在國家“科教興國”戰略的指引下，山石網科Hillstone憑借專業的技術實力和業務積累，在教育行業的網絡安全領域縱深拓展。正是基于對校園網的深刻理解，基于實事求是的調研數據，山石網科Hillstone推出了度身定制的新一代校園網安全解決方案。

 

1. 越來越多的出口

山石網科Hillstone SA-2010安全網關，能夠為用戶提供針對多出口的完美解決方案。

首先可以實現基于源/目的的智能選路。Hillstone SA-2010安全網關，按照查找優先級排列分別是：策略路由、源接口路由、源路由、目的路由。即不僅可以實現基于srcIP的源路由、基于In-interface（源接口）＋srcIP的源接口路由、還可以按照srcIP＋srcPort＋dstIP＋dstPort＋Protocol五元組來完成智能選路的高級PBR功能，以滿足用戶全方位的要求。

Hillstone SA-2010安全網關同時采用ECMP智能負載均衡技術，最大可以實現在40條路徑之間作負載均衡。此外選擇負載均衡的方式，有三種方式可供選擇：基于源地址、基于源和目的地址、基于srcIP＋srcPort＋dstIP＋dstPort＋Protocol五元組，來迅速判斷出流量的最佳路徑，使整個網絡出口的流量能夠在這些不同的網絡鏈路中智能的進行負載均衡，達到最大的網絡效率。

而且Hillstone SA系列安全網關支持業界最全的“透明、路由、NAT、混合”等四種設備部署模式，尤其是把NAT/路由模式以及透明模式無縫結合在一起，輔助以靈活的物理端口類型和數量，完全可以替換傳統的路由器加防火墻的接入方式，簡化網絡拓撲，降低投資。

 2. 安全防護能力

Hillstone SA-2010安全網關的主要安全防護主要體現在：
訪問控制：根據安全策略對數據流進行檢查，讓合法的流量通過，將非法的流量阻止，從而達到訪問控制的目的。具有優化的規則匹配算法，規則的查詢時間不隨配置的策略規則數目線性增長；狀態檢測（stateful inspection）技術；

基于安全域的攻擊防護：包括IP 地址掃描攻擊防護、端口掃描攻擊防護、IP 地址欺騙攻擊防護、SYN Flood 攻擊防護、SYN-Proxy、ICMP Flood 攻擊防護、UDP Flood 攻擊防護、Huge ICMP 包攻擊防護、WinNuke 攻擊防護、Ping of Death 攻擊防護、Teardrop 攻擊防護、IP Option 攻擊防護、TCP 異常攻擊防護、Land 攻擊防護、IP 碎片攻擊防護、Smurf 和Fraggle 攻擊防護功能等。

我們可以看到校園網DOS/DDOS攻擊，由于其攻擊的突發性和隨機性的特點，在線(In-line)防御方式才能做到實時的檢測和防御，最大限度的保護校園網。Hillstone SA-2010安全網關的性能避免了在線防御的性能瓶頸問題。Hillstone SA-2010安全網關，最高可以在每秒創建2000TCP會話作為背景流量，檢測并防御880kpps（64字節數據包）/s以上的SYN-FLOOD攻擊，具有業界超強的DDoS攻擊防護能力。

3. 流量控制

Hillstone SA-2010安全網關，全面兼容Cisco QoS 解決方案。

Hillstone SA-2010安全網關的QoS 功能，可以順利實現校園網的應用流量控制要求：對于重要的應用(如HTTP應用)，保證其最小帶寬使用量，并且借用剩余帶寬；對于占用大量帶寬但不重要的應用(如P2P應用)對其進行最大帶寬限制（有時候還需限制P2P 上傳流量，減少外部用戶對帶寬的消耗）；支持基于時間段生效的帶寬控制策略（可以通過配置不同的時間段策略進行時間與應用帶寬上的管理與控制）等。

 Hillstone SA-2010安全網關，具有獨創的智能應用識別(Intelligent Application Identify)技術，確保精確的識別應用。尤其強調國內環境P2P的識別，支持國內校園網常見的Thunder(迅雷)、Web訊雷、Bit Torrent、eMule、eDonkey、百度下吧、POCO、PPLive、酷狗、哇嘎畫時代等常見的P2P的識別。

當QoS為每用戶限制在一個帶寬數值之內時，在某些時刻（如后半夜）可能帶寬利用率只有不到10%。雖然此時有足夠的帶寬，但是IP帶寬受限，無法利用空閑帶寬。Hillstone SA-2010安全網關支持彈性QoS （Flex-QoS），以求充分的利用帶寬資源，杜絕浪費。

在保障系統運行性能的情況下， Hillstone SA-2010安全網關最高可實現精密度為1kbps，多達2萬個用戶的流量控制。

4. “無所不聯”的接入能力

針對廣大師生需要從校外遠程訪問校內的數字圖書館，領導、老師需要從校外遠程使用校內的辦公應用系統的遠程安全接入需求，Hillstone SA-2010安全網關提供了新一代 SSL VPN技術解決方案。Hillstone的SSL VPN無需預先安裝和配置客戶端，所有的安裝和升級都可以在遠程接入時自動完成，把IT部門的負擔減少到最低。并且結合Hillstone的Role Base Policy（用戶—角色—資源）技術， 根據用戶身份，管理員可以通過配置訪問策略的方式實現用戶對資源的訪問控制，以保障某些特定的網絡資源只能被授權的用戶訪問。

針對分布在高校內的多個校區之間的核心、敏感部門機構（財務、人事等部門）之間也必須實現安全互聯的需求，建議采用IPSec VPN技術實現。

Hillstone SA-2010安全網關，是IPSec VPN+SSL VPN二合一的網關，充分繼承IPSec和SSL VPN技術的優勢，彌補各自的缺陷。
校園網“無所不聯”的VPN應用，需要設備支持高性能，高吞吐率，支持高并發VPN用戶數量。Hillstone SA-2010安全網關，最大支持10,000個SSL用戶數，30,000個IPSec通道數，8Gbps的IPSec VPN吞吐率 (3DES+SHA-1)，為校園網“無所不聯”的VPN應用提供高性能的VPN接入能力。

5. 對內網的監控以及上網行為控制

校園網內網到外網的安全威脅比較嚴重。還需要能夠監督、控制全網應用協議的情況（流量分布、會話數量）、校園網每用戶的使用情況（上下行流量、會話數量）等作為輔助管理手段。

Hillstone SA-2010安全網關，不僅可以實時監控對校園網每用戶的上下行流量、會話數量，并且通過對校園網每用戶進行會話數量或者建立會話速率控制，從而保護安全網關設備自身會話表，還能夠在一定程度上限制一些P2P應用的帶寬。

對于學生訪問成人、反動網站——通過Hillstone SA-2010安全網關URL過濾功能，可以根據URL黑名單、關鍵字列表有選擇性地限制校園網用戶對某些網頁的訪問。此外，如果有需要，Hillstone SA-2010安全網關還可以對校園網用戶的IM使用(Yahoo! Messenger 、MSN、Windows Messenger、QQ、新浪UC、網易POPO、搜Q)進行控制，如阻止登錄、阻止文本聊天行為或者阻止文件傳輸行為等。

 6. ARP攻擊防御

在Hillstone SA-2010安全網關、Hillstone SR系列安全路由器之上，山石網科Hillstone首創加密ARP協議，徹底解決ARP攻擊。

裝有Hillstone ARP客戶端的PC會與Hillstone設備(SA系列安全網關、SR系列安全路由器)進行基于身份認證的ARP協議通訊，這就保證每臺安裝客戶端的PC能夠獲得來自于Hillstone設備認證過的設備MAC地址。這個交換使用公鑰基礎設施（PKI）來確保ARP信息的真實性。該協議執行強大的反偽造和防重放機制，使系統免受各種攻擊，包括偽造的ARP包和重放的ARP包。

ARP客戶端還可以監控PC的可疑二層行為并阻斷受感染的PC對同一局域網內的其他PC或網絡設備發動ARP攻擊。此外，Hillstone設備可以探測客戶端是否安裝了ARP驗證工具并且在客戶端安裝該工具之前拒絕其訪問Internet。

7. 高性能、高可靠

Hillstone SA-2010安全網關提供豐富的HA功能，主機和備機之間可以同步規則、對象、路由和Session等信息。當主機出現問題后，各種網絡服務都可以平滑的切換到備機上，保證用戶不斷網。減少校園網絡中單點故障，增強網絡的可靠性，穩定性。

現在校園網的網絡流量模型逐漸在發生著變化（小包報文比例增加，單個用戶的并發連接數也在迅速增加、UDP報文在迅速增加等），另外一方面，越來越大的流量需要處理，越來越多的功能需要開啟，對于設備高處理性能的需求也是越來越迫切。

Hillstone SA-2010安全網關，由于采用了先進的多核處理器技術＋自主開發的專用安全芯片(ASIC)＋內部高達48Gbps的交換總線的高性能硬件平臺，配合64位實時并行操作系統StoneOS，能夠提供高性能的應用安全處理能力和更強的應用層抗攻擊能力。

Hillstone SA-2010安全網關，最高可達8G防火墻和VPN吞吐能力，500萬并發會話和高達20萬/50萬的每秒TCP/UDP會話創建速率，是目前業界基于ASIC/NP架構最高性能安全產品的5-10倍！