SA-5050的高效率NAT

根據(jù)西南政法大學(xué)校園網(wǎng)IP地址分配情況，僅需要在電信出口執(zhí)行源NAT(SNAT)。

每一個(gè)公網(wǎng)IP地址對(duì)應(yīng)了約60000多個(gè)TCP端口和60000多個(gè)UDP端口資源，做PAT轉(zhuǎn)換的時(shí)候，只要TCP或者UDP的port資源超出60000多個(gè)，就需要第2個(gè)公網(wǎng)IP地址。特別是在沒(méi)有針對(duì)校園網(wǎng)內(nèi)每用戶IP執(zhí)行session-limit會(huì)話控制的情況下，單個(gè)公網(wǎng)IP地址上面的TCP或者UDP的port資源非常容易耗盡。對(duì)于數(shù)百萬(wàn)會(huì)話的SPI防火墻設(shè)備，通常需要非常多的公網(wǎng)IP地址用于網(wǎng)絡(luò)地址轉(zhuǎn)換。

Hillstone SA系列多核安全網(wǎng)關(guān)，支持Expanded Port Pool技術(shù)，允許在訪問(wèn)目的IP不同的情況下去對(duì)PAT中的公網(wǎng)IP地址的端口資源進(jìn)行復(fù)用。SA-5050可以將原有公網(wǎng)IP地址的TCP或者UDP的port資源擴(kuò)大至16倍左右，大大減輕了對(duì)公網(wǎng)IP地址數(shù)量的消耗。

同時(shí)，通過(guò)目的NAT (DNAT)實(shí)現(xiàn)公共服務(wù)器對(duì)外提供 WWW/E-MAIL 等服務(wù)。

另外位于沙坪壩老校區(qū)的校園網(wǎng)用戶希望通過(guò)公網(wǎng)域名（或公網(wǎng)IP）來(lái)訪問(wèn)渝北校區(qū)內(nèi)網(wǎng)服務(wù)器時(shí)，是由電信出口通過(guò)DNAT進(jìn)去的，但由于渝北校區(qū)內(nèi)網(wǎng)三層交換機(jī)路由設(shè)置,導(dǎo)致返回?cái)?shù)據(jù)包無(wú)法交還因而訪問(wèn)失敗。針對(duì)這種特殊應(yīng)用場(chǎng)景，我們通過(guò)SA-5050同時(shí)對(duì)其進(jìn)行DNAT和SNAT操作，確保內(nèi)網(wǎng)三層交換機(jī)把返回?cái)?shù)據(jù)包交給SA-5050。

SA-5050提供校園網(wǎng)內(nèi)外網(wǎng)的攻擊防護(hù)

Hillstone SA系列多核安全網(wǎng)關(guān)可以提供基于域Zone的攻擊防護(hù)功能，以識(shí)別并阻斷主流網(wǎng)絡(luò)攻擊包括：IP 地址掃描攻擊、端口掃描攻擊、IP 地址欺騙攻擊、SYN Flood 攻擊、ICMP Flood 攻擊、UDP Flood 攻擊、Huge ICMP 包攻擊、WinNuke 攻擊、Ping of Death 攻擊、Teardrop 攻擊、IP Option 攻擊、TCP 異常攻擊、Land 攻擊、IP 碎片攻擊、Smurf 和Fraggle 攻擊等。

SA-5050多核安全網(wǎng)關(guān)具有強(qiáng)大的抗攻擊能力，具有每秒20萬(wàn)TCP或50萬(wàn)UDP的新建會(huì)話能力。能檢測(cè)并防御800K包/s以上的SYN-FLOOD攻擊；并且開啟攻擊防護(hù)功能之后，可以實(shí)時(shí)查看SA-5050所檢測(cè)到的內(nèi)外網(wǎng)發(fā)生的每種攻擊次數(shù)和丟包次數(shù)。

SA-5050精準(zhǔn)的流量控制

可通過(guò)靈活的策略對(duì)校園網(wǎng)出口流量進(jìn)行精細(xì)、全面的控制：

1、基于全局的應(yīng)用的帶寬管理

通過(guò)Hillstone SA-5050，用戶的網(wǎng)絡(luò)管理人員能一目了然地直觀了解到各種應(yīng)用占用的帶寬數(shù)值，從而制定策略來(lái)保障在600M的電信鏈路出口的關(guān)鍵流量帶寬、抑制P2P等協(xié)議對(duì)網(wǎng)絡(luò)帶寬的占用。在對(duì)P2P服務(wù)的總帶寬進(jìn)行限制及將HTTP協(xié)議的帶寬進(jìn)行保障后總流量大幅下降，高峰時(shí)網(wǎng)頁(yè)打開速度得到明顯提升。
2、基于用戶/IP地址＋應(yīng)用＋不同時(shí)間段的任意組合進(jìn)行多維度細(xì)粒度的控制。

SA-5050進(jìn)行多維度細(xì)粒度的流量控制的組合是－教學(xué)科研辦公區(qū)/學(xué)生用戶區(qū)＋P2P下載/ P2P視頻＋工作日(白天)/工作日(夜間)/周末。

在工作日(白天)/工作日(夜間)/周末的不同時(shí)間段中，主要是針對(duì)學(xué)生用戶區(qū)，控制每個(gè)學(xué)生用戶(IP地址)的上下行帶寬和P2P下載/ P2P視頻應(yīng)用的帶寬數(shù)值。

SA-5050強(qiáng)大的會(huì)話控制

SA 系列多核安全網(wǎng)關(guān)支持基于安全域的會(huì)話限制功能，以防止單一用戶如果在短時(shí)間內(nèi)發(fā)起大量的連接，導(dǎo)致系統(tǒng)資源迅速消耗，擠占其它合法用戶的資源。

傳統(tǒng)防火墻的會(huì)話限制功能，一般只能夠?qū)崿F(xiàn)到限制單一用戶發(fā)起的連接數(shù)總數(shù)這樣的程度。Hillstone SA-5050多核安全網(wǎng)關(guān)具備業(yè)界最強(qiáng)的會(huì)話(連接)控制功能，可以對(duì)安全域內(nèi)的源IP 地址、目的IP地址、指定的IP 地址、服務(wù)進(jìn)行會(huì)話數(shù)量或者建立會(huì)話速率控制，從而保護(hù)連接表不被DoS 攻擊填滿。

用戶評(píng)價(jià)

西南政法大學(xué)信息中心的老師評(píng)價(jià)如下："Hillstone SA-5050多核安全網(wǎng)關(guān)，在滿足我們對(duì)于出口設(shè)備功能需要的前提下，開啟專業(yè)防火墻和專業(yè)流量控制功能并沒(méi)有性能明顯下降的情況發(fā)生，并且在長(zhǎng)達(dá)約3個(gè)月實(shí)際在線測(cè)試期間運(yùn)行穩(wěn)定，未出現(xiàn)設(shè)備異常。這些情況使我們最終選擇了Hillstone 山石網(wǎng)科公司"。

yajing