1

Ficha TécnicaNext Generation Firewall

Serie E 1000 HIllstone

2

• Enrutamiento dinámico (OSPF, BGP, RIPv2)• Enrutamiento estático y de políticas• Ruta controlada por aplicación• DHCP incorporado, NTP, servidor DNS y proxy DNS• Tap mode-connect to SPAN port• Modos de interfaz: sniffer, puerto agregado, loopback, VLANS (802.1Q y trunking)• Conmutación y enrutamiento L2 / L3• Implementación en línea transparente de Virtual Wire (Layer 1)

Servicios de red

• Modos de funcionamiento: NAT / ruta, transparente (puente) y modo mixto• Objetos de política: agrupación predefinida, personaliza-da y objeto• Política de seguridad basada en la aplicación, el rol y la ubicación geográfica• Nivel de aplicación Puertas de enlace y soporte de se-sión: MSRCP, PPTP, RAS, RSH, SIP, FTP, TFTP, HTTP, dcerpc, dns-tcp, dns-udp, H.245 0, H.245 1, H.323Soporte NAT y ALG: NAT46, NAT64, NAT444, SNAT, DNAT, PAT, NAT de cono completo, STUNConfiguración NAT: por política y tabla NAT centralVoIP: SIP / H.323 / SCCP cruce NAT, RTP pin agujerear• Vista de administración de política global• Inspección de redundancia de la política de seguridad

Firewall

• 4 millones de firmas de Antivirus, manuales, actualiza-ciones de firmas automáticas push o pull• Antivirus basado en flujo: los protocolos incluyen HTTP, SMTP, POP3, IMAP, FTP / SFTP• Escaneo de virus comprimido

Antivirus

Características clave

3

Características clave

• Hasta 8,000+ firmas, detección de anomalías de protocolo, detección basada en tasas, firmas personalizadas, actualizacio-nes de firmas automáticas manuales o automáticas, enciclope-dia integrada de amenazas• Acciones de IPS: predeterminado, monitor, bloqueo, reinicio (IP de los atacantes o IP de la víctima, interfaz entrante) con tiempo de caducidad• Opción de registro de paquetes• Selección basada en filtro: severidad, destino, sistema operati-vo, aplicación o protocolo• Exención de IP de firmas IPS específicas• Modo sniffer IDS• Protección DoS basada en IPv4 e IPv6 con configuración de umbral contra inundación TCP Syn, exploración de puerto TCP / UDP / SCTP, barrido ICMP, inundación de sesión TCP / UDP / SCIP / ICMP (fuente / destino)• Bypass activo con interfaces de derivación• Configuración de prevención predefinida

Prevención de intrusiones

• Defensa de ataque de protocolo anormal• Anti-DoS / DDoS, incluido SYN Flood, DNS Query Flood defense• Defensa de ataque ARP

Defensa de ataque

• Inspección de filtrado de web basada en flujo• Filtrado web definido manualmente basado en URL, conte-nido web y encabezado MIME• Filtrado web dinámico con base de datos de categorización en tiempo real basada en la nube: más de 140 millones de URL con 64 categorías (8 de las cuales están relacionadas con la seguridad)• Anulación del perfil de filtro web: permite al administrador asignar temporalmente diferentes perfiles a usuario / grupo / IP• Funciones adicionales de filtrado web:• Filtra Java Applet, ActiveX y / o cookie• Bloquear publicación HTTP• Palabras clave de búsqueda de registro• Eximir escanear conexiones encriptadas en ciertas catego-rías para privacidad• Anulación del filtro de categorías locales y anulación de categoría

Filtrado de URL

4

• Cargue archivos maliciosos en el entorno limitado de la nube para su análisis• Protocolos de soporte que incluyen HTTP / HTTPS, POP3, IMAP, SMTP y FTP• Soporta tipos de archivos como PE, ZIP, RAR, Office, PDF, APK, JAR y SWF• Dirección de transferencia de archivos y control de tamaño de archivo• Proporcione un informe completo de análisis de comporta-miento para archivos maliciosos• Intercambio de inteligencia de amenaza global, bloqueo de amenazas en tiempo real

Cloud Sandbox

• Bloqueo de IP del servidor Botnet con base de datos global de reputación de IP

Reputación IP

• Identificación de la aplicación para el tráfico cifrado SSL• Habilitación IPS para tráfico encriptado SSL• Habilitación AV para tráfico encriptado SSL• Filtro de URL para tráfico encriptado SSL• Lista blanca de tráfico cifrado SSL• Modo de descarga de proxy SSL

Descifrado SSL

• Soporte para identificar IP de punto final, cantidad de pun-to final, tiempo en línea, tiempo fuera de línea y duración en línea• Soporta 10 sistemas de operación• Consulta de soporte basada en IP y cantidad de punto final

Identificación del punto final

Características clave

• Control de transferencia de archivos basado en el tipo de archivo• Identificación del protocolo de archivos, incluidos HTTP, FTP, SMTP y POP3• Identificación de firma y sufijo de archivo para más de 100 tipos de archivos• Filtrado de contenido para los protocolos HTTP-GET, HT-TP-POST, FTP y SMTP• Identificación de IM y auditoría del comportamiento de la red

Seguridad de datos

5

• Hashing ponderado, menos conexión ponderada y round-robin ponderado• Protección de sesión, persistencia de sesión y monitoreo de estado de sesión• Verificación del estado del servidor, monitoreo de la sesión y protección de la sesión

Equilibrio de carga del servicio

• Túneles de ancho de banda máximo / garantizado o IP / usuario• Asignación de túneles en función del dominio de seguri-dad, la interfaz, la dirección, el usuario / grupo de usuarios, el grupo de servidores / servidores, el grupo de aplicaciones / aplicaciones, los TOS, la VLAN• Ancho de banda asignado por tiempo, prioridad o uso com-partido de ancho de banda igual• Soporte de tipo de servicio (TOS) y servicios diferenciados (DiffServ)• Asignación priorizada del ancho de banda restante• Máximo de conexiones simultáneas por IP• Asignación de ancho de banda según la categoría de URL

Calidad de servicio (QoS)

• Más de 3.000 aplicaciones que se pueden filtrar por nom-bre, categoría, subcategoría, tecnología y riesgo• Cada aplicación contiene una descripción, factores de riesgo, dependencias, puertos típicos utilizados y URL para referencia adicional• Acciones: bloquear, restablecer sesión, monitorear, dar forma al tráfico• Identificar y controlar aplicaciones en la nube• Proporcionar monitoreo y estadísticas multidimensionales para aplicaciones que se ejecutan en la nube, incluida la cate-goría de riesgo y las características

Control de aplicaciones• Asignación de recursos del sistema a cada VSYS• Virtualización de CPU• El VSYS no root admite firewall, IPSec VPN, SSL VPN, IPS, filtrado de URL• VSYS monitoreo y estadística• No es compatible con E1600, E1100W y E1100W3Gw

VSYS

Características clave

6

• El inicio de sesión único evita inicios de sesión concurren-tes con el mismo nombre de usuario• Limitación de usuarios concurrentes del portal SSL• El módulo de reenvío de puertos SSL VPN encripta los da-tos del cliente y los envía al servidor de aplicaciones• Admite clientes que ejecutan iOS, Android y Windows XP / Vista, incluido el sistema operativo Windows de 64 bits• Comprobación de la integridad del host y comprobación del sistema operativo antes de las conexiones de túnel SSL• Comprobación de host MAC por portal• Opción de limpieza de caché antes de finalizar la sesión SSL VPN• Modo cliente y servidor L2TP, L2TP sobre IPSEC y GRE sobre IPSEC• Ver y administrar conexiones VPN IPSEC y SSL• PnPVPN• VPN IPSec:• Modo de fase 1 de IPSEC: modo de protección de ID prin-cipal y agresivo•

VPN

• Opciones de aceptación de pares: cualquier ID, ID específi-co, ID en el grupo de usuarios de acceso telefónico• Admite IKEv1 e IKEv2 (RFC 4306)• Método de autenticación: certificado y clave precompartida• Soporte de configuración de modo IKE (como servidor o cliente)• DHCP sobre IPSEC• Caducidad de la clave de cifrado IKE configurable, NAT transversal a mantener viva la frecuencia• Cifrado de propuesta de fase 1 / fase 2: DES, 3DES, AES128, AES192, AES256• Autenticación de propuesta de fase 1 / fase 2: MD5, SHA1, SHA256, SHA384, SHA512• Soporte Diffie-Hellman de fase 1 / fase 2: 1,2,5• XAuth como modo de servidor y para usuarios de acceso telefónico• Detección de pares muertos• Detección de reproducción• Autokey keep-alive para la Fase 2 SA• Soporte SSL VPN realm: permite múltiples inicios de sesión VPN SSL personalizados asociados con grupos de usuarios (rutas URL, diseño) • Opciones de configuración VPN IPSEC: basadas en rutas o basadas en políticas• Modos de implementación de VPN IPSEC: puerta de enla-ce a puerta de enlace, malla completa, hub-and-spoke, túnel redundante, terminación de VPN en modo transparente

VPN

Características clave

7

• Base de datos de usuarios locales• Autenticación de usuario remota: TACACS +, LDAP, Radius, Active• Single-sign-on: Windows AD• Autenticación de 2 factores: soporte de terceros, servidor de tokens integrado con mensajes físicos y SMS• Políticas basadas en usuarios y dispositivos• Sincronización de grupos de usuarios basada en AD y LDAP• Soporte para 802.1X, SSO Proxy• Personalización de la página WebAuth• Autenticación basada en interfaz• Agentless ADSSO (AD Polling)• Usar sincronización de autenticación basada en SSO-moni-tor

identidad de usuario y dispositivo

• Acceso de gestión: HTTP / HTTPS, SSH, telnet, consola• Administración central: Hillstone Security Manager (HSM), API de servicios web• Integración del sistema: SNMP, syslog, alianzas de alianza• Implementación rápida: instalación automática de USB, ejecución de scripts locales y remotos• Estado dinámico del panel de control en tiempo real y wid-gets de supervisión de drill-in• Soporte de idiomas: inglés

Administración

• Interfaces redundantes del latido del corazón• Activo / Activo y Activo / Pasivo• Sincronización de sesión independiente• Interfaz de gestión reservada HA• Failover:• Puerto, monitoreo de enlace local y remoto• Conmutación por error con estado• Conmutación por falla sub-segunda• Notificación de falla• Opciones de implementación:• HA con agregación de enlaces• Malla completa HA• HA geográficamente disperso

Alta disponibilidad

Características clave

8

• Multi-SSID y control de tráfico inalámbrico (solo en E1100W y E1100WG3w)• Enlace de cableado y respaldo de enlace WCDMA (solo en E1100WG3w)• WCDMA IPSec VPN (solo en E1100WG3w)

Inalámbrico

• Monitoreo de seguridad basado en la nube• 7/24 acceso desde la web o aplicación móvil• Estado del dispositivo, tráfico y monitoreo de amenazas• Retención e informe de registros basados en la nube

CloudView

• Instalaciones de registro: memoria y almacenamiento local (si está disponible), múltiples servidores syslog y múltiples plataformas de auditoría de seguridad de Hillstone (HSA)• Logging encriptado e integridad de registro con la carga programada del registro por lotes de HSA• Registro confiable usando la opción TCP (RFC 3195)• Registros de tráfico detallados: sesiones reenviadas, viola-das, tráfico local, paquetes no válidos• Registros completos de eventos: auditorías de actividades administrativas y del sistema, enrutamiento y redes, VPN, autenticaciones de usuarios, eventos relacionados con WiFi• Opción de resolución de nombre de puerto IP y servicio• Breve opción de formato de registro de tráfico• Tres informes predefinidos: informes de seguridad, flujo y red• Informes definidos por el usuario• Los informes se pueden exportar en PDF por correo elec-trónico y FTP

Registros e informes

Características clave