電信安全解決方案

安全建議書安全建議書第第1頁工程建議書技術(shù)文檔 密級(jí):保密企業(yè)網(wǎng)絡(luò)安全解決方案助力企業(yè)網(wǎng)絡(luò)安全治理和應(yīng)用層管控山石網(wǎng)通二零零七年十二月目錄\l“_TOC_250013“第一章公司簡介 1其次章：電信運(yùn)營商網(wǎng)絡(luò)安全現(xiàn)狀 22．1電信運(yùn)營商網(wǎng)絡(luò)現(xiàn)狀及面臨的挑戰(zhàn) 2\l“_TOC_250012“第三章HillStone電信網(wǎng)絡(luò)安全解決方案 4\l“_TOC_250011“網(wǎng)絡(luò)安全設(shè)計(jì)的根本原則 4\l“_TOC_250010“技術(shù)先進(jìn)性和有用性原則 4\l“_TOC_250009“高牢靠性原則 4\l“_TOC_250008“易于擴(kuò)展和升級(jí)的原則 5\l“_TOC_250007“治理和維護(hù)的便利性 5\l“_TOC_250006“電信網(wǎng)絡(luò)安全方案設(shè)計(jì) 5\l“_TOC_250005“HillStoneNetworks電信網(wǎng)絡(luò)安全解決方案示意圖 5\l“_TOC_250004“HillStone安全方案描述 53.2.3HillStone網(wǎng)絡(luò)安全解決方案為用戶帶來的好處 7\l“_TOC_250003“3.2。4HillStoneVPN網(wǎng)絡(luò) 8\l“_TOC_250002“第四章產(chǎn)品介紹 10\l“_TOC_250001“Hillstone安全產(chǎn)品架構(gòu)和特點(diǎn) 10\l“_TOC_250000“Hillstone安全產(chǎn)品核心功能介紹 12山石網(wǎng)科通信技術(shù)〔北京)〔以下簡稱“山石網(wǎng)科”)創(chuàng)立于2006年，是網(wǎng)絡(luò)安全領(lǐng)域的代表企業(yè)之一,公司總部位于中國北京,并在美國硅谷設(shè)有研發(fā)中心。山石網(wǎng)科積存是專業(yè)的一代安全網(wǎng)絡(luò)設(shè)備供給商。目前，山石網(wǎng)科擁有員工200余人，其中博士、碩士占30%以上,公司的核心團(tuán)隊(duì)由來自Juniper、Cisco、Netscreen、FortinetH3C等中外著名企業(yè)的精英組成，具備先進(jìn)的技術(shù)閱歷475,太區(qū)形成了良性進(jìn)展的產(chǎn)業(yè)和營銷體系。自成立以來,用產(chǎn)品和方案來幫助客戶獲得網(wǎng)絡(luò)安全，從而實(shí)現(xiàn)自身的企業(yè)價(jià)值。山石網(wǎng)科憑借其獨(dú)特的，并供給高性價(jià)比的一代網(wǎng)絡(luò)安全整體解決方案，服務(wù)于中國高速進(jìn)展的網(wǎng)絡(luò)市場。作,SR系列安全路由器和SA系列安全網(wǎng)關(guān)產(chǎn)品，已經(jīng)為網(wǎng)絡(luò)安全領(lǐng)域樹立了的安全網(wǎng)絡(luò)產(chǎn)品質(zhì)量水平，在國內(nèi)各大中小型企業(yè)及各高校中擁有了強(qiáng)大的客戶群體，并贏得了用戶的高度確定。全穩(wěn)健和諧進(jìn)展的長征中,攜手共贏！其次章：電信運(yùn)營商網(wǎng)絡(luò)安全現(xiàn)狀2．1電信運(yùn)營商網(wǎng)絡(luò)現(xiàn)狀及面臨的挑戰(zhàn)6,互聯(lián)網(wǎng)飛速進(jìn)展,制造了世界電信進(jìn)展史上的奇跡。通信技術(shù)的融合以及寬帶網(wǎng)絡(luò)、IP技術(shù)和終端的融合等等.這種融合超越國界,超越制式，也帶來了更多的商業(yè)時(shí)機(jī)。質(zhì)的效勞，以客戶效勞為中心,以供給更加專業(yè)優(yōu)質(zhì)的效勞為目標(biāo)，才能在殘酷牢靠性提出了較高的要求。,尤其是對(duì)于迅猛進(jìn)展的互聯(lián).所以構(gòu)筑安全的電信網(wǎng)絡(luò)系統(tǒng)至關(guān)重要。IP數(shù)據(jù)為根底的各種增值性,運(yùn)營商們制造著爆炸性的營業(yè)收入.然而,如何在更.為了能夠把握住這IP網(wǎng)絡(luò)的根底上搭建有效的應(yīng)用效勞網(wǎng)絡(luò)構(gòu)造,而與此網(wǎng)絡(luò)進(jìn)展相關(guān)的網(wǎng)絡(luò)和應(yīng)用層安全掌握是企業(yè)成功的關(guān)鍵。各種安全威逼對(duì)于電信企業(yè)來說可能帶來極大的損害,而不完善的安全防護(hù)體制將會(huì)導(dǎo)致營業(yè)收入下降、維護(hù)本錢上升、客戶忠誠度降低等問題。各種安全威逼分布在從網(wǎng)絡(luò)層到應(yīng)用層的全部節(jié)點(diǎn)上.1、網(wǎng)絡(luò)層變得格外不行靠，難以為用戶供給持續(xù)的效勞。同時(shí),基于網(wǎng)絡(luò)層的冗余備份機(jī)制是電信網(wǎng)絡(luò)必需具備的力量,能夠保證供給鏈路和設(shè)備的冗余備份。根底網(wǎng)絡(luò)義的。2、應(yīng)用層在電信網(wǎng)絡(luò)中,護(hù)是需要更高的網(wǎng)絡(luò)資源、更高的維護(hù)成原來支撐的.如何在保證應(yīng)用層安全的同時(shí)，保持最低的擁有和維護(hù)本錢是電信用戶考慮的。第三章HillStone電信網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全設(shè)計(jì)的根本原則技術(shù)先進(jìn)性和有用性原則IT行業(yè)的技術(shù)更換代很快，為了保證網(wǎng)絡(luò)能夠滿足.一種時(shí)機(jī)應(yīng)當(dāng)是在這種技術(shù)在市場上已經(jīng)得到較為廣泛的應(yīng)用,并且在使用中得到確定之后。雖然這時(shí)的技術(shù)可能已經(jīng)不是最的技術(shù),但技術(shù)已經(jīng)成熟，設(shè)備的性性和有用性相結(jié)合,并找出其中的平衡點(diǎn).高牢靠性原則,99999％的牢靠性.建設(shè)一個(gè)運(yùn)行穩(wěn)定牢靠的現(xiàn)代化網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)中任何一臺(tái)安全設(shè)備或任何一條安全設(shè)備上的線路發(fā)生故障都不會(huì)導(dǎo)致通過該安全設(shè)備互聯(lián)的兩個(gè)網(wǎng)絡(luò)無法通訊,并且能夠保證在不影響網(wǎng)絡(luò)正常運(yùn)行的狀況下完成對(duì)網(wǎng)絡(luò)故障的檢測和排解.安全建議書安全建議書第第5頁易于擴(kuò)展和升級(jí)的原則在的數(shù)據(jù)網(wǎng)上,用戶對(duì)帶寬的需求必將增長，需要將網(wǎng)絡(luò)系統(tǒng)擴(kuò)容，因此在網(wǎng)絡(luò)設(shè)計(jì)時(shí)應(yīng)充分考慮將來網(wǎng)絡(luò)的擴(kuò)容和升級(jí)問題.,只通過增加一些模塊就可以實(shí)現(xiàn)網(wǎng)絡(luò)性能和規(guī)模的擴(kuò)展，滿足今后幾年業(yè)務(wù)進(jìn)展的需要。治理和維護(hù)的便利性處理和解決。電信網(wǎng)絡(luò)安全方案設(shè)計(jì)HillStoneNetworksHillStone安全方案描述HillStoneSA的需求。1HillStone產(chǎn)品供給高性能的安全管控功能由于防火墻部署在電信網(wǎng)絡(luò)的關(guān)鍵位置，把守著全部數(shù)據(jù)流量的安全掌握，因此對(duì)防火墻的轉(zhuǎn)發(fā)性能以及吞吐要求都比較高。在電信網(wǎng)絡(luò)中,一般網(wǎng)絡(luò)出口大吞吐的防火墻會(huì)顯著降低整個(gè)網(wǎng)絡(luò)延遲，有效提高企業(yè)生產(chǎn)效率。HillStone.HillStoneSA2Gbps8Gbps務(wù)需求。同時(shí)HillStoneSA64最高達(dá)12萬的TCPSA2HillStone產(chǎn)品供給高效的防攻擊功能,越來越多地人能夠很便利的利用Internet上的免費(fèi)工具進(jìn)展準(zhǔn)網(wǎng)絡(luò)攻擊和真正的網(wǎng)絡(luò)攻擊.和以往不同,越來越多的黑客發(fā)防護(hù)責(zé)任。HillStone產(chǎn)品能夠供給全面地防攻擊力量，能夠針對(duì)常見攻擊進(jìn)展有效阻斷，同時(shí)還能夠針對(duì)零日攻擊進(jìn)展準(zhǔn)時(shí)的推斷和阻斷,有效保護(hù)企業(yè)用戶的網(wǎng)絡(luò)安全不受侵害。同時(shí)，HillStone產(chǎn)品強(qiáng)大的應(yīng)用層檢測力量以及應(yīng)用層處理性能為分析和阻擋各類攻擊供給了強(qiáng)大的支持。3HillStone產(chǎn)品供給高性能的應(yīng)用層管控力量在高速信息交換的Internet上,海量的信息被不斷的公布和掃瞄.對(duì)于電信用信息等。HillStoneSA系列產(chǎn)品具有URL地址過濾功能，能夠通過設(shè)立黑名單URL地址，防止?jié)撛诘呢?zé)任問題.隨著Internet的不斷普及,的網(wǎng)絡(luò)應(yīng)用層出不窮,并且對(duì)于網(wǎng)絡(luò)帶寬的占用日益增高，如網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)玩耍、BT下載等。電信網(wǎng)絡(luò)客戶在網(wǎng)絡(luò)中運(yùn)行著應(yīng)用不斷突破網(wǎng)絡(luò)帶寬限制,吞占著有限的網(wǎng)絡(luò)帶寬，嚴(yán)峻影響著其他客戶的正常使用。HillStoneSA系列安全網(wǎng)關(guān)具備細(xì)粒度的流量管控機(jī)制，甚至能夠針I(yè)P地址配置流量策略.IPIP地址范圍，我們可以定制IP地址的最大帶寬、最小帶寬以及突發(fā)帶寬.結(jié)合時(shí)間參數(shù)，我們可以定制,能夠更加人性化的治理企業(yè)網(wǎng)絡(luò)內(nèi)極為簡單的流中流量的真實(shí)狀況，能夠更加合理的安排帶寬資源。目前依靠于網(wǎng)絡(luò)應(yīng)用的時(shí)代,能夠做到應(yīng)用層的安全檢測以及安全防護(hù)功能是全部安全廠商的目標(biāo).由于應(yīng)用層的檢測需要進(jìn)展深度的數(shù)據(jù)包解析,而使用傳統(tǒng)網(wǎng)去實(shí)現(xiàn)。HillStoneSA系列安全網(wǎng)關(guān)承受創(chuàng)的64位多核處理器以及高達(dá)24G的交換總線,ASICNP的弊病,并能夠供給完善的應(yīng)用層處理力量。4HillStone產(chǎn)品供給冗余備份的網(wǎng)絡(luò)架構(gòu)HillStoneSAHA解決方案,A-AA—P。HillStoneHASession級(jí)別的同步，其中包括VPNSA同步，能夠保證網(wǎng)絡(luò)的長久暢通，提高客戶滿足度，為電信網(wǎng)絡(luò)供給更牢靠更經(jīng)濟(jì)的網(wǎng)絡(luò)安全解決方案。。3HillStone網(wǎng)絡(luò)安全解決方案為用戶帶來的好處HillStone供給專業(yè)的網(wǎng)絡(luò)安全效勞HillStone售后閱歷，能夠?yàn)橛脩艄┙o最準(zhǔn)時(shí)最有效的安全解決方案。高性能的防火墻和防攻擊力量HillStoneSA地避開網(wǎng)絡(luò)攻擊對(duì)企業(yè)網(wǎng)絡(luò)的影響。先進(jìn)的應(yīng)用層管控機(jī)制HillStoneSAURL下更細(xì)粒度的管控自己的網(wǎng)絡(luò).供給高性能的應(yīng)用層解決方案前所未有的性能支持，保證在高吞吐高流量的狀況下沉著有效地進(jìn)展應(yīng)用層的管控。提高電信網(wǎng)絡(luò)部署的敏捷性和擴(kuò)展性網(wǎng)絡(luò)解決方案能夠憑借HillStone幫助企業(yè)網(wǎng)絡(luò)應(yīng)用的演化。在電信網(wǎng)絡(luò)的特定網(wǎng)絡(luò)安全環(huán)境下,通過的敏捷性和擴(kuò)展性。降低系統(tǒng)維護(hù)難度和本錢憑借多種人性化治理維護(hù)方式和 HillStone集中治理功能的實(shí)現(xiàn)，HillStone電信網(wǎng)絡(luò)解決方案能夠極大的降低系統(tǒng)的維護(hù)難度和本錢。術(shù)支持和研發(fā)隊(duì)伍，能夠?yàn)殡娦啪W(wǎng)絡(luò)應(yīng)用供給最優(yōu)質(zhì)的專業(yè)技術(shù)保障。和性能要求的同時(shí)，供給最優(yōu)的性能價(jià)格比和擴(kuò)展力量。3。2.4HillStoneVPN網(wǎng)絡(luò)VPN系統(tǒng)在企業(yè)網(wǎng)絡(luò)系統(tǒng)中應(yīng)用的目的是在一個(gè)非信任的通信網(wǎng)絡(luò)鏈路或建立一個(gè)安全和穩(wěn)定的隧道.為便利遠(yuǎn)程用戶和移動(dòng)辦公用戶能接入到企業(yè)內(nèi)部網(wǎng)絡(luò),同時(shí)為保證在基于,HillStone防火墻上VPN功能.IPSec協(xié)議是一種工業(yè)標(biāo)準(zhǔn)協(xié)議,運(yùn)行于網(wǎng)絡(luò)層(OSI的第三層。IPSec供給了一種標(biāo)準(zhǔn)的、強(qiáng)健的以及包涵廣泛的機(jī)制,IP及上層協(xié)議〔UDP實(shí)施方案相互間可以共通。而且假設(shè)想增加的算法,其過程也是格外直接的,不會(huì)對(duì)共通性造成破壞.IPSec協(xié)議支持：①數(shù)據(jù)的保密性②數(shù)據(jù)的完整性③數(shù)據(jù)來源鑒別④防重放。VPN網(wǎng)絡(luò)可以從最大程度上來保證數(shù)據(jù)的安全性。在本方案中,用戶擔(dān)憂的問題有:VPN這主要包含在三個(gè)方面：1、VPN數(shù)據(jù)在公網(wǎng)上是否有可能被竊取和修改及假冒?！睮PSec〕Internet據(jù)是經(jīng)過高度加密的,可以最高級(jí)別地保證數(shù)據(jù)的完整性、安全性、保密性。HillStone防火墻VPN(InternationalComputerSecurityAssociation，ICSA,正式名稱為NSCA〕認(rèn)證的,因此在公網(wǎng)上是不行能被竊取和修改及假冒.2IPSpoofingIPSpoofing〔IP〕防范和檢測的功能。3、外部利用分支機(jī)構(gòu)下載的帶木馬的軟件或資料，來竊取內(nèi)部信息.到最低。在本方案中,HillStone供給了良好的網(wǎng)絡(luò)的集中治理和監(jiān)控功能。利用HillStone防火墻的VPN功能，可以嚴(yán)格的掌握數(shù)據(jù)的流向和各種數(shù)據(jù)效勞HillStone防火墻設(shè)備的VPN告警功能，可以便利的治理和監(jiān)控各部的網(wǎng)絡(luò)運(yùn)行狀態(tài)。安全建議書安全建議書第第10頁第四章產(chǎn)品介紹Hillstone安全產(chǎn)品架構(gòu)和特點(diǎn)隨著網(wǎng)絡(luò)威逼不斷的進(jìn)展,純的網(wǎng)絡(luò)層安全防護(hù)系統(tǒng)無法滿足用戶的需求.傳統(tǒng)防火墻以網(wǎng)絡(luò)層防護(hù)為主，PCASICNP〔網(wǎng)絡(luò)處理器〕純硬件防火墻系統(tǒng)。第三代基于ASICNP架構(gòu)的防火墻可以實(shí)現(xiàn)高性能的網(wǎng)絡(luò)安全防護(hù)，對(duì)于應(yīng)用層的安全防護(hù)無能為力，應(yīng)用層完全依靠通用CPU進(jìn)展處理,UTM產(chǎn)品，一旦翻開應(yīng)用層安全防護(hù)功能，如P2P/IM安全掌握、IPS、Web過濾、防病毒以及防垃圾郵件等內(nèi)容過濾功能，性能會(huì)急劇下降,無法滿足用戶實(shí)際的網(wǎng)絡(luò)安全需求.基于以上緣由，Hillstone全線產(chǎn)品承受了創(chuàng)的一代網(wǎng)絡(luò)安全架構(gòu)，硬件64位高性能的多核處理器Multi-CoreCPU〔16核高達(dá)24Gbps,安全產(chǎn)品中重要參數(shù)之一的每秒建會(huì)話數(shù)是目前業(yè)界最高性能的基于ASIC和NP510倍!64位專用高性能多核處理器的多核并行處理力量為應(yīng)用層內(nèi)容安全功能供給了強(qiáng)大的保障,同時(shí)又避開了純ASIC和NP64位多核處縮以及其他安全功能的芯片級(jí)硬件加速功能,使得Hillstone安全產(chǎn)品具有強(qiáng)大高效的VPN和應(yīng)用層安全處理力量。承受創(chuàng)的一代網(wǎng)絡(luò)安全架構(gòu)的Hillstone網(wǎng)絡(luò)安全的紀(jì)元.1664MIPS處理器具有強(qiáng)大的應(yīng)用層安全處理力量,眾所CPUASICCPUASIC／NP架構(gòu)而承受純CPU的架構(gòu)。Hillstone承受多核處理器，使得該硬件架構(gòu)充分考慮到了應(yīng)用安全建議書安全建議書第第11頁重要指標(biāo)之一的每秒建連接數(shù)最高到達(dá)了20萬／秒,同時(shí)結(jié)合內(nèi)部高速交換64位專用處理器，Hillstone安全產(chǎn)品具有了強(qiáng)大的應(yīng)用安全處理力量和可擴(kuò)展力量，為集成更多的應(yīng)用安全供給了強(qiáng)大的資源保障.強(qiáng)健的專用實(shí)時(shí)64位并行操作系統(tǒng)〔RobustSpecificRealtimeOperatingSystem)Hillstone全線產(chǎn)品承受專用多線程實(shí)時(shí)64位并行操作系統(tǒng)，多線程的并行64位操高了系統(tǒng)的處理效率、系統(tǒng)穩(wěn)定性和安全性。模塊化和多線程的處理機(jī)制，為Hillstone器和集成更多安全功能。眾所周知,操作系統(tǒng)是整個(gè)安全設(shè)備的核心和根底,安全產(chǎn)品的操作系統(tǒng)必需操作系統(tǒng)會(huì)暴露大量的操作系統(tǒng)漏洞，安全系統(tǒng)再強(qiáng)大,操作系統(tǒng)的漏洞會(huì)直接導(dǎo)致這個(gè)系統(tǒng)的崩潰.目前，專用定制的操作系統(tǒng)被廣泛承受。Hillstone安全產(chǎn)品均承受定制的專用操作系統(tǒng)StoneOS.StoneOS具有64位實(shí)時(shí)并行處理力量，其核心針對(duì)Hillstone硬件產(chǎn)品進(jìn)展了全面優(yōu)化，使得系統(tǒng)具有更高的處理效率和穩(wěn)定性。模塊化的系統(tǒng)構(gòu)造易于繼承更多的安全功能,系統(tǒng)具有極強(qiáng)的伸縮性和可擴(kuò)展性。任何獨(dú)立的安全模塊消滅問題都不會(huì)影響整個(gè)系統(tǒng)的運(yùn)行。高牢靠性和穩(wěn)定性〔HighReliabilityandStability〕積存多年被證明的專業(yè)硬件安全產(chǎn)品研發(fā)和市場閱歷,Hillstone一代網(wǎng)絡(luò)IT環(huán)境供給了強(qiáng)大的保障.Hillstone安全產(chǎn)品最大程度上確保企業(yè)關(guān)鍵業(yè)務(wù)的不連續(xù)運(yùn)行，提高用戶的競爭力。最低的總體擁有本錢〔LowestTCO〕Hillstone全線產(chǎn)品供給了格外友好的使用和治理界面，部署簡潔、易于維護(hù)和治理.敏捷的特性可以滿足不同用戶不同應(yīng)用環(huán)境的需求.獨(dú)特創(chuàng)的一代網(wǎng)絡(luò)安全架構(gòu)供給應(yīng)用戶最大化的可擴(kuò)展力量,最大化地保護(hù)用戶投資。Hillstone安全產(chǎn)品解決方案特點(diǎn)：創(chuàng)的一代網(wǎng)絡(luò)安全架構(gòu)高性能的綜合安全系統(tǒng)高牢靠性和擴(kuò)展性高性價(jià)比豐富的安全特性TCO友好和易于使用的治理界面細(xì)粒度的安全參數(shù)調(diào)整出色的內(nèi)容安全綜合處理力量敏捷的部署特性，易于部署和維護(hù)全面的產(chǎn)品線，滿足不同用戶的需求專業(yè)的技術(shù)支持和銷售團(tuán)隊(duì)P2P/IM應(yīng)用的安全掌握和細(xì)?；卫鞨illstone安全產(chǎn)品核心功能介紹獨(dú)特的防火墻狀態(tài)監(jiān)測Hillstone防火墻對(duì)經(jīng)過的數(shù)據(jù)包進(jìn)展?fàn)顟B(tài)檢測,除了根本的基于數(shù)據(jù)包源地址、,還能夠基于應(yīng)用特征〔P2P軟件、IM即時(shí)通訊工具等〕IPSession數(shù)進(jìn)展限制，有效的治理客戶端,FTPH。323等較為特別Pinhole技術(shù)，通過智能識(shí)別技術(shù)能夠分析翻開的連接，動(dòng)態(tài)調(diào)整防火墻的安全規(guī)章，在敏捷支持應(yīng)用的同時(shí)，不犧牲安全。源和目的地址源和目的接口IP協(xié)議號(hào)TCPUDP端口號(hào)端口范圍ICMP信息類型IPTCP中都有的選項(xiàng)類型IPTCP標(biāo)記組合VLAN信息時(shí)間IPSession數(shù)應(yīng)用特征〔P2P軟件、IM即時(shí)通訊工具〕Network強(qiáng)大的防范功能ADforallzonesADpersecurityzoneGenerateAlarmw/odropframeConf—ableTCPtimeoutperservice/rule—--partofitinsession。StaticanddynamicACLIPpacketfragmentationblockingIPOptionanomalydetectionTCPanomalydetectionIPSourceRouteOptionsTracertdatagramcontrolIPAddressSpoofprotectionAddresssweepprotectionPortscanprotectionSessionlimiting：source-basedSessionlimiting:Dest—basedSynFloodICMPFloodUDPFloodLandSmurfFraggleHugeICMPpacketICMPredirectandunreachableARPspoofattackARP主動(dòng)反向查詢VoIPDOSattacksWinNukePingofDeathTearDropHA高可用性Hillstone一.全面優(yōu)化的軟硬件系統(tǒng)的穩(wěn)定性和高牢靠性為網(wǎng)絡(luò)流量和網(wǎng)絡(luò)攻擊日益膨脹的企IT環(huán)境供給了強(qiáng)大的保障。Hillstone產(chǎn)品能在最大程度上確保了網(wǎng)絡(luò)關(guān)鍵業(yè)務(wù)的不連續(xù)運(yùn)行。HillStoneSAHAA-AA—P.HillStoneHASession級(jí)別的同步,VPN的SA同步,能夠保證網(wǎng)絡(luò)的長久暢通，提高客戶滿足度,為電信網(wǎng)絡(luò)供給更牢靠更經(jīng)濟(jì)的網(wǎng)絡(luò)安全解決方案。靜態(tài)和動(dòng)態(tài)黑名單Hillstone防火墻允許用戶自定義黑名單列表,將制止訪問的域名、IP地址或網(wǎng)段定義時(shí)間。如，當(dāng)某一IP單位時(shí)間內(nèi)連續(xù)ping防火墻超過N次，則將該IP自動(dòng)添加到動(dòng)態(tài)黑名單予以阻斷,M分鐘。DHCPDHCPRelayDHCPDHCPRelay。DHCPClientDHCPServerDHCPServer,防火墻可以為網(wǎng)絡(luò)中計(jì)算機(jī)動(dòng)IP地址的治理。DHCPClientInternet時(shí),IP地址為動(dòng)態(tài)安排的.IP才能對(duì)數(shù)據(jù)包進(jìn)展訪問掌握。IPIP地址，便利敏捷的接入用戶的網(wǎng)絡(luò)環(huán)境。PPPoE撥號(hào)目前國內(nèi)越來越多的企業(yè)通過ADSL接入Internet,而ADSL需要撥號(hào)以后才能獲得IP地址.這時(shí)假設(shè)要安裝防火墻需要防火墻必需支持PPPoE協(xié)議,否則無法完成撥號(hào)過程,無法接入網(wǎng)絡(luò)。HillstonePPPoE協(xié)議，通過在防火墻上ADSLIP地址進(jìn)展地址轉(zhuǎn)換、VPN等操作。802。3ad鏈路會(huì)聚8023ad,在獲得更高帶寬的同時(shí)也供給了更高的鏈路冗余穩(wěn)定性。VLANHillstone802。1Q封裝協(xié)議，也就是說可以把防火墻架設(shè)在劃802.1Q協(xié)議時(shí)，防VLAN間的數(shù)據(jù)包轉(zhuǎn)發(fā)，這樣可VLAN在防火墻的配置中將消滅一個(gè)虛擬接的安全性和配置敏捷性。VLAN間路由VLAN的透亮穿透IPMAC地址綁定在內(nèi)部網(wǎng)絡(luò)的應(yīng)用中，常常會(huì)遇到內(nèi)部網(wǎng)絡(luò)用戶擅自修改IP地址，以獵取一個(gè)合法IP地址來進(jìn)展相應(yīng)的網(wǎng)絡(luò)應(yīng)用,這樣會(huì)使內(nèi)部網(wǎng)絡(luò)在地址資源的安排和使用上消滅混亂，大大影響內(nèi)部網(wǎng)絡(luò)的正常運(yùn)行.故發(fā)生以后，地址尋找的難度很大。地址與MAC地址綁定規(guī)定某一IP只對(duì)應(yīng)于某一特定的網(wǎng)卡(每個(gè)網(wǎng)卡具有唯一的MAC地址〕,即限定一個(gè)IP地址只能在一臺(tái)指定的機(jī)器上使用。當(dāng)某臺(tái)機(jī)器通過防火墻訪問Internet時(shí),防火墻要檢查其發(fā)出的數(shù)據(jù)中的IP以及MAC是否與防火墻上的規(guī)定相符，假設(shè)相符就放行.否則不允許通過防火墻，這樣可大大便利IP地址治理。支持端口鏡像為了遵從行業(yè)法案，Hillstone防火墻供給端口鏡像功能,它把指定端口的資料包復(fù)制到監(jiān)控端口。允許用戶自行設(shè)置一個(gè)監(jiān)視治理端口來監(jiān)視被監(jiān)視端口的資就可以知道被監(jiān)視端口狀況，從而進(jìn)展網(wǎng)絡(luò)檢測、監(jiān)控和故障排解?；诓呗缘穆酚伞睵BR〕Hillstone防火墻可以基于不同的策略定義不同的路由.依據(jù)源地址、效勞等定義ISP，應(yīng)用在多個(gè)出口的環(huán)境。支持動(dòng)態(tài)路由表以動(dòng)態(tài)地反映網(wǎng)絡(luò)拓?fù)渥兓?。Hillstone支持多種動(dòng)態(tài)路由RIP〔RIPV1、RIPV2)OSPF協(xié)議。ApplicationLayerGatewayHillstone