hillstone、华为、联想网御、网御神州产品对比分析

应用特征库更新
专业团队维护，1-2周更新一次
安全策略
IP/MAC绑定 IPSECVPN 支持协议 加密方式 认证方式 加密算法
可实现基于IP地址、服务端口、IP协议 、物理端口、DSCP值、IP优先级、 能够基于时间、用户/用户组、应用层 TOS值、TTL值、ICMP类型、分片状 协、地理位置、IP地址/地址段、端口, 态、TCP状态、时间等安全策略的状态 内容安全统一界面进行安全策略配置 包过滤，还可实现基于七层协议的访问 控制 实现IP/MAC地址绑定，且支持 实现IP/MAC地址绑定，且支持 IP/MAC地址对的自动探测和唯一性检 IP/MAC地址对的自动探测和唯一性检 查 查 标准IPSEC协议，可与任何支持标准 IPSEC的厂商互通 支持硬件加解密和软件加解密 支持预共享密钥、证书等认证方式 标准IPSEC协议，可与任何支持标准 IPSEC的厂商互通 支持硬件加解密和软件加解密 支持预共享密钥、证书等认证方式
路由、透明、混合 支持 支持 DHCP Client、DHCP Relay、DHCP Server 不支持 不支持
备注
非OEM安全产品都会采用自己的OS
防火墙吞吐能力（1518字节） VPN吞吐能力（1518字节） 防病毒吞吐能力（1518字节） IPS吞吐能力（1518字节） 设备处理新连接的能力
500万
不详
设备同时处理的会话数
不支持 10,000
不支持 不详
SSLVPN同时登录人数 IPSEC同时建立的隧道数 网络的适应能力
上网行为控制不精准，只能显示IP，不 能显示具体的网址
联想网御
Kingguard 8000 多核 联想网御专用操作系统 4GE 双（热插拔） 普通 2 2个万兆或24个千兆 不支持 20 Gbps 2Gbps（算法不详） 不支持 不支持 20万
网御神州
G60-76AA 多核 网御神州专用操作系统 10GE，10SFP 双 普通 0 10GE，10SFP 不支持 不详 不详 不支持 不支持 不详
支持 支持（三层协议） 不支持 不支持 不支持 支持 支持
支持 支持（三层协议） 不支持 不支持 不支持 支持 支持 访问控制能力，传统设备为三层控 制，新技术针对七层控制 多线路负载均衡功能 将某种应用引到一条线路上的能力
路由、透明、混合 支持 支持 DHCP Client、DHCP Relay、DHCP Server 不支持 不支持
Huawei
USG6370 采用非X86多核架构，处理器最低配置 为10核（需说明处理器品牌及型 号）,4G内存 华为VRP平台 8GE+4SFP 支持交流双电源 热插拔 2 4个万兆+28千兆 支持（可扩展） ≥4Gbps ≥3Gbps ≥2Gbps 3Gbit/s ≥8万
≥400万 最大并发数1000 最大用户数2000 （赠送100） 4000
封装
密钥交换 断线检测 网络适应性 基于动态路由的 VPN SSLVPN 性能 多线路选择 主机绑定
支持DH-1、DH-2、DH-5、DH-14、 支持DH-1、DH-2、DH-5、DH-14、 DH15、DH-16等密钥交换算法 DH15、DH-16等密钥交换算法 支持DPD且支持时间、流量等方式计算 支持DPD且支持时间、流量等方式计算 SA生存周期 SA生存周期 支持多出口VPN并且支持NAT穿越、 支持GRE封装以及L2TP 支持VPN隧道内的OSPF 支持 与IPSEC相同 支持 支持 支持多出口VPN并且支持NAT穿越、 支持GRE封装以及L2TP 支持动态VPN，分支之间动态建立 IPSEC连接，提供IPSEC VPN级联架 构，并支持可视化WEB配置界面。 支持 3Gbit/s 支持 支持 本地证书 CA证书 CRL 证书过滤 SSL解密证书 本地 /RADIUS/HWTACACS/SecurID/A D/LDAP/TSM
SNMP支持 协同联动 产品资质 具备公安部颁发的 《计算机信息系统 安全专用产品销售 许可证》 具备国家保密局涉 密信息系统安全保 密测评中心颁发的 《涉密信息系统产 品检测证书》 具备中国信息安全 产品测评认证中心 颁发的《中国国家 信息安全产品认证 证书》（三级） 具备国家版权局颁 发的《计算机软件 著作权登记证书》 IPV6银牌认证
支持基于应用层协议的攻击防范包括： HTTP、HTTPS、DNS、SIP 等Flood 攻击 ★支持流量自学习功能，可设置流量自 学习时间，并自动生成DDOS攻击防范 策略（需提供功能截图) 支持基于地理位置的流量和威胁分析 支持 支持 支持 5000+
支持HTTP、FTP、SMTP、IMAP、 支持HTTP、FTP、SMTP、IMAP、 POP3、TELNET、TCP、UDP、DNS POP3、TELNET、TCP、UDP、DNS 常用协议及应用的 、RPC、FINGER、MSSQL、 、RPC、FINGER、MSSQL、 攻击检测和防御。 ORACLE、NNTP、DHCP、LDAP、 ORACLE、NNTP、DHCP、LDAP、 VOIP、NETBIOS、TFTP等 VOIP、NETBIOS、TFTP等 特征库在线自动更 新 流量控制 保障带宽 最大带宽 弹性QOS 流控策略 策略优化 会话限制 基于源、目的IP、应用 基于内容感知数据防泄露，对传输的文 件和内容进行识别过滤,支持对内容与身 份证、信用卡、银行卡、社会安全卡号 等类型进行匹配支持文件还原和内容过 滤，如office文件、PDF等），支持文 件类型过滤 Web病毒防护，提供基于 HTTP/HTTPS/FTP的内容及病毒检测 支持微博内容过滤, 论坛发帖内容过滤 支持 卡巴斯基+自研+MD5+恶意网址库 超过90万 可扩展防病毒加速卡 自动、手动 支持 华为自研病毒库 500万 由于是自研的防病毒引擎，防病毒性能 较高 自动、手动 支持 支持 基于源安全区域/入接口、目的安全区 域/出接口、源地址/地区、目的地址/ 地区、用户、应用、服务、时间段、报 文DSCP优先级 支持 支持 支持 基于源安全区域/入接口、目的安全区 域/出接口、源地址/地区、目的地址/ 地区、用户、应用、服务、时间段、报 文DSCP优先级 支持整机1.5万条策略优化分析工具
对QQ等进行基于帐号的过滤 支持流量分析、报表、流量可视化工具 总会话统计和每IP会话统计 支持 支持 支持 支持 支持 支持 支持 支持 支持 支持
管理方式
设备内置具备多种管理角色,包括系统管 支持友好的Web图形界面配置， 理员,配置管理员, 配置管理员(只读),审 Telnet、SSH、串口登陆命令行模式配 计管理员.并支持自定义角色功能,为 置 WEB界面上每个配置功能分配权限. V1、V2、V3 V1、V2、V3 联动设备和产品通过IP、端口和MD5 值进行相互身份识别
认证方式
支持预共享密钥、证书、USBKEY等认 证方式
AAA认证D
可防御syn flood、ping flood、arp flood、 udp flood、icmp flood、 teardrop、sweep、land-base、 DOS/DDOS攻击 ping of death、smurf、winnuke、 防御 ipspoofing、sroute、queso、 sf_scan、null_scan、 full_xmas_scan、xmas_scan、等 DOS/DDoS攻击 异常定位 可实现对中毒等异常主机的定位 防范ARP攻击 IPS 基于7层的入侵防 护 事件库 支持 支持 支持 3000种以上
恶意代码过滤 关键字过滤
聊天工具过滤 流量审计 会话数统计 每IP流量统计 新建会话统计 应用流量统计 日志审计 配置日志 会话日志 IPS日志 病毒日志 流量日志 URL日志 安全管理 集中管理平台
对QQ、MSN、雅虎通等进行基于帐号 的过滤 支持 总会话统计和每IP会话统计 实时流量和24小时内流量 支持 支持总应用流量、每IP应用流量实时统 计 支持 支持 支持 支持 支持 支持 支持
定时升级：设定系统在特定的时间自动 连接升级服务器进行特征库升级。 立即升级：立即连接升级服务器进行一 次特征库升级。 本地升级：从安全中心 https://下载特征库 文件，从管理员PC上载至设备中升级 。适用于设备不能直接连接Internet的 情况。
支持3DES、DES、AES128、AES192 支持3DES、DES、AES128、AES192 、AES256等加密算法 、AES256等加密算法 支持AH和ESP封装模式以及MD5、 SHA1、SHA2、HMAC-MD-5、 HMAC-SHA256等通用摘要算法 支持AH和ESP以及AH-ESP封装模式
16/6,000 10000
支持 支持（七层协议） 支持MPLS、BGP、OSPF、RIP、静态 路由等路由协议 电信、联通、移动、教育 支持 支持 支持 支持虚拟防火墙，赠送100个虚拟防火 墙 路由、透明、混合 支持 支持 支持 支持 支持
上网认证
在各种工作模式下均支持H.323 在各种工作模式下均支持H.323 （H.323 GK） 、MMS、RTSP、 （H.323 GK） 、MMS、RTSP、 UPnP、SIP 、FTP、XDMCP、TNS UPnP、SIP 、FTP、XDMCP、TNS 等多种动态协议 等多种动态协议 与AAA服务器结合的基于用户名的访问 与AAA服务器结合的基于用户名的访问 控制 控制
HillStone
产品 体系架构 操作系统 硬件规格 固定接口 冗余电源 风扇 扩展槽 最大接口数 Bypass 产品性能 防火墙吞吐量 IPSec吞吐量 AV吞吐量 IPS吞吐量 每秒新建连接数 产品容量 最大并发连接数 (标配/最大) SSL 用户数(标配/ 最大) IPSec隧道数 网络特性 多个 WAN 链接 支持 基于策略的路由 动态路由 ISP路由表 线路负载均衡 HA/AA 虚拟防火墙 防火墙 接入方式 NAT, PAT Trunk DHCP 802.3ad链路聚合 端口冗余 ALG 路由、透明、混合 支持 支持 DHCP Client、DHCP Relay、DHCP Server 支持 支持 支持 支持（七层协议） OSPF/RIP/BGP 电信、联通 支持 支持 支持 300/400万 10Gbps 4Gbps（AES256） 800M，可扩展至1.8Gbps 3Gbps 12万 4GE，8SFP 双（热插拔） 热插拔 4 4个万兆接口、44个千兆接口、 支持（可扩展） G5150 多核 Stone OS
具备
具备
具备
具备
具备
具备
具备 具备
具备 具备
备注
作为防火墙实现控制功能，不需要购买 需购买华为专用硬盘，默认一年保修， 硬盘。对于常规的保修服务，一般设备 可以续保。 都自带1年或3年服务，山石设备带3年 后续花费：ips av url授权 服务，包括硬件和软件服务。对于功能 ssl vpn的授权 性特征库类别的，需要明确特征库类 虚拟防火墙的授权 别，比如IPS或者AV或者其他，特征库 （默认赠送 100个 ssl和50个虚拟防火 许可是按年收费的，一般出厂也都自带 墙，应该足够用，后续不用再扩展） 1年或3年。
支持 支持 支持 支持 基于用户、应用、IP、时间
数据安全
WEB安全 病毒过滤 病毒库 检测病毒种类 防病毒性能扩展 病毒库更新 内容过滤 URL过滤
支持对URL地址以及域名进行过滤，且 支持对URL地址以及域名进行过滤，且 支持黑名单和白名单 支持黑名单和白名单 支持对Java，JavaScript,ActiveX、 java applet、shellcode、cookie、 identity等进行过滤 支持对Web网页关键字进行过滤 支持对Java，JavaScript,ActiveX、 java applet、shellcode、cookie、 identity等进行过滤 支持对Web网页关键字进行过滤