电信安全解决方案
项目建议书
技术文档 密级:保密
企业网络安全解决方案
——应用HillStone SA助力企业网络安全管
理和应用层管控
山石网通有限公司
二零零七年十二月
目 录
第一章 公司简介 . ............................................................................................................................ 3
第二章:电信运营商网络安全现状 . .............................................................................................. 4
2.1电信运营商网络现状及面临的挑战 . ............................................................................. 4
第三章 HillStone 电信网络安全解决方案 . ........................................................................... 5
3.1网络安全设计的基本原则 ............................................................................................. 5
3.1.1技术先进性和实用性原则 ............................................................................... 5
3.1.2高可靠性原则 ................................................................................................... 6
3.1.3易于扩展和升级的原则 ................................................................................... 6
3.1.4管理和维护的方便性 ....................................................................................... 6
3.2电信网络安全方案设计 ................................................................................................. 7
3.2.1 HillStone Networks 电信网络安全解决方案示意图 . ............................... 7
3.2.2 HillStone 安全方案描述 ................................................................................. 7
3.2.3 HillStone网络安全解决方案为用户带来的益处 .......................................... 9
3.2.4 HillStone VPN网络 ............................................................................................. 10
第四章 产品介绍 . ........................................................................................................................ 12
4.1 Hillstone 安全产品架构和特点.................................................................................... 12
4.2 Hillstone 安全产品核心功能介绍................................................................................ 15
第一章 公司简介
山石网科通信技术(北京)有限公司(以下简称“山石网科”)创建于2006年,是网络
安全领域的代表企业之一,公司总部位于中国北京,并在美国硅谷设有研发中心。山石网科
积累了多年网络安全产品研发和市场运做经验,专注于信息安全,是专业的新一代安全网络
设备提供商。
目前,山石网科拥有员工200余人,其中博士、硕士占30%以上,公司的核心团队由
来自 Juniper 、Cisco 、Netscreen 、Fortinet 和H3C 等中外著名企业的精英组成,具备先进的
技术经验和丰富的企业管理经验。公司总注册资金475万美金,设有系统架构部,系统运营
部,软件系统部,渠道销售部,售前售后技术部等部门,并且已经通过投资、控股和合作等
形式,在亚太区形成了良性发展的产业和营销体系。
自成立以来,山石网科就以“贴近市场,贴近客户,快速把握并满足客户需求”为己
任,用产品和方案来帮助客户获得网络安全,从而实现自身的企业价值。山石 网科凭借其
独特的服务精神和强大的技术实力,以国际一流的技术打造适合中国本土化应用需求的高性
能产品,并提供高性价比的新一代网络安全整体解决方案,服 务于中国高速发展的网络市
场。作为产业链中至关重要的一环,山石网科勇于创新,公司的SR 系列安全路由器和SA
系列安全网关产品,已经为网络安全领域树立 了新的安全网络产品质量水平,在国内各大
中小型企业及各高校中拥有了强大的客户群体,并赢得了用户的高度肯定。
在网络时代的今天,山石网科愿与所有客户、合作伙伴一起,在探索与实践中国网络安
全稳健和谐发展的新长征中,携手共赢!
第二章:电信运营商网络安全现状
2.1电信运营商网络现状及面临的挑战
近几年,中国电信业发展迅猛,全国电信总用户突破6亿,四年平均增幅达
到42%。固定电话用户增长了16倍,移动电话用户增长了400倍,与此同时,
互联网飞速发展,创造了世界电信发展史上的奇迹。
同时国内电信行业也在加速融合,这种融合是全方面的,包括家用电器、电
脑、通信技术的融合以及宽带网络、IP 技术和终端的融合等等。这种融合超越
国界,超越制式,也带来了更多的商业机会。
我国为了电信业的发展采取了很多改革措施,如电信公司的分拆措施,为多
个电信运营商相互竞争创造了有利条件。这就要求每个电信运营商提供高效、优
质的服务,以客户服务为中心,以提供更加专业优质的服务为目标,才能在残酷
的市场竞争中取得成功。由于电信运营商提供的是全天候的服务,这就要求电信
各应用系统和网络设备24小时地提供优质地服务。因此对电信系统的安全性和
可靠性提出了较高的要求。
近年来,安全问题已经是电信业相当严重的问题,尤其是对于迅猛发展的互
联网业,以及对于电信相关增值服务的安全性提出了较高的安全要求。电信增值
服务是目前电信业主要的利润增长点,为电信发展注入了新的活力。所以构筑安
全的电信网络系统至关重要。
传统电信运营商和移动电信运营商都提供着以IP 数据为基础的各种增值性
服务,例如专线申请、宽带存储、主机托管、多媒体、V oIP 、视频服务等各种新
式的服务。依靠这些增值服务,运营商们创造着爆炸性的营业收入。然而,如何
在更加激烈的竞争中降低运营成本、提高营业收入显得尤为迫切。为了能够把握
住这些机会和挑战,电信运营商必须在原有IP 网络的基础上搭建有效的应用服
务网络结构,而与此网络发展相关的网络和应用层安全控制是企业成功的关键。
各种安全威胁对于电信企业来说可能带来极大的损害,而不完善的安全防护体制
将会导致营业收入下降、维护成本上升、客户忠诚度降低等问题。
各种安全威胁分布在从网络层到应用层的所有节点上。
1、网络层
IP 网络上存在着大量的交换机、路由器,在大量的网络层攻击面前这些设备变得非常不可靠,难以为用户提供持续的服务。同时,基于网络层的冗余备份机制是电信网络必须具备的能力,能够保证提供链路和设备的冗余备份。基础网络层是电信网络的基石,没有稳定可靠的网络层谈任何其它的安全防护都是没有意义的。
2、应用层
在电信网络中,众多的应用程序运行在基础网络之上的应用层。在应用层,大量的病毒、蠕虫、垃圾邮件等威胁不断地侵蚀着电信网络系统的应用服务资源、不断地增加着电信网络的维护成本。应用层不同于网络层,基于应用层的安全防护是需要更高的网络资源、更高的维护成本来支撑的。如何在保证应用层安全的同时,保持最低的拥有和维护成本是电信用户考虑的。
第三章 HillStone 电信网络安全解决方案
3.1网络安全设计的基本原则
3.1.1技术先进性和实用性原则
网络安全方案中采用技术,具有一定的前瞻性,符合一定时期内网络安全技术发展的趋势,并在今后一定的时期内处于领先地位。网络安全系统设计必须遵循先进性和成熟性。由于IT 行业的技术更新换代很快,为了保证网络能够满足今后一段时间内应用的发展,在选择网络安全技术和设备时不仅要考虑先进性,也要考虑技术的成熟性,同时更要考虑接入业务的特点等多方面的因素。一种新技术在刚出现时往往有很大不稳定和不确定因素,需要有一个发展、逐步完善和实践检验的过程,经常有一些技术在刚出现时被宣传和评价很高,但在一段时间后发现存在很多问题,甚至很快退出市场。用户采用了这种技术,往往会因为设
备厂商转产停产等问题,无法对网络扩展升级,最终造成前期投资的浪费。一种新的技术产品在刚出现时一般价格都非常高,所以选择使用一种新的技术的最佳时机应该是在这种技术在市场上已经得到较为广泛的应用,并且在使用中得到肯定之后。虽然这时的技术可能已经不是最新的技术,但技术已经成熟,设备的性能价格比更高。所以选择网络技术和设备时不要去追求最新最好,应该遵循先进性和实用性相结合,并找出其中的平衡点。
3.1.2高可靠性原则
由于网络对数据传输的实时性的要求,对网络的传输环节要求很高。因而要求选用的网络安全设备具有相当高的可靠性,要达到电信级标准,具备99.999%的可靠性。建设一个运行稳定可靠的现代化网络系统,网络中任何一台安全设备或任何一条安全设备上的线路发生故障都不会导致通过该安全设备互联的两个网络无法通讯,并且能够保证在不影响网络正常运行的情况下完成对网络故障的检测和排除。
3.1.3易于扩展和升级的原则
网络及数据通信技术发展速度快、新的设备不断面世,新业务也将逐步运行在新的数据网上,用户对带宽的需求必将增长,需要将网络系统扩容,因此在网络设计时应充分考虑将来网络的扩容和升级问题。
随着Internet 的发展扩大,网络的系统性能的需要将不断提高,网络的规模也会不断扩展,而隔离网络的安全设备也同样需要扩容和升级。所以在设计网络时,要充分考虑到网络安全设备的可扩展性,为了保护用户的投资,设计应保证至少若干年内网络的升级和扩展不需要更换主要网络安全设备,只通过增加一些模块就可以实现网络性能和规模的扩展,满足今后几年业务发展的需要。
3.1.4管理和维护的方便性
网络系统中的所有安全设备均应是可管理的,支持远程监控和故障的过程诊断和恢复。可通过网管软件方便地监控网络运行的实时情况,对出现的问题及时处理和解决。
3.2电信网络安全方案设计
3.2.1 HillStone Networks 电信网络安全解决方案示意图
3.2.2 HillStone 安全方案描述
在电信网络中,通过HillStone SA系列产品的应用,从处理能力、扩展能力、安全性、冗余性和应用的便利性等方面为用户考虑,提供了各种安全功能、高吞吐以及完备的冗余备份机制,能够满足电信用户对安全性、稳定性和高性能的需求。
1、通过HillStone 产品提供高性能的安全管控功能
由于防火墙部署在电信网络的关键位置,扼守着所有数据流量的安全控制,因此对防火墙的转发性能以及吞吐要求都比较高。在电信网络中,一般网络出口处以及服务器区的带宽都在几千兆左右。因此,在如此大带宽的网络链路上需要
部署同样大吞吐的防火墙安全网关,才能保证防火墙不会成为链路中的瓶颈节点。大吞吐的防火墙会显著降低整个网络延迟,有效提高企业生产效率。
HillStone 能够为电信用户提供高性能高吞吐的安全网关。HillStone SA 系列产品能够提供从2Gbps 到8Gbps 的网络吞吐,能够满足电信用户绝大部分的业务需求。同时HillStone SA 系列产品采用创新的64位多核处理器,每秒能够提供最高达12万的TCP 会话请求能力。对那些应用复杂、具有大量每秒新建会话数的电信网络来说,HillStone SA系列产品能够为电信网络带来非常好的性价比。
2、通过HillStone 产品提供高效的防攻击功能
随着网络安全技术的普及和发展,越来越多地人能够很方便的利用Internet 上的免费工具进行准网络攻击和真正的网络攻击。和以往不同,越来越多的黑客发动攻击的目的变成了获得更大的经济利益。由于受经济利益的诱惑,针对网络的攻击强度和持久性是前所未有的,由此对电信网络带来了巨大的压力以及连带的防护责任。
HillStone 产品能够提供全面地防攻击能力,能够针对常见攻击进行有效阻断,同时还能够针对零日攻击进行及时的判断和阻断,有效保护企业用户的网络安全不受侵害。同时,HillStone 产品强大的应用层检测能力以及应用层处理性能为分析和阻挡各类攻击提供了强大的支持。
3、通过HillStone 产品提供高性能的应用层管控能力
在高速信息交换的Internet 上,海量的信息被不断的发布和浏览。对于电信用户来说,很多内容是不允许通过网络来传播的,如非法内容、公安部明令禁止的信息等。HillStone SA 系列产品具有URL 地址过滤功能,能够通过设立黑名单和关键字来过滤掉敏感的URL 地址,防止潜在的责任问题。
随着Internet 的不断普及,新的网络应用层出不穷,并且对于网络带宽的占用日益增高,如网络视频、网络游戏、BT 下载等。电信网络客户在网络中运行着大量的关键应用,这些关键应用很多都要求极低的网络延迟,而网络中大量的娱乐应用不断突破网络带宽限制,吞占着有限的网络带宽,严重影响着其他客户的正常使用。HillStone SA系列安全网关具备细粒度的流量管控机制,甚至能够针对每个IP 地址配置流量策略。针对相应的IP 地址或IP 地址范围,我们可以
定制这些IP 地址的最大带宽、最小带宽以及突发带宽。结合时间参数,我们可以定制特定时间范围内的流量策略,能够更加人性化的管理企业网络内极为复杂的流量。同时我们还能够为电信用户提供流量监控功能,使用户能够清晰的看到网络中流量的真实情况,能够更加合理的分配带宽资源。
安全和速度始终是两个对立面的事物。追求更高的网络安全是需要以牺牲网络通讯速度为代价的,而追求更高的网络通讯速度则需要降低网络安全标准。在目前依赖于网络应用的时代,能够做到应用层的安全检测以及安全防护功能是所有安全厂商的目标。由于应用层的检测需要进行深度的数据包解析,而使用传统网络平台所带来的网络延迟将是不可接受的。好的安全功能同样需要好的硬件平台去实现。HillStone SA系列安全网关采用创新的64位多核处理器以及高达24G 的交换总线,能够避免纯ASIC 和NP 安全系统会话可管理能力和流量控制能力弱的弊病,并能够提供完美的应用层处理能力。
4、通过HillStone 产品提供冗余备份的网络架构
HillStone 的SA 系列产品能够支持多种HA 解决方案,包括A-A 和A-P 。HillStone 的HA 解决方案能够为网络提供Session 级别的同步,其中包括VPN 的SA 同步,能够保证网络的持久畅通,提高客户满意度,为电信网络提供更可靠更经济的网络安全解决方案。
3.2.3 HillStone网络安全解决方案为用户带来的益处
通过HillStone 的解决方案实现电信网络的各种安全需求时,具有以下优点:
● 提供专业的网络安全服务
HillStone 是一家专业的网络安全设备厂商,具备多年安全设备研发和售后经验,能够为用户提供最及时最有效的安全解决方案。
● 高性能的防火墙和防攻击能力
HillStone SA 系列提供超强的防火墙吞吐能力,能够满足电信网络中大部分网络环境的吞吐要求。同时,SA 系列内置了防攻击模块,能够有效地避免网络攻击对企业网络的影响。
● 先进的应用层管控机制
HillStone SA 系列产品能够为用户提供先进的应用层管控技术,包括URL 过滤、带宽管理、P2P/IM管理等等,能够使用户在保证网络连通的前提下更细粒度的管控自己的网络。
● 提供高性能的应用层解决方案
HillStone 产品采用专用的64位多核处理器,能够为应用层数据处理提供前所未有的性能支持,保证在高吞吐高流量的情况下从容有效地进行应用层的管控。
● 提高电信网络部署的灵活性和扩展性
随着电信业的发展,电信网络也发生着日新月异的变化。HillStone 企业网络解决方案能够凭借HillStone 产品的多种智能化的功能实现,全面协助企业网络应用的演变。在电信网络的特定网络安全环境下,通过HillStone 产品的部署,灵活的进行功能扩展,最大化的保证了电信网络的灵活性和扩展性。
● 降低系统维护难度和成本
凭借多种人性化管理维护方式和HillStone 集中管理功能的实现,HillStone 电信网络解决方案能够极大的降低系统的维护难度和成本。结合HillStone 专业本地化厂家技术支持和研发队伍,能够为电信网络应用提供最优质的专业技术保障。
HillStone SA系列产品能够完全满足和实现电信网络安全平台对于高性能防火墙、高性能防攻击能力和高效的冗余备份能力的要求,能够在保持良好通讯速度的情况下提供高效的多方面的安全防护。通过应用在产品设计、性能参数和功能上均处于领先地位的SA 系列产品,能够在保证满足电信网络安全平台功能和性能要求的同时,提供最优的性能价格比和扩展能力。
3.2.4 HillStone VPN网络
VPN 系统在企业网络系统中应用的目的是在一个非信任的通信网络链路或
公共Internet 建立一个安全和稳定的隧道。
为方便远程用户和移动办公用户能接入到企业内部网络,同时为保证在基于Internet 的公共网络中数据传输的安全性和保密性,建议使用HillStone 防火墙上的自带IPSEC VPN功能。
IPSec 协议是一种工业标准协议,运行于网络层(OSI 的第三层)。IPSec 提供了一种标准的、健壮的以及包容广泛的机制,可用它为IP 及上层协议(如UDP 和TCP )提供安全保证。它定义了一套默认的、强制实施的算法,以确保不同的实施方案相互间可以共通。而且假若想增加新的算法,其过程也是非常直接的,不会对共通性造成破坏。
IPSec 协议支持:
①数据的保密性
②数据的完整性
③数据来源鉴别
④防重放。
因此,使用IPSec 建立的VPN 网络可以从最大程度上来保证数据的安全性。 在本方案中,用户担心的问题有:VPN 数据安全
这主要包含在三个方面:
1、VPN 数据在公网上是否有可能被窃取和修改及假冒。
HillStone 防火墙采用RFC 标准加密协议套件(IPSec )及其组件Internet 密钥交换(IKE )协议,通过私有的通道和各分支的数据服务器通信,这个过程数据是经过高度加密的,可以最高级别地保证数据的完整性、安全性、保密性。HillStone 防火墙VPN 是获得国际计算机安全组织(International Computer Security Association, ICSA, 正式名称为NSCA) 认证的,因此在公网上是不可能被窃取和修改及假冒。
2、攻击者利用IP Spoofing假冒下属机构来试图欺骗防火墙。
HillStone 防火墙对主要的网络攻击有非常有效的防范和检测,其中就有IP Spoofing (IP 欺骗)防范和检测的功能。
3、外部利用分支机构下载的带木马的软件或资料,来窃取内部信息。
可以通过HillStone 防火墙建立相应的策略并监视网络数据,将此危险减少
到最低。
在本方案中,HillStone 提供了良好的网络的集中管理和监控功能。
利用HillStone 防火墙的VPN 功能,可以严格的控制数据的流向和各种数据服务,方便管理其它子网的网络配置。利用HillStone 防火墙设备的VPN 日志、监控、告警功能,可以方便的管理和监控各部的网络运行状态。
第四章 产品介绍
4.1 Hillstone 安全产品架构和特点
随着网络威胁不断的发展,越来越多的混合式的网络攻击和威胁层出不穷。单纯的网络层安全防护系统无法满足用户的需求。传统防火墙以网络层防护为主,软硬件的设计围绕着网络层的安全防护展开,产品经过了第一代纯软件防火墙系统、基于PC 架构的第二代硬件防火墙系统和第三代的基于ASIC 和NP (网络处理器)纯硬件防火墙系统。第三代基于ASIC 和NP 架构的防火墙可以实现高性能的网络安全防护,对于应用层的安全防护无能为力,应用层完全依靠通用CPU 进行处理,包括目前流行的UTM 产品,一旦打开应用层安全防护功能,如P2P/IM安全控制、IPS 、Web 过滤、防病毒以及防垃圾邮件等内容过滤功能,性能会急剧下降,无法满足用户实际的网络安全需求。
基于以上原因,Hillstone 全线产品采用了创新的新一代网络安全架构,硬件平台采用64位高性能的多核处理器Multi-Core CPU(多达16核),内部传输采用高达24Gbps 高速交换总线,其网络安全的处理能力达到了一个新的起点:比如,安全产品中重要参数之一的每秒新建会话数是目前业界最高性能的基于ASIC 和NP 架构安全产品的5到10倍!64位专用高性能多核处理器的多核并行处理能力为应用层内容安全功能提供了强大的保障,同时又避免了纯ASIC 和NP 安全系统对会话可管理能力和流量控制能力弱的弊病。由于新一代64位多核处理器Multi-Core CPU 集成了IPSec VPN 、SSL VPN 、TCP 、QoS 、压缩/解压缩以及其他安全功能的芯片级硬件加速功能,使得Hillstone 安全产品具有
强大高效的VPN 和应用层安全处理能力。采用创新的新一代网络安全架构的Hillstone 安全产品提供了更高、更可靠、更稳定和更安全的综合处理能力,开创了新一代网络安全的新纪元。
多达16核的专用64位MIPS 处理器具有强大的应用层安全处理能力,众所周知,应用层安全的效率很大程度上依赖于CPU 的处理能力,即使基于ASIC /NP 架构的安全系统一旦要处理应用层的数据也必须依赖于CPU ,而目前安全产品在CPU 资源上有很大瓶颈,因此有些厂商已经放弃ASIC /NP 架构而采用纯CPU 的架构。Hillstone 采用多核处理器,使得该硬件架构充分考虑到了应用安全和网络安全的平衡,在某些性能指标上有了质的飞越,如作为安全网络产品重要指标之一的每秒新建连接数最高达到了20万/秒,同时结合内部高速交换总线和多核64位专用处理器,Hillstone 安全产品具有了强大的应用安全处理能力和可扩展能力,为集成更多的应用安全提供了强大的资源保障。
强健的专用实时64位并行操作系统
(Robust Specific Real time Operating System)
Hillstone 全线产品采用专用多线程实时64位并行操作系统,多线程的并行处理能力和模块化的结构易于集成和扩展安全功能,专用的安全加固的64位操作系统针对新一代多核处理器安全架构进行了全面的优化和安全加固,极大地提高了系统的处理效率、系统稳定性和安全性。模块化和多线程的处理机制,为Hillstone 新一代的网络安全系统提供了极大的可扩展能力,包括支持更多核处理器和集成更多安全功能。
众所周知,操作系统是整个安全设备的核心和基础,安全产品的操作系统必须具有很强的抗攻击能力,而基于软件的安全系统采用的是通用的操作系统,通用操作系统会暴露大量的操作系统漏洞,安全系统再强大,操作系统的漏洞会直接导致这个系统的崩溃。目前,专用定制的操作系统被广泛采用。Hillstone 安全产品均采用定制的专用操作系统StoneOS 。StoneOS 具有64位实时并行处理能力,其核心针对Hillstone 硬件产品进行了全面优化,使得系统具有更高的处理效率和稳定性。模块化的系统结构易于继承更多的安全功能,系统具有极强的伸缩性和可扩展性。任何独立的安全模块出现问题都不会影响整个系统的运行。
高可靠性和稳定性(High Reliability and Stability)
积累多年被证实的专业硬件安全产品研发和市场经验,Hillstone 新一代网络安全产品在软硬件的可靠性和稳定性上都有了进一步提高。全面优化的软硬件系统带来高可靠性和稳定性,这为网络流量和网络攻击日益膨胀的企业IT 环境提
供了强大的保障。Hillstone 安全产品最大程度上确保企业关键业务的不间断运行,提高用户的竞争力。
最低的总体拥有成本(Lowest TCO)
Hillstone 全线产品提供了非常友好的使用和管理界面,部署简单、易于维护和管理。灵活的特性可以满足不同用户不同应用环境的需求。独特创新的新一代网络安全架构提供给用户最大化的可扩展能力,最大化地保护用户投资。 Hillstone 安全产品解决方案特点:
● 创新的新一代网络安全架构
● 高性能的综合安全系统
● 高可靠性和扩展性
● 高性价比
● 丰富的安全特性
● 最低的TCO
● 友好和易于使用的管理界面
● 细粒度的安全参数调整
● 杰出的内容安全综合处理能力
● 灵活的部署特性,易于部署和维护
● 全面的产品线,满足不同用户的需求
● 专业的技术支持和销售团队
● P2P/IM应用的安全控制和细粒化管理
4.2 Hillstone 安全产品核心功能介绍
独特的防火墙状态监测
Hillstone 防火墙对经过的数据包进行状态检测,除了基本的基于数据包源地址、目标地址、协议类型、源端口、目标端口以及网络接口等数据包的控制外,还能够基于应用特征(P2P 软件、IM 即时通讯工具等)和基于IP 地址的Session 数进行限制,有效的管理客户端,优化网络效能;对于FTP 和H.323等较为特殊的应用,需要在连接中动态打开其他连接进行数据传输,普通防火墙无法获得动
态连接的情况,则必须提前打开所有可能的地址和端口,造成安全风险,Hillstone 防火墙采用Pinhole 技术,通过智能识别技术能够分析打开的连接,动态调整防火墙的安全规则,在灵活支持应用的同时,不牺牲安全。
Hillstone 防火墙能够根据数据包报头进行以下控制:
源和目的地址
源和目的接口
IP 协议号
TCP 和UDP 端口号
端口范围
ICMP 信息类型
IP 和TCP 中都有的选项类型
IP 和TCP 标记组合
VLAN 信息
时间
基于IP 的Session 数
应用特征(P2P 软件、IM 即时通讯工具)
Network
强大的防御功能
AD for all zones
AD per security zone
Generate Alarm w/o drop frame
Conf-able TCP timeout per service/rule---part of it in session.
Static and dynamic ACL
IP packet fragmentation blocking
IP Option anomaly detection
TCP anomaly detection
IP Source Route Options
Tracert datagram control
IP Address Spoof protection
Address sweep protection
Port scan protection
Session limiting: source-based
Session limiting: Dest-based
Syn Flood
ICMP Flood
UDP Flood
Land
Smurf
Fraggle
Huge ICMP packet
ICMP redirect and unreachable
ARP spoof attack
ARP 主动反向查询
VoIP DOS attacks
WinNuke
Ping of Death
Tear Drop
HA 高可用性
依靠积累多年被证实的专业硬件安全产品研发和市场经验,Hillstone 新一代网络安全产品无论在软件还是硬件的稳定性和可靠性上都有了进一步提高。全面优化的软硬件系统的稳定性和高可靠性为网络流量和网络攻击日益膨胀的企业IT 环境提供了强大的保障。Hillstone 产品能在最大程度上确保了网络关键业务的不间断运行。
HillStone 的SA 系列产品能够支持多种HA 解决方案,包括A-A 和A-P 。HillStone 的HA 解决方案能够为网络提供Session 级别的同步,其中包括VPN 的SA 同步,能够保证网络的持久畅通,提高客户满意度,为电信网络提供更可靠更经济的网络安全解决方案。
静态和动态黑名单
Hillstone 防火墙允许用户自定义黑名单列表,将禁止访问的域名、IP 地址或网段添加后,防火墙将阻断基于这些源和目的的访问。同时,Hillstone 还支持动态黑名单,当指定的计数达到设定阀值时会将对象自动添加到黑名单列表中并持续自定义时间。如,当某一IP 单位时间内连续ping 防火墙超过N 次,则将该IP 自动添加到动态黑名单予以阻断,黑名单持续M 分钟。
DHCP
支持DHCP Relay
Hillstone 防火墙不但可以作为DHCP 的客户端,同时也可以作为DHCP Relay。可以把DHCP Server与DHCP Client放在防火墙的不同端口之下,这样可以有效保护DHCP Server同时便于用户网络的部署。
支持DHCP Server
Hillstone 防火墙本身同样可以作为DHCP Server , 防火墙可以为网络中计算机动态的分配IP 地址,从而为企业的网络建设节约投资,同时方便网络的应用和
IP 地址的管理。
支持DHCP Client
用户如果通过城域网、小区宽带等方式接入Internet 时,其IP 地址为动态分配的。这时候安装防火墙的时候,需要防火墙支持动态IP 才能对数据包进行访问控制。Hillstone 防火墙支持动态IP ,其接口可以动态的获得IP 地址,方便灵活的接入用户的网络环境。
支持PPPoE 拨号
目前国内越来越多的企业通过ADSL 接入Internet ,而ADSL 需要拨号以后才能获得IP 地址。这时如果要安装防火墙需要防火墙必须支持PPPoE 协议,否则无法完成拨号过程,无法接入网络。Hillstone 防火墙支持PPPoE 协议,通过在防火墙上输入用户名和口令后便可以ADSL 接入,可以通过ADSL 获得动态IP 地址进行地址转换、VPN 等操作。
802.3ad 链路汇聚
Hillstone 防火墙支持标准的802.3ad 链路汇聚技术,通过合并相同速率端口, 在获得更高带宽的同时也提供了更高的链路冗余稳定性。
支持VLAN
Hillstone 防火墙能够支持802.1Q 封装协议,也就是说可以把防火墙架设在划分VLAN 的交换机与交换机或交换机与路由器之间。当使用802.1Q 协议时,防火墙还能够利用代理路由功能代替路由器实现VLAN 间的数据包转发,这样可以使系统具有更好的性能;每一个VLAN 在防火墙的配置中将出现一个虚拟接口,这样可以与物理存在的网卡一样进行具体的过滤并控制带宽,从而具有更高的安全性和配置灵活性。
支持VLAN 间路由
支持VLAN 的Trunk(802.1q)
支持VLAN 的透明穿透
IP 地址和MAC 地址绑定
在内部网络的应用中,经常会遇到内部网络用户擅自修改IP 地址,以获取一个合法IP 地址来进行相应的网络应用,这样会使内部网络在地址资源的分配和使用上出现混乱,大大影响内部网络的正常运行。更有甚者使用他人的地址在网上发布非法信息、攻击他人主机、破坏网络安全,其影响将更为严重。而且,在网络事故发生以后,地址追寻的难度很大。
为了防止这种地址盗用,Hillstone 防火墙提供了IP 与MAC 地址绑定的功能。IP 地址与MAC 地址绑定规定某一IP 只对应于某一特定的网卡(每个网卡具有唯一的MAC 地址) ,即限定一个IP 地址只能在一台指定的机器上使用。当某台机器通过防火墙访问Internet 时,防火墙要检查其发出的数据中的IP 以及MAC 是否与防火墙上的规定相符,如果相符就放行。否则不允许通过防火墙,这样可大大方便了网络的IP 地址管理。
支持端口镜像
为了遵从行业法案,Hillstone 防火墙提供端口镜像功能,它把指定端口的资料包复制到监控端口。允许用户自行设置一个监视管理端口来监视被监视端口的资料。监视到的资料可以方便的存储到服务器,同时用户把监视到的资料进行分析就可以知道被监视端口情况,从而进行网络检测、监控和故障排除。
基于策略的路由(PBR )
Hillstone 防火墙可以基于不同的策略定义不同的路由。根据源地址、服务等定义不同的路由即可同时连接多个ISP ,应用在多个出口的环境。
支持动态路由
动态路由是网络中的路由器之间相互通信、传递路由信息、利用收到的路由信息更新路由器表的过程。它能实时地适应网络结构的变化。如果路由更新信息表明发生了网络变化,路由选择软件就会重新计算路由,并发出新的路由更新信息。这些信息通过各个网络,引起各路由器重新启动其路由算法,并更新各自的路由表以动态地反映网络拓扑变化。
路由器之间的路由信息交换是基于路由协议实现的。Hillstone 支持多种动态路由协议,包括RIP(RIPV1、RIPV2) 协议和OSPF 协议。
Application Layer Gateway
Hillstone 提供Application Layer Gateway(ALG )功能。在严格的NAT 环境下以及严格的全状态检测策略环境下,Hillstone 仍然能够处理转发一些特殊的应用程序,比如Port 模式的FTP 、H.323和SIP 。这些应用程序一般情况下是和NAT 和状态检测机制相违背的,没有ALG 的情况下这些特殊的应用程序会出现通讯问题。
TCP 重组和代理
网络上数据是按照封包格式进行转发的,但是ALG 和IDP 等模块需要一个完整的、连续的数据块进行分析。这时就需要TCP 重组和代理来提供一个有序的、连续的数据内容。利用TCP 重组和代理功能Hillstone 支持对一些特殊的TCP 应用进行转发,例如FTP Port 模式和H.323等。TCP 重组和转发是进行应用层处理的关键。
VOIP 安全
H.323
Hillstone 防火墙支持H.323协议,从而保证了音频信息、视频信息穿越防火墙,使网络中的音频应用、视频应用(例如:IP 电话、多媒体会议、Netmeeting 等)顺利完成。通过带宽管理设置重要的音频或者视频优先通过防火墙,进行QoS/CoS的保证。
SIP
SIP (Session Initiation Protocol,会话发起协议)是由IETF (Internet 工程任务组)提出的IP 电话信令协议,是未来音频、视频信息所用的一个标准协议。Hillstone 防火墙支持SIP 协议,保证用户未来的音频应用、视频应用的顺利完成。同H.323一样,通过设置规则保证SIP 应用的安全性和带宽的合理分配。
关键字过滤
Hillstone 防火墙可以对内部人员上网内容进行监测,通过URL 过滤、Mail 过滤和关键字过滤可以控制内部人员上网的内容,从而避免内部员工访问一些色
情、暴力、反动的主页或站点中的某些目录或文件。同时可以避免内部人员访问含有恶意代码网页,避免网页木马、网页病毒对网络的侵害。除了内容过滤以外,还可以对Java 和ActiveX 控件进行阻断,以保障客户端的访问安全。
提供CoS/QoS(服务级别/服务质量)服务
流量优先级策略
策略可根据0-7的优先级分配带宽。优先级策略经常适合非突发式、对传输时间敏感的小流量,例如Telnet 。
基于物理接口的速率限制
利用物理接口总速率限制可以在一个物理接口上,限制接口发送报文(包括紧急报文)的总速率。
P2P 流量控制
Hillstone 能够根据应用层的流量特征,识别多种P2P 流量,如BT 、Thunder 迅雷、eMule 、eDonkey 等,并可对识别的这些流量进行带宽限制,避免大量的P2P 传输影响网络效能。
会话数限制
Hillstone 可以对IP 地址进行会话数限制,这样既可以防止内部计算机感染病毒后的大范围传播,又能有效的控制未知或加密P2P 的下载流量。
VPN
Hillstone 防火墙中整合了一个全功能VPN 解决方案,它们支持站点到站点VPN 应用。在网络之间进行安全通讯,支持工业标准的IPSec 。
VPN ,基于路由的VPN ,SSL VPN; 兼容性:通过测试,与其他通过IPSec 认证的厂商设备兼容; 密钥交换算法:支持自动IKE 和手工密钥交换; 硬件加速加密:支持DES ,3DES 和AES 加密算法; 完整性检测:SHA-1和MD5;
PreShare Key和PKI X.509; 网络结构:同时支持网状式(Mesh )和集中星型(Hub_and_Spoke)VPN 网络
拓扑结构; :NAT 穿越;
VPN 隧道传输Internet 流量,分支可以通过VPN 隧道进入总部上Internet ; :支持VLAN 子网重叠;
动态DNS (DDNS ):接口支持DDNS ,可以支持自动地址更新;
Hillstone 安全产品的VPN 通道数最高可达30,000个。