某公司网络安全项目解决方案

1、某公司网网络安全全项目解解决方案案目录TOC o 1-3 h z u HYPERLINK l _Toc186106583 第一章 某公司司网络概概述 PAGEREF _Toc186106583 h 3 HYPERLINK l _Toc186106584 1.1 概述 PAGEREF _Toc186106584 h 3 HYPERLINK l _Toc186106585 1.2 项目建建设目标标 PAGEREF _Toc186106585 h 3 HYPERLINK l _Toc186106586 1.3 项目建建设原则则 PAGEREF _Toc186106586 h 4 HYPERLINK

2、l _Toc186106587 1.4 项目建建设说明明 PAGEREF _Toc186106587 h 4 HYPERLINK l _Toc186106588 第二章 企业所所面临的的网络安安全挑战战与风险险分析 PAGEREF _Toc186106588 h 5 HYPERLINK l _Toc186106589 2.1 网络层层的安全全分析 PAGEREF _Toc186106589 h 6 HYPERLINK l _Toc186106590 2.2 系统层层的安全全分析 PAGEREF _Toc186106590 h 6 HYPERLINK l _Toc186106591 2.3 应用

3、层层的安全全分析 PAGEREF _Toc186106591 h 7 HYPERLINK l _Toc186106592 2.4 安全策策略与安安全管理理的安全全分析 PAGEREF _Toc186106592 h 7 HYPERLINK l _Toc186106593 第三章 企业所所面临的的网络应应用优化化挑战 PAGEREF _Toc186106593 h 8 HYPERLINK l _Toc186106594 3.1企企业风控控 PAGEREF _Toc186106594 h 8 HYPERLINK l _Toc186106595 3.2冗冗余/备份 PAGEREF _Toc18610

4、6595 h 8 HYPERLINK l _Toc186106596 3.3应应用支持持 PAGEREF _Toc186106596 h 8 HYPERLINK l _Toc186106597 3.4流流量/IIM控制制 PAGEREF _Toc186106597 h 8 HYPERLINK l _Toc186106598 3.6配配置/管理简简单 PAGEREF _Toc186106598 h 9 HYPERLINK l _Toc186106599 3.7稳稳定性和和兼容性性 PAGEREF _Toc186106599 h 9 HYPERLINK l _Toc186106600 3.8报报告

5、功能能 PAGEREF _Toc186106600 h 9 HYPERLINK l _Toc186106601 第四章 HilllSttonee安全解解决方案案 PAGEREF _Toc186106601 h 9 HYPERLINK l _Toc186106602 第五章 HilllSttonee功能介介绍 PAGEREF _Toc186106602 h 10 HYPERLINK l _Toc186106603 4.1 状态检检测 PAGEREF _Toc186106603 h 10 HYPERLINK l _Toc186106604 4.1.1 包过滤滤与状态态检测 PAGEREF _Toc

6、186106604 h 10 HYPERLINK l _Toc186106605 4.1.2 独特的的防火墙墙状态监监测 PAGEREF _Toc186106605 h 12 HYPERLINK l _Toc186106606 4.1.3 HilllSttonee的状态态会话表表 PAGEREF _Toc186106606 h 12 HYPERLINK l _Toc186106607 4.1.3 会话失失效时间间 PAGEREF _Toc186106607 h 13 HYPERLINK l _Toc186106608 4.2 NATT与PATT PAGEREF _Toc186106608 h

7、13 HYPERLINK l _Toc186106609 4.2.1 动态NAAT PAGEREF _Toc186106609 h 13 HYPERLINK l _Toc186106610 4.2.2 PATT PAGEREF _Toc186106610 h 14 HYPERLINK l _Toc186106611 4.2.3 静态NAAT PAGEREF _Toc186106611 h 15 HYPERLINK l _Toc186106612 4.2.4 静态PAAT PAGEREF _Toc186106612 h 15 HYPERLINK l _Toc186106613 4.2.5 防火墙

8、墙策略与与NATT、PATT PAGEREF _Toc186106613 h 15 HYPERLINK l _Toc186106614 4.3流流量控制制 PAGEREF _Toc186106614 h 15 HYPERLINK l _Toc186106615 4.5 应用层层网关 PAGEREF _Toc186106615 h 16 HYPERLINK l _Toc186106616 4.5.1 TCPP重组和和代理 PAGEREF _Toc186106616 h 16 HYPERLINK l _Toc186106617 4.5.2 VOIIP安全全 PAGEREF _Toc18610661

9、7 h 16 HYPERLINK l _Toc186106618 4.5.3 关键字字过滤 PAGEREF _Toc186106618 h 16 HYPERLINK l _Toc186106619 4.5.4 提供CooS/QQoS（服务级级别/服务质质量）服服务 PAGEREF _Toc186106619 h 16 HYPERLINK l _Toc186106620 4.7 标准、灵活的的VPNN PAGEREF _Toc186106620 h 17 HYPERLINK l _Toc186106621 4.7.1 VPNN技术介介绍 PAGEREF _Toc186106621 h 17 HY

10、PERLINK l _Toc186106622 4.7.2 HilllSttonee的PPTTP LL2TPP PAGEREF _Toc186106622 h 19 HYPERLINK l _Toc186106623 4.7.3 IPSSEC VPNN的网关关对网关关模式 PAGEREF _Toc186106623 h 19 HYPERLINK l _Toc186106624 4.7.4 IPSSEC VPNN的移动动客户端端对网关关模式 PAGEREF _Toc186106624 h 19 HYPERLINK l _Toc186106625 4.7.5 部署方方便的透透明模式式的VPPN网关

11、关 PAGEREF _Toc186106625 h 20 HYPERLINK l _Toc186106626 4.8 双机备备份HAA PAGEREF _Toc186106626 h 21 HYPERLINK l _Toc186106627 4.8 日志与与集中管管理 PAGEREF _Toc186106627 h 21 HYPERLINK l _Toc186106628 4.8.1 多种日日志方式式 PAGEREF _Toc186106628 h 21 HYPERLINK l _Toc186106629 4.8.2 Sysslogg标准的的日志分分析软件件ForttiReeporrterr

12、PAGEREF _Toc186106629 h 21 HYPERLINK l _Toc186106630 4.8.2 硬件的的日志分分析系统统ForrtiLLog PAGEREF _Toc186106630 h 22 HYPERLINK l _Toc186106631 4.8.3 方便的的管理体体系 PAGEREF _Toc186106631 h 23 HYPERLINK l _Toc186106632 第五章 HilllSttonee优势 PAGEREF _Toc186106632 h 23 HYPERLINK l _Toc186106633 5.1创创新的新新一代网网络安全全架构 PAGE

13、REF _Toc186106633 h 23 HYPERLINK l _Toc186106634 5.2强强健的专专用实时时64位并并行操作作系统 PAGEREF _Toc186106634 h 24 HYPERLINK l _Toc186106635 5.3高高可靠性性和稳定定性（Higgh RReliiabiilitty aand Staabillityy） PAGEREF _Toc186106635 h 25 HYPERLINK l _Toc186106636 5.4最最低的总总体拥有有成本（Lowwestt TCCO） PAGEREF _Toc186106636 h 25 HYPERL

14、INK l _Toc186106637 5.5 Hilllsttonee SAA系列安安全产品品解决方方案特点点 PAGEREF _Toc186106637 h 26 HYPERLINK l _Toc186106638 5.6竞竞争优势势 PAGEREF _Toc186106638 h 26 HYPERLINK l _Toc186106639 第六章 安全产产品技术术性能指指标 PAGEREF _Toc186106639 h 28 HYPERLINK l _Toc186106640 HilllStoone Nettworrk SSecuuritty AApplliannce PAGEREF _

15、Toc186106640 h 28 HYPERLINK l _Toc186106641 第七章 技术支支持与售售后服务务 PAGEREF _Toc186106641 h 34第一章 某公司司网络概概述1.1 概述1.2 项目建建设说明明网络拓扑扑结构如如下：第二章 企业所所面临的的网络安安全挑战战与风险险分析从某公司司网络的的实际情情况来看看，我们们认为应应该从以以下几个个方面进进行全面面的分析析：网络层系统层应用层ARP策略和管管理层下面将分分别进行行详细的的阐述。2.1 网络层层的安全全分析网络设备备主要包包括某公公司网络络各节点点上的路路由器、交换机机等设备备，如： 路由器器、交换换机。

16、网网络层不不仅为某某公司网网络提供供连接通通路和网网络数据据交换的的连接，而且是是网络入入侵者进进攻信息息系统的的渠道和和通路。由于大大型网络络系统内内运行的的TCPP/IPP协议并并非专为为安全通通讯而设设计，所所以网络络系统存存在大量量安全隐隐患和威威胁。整整个网络络就会受受到来自自网络外外部和内内部的双双重威胁胁。尤其在广广域网中中存在着着大量的的黑客攻攻击，他他们常常常针对wweb服服务器和和邮件服服务器作作为突破破口，进进行网络络攻击和和渗透。常见得得一些手手法如下下：IPP欺骗、重放或或重演、拒绝服服务攻击击（SYYN FFLOOOD，PINNG FFLOOOD等）、分布布式拒绝绝

17、服务攻攻击、篡篡改、堆堆栈溢出出等。黑黑客可以以容易的的在某公公司网络络出口进进出，对对系统进进行攻击击或非法法访问。而在某公公司网络络内部，基本上上还没有有严格的的防范措措施，其其中的安安全隐患患不言而而喻。如如果加上上安全管管理上的的不够完完善等因因素，或或者在已已有的服服务器与与单机中中存在着着后门程程序（木木马程序序）话，攻击者者就可以以很容易易地取得得网络管管理员权权限，从从而进一一步控制制计算机机系统，网络中中大量的的数据就就会被窃窃取和破破坏。网络中只只要一个个地方出出现了安安全问题题，那么么整个网网络都是是不安全全的。因因此，在在某公司司网络出出口处应应配置应应用级防防火墙来来

18、加强访访问控制制，并部部署入侵侵监控系系统，杜杜绝可能能存在的的安全隐隐患，来来保证网网络安全全可靠的的正常运运行。2.2 系统层层的安全全分析在任何的的网络结结构中都都运行着着不同的的操作系系统，如如：Wiindoows NT/20000/220033 Seerveer、 HP-UNIIX、SSolaariss、IBMM AIIX、SSCO-Uniix、LLinuux等等等，这些些系统都都或多或或少地存存在着各各种各样样的漏洞洞。据IIDC统统计10000个个以上的的商用操操作系统统存在安安全漏洞洞，如果果这些操操作系统统没有进进行系统统的加固固和正确确的安全全配置，而只是是按照原原来系统统

19、的默认认安装，这样的的主机系系统是极极其不安安全的。一名黑黑客可以以通过UUniccodee、缓存存溢出、造成死死机等方方式进行行破坏，甚至取取得主机机管理员员的权限限。此外外，在网网络中，一些黑黑客利用用系统管管理员的的疏忽用用缺省用用户的权权限和密密码口令令就可以以轻松地地进入系系统修改改权限，从而控控制主机机。某公司网网络中存存在一定定量的服服务器，如：视视频会议议类或相相关的服服务器、MCUU、网络络管理服服务器等等等，而而这些服服务器都都担负着着重要的的服务功功能，如如果这些些服务器器（尤其其是有大大量的数数据处理理的服务务器），一旦瘫瘫痪或者者因被人人植入后后门造成成远程控控制窃取

20、取数据，后果不不堪设想想。为了了保证业业务数据据的正常常流通和和安全，需对这这些重要要的服务务器进行行全方位位的防护护。2.3 应用层层的安全全分析某公司网网络与IInteerneet相连连，进行行着包括括WEBB、FTTP、EE-maail、DNSS等各种种Intternnet应应用。应应用系统统的安全全性主要要考虑应应用系统统能与系系统层和和网络层层的安全全服务无无缝连接接。在应应用层的的安全问问题，黑黑客往往往抓住一一些应用用服务的的缺陷和和弱点来来对其进进行攻击击的，比比如针对对错误的的Webb目录结结构、CCGI脚脚本缺陷陷、Weeb服务务器应用用程序缺缺陷、为为索引的的Webb页、

21、有有缺陷的的浏览器器甚至是是利用OOraccle、 SAAP、 Peeopllesooft 缺省帐帐户。应用层的的安全威威胁还包包括对各各种不良良网络内内容的访访问，比比如内网网用户访访问非法法（如发发布反动动言论、宣扬法法轮功等等）或不不良（色色情、迷迷信）网网站等。有的IInteerneet站点点上还包包含有害害的Jaava Appplett或AcctivveX小小程序，如果不不慎访问问将有可可能带入入病毒和和木马程程序，甚甚至有的的网页可可以通过过一段简简单的代代码直接接破坏访访问者计计算机的的数据和和系统，对网络络安全和和效率都都将造成成极大破破坏。2.4 安全策略略与安全全管理的的安

22、全分分析在网络安安全中安安全策略略和管理理扮演着着极其重重要的角角色，如如果没有有制定非非常有效效的安全全策略，没有进进行严格格的安全全管理制制度，来来控制整整个网络络的运行行，那么么这个网网络就很很可能处处在一种种混乱的的状态。因为没没有非常常好的安安全策略略，安全全产品就就无法发发挥其应应有的作作用。如如果没有有有效的的安全管管理，就就不会做做到高效效的安全全控制和和紧急事事件的响响应(更加详详细和周周密的安安全策略略要结合合安全服服务进行行)。管理是网网络安全全中最最最重要的的部分。责权不不明、安安全管理理制度不不健全及及缺乏可可操作性性等都可可能引起起管理安安全的风风险。这这样就会会导

23、致：当网络络出现攻攻击行为为或网络络受到其其它一些些安全威威胁时（如内部部人员的的违规操操作等），无法法进行实实时的检检测、监监控、报报告与预预警。同同时，当当事故发发生后，也无法法提供黑黑客攻击击行为的的追踪线线索及破破案依据据，即缺缺乏对网网络的可可控性与与可审查查性。因因此，必必须对站站点的访访问活动动进行多多层次的的记录，及时发发现非法法入侵行行为。建立全新新网络安安全机制制，必须须深刻理理解网络络并能提提供直接接的解决决方案，因此，最可行行的做法法是制定定健全的的网络安安全及信信息安全全管理制制度，并并加以严严格管理理相结合合。第三章 企业所所面临的的网络应应用优化化挑战针对企业业网

24、络应应用方面面的优化化需求我我们大致致分为以以下几类类。 3.1企企业风控控风险是是永远存存在的。在某公公司的信信息系统统中同样样如此，风险无无处不在在。我们们只能通通过不断断的努力力将风险险降的更更低，而而不可能能降为零零。同时时，更好好的控制制风险需需要更高高的资金金投入来来支撑。我们必必须在资资金投入入和风险险的承受受能力上上找到一一个平衡衡点。而而每个公公司都有有不同的的平衡点点。在某公公司中，IT部部门是其其他部门门的服务务部门，而ITT资产却却是企业业所有其它它资产的的有力保保证。3.2冗冗余/备备份谈到冗冗余/备备份，大大家都不不陌生，最为降降低风险险、提高高系统可可用性的的一个

25、最最直接的的办法就就是建立立冗余的的系统，各系统统之间能能够实时时地切换换，相互互备份。某公司司作为一一家xxxx的公公司，为为了能够够给客户户提供更更可靠的的服务，同样需需要进行行包括IInteerneet链路路、网络络设备、服务器器系统等等各方面面的冗余余配置。Inteerneet链路路冗余对于某公公司的IInteerneet网络络服务，目前申申请了一一条100M的网网通线路路，出于于对网络络可靠性性的考虑虑应该再再申请一一条到电电信的线线路。而而同时使使用这两两条线路路就需要要具有链链路冗余余功能的的设备来来完成。HilllSttonee能够提提供Innterrnett链路冗冗余的解解决

26、方案案。网络设备备冗余考虑到网网络设备备当机的的可能性性，为提提高整个个网络核核心层相相关设备备的可靠靠性，这这些设备备也都需需要进行行冗余配配置。这这其中包包括A-A和AA-P两两种方式式，能够够提供不不同级别别的冗余余功能。HilllSttonee能够支支持HAA的功能能，包括括A-AA和A-P。服务器系系统冗余余对于应用用的载体体服务器器同样需需要进行行冗余配配置，使使得服务务器群能能够对客客户提供供不间断断的服务务。完成成这个功功能需要要一台专专业的服服务器流流量负载载分担设设备，将将所有进进入地流流量均衡衡的分担担到每台台服务器器上去。HilllSttonee能够实实现服务务器负载载

27、分担功功能。3.3应应用支持持某公司司内部企企业应用用众多，包括IInteerneet上网网、邮件件、数据据库、EERP、VoIIP和分分支机构构联网等等等。同同时也有有一些企企业自己己开发的的应用，这些应应用可能能跟标准准的tccp应用用不同，如Seessiion持持续时间间和Tiimeoout时时间等，而这些些自己开开发的应应用绝大大多数都都是企业业的关键键应用，因此对对这些应应用的管管理和支支持是网网络安全全设备的的一个挑挑战。HHilllStoone支支持自定定义的SSesssionn持续时时间和TTimeeoutt时间，并能够够及时地地对客户户的特殊殊需求进进行分析析研发。3.4流流

28、量/IIM控制制企业网网路资源源是有限限的，同同时扩充充这些资资源会导导致成本本的急剧剧增加。因此如如何最有有效的利利用这些些资源，如何管管理这些些资源成成为了企企业控制制成本、提高效效率的有有效手段段。AM 10:28，企业数数据库的的一份关关键数据据、ERRP数据据或一个个高级管管理人员员的Weeb访问问正在网网络链路路里传输输，这时时突然有有一个BBT下载载流量激激发，将将正常传传输的数数据库流流量、EERP流流量和WWeb访访问流量量挤压，造成这这些流量量严重超超时，甚甚至导致致不可达达、重发发，严重重影响正正常工作作。这时如如果有一一个设备备能够控控制BTT流量，阻断或或者控制制使用

29、带带宽则这这个问题题就能得得到妥善善解决。IM的的控制也也是这样样，对很很多聊天天工具如如QQ、MSNN的控制制也是一一个企业业提高工工作效率率的好办办法。HilllSttonee能够对对很多PP2P的的流量进进行管控控，也能能对很多多IM聊聊天软件件进行管管理。3.6配配置/管管理简单单一款设设备的可可用性从从它的配配置简单单性上就就能有很很好的表表现。HHilllStoone的的配置非非常简单单，很容容易上手手。并且且设备具具有版本本管理功功能，能能够对配配置信息息就行版版本控制制，具有有很好的的风险控控制能力力。同时时，HiillSStonne支持持NATT/路由由模式、透明模模式和混混

30、合模式式，能够够很好的的和企业业目前的的网络环环境进行行融合，对于企企业网络络改造具具有很大大的操作作空间。HilllSttonee具有专专业的管管理平台台针对企企业内部部部署的的所有HHilllStoone设设备进行行统一管管理，其其中包括括配置和和日志等等信息。3.7稳稳定性和兼容容性设备的的稳定性性对于企企业网络络来说至至关重要要。HiillSStonne设备备具有很很高的无无故障运运行时间间，能够够为某公公司的整整体网络络稳定性性提供支支持。HilllSttonee产品和和主要的的网络设设备供应应商都具具有良好好的合作作关系，相互产产品之间间都能够够很好的的互动、兼容，其中包包括cii

31、scoo、juunipper、华为33Comm、Nookiaa、Foortiinett等。3.8报报告功能能HilllSttonee能够为为用户提提供非常常详尽的的日志，并且能能够定制制各种图图形报告告。针对对网络流流量、网网络攻击击等的流流量能够够很好的的表现一一个企业业网络的的安全环环境，能能够为某某公司IIT管理理层提供供必要的的信息和和判断依依据。第四章 HilllSttonee安全解解决方案案第五章 HilllSttonee功能介介绍第五章 HilllSttonee优势5.1创创新的新新一代网网络安全全架构（Innnovaativve NNextt Geenerratiion Adv

32、vancce SSecuuritty AApplliannce Arcchittectturee） 随着网络络威胁不不断的发发展，越越来越多多的混合合式的网网络攻击击和威胁胁层出不不穷。单单纯的网网络层安安全防护护系统无无法满足足用户的的需求。传统防防火墙以以网络层层防护为为主，软软硬件的的设计围围绕着网网络层的的安全防防护展开开，产品品经过了了第一代代纯软件件防火墙墙系统、基于PPC架构构的第二二代硬件件防火墙墙系统和和第三代代的基于于ASIIC和NNP（网网络处理理器）纯纯硬件防防火墙系系统。第第三代基基于ASSIC和和NP架架构的防防火墙可可以实现现高性能能的网络络安全防防护，对对于应用

33、用层的安安全防护护无能为为力，应应用层完完全依靠靠通用CCPU进进行处理理，包括括目前流流行的UUTM产产品，一一旦打开开应用层层安全防防护功能能，如PP2P/IM安安全控制制、IPPS、WWeb过过滤、防防病毒以以及防垃垃圾邮件件等内容容过滤功功能，性性能会急急剧下降降，无法法满足用用户实际际的网络络安全需需求。基于以上上原因，Hilllsttonee全线产产品采用用了创新新的新一一代网络络安全架架构，硬硬件平台台采用664位高高性能的的多核处处理器MMultti-CCoree CPPU（多多达166核），内部传传输采用用高达224Gbbps高高速交换换总线，同时高高端产品品采用多多核处理理

34、器和新新一代高高性能专专用ASSIC处处理器，其网络络安全的的处理能能力达到到了一个个新的起起点：比比如，安安全产品品中重要要参数之之一的每每秒新建建会话数数是目前前业界最最高性能能的基于于ASIIC和NNP架构构安全产产品的55到100倍！664位专专用高性性能多核核处理器器的多核核并行处处理能力力为应用用层内容容安全功功能提供供了强大大的保障障，同时时又避免免了纯AASICC和NPP安全系系统对会会话可管管理能力力和流量量控制能能力弱的的弊病。由于新新一代664位多多核处理理器Muultii-Coore CPUU集成了了IPSSec VPNN、SSSL VVPN、TCPP、QooS、压压缩

35、/解解压缩以以及其他他安全功功能的芯芯片级硬硬件加速速功能，使得HHilllstoone产产品具有有强大高高效的VVPN和和应用层层安全处处理能力力。采用用创新的的新一代代网络安安全架构构的Hiillsstonne产品品提供了了更高、更可靠靠、更稳稳定和更更安全的的综合处处理能力力，开创创了新一一代网络络安全的的新纪元元。多达166核的专专用644位MIIPS处处理器具具有强大大的应用用层安全全处理能能力，众众所周知知，应用用层安全全的效率率很大程程度上依依赖于CCPU的的处理能能力，即即使基于于ASIICNNP架构构的安全全系统一一旦要处处理应用用层的数数据也必必须依赖赖于CPPU，而而目前

36、安安全产品品在CPPU资源源上有很很大瓶颈颈，因此此有些厂厂商已经经放弃AASICCNPP架构而而采用纯纯CPUU的架构构。纯CCPU的的架构在在应用安安全方面面有了提提高，但但又丧失失了ASSIC架架构所具具有的网网络层数数据处理理的高效效性。HHilllstoone采采用多核核处理器器和专用用新一代代ASIIC处理理器架构构，使得得该硬件件架构充充分考虑虑到了应应用安全全和网络络安全的的平衡，在某些些性能指指标上有有了质的的飞越，如作为为安全网网络产品品重要指指标之一一的每秒秒新建连连接数最最高达到到了200万秒秒，同时时结合内内部高速速交换总总线和多多核644位专用用处理器器，Hiill

37、sstonne SSA系列列产品具具有了强强大的应应用安全全处理能能力和可可扩展能能力，为为集成更更多的应应用安全全提供了了强大的的资源保保障。5.2强强健的专专用实时时64位位并行操操作系统统（Robbustt Sppeciificc Reeal timme OOperratiing Sysstemm）Hilllstoone全全线产品品采用专专用多线线程实时时64位位并行操操作系统统，多线线程的并并行处理理能力和和模块化化的结构构易于集集成和扩扩展安全全功能，专用的的安全加加固的664位操操作系统统针对新新一代多多核处理理器安全全架构进进行了全全面的优优化和安安全加固固，极大大地提高高了系统

38、统的处理理效率、系统稳稳定性和和安全性性。模块块化和多多线程的的处理机机制，为为Hilllsttonee新一代代的网络络安全系系统提供供了极大大的可扩扩展能力力，包括括支持更更多核处处理器和和集成更更多安全全功能。 众所周知知，操作作系统是是整个安安全设备备的核心心和基础础，安全全产品的的操作系系统必须须具有很很强的抗抗攻击能能力，而而基于软软件的安安全系统统采用的的是通用用的操作作系统，通用操操作系统统会暴露露大量的的操作系系统漏洞洞，安全全系统再再强大，操作系系统的漏漏洞会直直接导致致这个系系统的崩崩溃。目目前，专专用定制制的操作作系统被被广泛采采用。HHilllstoone SA系系列产

39、品品均采用用定制的的专用操操作系统统HSOOS。HHSOSS具有664位实实时并行行处理能能力，其其核心针针对Hiillsstonne SSA硬件件产品进进行了全全面优化化，使得得系统具具有更高高的处理理效率和和稳定性性。模块块化的系系统结构构易于继继承更多多的安全全功能，系统具具有极强强的伸缩缩性和可可扩展性性。任何何独立的的安全模模块出现现问题都都不会影影响整个个系统的的运行。5.3高高可靠性性和稳定定性（Higgh RReliiabiilitty aand Staabillityy）积累多年年被证实实的专业业硬件安安全产品品研发和和市场经经验，HHilllstoone新新一代网网络安全全

40、产品在在软硬件件的可靠靠性和稳稳定性上上都有了了进一步步提高。全面优优化的软软硬件系系统带来来高可靠靠性和稳稳定性，这为网网络流量量和网络络攻击日日益膨胀胀的企业业IT环环境提供供了强大大的保障障。Hiillsstonne产品品最大程程度上确确保企业业关键业业务的不不间断运运行，提提高用户户的竞争争力。5.4最最低的总总体拥有有成本（Lowwestt TCCO）Hilllstoone全全线产品品提供了了非常友友好的使使用和管管理界面面，部署署简单、易于维维护和管管理。灵灵活的特特性可以以满足不不同用户户不同应应用环境境的需求求。独特特创新的的新一代代网络安安全架构构提供给给用户最最大化的的可扩

41、展展能力，最大化化地保护护用户投投资。5.5 Hilllsttonee SAA系列安安全产品品解决方方案特点点创新的新新一代网网络安全全架构高性能的的综合安安全系统统高可靠性性和扩展展性高性价比比丰富的安安全特性性最低的TTCO友好和易易于使用用的管理理界面细粒度的的安全参参数调整整杰出的内内容安全全综合处处理能力力灵活的部部署特性性，易于于部署和和维护全面的产产品线，满足不不同用户户的需求求专业的技技术支持持和销售售团队P2P/IM应应用的安安全控制制和细粒粒化管理理5.6竞竞争优势势Hilllstoone主主要研发发和销售售团队来来自业界界知名的的网络安安全公司司，包括括：NeetSccr

42、eeen、CCISCCO、JJuniiperr、Foortiinett和H33C等。多年成成功的安安全产品品研发销销售经验验的积累累，厚积积薄发，引领网网络安全全走向新新的起点点。高性性能创新新的新一一代安全全产品加加上专业业的技术术支持保保障，为为企业营营造一个个安全的的网络应应用环境境保驾护护航。第六章 安全产产品技术术性能指指标HilllStoone Nettworrk SSecuuritty AApplliannceHilllstoone SA-50550/550400/50020/20110Hilllstoone SA-50550/550400/50020/20110系列列产品采采用

43、创新新的644位多核核处理器器、新一一代ASSIC处处理器*和高速速交换总总线技术术，为大大中型企企业用户户提供高高性能的的网络安安全解决决方案。专用网网络安全全处理平平台技术术，拥有有多达116核的的64位位高性能能多核处处理器，提供包包括TCCP会话话保持与与报文重重组、VVPN、QoSS流量管管理等功功能的芯芯片级硬硬件加速速，以及及独立的的硬件DDFA引引擎。辅辅以高达达24GGbpss高速交交换总线线，以及及新一代代64位位实时并并行操作作系统HSOOS，为为企业提提供高性性能、高高可靠性性的新一一代硬件件应用安安全产品品。创新的系系统结构构Hilllstoone Seccuriit

44、y Apppliaancee系列产产品采用用了多核核处理器器和新一一代ASSIC处处理器*技术，内部总总线采用用高达224Gbbps交交换总线线，使得得Hilllsttonee SAA系列产产品在应应用层安安全处理理的性能能上有了了质的飞飞跃，为为企业应应用安全全提供专专业的高高性能硬硬件平台台。高可靠性性和稳定定性积累多年年被证实实的专业业硬件安安全产品品研发和和市场经经验，HHilllstoone新新一代网网络安全全产品无无论在软软件和硬硬件的可可靠性和和稳定性性上都有有了进一一步提高高。 全全面优化化的软硬硬件系统统的高可可靠性和和稳定性性为网络络流量和和网络攻攻击日益益膨胀的的企业II

45、T环境境提供了了强大的的保障。Hilllsttonee产品最最大程度度上确保保企业关关键业务务的不间间断运行行。强健的专专用实时时操作系系统Hilllstoone Seccuriity Apppliaancee系列产产品采用用了专用用64位位实时并并行操作作系统，并行的的处理能能力和模模块化的的结构易易于集成成和扩展展安全功功能。专专用的安安全加固固的644位操作作系统针针对新一一代多核核处理器器安全机机构进行行了全面面的优化化和安全全加固，极大地地提高了了系统的的处理效效率、系系统稳定定性和安安全性。模块化化和并行行多任务务的处理理机制，为Hiillsstonne新一一代的网网络安全全系统提

46、提供了极极大的可可扩展能能力，包包括支持持更多核核处理器器和集成成更多安安全功能能。最低的总总体拥有有成本Hilllstoone Seccuriity Apppliaancee系列产产品提供供了非常常友好的的使用和和管理界界面，部部署简单单、易于于维护和和管理。灵活的的特性可可以满足足不同用用户不同同应用环环境的需需求。独独特创新新的新一一代网络络安全架架构提供供给用户户最大化化的可扩扩展能力力，最大大化地保保护用户户投资。Hilllstoone SA系系列安全全产品解解决方案案特点：创新的新新一代网网络安全全架构高性能的的综合安安全系统统高可靠性性和扩展展性丰富的安安全特性性最低的TTCO友

47、好和易易于使用用的管理理界面细粒度的的安全参参数调整整杰出的内内容安全全综合处处理能力力灵活的部部署特性性，易于于部署和和维护P2P/IM应应用的安安全控制制和管理理Hilllstoone SA-50550/550400/50020/20110安全全特性操作模式式 SA-550500/50040/50220/220100透明模式式是 路由/NNAT模模式 是 L2/LL3混合合模式是 NAT（地址翻翻译）是 PAT（端口地地址翻译译） 是 MIP/VIPP/DIIP是 FireewalllSA-550500/50040/50220/220100网络层攻攻击防护护是 DoS和和DDooS防护护是

48、 Syn floood攻攻击防护护是 畸形报文文防护是 IP 报报文分片片攻击防防护是 IP 异异常选项项检测是 TCP 异常检检测是 IP地址址欺骗防防护是 IP地址址扫描攻攻击是 端口扫描描防护是 静态和动动态黑名名单是 会话限制制（基于于源/目的）是 攻击防护护数量30基于安全全区安全全性是 基于Prrofiile的的安全防防护是 基于接口口的ACCL是 NetwworkkinggSA-550500/50040/50220/220100802.1Q VLAAN TTrunnk是 802.3add liink agggreggatiion是 PPPooE CClieent是 DHCPP Reelayy, SServver和和C