Hillstone攻击防护解决方案

随着网络应用的不断深入，利用网络进行攻击的速度也越来越快，手段也越来越高明，组织、企业和服务供应商面临着越来越高的风险，同时给您的业务带来日益严峻的威胁。利用混合技术攻击网络基础架构的新型混合攻击在不断增加和演变，这意味着企业无论规模大小都必须坚持不懈地保护自己，以抵御这些不断变化的威胁。

单凭传统的、被动的安全技术已经不能确保网络的可用性、完整性和数据保密性。由于传统技术本身的能力所限，无法提供前瞻性的威胁检测和防护，对于手段高明且极具针对性的拒绝服务（DoS）攻击，以及间谍软件、恶意软件和IP语音（VoIP）等威胁，企业的防线仍然十分脆弱。 企业需要部署先进的前瞻性防护，以抵御基于网络威胁和攻击，从而保护其重要的网络基础架构。而且，各类企业都面临强大的管理和审核压力，它们要确保机密数据的安全并降低业务风险。

为了实现全面的、前瞻性的网络攻击防护以抵御当前众多的威胁和攻击，企业和组织需要部署新一代的网络安全网关防护。

创新一代的Hillstone SA系列安全网关提供了全面、准确和极具扩展性的威胁防护。Hillstone SA系列安全网关能够帮助企业、服务供应商和中小型企业（SMB）通过前瞻性的、全面的威胁防护，来确保其重要的网络基础架构的可用性和安全性。

Hillstone SA系列安全网关解决方案

1、创新的新一代网络安全架构，天生的高性能应用层抗攻击能力

Hillstone全线产品采用了创新的新一代网络安全架构，硬件平台采用位高性能的多核处理器Multi-Core CPU（多达16核），内部传输采用高达48Gbps高速交换总线，同时高端产品采用多核处理器和新一代高性能专用ASIC处理器，其网络安全的处理能力达到了一个新的起点。尤其是安全产品中重要参数之一的每秒新建会话数是目前业界最高性能的基于ASIC和NP架构安全产品的5到10倍！

位专用高性能多核处理器的多核并行处理能力为应用层内容安全功能提供了强大的保障，同时又避免了纯ASIC和NP安全系统对会话可管理能力和流量控制能力弱的弊病。

由于新一代位多核处理器Multi-Core CPU集成了IPSec VPN、SSL VPN、TCP、QoS、压缩/解压缩以及其他安全功能的芯片级硬件加速功能，使得Hillstone产品具有强大高效的VPN和应用层安全处理能力。采用创新的新一代网络安全架构的Hillstone产品提供了更高、更可靠、更稳定和更安全的综合处理能力。

创新新一代Hillstone SA系列安全网关，具有天生的高性能内容安全处理能力，结合专用定制操作系统，能够提供高性能的应用安全处理能力和强大的应用层抗攻击能力。

通过部署Hillstone全面、成熟的网络攻击防护解决方案可有效降低企业、服务供应商和SMB网络业务风险。其创新一代的架构能够前瞻性地保护终端和重要网络基础架构，不仅抵御已知攻击、DoS攻击和ARP攻击，同时免受来自P2P、IM、VoIP漏洞、Botnet病毒、网络蠕虫等应用程序的威胁。 2、基于网络异常行为检测的攻击防护

Hillstone新一代网络行为分析技术不仅能够在攻击到达既定目标之前抢先对其进行拦截，其集成的防护功能和易于管理的平台提供了全面的资产保护、最佳的业务可用性、最优的安全成本。

通过对网络异常行为的分析，Hillstone可完成以下攻击防护：

 侦查威慑

 IP 地址扫描  端口扫描  操作系统探查  逃避技术

 内容监视和过滤

 碎片重组  Web 过滤

 深入检查

 状态式签名  协议异常

 HTTP 组件的点状封锁

 拒绝服务 (DoS) 攻击防御

 防火墙 DoS 攻击

 会话表泛滥

 SYN-ACK-ACK 代理泛滥  网络 DoS 攻击

 SYN 泛滥  ICMP 泛滥  UDP 泛滥

 与操作系统相关的 DoS 攻击

 Ping of death  Teardrop 攻击

 WinNuke

 可疑封包属性

 ICMP 碎片

 大的 ICMP 封包  坏的 IP 选项  未知协议  IP 封包碎片  SYN 碎片

3、创新一代的架构，天生的DoS抗攻击能力

创新新一代Hillstone SA系列安全网关，具有天生的高性能内容安全处理能力，结合专用定制操作系统，能够提供高性能的应用安全处理能力和强大的应用层抗攻击能力。Hillstone SA安全网关每秒钟处理高达20万TCP会话请求，具有超强的Syn Flood抗攻击能力。通过Hillstone得天独厚的处理能力，轻松应对各类DoS攻击。Hillstone具有以下DoS抗攻击特性：

     

Syn flood 攻击防护 ICMP flood 攻击防护 UDP flood 攻击防护 应用层DoS攻击防护 Syn-Proxy SYN代理功能 Syn cookie

经测试，Hillstone SA安全网关可实现每秒新建TCP会话超过200K、每秒处理UDP会话超过500K。在每秒创建5000TCP会话作为背景流量，仍可以检测并防御800K包/s以上的SYN-FLOOD攻击。

4、ARP攻击防护

ARP攻击已成为局域网中最普通，也是危害最广的一种攻击，可引起网络中大面积断网，窃取网络数据。

在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。

Hillstone ARP攻击防护解决方案：

 IP-MAC绑定，与DHCP智能搭配，全面ARP防护

针对ARP攻击的特点，IP-MAC绑定可从根本上解决ARP攻击。Hillstone设备可灵活支持手动添加IP-MAC绑定方式，也可实现动态扫描网络批量添加IP-MAC绑定。

Hillstone网络设备上IP-MAC地址绑定列表可灵活的导入与导出。 在使用DHCP的网络中，更可实现与DHCP服务器智能配合，完成动态的IP-MAC绑定功能。

 ARP攻击检测

Hillstone通过实时检测网络中的ARP数据信息，并进行分析，在第一时间发现ARP攻击，并详细记录ARP攻击源和攻击目标。

 独创的ARP攻击主动防护功能，自修复功能

Hillstone独创的ARP攻击防护功能，可在网络受到攻击时，发送免费ARP数据包，自动修复网络中受攻击的计算机ARP表。

 灵活的ARP学习功能

在网络安全性要求高的环境下，可关闭ARP学习功能，使得Hillstone网关设备远离ARP攻击，严格根据网络要求实现静态ARP。

 端口隔离功能，纯硬件的ARP防护解决方案

基于ASIC的端口隔离功能，可阻止同一网段内端口之间的通讯，从网络链路层上解决ARP攻击，是网络接入商的最佳选择。

通过以上5种ARP解决方案，使您从此远离ARP攻击的烦恼。Hillstone ARP攻击的杀手锏，网络ARP宙斯盾。

5、应用层抗攻击，ALG（应用层网关）、P2P、IM管理

多核处理器具有天生的高性能内容安全处理能力，结合专用定制操作系统，提供高性能的应用安全处理能力，提供更强的应用层抗攻击能力。

通过ALG（应用层网关）功能，可有效防御Http、、SIP、MGCP等应用层攻击。通过对P2P、IM应用的管理，保证了业务关键应用程序的运行，降低了IT成本。

其创新一代威胁防护功能针对网络攻击提供了实时防护，同时其基于位多核专用处理器加交换总线的创新一代体系结构、深入的数据包检查还提供了实时的攻击防护。Hillstone全面的细粒度应用层控制机制可以有效抵御未知攻击，最大限度保障用户的网络安全。

6、基于流量特征的攻击防护，有效抵御未知攻击

智能的带宽管理功能可以有效抵御基于流量特征的攻击。Hillstone可实现以下流量管理

功能：

     

基于IP的上行、下行带宽管理，可同时支持万条流量管理策略 基于应用的带宽管理，可对Http、SMTP、等应用进行流量管理 强大的QoS功能，支持CBWFQ、LLQ复杂队列应用

重要网络应用，高优先级、优先处理，并可实现智能的预留带宽

基于会话的管理，可精确控制每个的最大并发会话数、每秒新建会话数 全面的细粒度会话控制机制可以有效抵御未知攻击

Hillstone安全网关，不仅是安全设备，更是一款专业带宽管理设备，灵活的按需分配带宽，智能的带宽管理有效抵御未知攻击。

7、全面的日志报告功能

Hillstone全面的报告功能，可有助于企业受到攻击后对攻击源进行跟踪调查。当网络受到攻击时，Hillstone不仅可以有效防止攻击，保护内部网络，还可精确记录攻击时间、攻击源、攻击目标以及攻击类型。为您攻击后的数据分析，提供强有力的依据。

Hillstone的创新体系结构专为长产品生命周期而构建，真正的电信级安全网络设备。Hillstone为您提供全面的攻击防护解决方案。

通过部署Hillstone全面、成熟的网络攻击防护解决方案可有效降低企业、服务供应商和SMB网络业务风险。其创新一代的架构能够前瞻性地保护终端和重要网络基础架构，不仅抵御已知攻击、DoS攻击和ARP攻击，同时免受来自P2P、

IM、VoIP漏洞、Botnet病毒、网络蠕虫等应用程序的威胁。