Межсетевые экраны следующего поколения Hillstone E-Series

Всеобъемлющая сетевая безопасность и расширенные функции защиты
Межсетевые экраны корпоративного уровня

Межсетевые экраны следующего поколения Hillstone E-Series обеспечивают видимость и контроль веб приложений независимо от порта, протокола или их уклончивых действий. Они могут идентифицировать и предотвратить потенциальные угрозы, связанные с высоко-рисковыми приложениями, обеспечивая при этом основанный на политиках контроль приложений, пользователей и пользовательских групп. Политики могут быть заданы, чтобы гарантировать полосу пропускания для критически важных приложений, ограничивая или блокируя при этом нежелательные или вредоносные приложения. Межсетевые экраны Hillstone E-Series включают комплексную сетевую безопасность и расширенные функции защиты. Они обеспечивают превосходное соотношение цены к функциональным возможностям, отличную энергоэффективность и меньший размер по сравнению с конкурирующими продуктами.

 

 

Гранулированный контроль приложений

Межсетевые экраны Hillstone E-Series обеспечивают прецизионный контроль веб-приложений, независимо от порта, протокола или их уклончивых действий. Они могут идентифицировать и предотвратить потенциальные угрозы, связанные с высоко-рисковыми приложениями, обеспечивая при этом основанный на политиках контроль приложений, пользователей и пользовательских групп. Политики безопасности могут быть заданы, чтобы гарантировать полосу пропускания для критически важных приложений, ограничивая или блокируя при этом нежелательные или вредоносные приложения.

Всеобъемлющее выявление и предотвращение угроз

Межсетевые экраны Hillstone E-Series обеспечивают в реальном времени защиту приложений от сетевых атак, включая вирусы, шпионские программы, черви, бот-сети, ARP спуфинг, DoS / DDoS, троянские программы, переполнение буфера и инъекции SQL. Они включают унифицированный механизм обнаружения вредоносных программ, который распределяет информацию о пакете между несколькими средствами защиты (IPS, фильтрация URL и Антивирус), что значительно сокращает время ожидания.
Ключевые особенности
Сетевые службы
  • Динамическая маршрутизация (OSPF, BGP, RIPv2)
  • Статическая маршрутизация и маршрутизация на основе политик
  • Маршруты, управляемые приложениями
  • Встроенные DHCP, NTP, DNS сервера и DNS прокси
  • Режим TAP – подключение к SPAN порту
  • Режимы интерфейсов: снифер, агрегация портов, лупбек, VLAN (1Q и транкинг)
  • L2/L3 коммутация и маршрутизация
  • Прозрачное разворачивание – виртуальный кабель (L1)
Межсетевой экран
  • Режимы работы: NAT/маршрутизация, прозрачный (мост) и смешанный режим
  • Объекты политик: предопределённые, пользовательские и группировка объектов
  • Политики безопасности, основанные на приложениях, роли и гео-локации
  • Поддержка шлюзов уровня приложения (ALG) и сессий: MSRCP, PPTP, RAS, RSH, SIP, FTP, TFTP, HTTP, dcerpc, dns-tcp, dns-udp, H.245 0, H.245 1, H.323
  • Поддержка NAT и ALG: NAT46, NAT64, NAT444, SNAT, DNAT, PAT, Full Cone NAT, STUN
  • Конфигурации NAT: по политикам и централизованная NAT таблица
  • VoIP: SIP/H.323/SCCP NAT traversal, RTP pin holing
  • Глобальный просмотр управления политиками
  • Проверка избыточности политик безопасности
  • Расписания: одноразовые и повторяющиеся
Предотвращение вторжений
  • До 8000+ сигнатур, выявление аномалий протоколов, выявление на основании полосы пропускания, пользовательские сигнатуры, ручное или автоматическое, принудительное или по запросу обновление сигнатур, интегрированная энциклопедия угроз
  • Действия IPS: по умолчанию, мониторинг, блокировка, сброс (IP атакующего или жертвы, входящий интерфейс) с истечением таймера
  • Функция журналирования пакетов
  • Выбор на основе фильтров: северити, цель, ОС, приложение или протокол
  • Исключение IP из специфических IPS сигнатур
  • Режим снифера IDS
  • IPv4 и IPv6 DoS защита на основе полосы пропускания с настройками порогов срабатывания от TCP Syn флуда, сканирования портов TCP/UDP/SCTP, ICMP сканирования, TCP/UDP/SCIP/ICMP флуда сессий (источника/назначения)
  • Активный байпас с обходными интерфейсами
  • Предопределенная конфигурация предотвращения
Антивирус
  • 4 миллиона антивирусных сигнатур, ручное, автоматическое, принудительное или по запросу обновление сигнатур,
  • Потоковый антивирус, включает протоколы: HTTP, SMTP, POP3, IMAP, FTP/SFTP
  • Сканирование на вирусы сжатых файлов
Защита от атак
  • Защита от атак, использующих анормальные протоколы
  • Анти DoS/DDoS, включая защиту от SYN флуда и флуда DNS запросов
  • Защита от ARP атак
Фильтрация URL
  • Потоковая веб инспекция
  • Определяемая вручную веб фильтрация на основе URL, веб содержимого и MIME заголовка
  • Динамическая веб фильтрация с облачной базой данных с категоризацией в реальном времени: более 140 миллионов URLей с 64 категориями (8 из которых связаны с безопасностью)
  • Переопределение профилей веб фильтрации: позволяет администратору временно назначать другие профили для пользователей, групп, IP
  • Дополнительные функции веб фильтрации:
    • Фильтрация Java Applet, ActiveX и/или куки
    • Блокировка HTTP Post
    • Поиск в журнале по ключевым словам
    • Исключение сканирования зашифрованных соединений определённых категорий для обеспечения приватности
  • Локальные категории веб фильтрации и переопределение категорий
Облачная песочница
  • Загрузка вредоносных файлов в облачную песочницу для анализа
  • Поддержка протоколов: HTTP/HTTPS, POP3, IMAP, SMTP и FTP
  • Поддержка типов файлов: PE, ZIP, RAR, Office, PDF, APK, JAR и SWF
  • Направление передачи файлов и управление размером файла
  • Предоставление полного отчёта анализа поведения для вредоносных файлов
IP репутация
  • Блокировка IP ботнет серверов с глобальной базой данных IP репутации
Расшифровка SSL
  • Идентификация приложений для шифрованного SSL трафика
  • Поддержка IPS для шифрованного SSL трафика
  • Поддержка антивируса для шифрованного SSL трафика
  • URL фильтрация для шифрованного SSL трафика
  • Белые списки для шифрованного SSL трафика
  • Режим разгрузки SSL-прокси
Идентификация конечных узлов
  • Поддержка идентификации IP-адреса конечного узла, количества конечных узлов, времени в сети, времени автономной работы и продолжительности он-лайн работы
  • Поддержка 10 операционных систем
  • Поддержка запросов на основании количества IP адресов и конечных узлов
Контроль передачи файлов
  • Контроль передачи файлов на основе имени файла, типа и размера
  • Идентификация протокола передачи файлов, включая: HTTP, HTTPS, FTP, SMTP, POP3 и SMB protocols
  • Идентификация сигнатур и суффиксов файлов для более чем 100 типов файлов
Контроль приложений
  • Более 3000 приложений, которые могут быть отфильтрованы по имени, категории, подкатегории, технологии и риску
  • Каждое приложение содержит описание, факторы риска, зависимости, обычно используемые порты и URLи для дополнительной информации
  • Действия: блокировка, сброс сессии, мониторинг, ограничение трафика
  • Идентификация и контроль приложений в облаке
  • Обеспечение многомерного мониторинга и статистики для приложений, работающих в облаке, включая категорию риска и характеристики
Качество обслуживания (QoS)
  • Максимальная/гарантированная полоса пропускания для туннелей, IP или пользователей
  • Распределение туннелей на основе доменов безопасности, интерфейсов, адресов, групп пользователей, пользователей, групп серверов, серверов, групп приложений, приложений, TOS, VLAN
  • Распределение полосы пропускания по времени, приоритету или эквивалентное разделение полосы пропускания
  • Поддержка Type of Service (TOS) и Differentiated Services (DiffServ)
  • Приоритетное распределение оставшейся полосы пропускания
  • Максимальное количество одновременных подключений на IP-адрес
Балансировка нагрузки на сервера
  • Алгоритмы балансировки: взвешенное хеширование, взвешенное количество активных соединение и взвешенное циклическое
  • Защита сеанса, сохранение сеанса и мониторинг состояния сеанса
  • Проверка работоспособности сервера, мониторинг сеансов и защита сеанса
Балансировка нагрузки каналов связи
  • Двунаправленная балансировка нагрузки каналов связи
  • Балансировка нагрузки исходящих соединений, включая маршрутизацию на основе политик, ECMP и взвешенную встроенную маршрутизацию ISP и динамическое обнаружение
  • Балансировка нагрузки входящих соединений поддерживает SmartDNS и динамическое обнаружение
  • Автоматическое переключение соединений на основе полосы пропускания, задержки, джиттера, возможности подключения, приложения и т.д.
  • Проверка работоспособности соединения при помощи ARP, PING и DNS
VPN
  • IPSec VPN:
    • Режимы фазы 1 IPSEC: aggressive и main
    • Варианты приёмки узлов: любой ID, определённый ID, ID в пользовательской dialup группе
    • Поддержка IKEv1 и IKEv2 (RFC 4306)
    • Методы аутентификации: сертификат и предопределённый ключ
    • Поддержка IKE mode configuration (как сервер или клиент)
    • DHCP через IPSEC
    • Настраиваемые срок действия ключа шифрования IKE, частота отправки keep alive NAT traversal
    • Phase 1/Phase 2 Proposal шифрование: DES, 3DES, AES128, AES192, AES256
    • Phase 1/Phase 2 Proposal аутентификация: MD5, SHA1, SHA256, SHA384, SHA512
    • Поддержка групп Phase 1/Phase 2 Diffie-Hellman: 1,2,5
    • XAuth в режиме сервера и для dialup пользователей
    • Dead peer detection
    • Определение повторной отправки
    • Keep-alive c автоматическим ключом для Phase 2 SA
  • Поддержка областей SSL VPN: позволяет использовать несколько пользовательских SSL VPN-подключений, связанных с группами пользователей (URL пути, дизайн)
  • Варианты настройки IPSec VPN: на основе маршрутов или политик
  • Варианты разворачивания IPSec VPN: шлюз-шлюз, все со всеми, звезда, резервный туннель, VPN терминация в прозрачном режиме
  • Однократный вход предотвращает одновременные логины с одинаковым именем пользователя
  • Ограничение одновременного количества пользователей на SSL портал
  • Модуль проброса портов SSL VPN шифрует клиентские данные и посылает их на сервер приложений
  • Поддержка клиентов, работающих на iOS, Android и Windows XP/Vista включая 64-битные Windows OS
  • Проверка целостности хоста и проверка ОС перед подключением SSL туннеля
  • Проверка МАС хоста на портале
  • Возможность очистки кеша перед завершением SSL VPN сессии
  • Клиентский и серверный режимы L2TP, L2TP поверх IPSec и GRE поверх IPSec
  • Просмотр и управление IPSec и SSL VPN соединениями
  • PnPVPN
IPv6
  • Управление через IPv6, IPv6 журналирование и режим высокой доступности
  • IPv6 туннелирование, DNS64/NAT64 и т.д.
  • Протоколы маршрутизации IPv6: ISIS, RIPng, OSPFv3 и BGP4+, статическая маршрутизация, маршрутизация на основе политик
  • IPS, идентификация приложений, контроль доступа, защита от ND атак
VSYS
  • Распределение ресурсов для каждого VSYS
  • CPU виртуализация
  • Безрутовая VSYS поддержка: межсетевого экрана, IPSec VPN, SSL VPN, IPS, URL фильтрации
  • VSYS мониторинг и статистика
  • Не поддерживается на E1600, E1100W и E1100W3Gw
Высокая доступность
  • Резервные сигнальные интерфейсы
  • Актив/актив и актив/пассив
  • Синхронизация автономных сессий
  • Резервный интерфейс управления HA
  • Отказоустойчивость:
    • Мониторинг состояния порта, локального и удалённого соединения
    • Отказоустойчивость с учётом состояния
    • Досекундное переключение
    • Уведомление о сбое
  • Варианты разворачивания:
    • HA с агрегацией соединений
    • Все со всеми HA
    • Географически распределённый HA
Идентификация устройств и пользователей
  • Локальная база данных пользователей
  • Удалённая идентификация пользователей: TACACS+, LDAP, Radius, AD
  • Единая точка входа: Windows AD
  • 2-х факторная аутентификация: поддержка сторонних производителей, интегрированный сервер тоукенов (физических и SMS)
  • Политики на основании пользователей и устройств
  • Синхронизация пользовательских групп на основе AD и LDAP
  • Поддержка 802.1X, SSO прокси
Администрирование
  • Доступ к управлению: HTTP/HTTPS, SSH, telnet, консоль
  • Централизованное управление: Hillstone Security Manager (HSM), web service API
  • Системная интеграция: SNMP, syslog, партнёрские отношения
  • Быстрое разворачивание: автоустановка USB, локальное и удалённое выполнение скриптов
  • Динамический статус в панели управления в реальном времени и разворачивающиеся виджеты наблюдения
  • Поддержка языков: Английский
Журналирование и отчётность
  • Возможности журналирования: локальная память и хранилище (если доступно), множественные syslog сервера и множественные платформы Hillstone Security Audit (HSA)
  • Шифрованное журналирование и обеспечение целостности журналов с загрузкой журналов по расписанию через HSA
  • Надёжное журналирование с использованием TCP (RFC 3195)
  • Подробные журналы трафика: переадресованные, нарушенные сеансы, локальный трафик, недопустимые пакеты
  • Всесторонние журналы событий: системный и административный аудит активности, сетевые и маршрутизации, VPN, аутентификации пользователей, событий, связанных с WiFi
  • Возможность разрешения имени по IP и порту
  • Краткая форма формата журнала трафика
  • Три предопределённых отчёта: безопасность, потоки и сети
  • Отчёты, заданные пользователем
  • Отчёты могут быть экспортированы в PDF и получены через Email и FTP
Беспроводные возможности
  • Множественные SSID и управление беспроводным трафиком (только на E1100W и E1100WG3w)
  • Кабельное подключение и резервный канал через WCDMA (только на E1100WG3w)
  • WCDMA IPSec VPN (только на E1100WG3w)
Ресурсы

Описания

Серия межсетевых экранов следующего поколения Hillstone E1000

Серия межсетевых экранов следующего поколения Hillstone E2000

Серия межсетевых экранов следующего поколения Hillstone E3000

Серия межсетевых экранов следующего поколения Hillstone E5000

Серия межсетевых экранов следующего поколения Hillstone E6000