hillstone 700x150

Desktop

山石网科下一代防火墙

山石网科下一代防火墙以保障用户应用安全为目标,通过L2-L7 层全面威胁防御及强大应用安全管控技术,为用户提供领先的网络安全解决方案。

山石网科下一代防火墙可精确识别数千种网络应用,并提供详尽的应用风险分析和灵活的策略管控。结合用户识别、内容识别,山石网科下一代防火墙可为用户提供可视化及精细化的应用安全管理。同时,山石网科下一代防火墙内置了先进的威胁检测引擎及专业的WEB 服务器防护功能,能够抵御包括病毒、木马、Botnet、SQL 注入、XSS 跨站脚本、CC 攻击在内的各种网络攻击,有效保护用户网络健康及WEB 服务器安全。基于全并行软硬件架构实现的“一次解包、并行检测”,山石网科下一代防火墙在具备全面安全防护的同时,更为用户提供业界领先的安全防护性能。

山石网科下一代防火墙提供了全面的应用安全防护和灵活的扩展方式,可部署于政府、金融、企业、教育等各个行业,广泛适用于互联网出口、网络与服务器安全隔离、VPN 接入等多种网络应用场景。

产品亮点

精细化应用管控

山石网科下一代防火墙支持深度应用识别技术,可根据协议特征、行为特征及关联分析等,准确识别数千种网络应用,其中包括200 余种移动应用。在此基础上,山石网科下一代防火墙为用户提供了精细而灵活的应用安全管控功能。

  • 应用多维可视化及风险分析。除应用所在分类外,用户可了解到包括应用背景信息、应用风险级别、潜在风险描述、所用技术等详尽信息,如该应用是否大量消耗带宽、是否能够传输文件、是否存在已知漏洞等等。通过多维度的详尽应用分析,用户可制定针对性的安全策略以避免特定应用威胁网络安全。
  • 精准应用筛选。山石网科下一代防火墙提供了精细化的应用筛选机制。用户可根据应用名称、应用类别、 风险级别、所用技术、应用特征等6 大条件,精确筛选出感兴趣的应用类型,如具备文件传输功能的通讯软件,或存在已知漏洞、基于浏览器的WEB 视频应用等等,从而实现精细化的应用管控。
  • 灵活应用控制。基于深度应用识别及精细化的应用筛选,山石网科下一代防火墙支持灵活的安全控制功能。包括策略阻止、会话限制、流量管控、应用引流或时间限制等。如山石网科下一代防火墙支持的iQoS 技术,可在应用识别与用户识别基础上,进行两层八级细粒度流量管控,保证用户重要应用服务质量,提升网络带宽利用率。

全面威胁检测与防护

山石网科下一代防火墙提供了基于深度应用识别、协议检测和攻击 原理分析的入侵防御技术,可有效过滤病毒、木马、蠕虫、间谍软件、 漏洞攻击、逃逸攻击等安全威胁,为用户提供L2-L7 层网络安全防护。

  • 优化的攻击识别算法。能够有效抵御如SYN Flood、UDP Flood、 HTTP Flood 等DoS/DDoS 攻击,保障网络与应用系统的安全可用性。
  • 专业Web 攻击防护功能。支持SQL 注入、跨站脚本、CC 攻击等检 测与过滤,避免Web 服务器遭受攻击破坏;支持外链检查和目录访 问控制,防止Web Shell 和敏感信息泄露,避免网页篡改与挂马, 满足用户Web 服务器深层次安全防护需求。
  • 高性能的病毒过滤。领先的基于流扫描技术的检测引擎可实现低延 时的高性能过滤。支持对HTTP、FTP 及各种邮件传输协议流量和 压缩文件(zip,gzip,rar 等)中病毒的查杀。
  • 专业的Botnet 过滤功能。通过专业的僵尸主机地址以及Botnet 外网 恶意伺服器IP 地址的过滤,从根本上阻断僵尸网络向机构内网的渗 透,有效抵御僵尸网络的威胁。
  • 支持千万级URL 特征库的URL 过滤功能。可帮助网络管理员轻松 实现网页浏览访问控制,避免恶意URL 带来的威胁渗入。

基于多核硬件架构及“一次解包,并行检测”技术,山石网科千兆 及桌面型下一代防火墙在开启多种威胁防护功能时,仍可为用户提供业 界领先综合安全性能。

强大的网络适应性

山石网科下一代防火墙具备强大的网络适应能力,具备复杂环境下 的安全部署能力,满足用户多样化的网络功能需求。

  • 智能链路负载均衡功能。其出站动态探测和入站SmartDNS 等功能 允许网络访问流量在多条链路上实现智能分担,极大提升链路利用 效率和用户网络访问体验。
  • 支持RIP、OSPF 和BGP 等动态路由协议。可根据网络系统的运行情况自动调整动态路由表,满足运营商、高校等复杂网络环境部署。
  • 内置VPN 加速芯片。可显著提升IPSec/SSL VPN 性能,支持大规模网络环境中VPN部署。结合iOS 及Android 平台下的VPN客户端,可为用户提供移动终端远程接入解决方案。

灵活便捷的无线安全

山石网科E1100 系列下一代防火墙为用户提供了丰富的网络接入选 择,包括WIFI 及3G 接入功能。

  • WIFI 热点功能。E1100 系列支持802.11a/b/g/n 无线局域网接入标准, 最高可达300Mbps 无线网络连接速率,充分满足分支机构、SOHO 办公室等应用环境中有线与无线混合接入需求。同时,提供了用户认证、网络与用户安全隔离等无线安全功能,杜绝非法接入,避免信息泄露。
  • 3G无线WAN接入。E1100 系列下一代防火墙支持3G移动通信技术, 可通过内置或外置3G 模块支持电信、联通、移动三大运营商3G 网 络接入,为用户提供更加灵活的广域网接入方式。并且支持3G 链路 与有线WAN 链路之间的负载均衡与冗余备份,实现VPN 备份部署, 确保业务持续运行。

统一集中管理

山石网科下一代防火墙支持集中管理,借助HSM 安全管理平台,可 对多设备进行统一策略管理、设备配置管理及实时安全监控,从而实现 网络的快速部署以及发生安全事件的及时响应,提高管理效率,降低运 维成本。

功能规格

应用识别

  • 全新一代基于应用特征、行为和关联信息的应用识别
  • 支持应用类别、风险等级等多维度的应用定义
  • 多达几千种的应用特征库
  • 应用特征库支持网络实时更新

用户认证

  • 支持本地用户认证
  • 支持外部服务器用户认证(RADIUS、LDAP、MS AD)
  • Web认证
  • 802.1X
  • 支持MS AD用户组同步
  • 支持Web认证后的SSO

防火墙

  • 基于深度应用识别的访问控制
  • 基于应用 / 角色的安全策略
  • 丰富的路由特性
  • 强大的 NAT 及 ALG

攻击防护

  • 多种畸形报文攻击防护
  • SYN Flood、DNS Query Flood等多种DoS/DDoS攻击防护
  • 支持ARP攻击防护

入侵防御

  • 基于状态、精准的高性能攻击检测和防御
  • 实时攻击源阻断、IP 屏蔽、攻击事件记录
  • 支持针对HTTP、SMTP、IMAP、POP3、VOIP、NETBIOS等20余种协议和应用的攻击检测和防御
  • 支持缓冲区溢出、SQL 注入和跨站脚本攻击的检测和防护
  • 超过3000种特征的攻击检测和防御,特征库支持网络实时更新
  • 支持专业的Web Server防护功能,含CC攻击防护和外链防护等

病毒过滤

  • 基于流的病毒过滤
  • 支持压缩病毒文件的扫描
  • 超过130万的病毒特征库,病毒库支持网络实时更新

Botnet Filter

  • 支持专业的僵尸主机地址、Botnet外网恶意伺服器IP地址的过滤

网页访问控制

  • 基于角色、时间、优先级、网页类别等条件的Web网页访问控制
  • 支持自定义URL类别
  • 支持千万级URL特征库,URL库支持网络实时更新

带宽管理

  • 根据安全域、接口、地址、用户/用户组、服务/服务组、应用/应用组、TOS、Vlan等信息划分管道
  • 支持两层八级管道嵌套
  • 对多层级管道进行最大带宽限制、最小带宽保证、每IP或每用户的最大带宽限制和最小带宽保证
  • 基于时间和优先级的差分服务,支持带宽均分策略
  • 对剩余带宽根据优先级进行弹性分配
  • 主动抑制服务器端传送流量

链路负载均衡

  • Outbound 相关功能 PBR 支持 ECMP、时间以及权重、支持内置 ISP 路由和动态探测
  • Inbound 相关功能支持 SmartDNS(支持DNS A记录解析)、支持动态探测
  • 可根据带宽占用及时延情况自动进行链路切换
  • 支持通过ARP、Ping、DNS等方法来检测链路状态

服务器负载均衡

  • 支持服务器健康检查和服务器会话保护、支持会话保持
  • 支持加权哈希、加权轮询、加权最小会话数等算法
  • 支持服务器会话状态的监控

VPN

  • 支持IPSec VPN及创新的PnPVPN
  • 支持 SSL VPN ( 可选 USB-key)
  • 支持 L2TP、GRE协议
  • 支持IKEv2协议
  • 支持Xauth协议
  • 支持OCSP和SCEP协议
  • 支持Android、iOS等移动设备的安全接入

IPv6

  • 访问控制
  • ND攻击防护
  • 隧道、DNS64/NAT64等多种过渡技术
  • IPv6路由( 静态路由、RIPng、OSPFv3、BGP4+)

高可用性 (HA)(1)

  • 主/主模式 (A/A) 和主/备模式 (A/P)
  • 支持配置、会话同步

虚拟系统 (VSYS)(2)

  • 支持对每个Vsys分配系统资源
  • 支持CPU虚拟化
  • 支持防火墙、IPSec VPN、SSL VPN功能
  • 支持监控统计

无线控制 (3)

  • 支持多SSID
  • 支持无线流量控制

3G接入 (3)

  • 支持有线链路与3G链路备份
  • 支持基于3G的IPSec VPN

监控统计

  • 支持URL日志、NAT日志、会话日志、威胁日志等
  • 支持实时流量统计和分析功能
  • 支持安全事件统计功能

注:(1) E1100系列不支持

(2) 仅M6560、E3660、E2300、E2800、G3150、G2120、G2110支持

(3) 仅E1100系列支持

关键指标

除非另有说明,否则所列出的性能,容量和特性是基于StoneOS®5.5的系统,实际结果可能会因StoneOS®版本和部署情况而异。

注: (1) IPSec吞吐量是用Pre-shared key+AES256+SHA-1,用1,400字节数据流测试所得;

(2) 防病毒吞吐量根据带附件的HTTP流量测试所得;

(3) IPS吞吐量是使用HTTP流量,在启用所有IPS规则,并打开双向检测的条件下测试所得;

(4)测试标准国家标准GB/T17626.5-2008及国际标准IEC61000-4-5。

 

除非另有说明,否则所列出的性能,容量和特性是基于StoneOS®5.5的系统,实际结果可能会因StoneOS®版本和部署情况而异。

注: (1) IPSec吞吐量是用Pre-shared key+AES256+SHA-1,用1,400字节数据流测试所得;

(2) 防病毒吞吐量根据带附件的HTTP流量测试所得;

(3) IPS吞吐量是使用HTTP流量,在启用所有IPS规则,并打开双向检测的条件下测试所得;

(4)测试标准国家标准GB/T17626.5-2008及国际标准IEC61000-4-5;

(5) 推荐使用经过验证的3G模块型号,具体可咨询400-828-6655。

 

除非另有说明,否则所列出的性能,容量和特性是基于StoneOS®5.5的系统,实际结果可能会因StoneOS®版本和部署情况而异。

注: (1) IPSec吞吐量是用Pre-shared key+AES256+SHA-1,用1,400字节数据流测试所得;

(2) 防病毒吞吐量根据带附件的HTTP流量测试所得;

(3) IPS吞吐量是使用HTTP流量,在启用所有IPS规则,并打开双向检测的条件下测试所得;

扩展模块