Выбрать страницу

Межсетевые экраны для центров обработки данных Hillstone X-Series

Разработаны для уникальных требований центров обработки данных

Межсетевой экран Hillstone Networks X7180 для центров обработки данных обеспечивает отличную производительность, надежность и масштабируемость для высокоскоростных провайдеров услуг, крупных предприятий и сетей операторов связи. Он обеспечивает гибкую файрвольную защиту для многопользовательского облачного окружения в виде службы (SaaS — security-as-a-service). Платформа X7180 основана на гибкой архитектуре безопасности (Elastic Security Architecture — ESA) Hillstone, которая предлагает высоко масштабируемые виртуальные межсетевые экраны, исключительную пропускную способность межсетевого экрана, огромное количество одновременных сессий и очень высокие показатели по количеству новых сессий в секунду. X7180 также поддерживает глубокую инспекцию пакетов (Deep Packet Inspection — DPI), управление приложениями следующего поколения и качество обслуживания (QoS). Система предоставляет исключительную производительность в небольшом форм-факторе с низким потреблением мощности.

Гибкая архитектура безопасности (Elastic Security Architecture — ESA) Hillstone: революционная технология для центров обработки данных

Потоковое мультимедиа, веб-приложения, VoIP, пиринговые сети, мобильные устройства, облачные вычисления и международное присутствие способствуют увеличению объёмов трафика центров обработки данных. По мере увеличения объёмов сетевого трафика становится актуальной необходимость наличия высокоскоростных сетевых интерфейсов и высокой плотности портов. Трафик мобильных устройств также требует большего внимания, поскольку решения сетевой безопасности могут серьёзно деградировать, когда трафик сдвигается в сторону большого количества пользователей и меньшего размера пакета. В результате, межсетевые экраны центров обработки данных должны обеспечивать высокую пропускную способность, большое количество одновременных сессий и большое количество новых сессий в секунду. Что еще более важно, они должны реагировать на шаблоны использования своих клиентов, которые часто очень непредсказуемы. Соответственно, межсетевые экраны центров обработки данных должны также обеспечивать быструю эластичность и безопасность по требованию.

Межсетевой экран для центров обработки данных X7180 построен на гибкой архитектуре безопасности (Elastic Security Architecture — ESA) Hillstone. Он может поддерживать до 1000 виртуальных межсетевых экранов и может быть предоставлен как услуга по требованию в комплекте с соглашениями об уровне обслуживания (SLA). Поставщики услуг могут динамически регулировать распределение ресурсов (процессоры, сессии, политики и порты) для каждого виртуального межсетевого экрана в соответствии с SLA. Аппаратная часть Hillstone  X7180 состоит из множества сетевых модулей и модулей безопасности, которые обеспечивают масштабируемость для будущего роста. Он использует распределенную многоядерную архитектуру, обеспечивающую пропускную способность до 680 Гбит/с, до 240 миллионов одновременных сессий и 4,8 миллиона новых сессий в секунду. Шасси поддерживает до 68 портов 10GbE или 144 портов 1GbE.



 

Надёжность операторского уровня

X7180 обеспечивает надежность операторского уровня. Он поддерживает высокую доступность (High Availability — HA) в режимах активный/пассивный и активный/активный, обеспечивая работу 24×7. Он также имеет резервные с горячей заменой: источники питания, вентиляторы, модули управления (System Control Modules — SCM), модули безопасности (Security Service Modules — SSM) и модули ввода/вывода (I/O Modules — IOM). X7180 также имеет многомодовый и одномодовый оптический байпас модуль, для обеспечения бесперебойность работы во время сбоев питания.

NAT и IPv6

Неизбежное шествие к IPv6 продолжается, но провайдерам по-прежнему необходимо разворачивать Carrier Grade NAT (CGN) и Large Scale NAT (LSN) для решения проблемы нехватки адресов IPv4 во время переходного периода. Hillstone X7180 поддерживает множество переходных технологий, включая Dual Stack, IPv6/IPv4 туннели, DNS64/NAT64, NAT 444, full cone NAT, NAPT и т. Д. Журналирование сессий и трансляций адресов позволяет выполнять аудиторский анализ для ведения учёта и расследований.

Энергоэффективность

X7180 имеет слоты спереди и сзади, что экономит пространство в стойке и облегчает охлаждение. Он имеет форм-фактор 5U и максимальную потребляемую мощность 1300 Вт, что на 50-67% меньше, чем у других межсетевых экранов для центров обработки данных.

Безопасность

X7180 обеспечивает видимость и контроль над более чем 3000 веб-приложений, включая 600 мобильных приложений и зашифрованных приложений P2P. Это позволяет производить тонкий гранулированный контроль приложений, полосы пропускания, пользователей и групп. X7180 предотвращает доступ пользователей к вредоносным или неразрешённым приложениям, а встроенная система предотвращения вторжений (Intrusion Prevention System — IPS) защищает сеть от вредоносной активности. X7180 поддерживает глубокую инспекцию пакетов и стандартный IPsec VPN, которые используют аппаратный крипто-сопроцессор. Hillstone также предлагает уникальное решение Plug-and-Play VPN, которое делает развертывание VPN филиалов простой задачей.

QoS

Платформа X7180 может управлять пропускной способностью на основе приложений, пользователей и времени суток. Система обеспечивает тонко-гранулированный контроль политик, включая гарантированную полосу пропускания, ограничение пропускной способности, приоритеты трафика и FlexQoS, которые могут динамически регулировать полосу пропускания на основе степени её загрузки. Эти функции наряду с ограничением количества сессий, маршрутизацией на основе политик и балансировкой нагрузки на линиях связи обеспечивают гибкое управление пропускной способностью.

Ключевые особенности
Сетевые службы
  • Динамическая маршрутизация (OSPF, BGP, RIPv2)
  • Статическая маршрутизация и маршрутизация на основе политик
  • Маршруты, управляемые приложениями
  • Встроенные DHCP, NTP, DNS сервера и DNS прокси
  • Режим TAP – подключение к SPAN порту
  • Режимы интерфейсов: снифер, агрегация портов, лупбек, VLAN (1Q и транкинг)
  • L2/L3 коммутация и маршрутизация
  • Прозрачное разворачивание — виртуальный кабель (L1)
Межсетевой экран
  • Режимы работы: NAT/маршрутизация, прозрачный (мост) и смешанный режим
  • Объекты политик: предопределённые, пользовательские и группировка объектов
  • Политики безопасности, основанные на приложениях, роли и гео-локации
  • Поддержка шлюзов уровня приложения (ALG) и сессий: MSRCP, PPTP, RAS, RSH, SIP, FTP, TFTP, HTTP, dcerpc, dns-tcp, dns-udp, H.245 0, H.245 1, H.323
  • Поддержка NAT и ALG: NAT46, NAT64, NAT444, SNAT, DNAT, PAT, Full Cone NAT, STUN
  • Конфигурации NAT: по политикам и централизованная NAT таблица
  • VoIP: SIP/H.323/SCCP NAT traversal, RTP pin holing
  • Глобальный просмотр управления политиками
  • Проверка избыточности политик безопасности
  • Расписания: одноразовые и повторяющиеся
Предотвращение вторжений
  • Выявление аномалий протоколов, выявление на основании полосы пропускания, пользовательские сигнатуры, ручное или автоматическое, принудительное или по запросу обновление сигнатур, интегрированная энциклопедия угроз
  • Действия IPS: по умолчанию, мониторинг, блокировка, сброс (IP атакующего или жертвы, входящий интерфейс) с истечением таймера
  • Функция журналирования пакетов
  • Выбор на основе фильтров: северити, цель, ОС, приложение или протокол
  • Исключение IP из специфических IPS сигнатур
  • Режим снифера IDS
  • IPv4 и IPv6 DoS защита на основе полосы пропускания с настройками порогов срабатывания от TCP Syn флуда, сканирования портов TCP/UDP/SCTP, ICMP сканирования, TCP/UDP/SCIP/ICMP флуда сессий (источника/назначения)
  • Активный байпас с обходными интерфейсами
  • Предопределенная конфигурация предотвращения
Защита от атак
  • Защита от атак, использующих анормальные протоколы
  • Анти DoS/DDoS, включая защиту от SYN флуда и флуда DNS запросов
  • Защита от ARP атак
Фильтрация URL
  • Потоковая веб инспекция
  • Определяемая вручную веб фильтрация на основе URL, веб содержимого и MIME заголовка
  • Динамическая веб фильтрация с облачной базой данных с категоризацией в реальном времени: более 140 миллионов URLей с 64 категориями (8 из которых связаны с безопасностью)
  • Переопределение профилей веб фильтрации: позволяет администратору временно назначать другие профили для пользователей, групп, IP
  • Дополнительные функции веб фильтрации:
    • Фильтрация Java Applet, ActiveX и/или куки
    • Блокировка HTTP Post
    • Поиск в журнале по ключевым словам
    • Исключение сканирования зашифрованных соединений определённых категорий для обеспечения приватности
  • Локальные категории веб фильтрации и переопределение категорий
IP репутация
  • Блокировка IP ботнет серверов с глобальной базой данных IP репутации
Расшифровка SSL
  • Идентификация приложений для шифрованного SSL трафика
  • Поддержка IPS для шифрованного SSL трафика
  • Поддержка антивируса для шифрованного SSL трафика
  • URL фильтрация для шифрованного SSL трафика
  • Белые списки для шифрованного SSL трафика
  • Режим разгрузки SSL-прокси
Контроль передачи файлов
  • Контроль передачи файлов на основе имени файла, типа и размера
  • Идентификация протокола передачи файлов, включая: HTTP, HTTPS, FTP, SMTP, POP3 и SMB protocols
  • Идентификация сигнатур и суффиксов файлов для более чем 100 типов файлов
Контроль приложений
  • Более 3000 приложений, которые могут быть отфильтрованы по имени, категории, подкатегории, технологии и риску
  • Каждое приложение содержит описание, факторы риска, зависимости, обычно используемые порты и URLи для дополнительной информации
  • Действия: блокировка, сброс сессии, мониторинг, ограничение трафика
  • Идентификация и контроль приложений в облаке
  • Обеспечение многомерного мониторинга и статистики для приложений, работающих в облаке, включая категорию риска и характеристики
Качество обслуживания (QoS)
  • Максимальная/гарантированная полоса пропускания для туннелей, IP или пользователей
  • Распределение туннелей на основе доменов безопасности, интерфейсов, адресов, групп пользователей, пользователей, групп серверов, серверов, групп приложений, приложений, TOS, VLAN
  • Распределение полосы пропускания по времени, приоритету или эквивалентное разделение полосы пропускания
  • Поддержка Type of Service (TOS) и Differentiated Services (DiffServ)
  • Приоритетное распределение оставшейся полосы пропускания
  • Максимальное количество одновременных подключений на IP-адрес
Балансировка нагрузки на сервера
  • Алгоритмы балансировки: взвешенное хеширование, взвешенное количество активных соединение и взвешенное циклическое
  • Защита сеанса, сохранение сеанса и мониторинг состояния сеанса
  • Проверка работоспособности сервера, мониторинг сеансов и защита сеанса
Балансировка нагрузки каналов связи
  • Двунаправленная балансировка нагрузки каналов связи
  • Балансировка нагрузки исходящих соединений, включая маршрутизацию на основе политик, ECMP и взвешенную встроенную маршрутизацию ISP и динамическое обнаружение
  • Балансировка нагрузки входящих соединений поддерживает SmartDNS и динамическое обнаружение
  • Автоматическое переключение соединений на основе полосы пропускания, задержки, джиттера, возможности подключения, приложения и т.д.
  • Проверка работоспособности соединения при помощи ARP, PING и DNS
VPN
  • IPSec VPN:
    • Режимы фазы 1 IPSEC: aggressive и main
    • Варианты приёмки узлов: любой ID, определённый ID, ID в пользовательской dialup группе
    • Поддержка IKEv1 и IKEv2 (RFC 4306)
    • Методы аутентификации: сертификат и предопределённый ключ
    • Поддержка IKE mode configuration (как сервер или клиент)
    • DHCP через IPSEC
    • Настраиваемые срок действия ключа шифрования IKE, частота отправки keep alive NAT traversal
    • Phase 1/Phase 2 Proposal шифрование: DES, 3DES, AES128, AES192, AES256
    • Phase 1/Phase 2 Proposal аутентификация: MD5, SHA1, SHA256, SHA384, SHA512
    • Поддержка групп Phase 1/Phase 2 Diffie-Hellman: 1,2,5
    • XAuth в режиме сервера и для dialup пользователей
    • Dead peer detection
    • Определение повторной отправки
    • Keep-alive c автоматическим ключом для Phase 2 SA
  • Поддержка областей SSL VPN: позволяет использовать несколько пользовательских SSL VPN-подключений, связанных с группами пользователей (URL пути, дизайн)
  • Варианты настройки IPSec VPN: на основе маршрутов или политик
  • Варианты разворачивания IPSec VPN: шлюз-шлюз, все со всеми, звезда, резервный туннель, VPN терминация в прозрачном режиме
  • Однократный вход предотвращает одновременные логины с одинаковым именем пользователя
  • Ограничение одновременного количества пользователей на SSL портал
  • Модуль проброса портов SSL VPN шифрует клиентские данные и посылает их на сервер приложений
  • Поддержка клиентов, работающих на iOS, Android и Windows XP/Vista включая 64-битные Windows OS
  • Проверка целостности хоста и проверка ОС перед подключением SSL туннеля
  • Проверка МАС хоста на портале
  • Возможность очистки кеша перед завершением SSL VPN сессии
  • Клиентский и серверный режимы L2TP, L2TP поверх IPSec и GRE поверх IPSec
  • Просмотр и управление IPSec и SSL VPN соединениями
  • PnPVPN
IPv6
  • Управление через IPv6, IPv6 журналирование и режим высокой доступности
  • IPv6 туннелирование, DNS64/NAT64 и т.д.
  • Протоколы маршрутизации IPv6: ISIS, RIPng, OSPFv3 и BGP4+, статическая маршрутизация, маршрутизация на основе политик
  • IPS, идентификация приложений, контроль доступа, защита от ND атак
VSYS
  • Распределение ресурсов для каждого VSYS
  • CPU виртуализация
  • Безрутовая VSYS поддержка: межсетевого экрана, IPSec VPN, SSL VPN, IPS, URL фильтрации
  • VSYS мониторинг и статистика
Высокая доступность
  • Резервные сигнальные интерфейсы
  • Актив/актив и актив/пассив
  • Синхронизация автономных сессий
  • Резервный интерфейс управления HA
  • Отказоустойчивость:
    • Мониторинг состояния порта, локального и удалённого соединения
    • Отказоустойчивость с учётом состояния
    • Досекундное переключение
    • Уведомление о сбое
  • Варианты разворачивания:
    • HA с агрегацией соединений
    • Все со всеми HA
    • Географически распределённый HA
  • Парный режим отказоустойчивости
Идентификация устройств и пользователей
  • Локальная база данных пользователей
  • Удалённая идентификация пользователей: TACACS+, LDAP, Radius, AD
  • Единая точка входа: Windows AD
  • 2-х факторная аутентификация: поддержка сторонних производителей, интегрированный сервер тоукенов (физических и SMS)
  • Политики на основании пользователей и устройств
  • Синхронизация пользовательских групп на основе AD и LDAP
  • Поддержка 802.1X, SSO прокси
Администрирование
  • Доступ к управлению: HTTP/HTTPS, SSH, telnet, консоль
  • Централизованное управление: Hillstone Security Manager (HSM), web service API
  • Системная интеграция: SNMP, syslog, партнёрские отношения
  • Быстрое разворачивание: автоустановка USB, локальное и удалённое выполнение скриптов
  • Динамический статус в панели управления в реальном времени и разворачивающиеся виджеты наблюдения
  • Поддержка языков: Английский
Журналирование и отчётность
  • Возможности журналирования: локальная память и хранилище (если доступно), множественные syslog сервера и множественные платформы Hillstone Security Audit (HSA)
  • Шифрованное журналирование и обеспечение целостности журналов с загрузкой журналов по расписанию через HSA
  • Надёжное журналирование с использованием TCP (RFC 3195)
  • Подробные журналы трафика: переадресованные, нарушенные сеансы, локальный трафик, недопустимые пакеты
  • Всесторонние журналы событий: системный и административный аудит активности, сетевые и маршрутизации, VPN, аутентификации пользователей, событий, связанных с WiFi
  • Возможность разрешения имени по IP и порту
  • Краткая форма формата журнала трафика
  • Три предопределённых отчёта: безопасность, потоки и сети
  • Отчёты, заданные пользователем
  • Отчёты могут быть экспортированы в PDF и получены через Email и FTP
NETGEAR: бесплатная консультация!