企业超级网管 山石网科SA-2001A首测

细粒度的应用层安全策略控制:

　　通过创建行为Profile列表，SA-2001A可以对IM、FTP以及HTTP应用程序的多种行为进行控制，包括：IM应用程序的登录行为；FTP应用程序的登录行为、Get文件行为和Put文件行为；HTTP程序的多种请求方法，具体包括Connect、Delete、Get、Head、Options、Post、Put和Trace。

　　通过创建HTTP Profile列表，SA-2001A可以控制ActiveX和Java Applet对象的使用；禁止下载bat、.com、.exe、.msi、.pif和scr类型的二进制文件和进行URL过滤。

　　安全策略与Profile相结合，能够使安全网关完成细粒度的应用层安全策略控制。Profile针对不同的应用定义不同的操作，将复杂控制信息简单化，从而简化安全网关配置。

内容过滤和URL过滤功能:

　　通过使用SA-2001A的内容过滤功能，可以控制用户所获取的信息内容，对匹配内容过滤规则的信息内容进行阻断或监控。内容过滤功能包含以下组成部分：关键字，支持UTF-8和GB18030两种编码方式的关键字，并且StoneOS支持PCRE（Perl Compatible Regular Expressions）正则表达式语法；类别，类别可包含多个关键字，通过类别名称来区分关键字。另外，使用SA-2001A的URL过滤功能，可以控制用户的PC对某些网址的访问，URL过滤功能包含黑名单、白名单、关键字列表、不受限IP、只允许访问白名单里的URL。

报表:

SA-2001A的报表功能树

PnPVPN:

　　Hillstone SA-2001A提供了完善的VPN功能，不论是用户远程访问公司资源还是分支机构连入总部网络，SA-2001A均能提供完善的支持。由于IPSec VPN配置复杂，维护成本高，针对该问题，Hillstone山石网科为企业用户提供了一种简单易用的VPN技术——PnPVPN，即即插即用VPN。PnPVPN由两部分组成，分别是PnPVPN Server和PnPVPN Client。

　　PnPVPN Server：通常放置于企业总部，由总部IT工程师负责维护，客户端的配置都由服务器端下发。PnPVPN Server通常由Hillstone SA系列安全网关充当，一台SA系列安全网关可充当多个PnPVPN Server。

　　PnPVPN Client：通常放置于企业分支机构（如办事处），可由总部工程师远程维护，只需要做简单配置（如客户端ID、密码和服务器端IP地址），和Server端协商成功后即可从Server端获取配置信息（如DNS、WINS、DHCP地址池等）。

PConline评测室总结：

山石网科 SA-2001A  图　库  评　测  论　坛  报　价

　　作为一款面向中型企业的安全网关产品，SA-2001的功能可以说非常完善，在可管理性、易用性、网络基础安全、上网行为管理方面均有提供支持，并有着良好的表现。

　　在可管理性方面，SA-2001A提供了完善的CLI管理界面和全功能的Web管理界面，专业和非专业网络维护人员都可以各取所需，这让SA-2001A更能适应多种使用环境。SA-2001A支持Hillstone Security Management（HSM），HSM是Hillstone山石网科自主研发的集中网络安全管理系统，能够对网络中的多台Hillstone安全设备进行集中控制和管理。用户可以通过客户端程序，查看被管理安全设备的日志信息、统计信息、设备属性等，实时监控被管理设备的运行状态和流量信息。

　　在网络基础安全方面，SA-2001A提供了精细的防火墙功能、内网攻击防御功能和各种VPN功能，尤其在内网攻击防御方面表现出色，我们测试混合SYN flood攻击并没有导致网络中断，这点表现令人满意。

　　在上网行为管理和网络服务管理方面，SA-2001A预设了面向用户的APP网络应用服务92条，面向网络本身的SRV服务69条，对主流网络应用提供了比较全面的支持，同时简化了维护人员管理网络复杂程度，易用性也得到了改善。

　　在本次评测中，SA-2001A在应用流量优化和管控方面的表现可以说非常错，对于相对正规一些的软件（应用），如MSN、P2P下载、http、ftp，SA-2001A能进行有效的管控。虽然，目前版本（1090511）的特征库对个别网络应用的识别存在一此问题，不过，随着特征库的持续更新，相信现阶段的问题会得到解决。其实，使用流量特征匹配的方式进行网络流量管理就如同是使用杀毒软件进行查杀病毒和木马，特征库的不断更新与完善是其核心所在。