針對營口港的特點，Hillstone山石網(wǎng)科給用戶推薦了一套基于Hillstone SA-5050多核安全網(wǎng)關(guān)的解決方案。該方案從處理能力、擴(kuò)展能力、安全性、應(yīng)用的便利性等多個方面為用戶考慮，很好的滿足了本項目中用戶對高性能、高安全性、高性價比和多功能的需求。整個項目解決方案的拓?fù)淙缦聢D所示。

Hillstone SA-5050多核安全網(wǎng)關(guān)提供了一系列解決方案，在本項目中，SA-5050針對營口港網(wǎng)絡(luò)安全防護(hù)上的主要特點如下：

SA-5050多核安全網(wǎng)關(guān)的抗攻擊能力

在營口港網(wǎng)絡(luò)中部署SA-5050之前，ARP病毒頻繁、帶寬濫用、潛在的信息泄露、資源間的隨意訪問及未知病毒的爆發(fā)嚴(yán)重影響著內(nèi)網(wǎng)用戶正常的網(wǎng)絡(luò)應(yīng)用。特別是項目開展之前，營口港網(wǎng)絡(luò)中有多臺重要的電子業(yè)務(wù)服務(wù)器被不明攻擊者入侵過并留下了相應(yīng)的痕跡。而安全防護(hù)和抗攻擊并非網(wǎng)絡(luò)服務(wù)器的專利防護(hù)，它也是普通PC在享受互聯(lián)網(wǎng)便利性時所必須考慮的。因此，安全防護(hù)和抗攻擊是營口港本次項目的需求之一。

在本項目中，營口港在防止外部攻擊內(nèi)部服務(wù)器的同時，也要防止網(wǎng)絡(luò)內(nèi)部的PC向外發(fā)起攻擊，或是染毒后影響網(wǎng)關(guān)及對指定主機(jī)的攻擊。對于營口港來說，管理一個近兩千臺PC的網(wǎng)絡(luò)并非易事，因為網(wǎng)管人員不可能控制每臺PC的行為，更不可能保障客戶端PC不中病毒，唯一的解決辦法就是在局域網(wǎng)出口處部署可以同時防御內(nèi)外網(wǎng)攻擊的安全網(wǎng)關(guān)設(shè)備。對此，部署的Hillstone SA-5050多核安全網(wǎng)關(guān)很好的解決了這方面問題。SA-5050多核安全網(wǎng)關(guān)具有強(qiáng)大的抗攻擊能力，具有每秒20萬TCP或50萬UDP的新建會話能力；在正常的使用下，能檢測并防御800K包/s以上的SYN-FLOOD攻擊；在極限背景流量情況下仍可以對攻擊流進(jìn)行識別和阻斷，從而能有效的保障內(nèi)外網(wǎng)安全。

SA-5050多核安全網(wǎng)關(guān)的會話控制能力

由于營口港公網(wǎng)地址有限，而且有大量的服務(wù)器需要對外做NAT映射，因此可給客戶端PC用的NAT端口也是有限的。而客戶端PC過多的占用會話及端口會影響到整個網(wǎng)絡(luò)的訪問效率，而且也會比較大的消耗出口網(wǎng)關(guān)有限的系統(tǒng)資源，因此即便在營口港這樣的大型企業(yè)網(wǎng)絡(luò)中，進(jìn)行會話數(shù)限制也是很有必要的，這種解決方案能有效解決客戶端上網(wǎng)打開網(wǎng)頁過慢、FTP超時等待等問題。

Hillstone SA-5050多核安全網(wǎng)關(guān)具有強(qiáng)大的會話控制能力。通過啟用會話控制功能，SA-5050能有效解決內(nèi)網(wǎng)客戶端PC過多的占用會話及端口，精確控制每臺PC最大所能使用的會話數(shù)。同時，SA-5050也能夠精確控制每個互聯(lián)網(wǎng)上的IP地址對服務(wù)器發(fā)起的訪問會話數(shù)以及訪問會話速率，能在DoS/DDoS攻擊發(fā)生前就將攻擊控制在有限的范圍內(nèi)，這在最大程度上保護(hù)用戶內(nèi)網(wǎng)的服務(wù)器，一定程度上起到了對服務(wù)器的安全防護(hù)和抗攻擊能力，而這都是通過SA-5050多核安全網(wǎng)關(guān)去實現(xiàn)的，內(nèi)網(wǎng)的服務(wù)器就如同古城堡里受到城堡保護(hù)的平民一樣免受外來的不良攻擊。

SA-5050多核安全網(wǎng)關(guān)的帶寬管理功能

對于Internet上的網(wǎng)絡(luò)來說，只要能連到Internet，出口帶寬就永遠(yuǎn)滿足不了大型網(wǎng)絡(luò)客戶端的需求。營口港也同樣存在這樣的矛盾：個別用戶大肆利用BT、迅雷、電驢等工具從Internet上瘋狂下載各種電影、軟件、音樂等，致使網(wǎng)絡(luò)帶寬被占滿，影響其他用戶上網(wǎng)；有的用戶還會使用網(wǎng)絡(luò)視頻、在線視頻、在線音樂也會占用過多的帶寬資源；各種下載的泛濫和原有的應(yīng)用帶寬由于沒有進(jìn)行合理的分配，造成網(wǎng)絡(luò)極度擁堵，導(dǎo)致企業(yè)的正常應(yīng)用和關(guān)鍵業(yè)務(wù)經(jīng)常無法使用或者經(jīng)常掉線。因此，用戶急需采取相應(yīng)手段來對帶寬進(jìn)行精細(xì)、全面的管理從而提高網(wǎng)絡(luò)帶寬的有效利用率。Hillstone SA-5050很好的解決了用戶此方面的困惑，本項目中主要通過以下幾點對帶寬進(jìn)行精細(xì)化管理：

1、基于每個IP地址的最大帶寬限制。在營口港的網(wǎng)絡(luò)中，每個客戶端IP上網(wǎng)的上下行帶寬都限制到最大500Kbps，這樣就可以防止某些個體大量獨占帶寬的情況發(fā)生。

2、基于每個IP地址的會話限制。在營口港的網(wǎng)絡(luò)中，進(jìn)行會話數(shù)限制后很好的解決了上網(wǎng)打開網(wǎng)頁慢等問題。

3、基于服務(wù)的帶寬管理：通過Hillstone多核安全網(wǎng)關(guān)，用戶的網(wǎng)絡(luò)管理人員能直觀了解到各種協(xié)議占用網(wǎng)絡(luò)的帶寬，從而制定策略來保障關(guān)鍵流量帶寬、抑制P2P等協(xié)議對網(wǎng)絡(luò)帶寬的占用。在對P2P服務(wù)的總帶寬進(jìn)行限制及將HTTP協(xié)議的帶寬進(jìn)行保障后總流量大幅下降，高峰時網(wǎng)頁打開速度得到提升。

4、關(guān)鍵業(yè)務(wù)的帶寬保障：針對用戶的OA、ERP、電子郵件等關(guān)鍵業(yè)務(wù)進(jìn)行了帶寬保障，從而做到了如同北京2008年奧運(yùn)會奧運(yùn)專用道一樣保證了關(guān)鍵應(yīng)用的流暢運(yùn)行。

SA-5050多核安全網(wǎng)關(guān)的NAT功能

由于用戶公網(wǎng)地址數(shù)量有限，而且內(nèi)部有眾多的服務(wù)器需要對公網(wǎng)提供服務(wù)，因此用戶在SA-5050上同時啟用了源NAT和目的NAT。SA-5050提供了高性能的NAT功能能夠滿足用戶的大量快速的地址翻譯需要；而且SA-5050本身集成了服務(wù)器的負(fù)載均衡功能也很好的滿足了用戶對服務(wù)器訪問流量分擔(dān)的需要，避免了單臺服務(wù)器出現(xiàn)負(fù)載過重的問題。

SA-5050多核安全網(wǎng)關(guān)的多出口負(fù)載均衡功能

營口港網(wǎng)絡(luò)目前有2條Internet專線來實現(xiàn)連接Internet，后續(xù)還需要增加多條Internet專線來滿足后續(xù)網(wǎng)絡(luò)規(guī)模擴(kuò)展的需要。而之前用戶的網(wǎng)絡(luò)中在每條Internet專線上都部署了一臺路由器，這樣也增加了用戶的管理和維護(hù)的工作量。而本項目中， Hillstone SA-5050多核安全網(wǎng)關(guān)為用戶的多出口問題提供了完美的解決方案。

1、實現(xiàn)了基于源/目的的智能選路。Hillstone SA多核安全網(wǎng)關(guān)，按照查找優(yōu)先級排列分別是：策略路由、源接口路由、源路由、目的路由。即不僅可以實現(xiàn)基于srcIP的源路由、基于In-interface（源接口）＋srcIP的源接口路由、還可以按照srcIP＋srcPort＋dstIP＋dstPort＋Protocol五元組來完成智能選路的高級PBR功能，這點能很好滿足用戶在本項目中全方位的要求。

2、Hillstone SA多核安全網(wǎng)關(guān)同時采用ECMP智能負(fù)載均衡技術(shù)，最大可以實現(xiàn)在40條路徑之間作負(fù)載均衡。此外選擇負(fù)載均衡的方式，有三種方式可供選擇：基于源地址、基于源和目的地址、基于srcIP＋srcPort＋dstIP＋dstPort＋Protocol五元組，來迅速判斷出流量的最佳路徑，使整個網(wǎng)絡(luò)出口的流量能夠在這些不同的網(wǎng)絡(luò)鏈路中智能的進(jìn)行負(fù)載均衡，達(dá)到最大的網(wǎng)絡(luò)效率。在本項目中，Hillstone SA-5050針對兩條鏈路使用ECMP技術(shù)能很好的權(quán)重分擔(dān)兩條鏈路之間的負(fù)載。

3、Hillstone SA-5050多核安全網(wǎng)關(guān)完全替換了傳統(tǒng)的路由器加防火墻的接入方式，簡化了該用戶的網(wǎng)絡(luò)拓?fù)洌瑴p少了用戶的管理維護(hù)工作量，同時降低了出口網(wǎng)關(guān)的投資。

SA-5050安全網(wǎng)關(guān)的SSL VPN功能
Hillstone SA-5050多核安全網(wǎng)關(guān)集成的SSL VPN為移動用戶（出差員工、家庭辦公人員等）和遠(yuǎn)程接入提供了完美的技術(shù)解決方案。通過使用Hillstone 提供的SSL VPN技術(shù)，無論采用何種Internet接入方式，都能在用戶快捷接入、數(shù)據(jù)傳輸以及內(nèi)部資源訪問等各方面安全性的前提下，確保VPN用戶能方便、靈活、高效地通過該技術(shù)接入到用戶總部的內(nèi)網(wǎng)并訪問相應(yīng)的網(wǎng)絡(luò)資源。SSL VPN系統(tǒng)的部署使得公司IT應(yīng)用擴(kuò)展到營口港企業(yè)網(wǎng)以外，充分提高了營口港的員工效率，強(qiáng)化了IT服務(wù)水平，提升了公司競爭力。

使用效果和用戶評價

用戶使用Hillstone SA-5050多核安全網(wǎng)關(guān)后，全面解決了用戶面臨的各方面安全問題問題，主要帶來了以下效果：

1、關(guān)鍵業(yè)務(wù)流量得到保證：為關(guān)鍵數(shù)據(jù)業(yè)務(wù)流量設(shè)置了帶寬保障，限制了網(wǎng)絡(luò)中存在著大量的P2P軟件（如BT、迅雷等）、P2P在線視頻、大型網(wǎng)絡(luò)游戲等應(yīng)用流量，保障了正常業(yè)務(wù)的順利進(jìn)行，提高了網(wǎng)絡(luò)資源的利用率。

2、保證系統(tǒng)免受攻擊，正常運(yùn)轉(zhuǎn)：控制了網(wǎng)絡(luò)中充斥著大量ARP攻擊，保護(hù)企業(yè)網(wǎng)絡(luò)免受來自Internet上的控制，保障了網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)，保障了正常的網(wǎng)絡(luò)應(yīng)用系統(tǒng)。

3、很好的做到了多出口負(fù)載均衡，簡化了用戶網(wǎng)絡(luò)拓?fù)浼軜?gòu)，減少了用戶的管理維護(hù)工作量。

4、會話控制的使用有效的控制了某些PC使用會話數(shù)過多的現(xiàn)象，更進(jìn)一步的優(yōu)化了網(wǎng)絡(luò)。

Hillstone SA-5050部署在用戶6個多月的使用過程后，用戶評價：Hillstone SA-5050的確是一個性能高、功能強(qiáng)的一體化的多核安全網(wǎng)關(guān)，我們在本次項目中的使用對它有了一個全新的認(rèn)識，我們對它這款一體化的設(shè)備很滿意。使用它很好的解決了我們的多出口多設(shè)備連接問題；而且有很強(qiáng)大的抗攻擊性能；還能提供SSL VPN功能以及強(qiáng)大的防火墻安全功能。以一臺設(shè)備的價格買回多個設(shè)備的功能，感覺很值。通過使用這臺SA-5050多核安全網(wǎng)關(guān)，強(qiáng)化了上網(wǎng)安全管理、節(jié)省了帶寬的投資，把營口港網(wǎng)絡(luò)的安全水平提高了一大截。

yajing