正在阅读：企业超级网管 山石网科SA-2001A首测企业超级网管 山石网科SA-2001A首测

系统:

　　Hillstone Security Management，简称为HSM，是Hillstone山石网科自主研发的集中网络安全管理系统，能够对网络中的多台Hillstone安全设备进行集中控制和管理。HSM系统分为三部分，即HSM代理、HSM服务器和HSM客户端（StoneManager）。将这三部分合理部署到网络中，并且实现安全连接后，用户可以通过客户端程序，查看被管理安全设备的日志信息、统计信息、设备属性等，实时监控被管理设备的运行状态和流量信息。

　　高可靠性（High Availability），简称为HA，能够在通信线路或设备产生故障时提供备用方案，从而保证数据通信的畅通，有效增强网络的可靠性。要想实现HA 功能，用户需要配置两台设备，组成HA 簇，系统使用HCMP 协议，按照两台设备上的HA配置信息，在HA 簇中选举出主设备，其它设备为备份设备。主设备处于活动状态，转发报文，当主设备出现故障时，备份设备接替其工作，转发报文。这样就保证了网络通信的不间断进行，极大地提高了通信的可靠性。

对象:

　　服务是具有协议标准的信息流。服务具有一定的特征，例如相应的协议、端口号等，举例来讲，FTP服务使用TCP传输协议，其目的端口号是21。服务是StoneOS多个功能模块配置的重要组成元素，例如策略规则和网络地址转换规则等。SA-2001A提供了161种预定义服务，划分为11个组，几乎囊括了所有日常应用，像各种P2P下载、流视频服务、IM通迅、各种网游、音乐搜索、理财软件等等，功能可谓十分强大，同时用户也可以根据自己的需要创建自定义服务或服务组。在预定义服务中，为了便于识别，带星号（*）的预定义服务为一些P2P或者IM服务。在进行安全策略配置时，将直接调用这些服务或服务组，这部分内容我们将在稍后介绍。

　　AAA服务器，AAA是认证（Authentication）、授权（Authorization）和计费（Accounting）的简称。认证是指验证用户是否具有访问系统的权限，以及哪些用户具有该权限；授权是指用户有权使用哪些服务；计费是指记录用户使用网络资源的情况。

　　SA-2001A支持本地认证和外部认让。默认情况下，安全网关使用本地认证的方式对用户进行认证。外部认证支持通过RADIUS协议和LDAP协议（包括Active-Directory和LDAP两种服务器类型）进行外部认证。将用户信息储存在外部RADIUS、Active-Directory或LDAP服务器上，通过外部RADIUS、Active-Directory或LDAP服务器对安全网关的用户进行认证。

安全:

　　策略是SA-2001A实现各种功能的机制。默认情况下，安全设备会拒绝设备上所有安全域之间的信息传输。而SA-2001A通过策略规则决定从一个安全域到另一个安全域的哪些流量该被允许，哪些流量该被拒绝。一般来讲，策略规则分为两部分：过滤条件和行为。安全域间流量的源地址和目的地址以及服务类型构成策略规则的过滤条件。策略规则都有其独有的ID号。策略规则ID会在定义规则时自动生成，同时用户也可以按自己的需求为策略规则指定ID。从源安全域到目标安全域之间的所有策略规则有特定的排列顺序。在流量进入系统时，系统会对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理。

　　如上图中ID号为7的这条规则，目前的服务状态是允许所有（Any）流量通过，通过修改服务，我们可以对各种网络应用进行管理，例如限制P2P、IM、网游等。在SA-2001A中，服务共分两类：APP和SRV。APP指的是应用，如IM、P2P应用；SRV指的是服务，如DNS、SMB服务。两者的区别我们可以简单理解为，APP是面向用户的，SRV是面向网络本身的。在SA-2001A中，APP条目已经用星号（*）标出，下面我们将对一些具有代表性的APP服务进行验证测试。