山石網(wǎng)關培訓教材

1、 | Hillstone Confidential日程安排一.準備工作二.安全架構三.系統(tǒng)管理四.路由和交換五.基本安全策略六.高級安全策略七 八.應用 九.日志與報表一. 準備工作 通過完成此章節(jié)課程，您將可以： 了解設備管理方式 完成根本上網(wǎng)配置管理接口用戶管理接口類型: :不同管理方式支持本地與遠程兩種環(huán)境配置方法，可以通過 和 兩種方式進行配置支持、管理參數(shù) 數(shù)值 波特率 9600 數(shù)據(jù)位 8停止位 1校驗/流控無參數(shù) 數(shù)值 接口0/0用戶名密碼管理 | Hillstone Confidential圖形化管理界面基于瀏覽器的管理方式簡單靈活，可以完成常用的各種配置。準備工作： 平安網(wǎng)關

2、設備的e0/0接口配有默認地址，該接口的各種管理功能均為開啟狀態(tài)。初次使用可以通過該接口管理設備，具體操作為： 將管理的地址設置為與/24同網(wǎng)段的地址，翻開的瀏覽器，輸入 設備默認管理員用戶名及密碼均為“登陸后 | Hillstone Confidential界面初始頁面結構導航菜單設備面板的端口連接狀態(tài)、內(nèi)存、會話數(shù)等設備運行情況設備根本信息，包括：序列號、運行時間、軟件版本、及特征庫版本等當前網(wǎng)絡中占用帶寬最多的排名用戶接口通過線連接的串口至平安網(wǎng)關的接口翻開終端模擬器使用以下缺省賬戶登陸用戶名: 密碼: 快捷鍵使用 自動補齊命令使用 ? 查看幫

3、助進入配置模式全局配置模式:全局配置模式允許用戶修改平安網(wǎng)關的配置參數(shù)。用戶在執(zhí)行模式下，輸入 命令，可進入全局配置模式。該模式的提示符如下所示： ()#子模塊配置模式：平安網(wǎng)關的不同模塊功能需要在其對應的命令行子模塊模式下進行配置。用戶在全局配置模式輸入特定的命令可以進入相應的子模塊配置模式。例如，運行 0/0 命令進入0/0 接口配置模式，此時的提示符變更為： (0/0)#初始根本配置 根本配置步驟: 配置接口 配置默認路由 配置允許訪問策略1配置接口網(wǎng)絡網(wǎng)絡 接口接口 編輯編輯網(wǎng)絡網(wǎng)絡 接口接口 點擊需配置接口右側編輯按鈕點擊需配置接口右側編輯按鈕2配置默認路由網(wǎng)絡網(wǎng)絡 路由路由 目的路

4、由目的路由 新建新建3配置上網(wǎng)策略防火墻防火墻 策略策略 點擊需配置接口右側編輯按鈕點擊需配置接口右側編輯按鈕內(nèi)部上網(wǎng)是從到的訪問，因此創(chuàng)立從內(nèi)到外的訪問策略防火墻防火墻 策略策略 點擊需配置接口右側編輯按鈕點擊需配置接口右側編輯按鈕“源地址處選擇要被限制的地址范圍，假設選擇“那么會對經(jīng)過設備的所有地址有效小結v在本章中講述了以下內(nèi)容：v系統(tǒng)構件的功能v完成根本上網(wǎng)配置問題1、如何通過瀏覽器對設備進行管理？2、如何開啟從外網(wǎng)接口登陸平安網(wǎng)關？3、如何開放內(nèi)網(wǎng)用戶上網(wǎng)的策略？二. 平安架構 通過完成此章節(jié)課程，您將可以： 了解網(wǎng)絡平安設備的用途 理解的架構 處理數(shù)據(jù)包的狀態(tài)檢測技術，通過策略過濾

5、數(shù)據(jù)包 ( , , ) ( #) (, , ) Source-IPDestination-IP21312Source-Port80Destination-Port6Protocolget http 1.1Data狀態(tài)檢測包狀態(tài)檢測: 基于選定類型檢測包的內(nèi)容來決定轉(zhuǎn)發(fā)或丟棄包基于包中多個字段來保持通訊的狀態(tài)通過檢測的新通訊接著添加到狀態(tài)表中只有在包與先前建立的通訊相關聯(lián)時，非初始包才會被允許比包過濾提供了更高的平安性比應用代理要快得多，但沒有應用代理提供的應用層控制多網(wǎng)絡地址轉(zhuǎn)換轉(zhuǎn)換私有地址到公網(wǎng)地址 SRC-IPDST-IP

6、36033SRC-Port80DST-Port6ProtocolSRC-IPDST-IP1025SRC-Port80DST-Port6ProtocolInternet保證關鍵業(yè)務流量應用前關鍵業(yè)務受到?jīng)_擊應用后關鍵業(yè)務受到保護系統(tǒng)架構圖 與 關系接口、平安域、之間嚴格的等級架構L3綁定到 L2綁定到 綁定到 一個接口只能綁定到一個平安域一個平安域可以包含一個或多個接口L3綁定到L3L2綁定到L2綁定到三層平安域的接口可以配置地址及管理效勞 (L3) (L3)L3 L2 L3L3 為接口配置地址前必須先將接口綁定到三層平安域InterfaceZoneL3-Zo

7、neIPL3-InterfaceL2-ZoneMAC(Auto config)L2-Interface 包轉(zhuǎn)發(fā)B B..254.254.1 (1 3) (2 3)SRC-IPSRC-IPDST-IPDST-IP29218SRC-PortSRC-Port80DST-PortDST-Port6ProtocolProtocol1. 已經(jīng)建立會話?NoAddress PairProtocol Port Pair(no match)Session Table2. 查找路由,目標可達?YesNetInt NHR/24E1(conne

8、cted)/24E2(connected)/24 E/24 E/0E54Routing Table3. 不同Zone之間的流量?YesIntZoneE1PrivateE2PrivateE7PublicE8ExternalZone Table (3 3)4. 策略允許通過?YesFrom Private to ExternalSADAServiceAction/16anyFTPpermit /16anyHTTPpermit/16an

9、ypingpermitanyanyanydenyAction: PermitSRC-IPDST-IP29218SRC-Port80DST-Port6Protocol創(chuàng)建會話Address PairProtocolPort Pair 61042 80Session Table小結v在本章中講述了如下內(nèi)容 :v平安網(wǎng)絡設備所需具備的功能v的系統(tǒng)架構v處理包的v根據(jù)網(wǎng)絡環(huán)境選擇基于的平安網(wǎng)絡設備問題1、平安網(wǎng)絡設備具備的幾大功能？2、 系統(tǒng)架構由接口、平安域、和組成，它們之間的關系？3、介紹處理包的過程？三. 系統(tǒng)管理 通過完成

10、此章節(jié)課程，您將可以實現(xiàn)： 系統(tǒng)管理功能 配置文件管理 版本升級密碼策略：系統(tǒng) 設備管理 根本信息： v密碼策略v 提供密碼復雜度檢測功能，可以通過啟用此功能強制新建管理員賬號的密碼符合復雜度需求。 系統(tǒng)管理員系統(tǒng)管理平安網(wǎng)關設備由系統(tǒng)管理員管理、配置。系統(tǒng)管理員的配置包括創(chuàng)立管理員、配置管理員的特權、配置管理員密碼、以及管理員的訪問方式。平安網(wǎng)關擁有一個默認管理員“，用戶可以對管理員“進行編輯，但是不能刪除該管理員。管理員分為讀寫執(zhí)行權限管理員、只讀執(zhí)行權限管理員。配置系統(tǒng)管理員系統(tǒng) 設備管理 根本信息配置系統(tǒng)管理員系統(tǒng) 設備管理 根本信息 新建 可信主機可信主機平安網(wǎng)關使用可信主機來進一步

11、保證系統(tǒng)平安。管理員可以指定一個地址范圍，在該指定范圍內(nèi)的主機為可信主機。只有可信主機才可以對平安網(wǎng)關進行管理。配置可信主機系統(tǒng) 設備管理 可信主機管理接口平安網(wǎng)關支持的管理接口類型:、 、 自定義管理接口：各種訪問方式的超時時間、端口號以及 的 信任域在一分鐘內(nèi)連續(xù)三次登錄失敗，系統(tǒng)會將登錄失敗的 地址鎖定兩分鐘。被鎖定的 地址在兩分鐘內(nèi)不能建立與設備的連接配置管理接口系統(tǒng) 設備管理 用戶接口配置文件管理配置文件：以命令行的格式保存平安網(wǎng)關的配置信息1臺設備可最大支持保存10份配置配置文件中保存的用來初始化平安網(wǎng)關的配置信息稱作起始配置信息，平安網(wǎng)關通過讀取起始配置信息進行啟動時的初始化工作

12、；如果找不到起始配置信息，平安網(wǎng)關那么使用平安網(wǎng)關的缺省參數(shù)初始化系統(tǒng)紀錄最近十次保存的配置信息，最近一次保存的配置信息會紀錄為系統(tǒng)的當前起始配置信息，當前系統(tǒng)配置信息以“作為標記；前九次的配置信息按照保存時間的先后以數(shù)字0 到8 作為標記。配置文件管理系統(tǒng) 配置 管理員可以導入、導出或者將系統(tǒng)恢復出廠配置當前配置窗口提供對配置的方式查閱升級通過 升級：系統(tǒng) 系統(tǒng)軟件選擇單項選擇按鈕。選中復選框。系統(tǒng)將在上載的同時備份當前運行的。如不選中該選項，系統(tǒng)將用新上載的 覆蓋當前運行的。點擊瀏覽按鈕并且選中要上載的。點擊確定按鈕，系統(tǒng)開始上載指定的。完成升級后，需要重啟平安網(wǎng)關啟動新升級的。系統(tǒng)時間平

13、安網(wǎng)關的時間影響到 隧道的建立和時間表的時間，并且日志都是基于系統(tǒng)時間記錄的，因此系統(tǒng)時間的精確性十分重要。平安網(wǎng)關支持兩種設置時間的方式，分別是手動設置和通過 與效勞器同步。系統(tǒng)時間手動設置系統(tǒng)時間:系統(tǒng) 日期/時間可以手動設置系統(tǒng)時間，或者點擊“同步按鈕通過瀏覽器獲取管理員本地電腦時間。系統(tǒng)診斷工具系統(tǒng)系統(tǒng) 工具工具:平安網(wǎng)關提供根本的診斷工具方便，用戶可以通過這些工具觀察網(wǎng)絡和平安網(wǎng)關提供根本的診斷工具方便，用戶可以通過這些工具觀察網(wǎng)絡和路由是否連通。路由是否連通。小結v在本章中講述了以下內(nèi)容v配置系統(tǒng)管理員/可信主機v配置管理接口v配置文件管理v版本升級v配置系統(tǒng)時間v系統(tǒng)診斷工具問題

14、1、如何回退到以前保存的配置？2、升級系統(tǒng) 的方法？四. 交換與路由 通過完成此章節(jié)課程，您將可以： 平安網(wǎng)關工作模式配置 接口配置 路由配置設備工作模式平安網(wǎng)關支持以下工作模式：路由應用模式透明應用模式混合應用模式系統(tǒng)架構圖平安域在 中，域是一個邏輯的實體，一個或多個接口可以綁定到域，而被應用了策略規(guī)那么的域即為平安域。域具有以下特點：接口綁定到域二層和三層域決定其接口工作在二層模式或是三層模式 支持域內(nèi)部策略規(guī)那么，比方“從 到的策略規(guī)那么綁定關系接口、平安域、 和 之間的綁定關系接口綁定到平安域。綁定到二層平安域的接口為二層接口，綁定到三層平安域的接口為三層接口。平安域綁定到 或者。二層

15、平安域綁定到，三層平安域綁定到。由此，也實現(xiàn)了接口與 或者 的綁定。策略策略那么通過策略規(guī)那么 決定從一個平安域到另一個平安域的哪些流量該被允許，哪些流量該被拒絕。域間策略：域間策略對平安域間的流量進行控制?？赏ㄟ^設置域間策略來拒絕、允許從一個平安域到另一個平安域的流量。域內(nèi)策略：平安域內(nèi)策略對綁定到同一平安域的接口間流量進行控制。源地址和目的地址都在同一平安域中，但是通過平安網(wǎng)關的不同接口到達。虛擬交換機()一個 就是一個二層轉(zhuǎn)發(fā)域每個 都有自己獨立的 地址表 中的接口之間的數(shù)據(jù)包會被按照二層轉(zhuǎn)發(fā)規(guī)則進行轉(zhuǎn)發(fā)在 中，用戶可以方便地配置策略規(guī)則 接口相當于實際交換機的上連口，通過 接口，數(shù)據(jù)包

16、可以實現(xiàn)二層與三層之間的轉(zhuǎn)發(fā) 中的轉(zhuǎn)發(fā)規(guī)那么在一個，即一個二層轉(zhuǎn)發(fā)域中， 平安網(wǎng)關通過源地址學習建立 地址轉(zhuǎn)發(fā)表。每個 都有自己的 地址轉(zhuǎn)發(fā)表。 根據(jù)數(shù)據(jù)包的類型 數(shù)據(jù)包、 包和非 且非 包，分別進行不同的處理。對未知單播的轉(zhuǎn)發(fā)采用策略限制下的播送對于非 包且非 包， 用戶可以在全局配置模式下通過配置l2 命令指定處理方式。l2 | 丟棄 轉(zhuǎn)發(fā)透明模式為實現(xiàn)透明應用模式，需要根據(jù)策略規(guī)那么創(chuàng)立一些二層平安域，并且把接口綁定到二層平安域上，同時將二層平安域綁定到 上?？梢詣?chuàng)立多個，即多個二層轉(zhuǎn)發(fā)域。透明應用模式有以下優(yōu)點：無需修改受保護網(wǎng)絡的 設置。無需為進入受保護網(wǎng)絡的報文創(chuàng)立 規(guī)那么。配置

17、默認有一個，即1，1 不能被刪除。用戶可以根據(jù)需要創(chuàng)立其它，也可以隨時查看 的配置信息。用戶在新建一個 的同時，也新建了與 相對應的 接口。:創(chuàng)立查看 表信息通過 ，用戶可以查看所有 或者某個指定接口的 表項，用戶還可以去除所有 或者某個指定接口的 表項。路由模式接口綁定到三層平安域上配置接口 地址、基于平安域的策略規(guī)那么在這種配置應用下，設備具有路由功能可以配置 規(guī)那么地址轉(zhuǎn)換功能接口接口允許流量進出平安域。因此，為使流量能夠流入和流出某個平安域，必須將接口綁定到該平安域，并且，如果是三層平安域，還需要為接口配置 地址。然后，必須配置相應的策略規(guī)那么，允許流量在不同平安域中的接口之間傳輸。多

18、個接口可以被綁定到一個平安域，但是一個接口不能被綁定到多個平安域。接口配置三層模式v方式接口配置二層模式v方式v方式接口配置高級配置靜態(tài)路由靜態(tài)路由是手工定義的路由條目，根據(jù)目的地址指定下一跳，也稱作目的路由對外連接較少或者內(nèi)網(wǎng)連接相比照較穩(wěn)定的網(wǎng)絡通常使用靜態(tài)路由默認路由是靜態(tài)路由的一種通過配置靜態(tài)路由，如以下圖：小結v在本章中講述了以下內(nèi)容：v系統(tǒng)架構v接口配置v靜態(tài)路由配置五. 根本平安策略 通過完成此章節(jié)課程，您將可以： 理解平安策略的用途 通過平安策略保護網(wǎng)絡資源平安策略根底平安策略策略是網(wǎng)絡平安設備的根本功能。默認情況下，平安設備會拒絕設備上所有平安域之間的信息傳輸。而策略那么通過

19、策略規(guī)那么 決定從一個平安域到另一個平安域的哪些流量該被允許，哪些流量該被拒絕。策略分類策略分為兩種：域間策略：域間策略對平安域間的流量進行控制。可通過設置域間策略來拒絕、允許從一個平安域到另一個平安域的流量。域內(nèi)策略：平安域內(nèi)策略對綁定到同一平安域的接口間流量進行控制。源地址和目的地址都在同一平安域中，但是通過平安網(wǎng)關的不同接口到達。策略規(guī)那么的根本元素策略規(guī)那么允許或者拒絕從一個平安域到另一個平安域的流量。流量的類型、流量的源地址與目標地址以及行為構成策略規(guī)那么的根本元素。 - 兩個平安域之間的流量的方向，指從源平安域到目標平安域。 - 流量的源地址。 流量的目標地址。 流量的效勞類型。

20、平安設備在遇到指定類型流量時所做的行為， 包括允許、拒絕、隧道、來自隧道、認證五個行為。策略規(guī)那么策略規(guī)那么分為兩局部：過濾條件和行為平安域間流量的源地址和目的地址以及效勞類型構成策略規(guī)那么的過濾條件。對于匹配過濾條件的流量可以制定處理行為，如或等。策略匹配順序：系統(tǒng)查找策略順序為由上至下，對流量按照找到的第一條與過濾條件相匹配的策略規(guī)那么進行處理。系統(tǒng)缺省的策略是拒絕所有的流量平安策略布署流程平安策略布署流程網(wǎng)絡安全分析制定安全策略布署安全策略安全效果檢驗存在安全需求配置策略的步驟高級特性設定策略生效的時間、QoS標簽、Profile組（IM、URL過濾）采取的動作允許通過，還是拒絕通過等服

21、務信息什么服務如：http、ftp、bt等網(wǎng)絡層的信息源自哪個IP/段，到哪個IP/段如:從/24any策略的方向從哪個安全域，到哪個安全域如:從trustuntrust策略定義的步驟面向?qū)ο蟮牟呗怨芾硗ㄟ^采用面向?qū)ο蠓绞絹韺崿F(xiàn)訪問控制，可以合并類似的訪問控制規(guī)那么，減少訪問規(guī)那么數(shù)量。并且對象內(nèi)容的修改，平安策略可自動更新，減少平安策略的維護量。面向?qū)ο蟮牟呗詫崿F(xiàn)方法：第一步，定義對象地址對象效勞對象時間對象等第二步，配置面向?qū)ο蟮钠桨膊呗?| Hillstone Confidential地址 地址簿是 系統(tǒng)中用來儲存 地址范圍與其名稱的對應關系的數(shù)據(jù)庫。 地址簿中的

22、地址與名稱的對應關系條目被稱作地址條目 。 地址條目的 地址改變時， 會自動更新引用了該地址條目的模塊。配置地址本對象 地址簿 新建配置地址本對象 地址簿 編輯 | Hillstone Confidential效勞 效勞：具有協(xié)議標準的信息流。效勞具有效勞：具有協(xié)議標準的信息流。效勞具有一定的特征，例如相應的協(xié)議、端口號等。一定的特征，例如相應的協(xié)議、端口號等。 效勞組：將一些效勞組織到一起便組成了效勞效勞組：將一些效勞組織到一起便組成了效勞組。用戶可以直接將效勞組應用到平安網(wǎng)關策組。用戶可以直接將效勞組應用到平安網(wǎng)關策略中，這樣便簡化了管理。略中，這樣便簡化了管理。 | Hillstone

23、Confidential系統(tǒng)預定義效勞對象 效勞簿 預定義 列出用戶可以查看或修改系統(tǒng)預定義效勞，預定義效勞只提供對效勞超時時間進行修改。 | Hillstone Confidential系統(tǒng)預定義效勞組對象 效勞組 預定義 列出用戶可以查看系統(tǒng)預定義效勞組，預定義效勞組不可修改。 | Hillstone Confidential用戶自定義效勞 除了使用 提供的預定義效勞以外，用戶還可以很容易地創(chuàng)立自己的自定義效勞。用戶自定義效勞可包含最多8 條效勞條目。用戶需指定的自定義效勞條目的參數(shù)包括： 名稱 傳輸協(xié)議 或 類型效勞的源和目標端口號或者 類型效勞的 和 值 超時時間 應用類型 | Hil

24、lstone Confidential配置自定義效勞對象 效勞簿 自定義 新建 | Hillstone Confidential配置效勞組對象 效勞簿 組 新建 | Hillstone Confidential配置策略規(guī)那么平安 策略 列出 | Hillstone Confidential配置策略規(guī)那么平安 策略 根本配置檢查/移動策略規(guī)那么平安 策略 列出小結v在本章中講述了以下內(nèi)容：v平安策略的用途v配置平安策略使用的地址薄v配置效勞簿和效勞組v配置平安策略保護網(wǎng)絡資源問題1、平安策略由哪幾局部組成？2、平安策略規(guī)那么的動作支持哪幾種？3、平安策略執(zhí)行的順序？4、同一個平安域內(nèi)的策略，缺省

25、的動作是什么？5、狀態(tài)檢測與包過濾兩種實現(xiàn)方式有何不同？六. 高級平安策略 通過完成此章節(jié)課程，您將可以： 配置基于時間表的策略 配置平安網(wǎng)關實現(xiàn)對網(wǎng)絡攻擊防護 配置平安網(wǎng)關抵御攻擊平安網(wǎng)關支持時間表功能。時間表功能可以使策略規(guī)那么在指定的時間生效，也可以控制 接口與因特網(wǎng)的連接時間。時間表包含絕對時間和周期。周期通過周期條目指定時間表的時間點或者時間段；而絕對時間決定周期的生效時間。每個周期最多可以擁有16 條周期條目。時間表對象 時間表 新建時間表提供“絕對時間和“周期兩種類型時間表平安 策略 根本配置調(diào)用時間表的策略，只在時間表范圍內(nèi)生效應用時間表到策略平安 策略 列出調(diào)用時間表的策略，

26、只在時間表范圍內(nèi)生效查看調(diào)用時間表的策略 基于時間表的策略 網(wǎng)絡攻擊防護 攻擊防御議程：平安策略高級特性攻擊防護v網(wǎng)絡中存在多種防不勝防的攻擊，如侵入或破壞網(wǎng)絡上的效勞器、盜取效勞器的敏感數(shù)據(jù)、破壞效勞器對外提供的效勞，或者直接破壞網(wǎng)絡設備導致網(wǎng)絡效勞異常甚至中斷。作為網(wǎng)絡平安設備的平安網(wǎng)關，必須具備攻擊防護功能來檢測各種類型的網(wǎng)絡攻擊，從而采取相應的措施保護內(nèi)部網(wǎng)絡免受惡意攻擊，以保證內(nèi)部網(wǎng)絡及系統(tǒng)正常運行。 平安網(wǎng)關提供基于域的攻擊防護功能。平安 攻擊防護 編輯攻擊防護 基于角色和時間表的策略 網(wǎng)絡攻擊防護 攻擊防御議程：平安策略高級特性主機防御平安網(wǎng)關的主機防御功能即平安網(wǎng)關代替不同主機

27、發(fā)送免費 包，保護被代理主機免受 攻擊。防御平安 防御 通過使用 學習、 學習、 認證以及 檢查功能， 能夠很好的防御 欺騙攻擊。并且， 能夠?qū)?欺騙攻擊進行統(tǒng)計，顯示 欺騙攻擊統(tǒng)計信息。綁定為加強網(wǎng)絡平安控制，平安網(wǎng)關支持 地址綁定、端口綁定以及端口 綁定。這些綁定信息分為靜態(tài)和動態(tài)兩種。通過 學習功能、 掃描功能以及 學習功能獲得綁定信息為動態(tài)綁定信息；而手工配置的綁定信息為靜態(tài)信息。同時，平安網(wǎng)關還具有 檢查功能。綁定平安 靜態(tài)綁定小結v在本章中講述了以下內(nèi)容：v基于時間表配置平安策略v配置網(wǎng)絡攻擊防護v配置主機防御及綁定 | Hillstone Confidential七、 通過完成此

28、章節(jié)課程，您將可以：理解的用途配置功能 | Hillstone Confidential 功能介紹 基于的，即 ，能夠為局域網(wǎng)里的每一個或每一段進行最大帶寬限制或者預留帶寬。 匹配類型支持地址范圍或者地址簿條目。 上/下行流量可以獨立限制，并可結合時間表對不同時段做不同控制。 控制策略需要綁定到接口上生效，綁定到外網(wǎng)接口的上行/下行控制策略對應內(nèi)網(wǎng)用戶上傳/下載，綁定到內(nèi)網(wǎng)接口上行/下行對應下載/上傳。 | Hillstone Confidential 例如用戶環(huán)境描述：出口帶寬50，外網(wǎng)為E0/1接口用戶需求描述：-00需限制其下載帶寬為500，如出口

29、帶寬空閑時可最高到5，上傳不做限制/24網(wǎng)段中每下載300K，上傳整個網(wǎng)段共享10M | Hillstone Confidential第一步登陸防火墻103在瀏覽器輸入防火墻缺省管理地址： 默認用戶名 密碼 | Hillstone Confidential第二步指定接口帶寬104接口默認帶寬為物理最高支持帶寬而非承諾帶寬，用戶需根據(jù)實際帶寬值指定接口上/下行帶寬。如需使用彈性功能，需點擊開啟彈性全局配置。 | Hillstone Confidential第三步配置 策略105限制-100每下載帶寬500K，并在出口帶寬空閑時允許突

30、破500限制，每最大占用5M帶寬。 | Hillstone Confidential第三步配置 策略續(xù)106限制/24每下載帶寬最大300K，上傳整個網(wǎng)段最大占用10M帶寬。 | Hillstone Confidential顯示已配置控制策略107添加后策略會在 列表顯示，如多條策略的地址范圍重疊，請點擊策略右側箭頭移動策略位置，從上至下第一條匹配到的策略生效。 | Hillstone Confidential八、應用通過完成此章節(jié)課程，您將可以：理解應用的用途配置應用 | Hillstone Confidential應用 功能介紹 基于應用的可以實現(xiàn)保障關鍵應用的帶寬或者限制非關鍵應用的帶寬。 應用全局有效。 可以實現(xiàn)基于時間表的應用限制。 應用可以綁定在出接口和入接口。 應用可以實現(xiàn)上下行帶寬獨立限制。 | Hillstone Confidential應用 例如用戶環(huán)境描述：出口帶寬50，外網(wǎng)為E0/1接口，內(nèi)網(wǎng)連接E0/0用戶需求描述：P2P應用需限