山石网科(hillstone) SG-6000-G5150
山石网科:防火墙的那些性能指标,你了解吗?
山石网科:防火墙的那些性能指标,你了解吗?正如购买其他电子设备需要了解很多性能参数一样,选购一台防火墙也需要了解众多的的性能指标。
那么作为防火墙的四项基本性能指标——吞吐、时延、新建、并发,都意味着什么,如何测算得出,到底可以带给用户什么好处?有什么意义?山石网科Hillstone将为您解读防火墙四大指标的含义以及测试方法。
吞吐量(Throughput)吞吐量是衡量一款防火墙或者路由交换设备的最重要的指标,它是指网络设备在每一秒内处理数据包的最大能力。
吞吐量意味这台设备在每一秒以内所能够处理的最大流量或者说每一秒内能处理的数据包个数。
设备吞吐量越高,所能提供给用户使用的带宽越大,就像木桶原理所描述的,网络的最大吞吐取决于网络中的最低吞吐量设备,足够的吞吐量可以保证防火墙不会成为网络的瓶颈。
举一个形象的例子,一台防火墙下面有100个用户同时上网,每个用户分配的是10Mbps的带宽,那么这台防火墙如果想要保证所有用户全速的网络体验,必须要有至少1Gbps的吞吐量。
吞吐量的计量单位有两种方式:常见的就是带宽计量,单位是Mbps(Megabits per second)或者Gbps(Gigabits per second),另外一种是数据包处理量计量,单位是pps(packets per second),两种计量方式是可以相互换算的。
在进行对一款设备进行吞吐性能测试时,通常会记录一组从64字节到1518字节的测试数据,每一个测试结果均有相对应的pps数。
64字节的pps数最大,基本上可以反映出设备处理数据包的最大能力。
所以从64字节的这个数,基本上可以推算出系统最大能处理的吞吐量是多少。
很多路由设备的性能指标有一点就是标称xxMpps,所指的就是设备处理64字节的pps数。
比如64字节的pps为100000pps,吞吐量通过换算为100000×(64+20) ×8/1000000= 67.2Mbps,拿这个结果计算1518字节的数据为100000×(1518+20) ×8/100000=1230.4Mbps。
2024版Hillstone山石网科基础配置手册50
定期检查软件更新,及时下载并安装最新的软件补丁 和升级包,以确保设备安全性和性能。
备份与恢复
在进行软件升级前,务必备份设备配置文件和数据, 以便在升级失败或出现问题时能够及时恢复。
03
网络接口与通信配
置
物理接口配置
接口类型选择
根据网络设备和传输介质的不同,选择合适的接口类型,如 Ethernet、Fast Ethernet、Gigabit Ethernet等。
易用性管理界面
提供直观易用的管理界面和丰富的配 置选项,降低用户配置和管理难度
02
基础配置准备
设备安装与连接
01
02
03
设备开箱检查
确认设备型号、数量、附 件等是否齐全,并检查设 备外观是否完好。
设备安装
根据设备规格和安装环境, 选择合适的安装方式和位 置,确保设备稳定可靠。
设备连接
使用合适的线缆将设备与 网络、电源等连接,确保 连接正确、牢固。
中被分片或丢弃。
网关和DNS设置
配置设备的默认网关和DNS服务器地 址,确保设备能够正常访问外部网络 和应用。
端口安全配置
启用端口安全功能,限制接口的MAC 地址学习数量,防止MAC地址欺骗和 攻击。
04
安全策略部署与优
化
防火墙策略配置
防火墙基本配置
包括接口配置、路由配置、NAT配置等
访问控制策略
06
管理与维护操作指
南
设备管理界面介绍
设备管理主界面
展示设备整体运行状态、主要性能指标和实时告警信息。
配置管理界面
提供设备各项配置的详细设置,包括网络、安全、用户等。
监控与报告界面
实时监控设备运行状态,生成各类报告,便于管理员分析。
山石网科发布智能下一代防火墙新版本
[ 2 9 ] V n a G o g T H J a r o d z k a , H e t a [ A t t e n i t o n g u i d a n c e d u r -
i n g e x a mp l e s t u d y v i a t h e mo d e l ’ S e y e mo v e me n t s  ̄ . C o mp u t —
全 面展现 . 包括全 网风 险指数 、 风 险 主 机 及 特 定 威 胁 的
风险 。 实现发现 、 可视 、 控制的安全闭环。
山 石 网科 未 知 威 胁 检 测 引 擎 突 破 了传 统 检 测 技 术 的瓶颈 , 不依 赖于代码 特征 , 而 是 采 用 基 于 威 胁 行 为 分 析 的方 法 。 对 网 络 中终 端 主 机 的 行 为 进 行 分 析 , 由 于 感 染 了变 种 恶 意 代 码 的 主 机 其 应 用 层 行 为 与 正 常 主 机 不 同。 智 能 下 一 代 防火 墙 即 通 过 大 数 据 挖 掘 技 术 对 海 量 恶 意 软 件 进 行 行 为分 析 . 将 每 一 个 恶 意 软件 家 族 的行 为 进
《 中国教育信 息 煽辑部 : m i s @m o e . e d u . e n
山石网科发布智能下一代防火墙新版本
2 月 5日 , 山 石 网科 在 京 发 布 智 能 下 一 代 防 火 墙 新
慢速 D D O S攻击 、 慢速扫描攻击 、 C C攻 击等隐蔽 型或应
用层 网络攻击 , 因此 一 旦 遭 受 此 类 网 络 攻 击 , 通 常 会 给 业务系统造成重大损失 。 山石 网科 异 常 行 为 检 测 引 擎 通
( 2 ) : 8 7 - 9 6 .
山石网科集中安全管理平台(HSM)版本说明说明书
Version5.3.1版本说明本文档包含HSM5.0.0及以后各版本的版本说明,主要介绍了新增功能,已知问题及已解决问题等内容。
l HSM5.3.1l HSM5.3.0l HSM5.2.0l HSM5.1.0l HSM5.0.0HSM5.3.1本节为HSM5.3.1的版本说明。
产品和版本信息产品名称:山石网科集中安全管理平台(HSM)产品型号:HSM-P100、HSM-P3000、vHSM软件名称:HSMpro2.0-5.3.1发布日期:2022年9月27日适用产品型号:l HSM支持纳管SG-6000A系列、E系列、X系列、K系列、T系列、SDW系列。
注意:若需使用HSM纳管上述型号的防火墙设备,请保证其软件版本为StoneOS5.5R4及以上。
系统文件注意:若需为vHSM获取5.3.1版本的系统文件,即.ova、.qcow2和.vmdk格式的系统文件,请联系山石网科工作人员。
版本升级说明山石网科集中安全管理平台(HSM)不支持从4.X版本升级到5.3.1版本。
兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试:l Edge80及以上l Chrome80及以上新增功能已知问题HSM5.3.0本节为HSM5.3.0的版本说明。
产品和版本信息产品名称:山石网科集中安全管理平台(HSM)产品型号:HSM-P100、HSM-P3000、vHSM软件名称:HSMpro2.0-5.3.0发布日期:2022年8月4日适用StoneOS版本:l建议使用最新的StoneOS5.5R9P2、5.5R9F1,支持HSM的大部分功能;适用产品型号:l SG-6000A系列、E系列、X系列、K系列、T系列、SDW系列。
系统文件版本升级说明山石网科集中安全管理平台(HSM)不支持从4.X版本升级到5.3.0版本。
兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试:l Edge80及以上l Chrome80及以上新增功能已知问题HSM5.2.0本节为HSM5.2.0的版本说明。
山石网科网络安全审计系统版本说明说明书
山石网科网络安全审计系统V2.0R1发布概述发布日期:2021年09月03日本次发布主要新增以下功能:1.新增支持SG-6000-ICM1050C、SG-6000-ICM1050C-L、SG-6000-ICM1150C、SG-6000-ICM1250C、SG-6000-ICM1350C和SG-6000-ICM1500C平台;2.基础网络、高级网络、安全防护、控制审计策略、IPS引擎、Restful API接口等功能均支持IPv6网络;3.针对管理员支持分级分权控制(日志、用户、策略、目录);4.设备本地用户支持通过终端用户自注册方式进入;5.支持同步AD服务器的安全组,且一个用户可以属于多个安全组;6.IPsec VPN支持管理员自行修改端口;7.控制策略、审计策略、流控通道策略支持VLAN和TOS匹配条件;8.Https证书告警消除、终端导入证书之后消除证书告警;9.设备支持http和sock代理功能;10.设备支持LLDP链路发现功能;11.支持针对SNMP同步的信息查询;12.增加多种系统告警机制;13.针对桥下的子接口、二层接口,支持加入到安全域;14.针对聚合接口,支持加入到接口状态同步组;15.DHCP支持option 252和253;16.IC卡认证支持账号提前导入和校验;17.针对Portal页面,支持导入和导出功能,管理员可执行编辑认证页面;18.支持http通用短信接口网关;19.支持配置导出路径设备和统计设备动态缓存。
平台和系统文件功能列表浏览器兼容性以下浏览器通过了WebUI测试,推荐用户使用:✹Chrome 53以及以上版本✹Firefox 58以及以上版本✹IE9以上版本获得帮助山石网科网络安全审计系统配有以下手册,请访问https://获取:✹《山石网科SG-6000-ICM系列安装手册》✹《山石网科网络安全审计系统WebUI用户手册》✹《山石网科网络安全审计系统命令行用户手册》✹《山石网科网络安全审计系统日志信息参考指南》服务热线:400-828-6655官方网址:https:///。
山石网科远程安全评估系统版本说明说明书
山石网科远程安全评估系统 V5.5-1.8.4
发布概述
发布日期:2020 年 6 月 11 日 本次发布是山石网科远程安全评估系统的全新发布。
平台和系统文件
产品型号 SG-6000-RAS3000 SG-6000-RAS5000 SG-6000-RAS3000V SG-6000-RAS5000V
数据库:Oracle、Mysql、DB2、Informix、Mssql、Sybase 等。
虚拟化平台:Vmware EXSi、XenServer 等。 网络设备:思科等。 安全设备:juniper 等 漏洞规则超过 58000 条。
覆盖缓冲区溢出漏洞、拒绝服务攻击漏洞、弱口令、信息泄露漏洞等全 部常见漏洞。 能够扫描常见的网络安全客户端软件(网络防病毒 Symantec、 TrendMicro、McAfee)的安全漏洞。 能够扫描常见的应用软件漏洞(如 IE 浏览器、MSN、Mozilla Firefox、 Yahoo Messenger、MS Office、多媒体播放器、VMware 虚拟机)的安全 漏洞。 提供专门针对 DNS 服务的安全漏洞的检测。 支持自定义扫描策略。 支持设置策略并发数。 支持 UDP 扫描。 支持扫描端口服务版本。
资产探测
支持端口与服务发现。可对监控目标进行全端口扫描,并整理出服务的 端口、应用软件类型、版本,并提供搜索接口可对目标进行搜索。
端口扫描方式:支持 TCP SYN 扫描、connect 扫描、TCP ACK 扫描、UDP 扫描、TCP FIN 扫描、TCP NULL 扫描、Xmas Tree 扫描、idle 扫描等
登录扫描
支持被动扫描,支持用户录入 url
支持自定义爬虫规则
Hillstone SG-6000-G5150 G6100 高性能多核安全网 说明书
销售与服务热线:400-828-6655密过的数据流也能应付自如。
StoneOS ®识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包括P2P 、IM(即时通讯)、游戏、办公软件以及基于SIP 、H.323、HTTP 等协议的应用,应用特征库通过网络服务可以实时更新。
全面的VPN 解决方案SG-6000多核安全网关支持多种IPSec VPN 的部署,它能够完全兼容标准的IPSec VPN 。
SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速,结合多核平台的处理能力,可为用户提供高容量、高性能的VPN 解决方案。
Hillstone 山石网科独具特色的即插即用VPN ,可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置,完全解决了传统IPSec VPN 设备配置难、使用难、维护成本高的缺点。
SG-6000多核安全网关还通过集成第三代SSL VPN 实现角色访问控制和即插即用特性,为用户提供方便、快捷的安全远程接入服务。
奠定了性能基础,突破了传统安全网关的功能实用性和性能无法两全的局限。
SG-6000-G5150支持三种类型的扩展模块:接口扩展模块、应用处理扩展模块、存储扩展模块。
通过增加接口扩展模块提高设备的连接性,使设备不会因为网络带宽或应用系统的升级而过时;增加应用处理扩展模块,可以提高本机应用处理能力,让应用处理不再成为性能瓶颈;存储扩展模块可以在设备上实时记录各种审计日志和审计数据,满足公安部82号令的要求,也可以使用外置高性能日志服务器。
另外SG-6000多核安全网关还支持通过软件license 方式进行设备高级扩展,例如提升设备的最大并发会话数、每秒新建连接数和整机处理性能等。
功能规格除非另有说明,否则所列出的性能,容量和特性是基于运行StoneOS ®4.0的系统,实际结果可能会因StoneOS ®版本和部署情况而异。
Hillstone
Hillstone山石网科技术为需求服务Hillstone山石网科是近几年来迅速崛起的安全厂商,以提供集成化的安全网关产品/解决方案而著称。
计算机世界实验室两年内先后测试过该公司提供的3款产品,感觉功能方面在逐步完善,性能也屡创新高。
最近G5150测试报告的发布引发了新一轮热议,我们索性有请山石网科副总裁莫宁及CTO刘向明献身说法,为读者朋友们揭开高性能的奥秘。
需求改变架构韩勖:我注意到山石网科即将发布的SG-6000系列产品采用了新的多核Plus G2系统架构。
从多核Plus到多核Plus G2,都有哪些改进呢?这些改进的意义何在?莫宁:这个改进的过程其实是利用自主创新能力去满足市场需求的一个过程。
第一代的多核Plus基于单个CPU共享内存的并行处理方式,做到比较高的性能。
但客户的要求越来越高,有时候不是简单成倍的增长,甚至是几十倍的增长; 我们产品又发展很快,功能不断丰富,加入了IPS、上网行为管理等应用层安全特性。
芯片厂商提供的产品并不能很好地适应这些变化,在这种情况下,我们不能依赖别人。
多核Plus G2的重大改进就是多核多CPU的并行处理,摆脱芯片处理能力方面的限制,使向更高端延伸成为一种可能。
刘向明:比如我们去年发布的SA-5180,是SA系列中性能最高的产品,但还是有客户希望在打开A V、IPS的时候达到更高的性能。
这种情况就不是依靠单一的芯片能解决的,多核Plus G2就是瓶颈被突破时一种非常自然的进化。
韩勖:那么在多核Plus G2的研发过程中遇到过什么难题?在分布式处理方面采用了什么样的解决方式?莫宁:路由器的实现相对简单,它可以针对每个数据包去做处理,因为这里没有流的概念; 安全网关做的是应用层方面的业务,必须对每一个完整的流去做处理。
所以,我们最大的难点在于任务调度的实现方式,要么把整个流在所有内核间做同步,然后每个包在不同的内核上进行处理,要么把流合理分配到某些内核上,减少同步工作的复杂度。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电源
冗余电源
高度
2U
用户数
无限制
网络吞吐率
≥≥100,000
VPN吞吐量
≥4Gbps
AV防病毒吞吐率
≥800Mbps,可扩展;并提供一年病毒库升级
IPSEC VPN通道数
标配≥10,000
SSL VPN用户数
标配≥40用户,最大可扩展到6000用户
最大策略数
基于应用的带宽控制
支持100种以上应用识别
管理界面
中文
证书要求
《公安部销售许可证》
《中国国家信息安全产品认证证书》
《涉密信息系统产品检测证书》
服务质保
由制造厂商提供三年硬件和软件质保,并出具质保承诺书
中标商需要提供原厂针对此项目的授权
≥8,000
拨号VPN
标配6000用户
扩展性
可扩展防病毒功能、IPS功能、URL库过滤、上网行为管理、流量控制
ARP欺骗防护
防止ARP攻击和ARP病毒(提供产品界面截图)
工作模式
透明、路由、NAT、混合,并支持服务器负载均衡
路由协议
静态路由,OSPF、BGP动态路由(提供配置截图)
认证
支持RADIUS、口令、数字证书等多种认证等方式
防火墙
山石网科(hillstone) SG-6000-G5150
硬件多核防火墙:标配4个千兆电口,8个SFP接口,含Mini-GBIC SX多模光模块,Mini-GBIC LX单模光模块,设备最大可扩展到44个千兆接口,双电源,三年硬件保修、应用识别库升级和软件升级维护服务,一年病毒升级和维护服务。质保金为合同价的2%,由甲方留存三年,三年后如无质量问题无息退还乙方。
过滤方式
对TCP、UDP、ICMP实现状态检测;基于IP地址、端口、IP协议号、用户、方向和时间的过滤。
防御功能
支持抵御Ping of Death、TCP SYNfloods、Tear Drop、UDP Flood、ICMP Flood、Land、Smurf、ARP风暴等各种攻击。
并可扩展支持IPS模块,3000种以上攻击特征库