Hillstone产品功能优势分析.docVIP

Hillstone产品功能优势分析 －学校端接入设备 1,校园网用户上网行为的日志、网络分析监控功能 为加强对整个学校网络资源应用情况的了解，需要一个内容详尽、分析透彻、功能强大的日志报表及统计系统。 a,提供基于校园网内部每个用户的最完整的互联网访问记录，满足公安部82号令，规避法律风险 b,通过直观的、图象化的方式了解网络带宽的利用情况，以及内网用户的网络访问状态，统计出网络访问的趋势，以帮助系统管理员更好地维护和管理网络，为学校网络管理者提供清晰的管理和决策依据。 例如: 校园网内部每个用户的：IP上下行带宽,每用户的各种上网应用及其带宽占用情况,每用户(IP)的TCP/UDP会话数量； 整个校园网出口整体的：接口上下行带宽,各种上网应用的带宽分布,TCP/UDP会话数量； 2,强劲的防火墙功能,抵御DoS攻击 防火墙功能,抵御DoS攻击-通常DoS攻击往往会导致校园网及整个教育城域网超负载运作,性能降低,影响正常用户使用教育城域网,甚至造成瘫痪,故对于DoS攻击的防范是非常必要的。 a,抵御DoS攻击的种类要全面 Flood防护(ICMP洪水攻击防护/UDP洪水攻击防护/ARP欺骗攻击防护/SYN洪水攻击防护) 扫描/欺骗防护(IP地址欺骗攻击防护/IP地址扫描攻击防护/端口扫描防护) 拒绝服务防护DOS攻击(Ping of Death攻击防护/Teardrop攻击防护/IP分片防护/IP选项/Smurf或者Fraggle攻击防护/Land攻击防护/ ICMP大包攻击防护) 其他:TCP选项异常攻击/DNS查询洪水防护 b,防火墙攻击防范的性能必须跟上，才能够有效保障校园网用户关键业务吞吐量. 吞吐量是防火墙功能最主要的指标参数之一，其规格决定着防火墙整体实力,包括抵御DoS攻击的实力. 建议城域网的各中小学校园网出口处,防火墙功能的性能,按照双向实际流量在150M左右考虑是比较合适的,兼顾高未来发展的需要。 综述： Hillstone VR5600T高性能纯硬件安全网关,作为教育城域网学校端接入设备,在传统安全路由器的功能基础上,提供强大防火墙、用户上网行为的日志及网络分析监控功能，一方面满足校园网网络安全运行和管理的需要,同时满足中国公安部第82号令对于互联网上的单位要做到记录并留存用户上网信息等相关要求,从而规避相应的风险和隐患,为校园网络接入教育城域网提供最大保障。 2, Hillstone VR5600T重点功能/性能指标 功 能 VR5600T 性能指标及最大容量 设备防火墙吞吐量 200Mbps IPSec VPN吞吐量(AES256+SHA-1) 200Mbps 最大并发连接数(标配/可升级至) 20万 每秒新建连接数 4,000 最大策略数 1,000 日志和监控 校园网内部每个用户的互联网访问记录 ● 支持多个Syslog(TCP/UDP)服务器 ● Email ● SNMP v1/v2c/v3 ● 集中安全管理平台 ● VPN通道监控 ● 私有MIB ● 操作模式 透明模式 ● 路由/NAT模式 ● L2/L3混合模式 ● 地址转换 NAT/PAT ● MIP(IP映射)/VIP(端口映射) ● 强大的攻击防护能力 访问控制 面向用户的访问控制策略 ● 网络层防护 DNS Query Flood攻击防护 ● SYN Flood攻击防护 ● TCP/UDP/ICMP Flood攻击防护 ● 畸形报文防护 ● IP分片报文攻击防护 ● IP异常选项检测 ● TCP异常检测 ● IP地址欺骗防护 ● 端口扫描防护 ● IP地址扫描攻击防护 ● 静态和动态黑名单 ● 会话限制(基于源/目的/服务) ● 基于安全域的安全防护 ● 基于Profile的安全防护 ● 链路层?ARP防护 IP/MAC/端口地址绑定 ● DHCP监控 ● 2层IP欺骗检测 ● 主动反向查询 ● ARP包探测 ● 免费 ARP广播 ● 同一MAC的IP地址数探测 ● ARP客户端认证 ● 应用层防护 Web页面内容过滤 ● 网页浏览记录 ● 敏感文件类型过滤 ● Java Applet阻断 ● ActiveX阻断 ● URL关键字过滤 ● URL排除列表 ● IPSec VPN DES、3DES和AES128/192/256 ● MD-5和SHA-1认证 ● 数据压缩 ● PnPVPN(即插即用VPN) ● 点对点/动态地址 ● 手工密钥、IKE(预共享、RSA) ● IPSec NAT穿越 ● 基于策略/路由的VPN ● 拨号VPN ● 隧道监控 ● VPN隧道冗余 ● A-A/A-P高可用性