فایروال‌های نسل بعدی هیلستون سری X
مخصوص دیتاسنتر

طراحی شده برای نیازهای منحصر به فرد دیتاسنترها

تصویر فایروال هیلستون

فایروال دیتاسنتر مدل X7180 هیلستون دارای عملکرد فوق العاده، قابلیت اطمینان بسیار بالا و مقیاس پذیری برای ارائه دهندگان خدمات با سرعت بالا، شرکت های بزرگ و شبکه های حامل است. این محصول امنیت انعطاف پذیری را برای محیط های چندرسانه‌ای مبتنی بر کلاود و امنیت به عنوان یک سرویس، فراهم می کند.

پلت فرم X7180 بر اساس معماری امنیتی Elastic هیلستون (ESA) می‌باشد که اجازه ایجاد فایروال‌های مجازی بسیار مقیاس پذیر، Throughput بسیار بالا، سشن‌های همزمان بسیار و سشن‌ جدید در ثانیه بسیار زیاد ارائه می دهد. X7180 همچنین دارای DPI، کنترل نرم‌افزار نسل بعدی و QOS می‌باشد. این محصول عملکرد استثنایی خود را در یک قالب کوچک با مصرف انرژی پایین ارائه می‌دهد.

با افزایش سرویس‌های ارائه شده بر روی اینترنت و بالا رفتن تعداد کاربران آن ترافیک دیتاسنترها افزایش پیدا می‌کند. این موضوع اهمیت تجهیزات شبکه با سرعت بالا و تراکم پورت بیشتر را افزایش می‌دهد. افزایش تعداد کاربران موبایل نیاز دیتاسنترها را به سمت تجهیزات امنیتی که تعداد کاربران زیاد با پکت‌های کوچک را پشتیبانی می‌کنند سوق داده است. بنابراین یک فایروال دیتاسنتر باید throughput بالا، سشن‌های همزمان بسیار زیاد و سشن در ثانیه بسیار بالا را پشتیبانی نماید. از همه مهمتر، این فایروال‌ها باید بتوانند پاسخگوی الگوی مصرف کاربران خود که در اکثر موارد غیرقابل پیش‌بینی هستند باشند. در نتیجه فایروال‌ها باید قابلیت ارتجاعی و ارائه امنیت بر اساس نیاز مشتری را داشته باشند.

تصویر فایروال هیلستون

فایروال مرکز داده X7180 بر اساس معماری امنیتی الاستیسیته هیلستون ساخته شده است. این فایروال می تواند تا 1000 فایروال مجازی را پشتیبانی کند و می تواند برای ارائه سرویس بر اساس درخواست مشتری، همراه با توافق نامه شرایط ارائه سرویس (SLA) استفاده شود. ارائه دهندگان سرویس می‌توانند منابع فایروال از قبیل CPU، تعداد سشن‌ها، سیاست‌‌ها و پورت‌ها را بر اساس SLA تعیین شده برای هر فایروال مجازی بصورت پویا تعیین نمایند.

سخت‌افزار فایروال X7180 هیلستون متشکل از چندین لبه شبکه و امنیتی می‌باشد که اجازه مقیاس‌پذیری آن را برای آینده می‌دهد. معماری چند هسته‌ای توزیع شده آن امکان سرویس‌دهی با throughput 680Gbps و ۲۴۰ میلیون سشن همزمان و ۴/۸ میلیون سشن جدید در ثانیه را می‌دهد. بدنه این فایروال ۶۸ پورت 10GbE یا ۱۴۴ پورت 1GbE را پشتیبانی می‌نماید.

دانلود کلاینت وی‌پی‌ان

Image Description

   سرویس‌های شبکه

       
Dynamic routing (OSPF, BGP, RIPv2) Static and policy routing
Route controlled by application Built-in DHCP, NTP, DNS server and DNS proxy
Tap mode—connect to SPAN port Interface modes: sniffer, port aggregated, loopback, VLANS (802.1Q and trunking)
L2/L3 switching & routing Virtual wire (Layer 1) transparent inline deployment

   فایروال

       
Operating modes: NAT/route, transparent (bridge), and mixed mode Policy objects: predefined, custom, and object grouping
Security policy based on application, role and geo-location Application Level Gateways and session support: MSRCP, PPTP, RAS, RSH, SIP, FTP, TFTP, HTTP, dcerpc, dns-tcp, dns-udp, H.245 0, H.245 1, H.323
NAT and ALG support: NAT46, NAT64, NAT444, SNAT, DNAT, PAT, Full Cone NAT, STUN NAT configuration: per policy and central NAT table
VoIP: SIP/H.323/SCCP NAT traversal, RTP pin holing Global policy management view
Security policy redundancy inspection Schedules: one-time and recurring

   IPS

       
Protocol anomaly detection, rate-based detection, custom signatures, manual, automatic push or pull signature updates, integrated threat encyclopedia IPS Actions: default, monitor, block, reset (attackers IP or victim IP, incoming interface) with expiry time
Packet logging option Filter Based Selection: severity, target, OS, application or protocol
IP exemption from specific IPS signatures IDS sniffer mode
IPv4 and IPv6 rate based DoS protection with threshold settings against TCP Syn flood, TCP/UDP/SCTP port scan, ICMP sweep, TCP/UDP/SCIP/ICMP session flooding (source/destination) Active bypass with bypass interfaces
Predefined prevention configuration    

   مقابله با حملات

       
Abnormal protocol attack defense Anti-DoS/DDoS, including SYN Flood, DNS Query Flood defense
ARP attack defense    

   URL Filtering

       
Flow-based web filtering inspection Manually defined web filtering based on URL, web content and MIME header
Dynamic web filtering with cloud-based real-time categorization database: over 140 million URLs with 64 categories (8 of which are security related) Web filtering profile override: allows administrator to temporarily assign different profiles to user/group/IP
Additional web filtering features:Filter Java Applet, ActiveX and/or cookie - Block HTTP Post - Log search keywords - Exempt scanning encrypted connections on certain categories for privacy Web filter local categories and category rating override

   Botnet C&C Prevention

       
Regularly update the botnet server addresses prevention for C&C IP and domain
Support TCP, HTTP, and DNS traffic detection IP and domain whitelists

   IP Reputation

       
Botnet server IP blocking with global IP reputation database

   Application control

       
Over 3,000 applications that can be filtered by name, category, subcategory, technology and risk Each application contains a description, risk factors, dependencies, typical ports used, and URLs for additional reference
Actions: block, reset session, monitor, traffic shaping Identify and control applications in the cloud
Provide multi-dimensional monitoring and statistics for applications running in the cloud, including risk category and characteristics

   Quality of Service (QoS)

       
Max/guaranteed bandwidth tunnels or IP/user basis Tunnel allocation based on security domain, interface, address, user/user group, server/server group, application/app group, TOS, VLAN
Bandwidth allocated by time, priority, or equal bandwidth sharing Type of Service (TOS) and Differentiated Services (DiffServ) support
Prioritized allocation of remaining bandwidth Maximum concurrent connections per IP
Bandwidth allocation based on URL category

   Server Load balancing

       
Weighted hashing, weighted least-connection, and weighted round-robin Session protection, session persistence and session status monitoring
Server health check, session monitoring and session protection

   Link Load balancing

       
Bidirectional link load balancing Outbound link load balancing includes policy based routing, ECMP and weighted, embedded ISP routing and dynamic detection
Inbound link load balancing supports SmartDNS and dynamic detection Automatic link switching based on bandwidth, latency, jitter, connectivity, application etc.
Link health inspection with ARP, PING, and DNS

   VPN

       
SSL VPN realm support: allows multiple custom SSL VPN logins associated with user groups (URL paths, design) IPSEC VPN configuration options: route-based or policy based
IPSEC VPN deployment modes: gateway-to-gateway, full mesh, hub-and-spoke, redundant tunnel, VPN termination in transparent mode One time login prevents concurrent logins with the same username
SSL portal concurrent users limiting SSL VPN port forwarding module encrypts client data and sends the data to the application server
Supports clients that run iOS,Android,and Windows XP/Vista including 64-bit Windows OS Host integrity checking and OS checking prior to SSL tunnel connections
MAC host check per portal Cache cleaning option prior to ending SSL VPN session
L2TP client and server mode, L2TP over IPSEC, and GRE over IPSEC View and manage IPSEC and SSL VPN connections
PnPVPN IPSec VPN: IPSEC Phase 1 mode: aggressive and main ID protection mode - Peer acceptance options: any ID, specific ID, ID in dialup user group - Supports IKEv1 and IKEv2 (RFC 4306) - Authentication method: certificate and pre-shared key - IKE mode configuration support (as server or client) - DHCP over IPSEC - Configurable IKE encryption key expiry, NAT traversal keep alive frequency - Phase 1/Phase 2 Proposal encryption: DES, 3DES, AES128, AES192, AES256 - Phase 1/Phase 2 Proposal authentication: MD5, SHA1, SHA256, SHA384, SHA512 - Phase 1/Phase 2 Diffie-Hellman support: 1,2,5 - XAuth as server mode and for dialup users - Dead peer detection - Replay detection - Autokey keep-alive for Phase 2 SA

   IPv6

       
Management over IPv6, IPv6 logging and HA IPv6 routing protocols, static routing, policy routing, ISIS, RIPng, OSPFv3 and BGP4+
IPv6 tunneling, DNS64/NAT64 etc. IPS, Application identification, URL filtering, Anti-Virus, Access control, ND attack defense

   VSYS

       
System resource allocation to each VSYS CPU virtualization
Non-root VSYS support firewall, IPSec VPN, SSL VPN, IPS, URL filtering VSYS monitoring and statistic

   High availability

       
Redundant heartbeat interfaces Active/Active and Active/Passive
Standalone session synchronization HA reserved management interface
Failover: Port, local & remote link monitoring - Stateful failover - Sub-second failover - Failure notification Deployment options: HA with link aggregation - Full mesh HA - Geographically dispersed HA

   Twin-mode HA

       
High availability mode among multiple devices Multiple HA deployment modes
Configuration and session synchronization among multiple devices

   تشخیص کاربر و ابزار

       
Local user database Remote user authentication: TACACS+, LDAP, Radius, Active
Single-sign-on: Windows AD 2-factor authentication: 3rd party support, integrated token server with physical and SMS
User and device-based policies User group synchronization based on AD and LDAP
Support for 802.1X, SSO Proxy WebAuth page customization
Interface based Authentication Agentless ADSSO (AD Polling)
Use authentication synchronization based on SSO-monitor

   مدیریت

       
Management access: HTTP/HTTPS, SSH, telnet, console Central management: Hillstone Security Manager (HSM), web service APIs
System integration: SNMP, syslog, alliance partnerships Rapid deployment: USB auto-install, local and remote script execution
Dynamic real-time dashboard status and drill-in monitoring widgets Language support: English

   لاگ و گزارشگیری

       
Logging facilities: local memory and storage (if available), multiple syslog servers and multiple Hillstone Security Audit (HSA) platforms Encrypted logging and log integrity with HSA scheduled batch log uploading
Reliable logging using TCP option (RFC 3195) Detailed traffic logs: forwarded, violated sessions, local traffic, invalid packets
Comprehensive event logs: system and administrative activity audits, routing & networking, VPN, user authentications, WiFi related events IP and service port name resolution option
Brief traffic log format option Three predefined reports: Security, Flow and network reports
User defined reporting Reports can be exported in PDF via Email and FTP