某公司網(wǎng)絡安全項目及項目解決方案

1、精品資料網(wǎng)（） 25萬份精華管理資料，2萬多集管理視頻講座 PAGE PAGE32精品資料網(wǎng)（）專業(yè)提供企管培訓資料某公司網(wǎng)絡安全項目解決方案目錄 TOC o 1-3 h z u HYPERLINK l _Toc186106583 第一章 某公司網(wǎng)絡概述 PAGEREF _Toc186106583 h 3 HYPERLINK l _Toc186106584 1.1 概述 PAGEREF _Toc186106584 h 3 HYPERLINK l _Toc186106585 1.2 項目建設目標 PAGEREF _Toc186106585 h 3 HYPERLINK l _Toc18610658

2、6 1.3 項目建設原則 PAGEREF _Toc186106586 h 4 HYPERLINK l _Toc186106587 1.4 項目建設說明 PAGEREF _Toc186106587 h 4 HYPERLINK l _Toc186106588 第二章 企業(yè)所面臨的網(wǎng)絡安全挑戰(zhàn)與風險分析 PAGEREF _Toc186106588 h 5 HYPERLINK l _Toc186106589 2.1 網(wǎng)絡層的安全分析 PAGEREF _Toc186106589 h 6 HYPERLINK l _Toc186106590 2.2 系統(tǒng)層的安全分析 PAGEREF _Toc18610659

3、0 h 6 HYPERLINK l _Toc186106591 2.3 應用層的安全分析 PAGEREF _Toc186106591 h 7 HYPERLINK l _Toc186106592 2.4 安全策略與安全管理的安全分析 PAGEREF _Toc186106592 h 7 HYPERLINK l _Toc186106593 第三章 企業(yè)所面臨的網(wǎng)絡應用優(yōu)化挑戰(zhàn) PAGEREF _Toc186106593 h 8 HYPERLINK l _Toc186106594 3.1企業(yè)風控 PAGEREF _Toc186106594 h 8 HYPERLINK l _Toc186106595 3

4、.2冗余/備份 PAGEREF _Toc186106595 h 8 HYPERLINK l _Toc186106596 3.3應用支持 PAGEREF _Toc186106596 h 8 HYPERLINK l _Toc186106597 3.4流量/IM控制 PAGEREF _Toc186106597 h 8 HYPERLINK l _Toc186106598 3.6配置/管理簡單 PAGEREF _Toc186106598 h 9 HYPERLINK l _Toc186106599 3.7穩(wěn)定性和兼容性 PAGEREF _Toc186106599 h 9 HYPERLINK l _Toc1

5、86106600 3.8報告功能 PAGEREF _Toc186106600 h 9 HYPERLINK l _Toc186106601 第四章 HillStone安全解決方案 PAGEREF _Toc186106601 h 9 HYPERLINK l _Toc186106602 第五章 HillStone功能介紹 PAGEREF _Toc186106602 h 10 HYPERLINK l _Toc186106603 4.1 狀態(tài)檢測 PAGEREF _Toc186106603 h 10 HYPERLINK l _Toc186106604 4.1.1 包過濾與狀態(tài)檢測 PAGEREF _To

6、c186106604 h 10 HYPERLINK l _Toc186106605 4.1.2 獨特的防火墻狀態(tài)監(jiān)測 PAGEREF _Toc186106605 h 12 HYPERLINK l _Toc186106606 4.1.3 HillStone的狀態(tài)會話表 PAGEREF _Toc186106606 h 12 HYPERLINK l _Toc186106607 4.1.3 會話失效時間 PAGEREF _Toc186106607 h 13 HYPERLINK l _Toc186106608 4.2 NAT與PAT PAGEREF _Toc186106608 h 13 HYPERLIN

7、K l _Toc186106609 4.2.1 動態(tài)NAT PAGEREF _Toc186106609 h 13 HYPERLINK l _Toc186106610 4.2.2 PAT PAGEREF _Toc186106610 h 14 HYPERLINK l _Toc186106611 4.2.3 靜態(tài)NAT PAGEREF _Toc186106611 h 15 HYPERLINK l _Toc186106612 4.2.4 靜態(tài)PAT PAGEREF _Toc186106612 h 15 HYPERLINK l _Toc186106613 4.2.5 防火墻策略與NAT、PAT PAGE

8、REF _Toc186106613 h 15 HYPERLINK l _Toc186106614 4.3流量控制 PAGEREF _Toc186106614 h 15 HYPERLINK l _Toc186106615 4.5 應用層網(wǎng)關 PAGEREF _Toc186106615 h 16 HYPERLINK l _Toc186106616 4.5.1 TCP重組和代理 PAGEREF _Toc186106616 h 16 HYPERLINK l _Toc186106617 4.5.2 VOIP安全 PAGEREF _Toc186106617 h 16 HYPERLINK l _Toc186

9、106618 4.5.3 關鍵字過濾 PAGEREF _Toc186106618 h 16 HYPERLINK l _Toc186106619 4.5.4 提供CoS/QoS（服務級別/服務質量）服務 PAGEREF _Toc186106619 h 16 HYPERLINK l _Toc186106620 4.7 標準、靈活的VPN PAGEREF _Toc186106620 h 17 HYPERLINK l _Toc186106621 4.7.1 VPN技術介紹 PAGEREF _Toc186106621 h 17 HYPERLINK l _Toc186106622 4.7.2 HillSt

10、one的PPTP L2TP PAGEREF _Toc186106622 h 19 HYPERLINK l _Toc186106623 4.7.3 IPSEC VPN的網(wǎng)關對網(wǎng)關模式 PAGEREF _Toc186106623 h 19 HYPERLINK l _Toc186106624 4.7.4 IPSEC VPN的移動客戶端對網(wǎng)關模式 PAGEREF _Toc186106624 h 19 HYPERLINK l _Toc186106625 4.7.5 部署方便的透明模式的VPN網(wǎng)關 PAGEREF _Toc186106625 h 20 HYPERLINK l _Toc186106626 4

11、.8 雙機備份HA PAGEREF _Toc186106626 h 21 HYPERLINK l _Toc186106627 4.8 日志與集中管理 PAGEREF _Toc186106627 h 21 HYPERLINK l _Toc186106628 4.8.1 多種日志方式 PAGEREF _Toc186106628 h 21 HYPERLINK l _Toc186106629 4.8.2 Syslog標準的日志分析軟件FortiReporter PAGEREF _Toc186106629 h 21 HYPERLINK l _Toc186106630 4.8.2 硬件的日志分析系統(tǒng)For

12、tiLog PAGEREF _Toc186106630 h 22 HYPERLINK l _Toc186106631 4.8.3 方便的管理體系 PAGEREF _Toc186106631 h 23 HYPERLINK l _Toc186106632 第五章 HillStone優(yōu)勢 PAGEREF _Toc186106632 h 23 HYPERLINK l _Toc186106633 5.1創(chuàng)新的新一代網(wǎng)絡安全架構 PAGEREF _Toc186106633 h 23 HYPERLINK l _Toc186106634 5.2強健的專用實時64位并行操作系統(tǒng) PAGEREF _Toc1861

13、06634 h 24 HYPERLINK l _Toc186106635 5.3高可靠性和穩(wěn)定性（High Reliability and Stability） PAGEREF _Toc186106635 h 25 HYPERLINK l _Toc186106636 5.4最低的總體擁有成本（Lowest TCO） PAGEREF _Toc186106636 h 25 HYPERLINK l _Toc186106637 5.5 Hillstone SA系列安全產(chǎn)品解決方案特點 PAGEREF _Toc186106637 h 26 HYPERLINK l _Toc186106638 5.6競爭優(yōu)

14、勢 PAGEREF _Toc186106638 h 26 HYPERLINK l _Toc186106639 第六章 安全產(chǎn)品技術性能指標 PAGEREF _Toc186106639 h 28 HYPERLINK l _Toc186106640 HillStone Network Security Appliance PAGEREF _Toc186106640 h 28 HYPERLINK l _Toc186106641 第七章 技術支持與售后服務 PAGEREF _Toc186106641 h 34第一章 某公司網(wǎng)絡概述1.1 概述1.2 項目建設說明網(wǎng)絡拓撲結構如下：第二章 企業(yè)所面臨的網(wǎng)

15、絡安全挑戰(zhàn)與風險分析從某公司網(wǎng)絡的實際情況來看，我們認為應該從以下幾個方面進行全面的分析：網(wǎng)絡層系統(tǒng)層應用層ARP策略和管理層下面將分別進行詳細的闡述。2.1 網(wǎng)絡層的安全分析網(wǎng)絡設備主要包括某公司網(wǎng)絡各節(jié)點上的路由器、交換機等設備，如： 路由器、交換機。網(wǎng)絡層不僅為某公司網(wǎng)絡提供連接通路和網(wǎng)絡數(shù)據(jù)交換的連接，而且是網(wǎng)絡入侵者進攻信息系統(tǒng)的渠道和通路。由于大型網(wǎng)絡系統(tǒng)內(nèi)運行的TCP/IP協(xié)議并非專為安全通訊而設計，所以網(wǎng)絡系統(tǒng)存在大量安全隱患和威脅。整個網(wǎng)絡就會受到來自網(wǎng)絡外部和內(nèi)部的雙重威脅。尤其在廣域網(wǎng)中存在著大量的黑客攻擊，他們常常針對web服務器和郵件服務器作為突破口，進行網(wǎng)絡攻擊和滲

16、透。常見得一些手法如下：IP欺騙、重放或重演、拒絕服務攻擊（SYN FLOOD，PING FLOOD等）、分布式拒絕服務攻擊、篡改、堆棧溢出等。黑客可以容易的在某公司網(wǎng)絡出口進出，對系統(tǒng)進行攻擊或非法訪問。而在某公司網(wǎng)絡內(nèi)部，基本上還沒有嚴格的防范措施，其中的安全隱患不言而喻。如果加上安全管理上的不夠完善等因素，或者在已有的服務器與單機中存在著后門程序（木馬程序）話，攻擊者就可以很容易地取得網(wǎng)絡管理員權限，從而進一步控制計算機系統(tǒng)，網(wǎng)絡中大量的數(shù)據(jù)就會被竊取和破壞。網(wǎng)絡中只要一個地方出現(xiàn)了安全問題，那么整個網(wǎng)絡都是不安全的。因此，在某公司網(wǎng)絡出口處應配置應用級防火墻來加強訪問控制，并部署入侵監(jiān)

17、控系統(tǒng)，杜絕可能存在的安全隱患，來保證網(wǎng)絡安全可靠的正常運行。2.2 系統(tǒng)層的安全分析在任何的網(wǎng)絡結構中都運行著不同的操作系統(tǒng)，如：Windows NT/2000/2003 Server、 HP-UNIX、Solaris、IBM AIX、SCO-Unix、Linux等等，這些系統(tǒng)都或多或少地存在著各種各樣的漏洞。據(jù)IDC統(tǒng)計1000個以上的商用操作系統(tǒng)存在安全漏洞，如果這些操作系統(tǒng)沒有進行系統(tǒng)的加固和正確的安全配置，而只是按照原來系統(tǒng)的默認安裝，這樣的主機系統(tǒng)是極其不安全的。一名黑客可以通過Unicode、緩存溢出、造成死機等方式進行破壞，甚至取得主機管理員的權限。此外，在網(wǎng)絡中，一些黑客利用

18、系統(tǒng)管理員的疏忽用缺省用戶的權限和密碼口令就可以輕松地進入系統(tǒng)修改權限，從而控制主機。某公司網(wǎng)絡中存在一定量的服務器，如：視頻會議類或相關的服務器、MCU、網(wǎng)絡管理服務器等等，而這些服務器都擔負著重要的服務功能，如果這些服務器（尤其是有大量的數(shù)據(jù)處理的服務器），一旦癱瘓或者因被人植入后門造成遠程控制竊取數(shù)據(jù)，后果不堪設想。為了保證業(yè)務數(shù)據(jù)的正常流通和安全，需對這些重要的服務器進行全方位的防護。2.3 應用層的安全分析某公司網(wǎng)絡與Internet相連，進行著包括WEB、FTP、E-mail、DNS等各種Internet應用。應用系統(tǒng)的安全性主要考慮應用系統(tǒng)能與系統(tǒng)層和網(wǎng)絡層的安全服務無縫連接。在

19、應用層的安全問題，黑客往往抓住一些應用服務的缺陷和弱點來對其進行攻擊的，比如針對錯誤的Web目錄結構、CGI腳本缺陷、Web服務器應用程序缺陷、為索引的Web頁、有缺陷的瀏覽器甚至是利用Oracle、 SAP、 Peoplesoft 缺省帳戶。應用層的安全威脅還包括對各種不良網(wǎng)絡內(nèi)容的訪問，比如內(nèi)網(wǎng)用戶訪問非法（如發(fā)布反動言論、宣揚法輪功等）或不良（色情、迷信）網(wǎng)站等。有的Internet站點上還包含有害的Java Applet或ActiveX小程序，如果不慎訪問將有可能帶入病毒和木馬程序，甚至有的網(wǎng)頁可以通過一段簡單的代碼直接破壞訪問者計算機的數(shù)據(jù)和系統(tǒng)，對網(wǎng)絡安全和效率都將造成極大破壞。2

20、.4 安全策略與安全管理的安全分析在網(wǎng)絡安全中安全策略和管理扮演著極其重要的角色，如果沒有制定非常有效的安全策略，沒有進行嚴格的安全管理制度，來控制整個網(wǎng)絡的運行，那么這個網(wǎng)絡就很可能處在一種混亂的狀態(tài)。因為沒有非常好的安全策略，安全產(chǎn)品就無法發(fā)揮其應有的作用。如果沒有有效的安全管理，就不會做到高效的安全控制和緊急事件的響應(更加詳細和周密的安全策略要結合安全服務進行)。管理是網(wǎng)絡安全中最最重要的部分。責權不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。這樣就會導致：當網(wǎng)絡出現(xiàn)攻擊行為或網(wǎng)絡受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預警

21、。同時，當事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡的可控性與可審查性。因此，必須對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。建立全新網(wǎng)絡安全機制，必須深刻理解網(wǎng)絡并能提供直接的解決方案，因此，最可行的做法是制定健全的網(wǎng)絡安全及信息安全管理制度，并加以嚴格管理相結合。第三章 企業(yè)所面臨的網(wǎng)絡應用優(yōu)化挑戰(zhàn)針對企業(yè)網(wǎng)絡應用方面的優(yōu)化需求我們大致分為以下幾類。 3.1企業(yè)風控風險是永遠存在的。在某公司的信息系統(tǒng)中同樣如此，風險無處不在。我們只能通過不斷的努力將風險降的更低，而不可能降為零。同時，更好的控制風險需要更高的資金投入來支撐。我們必須在資金投入和風險的承

22、受能力上找到一個平衡點。而每個公司都有不同的平衡點。在某公司中，IT部門是其他部門的服務部門，而IT資產(chǎn)卻是企業(yè)所有其它資產(chǎn)的有力保證。3.2冗余/備份談到冗余/備份，大家都不陌生，最為降低風險、提高系統(tǒng)可用性的一個最直接的辦法就是建立冗余的系統(tǒng)，各系統(tǒng)之間能夠實時地切換，相互備份。某公司作為一家xxx的公司，為了能夠給客戶提供更可靠的服務，同樣需要進行包括Internet鏈路、網(wǎng)絡設備、服務器系統(tǒng)等各方面的冗余配置。Internet鏈路冗余對于某公司的Internet網(wǎng)絡服務，目前申請了一條10M的網(wǎng)通線路，出于對網(wǎng)絡可靠性的考慮應該再申請一條到電信的線路。而同時使用這兩條線路就需要具有鏈路

23、冗余功能的設備來完成。HillStone能夠提供Internet鏈路冗余的解決方案。網(wǎng)絡設備冗余考慮到網(wǎng)絡設備當機的可能性，為提高整個網(wǎng)絡核心層相關設備的可靠性，這些設備也都需要進行冗余配置。這其中包括A-A和A-P兩種方式，能夠提供不同級別的冗余功能。HillStone能夠支持HA的功能，包括A-A和A-P。服務器系統(tǒng)冗余對于應用的載體服務器同樣需要進行冗余配置，使得服務器群能夠對客戶提供不間斷的服務。完成這個功能需要一臺專業(yè)的服務器流量負載分擔設備，將所有進入地流量均衡的分擔到每臺服務器上去。HillStone能夠實現(xiàn)服務器負載分擔功能。3.3應用支持某公司內(nèi)部企業(yè)應用眾多，包括Inter

24、net上網(wǎng)、郵件、數(shù)據(jù)庫、ERP、VoIP和分支機構聯(lián)網(wǎng)等等。同時也有一些企業(yè)自己開發(fā)的應用，這些應用可能跟標準的tcp應用不同，如Session持續(xù)時間和Timeout時間等，而這些自己開發(fā)的應用絕大多數(shù)都是企業(yè)的關鍵應用，因此對這些應用的管理和支持是網(wǎng)絡安全設備的一個挑戰(zhàn)。HillStone支持自定義的Session持續(xù)時間和Timeout時間，并能夠及時地對客戶的特殊需求進行分析研發(fā)。3.4流量/IM控制企業(yè)網(wǎng)路資源是有限的，同時擴充這些資源會導致成本的急劇增加。因此如何最有效的利用這些資源，如何管理這些資源成為了企業(yè)控制成本、提高效率的有效手段。AM 10:28，企業(yè)數(shù)據(jù)庫的一份關鍵數(shù)

25、據(jù)、ERP數(shù)據(jù)或一個高級管理人員的Web訪問正在網(wǎng)絡鏈路里傳輸，這時突然有一個BT下載流量激發(fā)，將正常傳輸?shù)臄?shù)據(jù)庫流量、ERP流量和Web訪問流量擠壓，造成這些流量嚴重超時，甚至導致不可達、重發(fā)，嚴重影響正常工作。這時如果有一個設備能夠控制BT流量，阻斷或者控制使用帶寬則這個問題就能得到妥善解決。IM的控制也是這樣，對很多聊天工具如QQ、MSN的控制也是一個企業(yè)提高工作效率的好辦法。HillStone能夠對很多P2P的流量進行管控，也能對很多IM聊天軟件進行管理。3.6配置/管理簡單一款設備的可用性從它的配置簡單性上就能有很好的表現(xiàn)。HillStone的配置非常簡單，很容易上手。并且設備具有版

26、本管理功能，能夠對配置信息就行版本控制，具有很好的風險控制能力。同時，HillStone支持NAT/路由模式、透明模式和混合模式，能夠很好的和企業(yè)目前的網(wǎng)絡環(huán)境進行融合，對于企業(yè)網(wǎng)絡改造具有很大的操作空間。HillStone具有專業(yè)的管理平臺針對企業(yè)內(nèi)部部署的所有HillStone設備進行統(tǒng)一管理，其中包括配置和日志等信息。3.7穩(wěn)定性和兼容性設備的穩(wěn)定性對于企業(yè)網(wǎng)絡來說至關重要。HillStone設備具有很高的無故障運行時間，能夠為某公司的整體網(wǎng)絡穩(wěn)定性提供支持。HillStone產(chǎn)品和主要的網(wǎng)絡設備供應商都具有良好的合作關系，相互產(chǎn)品之間都能夠很好的互動、兼容，其中包括cisco、juni

27、per、華為3Com、Nokia、Fortinet等。3.8報告功能HillStone能夠為用戶提供非常詳盡的日志，并且能夠定制各種圖形報告。針對網(wǎng)絡流量、網(wǎng)絡攻擊等的流量能夠很好的表現(xiàn)一個企業(yè)網(wǎng)絡的安全環(huán)境，能夠為某公司IT管理層提供必要的信息和判斷依據(jù)。第四章 HillStone安全解決方案第五章 HillStone功能介紹第五章 HillStone優(yōu)勢5.1創(chuàng)新的新一代網(wǎng)絡安全架構（Innovative Next Generation Advance Security Appliance Architecture） 隨著網(wǎng)絡威脅不斷的發(fā)展，越來越多的混合式的網(wǎng)絡攻擊和威脅層出不窮。單純的

28、網(wǎng)絡層安全防護系統(tǒng)無法滿足用戶的需求。傳統(tǒng)防火墻以網(wǎng)絡層防護為主，軟硬件的設計圍繞著網(wǎng)絡層的安全防護展開，產(chǎn)品經(jīng)過了第一代純軟件防火墻系統(tǒng)、基于PC架構的第二代硬件防火墻系統(tǒng)和第三代的基于ASIC和NP（網(wǎng)絡處理器）純硬件防火墻系統(tǒng)。第三代基于ASIC和NP架構的防火墻可以實現(xiàn)高性能的網(wǎng)絡安全防護，對于應用層的安全防護無能為力，應用層完全依靠通用CPU進行處理，包括目前流行的UTM產(chǎn)品，一旦打開應用層安全防護功能，如P2P/IM安全控制、IPS、Web過濾、防病毒以及防垃圾郵件等內(nèi)容過濾功能，性能會急劇下降，無法滿足用戶實際的網(wǎng)絡安全需求?；谝陨显?，Hillstone全線產(chǎn)品采用了創(chuàng)新的新

29、一代網(wǎng)絡安全架構，硬件平臺采用64位高性能的多核處理器Multi-Core CPU（多達16核），內(nèi)部傳輸采用高達24Gbps高速交換總線，同時高端產(chǎn)品采用多核處理器和新一代高性能專用ASIC處理器，其網(wǎng)絡安全的處理能力達到了一個新的起點：比如，安全產(chǎn)品中重要參數(shù)之一的每秒新建會話數(shù)是目前業(yè)界最高性能的基于ASIC和NP架構安全產(chǎn)品的5到10倍！64位專用高性能多核處理器的多核并行處理能力為應用層內(nèi)容安全功能提供了強大的保障，同時又避免了純ASIC和NP安全系統(tǒng)對會話可管理能力和流量控制能力弱的弊病。由于新一代64位多核處理器Multi-Core CPU集成了IPSec VPN、SSL VPN

30、、TCP、QoS、壓縮/解壓縮以及其他安全功能的芯片級硬件加速功能，使得Hillstone產(chǎn)品具有強大高效的VPN和應用層安全處理能力。采用創(chuàng)新的新一代網(wǎng)絡安全架構的Hillstone產(chǎn)品提供了更高、更可靠、更穩(wěn)定和更安全的綜合處理能力，開創(chuàng)了新一代網(wǎng)絡安全的新紀元。多達16核的專用64位MIPS處理器具有強大的應用層安全處理能力，眾所周知，應用層安全的效率很大程度上依賴于CPU的處理能力，即使基于ASICNP架構的安全系統(tǒng)一旦要處理應用層的數(shù)據(jù)也必須依賴于CPU，而目前安全產(chǎn)品在CPU資源上有很大瓶頸，因此有些廠商已經(jīng)放棄ASICNP架構而采用純CPU的架構。純CPU的架構在應用安全方面有了

31、提高，但又喪失了ASIC架構所具有的網(wǎng)絡層數(shù)據(jù)處理的高效性。Hillstone采用多核處理器和專用新一代ASIC處理器架構，使得該硬件架構充分考慮到了應用安全和網(wǎng)絡安全的平衡，在某些性能指標上有了質的飛越，如作為安全網(wǎng)絡產(chǎn)品重要指標之一的每秒新建連接數(shù)最高達到了20萬秒，同時結合內(nèi)部高速交換總線和多核64位專用處理器，Hillstone SA系列產(chǎn)品具有了強大的應用安全處理能力和可擴展能力，為集成更多的應用安全提供了強大的資源保障。5.2強健的專用實時64位并行操作系統(tǒng)（Robust Specific Real time Operating System）Hillstone全線產(chǎn)品采用專用多線

32、程實時64位并行操作系統(tǒng)，多線程的并行處理能力和模塊化的結構易于集成和擴展安全功能，專用的安全加固的64位操作系統(tǒng)針對新一代多核處理器安全架構進行了全面的優(yōu)化和安全加固，極大地提高了系統(tǒng)的處理效率、系統(tǒng)穩(wěn)定性和安全性。模塊化和多線程的處理機制，為Hillstone新一代的網(wǎng)絡安全系統(tǒng)提供了極大的可擴展能力，包括支持更多核處理器和集成更多安全功能。 眾所周知，操作系統(tǒng)是整個安全設備的核心和基礎，安全產(chǎn)品的操作系統(tǒng)必須具有很強的抗攻擊能力，而基于軟件的安全系統(tǒng)采用的是通用的操作系統(tǒng)，通用操作系統(tǒng)會暴露大量的操作系統(tǒng)漏洞，安全系統(tǒng)再強大，操作系統(tǒng)的漏洞會直接導致這個系統(tǒng)的崩潰。目前，專用定制的操作系

33、統(tǒng)被廣泛采用。Hillstone SA系列產(chǎn)品均采用定制的專用操作系統(tǒng)HSOS。HSOS具有64位實時并行處理能力，其核心針對Hillstone SA硬件產(chǎn)品進行了全面優(yōu)化，使得系統(tǒng)具有更高的處理效率和穩(wěn)定性。模塊化的系統(tǒng)結構易于繼承更多的安全功能，系統(tǒng)具有極強的伸縮性和可擴展性。任何獨立的安全模塊出現(xiàn)問題都不會影響整個系統(tǒng)的運行。5.3高可靠性和穩(wěn)定性（High Reliability and Stability）積累多年被證實的專業(yè)硬件安全產(chǎn)品研發(fā)和市場經(jīng)驗，Hillstone新一代網(wǎng)絡安全產(chǎn)品在軟硬件的可靠性和穩(wěn)定性上都有了進一步提高。全面優(yōu)化的軟硬件系統(tǒng)帶來高可靠性和穩(wěn)定性，這為網(wǎng)絡流

34、量和網(wǎng)絡攻擊日益膨脹的企業(yè)IT環(huán)境提供了強大的保障。Hillstone產(chǎn)品最大程度上確保企業(yè)關鍵業(yè)務的不間斷運行，提高用戶的競爭力。5.4最低的總體擁有成本（Lowest TCO）Hillstone全線產(chǎn)品提供了非常友好的使用和管理界面，部署簡單、易于維護和管理。靈活的特性可以滿足不同用戶不同應用環(huán)境的需求。獨特創(chuàng)新的新一代網(wǎng)絡安全架構提供給用戶最大化的可擴展能力，最大化地保護用戶投資。5.5 Hillstone SA系列安全產(chǎn)品解決方案特點創(chuàng)新的新一代網(wǎng)絡安全架構高性能的綜合安全系統(tǒng)高可靠性和擴展性高性價比豐富的安全特性最低的TCO友好和易于使用的管理界面細粒度的安全參數(shù)調整杰出的內(nèi)容安全綜

35、合處理能力靈活的部署特性，易于部署和維護全面的產(chǎn)品線，滿足不同用戶的需求專業(yè)的技術支持和銷售團隊P2P/IM應用的安全控制和細?；芾?.6競爭優(yōu)勢Hillstone主要研發(fā)和銷售團隊來自業(yè)界知名的網(wǎng)絡安全公司，包括：NetScreen、CISCO、Juniper、Fortinet和H3C等。多年成功的安全產(chǎn)品研發(fā)銷售經(jīng)驗的積累，厚積薄發(fā)，引領網(wǎng)絡安全走向新的起點。高性能創(chuàng)新的新一代安全產(chǎn)品加上專業(yè)的技術支持保障，為企業(yè)營造一個安全的網(wǎng)絡應用環(huán)境保駕護航。第六章 安全產(chǎn)品技術性能指標HillStone Network Security ApplianceHillstone SA-5050/50

36、40/5020/2010Hillstone SA-5050/5040/5020/2010系列產(chǎn)品采用創(chuàng)新的64位多核處理器、新一代ASIC處理器*和高速交換總線技術，為大中型企業(yè)用戶提供高性能的網(wǎng)絡安全解決方案。專用網(wǎng)絡安全處理平臺技術，擁有多達16核的64位高性能多核處理器，提供包括TCP會話保持與報文重組、VPN、QoS流量管理等功能的芯片級硬件加速，以及獨立的硬件DFA引擎。輔以高達24Gbps高速交換總線，以及新一代64位實時并行操作系統(tǒng)HSOS，為企業(yè)提供高性能、高可靠性的新一代硬件應用安全產(chǎn)品。創(chuàng)新的系統(tǒng)結構Hillstone Security Appliance系列產(chǎn)品采用了多核

37、處理器和新一代ASIC處理器*技術，內(nèi)部總線采用高達24Gbps交換總線，使得Hillstone SA系列產(chǎn)品在應用層安全處理的性能上有了質的飛躍，為企業(yè)應用安全提供專業(yè)的高性能硬件平臺。高可靠性和穩(wěn)定性積累多年被證實的專業(yè)硬件安全產(chǎn)品研發(fā)和市場經(jīng)驗，Hillstone新一代網(wǎng)絡安全產(chǎn)品無論在軟件和硬件的可靠性和穩(wěn)定性上都有了進一步提高。 全面優(yōu)化的軟硬件系統(tǒng)的高可靠性和穩(wěn)定性為網(wǎng)絡流量和網(wǎng)絡攻擊日益膨脹的企業(yè)IT環(huán)境提供了強大的保障。Hillstone產(chǎn)品最大程度上確保企業(yè)關鍵業(yè)務的不間斷運行。強健的專用實時操作系統(tǒng)Hillstone Security Appliance系列產(chǎn)品采用了專用6

38、4位實時并行操作系統(tǒng)，并行的處理能力和模塊化的結構易于集成和擴展安全功能。專用的安全加固的64位操作系統(tǒng)針對新一代多核處理器安全機構進行了全面的優(yōu)化和安全加固，極大地提高了系統(tǒng)的處理效率、系統(tǒng)穩(wěn)定性和安全性。模塊化和并行多任務的處理機制，為Hillstone新一代的網(wǎng)絡安全系統(tǒng)提供了極大的可擴展能力，包括支持更多核處理器和集成更多安全功能。最低的總體擁有成本Hillstone Security Appliance系列產(chǎn)品提供了非常友好的使用和管理界面，部署簡單、易于維護和管理。靈活的特性可以滿足不同用戶不同應用環(huán)境的需求。獨特創(chuàng)新的新一代網(wǎng)絡安全架構提供給用戶最大化的可擴展能力，最大化地保護用

39、戶投資。Hillstone SA系列安全產(chǎn)品解決方案特點：創(chuàng)新的新一代網(wǎng)絡安全架構高性能的綜合安全系統(tǒng)高可靠性和擴展性豐富的安全特性最低的TCO友好和易于使用的管理界面細粒度的安全參數(shù)調整杰出的內(nèi)容安全綜合處理能力靈活的部署特性，易于部署和維護P2P/IM應用的安全控制和管理Hillstone SA-5050/5040/5020/2010安全特性操作模式 SA-5050/5040/5020/2010透明模式是 路由/NAT模式 是 L2/L3混合模式是 NAT（地址翻譯）是 PAT（端口地址翻譯） 是 MIP/VIP/DIP是 FirewallSA-5050/5040/5020/2010網(wǎng)絡層攻擊防護是 DoS和DDoS防護是 Syn flood攻擊防護是 畸形報文防護是 IP 報文分片攻擊防護是 IP 異常選項檢測是 TCP 異常檢測是 IP地址欺騙防護是 IP地址掃描攻擊是 端口掃描防護是 靜態(tài)和動態(tài)黑名單是 會話限制（基于源/目的）是 攻擊防護數(shù)量30基于安全區(qū)安全性是 基于Profile的安全防護是 基于接口的ACL是 NetworkingSA-5050/5040/5020/2010802.1Q VLAN Trunk是 802.3ad link aggregation是 PPPoE Client是 DHCP Relay, Serv