Hillstone广电网络安全解决方案
Hillstone广电网络安全解决方案
Inc、“山石网科”创建于xx年,是网络安全领域的代表企业之一,公司总部位于中国北京,并在美国硅谷设有研发中心。Hillstone山石网科山石网科积累了多年网络安全产品研发和市场运作经验,专注于信息安全,是专业的新一代安全网络设备提供商。目前,Hillstone山石网科山石网科拥有员工150余人,其中博士、硕士占30%以上。公司创始人均是国际安全业界的专家,包括Netscreen 早期创始团队成员。公司的核心团队由来自NetScreen、Cisco、Juniper、Fortinet和H3C等中外著名企业的精英组成,具备先进的技术经验和丰富的企业管理经验。公司设有系统架构部、系统运营部、软件系统部、市场部、渠道销售部、售前售后技术部等部门,并且已经通过投资、控股和合作等形式,在亚太区形成了良性发展的产业和营销体系。自成立以来,Hillstone山石网科山石网科就以“贴近市场,贴近客户,快速把握并满足客户需求”为己任,用产品和方案来帮助客户获得网络安全,从而实现自身的企业价值。Hillstone山石网科山石网科凭借其独特的服务精神和强大的技术实力,以国际一流的技术打造适合中国本土化应用需求的高性能产品,并提供高性价比的新一代网络安全整体解决方案,服务于中国高速发展的网络市场。作为产业链中至关重要的一环,Hillstone 山石网科山石网科勇于创新,公司的SA系列安全网关和SR系列安全路由器产品,已经为网络安全领域树立了新的安全网络产品质量水平标杆,在国内各大中小型企业及各高校中拥有了广大的客户群体,并赢得了用户的高度肯定。在网络时代的今天,Hillstone山石网科山石网科愿与所有客户、合作伙伴一起,在探索与实践中国网络安全稳健和谐发展的新长征中,携手共赢!
一、广电网出口网络现状描述1项目背景广电网,通常是各地有线电视网络公司(台)负责建设运营的。其职能类似于ISP,可向政府,企业,网吧或普通用户提供宽带接入。但广电自己没有独立的Internet接入出口。所以,广电会向电信,网通等ISP租用带宽,而后再通过光纤或HFC网向用户提供宽带接入服务,其职能类似于2级ISP。通常情况下,为了保证互联网访问的服务质量,缓解中国存在的南北两家ISP带来的互联互通问题,广电采用同时租用多家ISP链路的办法以保障INTERNET链路出口的稳定性和访问质量。通过分析,广电网络中通常存在如下问题:1)需要高性价比的多链路负载均衡解决方案为了保证出口链
路对互联网访问的质量,广电会同时租用多家ISP的链路以保障INTERNET链路出口的稳定性和访问质量。通常情况下,广电至少租用电信和网通2大ISP的链路,部分地区会进一步接入联通,铁通和教育网的链路。多链路的接入,扩充了带宽,但也给广电带来了新的挑战-各种出口链路的流量负载分配的问题。选择F5等负载均衡厂商产品来解决出口网络的均衡问题是一种方法,但该类设备的价格昂贵,处理性能不理想,且安全性较低。所以,广电迫切需要一性价比更高的多链路负载均衡的解决方案。2)日益增长的业务访问量给防火墙带来巨大压力广电网从建立之初就考虑到了安全问题,采用防火墙设备做为广电网网络出口安全防护已经比较普遍。但广电网现有的防火墙部署时间较早,一般都是采用传统的X86架构或ASIC架构。其网络性能往往不能继续支撑日益增长的业务访问量。随着跨网应用的骤增,广电网网络环境基于X86或者ASIC的传统架构的防火墙会导致网络传输延迟增大,部分的防火墙设备已成为整个网络传输的瓶颈之一,严重影响整个广电网出口的正常业务需求。为了满足网络持续发展的需要,需要选择一款高性能、高吞吐、易于扩展性能和功能的防火墙或者安全网关。3)DDOS/DOS攻击抢占业务带宽随着攻击技术不断提高,作为2级ISP,的广电网内外均承受着巨大的攻击压力,在广电的提供的线路中,充斥了各种DOS/DDOS的攻击,在外网最常见的有:l SYN-floodl UDP-floodl ICMP-floodl Winnukel Smurf/Fragglel 畸形报文l 报文分片攻击l IP异常选项攻击l 地址欺骗l 地址扫描l 端口扫描在广电内网,同样存在各种DDOS攻击。例如:l Arp欺骗攻击l Mac欺骗攻击l 流量攫取l 地址欺骗l 地址扫描l 端口扫描传统的防火墙并不具备内、外网防攻击手段及能力,在面临大范围病毒爆发或攻击发作的时候其可靠性和可用性都会大幅下降,其,严重时将导致设备宕机,甚至业务中断。4)新型应用带来的带宽管理问题随着网络技术的飞速发展,局域网、广域网及互联网之间的界限逐渐消除,各种新型的网络应用不断涌现。。如何有效利用现有带宽资源为信息科技部门带来了更多挑战,要做到保障在网络上应用畅通无阻的同时,使得实时性要求很高的应用具备更高的优先级。目前广电网网络主要存在网络使用效率低的问题,主要表现在:l 广电网的用户“上网”的体验效果不好网络出口带宽年年升级,但仍然不能满足用户日益增长的需求,很多广电网用户都长期面临带宽的烦恼:“上网速度慢”。用户的上网体验效果差造成用户带宽
拥塞的根本原因是出口带宽永远低于桌面带宽需求量总和;但这并非意味着只有通过提升带宽才能够提升用户体验效果。大多数上网用户体验效果不好主要原因是因为Web网页打开慢、网上视频、语音质量差、网络游戏延迟大等问题造成的。而这些应用的带宽却被P2P软件产生的流量占用。而网上视频、语音、网络游戏等应用的实时性要求比P2P软件实时性要求高得多。所以,要提升用户上网体验,最好的办法是给实时性要求高的应用保留合理的带宽。这样既能够保障上网用户的体验效果,让网络带宽资源的利用率合理化,最大化。l 无法实时地、直观地了解每个用户网络以及应用在带宽上的分配出口的整体带宽几乎跑满了,但到底是那个用户使用的最多,那个服务使用的最多,管理人员直接地实时地了解和掌握这些信息,就无法诊断网络存在的问题。因此,网络的使用情况对管理人员是未知的,如何使这个未知的网络使用情况变成透明的,也是网络管理者关心的问题。5)病毒防护能力差病毒防护对于每个用户来说都不陌生,并且也基本都在这一领域或多或少的投入了精力,但是最终效果却都不是很理想。目前用户对于病毒的防护都是采用主机防护的方式,防病毒程序及病毒库都运行在主机端,而主机端在作病毒防护的同时,其本机安全却存在极大的安全隐患甚至存在极大的漏洞,这对于整体的病毒防护效果来说无疑是非常尴尬的。病毒的传播及发作都有其特定的周期性和规律性,在同一时期常常是同一类型的病毒大规模发作,而对于一些性能比较差的主机在进行类似病毒查杀的时候往往出现机器响应慢、操作延迟大甚至死机的情况,根本无法进行正常的病毒查杀工作。这个时候如果能够在网络层面对这些同一类型的病毒进行统一查杀的话,效果将是最优的。6)对于应用无法有效管控网络中所有的网络通讯都是基于应用的。而目前Internet上的应用以几何倍数在增长,每天都有大量新应用出现,如何有效管控这些网络应用是广电网用户急需解决的问题。内容过滤:企业的网络资源是用来作业务支撑和业务拓展使用的,而使用这些资源的过程中必须进行内容的控制以避免相关的法律等问题。网页URL和网页内容的关键字过滤能为用户解决相关问题。会话管理:企业内部每个IP地址都会对网络资源创建一定数量的会话连接合理的会话连接是企业所允许的,但过大的会话连接同样是对企业资源的一种滥用,同样需要进行有效管控。7)网络需要更好的冗余备份机制广电网的多出口在整个网络中扮演着至关重要的角色,广电网络内部用户依托于多出口链路才
能更好地与互联网做到充分连接,为了维护出口的持久稳定,广电采用了多链路接入(多出口)的解决方案。冗余技术是解决网络单点故障、维护网络持续稳定性的最有效解决方案。广电网网络建设需要充分考虑冗余技术的应用,尤其是网络关键节点,如网络接入端、网络核心层等等。8)更简单实用的VPNVPN (Virtual Private Networks)在互联网应用中极为广泛,他是企业和政府安全扩展远程应用的有效解决方案。随着企业规模的扩大及业务发展的需要,各分支机构之间、移动办公员工和公司之间以及合作伙伴和公司之间的VPN加密远程数据传输是广电网解决远程传输数据的私密性、安全性和降低费用的有效办法。而如何简单、方便快捷的维护某个企业的VPN以及降低企业VPN的维护成本是广电网用户同样需要考虑的。IPSec VPN:分支机构之间需要部署站点到站点的IPSec VPN,采用网状架构或者星形架构;合作伙伴和公司之间需要部署站点到站点的IPSec VPN;SSL VPN:考虑到IT维护成本,远程移动办公员工和公司之间部署SSL VPN,能够快速、便捷的进行VPN互联访问。冗余VPN:很多用户在总部都会部署多条Internet链路,一方面能够提供更快的上网速度,另一方面能够为远程站点提供多条冗余的VPN接入,能够在多条VPN链路之间冗余切换,以大大提高VPN 接入的可靠性。灵活的网络实时监控工具:在一个复杂的网络环境中,有多少IPSec VPN连接,有多少SSL VPN连接,有多少攻击等等都是网络管理员非常关心的问题,也是他们进行合理的网络规划以及有效的网络管理的可靠依据。甚至在某些极端环境下,网络管理员还非常想定位网络中哪些IP地址占用了大部分带宽,哪些应用占用了挤占了企业关键应用等等。所有的这些需求都建立在灵活的网络实时监控基础上,用户需要能够实时监控到网络中的一举一动,这对于一个企业的网络管理水平是至关重要的一环。
二、Hillstone山石网科广电网多链路安全方案1网络安全设计的基本原则
1、1技术先进性和实用性原则网络安全方案中采用的技术,需要具有一定的前瞻性,符合一定时期内网络安全技术发展的趋势,并在今后一定的时期内处于领先地位。网络安全系统设计须遵循先进性和成熟性。由于IT行业的技术更新换代很快,为了保证网络能够满足今后一段时间内应用的发展,在选择网络安全技术和设备时不仅要考虑成熟性,也要考虑技术的先进性,同时需要综合考虑接入业务的特点等多方面的因素。一种新技术在刚出现时往往伴随着不稳定和不
确定因素,需要有一个发展、逐步完善和实践检验的过程,经常有一些技术在刚出现时被宣传和评价很高,但在一段时间后发现存在很多问题,甚至很快退出市场。用户采用了这种技术,往往会因为设备厂商转产停产等问题,无法对网络扩展升级,最终造成前期投资的浪费。同时,一种基于新技术的产品在刚上市时价格会较高,所以选择使用一种新的技术的最佳时机应该是在这种技术在市场上已经得到较为广泛的应用,并且在使用中得到肯定之后。虽然这时的技术可能已经不是最新的技术,但技术已经成熟,设备的性能价格比更高。所以选择网络技术和设备时,可以采用先进性和实用性相结合的办法,并找出其中的平衡点。
1、2高可靠性原则由于网络对数据传输的实时性的要求,对网络的传输环节要求很高。因而要求选用的网络安全设备具有相当高的可靠性,要达到电信级标准,具备
99、999%的可用性。建设一个运行稳定可靠的现代化网络系统,网络中任何一台安全设备或任何一条安全设备上的线路发生故障都不会导致通过该安全设备互联的两个网络无法通讯,所以,网络建设中选用网络设备和安全设备应能够保证在不影响网络正常运行的情况下完成对网络故障的检测和排除。
1、3易于扩展和升级的原则网络及数据通信技术发展速度快、新的设备不断面世,新业务也将逐步运行在新的数据网上,用户对带宽的需求必将增长,需要将网络系统扩容,因此在网络设计时应充分考虑将来网络的扩容和升级问题。随着企业的发展扩大,网络的系统性能的需要将不断提高,网络的规模也会不断扩展,而隔离网络的安全设备也同样需要扩容和升级。所以在设计网络时,要充分考虑到网络安全设备的可扩展性,为了保护用户的投资,设计应保证至少若干年内网络的升级和扩展不需要更换主要网络安全设备,只通过增加一些模块就可以很好地支撑网络性能和规模的扩展,满足今后几年业务发展的需要。
1、4管理和维护的方便性网络系统中的所有安全设备均应是可管理的,支持远程监控以及对故障的诊断和恢复。可通过网管软件方便地监控网络运行的实时情况,对出现的问题及时处理和解决。2网络方案设计
2、1广电多链路安全解决方案示意图
2、2广电多链路安全方案描述综上所述,结合网络方案设计原则,通过分析广电网整个网络中的问题,为了解决广电网络出口存在的众多问题,我们建议
采用Hillstone山石网科公司产品来实现我们的解决方案。Hillstone山石网科SA 安全网关,采用创新的多核处理器,和新一代的ASIC技术。结合其专为安全设计的StoneOS操作系统,从处理能力、扩展能力、安全功能、冗余性和应用的便利性等方面综合为用户考虑,提供了强大的网络吞吐能力、众多的安全功能以及完备的冗余备份机制,能够充分满足用户对网络安全性、稳定性和高性能的需求。
1、通过Hillstone山石网科产品提供多链路负载均衡功能Hillstone山石网科SA安全网关支持Outbound流量的负载均衡。如图所示,在广电网出口,广电同时接入了多家ISP的链路,我们需要一个高性价比的Outbound流量的负载均衡解决方案。传统的负载均衡产品供应商,如F5,其产品采用的是X86技术,价格昂贵,性能较差,且扩展能力低。Hillstone山石网科SA系列产品支持多链路Outbound流量的负载均衡,并可针对每条链路建立全路径健康检查,从而实现链路监控和智能切换,保障出口链路的稳定性。而且,设备内置了ISP路由信息,可方便我们实现电信或网络路由的快速接入,加快内部用户的访问速度。Hillstone山石网科SA系列产品能够提供从150Mbps到20Gbps的全系列网络安全网关产品,能够满足广电网用户在不同网络环境下的各种业务需求。同时Hillstone山石网科SA系列产品采用创新的64位多核处理器,每秒能够提供最高达20万的Full TCP会话请求能力。对网络流量巨大、应用环境复杂、具有大量突发流量的网络来说,Hillstone山石网科SA系列产品能够为其带来最优秀的网络体验及最优的性价比。
2、通过Hillstone山石网科产品提供高效的外网攻击防护能力随着网络安全技术的普及和发展,越来越多的人能够很方便的利用Internet上的免费工具进行准网络攻击和真正的网络攻击。同时考虑到境外敌对势力与恐怖组织对广电网相关信息、通信与调度系统的攻击,甚至要考虑战争与灾害的威胁。方案中,部署在广电网Internet出口处的SA安全网关将为广电阻止外部攻击提供有力帮助。Hillstone山石网科产品能够提供全面地防攻击能力,能够针对DoS/DDoS 和常见攻击进行有效阻断,同时还能够针对零日攻击(即利用刚发现的漏洞进行攻击)进行及时的判断和阻断,有效保护广电网企业用户的网络安全不受侵害。同时,Hillstone山石网科产品强大的应用层检测能力以及应用层处理性能为分
析和阻挡各类攻击提供了强大的支持。Hillstone山石网科针对这些攻击的防护手段包括:l Syn-proxyl Syn-cookiel Syn-filterl Udp-filterl Icmp-filterl 特征库,包括Winnuke、Smurf/Fraggle、Land、IP Option、IP Fragment等l 每IP会话控制l 每IP流量控制具有专利的ARP攻击防护功能,能够彻底解决内网ARP欺骗问
3、通过Hillstone山石网科产品提供实用的内网攻击防护功能据权威机构对信息安全事件的统计,大多数网络安全攻击来自于内部,其中大部分事件都是跟ARP有关的。导致这种现象发生的原因是大部分网络的安全策略都是用以防范外部威胁的,在安全设计时忽视了网络的内部安全,或以内部网络具有固有的高安全性为前提。而这个前提与实际情况恰恰相反。没有足够的内部威胁防护,网络极易受到ARP病毒、ARP地址欺骗、ARP攻击和其它攻击,从而造成网络不稳定的情况频频发生,网络反应迟钝,降低了网络管理员的工作效率,也使得内网用户的上网体验效果降低。。针对来自内部的这些攻击,应采取适当的方法来进行控制和防御。Hillstone山石网科SA系列安全网关提供了多种机制来抵御这些来自内部的攻击:l 独创的ARP防护技术,提供了客户端与网关之间的ARP 加密验证l IP地址与MAC地址静态绑定l MAC地址与端口静态绑定l 开启/关闭ARP学习功能l 开启/关闭MAC学习功能l 每MAC的IP地址数限制l 自动发送免费ARP包l 为主机代发免费ARP包l ARP反向查询l 端口隔离l ARP检查通过以上措施,可以对来自内网的攻击很好做到防御控制,实现了内网的安全,这些具体表现在:l 内网抗攻击基于接口ZONE的抗攻击功能,可对来自内网的病毒、木马和攻击工具产生的恶意流量进行过滤,确保客户端正常访问网络资源,并且保证网络的畅通、数据的快速交换。l 内网安全管理强大的会话控制功能可对内网IP的会话数、主动发起会话数、被动连接会话数及每秒新建会话数进行控制,有效控制内网的大量P2P下载或发起攻击等行为。l 内网安全分析日志系统对网络中存在的MAC地址冲突、内网攻击等信息记录日志,对ARP欺骗攻击等的发生情况进行统计,并以报表形式表达给管理员,以便集中处理网络中威胁最大的客户端主机。Hillstone山石网科产品能够提供很好的内网攻击防护功能,结合来自网络外部的攻击防护功能,能全面杜绝广电内部网络的ARP、DDoS 攻击和外部非可信网络的攻击,全面、高效、安全的保护用户的网络,还用户一
个安全、干净、舒适的信息环境。
4、通过Hillstone山石网科产品提供灵活高效的带宽管理Hillstone山石网科产品提供专有的智能应用识别(Intelligent Application Identification)功能,称为IAI。IAI能够对百余种网络应用进行分类,甚至包括对加密的P2P 应用(Bit Torrent、迅雷、Emule、Edonkey等)和即时消息流量进行分类。Hillstone山石网科QoS首先根据流量的应用类型对流量进行识别和标记。然后,根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是:用户可以为关键的ERP和OA流量设置高优先级保证它们的带宽使用;对于网页浏览和P2P下载流量,用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。将Hillstone山石网科的行为控制以及IP QoS结合使用,用户可以很容易地为关键用户控制流量并区分流量优先级。Hillstone山石网科设备最多可支持20,000个不同IP地址的流量优先级区分和带宽控制(入方向和出方向),这就相当于系统中可容纳最多40,000的QoS队列。结合应用QoS,Hillstone 山石网科设备可提供另一层的流量控制。Hillstone山石网科设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如,对于同一个IP地址产生的不同流量,用户可以基于应用分类结果指定流量的优先级。在IP QoS里面使用应用QoS,甚至可以对每个IP地址进行流量控制的同时,还能够对该IP 地址内部应用类型的流量进行有效管控。除了高峰时间,用户经常会发现他们的网络带宽并没有被充分利用。Hillstone山石网科的弹性QoS功能(FlexQoS)能够实时探测网络的出入带宽利用率,进而动态调整特定用户的带宽。弹性QoS (FlexQoS)既能为用户充分利用带宽资源提供极大的灵活性,又能保证高峰时段的网络使用性能。总之,通过采取Hillstone山石网科产品所集成的带宽管理功能,可以在用户网络中做到关键应用优先,领导信息流量优先,非业务应用限速或禁用,VoIP、视频应用保证时延低、无抖动、音质清晰、图片清楚,这些有效管理带宽资源和区分网络应用的效果都能给用户带来更高效、更灵活、更合理的带宽应用,使得昂贵的带宽能获取最高的效益和高附加值应用。
5、通过Hillstone山石网科产品提供快速高效的病毒防护功能随着网络应用的不断发展,越来越多的木马入侵、病毒等攻击通过网络进行实施及传播,病毒传播的范围广、速度快,对网络用户造成了难以估量的损害。在用户网络中,
由于内部网络与互联网不可避免的有联系,联系业务众多,因此,在应用中难免存在木马、病毒及恶意程序等泛滥传播的。为了解决病毒及恶意程序通过网络的传播问题,很多安全厂家,发布了病毒防护网关。但是,前期相关设备厂商都遇到了一个很大的技术难题,就是网关病毒防护会消耗大量的网关设备资源,而对数据的转发及处理造成很大的延时,成为数据快速转发的瓶颈,降低网络使用效率。Hillstone山石网科公司为了解决网络病毒传播及网关查杀毒性能瓶颈的问题,提出了全新的第二代网关防毒设计理念,采用全新多核处理器+ASIC+交换总线的硬件设计,结合基于并行流的杀毒机制,为了提高病毒查杀的识别能力,整合了杀毒业内知名防毒公司病毒库,最终实现了高性能的网关病毒防护功能。Hillstone山石网科产品的病毒防护功能主要有以下特性:l 基于64位多核处理器的设计架构,满足病毒防护对CPU和内存资源的高需求。多核CPU及专业的64位专用安全系统,确保了CPU的高效性能输出。l 基于并行流扫描机制的杀毒引擎,充分发挥硬件优势,确保病毒处理的高性能。先进的多核CPU并行处理方式,硬件数据包重组,确保了高性能。l 基于流的多层压缩文件解压。确保对压缩文件中病毒的彻底查杀。l 病毒库的实时自动升级。病毒库的自动实时更新,确保了最短时间内,及时地响应对最新病毒的查杀需求。l 支持对HTTP、FTP、POP
3、SMTP和IMAP协议杀毒。能够及时发现多种常用协议传输数据中的病毒,进行有效的处理l 中断传输会话、杀毒、日志记录等多种处理机制。对于发现有病毒传播的数据流,可以设置多种处理方式。l 网关杀毒支持透明、路由、混合模式。可以满足各种网络环境部署需要。l 整合成熟知名杀毒厂家病毒库及实时升级更新。确保了对病毒的识别查杀能力。l 病毒防护功能开启时最大吞吐量达
1、68G保证用户的主干链路不会导致数据传输延时过大,可让用户放心使用Hillstone山石网科安全网关。Hillstone山石网科采用流杀毒扫描技术的网关防病毒功能能够提供高性能、高扩展性的防病毒解决方案,能满足用户网络现今低延迟和低响应时间的应用需求。如果配合网络版防病毒系统一起使用,能够为用户网络的病毒防护起到一个双保险的作用,效果更为显著。
6、通过Hillstone山石网科产品提供高性能的应用层管控能力在高速信息
交换的Internet上,海量的信息被不断的发布和浏览。对于企业和政府用户来说,很多内容是不允许员工利用企业网络来访问的,如非法内容、可能导致公司或政府机密信息泄露的网站等。安全和速度始终是两个对立面的事物。追求更高的网络安全是需要以牺牲网络通讯速度为代价的,而追求更高的网络通讯速度则需要降低网络安全标准。在目前依赖于网络应用的时代,能够做到应用层的安全检测以及安全防护功能是所有安全厂商的目标。由于应用层的检测需要进行深度的数据包解析,而使用传统网络平台所带来的网络延迟将是不可接受的。好的安全功能同样需要好的硬件平台去实现。Hillstone山石网科SA系列安全网关采用创新的64位多核处理器以及高达48G的交换总线,能够避免纯ASIC和NP安全系统会话可管理能力和流量控制能力弱的弊病,并能够提供完美的应用层处理能力。Hillstone山石网科SA系列产品具有丰富的应用层管控能力,包括URL 地址过滤功能、网页内容关键字过滤功能、网页敏感文件过滤功能、网页控件过滤功能、协议命令控制功能等,能够通过简单的配置来实现敏感的URL地址、敏感关键字以及敏感文件等内容过滤,防止潜在的安全风险。
7、通过Hillstone山石网科产品提供冗余备份的网络架构每个地市的广电,作为2级ISP,都要为其内部的企业,政府或个人等接入INTERNET提供服务。保障Internet出口链路的稳定性,意味着保障所有广电用户对互联网访问和互联网对这些广电用户访问的稳定性。如解决方案示意图所示,我们在广电的出口处,安置了2台Hillstone山石网科SA安全网关。2台设备被部署为HA架构,以保障广电INTERNET出口的高可靠性。Hillstone山石网科SA系列产品能够支持设备级别的HA解决方案,如A-P和A-A架构。Hillstone山石网科的HA 解决方案能够为网络层提供会话级别的状态同步机制,保证在设备切换过程中数据传输的连续性及网络的持久畅通,甚至在设备进行主备切换的时候都不会中断会话,为企业提供真正意义的网络冗余解决方案。Hillstone山石网科设备甚至还能够提供VPN传输的状态同步,其中包括SA状态同步。
8、通过Hillstone山石网科产品提供管理人员的SSL 安全解决Hillstone 山石网科的VPN解决方案可以支持IPSec和SSL两种方式。Hillstone山石网科的VPN技术结合了两者的优点,在通过IP层面的连接充分保障应用兼容的同时,也提供了细粒度的访问控制。对于广电来说,主要目的是为了网管的管理接入,
提供安全可靠的接入方案。我们通过Hillstone山石网科SA系列安全网关产品的SSL VPN方案,可以使网管人员在外上网时通过加密的VPN隧道接入到内部网络,简单安全高效地对整个广电网络进行监控和管理。总之,通过Hillstone 山石网科的SA实现广电网多链路安全解决方案时,具有以下优点:l 提供专业的网络安全服务Hillstone山石网科是一家专业的网络安全设备厂商,具备多年安全设备研发和售后经验,能够为用户提供最及时最有效的安全解决方案。l 高性能的防火墙和防攻击能力Hillstone山石网科SA系列安全网关提供超强的防火墙吞吐能力,能够满足广电网网络中所有网络环境的吞吐要求。同时,SA系列产品内置了防攻击模块,能够有效地避免网络攻击对企业网络的影响。l 专业的VPN解决方案Hillstone山石网科SA系列提供的IPSec VPN、SSL VPN和PnPVPN 解决方案能够为广电网用户提供全面而有效的VPN接入解决方案。l 先进的应用层管控机制Hillstone山石网科SA系列产品能够为用户提供先进的应用层管控技术,包括带宽管理、URL过滤、P2P/IM管理等等,能够使用户在保证网络连通的前提下更细粒度的管控自己的网络。l 高效的病毒防护功能Hillstone山石网科SA系列产品高效高性能的病毒流扫描技术保证了它作为防病毒网关能做到高吞吐量、低延迟和应用低响应时间的要求,同时能给用户带来一个干净、安全的网络应用环境,让用户使用起来再也不受病毒、木马泛滥的困扰。l 提供高性能的应用层解决方案Hillstone山石网科产品采用专用的64位多核处理器,能够为应用层数据处理提供前所未有的性能支持,保证在高吞吐高流量的情况下从容有效地进行应用层的管控。l 提高企业网络部署的灵活性和扩展性随着企业发展,企业网络也会不断发展变