Межсетевые экраны для центров обработки данных Hillstone X-Series
Разработаны для уникальных требований центров обработки данныхМежсетевой экран Hillstone Networks X7180 для центров обработки данных обеспечивает отличную производительность, надежность и масштабируемость для высокоскоростных провайдеров услуг, крупных предприятий и сетей операторов связи. Он обеспечивает гибкую файрвольную защиту для многопользовательского облачного окружения в виде службы (SaaS – security-as-a-service). Платформа X7180 основана на гибкой архитектуре безопасности (Elastic Security Architecture – ESA) Hillstone, которая предлагает высоко масштабируемые виртуальные межсетевые экраны, исключительную пропускную способность межсетевого экрана, огромное количество одновременных сессий и очень высокие показатели по количеству новых сессий в секунду. X7180 также поддерживает глубокую инспекцию пакетов (Deep Packet Inspection – DPI), управление приложениями следующего поколения и качество обслуживания (QoS). Система предоставляет исключительную производительность в небольшом форм-факторе с низким потреблением мощности.
Гибкая архитектура безопасности (Elastic Security Architecture – ESA) Hillstone: революционная технология для центров обработки данных
Потоковое мультимедиа, веб-приложения, VoIP, пиринговые сети, мобильные устройства, облачные вычисления и международное присутствие способствуют увеличению объёмов трафика центров обработки данных. По мере увеличения объёмов сетевого трафика становится актуальной необходимость наличия высокоскоростных сетевых интерфейсов и высокой плотности портов. Трафик мобильных устройств также требует большего внимания, поскольку решения сетевой безопасности могут серьёзно деградировать, когда трафик сдвигается в сторону большого количества пользователей и меньшего размера пакета. В результате, межсетевые экраны центров обработки данных должны обеспечивать высокую пропускную способность, большое количество одновременных сессий и большое количество новых сессий в секунду. Что еще более важно, они должны реагировать на шаблоны использования своих клиентов, которые часто очень непредсказуемы. Соответственно, межсетевые экраны центров обработки данных должны также обеспечивать быструю эластичность и безопасность по требованию.
Межсетевой экран для центров обработки данных X7180 построен на гибкой архитектуре безопасности (Elastic Security Architecture – ESA) Hillstone. Он может поддерживать до 1000 виртуальных межсетевых экранов и может быть предоставлен как услуга по требованию в комплекте с соглашениями об уровне обслуживания (SLA). Поставщики услуг могут динамически регулировать распределение ресурсов (процессоры, сессии, политики и порты) для каждого виртуального межсетевого экрана в соответствии с SLA. Аппаратная часть Hillstone X7180 состоит из множества сетевых модулей и модулей безопасности, которые обеспечивают масштабируемость для будущего роста. Он использует распределенную многоядерную архитектуру, обеспечивающую пропускную способность до 680 Гбит/с, до 240 миллионов одновременных сессий и 4,8 миллиона новых сессий в секунду. Шасси поддерживает до 68 портов 10GbE или 144 портов 1GbE.
Надёжность операторского уровня
X7180 обеспечивает надежность операторского уровня. Он поддерживает высокую доступность (High Availability – HA) в режимах активный/пассивный и активный/активный, обеспечивая работу 24×7. Он также имеет резервные с горячей заменой: источники питания, вентиляторы, модули управления (System Control Modules – SCM), модули безопасности (Security Service Modules – SSM) и модули ввода/вывода (I/O Modules – IOM). X7180 также имеет многомодовый и одномодовый оптический байпас модуль, для обеспечения бесперебойность работы во время сбоев питания.
NAT и IPv6
Неизбежное шествие к IPv6 продолжается, но провайдерам по-прежнему необходимо разворачивать Carrier Grade NAT (CGN) и Large Scale NAT (LSN) для решения проблемы нехватки адресов IPv4 во время переходного периода. Hillstone X7180 поддерживает множество переходных технологий, включая Dual Stack, IPv6/IPv4 туннели, DNS64/NAT64, NAT 444, full cone NAT, NAPT и т. Д. Журналирование сессий и трансляций адресов позволяет выполнять аудиторский анализ для ведения учёта и расследований.
Энергоэффективность
X7180 имеет слоты спереди и сзади, что экономит пространство в стойке и облегчает охлаждение. Он имеет форм-фактор 5U и максимальную потребляемую мощность 1300 Вт, что на 50-67% меньше, чем у других межсетевых экранов для центров обработки данных.
Безопасность
X7180 обеспечивает видимость и контроль над более чем 3000 веб-приложений, включая 600 мобильных приложений и зашифрованных приложений P2P. Это позволяет производить тонкий гранулированный контроль приложений, полосы пропускания, пользователей и групп. X7180 предотвращает доступ пользователей к вредоносным или неразрешённым приложениям, а встроенная система предотвращения вторжений (Intrusion Prevention System – IPS) защищает сеть от вредоносной активности. X7180 поддерживает глубокую инспекцию пакетов и стандартный IPsec VPN, которые используют аппаратный крипто-сопроцессор. Hillstone также предлагает уникальное решение Plug-and-Play VPN, которое делает развертывание VPN филиалов простой задачей.
QoS
Платформа X7180 может управлять пропускной способностью на основе приложений, пользователей и времени суток. Система обеспечивает тонко-гранулированный контроль политик, включая гарантированную полосу пропускания, ограничение пропускной способности, приоритеты трафика и FlexQoS, которые могут динамически регулировать полосу пропускания на основе степени её загрузки. Эти функции наряду с ограничением количества сессий, маршрутизацией на основе политик и балансировкой нагрузки на линиях связи обеспечивают гибкое управление пропускной способностью.
Ключевые особенности
Сетевые службы
- Динамическая маршрутизация (OSPF, BGP, RIPv2)
- Статическая маршрутизация и маршрутизация на основе политик
- Маршруты, управляемые приложениями
- Встроенные DHCP, NTP, DNS сервера и DNS прокси
- Режим TAP – подключение к SPAN порту
- Режимы интерфейсов: снифер, агрегация портов, лупбек, VLAN (1Q и транкинг)
- L2/L3 коммутация и маршрутизация
- Прозрачное разворачивание – виртуальный кабель (L1)
Межсетевой экран
- Режимы работы: NAT/маршрутизация, прозрачный (мост) и смешанный режим
- Объекты политик: предопределённые, пользовательские и группировка объектов
- Политики безопасности, основанные на приложениях, роли и гео-локации
- Поддержка шлюзов уровня приложения (ALG) и сессий: MSRCP, PPTP, RAS, RSH, SIP, FTP, TFTP, HTTP, dcerpc, dns-tcp, dns-udp, H.245 0, H.245 1, H.323
- Поддержка NAT и ALG: NAT46, NAT64, NAT444, SNAT, DNAT, PAT, Full Cone NAT, STUN
- Конфигурации NAT: по политикам и централизованная NAT таблица
- VoIP: SIP/H.323/SCCP NAT traversal, RTP pin holing
- Глобальный просмотр управления политиками
- Проверка избыточности политик безопасности
- Расписания: одноразовые и повторяющиеся
Предотвращение вторжений
- Выявление аномалий протоколов, выявление на основании полосы пропускания, пользовательские сигнатуры, ручное или автоматическое, принудительное или по запросу обновление сигнатур, интегрированная энциклопедия угроз
- Действия IPS: по умолчанию, мониторинг, блокировка, сброс (IP атакующего или жертвы, входящий интерфейс) с истечением таймера
- Функция журналирования пакетов
- Выбор на основе фильтров: северити, цель, ОС, приложение или протокол
- Исключение IP из специфических IPS сигнатур
- Режим снифера IDS
- IPv4 и IPv6 DoS защита на основе полосы пропускания с настройками порогов срабатывания от TCP Syn флуда, сканирования портов TCP/UDP/SCTP, ICMP сканирования, TCP/UDP/SCIP/ICMP флуда сессий (источника/назначения)
- Активный байпас с обходными интерфейсами
- Предопределенная конфигурация предотвращения
Защита от атак
- Защита от атак, использующих анормальные протоколы
- Анти DoS/DDoS, включая защиту от SYN флуда и флуда DNS запросов
- Защита от ARP атак
Фильтрация URL
- Потоковая веб инспекция
- Определяемая вручную веб фильтрация на основе URL, веб содержимого и MIME заголовка
- Динамическая веб фильтрация с облачной базой данных с категоризацией в реальном времени: более 140 миллионов URLей с 64 категориями (8 из которых связаны с безопасностью)
- Переопределение профилей веб фильтрации: позволяет администратору временно назначать другие профили для пользователей, групп, IP
- Дополнительные функции веб фильтрации:
- Фильтрация Java Applet, ActiveX и/или куки
- Блокировка HTTP Post
- Поиск в журнале по ключевым словам
- Исключение сканирования зашифрованных соединений определённых категорий для обеспечения приватности
- Локальные категории веб фильтрации и переопределение категорий
IP репутация
- Блокировка IP ботнет серверов с глобальной базой данных IP репутации
Расшифровка SSL
- Идентификация приложений для шифрованного SSL трафика
- Поддержка IPS для шифрованного SSL трафика
- Поддержка антивируса для шифрованного SSL трафика
- URL фильтрация для шифрованного SSL трафика
- Белые списки для шифрованного SSL трафика
- Режим разгрузки SSL-прокси
Контроль передачи файлов
- Контроль передачи файлов на основе имени файла, типа и размера
- Идентификация протокола передачи файлов, включая: HTTP, HTTPS, FTP, SMTP, POP3 и SMB protocols
- Идентификация сигнатур и суффиксов файлов для более чем 100 типов файлов
Контроль приложений
- Более 3000 приложений, которые могут быть отфильтрованы по имени, категории, подкатегории, технологии и риску
- Каждое приложение содержит описание, факторы риска, зависимости, обычно используемые порты и URLи для дополнительной информации
- Действия: блокировка, сброс сессии, мониторинг, ограничение трафика
- Идентификация и контроль приложений в облаке
- Обеспечение многомерного мониторинга и статистики для приложений, работающих в облаке, включая категорию риска и характеристики
Качество обслуживания (QoS)
- Максимальная/гарантированная полоса пропускания для туннелей, IP или пользователей
- Распределение туннелей на основе доменов безопасности, интерфейсов, адресов, групп пользователей, пользователей, групп серверов, серверов, групп приложений, приложений, TOS, VLAN
- Распределение полосы пропускания по времени, приоритету или эквивалентное разделение полосы пропускания
- Поддержка Type of Service (TOS) и Differentiated Services (DiffServ)
- Приоритетное распределение оставшейся полосы пропускания
- Максимальное количество одновременных подключений на IP-адрес
Балансировка нагрузки на сервера
- Алгоритмы балансировки: взвешенное хеширование, взвешенное количество активных соединение и взвешенное циклическое
- Защита сеанса, сохранение сеанса и мониторинг состояния сеанса
- Проверка работоспособности сервера, мониторинг сеансов и защита сеанса
Балансировка нагрузки каналов связи
- Двунаправленная балансировка нагрузки каналов связи
- Балансировка нагрузки исходящих соединений, включая маршрутизацию на основе политик, ECMP и взвешенную встроенную маршрутизацию ISP и динамическое обнаружение
- Балансировка нагрузки входящих соединений поддерживает SmartDNS и динамическое обнаружение
- Автоматическое переключение соединений на основе полосы пропускания, задержки, джиттера, возможности подключения, приложения и т.д.
- Проверка работоспособности соединения при помощи ARP, PING и DNS
VPN
- IPSec VPN:
- Режимы фазы 1 IPSEC: aggressive и main
- Варианты приёмки узлов: любой ID, определённый ID, ID в пользовательской dialup группе
- Поддержка IKEv1 и IKEv2 (RFC 4306)
- Методы аутентификации: сертификат и предопределённый ключ
- Поддержка IKE mode configuration (как сервер или клиент)
- DHCP через IPSEC
- Настраиваемые срок действия ключа шифрования IKE, частота отправки keep alive NAT traversal
- Phase 1/Phase 2 Proposal шифрование: DES, 3DES, AES128, AES192, AES256
- Phase 1/Phase 2 Proposal аутентификация: MD5, SHA1, SHA256, SHA384, SHA512
- Поддержка групп Phase 1/Phase 2 Diffie-Hellman: 1,2,5
- XAuth в режиме сервера и для dialup пользователей
- Dead peer detection
- Определение повторной отправки
- Keep-alive c автоматическим ключом для Phase 2 SA
- Поддержка областей SSL VPN: позволяет использовать несколько пользовательских SSL VPN-подключений, связанных с группами пользователей (URL пути, дизайн)
- Варианты настройки IPSec VPN: на основе маршрутов или политик
- Варианты разворачивания IPSec VPN: шлюз-шлюз, все со всеми, звезда, резервный туннель, VPN терминация в прозрачном режиме
- Однократный вход предотвращает одновременные логины с одинаковым именем пользователя
- Ограничение одновременного количества пользователей на SSL портал
- Модуль проброса портов SSL VPN шифрует клиентские данные и посылает их на сервер приложений
- Поддержка клиентов, работающих на iOS, Android и Windows XP/Vista включая 64-битные Windows OS
- Проверка целостности хоста и проверка ОС перед подключением SSL туннеля
- Проверка МАС хоста на портале
- Возможность очистки кеша перед завершением SSL VPN сессии
- Клиентский и серверный режимы L2TP, L2TP поверх IPSec и GRE поверх IPSec
- Просмотр и управление IPSec и SSL VPN соединениями
- PnPVPN
IPv6
- Управление через IPv6, IPv6 журналирование и режим высокой доступности
- IPv6 туннелирование, DNS64/NAT64 и т.д.
- Протоколы маршрутизации IPv6: ISIS, RIPng, OSPFv3 и BGP4+, статическая маршрутизация, маршрутизация на основе политик
- IPS, идентификация приложений, контроль доступа, защита от ND атак
VSYS
- Распределение ресурсов для каждого VSYS
- CPU виртуализация
- Безрутовая VSYS поддержка: межсетевого экрана, IPSec VPN, SSL VPN, IPS, URL фильтрации
- VSYS мониторинг и статистика
Высокая доступность
- Резервные сигнальные интерфейсы
- Актив/актив и актив/пассив
- Синхронизация автономных сессий
- Резервный интерфейс управления HA
- Отказоустойчивость:
- Мониторинг состояния порта, локального и удалённого соединения
- Отказоустойчивость с учётом состояния
- Досекундное переключение
- Уведомление о сбое
- Варианты разворачивания:
- HA с агрегацией соединений
- Все со всеми HA
- Географически распределённый HA
- Парный режим отказоустойчивости
Идентификация устройств и пользователей
- Локальная база данных пользователей
- Удалённая идентификация пользователей: TACACS+, LDAP, Radius, AD
- Единая точка входа: Windows AD
- 2-х факторная аутентификация: поддержка сторонних производителей, интегрированный сервер тоукенов (физических и SMS)
- Политики на основании пользователей и устройств
- Синхронизация пользовательских групп на основе AD и LDAP
- Поддержка 802.1X, SSO прокси
Администрирование
- Доступ к управлению: HTTP/HTTPS, SSH, telnet, консоль
- Централизованное управление: Hillstone Security Manager (HSM), web service API
- Системная интеграция: SNMP, syslog, партнёрские отношения
- Быстрое разворачивание: автоустановка USB, локальное и удалённое выполнение скриптов
- Динамический статус в панели управления в реальном времени и разворачивающиеся виджеты наблюдения
- Поддержка языков: Английский
Журналирование и отчётность
- Возможности журналирования: локальная память и хранилище (если доступно), множественные syslog сервера и множественные платформы Hillstone Security Audit (HSA)
- Шифрованное журналирование и обеспечение целостности журналов с загрузкой журналов по расписанию через HSA
- Надёжное журналирование с использованием TCP (RFC 3195)
- Подробные журналы трафика: переадресованные, нарушенные сеансы, локальный трафик, недопустимые пакеты
- Всесторонние журналы событий: системный и административный аудит активности, сетевые и маршрутизации, VPN, аутентификации пользователей, событий, связанных с WiFi
- Возможность разрешения имени по IP и порту
- Краткая форма формата журнала трафика
- Три предопределённых отчёта: безопасность, потоки и сети
- Отчёты, заданные пользователем
- Отчёты могут быть экспортированы в PDF и получены через Email и FTP
Ресурсы