SA-5050的高效率NAT

根據(jù)西南政法大學校園網IP地址分配情況，僅需要在電信出口執(zhí)行源NAT(SNAT)。

每一個公網IP地址對應了約60000多個TCP端口和60000多個UDP端口資源，做PAT轉換的時候，只要TCP或者UDP的port資源超出60000多個，就需要第2個公網IP地址。特別是在沒有針對校園網內每用戶IP執(zhí)行session-limit會話控制的情況下，單個公網IP地址上面的TCP或者UDP的port資源非常容易耗盡。對于數(shù)百萬會話的SPI防火墻設備，通常需要非常多的公網IP地址用于網絡地址轉換。

Hillstone SA系列多核安全網關，支持Expanded Port Pool技術，允許在訪問目的IP不同的情況下去對PAT中的公網IP地址的端口資源進行復用。SA-5050可以將原有公網IP地址的TCP或者UDP的port資源擴大至16倍左右，大大減輕了對公網IP地址數(shù)量的消耗。

同時，通過目的NAT (DNAT)實現(xiàn)公共服務器對外提供 WWW/E-MAIL 等服務。

另外位于沙坪壩老校區(qū)的校園網用戶希望通過公網域名（或公網IP）來訪問渝北校區(qū)內網服務器時，是由電信出口通過DNAT進去的，但由于渝北校區(qū)內網三層交換機路由設置,導致返回數(shù)據(jù)包無法交還因而訪問失敗。針對這種特殊應用場景，我們通過SA-5050同時對其進行DNAT和SNAT操作，確保內網三層交換機把返回數(shù)據(jù)包交給SA-5050。

SA-5050提供校園網內外網的攻擊防護

Hillstone SA系列多核安全網關可以提供基于域Zone的攻擊防護功能，以識別并阻斷主流網絡攻擊包括：IP 地址掃描攻擊、端口掃描攻擊、IP 地址欺騙攻擊、SYN Flood 攻擊、ICMP Flood 攻擊、UDP Flood 攻擊、Huge ICMP 包攻擊、WinNuke 攻擊、Ping of Death 攻擊、Teardrop 攻擊、IP Option 攻擊、TCP 異常攻擊、Land 攻擊、IP 碎片攻擊、Smurf 和Fraggle 攻擊等。

SA-5050多核安全網關具有強大的抗攻擊能力，具有每秒20萬TCP或50萬UDP的新建會話能力。能檢測并防御800K包/s以上的SYN-FLOOD攻擊；并且開啟攻擊防護功能之后，可以實時查看SA-5050所檢測到的內外網發(fā)生的每種攻擊次數(shù)和丟包次數(shù)。

SA-5050精準的流量控制

可通過靈活的策略對校園網出口流量進行精細、全面的控制：

1、基于全局的應用的帶寬管理

通過Hillstone SA-5050，用戶的網絡管理人員能一目了然地直觀了解到各種應用占用的帶寬數(shù)值，從而制定策略來保障在600M的電信鏈路出口的關鍵流量帶寬、抑制P2P等協(xié)議對網絡帶寬的占用。在對P2P服務的總帶寬進行限制及將HTTP協(xié)議的帶寬進行保障后總流量大幅下降，高峰時網頁打開速度得到明顯提升。
2、基于用戶/IP地址＋應用＋不同時間段的任意組合進行多維度細粒度的控制。

SA-5050進行多維度細粒度的流量控制的組合是－教學科研辦公區(qū)/學生用戶區(qū)＋P2P下載/ P2P視頻＋工作日(白天)/工作日(夜間)/周末。

在工作日(白天)/工作日(夜間)/周末的不同時間段中，主要是針對學生用戶區(qū)，控制每個學生用戶(IP地址)的上下行帶寬和P2P下載/ P2P視頻應用的帶寬數(shù)值。

SA-5050強大的會話控制

SA 系列多核安全網關支持基于安全域的會話限制功能，以防止單一用戶如果在短時間內發(fā)起大量的連接，導致系統(tǒng)資源迅速消耗，擠占其它合法用戶的資源。

傳統(tǒng)防火墻的會話限制功能，一般只能夠實現(xiàn)到限制單一用戶發(fā)起的連接數(shù)總數(shù)這樣的程度。Hillstone SA-5050多核安全網關具備業(yè)界最強的會話(連接)控制功能，可以對安全域內的源IP 地址、目的IP地址、指定的IP 地址、服務進行會話數(shù)量或者建立會話速率控制，從而保護連接表不被DoS 攻擊填滿。

用戶評價

西南政法大學信息中心的老師評價如下："Hillstone SA-5050多核安全網關，在滿足我們對于出口設備功能需要的前提下，開啟專業(yè)防火墻和專業(yè)流量控制功能并沒有性能明顯下降的情況發(fā)生，并且在長達約3個月實際在線測試期間運行穩(wěn)定，未出現(xiàn)設備異常。這些情況使我們最終選擇了Hillstone 山石網科公司"。

yajing