Hillstone广电网络安全解决方案

HillstoneHillstone 山石网科广电网多链路出口安全山石网科广电网多链路出口安全 解决方案解决方案 应用应用 HillstoneHillstone 山石网科助力广电山石网科助力广电 网多链路负载均衡网多链路负载均衡 安全管理解决方案安全管理解决方案 山石网科通信技术山石网科通信技术 北京北京 有限公司有限公司 20102010 年年 4 4 月月 前言前言 Hillstone 山石网科 Networks Inc 山石网科 创建于 2006 年 是网络安全领域的代表企业之一 公司总部位于中国北京 并在美 国硅谷设有研发中心 Hillstone 山石网科山石网科积累了多年网 络安全产品研发和市场运作经验 专注于信息安全 是专业的新一 代安全网络设备提供商 目前 Hillstone 山石网科山石网科拥有员工 150 余人 其中博 士 硕士占 30 以上 公司创始人均是国际安全业界的专家 包括 Netscreen 早期创始团队成员 公司的核心团队由来自 NetScreen Cisco Juniper Fortinet 和 H3C 等中外著名企业的 精英组成 具备先进的技术经验和丰富的企业管理经验 公司设有 系统架构部 系统运营部 软件系统部 市场部 渠道销售部 售 前售后技术部等部门 并且已经通过投资 控股和合作等形式 在 亚太区形成了良性发展的产业和营销体系 自成立以来 Hillstone 山石网科山石网科就以 贴近市场 贴 近客户 快速把握并满足客户需求 为己任 用产品和方案来帮助 客户获得网络安全 从而实现自身的企业价值 Hillstone 山石网 科山石网科凭借其独特的服务精神和强大的技术实力 以国际一流 的技术打造适合中国本土化应用需求的高性能产品 并提供高性价 比的新一代网络安全整体解决方案 服务于中国高速发展的网络市 场 作为产业链中至关重要的一环 Hillstone 山石网科山石网科 勇于创新 公司的 SA 系列安全网关和 SR 系列安全路由器产品 已 经为网络安全领域树立了新的安全网络产品质量水平标杆 在国内 各大中小型企业及各高校中拥有了广大的客户群体 并赢得了用户 的高度肯定 在网络时代的今天 Hillstone 山石网科山石网科愿与所有客户 合作伙伴一起 在探索与实践中国网络安全稳健和谐发展的新长征 中 携手共赢 一 广电网出口网络现状描述一 广电网出口网络现状描述 1 项目背景项目背景 广电网 通常是各地有线电视网络公司 台 负责建设运营的 其职能类似于 ISP 可向政府 企业 网吧或普通用户提供宽带接 入 但广电自己没有独立的 Internet 接入出口 所以 广电会向电 信 网通等 ISP 租用带宽 而后再通过光纤或 HFC 网向用户提供宽 带接入服务 其职能类似于 2 级 ISP 通常情况下 为了保证互联 网访问的服务质量 缓解中国存在的南北两家 ISP 带来的互联互通 问题 广电采用同时租用多家 ISP 链路的办法以保障 INTERNET 链路 出口的稳定性和访问质量 通过分析 广电网络中通常存在如下问题 1 1 需要高性价比的多链路负载均衡解决方案 需要高性价比的多链路负载均衡解决方案 为了保证出口链路对互联网访问的质量 广电会同时租用多家 ISP 的链路以保障 INTERNET 链路出口的稳定性和访问质量 通常情 况下 广电至少租用电信和网通 2 大 ISP 的链路 部分地区会进一 步接入联通 铁通和教育网的链路 多链路的接入 扩充了带宽 但也给广电带来了新的挑战 各 种出口链路的流量负载分配的问题 选择 F5 等负载均衡厂商产品来 解决出口网络的均衡问题是一种方法 但该类设备的价格昂贵 处 理性能不理想 且安全性较低 所以 广电迫切需要一性价比更高 的多链路负载均衡的解决方案 2 2 日益增长的业务访问量给防火墙带来巨大压力 日益增长的业务访问量给防火墙带来巨大压力 广电网从建立之初就考虑到了安全问题 采用防火墙设备做为广 电网网络出口安全防护已经比较普遍 但广电网现有的防火墙部署 时间较早 一般都是采用传统的 X86 架构或 ASIC 架构 其网络性能 往往不能继续支撑日益增长的业务访问量 随着跨网应用的骤增 广电网网络环境基于 X86 或者 ASIC 的传统架构的防火墙会导致网络 传输延迟增大 部分的防火墙设备已成为整个网络传输的瓶颈之一 严重影响整个广电网出口的正常业务需求 为了满足网络持续发展 的需要 需要选择一款高性能 高吞吐 易于扩展性能和功能的防 火墙或者安全网关 3 3 DDOS DOSDDOS DOS 攻击抢占业务带宽攻击抢占业务带宽 随着攻击技术不断提高 作为 2 级 ISP 的广电网内外均承受着 巨大的攻击压力 在广电的提供的线路中 充斥了各种 DOS DDOS 的 攻击 在外网最常见的有 SYN flood UDP flood ICMP flood Winnuke Smurf Fraggle 畸形报文 报文分片攻击 IP 异常选项攻击 地址欺骗 地址扫描 端口扫描 在广电内网 同样存在各种 DDOS 攻击 例如 Arp 欺骗攻击 Mac 欺骗攻击 流量攫取 地址欺骗 地址扫描 端口扫描 传统的防火墙并不具备内 外网防攻击手段及能力 在面临大范 围病毒爆发或攻击发作的时候其可靠性和可用性都会大幅下降 其 严重时将导致设备宕机 甚至业务中断 4 4 新型应用带来的带宽管理问题 新型应用带来的带宽管理问题 随着网络技术的飞速发展 局域网 广域网及互联网之间的界限 逐渐消除 各种新型的网络应用不断涌现 如何有效利用现有带宽 资源为信息科技部门带来了更多挑战 要做到保障在网络上应用畅 通无阻的同时 使得实时性要求很高的应用具备更高的优先级 目 前广电网网络主要存在网络使用效率低的问题 主要表现在 广电网的用户 上网 的体验效果不好 网络出口带宽年年升级 但仍然不能满足用户日益增长的需求 很多广电网用户都长期面临带宽的烦恼 上网速度慢 用户的上 网体验效果差造成用户带宽拥塞的根本原因是出口带宽永远低于桌 面带宽需求量总和 但这并非意味着只有通过提升带宽才能够提升 用户体验效果 大多数上网用户体验效果不好主要原因是因为 Web 网页打开慢 网上视频 语音质量差 网络游戏延迟大等问题造成 的 而这些应用的带宽却被 P2P 软件产生的流量占用 而网上视频 语音 网络游戏等应用的实时性要求比 P2P 软件实时性要求高得多 所以 要提升用户上网体验 最好的办法是给实时性要求高的应用 保留合理的带宽 这样既能够保障上网用户的体验效果 让网络带 宽资源的利用率合理化 最大化 无法实时地 直观地了解每个用户网络以及应用在带宽上的 分配 出口的整体带宽几乎跑满了 但到底是那个用户使用的最多 那 个服务使用的最多 管理人员直接地实时地了解和掌握这些信息 就无法诊断网络存在的问题 因此 网络的使用情况对管理人员是 未知的 如何使这个未知的网络使用情况变成透明的 也是网络管 理者关心的问题 5 5 病毒防护能力差 病毒防护能力差 病毒防护对于每个用户来说都不陌生 并且也基本都在这一领域 或多或少的投入了精力 但是最终效果却都不是很理想 目前用户 对于病毒的防护都是采用主机防护的方式 防病毒程序及病毒库都 运行在主机端 而主机端在作病毒防护的同时 其本机安全却存在 极大的安全隐患甚至存在极大的漏洞 这对于整体的病毒防护效果 来说无疑是非常尴尬的 病毒的传播及发作都有其特定的周期性和规律性 在同一时期常 常是同一类型的病毒大规模发作 而对于一些性能比较差的主机在 进行类似病毒查杀的时候往往出现机器响应慢 操作延迟大甚至死 机的情况 根本无法进行正常的病毒查杀工作 这个时候如果能够 在网络层面对这些同一类型的病毒进行统一查杀的话 效果将是最 优的 6 6 对于应用无法有效管控 对于应用无法有效管控 网络中所有的网络通讯都是基于应用的 而目前 Internet 上的 应用以几何倍数在增长 每天都有大量新应用出现 如何有效管控 这些网络应用是广电网用户急需解决的问题 内容过滤 企业的网络资源是用来作业务支撑和业务拓展使用的 而使用这些资源的过程中必须进行内容的控制以避免相关的法律等 问题 网页 URL 和网页内容的关键字过滤能为用户解决相关问题 会话管理 企业内部每个 IP 地址都会对网络资源创建一定数量的会 话连接 合理的会话连接是企业所允许的 但过大的会话连接同样是对企 业资源的一种滥用 同样需要进行有效管控 7 7 网络需要更好的冗余备份机制 网络需要更好的冗余备份机制 广电网的多出口在整个网络中扮演着至关重要的角色 广电网络 内部用户依托于多出口链路才能更好地与互联网做到充分连接 为 了维护出口的持久稳定 广电采用了多链路接入 多出口 的解决 方案 冗余技术是解决网络单点故障 维护网络持续稳定性的最有 效解决方案 广电网网络建设需要充分考虑冗余技术的应用 尤其 是网络关键节点 如网络接入端 网络核心层等等 8 8 更简单实用的 更简单实用的 VPNVPN VPN Virtual Private Networks 在互联网应用中极为广泛 他 是企业和政府安全扩展远程应用的有效解决方案 随着企业规模的 扩大及业务发展的需要 各分支机构之间 移动办公员工和公司之 间以及合作伙伴和公司之间的 VPN 加密远程数据传输是广电网解决 远程传输数据的私密性 安全性和降低费用的有效办法 而如何简 单 方便快捷的维护某个企业的 VPN 以及降低企业 VPN 的维护成本 是广电网用户同样需要考虑的 IPSec VPN 分支机构之间需要部署站点到站点的 IPSec VPN 采用网状架构或者星形架构 合作伙伴和公司之间需要部署站点到 站点的 IPSec VPN SSL VPN 考虑到 IT 维护成本 远程移动办公员工和公司之间部 署 SSL VPN 能够快速 便捷的进行 VPN 互联访问 冗余 VPN 很多用户在总部都会部署多条 Internet 链路 一方面能 够提供更快的上网速度 另一方面能够为远程站点提供多条冗余的 VPN 接入 能够在多条 VPN 链路之间冗余切换 以大大提高 VPN 接 入的可靠性 灵活的网络实时监控工具 在一个复杂的网络环境中 有多少 IPSec VPN 连接 有多少 SSL VPN 连接 有多少攻击等等都是网络管理员非常关心的问题 也是 他们进行合理的网络规划以及有效的网络管理的可靠依据 甚至在 某些极端环境下 网络管理员还非常想定位网络中哪些 IP 地址占用 了大部分带宽 哪些应用占用了挤占了企业关键应用等等 所有的 这些需求都建立在灵活的网络实时监控基础上 用户需要能够实时 监控到网络中的一举一动 这对于一个企业的网络管理水平是至关 重要的一环 二 二 HillstoneHillstone 山石网科广电网多链路安全方案山石网科广电网多链路安全方案 1 1 网络安全设计的基本原则网络安全设计的基本原则 1 11 1 技术先进性和实用性原则技术先进性和实用性原则 网络安全方案中采用的技术 需要具有一定的前瞻性 符合一定时 期内网络安全技术发展的趋势 并在今后一定的时期内处于领先地 位 网络安全系统设计须遵循先进性和成熟性 由于 IT 行业的技术 更新换代很快 为了保证网络能够满足今后一段时间内应用的发展 在选择网络安全技术和设备时不仅要考虑成熟性 也要考虑技术的 先进性 同时需要综合考虑接入业务的特点等多方面的因素 一种 新技术在刚出现时往往伴随着不稳定和不确定因素 需要有一个发 展 逐步完善和实践检验的过程 经常有一些技术在刚出现时被宣 传和评价很高 但在一 段时间后发现存在很多问题 甚至很快退出市场 用户采用了 这种技术 往往会因为设备厂商转产停产等问题 无法对网络扩展 升级 最终造成前期投资的浪费 同时 一种基于新技术的产品在刚上市时价格会较高 所以选 择使用一种新的技术的最佳时机应该是在这种技术在市场上已经得 到较为广泛的应用 并且在使用中得到肯定之后 虽然这时的技术 可能已经不是最新的技术 但技术已经成熟 设备的性能价格比更 高 所以选择网络技术和设备时 可以采用先进性和实用性相结合 的办法 并找出其中的平衡点 1 21 2 高可靠性原则高可靠性原则 由于网络对数据传输的实时性的要求 对网络的传输环节要求 很高 因而要求选用的网络安全设备具有相当高的可靠性 要达到 电信级标准 具备 99 999 的可用性 建设一个运行稳定可靠的现 代化网络系统 网络中任何一台安全设备或任何一条安全设备上的 线路发生故障都不会导致通过该安全设备互联的两个网络无法通讯 所以 网络建设中选用网络设备和安全设备应能够保证在不影响网 络正常运行的情况下完成对网络故障的检测和排除 1 31 3 易于扩展和升级的原则易于扩展和升级的原则 网络及数据通信技术发展速度快 新的设备不断面世 新业务 也将逐步运行在新的数据网上 用户对带宽的需求必将增长 需要 将网络系统扩容 因此在网络设计时应充分考虑将来网络的扩容和 升级问题 随着企业的发展扩大 网络的系统性能的需要将不断提高 网 络的规模也会不断扩展 而隔离网络的安全设备也同样需要扩容和 升级 所以在设计网络时 要充分考虑到网络安全设备的可扩展性 为了保护用户的投资 设计应保证至少若干年内网络的升级和扩展 不需要更换主要网络安全设备 只通过增加一些模块就可以很好地 支撑网络性能和规模的扩展 满足今后几年业务发展的需要 1 41 4 管理和维护的方便性管理和维护的方便性 网络系统中的所有安全设备均应是可管理的 支持远程监控以 及对故障的诊断和恢复 可通过网管软件方便地监控网络运行的实 时情况 对出现的问题及时处理和解决 2 网络方案设计网络方案设计 2 1 广电多链路安全解决方案示意图广电多链路安全解决方案示意图 2 22 2 广电多链路安全方案描述广电多链路安全方案描述 综上所述 结合网络方案设计原则 通过分析广电网整个网络 中的问题 为了解决广电网络出口存在的众多问题 我们建议采用 Hillstone 山石网科公司产品来实现我们的解决方案 Hillstone 山石网科 SA 安全网关 采用创新的多核处理器 和新一代的 ASIC 技术 结合其专为安全设计的 StoneOS 操作系统 从处理能力 扩展能力 安全功能 冗余性和应用的便利性等方面 综合为用户考虑 提供了强大的网络吞吐能力 众多的安全功能以 及完备的冗余备份机制 能够充分满足用户对网络安全性 稳定性 和高性能的需求 1 1 通过 通过 HillstoneHillstone 山石网科产品提供多链路负载均衡功能山石网科产品提供多链路负载均衡功能 Hillstone 山石网科 SA 安全网关支持 Outbound 流量的负载均衡 如图所示 在广电网出口 广电同时接入了多家 ISP 的链路 我们 需要一个高性价比的 Outbound 流量的负载均衡解决方案 传统的负 载均衡产品供应商 如 F5 其产品采用的是 X86 技术 价格昂贵 性能较差 且扩展能力低 Hillstone 山石网科 SA 系列产品支持多链路 Outbound 流量的负 载均衡 并可针对每条链路建立全路径健康检查 从而实现链路监 控和智能切换 保障出口链路的稳定性 而且 设备内置了 ISP 路 由信息 可方便我们实现电信或网络路由的快速接入 加快内部用 户的访问速度 Hillstone 山石网科 SA 系列产品能够提供从 150Mbps 到 20Gbps 的全系列网络安全网关产品 能够满足广电网用户在不同网络环境 下的各种业务需求 同时 Hillstone 山石网科 SA 系列产品采用创新 的 64 位多核处理器 每秒能够提供最高达 20 万的 Full TCP 会话请 求能力 对网络流量巨大 应用环境复杂 具有大量突发流量的网 络来说 Hillstone 山石网科 SA 系列产品能够为其带来最优秀的网 络体验及最优的性价比 2 2 通过 通过 HillstoneHillstone 山石网科产品提供高效的外网攻击防护能力山石网科产品提供高效的外网攻击防护能力 随着网络安全技术的普及和发展 越来越多的人能够很方便的利 用 Internet 上的免费工具进行准网络攻击和真正的网络攻击 同时 考虑到境外敌对势力与恐怖组织对广电网相关信息 通信与调度系 统的攻击 甚至要考虑战争与灾害的威胁 方案中 部署在广电网 Internet 出口处的 SA 安全网关将为广电阻止外部攻击提供有力帮 助 Hillstone 山石网科产品能够提供全面地防攻击能力 能够针对 DoS DDoS 和常见攻击进行有效阻断 同时还能够针对零日攻击 即 利用刚发现的漏洞进行攻击 进行及时的判断和阻断 有效保护广 电网企业用户的网络安全不受侵害 同时 Hillstone 山石网科产 品强大的应用层检测能力以及应用层处理性能为分析和阻挡各类攻 击提供了强大的支持 Hillstone 山石网科针对这些攻击的防护手段包括 Syn proxy Syn cookie Syn filter Udp filter Icmp filter 特征库 包括 Winnuke Smurf Fraggle Land IP Option IP Fragment 等 每 IP 会话控制 每 IP 流量控制 具有专利的 ARP 攻击防护功能 能够彻底解决内网 ARP 欺骗问 3 3 通过 通过 HillstoneHillstone 山石网科产品提供实用的内网攻击防护功能山石网科产品提供实用的内网攻击防护功能 据权威机构对信息安全事件的统计 大多数网络安全攻击来自 于内部 其中大部分事件都是跟 ARP 有关的 导致这种现象发生的 原因是大部分网络的安全策略都是用以防范外部威胁的 在安全设 计时忽视了网络的内部安全 或以内部网络具有固有的高安全性为 前提 而这个前提与实际情况恰恰相反 没有足够的内部威胁防护 网络极易受到 ARP 病毒 ARP 地址欺骗 ARP 攻击和其它攻击 从而 造成网络不稳定的情况频频发生 网络反应迟钝 降低了网络管理 员的工作效率 也使得内网用户的上网体验效果降低 针对来自内 部的这些攻击 应采取适当的方法来进行控制和防御 Hillstone 山石网科 SA 系列安全网关提供了多种机制来抵御这些来自内部的攻 击 独创的 ARP 防护技术 提供了客户端与网关之间的 ARP 加密 验证 IP 地址与 MAC 地址静态绑定 MAC 地址与端口静态绑定 开启 关闭 ARP 学习功能 开启 关闭 MAC 学习功能 每 MAC 的 IP 地址数限制 自动发送免费 ARP 包 为主机代发免费 ARP 包 ARP 反向查询 端口隔离 ARP 检查 通过以上措施 可以对来自内网的攻击很好做到防御控制 实 现了内网的安全 这些具体表现在 内网抗攻击 基于接口 ZONE 的抗攻击功能 可对来自内网的病毒 木马和攻击工 具产 生的恶意流量进行过滤 确保客户端正常访问网络资源 并且 保证网络的畅通 数据的快速交换 内网安全管理 强大的会话控制功能可对内网 IP 的会话数 主动发起会话数 被动连接会话数及每秒新建会话数进行控制 有效控制内网的 大量 P2P 下载或发起攻击等行为 内网安全分析 日志系统对网络中存在的 MAC 地址冲突 内网攻击等信息记录 日志 对 ARP 欺骗攻击等的发生情况进行统计 并以报表形式 表达给管理员 以便集中处理网络中威胁最大的客户端主机 Hillstone 山石网科产品能够提供很好的内网攻击防护功能 结合来自网络外部的攻击防护功能 能全面杜绝广电内部网络的 ARP DDoS 攻击和外部非可信网络的攻击 全面 高效 安全的保 护用户的网络 还用户一个安全 干净 舒适的信息环境 4 4 通过 通过 HillstoneHillstone 山石网科产品提供灵活高效的带宽管理山石网科产品提供灵活高效的带宽管理 Hillstone 山石网科产品提供专有的智能应用识别 Intelligent Application Identification 功能 称为 IAI IAI 能够对百余种网络应用进行分类 甚至包括对加密的 P2P 应用 Bit Torrent 迅雷 Emule Edonkey 等 和即时消息流量进行分类 Hillstone 山石网科 QoS 首先根据流量的应用类型对流量进行识别 和标记 然后 根据应用识别和标记结果对流量带宽进行控制并且 区分优先级 一个典型应用实例是 用户可以为关键的 ERP 和 OA 流 量设置高优先级保证它们的带宽使用 对于网页浏览和 P2P 下载流 量 用户可以为它们设置最低优先级并且限制它们的最大带宽使用 量 将 Hillstone 山石网科的行为控制以及 IP QoS 结合使用 用户 可以很容易地为关键用户控制流量并区分流量优先级 Hillstone 山石网科设备最多可支持 20 000 个不同 IP 地址的流量优先级区分 和带宽控制 入方向和出方向 这就相当于系统中可容纳最多 40 000 的 QoS 队列 结合应用 QoS Hillstone 山石网科设备可提供另一层的流量控 制 Hillstone 山石网科设备可以为每个用户控制应用流量并对该 用户的应用流量区分优先级 例如 对于同一个 IP 地址产生的不同 流量 用户可以基于应用分类结果指定流量的优先级 在 IP QoS 里 面使用应用 QoS 甚至可以对每个 IP 地址进行流量控制的同时 还 能够对该 IP 地址内部应用类型的流量进行有效管控 除了高峰时间 用户经常会发现他们的网络带宽并没有被充分 利用 Hillstone 山石网科的弹性 QoS 功能 FlexQoS 能够实时探 测网络的出入带宽利用率 进而动态调整特定用户的带宽 弹性 QoS FlexQoS 既能为用户充分利用带宽资源提供极大的灵活性 又能保证高峰时段的网络使用性能 总之 通过采取 Hillstone 山石网科产品所集成的带宽管理功 能 可以在用户网络中做到关键应用优先 领导信息流量优先 非 业务应用限速或禁用 VoIP 视频应用保证时延低 无抖动 音质 清晰 图片清楚 这些有效管理带宽资源和区分网络应用的效果都 能给用户带来更高效 更灵活 更合理的带宽应用 使得昂贵的带 宽能获取最高的效益和高附加值应用 5 5 通过 通过 HillstoneHillstone 山石网科产品提供快速高效的病毒防护功能山石网科产品提供快速高效的病毒防护功能 随着网络应用的不断发展 越来越多的木马入侵 病毒等攻击 通过网络进行实施及传播 病毒传播的范围广 速度快 对网络用 户造成了难以估量的损害 在用户网络中 由于内部网络与互联网 不可避免的有联系 联系业务众多 因此 在应用中难免存在木马 病毒及恶意程序等泛滥传播的 为了解决病毒及恶意程序通过网络 的传播问题 很多安全厂家 发布了病毒防护网关 但是 前期相 关设备厂商都遇到了一个很大的技术难题 就是网关病毒防护会消 耗大量的网关设备资源 而对数据的转发及处理造成很大的延时 成为数据快速转发的瓶颈 降低网络使用效率 Hillstone 山石网科公司为了解决网络病毒传播及网关查杀毒 性能瓶颈的问题 提出了全新的第二代网关防毒设计理念 采用全 新多核处理器 ASIC 交换总线的硬件设计 结合基于并行流的杀毒 机制 为了提高病毒查杀的识别能力 整合了杀毒业内知名防毒公 司病毒库 最终实现了高性能的网关病毒防护功能 Hillstone 山 石网科产品的病毒防护功能主要有以下特性 基于 64 位多核处理器的设计架构 满足病毒防护对 CPU 和 内存资源的高需求 多核 CPU 及专业的 64 位专用安全系统 确保了 CPU 的高效性能输出 基于并行流扫描机制的杀毒引擎 充分发挥硬件优势 确保 病毒处理的高性能 先进的多核 CPU 并行处理方式 硬件数 据包重组 确保了高性能 基于流的多层压缩文件解压 确保对压缩文件中病毒的彻底 查杀 病毒库的实时自动升级 病毒库的自动实时更新 确保了最 短时间内 及时地响应对最新病毒的查杀需求 支持对 HTTP FTP POP3 SMTP 和 IMAP 协议杀毒 能够及 时发现多种常用协议传输数据中的病毒 进行有效的处理 中断传输会话 杀毒 日志记录等多种处理机制 对于发现 有病毒传播的数据流 可以设置多种处理方式 网关杀毒支持透明 路由 混合模式 可以满足各种网络环 境部署需要 整合成熟知名杀毒厂家病毒库及实时升级更新 确保了对病 毒的识别查杀能力 病毒防护功能开启时最大吞吐量达 1 68G 保证用户的主干链 路不会导致数据传输延时过大 可让用户放心使用 Hillstone 山石网科安全网关 Hillstone 山石网科采用流杀毒扫描技术的网关防病毒功能能 够提供高性能 高扩展性的防病毒解决方案 能满足用户网络现今 低延迟和低响应时间的应用需求 如果配合网络版防病毒系统一起 使用 能够为用户网络的病毒防护起到一个双保险的作用 效果更 为显著 6 6 通过 通过 HillstoneHillstone 山石网科产品提供高性能的应用层管控能力山石网科产品提供高性能的应用层管控能力 在高速信息交换的 Internet 上 海量的信息被不断的发布和浏 览 对于企业和政府用户来说 很多内容是不允许员工利用企业网 络来访问的 如非法内容 可能导致公司或政府机密信息泄露的网 站等 安全和速度始终是两个对立面的事物 追求更高的网络安全是 需要以牺牲网络通讯速度为代价的 而追求更高的网络通讯速度则 需要降低网络安全标准 在目前依赖于网络应用的时代 能够做到 应用层的安全检测以及安全防护功能是所有安全厂商的目标 由于 应用层的检测需要进行深度的数据包解析 而使用传统网络平台所 带来的网络延迟将是不可接受的 好的安全功能同样需要好的硬件 平台去实现 Hillstone 山石网科 SA 系列安全网关采用创新的 64 位多核处理 器以及高达 48G 的交换总线 能够避免纯 ASIC 和 NP 安全系统会话 可管理能力和流量控制能力弱的弊病 并能够提供完美的应用层处 理能力 Hillstone 山石网科 SA 系列产品具有丰富的应用层管控能 力 包括 URL 地址过滤功能 网页内容关键字过滤功能 网页敏感 文件过滤功能 网页控件过滤功能 协议命令控制功能等 能够通 过简单的配置来实现敏感的 URL 地址 敏感关键字以及敏感文件等 内容过滤 防止潜在的安全风险 7 7 通过 通过 HillstoneHillstone 山石网科产品提供冗余备份的网络架构山石网科产品提供冗余备份的网络架构 每个地市的广电 作为 2 级 ISP 都要为其内部的企业 政府或 个人等接入 INTERNET 提供服务 保障 Internet 出口链路的稳定性 意味着保障所有广电用户对互联网访问和互联网对这些广电用户访 问的稳定性 如解决方案示意图所示 我们在广电的出口处 安置 了 2 台 Hillstone 山石网科 SA 安全网关 2 台设 备被部署为 HA 架构 以保障广电 INTERNET 出口的高可靠性 Hillstone 山石网科 SA 系列产品能够支持设备级别的 HA 解决方 案 如 A P 和 A A 架构 Hillstone 山石网科的 HA 解决方案能够为 网络层提供会话级别的状态同步机制 保证在设备切换过程中数据 传输的连续性及网络的持久畅通 甚至在设备进行主备切换的时候 都不会中断会话 为企业提供真正意义的网络冗余解决方案 Hillstone 山石网科设备甚至还能够提供 VPN 传输的状态同步 其 中包括 SA 状态同步 8 8 通过 通过 HillstoneHillstone 山石网科产品提供管理人员的山石网科产品提供管理人员的 SSLSSL 安全解决安全解决 Hillstone 山石网科的 VPN 解决方案可以支持 IPSec 和 SSL 两 种方式 Hillstone 山石网科的 VPN 技术结合了两者的优点 在通 过 IP 层面的连接充分保障应用兼容的同时 也提供了细粒度的访问 控制 对于广电来说 主要目的是为了网管的管理