17
2008
10

Hillstone SA安全网关使用小结

Hillstone SA 2003安全网关已经放在公司使用了有一个月了,是用下来一直非常稳定,没发生过停机事件,功能上也比较全面,Hilltone的技术来源于Netscreen,同样是高性能的硬件防火墙,但不仅仅是一台防火墙设备,他的定位为企业安全网关,在防火墙的基础上增加了许多实用的功能,除了基本的网络防攻击功能、VPN功能,还具有网页过滤、流量管理,P2P管理,聊天工具管理。Hilltone SA 2001安全网关作为SA系列安全网关的低端产品适合中小型企业使用,具有极高的性价比。

16
2008
10

Hillstone SA HA 配置举例

两台SA 系列安全网关采用完全相同的硬件平台和固件版本, 组成Active/Passive 冗余模式,并且两台设备使用同样的接口连接到网络。组网图请参见下图

16
2008
10

Hillstone SA 高可靠性(HA)

高可靠性(High Availability),简称为HA,能够在通信线路或设备产生故障时提供备用方案,从而保证数据通信的畅通,有效增强网络的可靠性。实现HA 功能,用户需要配置两台设备,组成HA 簇,系统使用HCMP 协议,按照两台设备上的HA配置信息,在HA 簇中选举出主设备,其它设备为备份设备。主设备处于活动状态,转发报文,当主设备出现故障时,备份设备接替其工作,转发报文。这样就保证了网络通信的不间断进行,极大地提高了通信的可靠性。

16
2008
10

Hillstone SA 许可证介绍

许可证用来管理和控制Hillstone SA系列安全网关的功能、性能和系统容量。每一台安全网关设备都有其标准的功能、性能和系统容量,而通过安装不同的许可证,用户可以在不更换硬件设备和不升级软件版本的情况下,为设备增加一些特定的新功能或者提高设备的性能和系统容量。SA系列安全网关的许可证分为以下五种:

16
2008
10

Hillstone SA可信主机介绍

SA系列安全网关使用可信主机来进一步保证系统安全。管理员可以指定一个IP地址范围,在该指定范围内的主机为可信主机。只有可信主机才可以对安全网关进行管理。

注意:如果远程主机不能访问安全网关,可能是可信主机配置问题,请进行相关检查。

16
2008
10

Hillstone SA QoS类别(class)介绍

SA系列安全网关上通过配置QoS Profile,然后将配置好的QoS Profile应用到接口上来实现QoS管理。用户可以将多个QoS Profile应用到一个接口上。通常情况下,配置QoS,需要经过以下三个步骤:

  1. 配置Class。 该步骤为流量识别分类的过程。Class定义设备需要匹配的流量,从而设备可以将流量进行区分。
  2. 配置QoS Profile QoS Profile定义了对匹配的流量所做的操作,包括管制、整形、拥塞管理和拥塞避免。
  3. 绑定QoS Profile到接口。 只有将配置好的QoS Profile绑定到接口上,QoS功能才能在安全网关上起作用。
13
2008
10

Hillstone SA 多层QoS举例

♦ 在网络链路使用率达85%时,将每个用户使用的最大带宽限制到100k;当网络链路空闲时,不做限制。系统中P2P 的流量不能超过200M。
♦ 流量的智能化分配:当用户上网时,如果仅用P2P 软件下载资源,系统将全部流量分配给P2P,如BT;此后,如果用户同时开始浏览网页,则优先保证网页浏览的应用需求,并且使P2P 应用始终都在下载资源,只是P2P 下载获得的流量会从早期的占有所有带宽变为只占用少量带宽。

13
2008
10

Hillstone SA IP QoS 优先级举例

通过配置,保证网页浏览和游戏具有最高优先级。设备通过ethernet0/0(176.133.13.8)连接Internet;PC1(10.200.2.2)和PC2(10.200.1.2)分别连接设备的ethernet0/1(10.200.2.1)和ethernet0/2(10.200.1.1)。

13
2008
10

Hillstone SA 基于IP 的QoS举例

基于IP 的QoS 配置举例。

使class ip-range1 内的每个IP 地址都有最多2M带宽,class ip-range2 中的所有IP 地址共享10M 带宽。

13
2008
10

Hillstone SA QoS低延迟队列(LLQ)举例

低延迟队列(LLQ)配置举例。为语音流量预留3M 带宽,设置HTTP 流量的最小带宽保证为4M,管制P2P 流量的带宽到6.4M,并且丢弃超出的P2P 流量。