SA-5050的高效率NAT
根據(jù)西南政法大學(xué)校園網(wǎng)IP地址分配情況,僅需要在電信出口執(zhí)行源NAT(SNAT)。
每一個(gè)公網(wǎng)IP地址對(duì)應(yīng)了約60000多個(gè)TCP端口和60000多個(gè)UDP端口資源,做PAT轉(zhuǎn)換的時(shí)候,只要TCP或者UDP的port資源超出60000多個(gè),就需要第2個(gè)公網(wǎng)IP地址。特別是在沒(méi)有針對(duì)校園網(wǎng)內(nèi)每用戶IP執(zhí)行session-limit會(huì)話控制的情況下,單個(gè)公網(wǎng)IP地址上面的TCP或者UDP的port資源非常容易耗盡。對(duì)于數(shù)百萬(wàn)會(huì)話的SPI防火墻設(shè)備,通常需要非常多的公網(wǎng)IP地址用于網(wǎng)絡(luò)地址轉(zhuǎn)換。
Hillstone SA系列多核安全網(wǎng)關(guān),支持Expanded Port Pool技術(shù),允許在訪問(wèn)目的IP不同的情況下去對(duì)PAT中的公網(wǎng)IP地址的端口資源進(jìn)行復(fù)用。SA-5050可以將原有公網(wǎng)IP地址的TCP或者UDP的port資源擴(kuò)大至16倍左右,大大減輕了對(duì)公網(wǎng)IP地址數(shù)量的消耗。
同時(shí),通過(guò)目的NAT (DNAT)實(shí)現(xiàn)公共服務(wù)器對(duì)外提供 WWW/E-MAIL 等服務(wù)。
另外位于沙坪壩老校區(qū)的校園網(wǎng)用戶希望通過(guò)公網(wǎng)域名(或公網(wǎng)IP)來(lái)訪問(wèn)渝北校區(qū)內(nèi)網(wǎng)服務(wù)器時(shí),是由電信出口通過(guò)DNAT進(jìn)去的,但由于渝北校區(qū)內(nèi)網(wǎng)三層交換機(jī)路由設(shè)置,導(dǎo)致返回?cái)?shù)據(jù)包無(wú)法交還因而訪問(wèn)失敗。針對(duì)這種特殊應(yīng)用場(chǎng)景,我們通過(guò)SA-5050同時(shí)對(duì)其進(jìn)行DNAT和SNAT操作,確保內(nèi)網(wǎng)三層交換機(jī)把返回?cái)?shù)據(jù)包交給SA-5050。
SA-5050提供校園網(wǎng)內(nèi)外網(wǎng)的攻擊防護(hù)
Hillstone SA系列多核安全網(wǎng)關(guān)可以提供基于域Zone的攻擊防護(hù)功能,以識(shí)別并阻斷主流網(wǎng)絡(luò)攻擊包括:IP 地址掃描攻擊、端口掃描攻擊、IP 地址欺騙攻擊、SYN Flood 攻擊、ICMP Flood 攻擊、UDP Flood 攻擊、Huge ICMP 包攻擊、WinNuke 攻擊、Ping of Death 攻擊、Teardrop 攻擊、IP Option 攻擊、TCP 異常攻擊、Land 攻擊、IP 碎片攻擊、Smurf 和Fraggle 攻擊等。
SA-5050多核安全網(wǎng)關(guān)具有強(qiáng)大的抗攻擊能力,具有每秒20萬(wàn)TCP或50萬(wàn)UDP的新建會(huì)話能力。能檢測(cè)并防御800K包/s以上的SYN-FLOOD攻擊;并且開啟攻擊防護(hù)功能之后,可以實(shí)時(shí)查看SA-5050所檢測(cè)到的內(nèi)外網(wǎng)發(fā)生的每種攻擊次數(shù)和丟包次數(shù)。
SA-5050精準(zhǔn)的流量控制
可通過(guò)靈活的策略對(duì)校園網(wǎng)出口流量進(jìn)行精細(xì)、全面的控制:
1、基于全局的應(yīng)用的帶寬管理
通過(guò)Hillstone SA-5050,用戶的網(wǎng)絡(luò)管理人員能一目了然地直觀了解到各種應(yīng)用占用的帶寬數(shù)值,從而制定策略來(lái)保障在600M的電信鏈路出口的關(guān)鍵流量帶寬、抑制P2P等協(xié)議對(duì)網(wǎng)絡(luò)帶寬的占用。在對(duì)P2P服務(wù)的總帶寬進(jìn)行限制及將HTTP協(xié)議的帶寬進(jìn)行保障后總流量大幅下降,高峰時(shí)網(wǎng)頁(yè)打開速度得到明顯提升。
2、基于用戶/IP地址+應(yīng)用+不同時(shí)間段的任意組合進(jìn)行多維度細(xì)粒度的控制。
SA-5050進(jìn)行多維度細(xì)粒度的流量控制的組合是-教學(xué)科研辦公區(qū)/學(xué)生用戶區(qū)+P2P下載/ P2P視頻+工作日(白天)/工作日(夜間)/周末。
在工作日(白天)/工作日(夜間)/周末的不同時(shí)間段中,主要是針對(duì)學(xué)生用戶區(qū),控制每個(gè)學(xué)生用戶(IP地址)的上下行帶寬和P2P下載/ P2P視頻應(yīng)用的帶寬數(shù)值。
SA-5050強(qiáng)大的會(huì)話控制
SA 系列多核安全網(wǎng)關(guān)支持基于安全域的會(huì)話限制功能,以防止單一用戶如果在短時(shí)間內(nèi)發(fā)起大量的連接,導(dǎo)致系統(tǒng)資源迅速消耗,擠占其它合法用戶的資源。
傳統(tǒng)防火墻的會(huì)話限制功能,一般只能夠?qū)崿F(xiàn)到限制單一用戶發(fā)起的連接數(shù)總數(shù)這樣的程度。Hillstone SA-5050多核安全網(wǎng)關(guān)具備業(yè)界最強(qiáng)的會(huì)話(連接)控制功能,可以對(duì)安全域內(nèi)的源IP 地址、目的IP地址、指定的IP 地址、服務(wù)進(jìn)行會(huì)話數(shù)量或者建立會(huì)話速率控制,從而保護(hù)連接表不被DoS 攻擊填滿。
用戶評(píng)價(jià)
西南政法大學(xué)信息中心的老師評(píng)價(jià)如下:"Hillstone SA-5050多核安全網(wǎng)關(guān),在滿足我們對(duì)于出口設(shè)備功能需要的前提下,開啟專業(yè)防火墻和專業(yè)流量控制功能并沒(méi)有性能明顯下降的情況發(fā)生,并且在長(zhǎng)達(dá)約3個(gè)月實(shí)際在線測(cè)試期間運(yùn)行穩(wěn)定,未出現(xiàn)設(shè)備異常。這些情況使我們最終選擇了Hillstone 山石網(wǎng)科公司"。