山石網科下一代防火墻以保障用戶應用安全為目標,通過L2-L7層全麵威脅防禦及強大應用安全管控技術,為用戶提供領先的網路安全解決方案。
山石網科下一代防火墻可精確識別數千種網路應用,並提供詳盡的應用風險分析和靈活的策略管控。結合用戶識別、內容識別,山石網科下一代防火墻可為用戶提供可視化及精細化的應用安全管理。同時,山石網科下一代防火墻內置瞭先進的威脅檢測引擎及專業的WEB服務器防護功能,能夠抵禦包括病毒、木馬、Botnet、SQL註入、XSS跨站腳本、CC攻擊在
內的各種網路攻擊,有效保護用戶網路健康及WEB服務器安全。基於全並行軟硬件架構實現的“一次解包、並行檢測”,山石網科下一代防火墻在具備全麵安全防護的同時,更為用戶提供業界領先的安全防護性能。
山石網科下一代防火墻提供瞭全麵的應用安全防護和靈活的擴展方式,可部署於政府、金融、企業、教育等各個行業,廣泛適用於互聯網出口、網路與服務器安全隔離、VPN接入等多種網路應用場景。
1、 產品亮點
1.1、精細化應用管控
山石網科下一代防火墻支持深度應用識別技術,可根據協議特征、行為特征及關聯分析等,準確識別數千種網路應用,其中包括200餘種移動應用。並且,可支持SSL加密流量的應用識別。在此基礎上,山石網科下一代防火墻為用戶提供瞭精細而靈活的應用安全管控功能。
1.1.1、 應用多維可視化及風險分析
除應用所在分類外,用戶可瞭解到包括應用背景信息、應用風險級別、潛在風險描述、所用技術等詳盡信息,如該應用是否大量消耗帶寬、是否能夠傳輸文件、是否存在已知漏洞等等。通過多維度的詳盡應用分析,用戶可製定針對性的安全策略以避免特定應用威脅網路安全。
1.1.2、 精準應用篩選
山石網科下一代防火墻提供瞭精細化的應用篩選機製。用戶可根據應用名稱、應用類別、風險級別、所用技術、應用特征等6大條件,精確篩選出感興趣的應用類型,如具備文件傳輸功能的通訊軟件,或存在已知漏洞、基於瀏覽器的WEB視訊應用等等,從而實現精細化的應用管控。
1.1.3、 靈活應用控製
基於深度應用識別及精細化的應用篩選,山石網科下一代防火墻支持靈活的安全控製功能。包括策略阻止、會話限製、流量管控、應用引流或時間限製等。如山石網科下一代防火墻支持的iQoS技術,可在應用識別與用戶識別基礎上,進行兩層八級細粒度流量管控,保證用戶重要應用服務質量,提升網路帶寬利用率。
1.2、全麵威脅檢測與防護
山石網科下一代防火墻提供瞭基於深度應用識別、協議檢測和攻擊原理分析的入侵防禦技術,可有效過濾病毒、木馬、蠕蟲、間諜軟件、漏洞攻擊、逃逸攻擊等安全威脅,為用戶提供L2-L7層網路安全防護。
1.2.1、優化的攻擊識別算法
能夠有效抵禦如SYN Flood、UDP Flood、HTTP Flood等DoS/DDoS攻擊,保障網路與應用系統的安全可用性。
1.2.2、專業Web攻擊防護功能
支持SQL註入、跨站腳本、CC攻擊等檢測與過濾,避免Web服務器遭受攻擊破壞;支持外鏈檢查和目錄訪問控製,防止Web Shell和敏感信息泄露,避免網頁篡改與掛馬,滿足用戶Web服務器深層次安全防護需求。
1.2.3、高性能的病毒過濾
領先的基於流掃描技術的檢測引擎可實現低延時的高性能過濾。支持對HTTP、FTP及各種郵件傳輸協議流量和壓縮文件(zip,gzip,rar等)中病毒的查殺。
1.2.4、專業的Botnet過濾功能
通過專業的僵屍主機地址以及Botnet外網惡意伺服器IP地址的過濾,從根本上阻斷僵屍網路向機構內網的滲透,有效抵禦僵屍網路的威脅。
1.2.5、支持千萬級URL特征庫的URL過濾功能
可幫助網路管理員輕松實現網頁瀏覽訪問控製,避免惡意URL帶來的威脅滲入。
基於多核硬件架構及“一次解包,並行檢測”技術,山石網科千兆及桌麵型下一代防火墻在開啟多種威脅防護功能時,仍可為用戶提供業界領先綜合安全性能。
1.3、強大的網路適應性
山石網科下一代防火墻具備強大的網路適應能力,具備復雜環境下的安全部署能力,滿足用戶多樣化的網路功能需求。
1.3.1、智能鏈路負載均衡功能
其出站動態探測和入站SmartDNS等功能允許網路訪問流量在多條鏈路上實現智能分擔,極大提升鏈路利用效率和用戶網路訪問體驗。
1.3.2、支持RIP、OSPF和BGP等動態路由協議
可根據網路系統的運行情況自動調整動態路由表,滿足運營商、高校等復雜網路環境部署。
1.3.3、內置VPN加速芯片
可顯著提升IPSec/SSL VPN性能,支持大規模網路環境中VPN部署。結合iOS及Android平臺下的VPN客戶端,可為用戶提供移動終端遠程接入解決方案。
1.4、靈活便捷的無線安全
山石網科E1100系列下一代防火墻為用戶提供瞭豐富的網路接入選擇,包括WIFI及3G/4G接入功能。
1.4.1、WIFI熱點功能
E1100系列支持802.11a/b/g/n無線局域網接入標準,最高可達300Mbps無線網路連接速率,充分滿足分支機構、SOHO辦公室等應用環境中有線與無線混合接入需求。同時,提供瞭用戶認證、網路與用戶安全隔離等無線安全功能,杜絕非法接入,避免信息泄露。
1.4.2、3G/4G無線WAN接入
E1100系列下一代防火墻支持3G/4G移動通信技術,可支持電信、聯通、移動三大運營商3G/4G網路接入,為用戶提供更加靈活的廣域網接入方式。並且支持3G/4G鏈路與有線WAN鏈路之間的負載均衡與冗餘備份,實現VPN備份部署,確保業務持續運行。
1.5、統一集中管理
山石網科下一代防火墻支持集中管理,借助HSM安全管理平臺,可對多設備進行統一策略管理、設備配置管理及實時安全監控,從而實現網路的快速部署以及發生安全事件的及時響應,提高管理效率,降低運維成本。
2、 功能規格
2.1、應用識別
2.1.1、全新一代基於應用特征、行為和關聯信息的應用識別
2.1.2、支持應用類別、風險等級等多維度的應用定義
2.1.3、多達幾千種的應用特征庫
2.1.4、應用特征庫支持網路實時更新
2.2、用戶認證
2.2.1、支持本地用戶認證
2.2.2、支持外部服務器用戶認證(RADIUS、LDAP、MS AD)
2.2.3、Web認證
2.2.4、802.1X
2.2.5、支持MS AD用戶組同步
2.2.6、支持Web認證後的SSO
2.3、SSL解密
2.3.1、支持基於https加密流量的應用識別
2.3.2、支持識別加密流量並阻斷不可信流量
2.3.3、支持加密流量白名單設置
2.4、防火墻
2.4.1、基於深度應用識別的訪問控製
2.4.2、基於應用/角色的安全策略
2.4.3、豐富的路由特性
2.4.4、強大的NAT及ALG
2.5、攻擊防護
2.5.1、多種畸形報文攻擊防護
2.5.2、SYN Flood、DNS Query Flood等多種DoS/DDoS攻擊防護
2.5.3、支持ARP攻擊防護
2.6、入侵防禦
2.6.1、基於狀態、精準的高性能攻擊檢測和防禦
2.6.2、實時攻擊源阻斷、IP屏蔽、攻擊事件記錄
2.6.3、支持針對HTTP、SMTP、IMAP、POP3、VOIP、NETBIOS等20餘種協議和應用的攻擊檢測和防禦
2.6.4、支持緩沖區溢出、SQL註入和跨站腳本攻擊的檢測和防護
2.6.5、支持自定義入侵防禦特征
2.6.6、提供預定義防禦配置模板
2.6.7、提供7000多種特征的攻擊檢測和防禦,特征庫支持網路實時更新
2.6.8、支持專業的Web Server防護功能,含CC攻擊防護和外鏈防護等
2.7、病毒過濾
2.7.1、基於流的病毒過濾
2.7.2、支持壓縮病毒文件的掃描
2.7.3、超過130萬的病毒特征庫,病毒庫支持網路實時更新
2.8、Botnet Filter
支持專業的僵屍主機地址、Botnet外網惡意伺服器IP地址的過濾
2.9、網頁訪問控製
2.9.1、基於角色、時間、優先級、網頁類別等條件的Web網頁訪問控製
2.9.2、支持自定義URL類別
2.9.3、支持千萬級URL特征庫,URL庫支持網路實時更新
2.10、帶寬管理
2.10.1、根據安全域、介面、地址、用戶/用戶組、服務/服務組、應用/應用組、TOS、Vlan等信息劃分管道
2.10.2、支持兩層八級管道嵌套
2.10.3、對多層級管道進行最大帶寬限製、最小帶寬保證、每IP或每用戶的最大帶寬限製和最小帶寬保證
2.10.4、基於時間和優先級的差分服務,支持帶寬均分策略
2.10.5、對剩餘帶寬根據優先級進行彈性分配
2.10.6、主動抑製服務器端傳送流量
2.11、鏈路負載均衡
2.11.1、Outbound相關功能PBR支持ECMP、時間以及權重、支持內置ISP路由和動態探測
2.11.2、Inbound相關功能支持SmartDNS(支持DNS A記錄解析)、支持動態探測
2.11.3、可根據帶寬占用及時延情況自動進行鏈路切換
2.11.4、支持通過ARP、Ping、DNS等方法來檢測鏈路狀態
2.12、服務器負載均衡
2.12.1、支持服務器健康檢查和服務器會話保護、支持會話保持
2.12.2、支持加權哈希、加權輪詢、加權最小會話數等算法
2.12.3、支持服務器會話狀態的監控
2.13、VPN
2.13.1、支持IPSec VPN及創新的PnPVPN
2.13.2、支持SSL VPN (可選USB-key)
2.13.3、支持L2TP、GRE協議
2.13.4、支持IKEv2協議
2.13.5、支持Xauth協議
2.13.6、支持OCSP和SCEP協議
2.13.7、支持Android、iOS等移動設備的安全接入
2.14、IPv6
2.14.1、訪問控製
2.14.2、ND攻擊防護
2.14.3、隧道、DNS64/NAT64等多種過渡技術
2.14.4、IPv6路由(靜態路由、RIPng、OSPFv3、BGP4+)
2.15、高可用性(HA)(1)
2.15.1、主/主模式(A/A)和主/備模式(A/P)
2.15.2、支持配置、會話同步
2.15.3、虛擬系統(VSYS)(2)
2.15.4、支持對每個Vsys分配系統資源
2.15.5、支持CPU虛擬化
2.15.6、支持防火墻、IPSec VPN、SSL VPN功能
2.15.7、支持監控統計
2.16、無線控製(3)
2.16.1、支持多SSID
2.16.2、支持無線流量控製
2.17、3G/4G接入(3)
2.17.1、支持有線鏈路與3G/4G鏈路備份
2.17.2、支持基於3G/4G的IPSec VPN
2.18、監控統計
2.18.1、支持URL日志、NAT日志、會話日志、威脅日志等
2.18.2、支持實時流量統計和分析功能
2.18.3、支持安全事件統計功能
註:(1) E1100系列不支持
(2)僅M6560、E3660、E2300、E2800、G3150、G2120、G2110支持
(3)僅E1100系列支持
3、 關鍵指標
指標 | SG-6000-M6560 |
防火墻吞吐量(標配/最大) | 8Gbps |
IPSec吞吐量 | 3Gbps |
防病毒吞吐量 | 700Mbps |
IPS吞吐量 | 1.3Gbps |
最大並發連接數(標配/最大) | 400萬 |
每秒新建連接數(HTTP) | 80,000 |
IPSec隧道數 | 6,000 |
最大SSL VPN用戶數 | 4,000 |
管理介面 | 1個CON 介面,1AUX 口, 1個USB2.0 口 |
網路介面 | 4個千兆電口,8個SFP 口 |
擴展模塊槽 | 4個通用擴展槽 |
擴展模塊選項 | IOC-4GE-B-M,IOC-8GE-M,IOC-8SFP-M,IOC-4GE-POE |
電源規格 | 雙冗餘熱插拔電源,450W |
電源輸入范圍 | 交流:100-240V 50/60Hz 直流:-40 ~ -60V |
防雷擊浪湧等級(4) | NA |
產品形態 | 2U |
外形尺寸(W×D×H, mm) | 440.0mm× 520.0mm × 88.0mm |
重量 | 15.6kg |
工作環境溫度 | 0-40℃ |
工作環境濕度 | 10-95%(不結露) |
除非另有說明,否則所列出的性能,容量和特性是基於StoneOS®5.5R1的系統,實際結果可能會因StoneOS®版本和部署情況而異。
註: (1) IPSec吞吐量是用Pre-shared key+AES256+SHA-1,用1,400字節數據流測試所得;
(2)防病毒吞吐量根據帶附件的HTTP流量測試所得;
(3) IPS吞吐量是使用HTTP流量,在啟用所有IPS規則,並打開雙向檢測的條件下測試所得;
(4)測試標準國傢標準GB/T17626.5-2008及國際標準IEC61000-4-5。
4、組網方式
此款設備可根據客戶網路特點,支持網關模式、網橋模式或混合模式部署。
5、典型案例
山石網科產品部分典型案例:
江蘇電信、餘吾熱電、西南政法大學、杭州市交通集團、紅雲紅河集團紅河卷煙廠、江蘇省工商行政管理局、南京市對外經濟貿易合作局、宿遷市權力陽光政務網、營口港務集團、西安交通大學、石傢莊供電公司、鄭州網通、洛陽網通、中電飛華、華北電力大學圖書館、惠州大學、哈爾濱電力、重慶三峽學院、遊戲蝸牛、中央財經大學等。
成功故事:
6、獲獎信息
7、客戶服務
軟件系統升級及硬件保修服務:壹年。
本公司提供所售產品的初次現場安裝調試,並提供遠程故障診斷(QQ:625968437)和不限期電話技術支持(0510-85228030)。
馬上訂購,即有意想不到的高級數位禮品等你拿!
渠道客戶,請直接電詢18015329198,徐先生。
批發市場僅提供代購諮詢服務,商品內容為廠商自行維護,若有發現不實、不合適或不正確內容,再請告知我們,查實即會請廠商修改或立即下架,謝謝。
