电信安全解决方案精编版[22页].docx

最新资料推荐项目建议书技术文档 密级：保密企业网络安全解决方案应用HillStone SA助力企业网络安全管理和应用层管控山石网通有限公司二零零七年十二月目 录第一章 公司简介3第二章：电信运营商网络安全现状421电信运营商网络现状及面临的挑战4第三章 HillStone电信网络安全解决方案531网络安全设计的基本原则5311技术先进性和实用性原则5312高可靠性原则6313易于扩展和升级的原则6314管理和维护的方便性632电信网络安全方案设计7321 HillStoneNetworks电信网络安全解决方案示意图7322 HillStone 安全方案描述73.2.3 HillStone网络安全解决方案为用户带来的益处93.2.4 HillStone VPN网络11第四章产品介绍1241 Hillstone安全产品架构和特点1242 Hillstone安全产品核心功能介绍16第一章 公司简介山石网科通信技术（北京）有限公司（以下简称“山石网科”）创建于2006年，是网络安全领域的代表企业之一，公司总部位于中国北京，并在美国硅谷设有研发中心。山石网科积累了多年网络安全产品研发和市场运做经验，专注于信息安全，是专业的新一代安全网络设备提供商。 目前，山石网科拥有员工200余人，其中博士、硕士占30%以上，公司的核心团队由来自 Juniper、Cisco、Netscreen、Fortinet和H3C等中外著名企业的精英组成，具备先进的技术经验和丰富的企业管理经验。公司总注册资金475万美金，设有系统架构部，系统运营 部，软件系统部，渠道销售部，售前售后技术部等部门，并且已经通过投资、控股和合作等形式，在亚太区形成了良性发展的产业和营销体系。 自成立以来，山石网科就以“贴近市场，贴近客户，快速把握并满足客户需求”为己任，用产品和方案来帮助客户获得网络安全，从而实现自身的企业价值。山石 网科凭借其独特的服务精神和强大的技术实力，以国际一流的技术打造适合中国本土化应用需求的高性能产品，并提供高性价比的新一代网络安全整体解决方案，服 务于中国高速发展的网络市场。作为产业链中至关重要的一环，山石网科勇于创新，公司的SR系列安全路由器和SA系列安全网关产品，已经为网络安全领域树立 了新的安全网络产品质量水平，在国内各大中小型企业及各高校中拥有了强大的客户群体，并赢得了用户的高度肯定。在网络时代的今天，山石网科愿与所有客户、合作伙伴一起，在探索与实践中国网络安全稳健和谐发展的新长征中，携手共赢！第二章：电信运营商网络安全现状21电信运营商网络现状及面临的挑战近几年，中国电信业发展迅猛，全国电信总用户突破6亿，四年平均增幅达到42。固定电话用户增长了16倍，移动电话用户增长了400倍，与此同时，互联网飞速发展，创造了世界电信发展史上的奇迹。同时国内电信行业也在加速融合，这种融合是全方面的，包括家用电器、电脑、通信技术的融合以及宽带网络、IP技术和终端的融合等等。这种融合超越国界，超越制式，也带来了更多的商业机会。我国为了电信业的发展采取了很多改革措施，如电信公司的分拆措施，为多个电信运营商相互竞争创造了有利条件。这就要求每个电信运营商提供高效、优质的服务，以客户服务为中心，以提供更加专业优质的服务为目标，才能在残酷的市场竞争中取得成功。由于电信运营商提供的是全天候的服务，这就要求电信各应用系统和网络设备24小时地提供优质地服务。因此对电信系统的安全性和可靠性提出了较高的要求。近年来，安全问题已经是电信业相当严重的问题，尤其是对于迅猛发展的互联网业，以及对于电信相关增值服务的安全性提出了较高的安全要求。电信增值服务是目前电信业主要的利润增长点，为电信发展注入了新的活力。所以构筑安全的电信网络系统至关重要。传统电信运营商和移动电信运营商都提供着以IP数据为基础的各种增值性服务，例如专线申请、宽带存储、主机托管、多媒体、VoIP、视频服务等各种新式的服务。依靠这些增值服务，运营商们创造着爆炸性的营业收入。然而，如何在更加激烈的竞争中降低运营成本、提高营业收入显得尤为迫切。为了能够把握住这些机会和挑战，电信运营商必须在原有IP网络的基础上搭建有效的应用服务网络结构，而与此网络发展相关的网络和应用层安全控制是企业成功的关键。各种安全威胁对于电信企业来说可能带来极大的损害，而不完善的安全防护体制将会导致营业收入下降、维护成本上升、客户忠诚度降低等问题。各种安全威胁分布在从网络层到应用层的所有节点上。 1、网络层IP网络上存在着大量的交换机、路由器，在大量的网络层攻击面前这些设备变得非常不可靠，难以为用户提供持续的服务。同时，基于网络层的冗余备份机制是电信网络必须具备的能力，能够保证提供链路和设备的冗余备份。基础网络层是电信网络的基石，没有稳定可靠的网络层谈任何其它的安全防护都是没有意义的。2、应用层在电信网络中，众多的应用程序运行在基础网络之上的应用层。在应用层，大量的病毒、蠕虫、垃圾邮件等威胁不断地侵蚀着电信网络系统的应用服务资源、不断地增加着电信网络的维护成本。应用层不同于网络层，基于应用层的安全防护是需要更高的网络资源、更高的维护成本来支撑的。如何在保证应用层安全的同时，保持最低的拥有和维护成本是电信用户考虑的。第三章 HillStone电信网络安全解决方案31网络安全设计的基本原则311技术先进性和实用性原则网络安全方案中采用技术，具有一定的前瞻性，符合一定时期内网络安全技术发展的趋势，并在今后一定的时期内处于领先地位。网络安全系统设计必须遵循先进性和成熟性。由于IT行业的技术更新换代很快，为了保证网络能够满足今后一段时间内应用的发展，在选择网络安全技术和设备时不仅要考虑先进性，也要考虑技术的成熟性，同时更要考虑接入业务的特点等多方面的因素。一种新技术在刚出现时往往有很大不稳定和不确定因素，需要有一个发展、逐步完善和实践检验的过程，经常有一些技术在刚出现时被宣传和评价很高，但在一段时间后发现存在很多问题，甚至很快退出市场。用户采用了这种技术，往往会因为设备厂商转产停产等问题，无法对网络扩展升级，最终造成前期投资的浪费。一种新的技术产品在刚出现时一般价格都非常高，所以选择使用一种新的技术的最佳时机应该是在这种技术在市场上已经得到较为广泛的应用，并且在使用中得到肯定之后。虽然这时的技术可能已经不是最新的技术，但技术已经成熟，设备的性能价格比更高。所以选择网络技术和设备时不要去追求最新最好，应该遵循先进性和实用性相结合，并找出其中的平衡点。312高可靠性原则由于网络对数据传输的实时性的要求，对网络的传输环节要求很高。因而要求选用的网络安全设备具有相当高的可靠性，要达到电信级标准，具备99.999%的可靠性。建设一个运行稳定可靠的现代化网络系统，网络中任何一台安全设备或任何一条安全设备上的线路发生故障都不会导致通过该安全设备互联的两个网络无法通讯，并且能够保证在不影响网络正常运行的情况下完成对网络故障的检测和排除。313易于扩展和升级的原则网络及数据通信技术发展速度快、新的设备不断面世，新业务也将逐步运行在新的数据网上，用户对带宽的需求必将增长，需要将网络系统扩容，因此在网络设计时应充分考虑将来网络的扩容和升级问题。随着Internet的发展扩大，网络的系统性能的需要将不断提高，网络的规模也会不断扩展，而隔离网络的安全设备也同样需要扩容和升级。所以在设计网络时，要充分考虑到网络安全设备的可扩展性，为了保护用户的投资，设计应保证至少若干年内网络的升级和扩展不需要更换主要网络安全设备，只通过增加一些模块就可以实现网络性能和规模的扩展，满足今后几年业务发展的需要。314管理和维护的方便性网络系统中的所有安全设备均应是可管理的，支持远程监控和故障的过程诊断和恢复。可通过网管软件方便地监控网络运行的实时情况，对出现的问题及时处理和解决。32电信网络安全方案设计321 HillStoneNetworks电信网络安全解决方案示意图322 HillStone 安全方案描述在电信网络中，通过HillStone SA系列产品的应用，从处理能力、扩展能力、安全性、冗余性和应用的便利性等方面为用户考虑，提供了各种安全功能、高吞吐以及完备的冗余备份机制，能够满足电信用户对安全性、稳定性和高性能的需求。1、通过HillStone产品提供高性能的安全管控功能由于防火墙部署在电信网络的关键位置，扼守着所有数据流量的安全控制，因此对防火墙的转发性能以及吞吐要求都比较高。在电信网络中，一般网络出口处以及服务器区的带宽都在几千兆左右。因此，在如此大带宽的网络链路上需要部署同样大吞吐的防火墙安全网关，才能保证防火墙不会成为链路中的瓶颈节点。大吞吐的防火墙会显著降低整个网络延迟，有效提高企业生产效率。HillStone能够为电信用户提供高性能高吞吐的安全网关。HillStone SA系列产品能够提供从2Gbps到8Gbps的网络吞吐，能够满足电信用户绝大部分的业务需求。同时HillStone SA系列产品采用创新的64位多核处理器，每秒能够提供最高达12万的TCP会话请求能力。对那些应用复杂、具有大量每秒新建会话数的电信网络来说，HillStone SA系列产品能够为电信网络带来非常好的性价比。2、通过HillStone 产品提供高效的防攻击功能随着网络安全技术的普及和发展，越来越多地人能够很方便的利用Internet上的免费工具进行准网络攻击和真正的网络攻击。和以往不同，越来越多的黑客发动攻击的目的变成了获得更大的经济利益。由于受经济利益的诱惑，针对网络的攻击强度和持久性是前所未有的，由此对电信网络带来了巨大的压力以及连带的防护责任。HillStone产品能够提供全面地防攻击能力，能够针对常见攻击进行有效阻断，同时还能够针对零日攻击进行及时的判断和阻断，有效保护企业用户的网络安全不受侵害。同时，HillStone 产品强大的应用层检测能力以及应用层处理性能为分析和阻挡各类攻击提供了强大的支持。3、通过HillStone产品提供高性能的应用层管控能力在高速信息交换的Internet上，海量的信息被不断的发布和浏览。对于电信用户来说，很多内容是不允许通过网络来传播的，如非法内容、公安部明令禁止的信息等。HillStone SA系列产品具有URL地址过滤功能，能够通过设立黑名单和关键字来过滤掉敏感的URL地址，防止潜在的责任问题。随着Internet的不断普及，新的网络应用层出不穷，并且对于网络带宽的占用日益增高，如网络视频、网络游戏、BT下载等。电信网络客户在网络中运行着大量的关键应用，这些关键应用很多都要求极低的网络延迟，而网络中大量的娱乐应用不断突破网络带宽限制，吞占着有限的网络带宽，严重影响着其他客户的正常使用。HillStone SA系列安全网关具备细粒度的流量管控机制，甚至能够针对每个IP地址配置流量策略。针对相应的IP地址或IP地址范围，我们可以定制这些IP地址的最大带宽、最小带宽以及突发带宽。结合时间参数，我们可以定制特定时间范围内的流量策略，能够更加人性化的管理企业网络内极为复杂的流量。同时我们还能够为电信用户提供流量监控功能，使用户能够清晰的看到网络中流量的真实情况，能够更加合理的分配带宽资源。安全和速度始终是两个对立面的事物。追求更高的网络安全是需要以牺牲网络通讯速度为代价的，而追求更高的网络通讯速度则需要降低网络安全标准。在目前依赖于网络应用的时代，能够做到应用层的安全检测以及安全防护功能是所有安全厂商的目标。由于应用层的检测需要进行深度的数据包解析，而使用传统网络平台所带来的网络延迟将是不可接受的。好的安全功能同样需要好的硬件平台去实现。HillStone SA系列安全网关采用创新的64位多核处理器以及高达24G的交换总线，能够避免纯ASIC和NP安全系统会话可管理能力和流量控制能力弱的弊病，并能够提供完美的应用层处理能力。4、通过HillStone产品提供冗余备份的网络架构HillStone的SA系列产品能够支持多种HA解决方案，包括A-A和A-P。HillStone的HA解决方案能够为网络提供Session级别的同步，其中包括VPN的SA同步，能够保证网络的持久畅通，提高客户满意度，为电信网络提供更可靠更经济的网络安全解决方案。3.2.3 HillStone网络安全解决方案为用户带来的益处通过HillStone的解决方案实现电信网络的各种安全需求时，具有以下优点：l 提供专业的网络安全服务HillStone是一家专业的网络安全设备厂商，具备多年安全设备研发和售后经验，能够为用户提供最及时最有效的安全解决方案。l 高性能的防火墙和防攻击能力HillStone SA系列提供超强的防火墙吞吐能力，能够满足电信网络中大部分网络环境的吞吐要求。同时，SA系列内置了防攻击模块，能够有效地避免网络攻击对企业网络的影响。l 先进的应用层管控机制HillStone SA系列产品能够为用户提供先进的应用层管控技术，包括URL过滤、带宽管理、P2P/IM管理等等，能够使用户在保证网络连通的前提下更细粒度的管控自己的网络。l 提供高性能的应用层解决方案HillStone产品采用专用的64位多核处理器，能够为应用层数据处理提供前所未有的性能支持，保证在高吞吐高流量的情况下从容有效地进行应用层的管控。l 提高电信网络部署的灵活性和扩展性随着电信业的发展，电信网络也发生着日新月异的变化。HillStone企业网络解决方案能够凭借HillStone产品的多种智能化的功能实现，全面协助企业网络应用的演变。在电信网络的特定网络安全环境下，通过HillStone产品的部署，灵活的进行功能扩展，最大化的保证了电信网络的灵活性和扩展性。l 降低系统维护难度和成本凭借多种人性化管理维护方式和HillStone集中管理功能的实现，HillStone电信网络解决方案能够极大的降低系统的维护难度和成本。结合HillStone专业本地化厂家技术支持和研发队伍，能够为电信网络应用提供最优质的专业技术保障。HillStone SA系列产品能够完全满足和实现电信网络安全平台对于高性能防火墙、高性能防攻击能力和高效的冗余备份能力的要求，能够在保持良好通讯速度的情况下提供高效的多方面的安全防护。通过应用在产品设计、性能参数和功能上均处于领先地位的SA系列产品，能够在保证满足电信网络安全平台功能和性能要求的同时，提供最优的性能价格比和扩展能力。3.2.4 HillStone VPN网络VPN系统在企业网络系统中应用的目的是在一个非信任的通信网络链路或公共Internet建立一个安全和稳定的隧道。为方便远程用户和移动办公用户能接入到企业内部网络，同时为保证在基于Internet的公共网络中数据传输的安全性和保密性，建议使用HillStone防火墙上的自带IPSEC VPN功能。IPSec协议是一种工业标准协议，运行于网络层（OSI的第三层）。IPSec提供了一种标准的、健壮的以及包容广泛的机制，可用它为IP及上层协议（如UDP和TCP）提供安全保证。它定义了一套默认的、强制实施的算法，以确保不同的实施方案相互间可以共通。而且假若想增加新的算法，其过程也是非常直接的，不会对共通性造成破坏。IPSec协议支持：数据的保密性数据的完整性数据来源鉴别防重放。因此，使用IPSec建立的VPN网络可以从最大程度上来保证数据的安全性。在本方案中，用户担心的问题有：VPN数据安全这主要包含在三个方面：1、VPN数据在公网上是否有可能被窃取和修改及假冒。HillStone防火墙采用RFC标准加密协议套件（IPSec）及其组件Internet密钥交换（IKE）协议，通过私有的通道和各分支的数据服务器通信，这个过程数据是经过高度加密的，可以最高级别地保证数据的完整性、安全性、保密性。HillStone防火墙VPN是获得国际计算机安全组织(International Computer Security Association, ICSA, 正式名称为NSCA)认证的，因此在公网上是不可能被窃取和修改及假冒。2、攻击者利用IP Spoofing假冒下属机构来试图欺骗防火墙。HillStone防火墙对主要的网络攻击有非常有效的防范和检测，其中就有IP Spoofing（IP 欺骗）防范和检测的功能。3、外部利用分支机构下载的带木马的软件或资料，来窃取内部信息。可以通过HillStone防火墙建立相应的策略并监视网络数据，将此危险减少到最低。在本方案中，HillStone提供了良好的网络的集中管理和监控功能。利用HillStone防火墙的VPN功能，可以严格的控制数据的流向和各种数据服务，方便管理其它子网的网络配置。利用HillStone防火墙设备的VPN日志、监控、告警功能，可以方便的管理和监控各部的网络运行状态。 第四章产品介绍41 Hillstone安全产品架构和特点随着网络威胁不断的发展，越来越多的混合式的网络攻击和威胁层出不穷。单纯的网络层安全防护系统无法满足用户的需求。传统防火墙以网络层防护为主，软硬件的设计围绕着网络层的安全防护展开，产品经过了第一代纯软件防火墙系统、基于PC架构的第二代硬件防火墙系统和第三代的基于ASIC和NP（网络处理器）纯硬件防火墙系统。第三代基于ASIC和NP架构的防火墙可以实现高性能的网络安全防护，对于应用层的安全防护无能为力，应用层完全依靠通用CPU进行处理，包括目前流行的UTM产品，一旦打开应用层安全防护功能，如P2P/IM安全控制、IPS、Web过滤、防病毒以及防垃圾邮件等内容过滤功能，性能会急剧下降，无法满足用户实际的网络安全需求。基于以上原因，Hillstone全线产品采用了创新的新一代网络安全架构，硬件平台采用64位高性能的多核处理器Multi-Core CPU（多达16核），内部传输采用高达24Gbps高速交换总线，其网络安全的处理能力达到了一个新的起点：比如，安全产品中重要参数之一的每秒新建会话数是目前业界最高性能的基于ASIC和NP架构安全产品的5到10倍！64位专用高性能多核处理器的多核并行处理能力为应用层内容安全功能提供了强大的保障，同时又避免了纯ASIC和NP安全系统对会话可管理能力和流量控制能力弱的弊病。由于新一代64位多核处理器Multi-Core CPU集成了IPSec VPN、SSL VPN、TCP、QoS、压缩/解压缩以及其他安全功能的芯片级硬件加速功能，使得Hillstone安全产品具有强大高效的VPN和应用层安全处理能力。采用创新的新一代网络安全架构的Hillstone安全产品提供了更高、更可靠、更稳定和更安全的综合处理能力，开创了新一代网络安全的新纪元。多达16核的专用64位MIPS处理器具有强大的应用层安全处理能力，众所周知，应用层安全的效率很大程度上依赖于CPU的处理能力，即使基于ASICNP架构的安全系统一旦要处理应用层的数据也必须依赖于CPU，而目前安全产品在CPU资源上有很大瓶颈，因此有些厂商已经放弃ASICNP架构而采用纯CPU的架构。Hillstone采用多核处理器，使得该硬件架构充分考虑到了应用安全和网络安全的平衡，在某些性能指标上有了质的飞越，如作为安全网络产品重要指标之一的每秒新建连接数最高达到了20万秒，同时结合内部高速交换总线和多核64位专用处理器，Hillstone安全产品具有了强大的应用安全处理能力和可扩展能力，为集成更多的应用安全提供了强大的资源保障。强健的专用实时64位并行操作系统（Robust Specific Real time Operating System）Hillstone全线产品采用专用多线程实时64位并行操作系统，多线程的并行处理能力和模块化的结构易于集成和扩展安全功能，专用的安全加固的64位操作系统针对新一代多核处理器安全架构进行了全面的优化和安全加固，极大地提高了系统的处理效率、系统稳定性和安全性。模块化和多线程的处理机制，为Hillstone新一代的网络安全系统提供了极大的可扩展能力，包括支持更多核处理器和集成更多安全功能。 众所周知，操作系统是整个安全设备的核心和基础，安全产品的操作系统必须具有很强的抗攻击能力，而基于软件的安全系统采用的是通用的操作系统，通用操作系统会暴露大量的操作系统漏洞，安全系统再强大，操作系统的漏洞会直接导致这个系统的崩溃。目前，专用定制的操作系统被广泛采用。Hillstone安全产品均采用定制的专用操作系统StoneOS。StoneOS具有64位实时并行处理能力，其核心针对Hillstone硬件产品进行了全面优化，使得系统具有更高的处理效率和稳定性。模块化的系统结构易于继承更多的安全功能，系统具有极强的伸缩性和可扩展性。任何独立的安全模块出现问题都不会影响整个系统的运行。高可靠性和稳定性（High Reliability and Stability） 积累多年被证实的专业硬件安全产品研发和市场经验，Hillstone新一代网络安全产品在软硬件的可靠性和稳定性上都有了进一步提高。全面优化的软硬件系统带来高可靠性和稳定性，这为网络流量和网络攻击日益膨胀的企业IT环境提供了强大的保障。Hillstone安全产品最大程度上确保企业关键业务的不间断运行，提高用户的竞争力。最低的总体拥有成本（Lowest TCO）Hillstone全线产品提供了非常友好的使用和管理界面，部署简单、易于维护和管理。灵活的特性可以满足不同用户不同应用环境的需求。独特创新的新一代网络安全架构提供给用户最大化的可扩展能力，最大化地保护用户投资。Hillstone安全产品解决方案特点：l 创新的新一代网络安全架构l 高性能的综合安全系统l 高可靠性和扩展性l 高性价比l 丰富的安全特性l 最低的TCOl 友好和易于使用的管理界面l 细粒度的安全参数调整l 杰出的内容安全综合处理能力l 灵活的部署特性，易于部署和维护l 全面的产品线，满足不同用户的需求l 专业的技术支持和销售团队l P2P/IM应用的安全控制和细粒化管理42 Hillstone安全产品核心功能介绍独特的防火墙状态监测Hillstone防火墙对经过的数据包进行状态检测，除了基本的基于数据包源地址、目标地址、协议类型、源端口、目标端口以及网络接口等数据包的控制外，还能够基于应用特征（P2P软件、IM即时通讯工具等）和基于IP地址的Session数进行限制，有效的管理客户端，优化网络效能；对于FTP和H.323等较为特殊的应用，需要在连接中动态打开其他连接进行数据传输，普通防火墙无法获得动态连接的情况，则必须提前打开所有可能的地址和端口，造成安全风险，Hillstone防火墙采用Pinhole技术，通过智能识别技术能够分析打开的连接，动态调整防火墙的安全规则，在灵活支持应用的同时，不牺牲安全。Hillstone防火墙能够根据数据包报头进行以下控制：源和目的地址源和目的接口IP协议号TCP和UDP端口号端口范围ICMP信息类型IP和TCP中都有的选项类型IP和TCP标记组合VLAN信息时间基于IP的Session数应用特征（P2P软件、IM即时通讯工具）Network强大的防御功能AD for all zonesAD per security zoneGenerate Alarm w/o drop frameConf-able TCP timeout per service/rule-part of it in session.Static and dynamic ACLIP packet fragmentation blockingIP Option anomaly detectionTCP anomaly detectionIP Source Route OptionsTracert datagram controlIP Address Spoof protectionAddress sweep protectionPort scan protectionSession limiting: source-basedSession limiting: Dest-basedSyn FloodICMP FloodUDP FloodLandSmurfFraggleHuge ICMP packetICMP redirect and unreachableARP spoof attackARP主动反向查询VoIP DOS attacksWinNukePing of DeathTear DropHA高可用性依靠积累多年被证实的专业硬件安全产品研发和市场经验，Hillstone新一代网络安全产品无论在软件还是硬件的稳定性和可靠性上都有了进一步提高。全面优化的软硬件系统的稳定性和高可靠性为网络流量和网络攻击日益膨胀的企业IT环境提供了强大的保障。Hillstone产品能在最大程度上确保了网络关键业务的不间断运行。HillStone的SA系列产品能够支持多种HA解决方案，包括A-A和A-P。HillStone的HA解决方案能够为网络提供Session级别的同步，其中包括VPN的SA同步，能够保证网络的持久畅通，提高客户满意度，为电信网络提供更可靠更经济的网络安全解决方案。静态和动态黑名单 Hillstone防火墙允许用户自定义黑名单列表，将禁止访问的域名、IP地址或网段添加后，防火墙将阻断基于这些源和目的的访问。同时，Hillstone还支持动态黑名单，当指定的计数达到设定阀值时会将对象自动添加到黑名单列表中并持续自定义时间。如，当某一IP单位时间内连续ping防火墙超过N次，则将该IP自动添加到动态黑名单予以阻断，黑名单持续M分钟。DHCP支持DHCP RelayHillstone防火墙不但可以作为DHCP的客户端，同时也可以作为DHCP Relay。可以把DHCP Server与DHCP Client放在防火墙的不同端口之下，这样可以有效保护DHCP Server同时便于用户网络的部署。支持DHCP ServerHillstone防火墙本身同样可以作为DHCP Server， 防火墙可以为网络中计算机动态的分配IP地址，从而为企业的网络建设节约投资，同时方便网络的应用和IP地址的管理。支持DHCP Client用户如果通过城域网、小区宽带等方式接入Internet时，其IP地址为动态分配的。这时候安装防火墙的时候，需要防火墙支持动态IP才能对数据包进行访问控制。Hillstone防火墙支持动态IP，其接口可以动态的获得IP地址，方便灵活的接入用户的网络环境。支持PPPoE拨号目前国内越来越多的企业通过