【IT168 专稿】在企业用户的网络中，通过Hillstone SA-2010产品的应用，从处理能力、扩展能力、安全功能、冗余性和应用的便利性等方面综合为用户考虑，提供了强大的网络吞吐能力、众多的安全功能以及完备的冗余备份机制，能够充分满足企业用户对网络安全性、稳定性和高性能的需求。

    1、通过Hillstone产品提供高性能的安全管控功能

    由于防火墙部署在企业网络的关键位置，扼守着所有数据流量的安全控制，因此对防火墙的转发性能以及吞吐要求都比较高。随着企业发展，关键业务的网络带宽在不断增大。其中随着Internet接入费用的降低，Internet接入带宽从原来的几十Kbps增长到几十Mbps甚至上百Mbps、上千Mbps。在内网关键业务区，如核心服务器区、生产网络区，这些业务区也都实现了千兆互联。因此，在如此大带宽的网络链路上需要部署同样大吞吐的防火墙安全网关，才能保证防火墙不会成为链路中的瓶颈节点。大吞吐的防火墙会显著降低整个网络延迟，有效提高企业生产效率。

    Hillstone能够为企业用户提供高性能高吞吐的安全网关。Hillstone SA-2010产品能够提供从150Mbps到8Gbps的全系列网络安全网关，能够满足企业用户在不同网络环境下的各种业务需求。同时Hillstone SA-2010产品采用创新的64位多核处理器，每秒能够提供最高达20万的Full TCP会话请求能力。对那些网络吞吐巨大、应用环境复杂、具有大量突发流量的企业来说，Hillstone SA-2010产品能够为其带来最优秀的网络体验及最优的性价比。

    2、通过Hillstone 产品提供高效的防攻击能力

    随着网络安全技术的普及和发展，越来越多地人能够很方便的利用Internet上的免费工具进行准网络攻击和真正的网络攻击。和以往不同，越来越多的黑客将目标锁定在了企业网络上，而他们的攻击目的由最初的好奇心理变成了攫取更大的经济利益。由于受经济利益的驱使，针对企业网络的攻击强度和持久性是前所未有的，由此对企业带来了巨大的经济损失。

    Hillstone产品能够提供全面地防攻击能力，能够针对DoS/DDoS和常见攻击进行有效阻断，同时还能够针对零日攻击进行及时的判断和阻断，有效保护企业用户的网络安全不受侵害。同时，Hillstone 产品强大的应用层检测能力以及应用层处理性能为分析和阻挡各类攻击提供了强大的支持。

    Hillstone针对这些攻击的防护手段包括：

    Syn-proxy

    Syn-cookie

    Syn-filter

    Udp-filter

    Icmp-filter

    特征库，包括Winnuke、Smurf/Fraggle、Land、IP Option、IP Fragment等

    每IP会话控制

    每IP流量控制

    专利的ARP攻击防护功能，能够彻底解决内网ARP欺骗问题

    3、通过Hillstone产品提供高性能的应用层管控能力

    内容过滤：在高速信息交换的Internet上，海量的信息被不断的发布和浏览。对于企业用户来说，很多内容是不允许员工利用企业网络来访问的，如非法内容、可能传播公司机密的网站或竞争信息等。Hillstone SA-2010产品具有URL地址过滤功能，能够通过设立黑名单和关键字来过滤掉敏感的URL地址，防止潜在的责任问题。

    带宽及会话管理：Hillstone提供专有的智能应用识别(Intelligent Application Identification)功能，称为IAI。IAI能够对百余种网络应用进行分类，甚至包括对加密的P2P应用（Bit Torrent、迅雷、Emule、Edonkey等）和即时消息流量进行分类。Hillstone QoS首先根据流量的应用类型对流量进行识别和标记。然后，根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是：用户可以为关键的ERP和OA流量设置高优先级保证它们的带宽使用；对于网页浏览和P2P下载流量，用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。

    将Hillstone的行为控制以及IP QoS结合使用，用户可以很容易地为关键用户控制流量并区分流量优先级。Hillstone设备最多可支持20,000个不同IP地址的流量优先级区分和带宽控制（入方向和出方向），这就相当于系统中可容纳最多40,000的QoS队列。

    结合应用QoS，Hillstone设备可提供另一层的流量控制。Hillstone设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如，对于同一个IP地址产生的不同流量，用户可以基于应用分类结果指定流量的优先级。

    除了高峰时间，用户经常会发现他们的网络带宽并没有被充分利用。Hillstone的弹性QoS功能（FlexQoS）能够实时探测网络的出入带宽的利用率，进而动态调整特定用户的带宽。弹性QoS（FlexQoS）既能为用户充分利用带宽资源提供极大的灵活性，又能保证高峰时段的网络使用性能。

    强大的应用层管理性能：安全和速度始终是两个对立面的事物。追求更高的网络安全是需要以牺牲网络通讯速度为代价的，而追求更高的网络通讯速度则需要降低网络安全标准。在目前依赖于网络应用的时代，能够做到应用层的安全检测以及安全防护功能是所有安全厂商的目标。由于应用层的检测需要进行深度的数据包解析，而使用传统网络平台所带来的网络延迟将是不可接受的。好的安全功能同样需要好的硬件平台去实现。Hillstone SA-2010安全网关采用创新的64位多核处理器以及高达48G的交换总线，能够避免纯ASIC和NP安全系统会话可管理能力和流量控制能力弱的弊病，并能够提供完美的应用层处理能力。

    4、通过Hillstone产品提供冗余备份的网络架构

    依靠积累多年被证实的专业硬件安全产品研发和市场经验，Hillstone新一代网络安全产品无论在软件还是硬件的稳定性和可靠性上都有了进一步提高。全面优化的软硬件系统的稳定性和高可靠性为网络流量和网络攻击日益膨胀的企业IT环境提供了强大的保障。Hillstone产品能在最大程度上确保了企业关键业务的不间断运行。

    Hillstone SA-2010产品能够支持设备级别的HA解决方案，如A-P架构。Hillstone的HA解决方案能够为网络层提供会话级别的状态同步机制，保证在设备切换过程中数据传输的连续性，及网络的持久畅通，为企业提供完备的网络冗余解决方案。Hillstone设备甚至还能够提供VPN传输的状态同步，其中包括SA状态同步。

    5、通过Hillstone产品提供简单易用的VPN解决方案

    Hillstone的VPN解决方案可以支持IPSec和SSL两种方式。Hillstone的VPN技术结合了两者的优点，在通过IP层面的连接充分保障应用兼容的同时，也提供了细粒度的访问控制。

    Hillstone的IPSec VPN支持点对点和星型连接拓扑，可以使用基于策略或者路由的方式来实现远程办公室之间的互联。移动用户可以通过Hillstone的SSL VPN接入分支机构或者总部的内网。Hillstone的SSL VPN无需预先安装和配置客户端，所有的安装和升级都可以在远程接入时自动完成，把IT部门的负担减少到最低，同时集成了基于SSL的用户认证机制。Hillstone的SSL VPN和IPSec VPN都可以是基于路由的，这样可以保证用户的全网访问；同时，通过配置Hillstone的VPN接入网关，可以对用户接入和内网访问实现细粒度的访问控制，保障某些特定的网络资源只能被授权的用户访问。 
 

    Hillstone IPSec VPN 支持：
    IPSec性能高达8Gbps，多达30000条隧道
    标准的技术使Hillstone IPSec VPN能和国际VPN厂商互通
    全面的加密算法支持，包括AES256、Diffie-Hellman Group 5
    预共享密钥和PKI支持
    基于路由的VPN和基于策略的VPN支持
    VPN星形部署
    对端失连检测 (DPD) 支持

    NAT穿越支持
    支持静态IP对端、动态IP对端、拨号VPN对端
    支持VPN上的QoS
    支持防重放(Anti-Replay)功能
    支持响应方设置commit位(responder-set-commit)功能
    支持VPN上的应用控制
    支持VPN上的路由协议
    支持SCB2国密算法并集成入IKE

    Hillstone SSL VPN 支持：
    基于IP层面的接入，兼容所有基于IP的应用
    私有IP地址分配
    内网的DNS和WINS服务器，提供内部域名解析
    多种加密算法
    自动配置路由
    多个用户域，每个域可以使用自己的认证服务器
    通过本地用户数据库、微软的Active Directory、LDAP、RADIUS，或通过USB证书，或两者的组合实现身份认证

    基于用户身份的访问控制可以提供细粒度的访问控制。这种用户身份可以是用户名、部门的组合
    多SSL VPN接入通道提供更高的安全性
    在客户端和接入网关处的多重访问记录
    用户管理

    6、Hillstone企业用户网络安全解决方案示意图