装完成后的检查56第4章设备的启动和配置57介绍57搭建配置环境57搭建配置口（CON口）的配置环境57搭建WebUI配置环境58搭建Telnet和SSH配置环境59设备的基本配置59连接互联网60通过PPPoE拨号方式60通过3G/4G拨号方式62通过静态IP方式65创建无线局域网67第5章设备的硬件维护69介绍69开机69关机69电源模块的安装与拆卸70扩展模块的安装与拆卸71风扇盘的安装与拆卸73硬盘的安装与拆卸74第6章常见故障处理77介绍77口令丢失情况下的处理77扩展模块故障处理77冷却系统故障处理78电源系统故障处理78配置系统故障处理78附录：设备支持版本信息79产品中有毒有害物质或元素的名称及含量注：并非上述所有部件都含有在内装产品中。