新一代多核安全网关-sg-6000-m3100-g2110.pdf

新一代多核安全网关 SG-6000-M3100/G2110 SG-6000 是 Hillstone 山石网科公司全新推出的新一代多核安全网关系列产品其基于角色，深度应用的多核 Plus®G2 安全架构突破了传统防火墙只能基于 IP 和端口的防范限制处理器模块化设计可以提升整体处理能力，突破传统 UTM 在开启病毒防护或 IPS 等功能所带来的性能下降的局限SG-6000-M3100/G2110 处理能力高达 1/2Gbps，适用于政府机关、企业、教育等机构， 可部署在网络的主要结点、 及 Internet 出口， 为网络提供基于角色， 深度应用安全的访问控制、 IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防护、上网行为管理等安全服务 产品亮点 新一代防火墙 - 深度应用安全 随着网络的快速发展，越来越多的应用都建立在 HTTP/HTTPS 等应用层协议之上新的安全威胁也随之嵌入到应用之中，而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略，根本无法识别应用，更谈不上安全防护 Hillstone 山石网科新一代防火墙可以根据应用的行为和特征实现对应用的识别和控制，而不依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS®识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括 P2P、IM(即时通讯)、游戏、办公软件以及基于 SIP、H.323、HTTP 等协议的应用同时，应用特征库通过网络服务可以实时更新，无须等待新版本软件发布 全面的 VPN 解决方案 SG-6000 多核安全网关支持多种 IPSecVPN 的部署，它能够完全兼容标准的 IPSecVPNSG-6000 系列产品对 VPN(包括SSL VPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的 VPN 解决方案 Hillstone 独具特色的即插即用 VPN，可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置，完全解决了传统 IPSec VPN 设备配置难、使用难、维护成本高的缺点 SG-6000 多核安全网关还通过集成第三代 SSL VPN 实现角色访问控制和即插即用特性，为用户提供方便、快捷的安全远程接入服务 内容安全(UTM Plus®) SG-6000 可选 UTM Plus®软件包提供病毒过滤，入侵防御，内容过滤，上网行为管理和应用流量整形等功能，可以防范病毒，间谍软件，蠕虫，木马等网络的攻击。

关键字过滤和基于超过 2000 万域名的 Web 页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页，提高工作效率和控制对不良网站的访问病毒库，攻击库，URL 库可以通过网络服务实时下载，确保对新爆发的病毒、攻击、新的 URL 做到及时响应 安全可视化 - 基于角色和应用的管理 没有能见度就谈不上安全StoneOS®的应用和身份识别，能够满足越来越多的深度安全需求 基于身份和角色的管理(RBNS)让网络配置更加直观和精细化不同的用户甚至同一用户在不同的地点或时间都可以有不同的管理策略用户访问的内容也可以记录在本机存储模块或专用服务器中，通过用户的名称审阅相关记录使查找更简单 基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务)的分配、基于”人“的日志审计三大方面基于角色的管理模式可以通过对访问者身份审核和确认，确定访问者的访问权限，分配相应的网络资源在技术上可避免 IP 盗用或者 PC 终端被盗用引发的数据泄露等问题 全并行处理的安全架构(多核 Plus® G2) Hillstone 山石网科自主开发的 64 位实时安全操作系统 StoneOS®，具备强大的并行处理能力。

StoneOS®采用专利的多处理器全并行架构，和常见的多核处理器或 NP/ASIC 只负责三层包转发的架构不同；StoneOS®实现了从网络层到应用层的多核全并行处理 因此 SG-6000 较业界其他的多核或 NP/ASIC 系统在同档的硬件配置下有多达 5 倍的性能提升，为同时开启多项防护功能奠定了性能基础，突破了传统安全网关的功能实用性和性能的无法两全的局限 可扩展的模块化设计(多核 Plus® G2) SG-6000-G2110 支持两种类型的扩展模块：接口扩展模块，存储扩展模块模块化设计充分保护用户投资通过增加接口扩展模块提高设备的连接性，使设备不会因为网络带宽或应用系统的升级而过时；存储扩展模块可以实时记录 NAT 日志，Web 访问记录，Web 内容审计等日志，满足公安部 82 号令的要求在校园网和小区宽带等大流量的场合，也可以使用外置高性能日志服务器 关键指标 指 标 SG-6000-M3100 SG-6000-G2110 防火墙吞吐量 1Gbps 2Gbps IPSec 吞吐量(1) 500Mbps 1Gbps 最大并发连接(标配/最大) 40/100 万 100/200 万 防病毒吞吐量(2) 100Mbps 250Mbps IPS 吞吐量(3) 200Mbps 500Mbps 每秒新建连接(4) 10,000 30,000 IPSec 隧道数 1,000 2,000 最大 SSL VPN 用户数 500 1,000 管理接口 1 个配置口，1 个 USB 2.0 口 1 个配置口，1 个 USB 2.0 口 网络接口 8 个千兆电口 16 个千兆电口 扩展模块槽 无 1 个通用扩展槽，1 个存储模块槽 扩展模块选项(5) 8 端口千兆电口模块， 8 端口千兆 SFP 模块，4 端口千兆 Bypass 模块，存储扩展模块 电源规格 单 45W 单 75W 电源输入范围 交流 100-240V 50/60Hz 交流 100-240V 50/60Hz 外形尺寸(W×D×H,mm) 1U (442 x 241 x 44) 1U (436 x 366 x 44) 重量 5kg 8kg 工作环境温度 0-40℃ 0-40℃ 工作环境湿度 10-95%(不结露) 10-95%(不结露) 功能规格 应用识别 ● 全新一代基于应用行为和特征的应用识别 ● 超过几百种以上的应用特征库 ● 应用特征库可以通过网络实时更新 防火墙 ● 全新一代基于应用的防火墙 ● 基于应用/角色的安全策略 ● 可防范 DNS Query Flood, Syn Flood, DoS/DDoS 等攻击 ● 各种畸形报文攻击防护 ● ARP 欺骗防护 流量管理 ● 基于角色，应用，IP 地址，时间等的流量管理策略 ● 支持基于服务等级(CoS)的流控，兼容 DiffServ 标记 ● 弹性流控，可以动态分配带宽 病毒过滤 ● 基于流、低延时、高并发、高性能的病毒过滤 ● 支持大病毒文件的扫描 ● 实时病毒连接阻断，病毒事件记录 ● 支持常见病毒传输协议 HTTP、FTP 及各种邮件协议扫描 ● 超过 40 万的病毒特征库，病毒库可以做到实时更新 VPN ● 支持各种标准 IPSec VPN 协议及部署方式 ● 创新的 PnPVPN® (即插即用 VPN) ● 支持 SSL VPN (可选 USB-key) ● 支持 L2TP VPN 上网行为管理(6) ● 超过 2 千万条域名的的分类 Web 页面库，轻松控制不良网站访问 ● 基于应用(P2P, 即时通讯，游戏，办公软件等)的细粒度网络访问控制 ● 内容审计，包括对论坛发帖、外发邮件、IM 聊天等内容的审计 ● 敏感文件类型过滤, Java Applet/ActiveX 阻断 入侵防御 ● 基于状态、精准的高性能攻击检测和防御 ● 实时攻击源阻断、IP 屏蔽、攻击事件记录 ●支持针对 HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、 DNS、RPC、FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、 VOIP、 NETBIOS、TFTP 等多种协议和应用的攻击检测和防御 ● 支持超过 3,000 种的攻击检测和防御 集中监管和细粒度分析审计(HSM) ● 设备集中管理 ● 性能、流量监控与分析 ● 上网行为审计 除非另有说明，否则所列出的性能，容量和特性是基于运行 StoneOS®4.0 的系统，实际结果可能会因 StoneOS®版本和部署情况而异。

注： (1) IPSec 吞吐量是用 Presharekey+AES256+SHA-1，用 1400 字节数据流测试得到； (2) 防病毒是根据带附件的 HTTP 流量测试； (3) IPS 吞吐量是使用 HTTP 流量，启用所有 IPS 规则，并打开双向检测方式下得到的； (4) 每秒新建连接是使用 TCP no close 方法测试； (5) SG-6000-M3100 不支持扩展模块； (6) SG-6000-M3100 仅支持 URL 过滤，不支持上网行为管理。