山石网科数据中心安全防护平台X8180是应用在数据中心边界应对大流量、高可靠场景的数据中心级安全防护产品。X8180基于创新的全分布式架构,在全面实现防火墙超高的吞吐量、并发连接数量和新建连接速率的同时还具有应用识别、流量管理、入侵防御和攻击防护等安全功能,全面保障数据中心网络安全。

创新架构可信赖,可靠看得见,
面向未来的平台化设计。
性能强健
全分布式硬件架构,
产品性能随着业务模块的增加而线性扩展。
双冗余设计的主控模块
提供高速率、高密度网络接口,更利于设计冗余网络
前后通风符合新一代数据中心散热设计要求
冗余电源,降额设计保证至少50%余量的电源高可靠
面向未来的平台化设计

硬件平台设计具备强大的扩展能力,3个插槽可扩展业务与接口模块,整机性能随模块增加而线性提升。

产品详情

山石网科 X 系列数据中心安全防护平台,适用于数据中心级网络安全防护,满足高性能、高扩展性、高可靠性以及虚拟化等要求而设计,可广泛部署于运营商、大型企业和政府机构的高速互联网出口及数据中心等场景,帮助用户应对最新安全挑战。X 系列产品基于创新的全分布式架构全面实现防火墙超高的吞吐量、并发连接数和新建连接速率,同时还支持大容量虚拟防火墙,为虚拟化环境提供灵活的安全服务,并具有应用识别、流量管理、入侵防御、威胁情报共享、僵尸网络防御等功能,全面保障数据中心网络安全。

基于全分布式架构的高性能优势

爆炸式流量增长趋势,数据中心防火墙需要具备处理大流量、海量访问的强大能力,并可有效应对海量用户突发访问的情形,所以数据中心防火墙不仅要具有超高的吞吐量,而且要具备超高的并发连接和每秒新建连接处理能力。

山石网科 X 系列数据中心防火墙采用创新的全分布式架构,通过智能流量分配算法实现业务流量在业务模块(SSM)、接口模块(IOM)以及业务与接口模块(SIOM)上的分布式高速处理;并通过资源管理算法专利技术充分发挥分布式多核处理器平台的潜力,进一步提升防火墙并发连接、每秒新建连接的性能,实现系统性能的全面线性扩展。X8180 处理能力最高可达 450Gbps,每秒新建连接最高可达 250 万,并发会话连接数最大可达 1.3 亿,设备可提供多达 6 个 100GE、48 个 10GE 接口的扩展能力。同时,数据包转发时延低于 10us,能够充分满足数据中心对实时业务转发的需求。

 

电信级可靠性保障

X 系列数据中心防火墙的硬件和软件均采用高可靠设计,实现 99.999% 的电信级可靠性。可支持主 / 主或主 / 备模式的冗余部署方案,保证单台故障时业务不中断;整个系统采用模块化设计,支持主控模块、业务模块、接口模块、业务与接口模块、交换模块、电源模块、风扇模块等关键部件的全冗余可靠性保证,同时所有模块均可实现热插拔。

防火墙孪生模式(Twin-mode HA)有效地解决了双活数据中心非对称流量的问题。防火墙孪生模式是建立在设备双机备份之上的一种高可靠组网方式。通过专用的数据链接和控制链接将两个数据中心的两组工作于主 / 备状态的防火墙连接在一起。这两组设备相互之间同步会话信息和配置信息。

领先的虚拟防火墙技术

虚拟化技术在数据中心被越来越广泛的应用,X 系列数据中心防火墙针对数据中心的虚拟化需求,可将一台物理防火墙在逻辑上划分成多达 1000 个虚拟防火墙,为数据中心提供大容量的虚拟防火墙支持能力。同时,用户可根据实际业务情况,动态设置每个虚拟防火墙的资源配额,例如 CPU、会话、策略数、端口等,保障了虚拟化环境中业务流量的弹性变化。 X 系列数据中心防火墙的每个虚拟防火墙系统不但拥有独立的系统资源,还可独立精细化管理,为不同的业务或用户提供可视化的独立安全管理界面。

精细化应用管控与全面安全防护

X 系列数据中心防火墙采用先进的深度应用识别技术,可根据协议特征、行为特征及关联分析等,准确识别数千种网络应用,其中包括百余种移动应用以及加密的 P2P 应用,并可为用户提供精细而灵活的应用安全管控功能。

X 系列数据中心防火墙提供了基于深度应用、协议检测和攻击原理分析的入侵防御技术,可有效过滤木马、蠕虫、间谍软件、漏洞攻击、逃逸攻击等安全威胁,为用户提供 L2-L7 层网络安全防护。其中,专业的 Web 攻击防护功能,能够满足用户 Web 服务器深层次防御 Botnet 的需求,保障内网主机免受感染威胁。

X 系列数据中心防火墙的智能带宽管理基于深度应用识别和用户识别,结合业务应用优先级,可根据策略对流量进行两层八级的细粒度划分控制,并提供弹性 QoS 功能;与会话限制、策略路由、链路负载均衡、服务器负载均衡等功能配合使用,可以为用户提供更为灵活的流量管理解决方案。

支持千万级 URL 特征库的 URL 过滤功能。可帮助管理员轻松实现网页浏览访问控制,避免恶意 URL 带来的威胁渗入。

支持高性能的病毒过滤。领先的基于流扫描技术的检测引擎可实现低延时的高性能过滤。支持对 HTTP/HTTPS、FTP、SMB 及各种邮件传输协议流量和压缩文件(zip,gzip,rar等)中病毒的查杀。

支持 SSL 加密流量全面的威胁防护。可针对 SSL 加密流量和加密邮件综合运用包括入侵防御、病毒防护、URL 过滤在内的多种管控手段,实现加密流量应用层威胁的全面防护。

威胁情报共享

X 系列数据中心防火墙能够与云端山石云瞻威胁情报中心联动,实现云端威胁情报能力与本地安全设备协同联动,提升本地安全产品威胁检测防御能力。依靠多种威胁情报来源以确保尽可能广泛地了解威胁事件的上下文信息,加强威胁日志的溯源分析能力,以便安全团队能够快速的作出安全响应,并通过定期推送热点威胁情报,帮助用户了解当前热点威胁,主动防御网络威胁。

山石云瞻威胁情报中心结合全球情报和热点威胁推出威胁情报云服务,实现为本地安全产品赋能,提供从攻击前、攻击中、攻击后全生命周期的安全防护解决方案:攻击前,主动推送业界热点情报信息,并提供防护措施或建议,帮助用户提前主动防御威胁;攻击中,通过将可机读的 IOC 指标赋能本地安全设备,增强本地安全设备威胁检测防御能力;攻击后,针对已产生的威胁事件、威胁日志提供威胁情报溯源分析,丰富威胁上下文信息,加强威胁日志的溯源分析能力,以便安全团队能够快速的作出安全响应。

全面的僵尸网络C&C攻击防护(Botnet)

X 系列数据中心防火墙支持 DGA 检测、DNS Tunneling 检测、DNS Sinkhole 检测、DNS 例外白名单等全面的僵尸网络防御功能。

DGA 检测:检测 DNS 响应报文中的域名,是否为  DGA域名。新建任意流量的目的IP,如是已检测出的DGA域名解析的 IP,会生成threat log。

DNS Tunneling 检测:支持可疑域名检测、流量统计检测。

DNS Sinkhole 检测:自定义全局 Bontnet 地址;配置全局 sinkhole Server IP 地址,可对问题 DNS 应答中的IP进行替换;支持内网肉鸡定位。

DNS 例外白名单:预定义白名单,收录到 C2 特征库中;自定义例外白名单;DNS 请求和响应报文中的域名,如出现在 DNS 例外白名单中,流量将不再做 Botnet 功能中所有检测(当前包括 Botnet, DGA 和 DNS tunnel 三个检测)。

强大的网络适应性

X 系列数据中心防火墙完全支持下一代互联网部署技术(包括双栈、隧道、DNS64/NAT64 等多种过渡技术),同时具备成熟的 NAT444 功能支持固定端口外网地址向内网地址的静态映射,能够基于 Session 生成日志,并可基于用户生成日志,方便溯源。同时增强的 NAT 功能(Full-cone NAT 和端口复用等)能够充分适应目前运营商网络的特点,降低用户网络建设成本。

X 系列数据中心防火墙提供完全兼容标准的 IPSec VPN 功能,集成第三代 SSL VPN,为用户提供高性能、高容量的全面 VPN 解决方案。同时,其独特的即插即用 VPN,大大简化了配置和维护难度,为用户提供方便快捷的远程安全接入服务。