Hillstone廣電網(wǎng)絡(luò)安全解決方案

Hillstone山石網(wǎng)科廣電網(wǎng)多鏈路出口安全解決方案——應(yīng)用Hillstone山石網(wǎng)科助力廣電網(wǎng)多鏈路負載均衡&安全管理解決方案山石網(wǎng)科通信技術(shù)(北京)有限公司2010年4月前言Hillstone山石網(wǎng)科NetworksInc.“山石網(wǎng)科”創(chuàng)建于2006年，是網(wǎng)絡(luò)安全領(lǐng)域的代表企業(yè)之一，公司總部位于中國北京，并在美國硅谷設(shè)有研發(fā)中心。Hillstone山石網(wǎng)科山石網(wǎng)科積累了多年網(wǎng)絡(luò)安全產(chǎn)品研發(fā)和市場運作經(jīng)驗，專注于信息安全，是專業(yè)的新一代安全網(wǎng)絡(luò)設(shè)備提供商。目前，Hillstone山石網(wǎng)科山石網(wǎng)科擁有員工150余人，其中博士、碩士占30%以上。公司創(chuàng)始人均是國際安全業(yè)界的專家，包括Netscreen早期創(chuàng)始團隊成員。公司的核心團隊由來自NetScreen、Cisco、Juniper、Fortinet和H3C等中外著名企業(yè)的精英組成，具備先進的技術(shù)經(jīng)驗和豐富的企業(yè)管理經(jīng)驗。公司設(shè)有系統(tǒng)架構(gòu)部、系統(tǒng)運營部、軟件系統(tǒng)部、市場部、渠道銷售部、售前售后技術(shù)部等部門，并且已經(jīng)通過投資、控股和合作等形式，在亞太區(qū)形成了良性發(fā)展的產(chǎn)業(yè)和營銷體系。自成立以來，Hillstone山石網(wǎng)科山石網(wǎng)科就以“貼近市場，貼近客戶，快速把握并滿足客戶需求”為己任，用產(chǎn)品和方案來幫助客戶獲得網(wǎng)絡(luò)安全，從而實現(xiàn)自身的企業(yè)價值。Hillstone山石網(wǎng)科山石網(wǎng)科憑借其獨特的服務(wù)精神和強大的技術(shù)實力，以國際一流的技術(shù)打造適合中國本土化應(yīng)用需求的高性能產(chǎn)品，并提供高性價比的新一代網(wǎng)絡(luò)安全整體解決方案，服務(wù)于中國高速發(fā)展的網(wǎng)絡(luò)市場。作為產(chǎn)業(yè)鏈中至關(guān)重要的一環(huán)，Hillstone山石網(wǎng)科山石網(wǎng)科勇于創(chuàng)新，公司的SA系列安全網(wǎng)關(guān)和SR系列安全路由器產(chǎn)品，已經(jīng)為網(wǎng)絡(luò)安全領(lǐng)域樹立了新的安全網(wǎng)絡(luò)產(chǎn)品質(zhì)量水平標桿，在國內(nèi)各大中小型企業(yè)及各高校中擁有了廣大的客戶群體，并贏得了用戶的高度肯定。在網(wǎng)絡(luò)時代的今天，Hillstone山石網(wǎng)科山石網(wǎng)科愿與所有客戶、合作伙伴一起，在探索與實踐中國網(wǎng)絡(luò)安全穩(wěn)健和諧發(fā)展的新長征中，攜手共贏！一、廣電網(wǎng)出口網(wǎng)絡(luò)現(xiàn)狀描述1項目背景廣電網(wǎng)，通常是各地有線電視網(wǎng)絡(luò)公司（臺）負責(zé)建設(shè)運營的。其職能類似于ISP，可向政府，企業(yè)，網(wǎng)吧或普通用戶提供寬帶接入。但廣電自己沒有獨立的Internet接入出口。所以，廣電會向電信，網(wǎng)通等ISP租用帶寬，而后再通過光纖或HFC網(wǎng)向用戶提供寬帶接入服務(wù)，其職能類似于2級ISP。通常情況下，為了保證互聯(lián)網(wǎng)訪問的服務(wù)質(zhì)量，緩解中國存在的南北兩家ISP帶來的互聯(lián)互通問題，廣電采用同時租用多家ISP鏈路的辦法以保障INTERNET鏈路出口的穩(wěn)定性和訪問質(zhì)量。通過分析，廣電網(wǎng)絡(luò)中通常存在如下問題：1）需要高性價比的多鏈路負載均衡解決方案為了保證出口鏈路對互聯(lián)網(wǎng)訪問的質(zhì)量，廣電會同時租用多家ISP的鏈路以保障INTERNET鏈路出口的穩(wěn)定性和訪問質(zhì)量。通常情況下，廣電至少租用電信和網(wǎng)通2大ISP的鏈路，部分地區(qū)會進一步接入聯(lián)通，鐵通和教育網(wǎng)的鏈路。多鏈路的接入，擴充了帶寬，但也給廣電帶來了新的挑戰(zhàn)－各種出口鏈路的流量負載分配的問題。選擇F5等負載均衡廠商產(chǎn)品來解決出口網(wǎng)絡(luò)的均衡問題是一種方法，但該類設(shè)備的價格昂貴，處理性能不理想，且安全性較低。所以，廣電迫切需要一性價比更高的多鏈路負載均衡的解決方案。2）日益增長的業(yè)務(wù)訪問量給防火墻帶來巨大壓力廣電網(wǎng)從建立之初就考慮到了安全問題，采用防火墻設(shè)備做為廣電網(wǎng)網(wǎng)絡(luò)出口安全防護已經(jīng)比較普遍。但廣電網(wǎng)現(xiàn)有的防火墻部署時間較早，一般都是采用傳統(tǒng)的X86架構(gòu)或ASIC架構(gòu)。其網(wǎng)絡(luò)性能往往不能繼續(xù)支撐日益增長的業(yè)務(wù)訪問量。隨著跨網(wǎng)應(yīng)用的驟增，廣電網(wǎng)網(wǎng)絡(luò)環(huán)境基于X86或者ASIC的傳統(tǒng)架構(gòu)的防火墻會導(dǎo)致網(wǎng)絡(luò)傳輸延遲增大，部分的防火墻設(shè)備已成為整個網(wǎng)絡(luò)傳輸?shù)钠款i之一，嚴重影響整個廣電網(wǎng)出口的正常業(yè)務(wù)需求。為了滿足網(wǎng)絡(luò)持續(xù)發(fā)展的需要，需要選擇一款高性能、高吞吐、易于擴展性能和功能的防火墻或者安全網(wǎng)關(guān)。3）DDOS/DOS攻擊搶占業(yè)務(wù)帶寬隨著攻擊技術(shù)不斷提高，作為2級ISP，的廣電網(wǎng)內(nèi)外均承受著巨大的攻擊壓力，在廣電的提供的線路中，充斥了各種DOS/DDOS的攻擊,在外網(wǎng)最常見的有：SYN-floodUDP-floodICMP-floodWinnukeSmurf/Fraggle畸形報文報文分片攻擊IP異常選項攻擊地址欺騙地址掃描端口掃描在廣電內(nèi)網(wǎng)，同樣存在各種DDOS攻擊。例如：Arp欺騙攻擊Mac欺騙攻擊流量攫取地址欺騙地址掃描端口掃描傳統(tǒng)的防火墻并不具備內(nèi)、外網(wǎng)防攻擊手段及能力，在面臨大范圍病毒爆發(fā)或攻擊發(fā)作的時候其可靠性和可用性都會大幅下降，其，嚴重時將導(dǎo)致設(shè)備宕機，甚至業(yè)務(wù)中斷。4）新型應(yīng)用帶來的帶寬管理問題隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，局域網(wǎng)、廣域網(wǎng)及互聯(lián)網(wǎng)之間的界限逐漸消除，各種新型的網(wǎng)絡(luò)應(yīng)用不斷涌現(xiàn)。。如何有效利用現(xiàn)有帶寬資源為信息科技部門帶來了更多挑戰(zhàn)，要做到保障在網(wǎng)絡(luò)上應(yīng)用暢通無阻的同時，使得實時性要求很高的應(yīng)用具備更高的優(yōu)先級。目前廣電網(wǎng)網(wǎng)絡(luò)主要存在網(wǎng)絡(luò)使用效率低的問題，主要表現(xiàn)在：廣電網(wǎng)的用戶“上網(wǎng)”的體驗效果不好網(wǎng)絡(luò)出口帶寬年年升級，但仍然不能滿足用戶日益增長的需求，很多廣電網(wǎng)用戶都長期面臨帶寬的煩惱：“上網(wǎng)速度慢”。用戶的上網(wǎng)體驗效果差造成用戶帶寬擁塞的根本原因是出口帶寬永遠低于桌面帶寬需求量總和；但這并非意味著只有通過提升帶寬才能夠提升用戶體驗效果。大多數(shù)上網(wǎng)用戶體驗效果不好主要原因是因為Web網(wǎng)頁打開慢、網(wǎng)上視頻、語音質(zhì)量差、網(wǎng)絡(luò)游戲延遲大等問題造成的。而這些應(yīng)用的帶寬卻被P2P軟件產(chǎn)生的流量占用。而網(wǎng)上視頻、語音、網(wǎng)絡(luò)游戲等應(yīng)用的實時性要求比P2P軟件實時性要求高得多。所以，要提升用戶上網(wǎng)體驗，最好的辦法是給實時性要求高的應(yīng)用保留合理的帶寬。這樣既能夠保障上網(wǎng)用戶的體驗效果，讓網(wǎng)絡(luò)帶寬資源的利用率合理化，最大化。無法實時地、直觀地了解每個用戶網(wǎng)絡(luò)以及應(yīng)用在帶寬上的分配出口的整體帶寬幾乎跑滿了，但到底是那個用戶使用的最多，那個服務(wù)使用的最多，管理人員直接地實時地了解和掌握這些信息，就無法診斷網(wǎng)絡(luò)存在的問題。因此，網(wǎng)絡(luò)的使用情況對管理人員是未知的，如何使這個未知的網(wǎng)絡(luò)使用情況變成透明的，也是網(wǎng)絡(luò)管理者關(guān)心的問題。5）病毒防護能力差病毒防護對于每個用戶來說都不陌生，并且也基本都在這一領(lǐng)域或多或少的投入了精力，但是最終效果卻都不是很理想。目前用戶對于病毒的防護都是采用主機防護的方式，防病毒程序及病毒庫都運行在主機端，而主機端在作病毒防護的同時，其本機安全卻存在極大的安全隱患甚至存在極大的漏洞，這對于整體的病毒防護效果來說無疑是非常尷尬的。病毒的傳播及發(fā)作都有其特定的周期性和規(guī)律性，在同一時期常常是同一類型的病毒大規(guī)模發(fā)作，而對于一些性能比較差的主機在進行類似病毒查殺的時候往往出現(xiàn)機器響應(yīng)慢、操作延遲大甚至死機的情況，根本無法進行正常的病毒查殺工作。這個時候如果能夠在網(wǎng)絡(luò)層面對這些同一類型的病毒進行統(tǒng)一查殺的話，效果將是最優(yōu)的。6）對于應(yīng)用無法有效管控網(wǎng)絡(luò)中所有的網(wǎng)絡(luò)通訊都是基于應(yīng)用的。而目前Internet上的應(yīng)用以幾何倍數(shù)在增長，每天都有大量新應(yīng)用出現(xiàn)，如何有效管控這些網(wǎng)絡(luò)應(yīng)用是廣電網(wǎng)用戶急需解決的問題。內(nèi)容過濾：企業(yè)的網(wǎng)絡(luò)資源是用來作業(yè)務(wù)支撐和業(yè)務(wù)拓展使用的，而使用這些資源的過程中必須進行內(nèi)容的控制以避免相關(guān)的法律等問題。網(wǎng)頁URL和網(wǎng)頁內(nèi)容的關(guān)鍵字過濾能為用戶解決相關(guān)問題。會話管理：企業(yè)內(nèi)部每個IP地址都會對網(wǎng)絡(luò)資源創(chuàng)建一定數(shù)量的會話連接合理的會話連接是企業(yè)所允許的，但過大的會話連接同樣是對企業(yè)資源的一種濫用，同樣需要進行有效管控。7）網(wǎng)絡(luò)需要更好的冗余備份機制廣電網(wǎng)的多出口在整個網(wǎng)絡(luò)中扮演著至關(guān)重要的角色，廣電網(wǎng)絡(luò)內(nèi)部用戶依托于多出口鏈路才能更好地與互聯(lián)網(wǎng)做到充分連接，為了維護出口的持久穩(wěn)定，廣電采用了多鏈路接入（多出口）的解決方案。冗余技術(shù)是解決網(wǎng)絡(luò)單點故障、維護網(wǎng)絡(luò)持續(xù)穩(wěn)定性的最有效解決方案。廣電網(wǎng)網(wǎng)絡(luò)建設(shè)需要充分考慮冗余技術(shù)的應(yīng)用，尤其是網(wǎng)絡(luò)關(guān)鍵節(jié)點，如網(wǎng)絡(luò)接入端、網(wǎng)絡(luò)核心層等等。8）更簡單實用的VPNVPN(VirtualPrivateNetworks)在互聯(lián)網(wǎng)應(yīng)用中極為廣泛，他是企業(yè)和政府安全擴展遠程應(yīng)用的有效解決方案。隨著企業(yè)規(guī)模的擴大及業(yè)務(wù)發(fā)展的需要，各分支機構(gòu)之間、移動辦公員工和公司之間以及合作伙伴和公司之間的VPN加密遠程數(shù)據(jù)傳輸是廣電網(wǎng)解決遠程傳輸數(shù)據(jù)的私密性、安全性和降低費用的有效辦法。而如何簡單、方便快捷的維護某個企業(yè)的VPN以及降低企業(yè)VPN的維護成本是廣電網(wǎng)用戶同樣需要考慮的。IPSecVPN：分支機構(gòu)之間需要部署站點到站點的IPSecVPN，采用網(wǎng)狀架構(gòu)或者星形架構(gòu)；合作伙伴和公司之間需要部署站點到站點的IPSecVPN；SSLVPN：考慮到IT維護成本，遠程移動辦公員工和公司之間部署SSLVPN，能夠快速、便捷的進行VPN互聯(lián)訪問。冗余VPN：很多用戶在總部都會部署多條Internet鏈路，一方面能夠提供更快的上網(wǎng)速度，另一方面能夠為遠程站點提供多條冗余的VPN接入，能夠在多條VPN鏈路之間冗余切換，以大大提高VPN接入的可靠性。靈活的網(wǎng)絡(luò)實時監(jiān)控工具：在一個復(fù)雜的網(wǎng)絡(luò)環(huán)境中，有多少IPSecVPN連接，有多少SSLVPN連接，有多少攻擊等等都是網(wǎng)絡(luò)管理員非常關(guān)心的問題，也是他們進行合理的網(wǎng)絡(luò)規(guī)劃以及有效的網(wǎng)絡(luò)管理的可靠依據(jù)。甚至在某些極端環(huán)境下，網(wǎng)絡(luò)管理員還非常想定位網(wǎng)絡(luò)中哪些IP地址占用了大部分帶寬，哪些應(yīng)用占用了擠占了企業(yè)關(guān)鍵應(yīng)用等等。所有的這些需求都建立在靈活的網(wǎng)絡(luò)實時監(jiān)控基礎(chǔ)上，用戶需要能夠?qū)崟r監(jiān)控到網(wǎng)絡(luò)中的一舉一動，這對于一個企業(yè)的網(wǎng)絡(luò)管理水平是至關(guān)重要的一環(huán)。二、Hillstone山石網(wǎng)科廣電網(wǎng)多鏈路安全方案1網(wǎng)絡(luò)安全設(shè)計的基本原則1.1技術(shù)先進性和實用性原則網(wǎng)絡(luò)安全方案中采用的技術(shù)，需要具有一定的前瞻性，符合一定時期內(nèi)網(wǎng)絡(luò)安全技術(shù)發(fā)展的趨勢，并在今后一定的時期內(nèi)處于領(lǐng)先地位。網(wǎng)絡(luò)安全系統(tǒng)設(shè)計須遵循先進性和成熟性。由于IT行業(yè)的技術(shù)更新?lián)Q代很快，為了保證網(wǎng)絡(luò)能夠滿足今后一段時間內(nèi)應(yīng)用的發(fā)展，在選擇網(wǎng)絡(luò)安全技術(shù)和設(shè)備時不僅要考慮成熟性，也要考慮技術(shù)的先進性，同時需要綜合考慮接入業(yè)務(wù)的特點等多方面的因素。一種新技術(shù)在剛出現(xiàn)時往往伴隨著不穩(wěn)定和不確定因素，需要有一個發(fā)展、逐步完善和實踐檢驗的過程，經(jīng)常有一些技術(shù)在剛出現(xiàn)時被宣傳和評價很高，但在一段時間后發(fā)現(xiàn)存在很多問題，甚至很快退出市場。用戶采用了這種技術(shù)，往往會因為設(shè)備廠商轉(zhuǎn)產(chǎn)停產(chǎn)等問題，無法對網(wǎng)絡(luò)擴展升級，最終造成前期投資的浪費。同時，一種基于新技術(shù)的產(chǎn)品在剛上市時價格會較高，所以選擇使用一種新的技術(shù)的最佳時機應(yīng)該是在這種技術(shù)在市場上已經(jīng)得到較為廣泛的應(yīng)用，并且在使用中得到肯定之后。雖然這時的技術(shù)可能已經(jīng)不是最新的技術(shù)，但技術(shù)已經(jīng)成熟，設(shè)備的性能價格比更高。所以選擇網(wǎng)絡(luò)技術(shù)和設(shè)備時，可以采用先進性和實用性相結(jié)合的辦法，并找出其中的平衡點。1.2高可靠性原則 由于網(wǎng)絡(luò)對數(shù)據(jù)傳輸?shù)膶崟r性的要求，對網(wǎng)絡(luò)的傳輸環(huán)節(jié)要求很高。因而要求選用的網(wǎng)絡(luò)安全設(shè)備具有相當高的可靠性，要達到電信級標準，具備99.999%的可用性。建設(shè)一個運行穩(wěn)定可靠的現(xiàn)代化網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)中任何一臺安全設(shè)備或任何一條安全設(shè)備上的線路發(fā)生故障都不會導(dǎo)致通過該安全設(shè)備互聯(lián)的兩個網(wǎng)絡(luò)無法通訊，所以，網(wǎng)絡(luò)建設(shè)中選用網(wǎng)絡(luò)設(shè)備和安全設(shè)備應(yīng)能夠保證在不影響網(wǎng)絡(luò)正常運行的情況下完成對網(wǎng)絡(luò)故障的檢測和排除。1.3易于擴展和升級的原則網(wǎng)絡(luò)及數(shù)據(jù)通信技術(shù)發(fā)展速度快、新的設(shè)備不斷面世，新業(yè)務(wù)也將逐步運行在新的數(shù)據(jù)網(wǎng)上，用戶對帶寬的需求必將增長，需要將網(wǎng)絡(luò)系統(tǒng)擴容，因此在網(wǎng)絡(luò)設(shè)計時應(yīng)充分考慮將來網(wǎng)絡(luò)的擴容和升級問題。隨著企業(yè)的發(fā)展擴大，網(wǎng)絡(luò)的系統(tǒng)性能的需要將不斷提高，網(wǎng)絡(luò)的規(guī)模也會不斷擴展，而隔離網(wǎng)絡(luò)的安全設(shè)備也同樣需要擴容和升級。所以在設(shè)計網(wǎng)絡(luò)時，要充分考慮到網(wǎng)絡(luò)安全設(shè)備的可擴展性，為了保護用戶的投資，設(shè)計應(yīng)保證至少若干年內(nèi)網(wǎng)絡(luò)的升級和擴展不需要更換主要網(wǎng)絡(luò)安全設(shè)備，只通過增加一些模塊就可以很好地支撐網(wǎng)絡(luò)性能和規(guī)模的擴展，滿足今后幾年業(yè)務(wù)發(fā)展的需要。1.4管理和維護的方便性網(wǎng)絡(luò)系統(tǒng)中的所有安全設(shè)備均應(yīng)是可管理的，支持遠程監(jiān)控以及對故障的診斷和恢復(fù)?？赏ㄟ^網(wǎng)管軟件方便地監(jiān)控網(wǎng)絡(luò)運行的實時情況，對出現(xiàn)的問題及時處理和解決。2網(wǎng)絡(luò)方案設(shè)計2.1廣電多鏈路安全解決方案示意圖2.2廣電多鏈路安全方案描述綜上所述，結(jié)合網(wǎng)絡(luò)方案設(shè)計原則，通過分析廣電網(wǎng)整個網(wǎng)絡(luò)中的問題，為了解決廣電網(wǎng)絡(luò)出口存在的眾多問題，我們建議采用Hillstone山石網(wǎng)科公司產(chǎn)品來實現(xiàn)我們的解決方案。Hillstone山石網(wǎng)科SA安全網(wǎng)關(guān)，采用創(chuàng)新的多核處理器，和新一代的ASIC技術(shù)。結(jié)合其專為安全設(shè)計的StoneOS操作系統(tǒng)，從處理能力、擴展能力、安全功能、冗余性和應(yīng)用的便利性等方面綜合為用戶考慮，提供了強大的網(wǎng)絡(luò)吞吐能力、眾多的安全功能以及完備的冗余備份機制，能夠充分滿足用戶對網(wǎng)絡(luò)安全性、穩(wěn)定性和高性能的需求。1、通過Hillstone山石網(wǎng)科產(chǎn)品提供多鏈路負載均衡功能Hillstone山石網(wǎng)科SA安全網(wǎng)關(guān)支持Outbound流量的負載均衡。如圖所示，在廣電網(wǎng)出口，廣電同時接入了多家ISP的鏈路，我們需要一個高性價比的Outbound流量的負載均衡解決方案。傳統(tǒng)的負載均衡產(chǎn)品供應(yīng)商，如F5，其產(chǎn)品采用的是X86技術(shù)，價格昂貴，性能較差，且擴展能力低。Hillstone山石網(wǎng)科SA系列產(chǎn)品支持多鏈路Outbound流量的負載均衡，并可針對每條鏈路建立全路徑健康檢查，從而實現(xiàn)鏈路監(jiān)控和智能切換，保障出口鏈路的穩(wěn)定性。而且，設(shè)備內(nèi)置了ISP路由信息，可方便我們實現(xiàn)電信或網(wǎng)絡(luò)路由的快速接入，加快內(nèi)部用戶的訪問速度。Hillstone山石網(wǎng)科SA系列產(chǎn)品能夠提供從150Mbps到20Gbps的全系列網(wǎng)絡(luò)安全網(wǎng)關(guān)產(chǎn)品，能夠滿足廣電網(wǎng)用戶在不同網(wǎng)絡(luò)環(huán)境下的各種業(yè)務(wù)需求。同時Hillstone山石網(wǎng)科SA系列產(chǎn)品采用創(chuàng)新的64位多核處理器，每秒能夠提供最高達20萬的FullTCP會話請求能力。對網(wǎng)絡(luò)流量巨大、應(yīng)用環(huán)境復(fù)雜、具有大量突發(fā)流量的網(wǎng)絡(luò)來說，Hillstone山石網(wǎng)科SA系列產(chǎn)品能夠為其帶來最優(yōu)秀的網(wǎng)絡(luò)體驗及最優(yōu)的性價比。2、通過Hillstone山石網(wǎng)科產(chǎn)品提供高效的外網(wǎng)攻擊防護能力隨著網(wǎng)絡(luò)安全技術(shù)的普及和發(fā)展，越來越多的人能夠很方便的利用Internet上的免費工具進行準網(wǎng)絡(luò)攻擊和真正的網(wǎng)絡(luò)攻擊。同時考慮到境外敵對勢力與恐怖組織對廣電網(wǎng)相關(guān)信息、通信與調(diào)度系統(tǒng)的攻擊，甚至要考慮戰(zhàn)爭與災(zāi)害的威脅。方案中，部署在廣電網(wǎng)Internet出口處的SA安全網(wǎng)關(guān)將為廣電阻止外部攻擊提供有力幫助。 Hillstone山石網(wǎng)科產(chǎn)品能夠提供全面地防攻擊能力，能夠針對DoS/DDoS和常見攻擊進行有效阻斷，同時還能夠針對零日攻擊（即利用剛發(fā)現(xiàn)的漏洞進行攻擊）進行及時的判斷和阻斷，有效保護廣電網(wǎng)企業(yè)用戶的網(wǎng)絡(luò)安全不受侵害。同時，Hillstone山石網(wǎng)科產(chǎn)品強大的應(yīng)用層檢測能力以及應(yīng)用層處理性能為分析和阻擋各類攻擊提供了強大的支持。 Hillstone山石網(wǎng)科針對這些攻擊的防護手段包括：Syn-proxySyn-cookieSyn-filterUdp-filterIcmp-filter特征庫，包括Winnuke、Smurf/Fraggle、Land、IPOption、IPFragment等每IP會話控制每IP流量控制具有專利的ARP攻擊防護功能，能夠徹底解決內(nèi)網(wǎng)ARP欺騙問3、通過Hillstone山石網(wǎng)科產(chǎn)品提供實用的內(nèi)網(wǎng)攻擊防護功能據(jù)權(quán)威機構(gòu)對信息安全事件的統(tǒng)計，大多數(shù)網(wǎng)絡(luò)安全攻擊來自于內(nèi)部，其中大部分事件都是跟ARP有關(guān)的。導(dǎo)致這種現(xiàn)象發(fā)生的原因是大部分網(wǎng)絡(luò)的安全策略都是用以防范外部威脅的，在安全設(shè)計時忽視了網(wǎng)絡(luò)的內(nèi)部安全，或以內(nèi)部網(wǎng)絡(luò)具有固有的高安全性為前提。而這個前提與實際情況恰恰相反。沒有足夠的內(nèi)部威脅防護，網(wǎng)絡(luò)極易受到ARP病毒、ARP地址欺騙、ARP攻擊和其它攻擊，從而造成網(wǎng)絡(luò)不穩(wěn)定的情況頻頻發(fā)生，網(wǎng)絡(luò)反應(yīng)遲鈍，降低了網(wǎng)絡(luò)管理員的工作效率，也使得內(nèi)網(wǎng)用戶的上網(wǎng)體驗效果降低。。針對來自內(nèi)部的這些攻擊，應(yīng)采取適當?shù)姆椒▉磉M行控制和防御。Hillstone山石網(wǎng)科SA系列安全網(wǎng)關(guān)提供了多種機制來抵御這些來自內(nèi)部的攻擊：獨創(chuàng)的ARP防護技術(shù)，提供了客戶端與網(wǎng)關(guān)之間的ARP加密驗證IP地址與MAC地址靜態(tài)綁定MAC地址與端口靜態(tài)綁定開啟/關(guān)閉ARP學(xué)習(xí)功能開啟/關(guān)閉MAC學(xué)習(xí)功能每MAC的IP地址數(shù)限制自動發(fā)送免費ARP包為主機代發(fā)免費ARP包ARP反向查詢端口隔離ARP檢查通過以上措施，可以對來自內(nèi)網(wǎng)的攻擊很好做到防御控制，實現(xiàn)了內(nèi)網(wǎng)的安全，這些具體表現(xiàn)在：內(nèi)網(wǎng)抗攻擊基于接口ZONE的抗攻擊功能，可對來自內(nèi)網(wǎng)的病毒、木馬和攻擊工具產(chǎn)生的惡意流量進行過濾，確?？蛻舳苏ＴL問網(wǎng)絡(luò)資源，并且保證網(wǎng)絡(luò)的暢通、數(shù)據(jù)的快速交換。內(nèi)網(wǎng)安全管理強大的會話控制功能可對內(nèi)網(wǎng)IP的會話數(shù)、主動發(fā)起會話數(shù)、被動連接會話數(shù)及每秒新建會話數(shù)進行控制，有效控制內(nèi)網(wǎng)的大量P2P下載或發(fā)起攻擊等行為。內(nèi)網(wǎng)安全分析日志系統(tǒng)對網(wǎng)絡(luò)中存在的MAC地址沖突、內(nèi)網(wǎng)攻擊等信息記錄日志，對ARP欺騙攻擊等的發(fā)生情況進行統(tǒng)計，并以報表形式表達給管理員，以便集中處理網(wǎng)絡(luò)中威脅最大的客戶端主機。Hillstone山石網(wǎng)科產(chǎn)品能夠提供很好的內(nèi)網(wǎng)攻擊防護功能，結(jié)合來自網(wǎng)絡(luò)外部的攻擊防護功能，能全面杜絕廣電內(nèi)部網(wǎng)絡(luò)的ARP、DDoS攻擊和外部非可信網(wǎng)絡(luò)的攻擊，全面、高效、安全的保護用戶的網(wǎng)絡(luò)，還用戶一個安全、干凈、舒適的信息環(huán)境。4、通過Hillstone山石網(wǎng)科產(chǎn)品提供靈活高效的帶寬管理Hillstone山石網(wǎng)科產(chǎn)品提供專有的智能應(yīng)用識別(IntelligentApplicationIdentification)功能，稱為IAI。IAI能夠?qū)Π儆喾N網(wǎng)絡(luò)應(yīng)用進行分類，甚至包括對加密的P2P應(yīng)用（BitTorrent、迅雷、Emule、Edonkey等）和即時消息流量進行分類。Hillstone山石網(wǎng)科QoS首先根據(jù)流量的應(yīng)用類型對流量進行識別和標記。然后，根據(jù)應(yīng)用識別和標記結(jié)果對流量帶寬進行控制并且區(qū)分優(yōu)先級。一個典型應(yīng)用實例是：用戶可以為關(guān)鍵的ERP和OA流量設(shè)置高優(yōu)先級保證它們的帶寬使用；對于網(wǎng)頁瀏覽和P2P下載流量，用戶可以為它們設(shè)置最低優(yōu)先級并且限制它們的最大帶寬使用量。將Hillstone山石網(wǎng)科的行為控制以及IPQoS結(jié)合使用，用戶可以很容易地為關(guān)鍵用戶控制流量并區(qū)分流量優(yōu)先級。Hillstone山石網(wǎng)科設(shè)備最多可支持20,000個不同IP地址的流量優(yōu)先級區(qū)分和帶寬控制（入方向和出方向），這就相當于系統(tǒng)中可容納最多40,000的QoS隊列。結(jié)合應(yīng)用QoS，Hillstone山石網(wǎng)科設(shè)備可提供另一層的流量控制。Hillstone山石網(wǎng)科設(shè)備可以為每個用戶控制應(yīng)用流量并對該用戶的應(yīng)用流量區(qū)分優(yōu)先級。例如，對于同一個IP地址產(chǎn)生的不同流量，用戶可以基于應(yīng)用分類結(jié)果指定流量的優(yōu)先級。在IPQoS里面使用應(yīng)用QoS，甚至可以對每個IP地址進行流量控制的同時，還能夠?qū)υ揑P地址內(nèi)部應(yīng)用類型的流量進行有效管控。除了高峰時間，用戶經(jīng)常會發(fā)現(xiàn)他們的網(wǎng)絡(luò)帶寬并沒有被充分利用。Hillstone山石網(wǎng)科的彈性QoS功能（FlexQoS）能夠?qū)崟r探測網(wǎng)絡(luò)的出入帶寬利用率，進而動態(tài)調(diào)整特定用戶的帶寬。彈性QoS（FlexQoS）既能為用戶充分利用帶寬資源提供極大的靈活性，又能保證高峰時段的網(wǎng)絡(luò)使用性能?？傊?，通過采取Hillstone山石網(wǎng)科產(chǎn)品所集成的帶寬管理功能，可以在用戶網(wǎng)絡(luò)中做到關(guān)鍵應(yīng)用優(yōu)先，領(lǐng)導(dǎo)信息流量優(yōu)先，非業(yè)務(wù)應(yīng)用限速或禁用，VoIP、視頻應(yīng)用保證時延低、無抖動、音質(zhì)清晰、圖片清楚，這些有效管理帶寬資源和區(qū)分網(wǎng)絡(luò)應(yīng)用的效果都能給用戶帶來更高效、更靈活、更合理的帶寬應(yīng)用，使得昂貴的帶寬能獲取最高的效益和高附加值應(yīng)用。5、通過Hillstone山石網(wǎng)科產(chǎn)品提供快速高效的病毒防護功能隨著網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，越來越多的木馬入侵、病毒等攻擊通過網(wǎng)絡(luò)進行實施及傳播，病毒傳播的范圍廣、速度快，對網(wǎng)絡(luò)用戶造成了難以估量的損害。在用戶網(wǎng)絡(luò)中，由于內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)不可避免的有聯(lián)系，聯(lián)系業(yè)務(wù)眾多，因此，在應(yīng)用中難免存在木馬、病毒及惡意程序等泛濫傳播的。為了解決病毒及惡意程序通過網(wǎng)絡(luò)的傳播問題，很多安全廠家，發(fā)布了病毒防護網(wǎng)關(guān)。但是，前期相關(guān)設(shè)備廠商都遇到了一個很大的技術(shù)難題，就是網(wǎng)關(guān)病毒防護會消耗大量的網(wǎng)關(guān)設(shè)備資源，而對數(shù)據(jù)的轉(zhuǎn)發(fā)及處理造成很大的延時，成為數(shù)據(jù)快速轉(zhuǎn)發(fā)的瓶頸，降低網(wǎng)絡(luò)使用效率。Hillstone山石網(wǎng)科公司為了解決網(wǎng)絡(luò)病毒傳播及網(wǎng)關(guān)查殺毒性能瓶頸的問題，提出了全新的第二代網(wǎng)關(guān)防毒設(shè)計理念，采用全新多核處理器+ASIC+交換總線的硬件設(shè)計，結(jié)合基于并行流的殺毒機制，為了提高病毒查殺的識別能力，整合了殺毒業(yè)內(nèi)知名防毒公司病毒庫，最終實現(xiàn)了高性能的網(wǎng)關(guān)病毒防護功能。Hillstone山石網(wǎng)科產(chǎn)品的病毒防護功能主要有以下特性：基于64位多核處理器的設(shè)計架構(gòu)，滿足病毒防護對CPU和內(nèi)存資源的高需求。多核CPU及專業(yè)的64位專用安全系統(tǒng)，確保了CPU的高效性能輸出?；诓⑿辛鲯呙铏C制的殺毒引擎，充分發(fā)揮硬件優(yōu)勢，確保病毒處理的高性能。先進的多核CPU并行處理方式，硬件數(shù)據(jù)包重組，確保了高性能。基于流的多層壓縮文件解壓。確保對壓縮文件中病毒的徹底查殺。病毒庫的實時自動升級。病毒庫的自動實時更新，確保了最短時間內(nèi)，及時地響應(yīng)對最新病毒的查殺需求。支持對HTTP、FTP、POP3、SMTP和IMAP協(xié)議殺毒。能夠及時發(fā)現(xiàn)多種常用協(xié)議傳輸數(shù)據(jù)中的病毒，進行有效的處理中斷傳輸會話、殺毒、日志記錄等多種處理機制。對于發(fā)現(xiàn)有病毒傳播的數(shù)據(jù)流，可以設(shè)置多種處理方式。網(wǎng)關(guān)殺毒支持透明、路由、混合模式?？梢詽M足各種網(wǎng)絡(luò)環(huán)境部署需要。整合成熟知名殺毒廠家病毒庫及實時升級更新。確保了對病毒的識別查殺能力。病毒防護功能開啟時最大吞吐量達1.68G保證用戶的主干鏈路不會導(dǎo)致數(shù)據(jù)傳輸延時過大，可讓用戶放心使用Hillstone山石網(wǎng)科安全網(wǎng)關(guān)。Hillstone山石網(wǎng)科采用流殺毒掃描技術(shù)的網(wǎng)關(guān)防病毒功能能夠提供高性能、高擴展性的防病毒解決方案，能滿足用戶網(wǎng)絡(luò)現(xiàn)今低延遲和低響應(yīng)時間的應(yīng)用需求。如果配合網(wǎng)絡(luò)版防病毒系統(tǒng)一起使用，能夠為用戶網(wǎng)絡(luò)的病毒防護起到一個雙保險的作用，效果更為顯著。6、通過Hillstone山石網(wǎng)科產(chǎn)品提供高性能的應(yīng)用層管控能力在高速信息交換的Internet上，海量的信息被不斷的發(fā)布和瀏覽。對于企業(yè)和政府用戶來說，很多內(nèi)容是不允許員工利用企業(yè)網(wǎng)絡(luò)來訪問的，如非法內(nèi)容、可能導(dǎo)致公司或政府機密信息泄露的網(wǎng)站等。安全和速度始終是兩個對立面的事物。追求更高的網(wǎng)絡(luò)安全是需要以犧牲網(wǎng)絡(luò)通訊速度為代價的，而追求更高的網(wǎng)絡(luò)通訊速度則需要降低網(wǎng)絡(luò)安全標準。在目前依賴于網(wǎng)絡(luò)應(yīng)用的時代，能夠做到應(yīng)用層的安全檢測以及安全防護功能是所有安全廠商的目標。由于應(yīng)用層的檢測需要進行深度的數(shù)據(jù)包解析，而使用傳統(tǒng)網(wǎng)絡(luò)平臺所帶來的網(wǎng)絡(luò)延遲將是不可接受的。好的安全功能同樣需要好的硬件平臺去實現(xiàn)。Hillstone山石網(wǎng)科SA系列安全網(wǎng)關(guān)采用創(chuàng)新的64位多核處理器以及高達48G的交換總線，能夠避免純ASIC和NP安全系統(tǒng)會話可管理能力和流量控制能力弱的弊病，并能夠提供完美的應(yīng)用層處理能力。Hillstone山石網(wǎng)科SA系列產(chǎn)品具有豐富的應(yīng)用層管控能力，包括URL地址過濾功能、網(wǎng)頁內(nèi)容關(guān)鍵字過濾功能、網(wǎng)頁敏感文件過濾功能、網(wǎng)頁控件過濾功能、協(xié)議命令控制功能等，能夠通過簡單的配置來實現(xiàn)敏感的URL地址、敏感關(guān)鍵字以及敏感文件等內(nèi)容過濾，防止?jié)撛诘陌踩L(fēng)險。7、通過Hillstone山石網(wǎng)科產(chǎn)品提供冗余備份的網(wǎng)絡(luò)架構(gòu) 每個地市的廣電，作為2級ISP，都要為其內(nèi)部的企業(yè)，政府或個人等接入INTERNET提供服務(wù)。保障Internet出口鏈路的穩(wěn)定性，意味著保障所有廣電用戶對互聯(lián)網(wǎng)訪問和互聯(lián)網(wǎng)對這些廣電用戶訪問的穩(wěn)定性。如解決方案示意圖所示，我們在廣電的出口處，安置了2臺Hillstone山石網(wǎng)科SA安全網(wǎng)關(guān)。2臺設(shè)備被部署為HA架構(gòu)，以保障廣電INTERNET出口的高可靠性。Hillstone山石網(wǎng)科SA系列產(chǎn)品能夠支持設(shè)備級別的HA解決方案，如A-P和A-A架構(gòu)。Hillstone山石網(wǎng)科的HA解決方案能夠為網(wǎng)絡(luò)