Hillstone SA-2010高校安全解决方案

在国家“科教兴国”战略的指引下，山石网科Hillstone凭借专业的技术实力和业务积累，在教育行业的网络安全领域纵深拓展。正是基于对校园网的深刻理解，基于实事求是的调研数据，山石网科Hillstone推出了度身定制的新一代校园网安全解决方案。

1. 越来越多的出口

山石网科Hillstone SA-2010安全网关，能够为用户提供针对多出口的完美解决方案。

首先可以实现基于源/目的的智能选路。Hillstone SA-2010安全网关，按照查找优先级排列分别是：策略路由、源接口路由、源路由、目的路由。即不仅可以实现基于srcIP的源路由、基于In-interface（源接口）＋srcIP的源接口路由、还可以按照srcIP＋srcPort＋dstIP＋dstPort＋Protocol五元组来完成智能选路的高级PBR功能，以满足用户全方位的要求。

Hillstone SA-2010安全网关同时采用ECMP智能负载均衡技术，最大可以实现在40条路径之间作负载均衡。此外选择负载均衡的方式，有三种方式可供选择：基于源地址、基于源和目的地址、基于srcIP＋srcPort＋dstIP＋dstPort＋Protocol五元组，来迅速判断出流量的最佳路径，使整个网络出口的流量能够在这些不同的网络链路中智能的进行负载均衡，达到最大的网络效率。

而且Hillstone SA系列安全网关支持业界最全的“透明、路由、NAT、混合”等四种设备部署模式，尤其是把NAT/路由模式以及透明模式无缝结合在一起，辅助以灵活的物理端口类型和数量，完全可以替换传统的路由器加防火墙的接入方式，简化网络拓扑，降低投资。

 2. 安全防护能力

Hillstone SA-2010安全网关的主要安全防护主要体现在：
访问控制：根据安全策略对数据流进行检查，让合法的流量通过，将非法的流量阻止，从而达到访问控制的目的。具有优化的规则匹配算法，规则的查询时间不随配置的策略规则数目线性增长；状态检测（stateful inspection）技术；

基于安全域的攻击防护：包括IP 地址扫描攻击防护、端口扫描攻击防护、IP 地址欺骗攻击防护、SYN Flood 攻击防护、SYN-Proxy、ICMP Flood 攻击防护、UDP Flood 攻击防护、Huge ICMP 包攻击防护、WinNuke 攻击防护、Ping of Death 攻击防护、Teardrop 攻击防护、IP Option 攻击防护、TCP 异常攻击防护、Land 攻击防护、IP 碎片攻击防护、Smurf 和Fraggle 攻击防护功能等。

我们可以看到校园网DOS/DDOS攻击，由于其攻击的突发性和随机性的特点，在线(In-line)防御方式才能做到实时的检测和防御，最大限度的保护校园网。Hillstone SA-2010安全网关的性能避免了在线防御的性能瓶颈问题。Hillstone SA-2010安全网关，最高可以在每秒创建2000TCP会话作为背景流量，检测并防御880kpps（64字节数据包）/s以上的SYN-FLOOD攻击，具有业界超强的DDoS攻击防护能力。

3. 流量控制

Hillstone SA-2010安全网关，全面兼容Cisco QoS 解决方案。

Hillstone SA-2010安全网关的QoS 功能，可以顺利实现校园网的应用流量控制要求：对于重要的应用(如HTTP应用)，保证其最小带宽使用量，并且借用剩余带宽；对于占用大量带宽但不重要的应用(如P2P应用)对其进行最大带宽限制（有时候还需限制P2P 上传流量，减少外部用户对带宽的消耗）；支持基于时间段生效的带宽控制策略（可以通过配置不同的时间段策略进行时间与应用带宽上的管理与控制）等。

 Hillstone SA-2010安全网关，具有独创的智能应用识别(Intelligent Application Identify)技术，确保精确的识别应用。尤其强调国内环境P2P的识别，支持国内校园网常见的Thunder(迅雷)、Web讯雷、Bit Torrent、eMule、eDonkey、百度下吧、POCO、PPLive、酷狗、哇嘎画时代等常见的P2P的识别。

当QoS为每用户限制在一个带宽数值之内时，在某些时刻（如后半夜）可能带宽利用率只有不到10%。虽然此时有足够的带宽，但是IP带宽受限，无法利用空闲带宽。Hillstone SA-2010安全网关支持弹性QoS （Flex-QoS），以求充分的利用带宽资源，杜绝浪费。

在保障系统运行性能的情况下， Hillstone SA-2010安全网关最高可实现精密度为1kbps，多达2万个用户的流量控制。

4. “无所不联”的接入能力

针对广大师生需要从校外远程访问校内的数字图书馆，领导、老师需要从校外远程使用校内的办公应用系统的远程安全接入需求，Hillstone SA-2010安全网关提供了新一代 SSL 科学技术解决方案。Hillstone的SSL 科学无需预先安装和配置客户端，所有的安装和升级都可以在远程接入时自动完成，把IT部门的负担减少到最低。并且结合Hillstone的Role Base Policy（用户—角色—资源）技术， 根据用户身份，管理员可以通过配置访问策略的方式实现用户对资源的访问控制，以保障某些特定的网络资源只能被授权的用户访问。

针对分布在高校内的多个校区之间的核心、敏感部门机构（财务、人事等部门）之间也必须实现安全互联的需求，建议采用IPSec 科学技术实现。

Hillstone SA-2010安全网关，是IPSec 科学+SSL 科学二合一的网关，充分继承IPSec和SSL 科学技术的优势，弥补各自的缺陷。
校园网“无所不联”的科学应用，需要设备支持高性能，高吞吐率，支持高并发科学用户数量。Hillstone SA-2010安全网关，最大支持10,000个SSL用户数，30,000个IPSec通道数，8Gbps的IPSec 科学吞吐率 (3DES+SHA-1)，为校园网“无所不联”的科学应用提供高性能的科学接入能力。

5. 对内网的监控以及上网行为控制

校园网内网到外网的安全威胁比较严重。还需要能够监督、控制全网应用协议的情况（流量分布、会话数量）、校园网每用户的使用情况（上下行流量、会话数量）等作为辅助管理手段。

Hillstone SA-2010安全网关，不仅可以实时监控对校园网每用户的上下行流量、会话数量，并且通过对校园网每用户进行会话数量或者建立会话速率控制，从而保护安全网关设备自身会话表，还能够在一定程度上限制一些P2P应用的带宽。

对于学生访问成人、反动网站——通过Hillstone SA-2010安全网关URL过滤功能，可以根据URL黑名单、关键字列表有选择性地限制校园网用户对某些网页的访问。此外，如果有需要，Hillstone SA-2010安全网关还可以对校园网用户的IM使用(Yahoo! Messenger 、MSN、Windows Messenger、QQ、新浪UC、网易POPO、搜Q)进行控制，如阻止登录、阻止文本聊天行为或者阻止文件传输行为等。

 6. ARP攻击防御

在Hillstone SA-2010安全网关、Hillstone SR系列安全路由器之上，山石网科Hillstone首创加密ARP协议，彻底解决ARP攻击。

装有Hillstone ARP客户端的PC会与Hillstone设备(SA系列安全网关、SR系列安全路由器)进行基于身份认证的ARP协议通讯，这就保证每台安装客户端的PC能够获得来自于Hillstone设备认证过的设备MAC地址。这个交换使用公钥基础设施（PKI）来确保ARP信息的真实性。该协议执行强大的反伪造和防重放机制，使系统免受各种攻击，包括伪造的ARP包和重放的ARP包。

ARP客户端还可以监控PC的可疑二层行为并阻断受感染的PC对同一局域网内的其他PC或网络设备发动ARP攻击。此外，Hillstone设备可以探测客户端是否安装了ARP验证工具并且在客户端安装该工具之前拒绝其访问Internet。

7. 高性能、高可靠

Hillstone SA-2010安全网关提供丰富的HA功能，主机和备机之间可以同步规则、对象、路由和Session等信息。当主机出现问题后，各种网络服务都可以平滑的切换到备机上，保证用户不断网。减少校园网络中单点故障，增强网络的可靠性，稳定性。

现在校园网的网络流量模型逐渐在发生着变化（小包报文比例增加，单个用户的并发连接数也在迅速增加、UDP报文在迅速增加等），另外一方面，越来越大的流量需要处理，越来越多的功能需要开启，对于设备高处理性能的需求也是越来越迫切。

Hillstone SA-2010安全网关，由于采用了先进的多核处理器技术＋自主开发的专用安全芯片(ASIC)＋内部高达48Gbps的交换总线的高性能硬件平台，配合64位实时并行操作系统StoneOS，能够提供高性能的应用安全处理能力和更强的应用层抗攻击能力。

Hillstone SA-2010安全网关，最高可达8G防火墙和科学吞吐能力，500万并发会话和高达20万/50万的每秒TCP/UDP会话创建速率，是目前业界基于ASIC/NP架构最高性能安全产品的5-10倍！