在國(guó)家“科教興國(guó)”戰(zhàn)略的指引下，山石網(wǎng)科Hillstone憑借專業(yè)的技術(shù)實(shí)力和業(yè)務(wù)積累，在教育行業(yè)的網(wǎng)絡(luò)安全領(lǐng)域縱深拓展。正是基于對(duì)校園網(wǎng)的深刻理解，基于實(shí)事求是的調(diào)研數(shù)據(jù)，山石網(wǎng)科Hillstone推出了度身定制的新一代校園網(wǎng)安全解決方案。

 

1. 越來越多的出口

山石網(wǎng)科Hillstone SA-2010安全網(wǎng)關(guān)，能夠?yàn)橛脩籼峁┽槍?duì)多出口的完美解決方案。

首先可以實(shí)現(xiàn)基于源/目的的智能選路。Hillstone SA-2010安全網(wǎng)關(guān)，按照查找優(yōu)先級(jí)排列分別是：策略路由、源接口路由、源路由、目的路由。即不僅可以實(shí)現(xiàn)基于srcIP的源路由、基于In-interface（源接口）＋srcIP的源接口路由、還可以按照srcIP＋srcPort＋dstIP＋dstPort＋Protocol五元組來完成智能選路的高級(jí)PBR功能，以滿足用戶全方位的要求。

Hillstone SA-2010安全網(wǎng)關(guān)同時(shí)采用ECMP智能負(fù)載均衡技術(shù)，最大可以實(shí)現(xiàn)在40條路徑之間作負(fù)載均衡。此外選擇負(fù)載均衡的方式，有三種方式可供選擇：基于源地址、基于源和目的地址、基于srcIP＋srcPort＋dstIP＋dstPort＋Protocol五元組，來迅速判斷出流量的最佳路徑，使整個(gè)網(wǎng)絡(luò)出口的流量能夠在這些不同的網(wǎng)絡(luò)鏈路中智能的進(jìn)行負(fù)載均衡，達(dá)到最大的網(wǎng)絡(luò)效率。

而且Hillstone SA系列安全網(wǎng)關(guān)支持業(yè)界最全的“透明、路由、NAT、混合”等四種設(shè)備部署模式，尤其是把NAT/路由模式以及透明模式無縫結(jié)合在一起，輔助以靈活的物理端口類型和數(shù)量，完全可以替換傳統(tǒng)的路由器加防火墻的接入方式，簡(jiǎn)化網(wǎng)絡(luò)拓?fù)?，降低投資。

 2. 安全防護(hù)能力

Hillstone SA-2010安全網(wǎng)關(guān)的主要安全防護(hù)主要體現(xiàn)在：
訪問控制：根據(jù)安全策略對(duì)數(shù)據(jù)流進(jìn)行檢查，讓合法的流量通過，將非法的流量阻止，從而達(dá)到訪問控制的目的。具有優(yōu)化的規(guī)則匹配算法，規(guī)則的查詢時(shí)間不隨配置的策略規(guī)則數(shù)目線性增長(zhǎng)；狀態(tài)檢測(cè)（stateful inspection）技術(shù)；

基于安全域的攻擊防護(hù)：包括IP 地址掃描攻擊防護(hù)、端口掃描攻擊防護(hù)、IP 地址欺騙攻擊防護(hù)、SYN Flood 攻擊防護(hù)、SYN-Proxy、ICMP Flood 攻擊防護(hù)、UDP Flood 攻擊防護(hù)、Huge ICMP 包攻擊防護(hù)、WinNuke 攻擊防護(hù)、Ping of Death 攻擊防護(hù)、Teardrop 攻擊防護(hù)、IP Option 攻擊防護(hù)、TCP 異常攻擊防護(hù)、Land 攻擊防護(hù)、IP 碎片攻擊防護(hù)、Smurf 和Fraggle 攻擊防護(hù)功能等。

我們可以看到校園網(wǎng)DOS/DDOS攻擊，由于其攻擊的突發(fā)性和隨機(jī)性的特點(diǎn)，在線(In-line)防御方式才能做到實(shí)時(shí)的檢測(cè)和防御，最大限度的保護(hù)校園網(wǎng)。Hillstone SA-2010安全網(wǎng)關(guān)的性能避免了在線防御的性能瓶頸問題。Hillstone SA-2010安全網(wǎng)關(guān)，最高可以在每秒創(chuàng)建2000TCP會(huì)話作為背景流量，檢測(cè)并防御880kpps（64字節(jié)數(shù)據(jù)包）/s以上的SYN-FLOOD攻擊，具有業(yè)界超強(qiáng)的DDoS攻擊防護(hù)能力。

3. 流量控制

Hillstone SA-2010安全網(wǎng)關(guān)，全面兼容Cisco QoS 解決方案。

Hillstone SA-2010安全網(wǎng)關(guān)的QoS 功能，可以順利實(shí)現(xiàn)校園網(wǎng)的應(yīng)用流量控制要求：對(duì)于重要的應(yīng)用(如HTTP應(yīng)用)，保證其最小帶寬使用量，并且借用剩余帶寬；對(duì)于占用大量帶寬但不重要的應(yīng)用(如P2P應(yīng)用)對(duì)其進(jìn)行最大帶寬限制（有時(shí)候還需限制P2P 上傳流量，減少外部用戶對(duì)帶寬的消耗）；支持基于時(shí)間段生效的帶寬控制策略（可以通過配置不同的時(shí)間段策略進(jìn)行時(shí)間與應(yīng)用帶寬上的管理與控制）等。

 Hillstone SA-2010安全網(wǎng)關(guān)，具有獨(dú)創(chuàng)的智能應(yīng)用識(shí)別(Intelligent Application Identify)技術(shù)，確保精確的識(shí)別應(yīng)用。尤其強(qiáng)調(diào)國(guó)內(nèi)環(huán)境P2P的識(shí)別，支持國(guó)內(nèi)校園網(wǎng)常見的Thunder(迅雷)、Web訊雷、Bit Torrent、eMule、eDonkey、百度下吧、POCO、PPLive、酷狗、哇嘎畫時(shí)代等常見的P2P的識(shí)別。

當(dāng)QoS為每用戶限制在一個(gè)帶寬數(shù)值之內(nèi)時(shí)，在某些時(shí)刻（如后半夜）可能帶寬利用率只有不到10%。雖然此時(shí)有足夠的帶寬，但是IP帶寬受限，無法利用空閑帶寬。Hillstone SA-2010安全網(wǎng)關(guān)支持彈性QoS （Flex-QoS），以求充分的利用帶寬資源，杜絕浪費(fèi)。

在保障系統(tǒng)運(yùn)行性能的情況下， Hillstone SA-2010安全網(wǎng)關(guān)最高可實(shí)現(xiàn)精密度為1kbps，多達(dá)2萬個(gè)用戶的流量控制。

4. “無所不聯(lián)”的接入能力

針對(duì)廣大師生需要從校外遠(yuǎn)程訪問校內(nèi)的數(shù)字圖書館，領(lǐng)導(dǎo)、老師需要從校外遠(yuǎn)程使用校內(nèi)的辦公應(yīng)用系統(tǒng)的遠(yuǎn)程安全接入需求，Hillstone SA-2010安全網(wǎng)關(guān)提供了新一代 SSL VPN技術(shù)解決方案。Hillstone的SSL VPN無需預(yù)先安裝和配置客戶端，所有的安裝和升級(jí)都可以在遠(yuǎn)程接入時(shí)自動(dòng)完成，把IT部門的負(fù)擔(dān)減少到最低。并且結(jié)合Hillstone的Role Base Policy（用戶—角色—資源）技術(shù)， 根據(jù)用戶身份，管理員可以通過配置訪問策略的方式實(shí)現(xiàn)用戶對(duì)資源的訪問控制，以保障某些特定的網(wǎng)絡(luò)資源只能被授權(quán)的用戶訪問。

針對(duì)分布在高校內(nèi)的多個(gè)校區(qū)之間的核心、敏感部門機(jī)構(gòu)（財(cái)務(wù)、人事等部門）之間也必須實(shí)現(xiàn)安全互聯(lián)的需求，建議采用IPSec VPN技術(shù)實(shí)現(xiàn)。

Hillstone SA-2010安全網(wǎng)關(guān)，是IPSec VPN+SSL VPN二合一的網(wǎng)關(guān)，充分繼承IPSec和SSL VPN技術(shù)的優(yōu)勢(shì)，彌補(bǔ)各自的缺陷。
校園網(wǎng)“無所不聯(lián)”的VPN應(yīng)用，需要設(shè)備支持高性能，高吞吐率，支持高并發(fā)VPN用戶數(shù)量。Hillstone SA-2010安全網(wǎng)關(guān)，最大支持10,000個(gè)SSL用戶數(shù)，30,000個(gè)IPSec通道數(shù)，8Gbps的IPSec VPN吞吐率 (3DES+SHA-1)，為校園網(wǎng)“無所不聯(lián)”的VPN應(yīng)用提供高性能的VPN接入能力。

5. 對(duì)內(nèi)網(wǎng)的監(jiān)控以及上網(wǎng)行為控制

校園網(wǎng)內(nèi)網(wǎng)到外網(wǎng)的安全威脅比較嚴(yán)重。還需要能夠監(jiān)督、控制全網(wǎng)應(yīng)用協(xié)議的情況（流量分布、會(huì)話數(shù)量）、校園網(wǎng)每用戶的使用情況（上下行流量、會(huì)話數(shù)量）等作為輔助管理手段。

Hillstone SA-2010安全網(wǎng)關(guān)，不僅可以實(shí)時(shí)監(jiān)控對(duì)校園網(wǎng)每用戶的上下行流量、會(huì)話數(shù)量，并且通過對(duì)校園網(wǎng)每用戶進(jìn)行會(huì)話數(shù)量或者建立會(huì)話速率控制，從而保護(hù)安全網(wǎng)關(guān)設(shè)備自身會(huì)話表，還能夠在一定程度上限制一些P2P應(yīng)用的帶寬。

對(duì)于學(xué)生訪問成人、反動(dòng)網(wǎng)站——通過Hillstone SA-2010安全網(wǎng)關(guān)URL過濾功能，可以根據(jù)URL黑名單、關(guān)鍵字列表有選擇性地限制校園網(wǎng)用戶對(duì)某些網(wǎng)頁(yè)的訪問。此外，如果有需要，Hillstone SA-2010安全網(wǎng)關(guān)還可以對(duì)校園網(wǎng)用戶的IM使用(Yahoo! Messenger 、MSN、Windows Messenger、QQ、新浪UC、網(wǎng)易POPO、搜Q)進(jìn)行控制，如阻止登錄、阻止文本聊天行為或者阻止文件傳輸行為等。

 6. ARP攻擊防御

在Hillstone SA-2010安全網(wǎng)關(guān)、Hillstone SR系列安全路由器之上，山石網(wǎng)科Hillstone首創(chuàng)加密ARP協(xié)議，徹底解決ARP攻擊。

裝有Hillstone ARP客戶端的PC會(huì)與Hillstone設(shè)備(SA系列安全網(wǎng)關(guān)、SR系列安全路由器)進(jìn)行基于身份認(rèn)證的ARP協(xié)議通訊，這就保證每臺(tái)安裝客戶端的PC能夠獲得來自于Hillstone設(shè)備認(rèn)證過的設(shè)備MAC地址。這個(gè)交換使用公鑰基礎(chǔ)設(shè)施（PKI）來確保ARP信息的真實(shí)性。該協(xié)議執(zhí)行強(qiáng)大的反偽造和防重放機(jī)制，使系統(tǒng)免受各種攻擊，包括偽造的ARP包和重放的ARP包。

ARP客戶端還可以監(jiān)控PC的可疑二層行為并阻斷受感染的PC對(duì)同一局域網(wǎng)內(nèi)的其他PC或網(wǎng)絡(luò)設(shè)備發(fā)動(dòng)ARP攻擊。此外，Hillstone設(shè)備可以探測(cè)客戶端是否安裝了ARP驗(yàn)證工具并且在客戶端安裝該工具之前拒絕其訪問Internet。

7. 高性能、高可靠

Hillstone SA-2010安全網(wǎng)關(guān)提供豐富的HA功能，主機(jī)和備機(jī)之間可以同步規(guī)則、對(duì)象、路由和Session等信息。當(dāng)主機(jī)出現(xiàn)問題后，各種網(wǎng)絡(luò)服務(wù)都可以平滑的切換到備機(jī)上，保證用戶不斷網(wǎng)。減少校園網(wǎng)絡(luò)中單點(diǎn)故障，增強(qiáng)網(wǎng)絡(luò)的可靠性，穩(wěn)定性。

現(xiàn)在校園網(wǎng)的網(wǎng)絡(luò)流量模型逐漸在發(fā)生著變化（小包報(bào)文比例增加，單個(gè)用戶的并發(fā)連接數(shù)也在迅速增加、UDP報(bào)文在迅速增加等），另外一方面，越來越大的流量需要處理，越來越多的功能需要開啟，對(duì)于設(shè)備高處理性能的需求也是越來越迫切。

Hillstone SA-2010安全網(wǎng)關(guān)，由于采用了先進(jìn)的多核處理器技術(shù)＋自主開發(fā)的專用安全芯片(ASIC)＋內(nèi)部高達(dá)48Gbps的交換總線的高性能硬件平臺(tái)，配合64位實(shí)時(shí)并行操作系統(tǒng)StoneOS，能夠提供高性能的應(yīng)用安全處理能力和更強(qiáng)的應(yīng)用層抗攻擊能力。

Hillstone SA-2010安全網(wǎng)關(guān)，最高可達(dá)8G防火墻和VPN吞吐能力，500萬并發(fā)會(huì)話和高達(dá)20萬/50萬的每秒TCP/UDP會(huì)話創(chuàng)建速率，是目前業(yè)界基于ASIC/NP架構(gòu)最高性能安全產(chǎn)品的5-10倍！