某公司網(wǎng)絡安全項目解決方案

1、某公司網(wǎng)網(wǎng)絡安全全項目解解決方案案目錄TOC o 1-3 h z u HYPERLINK l _Toc186106583 第一章 某公司司網(wǎng)絡概概述 PAGEREF _Toc186106583 h 3 HYPERLINK l _Toc186106584 1.1 概述 PAGEREF _Toc186106584 h 3 HYPERLINK l _Toc186106585 1.2 項目建建設目標標 PAGEREF _Toc186106585 h 3 HYPERLINK l _Toc186106586 1.3 項目建建設原則則 PAGEREF _Toc186106586 h 4 HYPERLINK

2、l _Toc186106587 1.4 項目建建設說明明 PAGEREF _Toc186106587 h 4 HYPERLINK l _Toc186106588 第二章 企業(yè)所所面臨的的網(wǎng)絡安安全挑戰(zhàn)戰(zhàn)與風險險分析 PAGEREF _Toc186106588 h 5 HYPERLINK l _Toc186106589 2.1 網(wǎng)絡層層的安全全分析 PAGEREF _Toc186106589 h 6 HYPERLINK l _Toc186106590 2.2 系統(tǒng)層層的安全全分析 PAGEREF _Toc186106590 h 6 HYPERLINK l _Toc186106591 2.3 應用

3、層層的安全全分析 PAGEREF _Toc186106591 h 7 HYPERLINK l _Toc186106592 2.4 安全策策略與安安全管理理的安全全分析 PAGEREF _Toc186106592 h 7 HYPERLINK l _Toc186106593 第三章 企業(yè)所所面臨的的網(wǎng)絡應應用優(yōu)化化挑戰(zhàn) PAGEREF _Toc186106593 h 8 HYPERLINK l _Toc186106594 3.1企企業(yè)風控控 PAGEREF _Toc186106594 h 8 HYPERLINK l _Toc186106595 3.2冗冗余/備份 PAGEREF _Toc18610

4、6595 h 8 HYPERLINK l _Toc186106596 3.3應應用支持持 PAGEREF _Toc186106596 h 8 HYPERLINK l _Toc186106597 3.4流流量/IIM控制制 PAGEREF _Toc186106597 h 8 HYPERLINK l _Toc186106598 3.6配配置/管理簡簡單 PAGEREF _Toc186106598 h 9 HYPERLINK l _Toc186106599 3.7穩(wěn)穩(wěn)定性和和兼容性性 PAGEREF _Toc186106599 h 9 HYPERLINK l _Toc186106600 3.8報報告

5、功能能 PAGEREF _Toc186106600 h 9 HYPERLINK l _Toc186106601 第四章 HilllSttonee安全解解決方案案 PAGEREF _Toc186106601 h 9 HYPERLINK l _Toc186106602 第五章 HilllSttonee功能介介紹 PAGEREF _Toc186106602 h 10 HYPERLINK l _Toc186106603 4.1 狀態(tài)檢檢測 PAGEREF _Toc186106603 h 10 HYPERLINK l _Toc186106604 4.1.1 包過濾濾與狀態(tài)態(tài)檢測 PAGEREF _Toc

6、186106604 h 10 HYPERLINK l _Toc186106605 4.1.2 獨特的的防火墻墻狀態(tài)監(jiān)監(jiān)測 PAGEREF _Toc186106605 h 12 HYPERLINK l _Toc186106606 4.1.3 HilllSttonee的狀態(tài)態(tài)會話表表 PAGEREF _Toc186106606 h 12 HYPERLINK l _Toc186106607 4.1.3 會話失失效時間間 PAGEREF _Toc186106607 h 13 HYPERLINK l _Toc186106608 4.2 NATT與PATT PAGEREF _Toc186106608 h

7、13 HYPERLINK l _Toc186106609 4.2.1 動態(tài)NAAT PAGEREF _Toc186106609 h 13 HYPERLINK l _Toc186106610 4.2.2 PATT PAGEREF _Toc186106610 h 14 HYPERLINK l _Toc186106611 4.2.3 靜態(tài)NAAT PAGEREF _Toc186106611 h 15 HYPERLINK l _Toc186106612 4.2.4 靜態(tài)PAAT PAGEREF _Toc186106612 h 15 HYPERLINK l _Toc186106613 4.2.5 防火墻

8、墻策略與與NATT、PATT PAGEREF _Toc186106613 h 15 HYPERLINK l _Toc186106614 4.3流流量控制制 PAGEREF _Toc186106614 h 15 HYPERLINK l _Toc186106615 4.5 應用層層網(wǎng)關 PAGEREF _Toc186106615 h 16 HYPERLINK l _Toc186106616 4.5.1 TCPP重組和和代理 PAGEREF _Toc186106616 h 16 HYPERLINK l _Toc186106617 4.5.2 VOIIP安全全 PAGEREF _Toc18610661

9、7 h 16 HYPERLINK l _Toc186106618 4.5.3 關鍵字字過濾 PAGEREF _Toc186106618 h 16 HYPERLINK l _Toc186106619 4.5.4 提供CooS/QQoS（服務級級別/服務質(zhì)質(zhì)量）服服務 PAGEREF _Toc186106619 h 16 HYPERLINK l _Toc186106620 4.7 標準、靈活的的VPNN PAGEREF _Toc186106620 h 17 HYPERLINK l _Toc186106621 4.7.1 VPNN技術介介紹 PAGEREF _Toc186106621 h 17 HY

10、PERLINK l _Toc186106622 4.7.2 HilllSttonee的PPTTP LL2TPP PAGEREF _Toc186106622 h 19 HYPERLINK l _Toc186106623 4.7.3 IPSSEC VPNN的網(wǎng)關關對網(wǎng)關關模式 PAGEREF _Toc186106623 h 19 HYPERLINK l _Toc186106624 4.7.4 IPSSEC VPNN的移動動客戶端端對網(wǎng)關關模式 PAGEREF _Toc186106624 h 19 HYPERLINK l _Toc186106625 4.7.5 部署方方便的透透明模式式的VPPN網(wǎng)關

11、關 PAGEREF _Toc186106625 h 20 HYPERLINK l _Toc186106626 4.8 雙機備備份HAA PAGEREF _Toc186106626 h 21 HYPERLINK l _Toc186106627 4.8 日志與與集中管管理 PAGEREF _Toc186106627 h 21 HYPERLINK l _Toc186106628 4.8.1 多種日日志方式式 PAGEREF _Toc186106628 h 21 HYPERLINK l _Toc186106629 4.8.2 Sysslogg標準的的日志分分析軟件件ForttiReeporrterr

12、PAGEREF _Toc186106629 h 21 HYPERLINK l _Toc186106630 4.8.2 硬件的的日志分分析系統(tǒng)統(tǒng)ForrtiLLog PAGEREF _Toc186106630 h 22 HYPERLINK l _Toc186106631 4.8.3 方便的的管理體體系 PAGEREF _Toc186106631 h 23 HYPERLINK l _Toc186106632 第五章 HilllSttonee優(yōu)勢 PAGEREF _Toc186106632 h 23 HYPERLINK l _Toc186106633 5.1創(chuàng)創(chuàng)新的新新一代網(wǎng)網(wǎng)絡安全全架構(gòu) PAGE

13、REF _Toc186106633 h 23 HYPERLINK l _Toc186106634 5.2強強健的專專用實時時64位并并行操作作系統(tǒng) PAGEREF _Toc186106634 h 24 HYPERLINK l _Toc186106635 5.3高高可靠性性和穩(wěn)定定性（Higgh RReliiabiilitty aand Staabillityy） PAGEREF _Toc186106635 h 25 HYPERLINK l _Toc186106636 5.4最最低的總總體擁有有成本（Lowwestt TCCO） PAGEREF _Toc186106636 h 25 HYPERL

14、INK l _Toc186106637 5.5 Hilllsttonee SAA系列安安全產(chǎn)品品解決方方案特點點 PAGEREF _Toc186106637 h 26 HYPERLINK l _Toc186106638 5.6競競爭優(yōu)勢勢 PAGEREF _Toc186106638 h 26 HYPERLINK l _Toc186106639 第六章 安全產(chǎn)產(chǎn)品技術術性能指指標 PAGEREF _Toc186106639 h 28 HYPERLINK l _Toc186106640 HilllStoone Nettworrk SSecuuritty AApplliannce PAGEREF _

15、Toc186106640 h 28 HYPERLINK l _Toc186106641 第七章 技術支支持與售售后服務務 PAGEREF _Toc186106641 h 34第一章 某公司司網(wǎng)絡概概述1.1 概述1.2 項目建建設說明明網(wǎng)絡拓撲撲結(jié)構(gòu)如如下：第二章 企業(yè)所所面臨的的網(wǎng)絡安安全挑戰(zhàn)戰(zhàn)與風險險分析從某公司司網(wǎng)絡的的實際情情況來看看，我們們認為應應該從以以下幾個個方面進進行全面面的分析析：網(wǎng)絡層系統(tǒng)層應用層ARP策略和管管理層下面將分分別進行行詳細的的闡述。2.1 網(wǎng)絡層層的安全全分析網(wǎng)絡設備備主要包包括某公公司網(wǎng)絡絡各節(jié)點點上的路路由器、交換機機等設備備，如： 路由器器、交換換機。

16、網(wǎng)網(wǎng)絡層不不僅為某某公司網(wǎng)網(wǎng)絡提供供連接通通路和網(wǎng)網(wǎng)絡數(shù)據(jù)據(jù)交換的的連接，而且是是網(wǎng)絡入入侵者進進攻信息息系統(tǒng)的的渠道和和通路。由于大大型網(wǎng)絡絡系統(tǒng)內(nèi)內(nèi)運行的的TCPP/IPP協(xié)議并并非專為為安全通通訊而設設計，所所以網(wǎng)絡絡系統(tǒng)存存在大量量安全隱隱患和威威脅。整整個網(wǎng)絡絡就會受受到來自自網(wǎng)絡外外部和內(nèi)內(nèi)部的雙雙重威脅脅。尤其在廣廣域網(wǎng)中中存在著著大量的的黑客攻攻擊，他他們常常常針對wweb服服務器和和郵件服服務器作作為突破破口，進進行網(wǎng)絡絡攻擊和和滲透。常見得得一些手手法如下下：IPP欺騙、重放或或重演、拒絕服服務攻擊擊（SYYN FFLOOOD，PINNG FFLOOOD等）、分布布式拒絕絕

17、服務攻攻擊、篡篡改、堆堆棧溢出出等。黑黑客可以以容易的的在某公公司網(wǎng)絡絡出口進進出，對對系統(tǒng)進進行攻擊擊或非法法訪問。而在某公公司網(wǎng)絡絡內(nèi)部，基本上上還沒有有嚴格的的防范措措施，其其中的安安全隱患患不言而而喻。如如果加上上安全管管理上的的不夠完完善等因因素，或或者在已已有的服服務器與與單機中中存在著著后門程程序（木木馬程序序）話，攻擊者者就可以以很容易易地取得得網(wǎng)絡管管理員權權限，從從而進一一步控制制計算機機系統(tǒng)，網(wǎng)絡中中大量的的數(shù)據(jù)就就會被竊竊取和破破壞。網(wǎng)絡中只只要一個個地方出出現(xiàn)了安安全問題題，那么么整個網(wǎng)網(wǎng)絡都是是不安全全的。因因此，在在某公司司網(wǎng)絡出出口處應應配置應應用級防防火墻來來

18、加強訪訪問控制制，并部部署入侵侵監(jiān)控系系統(tǒng)，杜杜絕可能能存在的的安全隱隱患，來來保證網(wǎng)網(wǎng)絡安全全可靠的的正常運運行。2.2 系統(tǒng)層層的安全全分析在任何的的網(wǎng)絡結(jié)結(jié)構(gòu)中都都運行著著不同的的操作系系統(tǒng)，如如：Wiindoows NT/20000/220033 Seerveer、 HP-UNIIX、SSolaariss、IBMM AIIX、SSCO-Uniix、LLinuux等等等，這些些系統(tǒng)都都或多或或少地存存在著各各種各樣樣的漏洞洞。據(jù)IIDC統(tǒng)統(tǒng)計10000個個以上的的商用操操作系統(tǒng)統(tǒng)存在安安全漏洞洞，如果果這些操操作系統(tǒng)統(tǒng)沒有進進行系統(tǒng)統(tǒng)的加固固和正確確的安全全配置，而只是是按照原原來系統(tǒng)統(tǒng)

19、的默認認安裝，這樣的的主機系系統(tǒng)是極極其不安安全的。一名黑黑客可以以通過UUniccodee、緩存存溢出、造成死死機等方方式進行行破壞，甚至取取得主機機管理員員的權限限。此外外，在網(wǎng)網(wǎng)絡中，一些黑黑客利用用系統(tǒng)管管理員的的疏忽用用缺省用用戶的權權限和密密碼口令令就可以以輕松地地進入系系統(tǒng)修改改權限，從而控控制主機機。某公司網(wǎng)網(wǎng)絡中存存在一定定量的服服務器，如：視視頻會議議類或相相關的服服務器、MCUU、網(wǎng)絡絡管理服服務器等等等，而而這些服服務器都都擔負著著重要的的服務功功能，如如果這些些服務器器（尤其其是有大大量的數(shù)數(shù)據(jù)處理理的服務務器），一旦癱癱瘓或者者因被人人植入后后門造成成遠程控控制竊取

20、取數(shù)據(jù)，后果不不堪設想想。為了了保證業(yè)業(yè)務數(shù)據(jù)據(jù)的正常常流通和和安全，需對這這些重要要的服務務器進行行全方位位的防護護。2.3 應用層層的安全全分析某公司網(wǎng)網(wǎng)絡與IInteerneet相連連，進行行著包括括WEBB、FTTP、EE-maail、DNSS等各種種Intternnet應應用。應應用系統(tǒng)統(tǒng)的安全全性主要要考慮應應用系統(tǒng)統(tǒng)能與系系統(tǒng)層和和網(wǎng)絡層層的安全全服務無無縫連接接。在應應用層的的安全問問題，黑黑客往往往抓住一一些應用用服務的的缺陷和和弱點來來對其進進行攻擊擊的，比比如針對對錯誤的的Webb目錄結(jié)結(jié)構(gòu)、CCGI腳腳本缺陷陷、Weeb服務務器應用用程序缺缺陷、為為索引的的Webb頁、

21、有有缺陷的的瀏覽器器甚至是是利用OOraccle、 SAAP、 Peeopllesooft 缺省帳帳戶。應用層的的安全威威脅還包包括對各各種不良良網(wǎng)絡內(nèi)內(nèi)容的訪訪問，比比如內(nèi)網(wǎng)網(wǎng)用戶訪訪問非法法（如發(fā)發(fā)布反動動言論、宣揚法法輪功等等）或不不良（色色情、迷迷信）網(wǎng)網(wǎng)站等。有的IInteerneet站點點上還包包含有害害的Jaava Appplett或AcctivveX小小程序，如果不不慎訪問問將有可可能帶入入病毒和和木馬程程序，甚甚至有的的網(wǎng)頁可可以通過過一段簡簡單的代代碼直接接破壞訪訪問者計計算機的的數(shù)據(jù)和和系統(tǒng)，對網(wǎng)絡絡安全和和效率都都將造成成極大破破壞。2.4 安全策略略與安全全管理的的安

22、全分分析在網(wǎng)絡安安全中安安全策略略和管理理扮演著著極其重重要的角角色，如如果沒有有制定非非常有效效的安全全策略，沒有進進行嚴格格的安全全管理制制度，來來控制整整個網(wǎng)絡絡的運行行，那么么這個網(wǎng)網(wǎng)絡就很很可能處處在一種種混亂的的狀態(tài)。因為沒沒有非常常好的安安全策略略，安全全產(chǎn)品就就無法發(fā)發(fā)揮其應應有的作作用。如如果沒有有有效的的安全管管理，就就不會做做到高效效的安全全控制和和緊急事事件的響響應(更加詳詳細和周周密的安安全策略略要結(jié)合合安全服服務進行行)。管理是網(wǎng)網(wǎng)絡安全全中最最最重要的的部分。責權不不明、安安全管理理制度不不健全及及缺乏可可操作性性等都可可能引起起管理安安全的風風險。這這樣就會會導

23、致：當網(wǎng)絡絡出現(xiàn)攻攻擊行為為或網(wǎng)絡絡受到其其它一些些安全威威脅時（如內(nèi)部部人員的的違規(guī)操操作等），無法法進行實實時的檢檢測、監(jiān)監(jiān)控、報報告與預預警。同同時，當當事故發(fā)發(fā)生后，也無法法提供黑黑客攻擊擊行為的的追蹤線線索及破破案依據(jù)據(jù)，即缺缺乏對網(wǎng)網(wǎng)絡的可可控性與與可審查查性。因因此，必必須對站站點的訪訪問活動動進行多多層次的的記錄，及時發(fā)發(fā)現(xiàn)非法法入侵行行為。建立全新新網(wǎng)絡安安全機制制，必須須深刻理理解網(wǎng)絡絡并能提提供直接接的解決決方案，因此，最可行行的做法法是制定定健全的的網(wǎng)絡安安全及信信息安全全管理制制度，并并加以嚴嚴格管理理相結(jié)合合。第三章 企業(yè)所所面臨的的網(wǎng)絡應應用優(yōu)化化挑戰(zhàn)針對企業(yè)業(yè)網(wǎng)

24、絡應應用方面面的優(yōu)化化需求我我們大致致分為以以下幾類類。 3.1企企業(yè)風控控風險是是永遠存存在的。在某公公司的信信息系統(tǒng)統(tǒng)中同樣樣如此，風險無無處不在在。我們們只能通通過不斷斷的努力力將風險險降的更更低，而而不可能能降為零零。同時時，更好好的控制制風險需需要更高高的資金金投入來來支撐。我們必必須在資資金投入入和風險險的承受受能力上上找到一一個平衡衡點。而而每個公公司都有有不同的的平衡點點。在某公公司中，IT部部門是其其他部門門的服務務部門，而ITT資產(chǎn)卻卻是企業(yè)業(yè)所有其它它資產(chǎn)的的有力保保證。3.2冗冗余/備備份談到冗冗余/備備份，大大家都不不陌生，最為降降低風險險、提高高系統(tǒng)可可用性的的一個

25、最最直接的的辦法就就是建立立冗余的的系統(tǒng)，各系統(tǒng)統(tǒng)之間能能夠?qū)崟r時地切換換，相互互備份。某公司司作為一一家xxxx的公公司，為為了能夠夠給客戶戶提供更更可靠的的服務，同樣需需要進行行包括IInteerneet鏈路路、網(wǎng)絡絡設備、服務器器系統(tǒng)等等各方面面的冗余余配置。Inteerneet鏈路路冗余對于某公公司的IInteerneet網(wǎng)絡絡服務，目前申申請了一一條100M的網(wǎng)網(wǎng)通線路路，出于于對網(wǎng)絡絡可靠性性的考慮慮應該再再申請一一條到電電信的線線路。而而同時使使用這兩兩條線路路就需要要具有鏈鏈路冗余余功能的的設備來來完成。HilllSttonee能夠提提供Innterrnett鏈路冗冗余的解解決

26、方案案。網(wǎng)絡設備備冗余考慮到網(wǎng)網(wǎng)絡設備備當機的的可能性性，為提提高整個個網(wǎng)絡核核心層相相關設備備的可靠靠性，這這些設備備也都需需要進行行冗余配配置。這這其中包包括A-A和AA-P兩兩種方式式，能夠夠提供不不同級別別的冗余余功能。HilllSttonee能夠支支持HAA的功能能，包括括A-AA和A-P。服務器系系統(tǒng)冗余余對于應用用的載體體服務器器同樣需需要進行行冗余配配置，使使得服務務器群能能夠?qū)涂蛻籼峁┕┎婚g斷斷的服務務。完成成這個功功能需要要一臺專專業(yè)的服服務器流流量負載載分擔設設備，將將所有進進入地流流量均衡衡的分擔擔到每臺臺服務器器上去。HilllSttonee能夠?qū)崒崿F(xiàn)服務務器負載載

27、分擔功功能。3.3應應用支持持某公司司內(nèi)部企企業(yè)應用用眾多，包括IInteerneet上網(wǎng)網(wǎng)、郵件件、數(shù)據(jù)據(jù)庫、EERP、VoIIP和分分支機構(gòu)構(gòu)聯(lián)網(wǎng)等等等。同同時也有有一些企企業(yè)自己己開發(fā)的的應用，這些應應用可能能跟標準準的tccp應用用不同，如Seessiion持持續(xù)時間間和Tiimeoout時時間等，而這些些自己開開發(fā)的應應用絕大大多數(shù)都都是企業(yè)業(yè)的關鍵鍵應用，因此對對這些應應用的管管理和支支持是網(wǎng)網(wǎng)絡安全全設備的的一個挑挑戰(zhàn)。HHilllStoone支支持自定定義的SSesssionn持續(xù)時時間和TTimeeoutt時間，并能夠夠及時地地對客戶戶的特殊殊需求進進行分析析研發(fā)。3.4流流

28、量/IIM控制制企業(yè)網(wǎng)網(wǎng)路資源源是有限限的，同同時擴充充這些資資源會導導致成本本的急劇劇增加。因此如如何最有有效的利利用這些些資源，如何管管理這些些資源成成為了企企業(yè)控制制成本、提高效效率的有有效手段段。AM 10:28，企業(yè)數(shù)數(shù)據(jù)庫的的一份關關鍵數(shù)據(jù)據(jù)、ERRP數(shù)據(jù)據(jù)或一個個高級管管理人員員的Weeb訪問問正在網(wǎng)網(wǎng)絡鏈路路里傳輸輸，這時時突然有有一個BBT下載載流量激激發(fā)，將將正常傳傳輸?shù)臄?shù)數(shù)據(jù)庫流流量、EERP流流量和WWeb訪訪問流量量擠壓，造成這這些流量量嚴重超超時，甚甚至導致致不可達達、重發(fā)發(fā)，嚴重重影響正正常工作作。這時如如果有一一個設備備能夠控控制BTT流量，阻斷或或者控制制使用

29、帶帶寬則這這個問題題就能得得到妥善善解決。IM的的控制也也是這樣樣，對很很多聊天天工具如如QQ、MSNN的控制制也是一一個企業(yè)業(yè)提高工工作效率率的好辦辦法。HilllSttonee能夠?qū)芏郟P2P的的流量進進行管控控，也能能對很多多IM聊聊天軟件件進行管管理。3.6配配置/管管理簡單單一款設設備的可可用性從從它的配配置簡單單性上就就能有很很好的表表現(xiàn)。HHilllStoone的的配置非非常簡單單，很容容易上手手。并且且設備具具有版本本管理功功能，能能夠?qū)ε渑渲眯畔⑾⒕托邪姘姹究刂浦疲哂杏泻芎玫牡娘L險控控制能力力。同時時，HiillSStonne支持持NATT/路由由模式、透明模模式和混混

30、合模式式，能夠夠很好的的和企業(yè)業(yè)目前的的網(wǎng)絡環(huán)環(huán)境進行行融合，對于企企業(yè)網(wǎng)絡絡改造具具有很大大的操作作空間。HilllSttonee具有專專業(yè)的管管理平臺臺針對企企業(yè)內(nèi)部部部署的的所有HHilllStoone設設備進行行統(tǒng)一管管理，其其中包括括配置和和日志等等信息。3.7穩(wěn)穩(wěn)定性和兼容容性設備的的穩(wěn)定性性對于企企業(yè)網(wǎng)絡絡來說至至關重要要。HiillSStonne設備備具有很很高的無無故障運運行時間間，能夠夠為某公公司的整整體網(wǎng)絡絡穩(wěn)定性性提供支支持。HilllSttonee產(chǎn)品和和主要的的網(wǎng)絡設設備供應應商都具具有良好好的合作作關系，相互產(chǎn)產(chǎn)品之間間都能夠夠很好的的互動、兼容，其中包包括cii

31、scoo、juunipper、華為33Comm、Nookiaa、Foortiinett等。3.8報報告功能能HilllSttonee能夠為為用戶提提供非常常詳盡的的日志，并且能能夠定制制各種圖圖形報告告。針對對網(wǎng)絡流流量、網(wǎng)網(wǎng)絡攻擊擊等的流流量能夠夠很好的的表現(xiàn)一一個企業(yè)業(yè)網(wǎng)絡的的安全環(huán)環(huán)境，能能夠為某某公司IIT管理理層提供供必要的的信息和和判斷依依據(jù)。第四章 HilllSttonee安全解解決方案案第五章 HilllSttonee功能介介紹第五章 HilllSttonee優(yōu)勢5.1創(chuàng)創(chuàng)新的新新一代網(wǎng)網(wǎng)絡安全全架構(gòu)（Innnovaativve NNextt Geenerratiion Adv

32、vancce SSecuuritty AApplliannce Arcchittectturee） 隨著網(wǎng)絡絡威脅不不斷的發(fā)發(fā)展，越越來越多多的混合合式的網(wǎng)網(wǎng)絡攻擊擊和威脅脅層出不不窮。單單純的網(wǎng)網(wǎng)絡層安安全防護護系統(tǒng)無無法滿足足用戶的的需求。傳統(tǒng)防防火墻以以網(wǎng)絡層層防護為為主，軟軟硬件的的設計圍圍繞著網(wǎng)網(wǎng)絡層的的安全防防護展開開，產(chǎn)品品經(jīng)過了了第一代代純軟件件防火墻墻系統(tǒng)、基于PPC架構(gòu)構(gòu)的第二二代硬件件防火墻墻系統(tǒng)和和第三代代的基于于ASIIC和NNP（網(wǎng)網(wǎng)絡處理理器）純純硬件防防火墻系系統(tǒng)。第第三代基基于ASSIC和和NP架架構(gòu)的防防火墻可可以實現(xiàn)現(xiàn)高性能能的網(wǎng)絡絡安全防防護，對對于應用

33、用層的安安全防護護無能為為力，應應用層完完全依靠靠通用CCPU進進行處理理，包括括目前流流行的UUTM產(chǎn)產(chǎn)品，一一旦打開開應用層層安全防防護功能能，如PP2P/IM安安全控制制、IPPS、WWeb過過濾、防防病毒以以及防垃垃圾郵件件等內(nèi)容容過濾功功能，性性能會急急劇下降降，無法法滿足用用戶實際際的網(wǎng)絡絡安全需需求?；谝陨仙显?，Hilllsttonee全線產(chǎn)產(chǎn)品采用用了創(chuàng)新新的新一一代網(wǎng)絡絡安全架架構(gòu)，硬硬件平臺臺采用664位高高性能的的多核處處理器MMultti-CCoree CPPU（多多達166核），內(nèi)部傳傳輸采用用高達224Gbbps高高速交換換總線，同時高高端產(chǎn)品品采用多多核處理理

34、器和新新一代高高性能專專用ASSIC處處理器，其網(wǎng)絡絡安全的的處理能能力達到到了一個個新的起起點：比比如，安安全產(chǎn)品品中重要要參數(shù)之之一的每每秒新建建會話數(shù)數(shù)是目前前業(yè)界最最高性能能的基于于ASIIC和NNP架構(gòu)構(gòu)安全產(chǎn)產(chǎn)品的55到100倍！664位專專用高性性能多核核處理器器的多核核并行處處理能力力為應用用層內(nèi)容容安全功功能提供供了強大大的保障障，同時時又避免免了純AASICC和NPP安全系系統(tǒng)對會會話可管管理能力力和流量量控制能能力弱的的弊病。由于新新一代664位多多核處理理器Muultii-Coore CPUU集成了了IPSSec VPNN、SSSL VVPN、TCPP、QooS、壓壓縮

35、/解解壓縮以以及其他他安全功功能的芯芯片級硬硬件加速速功能，使得HHilllstoone產(chǎn)產(chǎn)品具有有強大高高效的VVPN和和應用層層安全處處理能力力。采用用創(chuàng)新的的新一代代網(wǎng)絡安安全架構(gòu)構(gòu)的Hiillsstonne產(chǎn)品品提供了了更高、更可靠靠、更穩(wěn)穩(wěn)定和更更安全的的綜合處處理能力力，開創(chuàng)創(chuàng)了新一一代網(wǎng)絡絡安全的的新紀元元。多達166核的專專用644位MIIPS處處理器具具有強大大的應用用層安全全處理能能力，眾眾所周知知，應用用層安全全的效率率很大程程度上依依賴于CCPU的的處理能能力，即即使基于于ASIICNNP架構(gòu)構(gòu)的安全全系統(tǒng)一一旦要處處理應用用層的數(shù)數(shù)據(jù)也必必須依賴賴于CPPU，而而目前

36、安安全產(chǎn)品品在CPPU資源源上有很很大瓶頸頸，因此此有些廠廠商已經(jīng)經(jīng)放棄AASICCNPP架構(gòu)而而采用純純CPUU的架構(gòu)構(gòu)。純CCPU的的架構(gòu)在在應用安安全方面面有了提提高，但但又喪失失了ASSIC架架構(gòu)所具具有的網(wǎng)網(wǎng)絡層數(shù)數(shù)據(jù)處理理的高效效性。HHilllstoone采采用多核核處理器器和專用用新一代代ASIIC處理理器架構(gòu)構(gòu)，使得得該硬件件架構(gòu)充充分考慮慮到了應應用安全全和網(wǎng)絡絡安全的的平衡，在某些些性能指指標上有有了質(zhì)的的飛越，如作為為安全網(wǎng)網(wǎng)絡產(chǎn)品品重要指指標之一一的每秒秒新建連連接數(shù)最最高達到到了200萬秒秒，同時時結(jié)合內(nèi)內(nèi)部高速速交換總總線和多多核644位專用用處理器器，Hiill

37、sstonne SSA系列列產(chǎn)品具具有了強強大的應應用安全全處理能能力和可可擴展能能力，為為集成更更多的應應用安全全提供了了強大的的資源保保障。5.2強強健的專專用實時時64位位并行操操作系統(tǒng)統(tǒng)（Robbustt Sppeciificc Reeal timme OOperratiing Sysstemm）Hilllstoone全全線產(chǎn)品品采用專專用多線線程實時時64位位并行操操作系統(tǒng)統(tǒng)，多線線程的并并行處理理能力和和模塊化化的結(jié)構(gòu)構(gòu)易于集集成和擴擴展安全全功能，專用的的安全加加固的664位操操作系統(tǒng)統(tǒng)針對新新一代多多核處理理器安全全架構(gòu)進進行了全全面的優(yōu)優(yōu)化和安安全加固固，極大大地提高高了系統(tǒng)

38、統(tǒng)的處理理效率、系統(tǒng)穩(wěn)穩(wěn)定性和和安全性性。模塊塊化和多多線程的的處理機機制，為為Hilllsttonee新一代代的網(wǎng)絡絡安全系系統(tǒng)提供供了極大大的可擴擴展能力力，包括括支持更更多核處處理器和和集成更更多安全全功能。 眾所周知知，操作作系統(tǒng)是是整個安安全設備備的核心心和基礎礎，安全全產(chǎn)品的的操作系系統(tǒng)必須須具有很很強的抗抗攻擊能能力，而而基于軟軟件的安安全系統(tǒng)統(tǒng)采用的的是通用用的操作作系統(tǒng)，通用操操作系統(tǒng)統(tǒng)會暴露露大量的的操作系系統(tǒng)漏洞洞，安全全系統(tǒng)再再強大，操作系系統(tǒng)的漏漏洞會直直接導致致這個系系統(tǒng)的崩崩潰。目目前，專專用定制制的操作作系統(tǒng)被被廣泛采采用。HHilllstoone SA系系列產(chǎn)

39、品品均采用用定制的的專用操操作系統(tǒng)統(tǒng)HSOOS。HHSOSS具有664位實實時并行行處理能能力，其其核心針針對Hiillsstonne SSA硬件件產(chǎn)品進進行了全全面優(yōu)化化，使得得系統(tǒng)具具有更高高的處理理效率和和穩(wěn)定性性。模塊塊化的系系統(tǒng)結(jié)構(gòu)構(gòu)易于繼繼承更多多的安全全功能，系統(tǒng)具具有極強強的伸縮縮性和可可擴展性性。任何何獨立的的安全模模塊出現(xiàn)現(xiàn)問題都都不會影影響整個個系統(tǒng)的的運行。5.3高高可靠性性和穩(wěn)定定性（Higgh RReliiabiilitty aand Staabillityy）積累多年年被證實實的專業(yè)業(yè)硬件安安全產(chǎn)品品研發(fā)和和市場經(jīng)經(jīng)驗，HHilllstoone新新一代網(wǎng)網(wǎng)絡安全全

40、產(chǎn)品在在軟硬件件的可靠靠性和穩(wěn)穩(wěn)定性上上都有了了進一步步提高。全面優(yōu)優(yōu)化的軟軟硬件系系統(tǒng)帶來來高可靠靠性和穩(wěn)穩(wěn)定性，這為網(wǎng)網(wǎng)絡流量量和網(wǎng)絡絡攻擊日日益膨脹脹的企業(yè)業(yè)IT環(huán)環(huán)境提供供了強大大的保障障。Hiillsstonne產(chǎn)品品最大程程度上確確保企業(yè)業(yè)關鍵業(yè)業(yè)務的不不間斷運運行，提提高用戶戶的競爭爭力。5.4最最低的總總體擁有有成本（Lowwestt TCCO）Hilllstoone全全線產(chǎn)品品提供了了非常友友好的使使用和管管理界面面，部署署簡單、易于維維護和管管理。靈靈活的特特性可以以滿足不不同用戶戶不同應應用環(huán)境境的需求求。獨特特創(chuàng)新的的新一代代網(wǎng)絡安安全架構(gòu)構(gòu)提供給給用戶最最大化的的可擴

41、展展能力，最大化化地保護護用戶投投資。5.5 Hilllsttonee SAA系列安安全產(chǎn)品品解決方方案特點點創(chuàng)新的新新一代網(wǎng)網(wǎng)絡安全全架構(gòu)高性能的的綜合安安全系統(tǒng)統(tǒng)高可靠性性和擴展展性高性價比比豐富的安安全特性性最低的TTCO友好和易易于使用用的管理理界面細粒度的的安全參參數(shù)調(diào)整整杰出的內(nèi)內(nèi)容安全全綜合處處理能力力靈活的部部署特性性，易于于部署和和維護全面的產(chǎn)產(chǎn)品線，滿足不不同用戶戶的需求求專業(yè)的技技術支持持和銷售售團隊P2P/IM應應用的安安全控制制和細粒?；芾砝?.6競競爭優(yōu)勢勢Hilllstoone主主要研發(fā)發(fā)和銷售售團隊來來自業(yè)界界知名的的網(wǎng)絡安安全公司司，包括括：NeetSccr

42、eeen、CCISCCO、JJuniiperr、Foortiinett和H33C等。多年成成功的安安全產(chǎn)品品研發(fā)銷銷售經(jīng)驗驗的積累累，厚積積薄發(fā)，引領網(wǎng)網(wǎng)絡安全全走向新新的起點點。高性性能創(chuàng)新新的新一一代安全全產(chǎn)品加加上專業(yè)業(yè)的技術術支持保保障，為為企業(yè)營營造一個個安全的的網(wǎng)絡應應用環(huán)境境保駕護護航。第六章 安全產(chǎn)產(chǎn)品技術術性能指指標HilllStoone Nettworrk SSecuuritty AApplliannceHilllstoone SA-50550/550400/50020/20110Hilllstoone SA-50550/550400/50020/20110系列列產(chǎn)品采采用

43、創(chuàng)新新的644位多核核處理器器、新一一代ASSIC處處理器*和高速速交換總總線技術術，為大大中型企企業(yè)用戶戶提供高高性能的的網(wǎng)絡安安全解決決方案。專用網(wǎng)網(wǎng)絡安全全處理平平臺技術術，擁有有多達116核的的64位位高性能能多核處處理器，提供包包括TCCP會話話保持與與報文重重組、VVPN、QoSS流量管管理等功功能的芯芯片級硬硬件加速速，以及及獨立的的硬件DDFA引引擎。輔輔以高達達24GGbpss高速交交換總線線，以及及新一代代64位位實時并并行操作作系統(tǒng)HSOOS，為為企業(yè)提提供高性性能、高高可靠性性的新一一代硬件件應用安安全產(chǎn)品品。創(chuàng)新的系系統(tǒng)結(jié)構(gòu)構(gòu)Hilllstoone Seccuriit

44、y Apppliaancee系列產(chǎn)產(chǎn)品采用用了多核核處理器器和新一一代ASSIC處處理器*技術，內(nèi)部總總線采用用高達224Gbbps交交換總線線，使得得Hilllsttonee SAA系列產(chǎn)產(chǎn)品在應應用層安安全處理理的性能能上有了了質(zhì)的飛飛躍，為為企業(yè)應應用安全全提供專專業(yè)的高高性能硬硬件平臺臺。高可靠性性和穩(wěn)定定性積累多年年被證實實的專業(yè)業(yè)硬件安安全產(chǎn)品品研發(fā)和和市場經(jīng)經(jīng)驗，HHilllstoone新新一代網(wǎng)網(wǎng)絡安全全產(chǎn)品無無論在軟軟件和硬硬件的可可靠性和和穩(wěn)定性性上都有有了進一一步提高高。 全全面優(yōu)化化的軟硬硬件系統(tǒng)統(tǒng)的高可可靠性和和穩(wěn)定性性為網(wǎng)絡絡流量和和網(wǎng)絡攻攻擊日益益膨脹的的企業(yè)II

45、T環(huán)境境提供了了強大的的保障。Hilllsttonee產(chǎn)品最最大程度度上確保保企業(yè)關關鍵業(yè)務務的不間間斷運行行。強健的專專用實時時操作系系統(tǒng)Hilllstoone Seccuriity Apppliaancee系列產(chǎn)產(chǎn)品采用用了專用用64位位實時并并行操作作系統(tǒng)，并行的的處理能能力和模模塊化的的結(jié)構(gòu)易易于集成成和擴展展安全功功能。專專用的安安全加固固的644位操作作系統(tǒng)針針對新一一代多核核處理器器安全機機構(gòu)進行行了全面面的優(yōu)化化和安全全加固，極大地地提高了了系統(tǒng)的的處理效效率、系系統(tǒng)穩(wěn)定定性和安安全性。模塊化化和并行行多任務務的處理理機制，為Hiillsstonne新一一代的網(wǎng)網(wǎng)絡安全全系統(tǒng)提

46、提供了極極大的可可擴展能能力，包包括支持持更多核核處理器器和集成成更多安安全功能能。最低的總總體擁有有成本Hilllstoone Seccuriity Apppliaancee系列產(chǎn)產(chǎn)品提供供了非常常友好的的使用和和管理界界面，部部署簡單單、易于于維護和和管理。靈活的的特性可可以滿足足不同用用戶不同同應用環(huán)環(huán)境的需需求。獨獨特創(chuàng)新新的新一一代網(wǎng)絡絡安全架架構(gòu)提供供給用戶戶最大化化的可擴擴展能力力，最大大化地保保護用戶戶投資。Hilllstoone SA系系列安全全產(chǎn)品解解決方案案特點：創(chuàng)新的新新一代網(wǎng)網(wǎng)絡安全全架構(gòu)高性能的的綜合安安全系統(tǒng)統(tǒng)高可靠性性和擴展展性豐富的安安全特性性最低的TTCO友

47、好和易易于使用用的管理理界面細粒度的的安全參參數(shù)調(diào)整整杰出的內(nèi)內(nèi)容安全全綜合處處理能力力靈活的部部署特性性，易于于部署和和維護P2P/IM應應用的安安全控制制和管理理Hilllstoone SA-50550/550400/50020/20110安全全特性操作模式式 SA-550500/50040/50220/220100透明模式式是 路由/NNAT模模式 是 L2/LL3混合合模式是 NAT（地址翻翻譯）是 PAT（端口地地址翻譯譯） 是 MIP/VIPP/DIIP是 FireewalllSA-550500/50040/50220/220100網(wǎng)絡層攻攻擊防護護是 DoS和和DDooS防護護是

48、 Syn floood攻攻擊防護護是 畸形報文文防護是 IP 報報文分片片攻擊防防護是 IP 異異常選項項檢測是 TCP 異常檢檢測是 IP地址址欺騙防防護是 IP地址址掃描攻攻擊是 端口掃描描防護是 靜態(tài)和動動態(tài)黑名名單是 會話限制制（基于于源/目的）是 攻擊防護護數(shù)量30基于安全全區(qū)安全全性是 基于Prrofiile的的安全防防護是 基于接口口的ACCL是 NetwworkkinggSA-550500/50040/50220/220100802.1Q VLAAN TTrunnk是 802.3add liink agggreggatiion是 PPPooE CClieent是 DHCPP Reelayy, SServver和和C