Rynek firewalli klasy enterprise jest zdominowany przez kilka wielkich marek: Palo Alto Networks, Fortinet, Check Point, Cisco. Są to rozwiązania doskonałe – i drogie. Dla firm, które potrzebują pełnego zestawu funkcji NGFW (IPS, application control, SSL inspection, sandbox, SD-WAN), ale nie mają budżetu Palo Alto, rynek oferuje mało atrakcyjnych alternatyw. Hillstone Networks wypełnia tę lukę: pełny NGFW feature set, solidna architektura sprzętowa i cena, która pozwala dobrać właściwe urządzenie do realnych wymagań – bez przepłacania za markę.

Hillstone Networks zostało założone w 2006 roku w San Jose, przez inżynierów z doświadczeniem w Cisco i Juniper. Firma jest notowana w Gartner Magic Quadrant for Network Firewalls jako Niche Player – co w praktyce oznacza pełną funkcjonalność NGFW przy kompetytywnej cenie, z mniejszym niż liderzy ekosystemem integracji z zewnętrznymi narzędziami. Biura R&D zlokalizowane są zarówno w USA, jak i w Chinach, co wywołuje czasem pytania o łańcuch dostaw – Hillstone odpowiada na nie certyfikatami Common Criteria EAL4+ i ICSA Labs, potwierdzającymi brak backdoorów i zgodność z wymaganiami bezpieczeństwa zachodnich regulatorów.

Czym różni się NGFW od zwykłego firewalla?

Klasyczny firewall (stateful packet inspection) podejmuje decyzje na podstawie adresów IP, portów i protokołów warstwy 4. W roku 2026 taka ochrona jest niewystarczająca – atakujący używają portów 80/443 (HTTP/HTTPS) do niemal każdego ruchu złośliwego, ukrywając C2, data exfiltration i exploit delivery za legitymowanym ruchem webowym. Next-Generation Firewall idzie kilka warstw wyżej:

  • Deep Packet Inspection (DPI): analiza zawartości pakietów aż do warstwy 7 modelu OSI – firewall rozumie, co jest w pakiecie, nie tylko skąd pochodzi i dokąd zmierza
  • Application Awareness: identyfikacja aplikacji niezależnie od portu – Facebook, BitTorrent, TeamViewer, Zoom są rozpoznawane po sygnaturach zachowania ruchu, nie po numerze portu
  • User Identity-Based Policies: polityki nie tylko per IP, ale per użytkownik Active Directory – administrator może napisać regułę „Jan Kowalski z działu HR może korzystać z SharePoint, ale nie z Dropbox"
  • Integrated IPS: system zapobiegania włamaniom analizuje ruch wewnątrz sesji HTTPS po jej deszyfracji – wykrywa exploity, skanowanie portów, shellcode w ruchu webowym
  • SSL/TLS Inspection: decrypt-inspect-re-encrypt dla ruchu HTTPS – bez tego funkcje NGFW są ślepe na 80%+ ruchu w nowoczesnych sieciach

Linie produktowe Hillstone

Portfolio Hillstone NGFW obejmuje kilka wyraźnie zdefiniowanych serii, adresujących różne skale środowisk:

  • E-Series (SMB/SOHO): modele E2K, E5K, E10K – throughput firewall 2–10 Gbps, IPS 1–4 Gbps; dedykowane dla małych biur, oddziałów i lokalizacji zdalnych; kompaktowe 1U, niski pobór mocy
  • A-Series (mid-range enterprise): modele A2000/A3000/A5000 – throughput firewall 20–80 Gbps, IPS 10–40 Gbps; typowe środowisko: siedziba firmy 200–2000 użytkowników, redundantne łącza WAN, VPN hub, pełen NGFW stack
  • CloudEdge (virtual/cloud NGFW): obraz VM dla VMware ESXi, KVM, Microsoft Azure, AWS, Alibaba Cloud; ten sam feature set co hardware, licencjonowanie przez vCPU; idealny dla hybrydowego deploymentu

Kluczowe funkcje NGFW

Hillstone StoneOS – system operacyjny na którym działa cały stack NGFW – dostarcza kompletny zestaw funkcji inspekcji ruchu:

  • Application Control: baza ponad 6000 aplikacji z regularną aktualizacją; granularne polityki per aplikacja lub kategoria – np. zezwolenie na YouTube ale blokada przesyłania plików; QoS per aplikacja
  • IPS: baza ponad 40 000 sygnatur ataków aktualizowana kilka razy dziennie; tryby detection i prevention; virtual patching – ochrona systemów bez możliwości instalacji łatki (legacy Windows, SCADA)
  • Antywirus on-box: silnik AV zintegrowany z firewallem skanuje pliki przesyłane przez HTTP, SMTP, FTP, SMB; bez konieczności dodatkowego appliance'u w sieci
  • Botnet C&C Blocking: baza znanych adresów IP i domen serwerów Command and Control; blokuje komunikację zainfekowanych hostów wewnątrz sieci z zewnętrznymi C2 – kluczowe w detekcji i izolacji infekcji
  • Geo-IP Filtering: blokada lub ostrzeżenie przy połączeniach z wybranych krajów o podwyższonym ryzyku cyberataków; redukcja powierzchni ataku bez dodatkowych nakładów

Sandbox i zagrożenia zero-day

Sygnatury i heurystyki mają granicę skuteczności – nie wykryją ataku, który jeszcze nie był widziany w naturze. Do tego służy piaskownica (sandbox), która uruchamia podejrzane pliki w izolowanym środowisku i obserwuje ich zachowanie:

  • CloudSandbox (SaaS): pliki przesyłane przez sieć (HTTP/SMTP/FTP) są wysyłane do chmury Hillstone na analizę; werdykt wraca w ciągu kilku sekund; nie wymaga dodatkowego hardware; opcja dla firm akceptujących wysyłanie próbek do chmury
  • iSandbox (on-premise): dedykowany appliance w sieci klienta; pliki analizowane lokalnie bez opuszczania organizacji; zgodność z wymaganiami prawnymi i regulacyjnymi dotyczącymi przetwarzania danych wrażliwych; obsługa formatów PE (exe/dll), Microsoft Office (doc/xls/ppt z makrami), PDF, APK, skrypty PowerShell/VBS/JS
  • Integracja z IPS: werdykt z sandboxa jest automatycznie konwertowany na nową sygnaturę IPS i propagowany na firewalle w sieci – wzmocnienie ochrony w czasie rzeczywistym bez manualnej interwencji
  • MITRE ATT&CK reporting: raport z sandboxa mapuje obserwowane zachowanie pliku na techniki MITRE – przydatne dla threat intelligence i raportowania SOC

SSL/TLS Inspection

Ponad 90% ruchu internetowego jest dziś szyfrowane HTTPS. Firewall bez SSL inspection jest jak bramkarz patrzący tylko na plecak, nie wewnątrz. Hillstone realizuje inspekcję SSL przez:

  • Decrypt-Inspect-Re-encrypt: firewall działa jako man-in-the-middle z własnym CA; wgrywa certyfikat Hillstone CA do magazynu zaufanych certyfikatów na stacjach (GPO/MDM) – dla użytkownika połączenie wygląda normalnie
  • Wyjątki per kategoria: bankowość online, portale medyczne, urzędy rządowe – ruch do tych domen omija inspekcję SSL, co eliminuje problemy z certyfikatami pinowanymi i ochroną prywatności użytkowników
  • Perfect Forward Secrecy: obsługa TLS 1.3 z kryptografią krzywych eliptycznych (ECDHE); Hillstone zachowuje wydajność inspekcji SSL na poziomie 30–60% throughput firewalla (zależnie od modelu)

SD-WAN – wbudowane, nie dokupowane

Hillstone SD-WAN jest integralną częścią StoneOS, nie oddzielną licencją. Dla firm z wieloma oddziałami lub redundantnymi łączami internetowymi eliminuje potrzebę zakupu dedykowanego SD-WAN appliance:

  • Link Health Monitoring: ciągły pomiar latency, jitter i packet loss na każdym łączu WAN; automatyczne przełączenie ruchu na lepsze łącze gdy parametry przekroczą progi
  • Application-Aware Traffic Steering: ruch VoIP i wideokonferencji (Teams, Zoom) kierowany na łącze o najniższym jitter; duże transfery FTP/backup – na łącze o najwyższej przepustowości; ruch produkcyjny ERP – na łącze gwarantowane z umową SLA
  • Dual-ISP Failover: aktywne śledzenie dostępności ISP; failover w mniej niż 1 sekundę przy utracie łącza podstawowego; istniejące sesje TCP utrzymywane przez mechanizm session persistence
  • Zero-Touch Branch Deployment: oddział otrzymuje nowe urządzenie, podłącza kable i zasilanie – resztę konfiguracji pobiera automatycznie z Hillstone Cloud Manager lub HSM; instalacja bez technika IT na miejscu

Zero Trust Network Access

Model Zero Trust zakłada, że żadne urządzenie ani użytkownik – nawet wewnątrz sieci firmowej – nie jest domyślnie zaufany. Hillstone implementuje ZTNA przez kilka mechanizmów:

  • Identity-based segmentation: polityki dostępu do zasobów oparte na tożsamości użytkownika (AD/LDAP) i stanie urządzenia (posture check – czy jest aktualny antywirus, patch Windows, certyfikat urządzenia)
  • Microsegmentacja: szczegółowe reguły dla ruchu wschód-zachód (wewnątrz sieci) – serwer aplikacyjny może komunikować się z bazą danych na określonym porcie, ale nie z innymi serwerami; ograniczenie lateral movement atakujących
  • Integracja z Active Directory/LDAP: użytkownicy i grupy z AD bezpośrednio widoczne w regułach firewall; zmiana grupy w AD automatycznie zmienia uprawnienia sieciowe
  • MFA Support: integracja z RADIUS i TOTP (Google Authenticator, Microsoft Authenticator) dla VPN i dostępu do zasobów wewnętrznych przez SSL VPN

Wysoka dostępność i niezawodność

Dla środowisk, gdzie przestój firewalla jest niedopuszczalny, Hillstone oferuje pełną redundancję:

  • Active-Passive HA: dwa urządzenia pracujące w parze; stanby automatycznie przejmuje ruch przy awarii active; czas failover poniżej 1 sekundy dla większości wdrożeń
  • Active-Active HA: oba urządzenia obsługują ruch jednocześnie, balansując obciążenie; zwiększa przepustowość i eliminuje marnowanie zasobów standby
  • Session Synchronization: aktywne sesje TCP/UDP są synchronizowane między węzłami klastra; failover jest przezroczysty dla istniejących połączeń
  • MTBF powyżej 100 000 godzin: deklarowany przez producenta dla modeli A-Series i T-Series; zasilacze i wentylatory hot-swap w modelach 2U i wyższych

Zarządzanie i integracja z ekosystemem IT

Zarządzanie pojedynczym urządzeniem odbywa się przez WebUI lub CLI (SSH/konsola). Dla środowisk wielolokalizacyjnych:

  • HSM – Hillstone Security Manager: centralny system zarządzania flotą urządzeń Hillstone; definiowanie i wdrażanie polityk na dziesiątkach firewalli jednocześnie; logi i zdarzenia z wszystkich urządzeń w jednym miejscu
  • REST API: pełne API do automatyzacji konfiguracji i zbierania danych; integracja z Ansible, Terraform i własnymi skryptami DevSecOps
  • SIEM integration: eksport logów przez syslog (format CEF lub raw) do Splunk, IBM QRadar, Microsoft Sentinel, Elastic SIEM; korelacja alertów z firewall w kontekście zdarzeń z innych systemów
  • Hillstone Cloud Manager: SaaS do zdalnego zarządzania i zero-touch provisioning; dostęp z przeglądarki bez VPN; automatyczne kopie konfiguracji

Stosunek możliwości do ceny

Hillstone konsekwentnie pozycjonuje się jako dostawca oferujący pełen zestaw funkcji NGFW w cenie niższej o 30–50% od porównywalnych modeli Palo Alto i Fortinet wysokiej klasy. Konkretne certyfikaty potwierdzające dojrzałość produktu:

  • Common Criteria EAL4+: niezależna weryfikacja braku backdoorów i poprawności implementacji mechanizmów bezpieczeństwa – certyfikat wymagany przez wiele europejskich instytucji rządowych i wojskowych
  • ICSA Labs Certified Firewall: niezależne testy funkcjonalne standardowych funkcji firewalla – certyfikat sprawdzany przy przetargach w sektorze finansowym i ubezpieczeniowym
  • IPv6 Ready Logo: pełna obsługa IPv6, istotna w środowiskach operatorskich i akademickich

Dla kogo jest Hillstone NGFW?

Hillstone sprawdza się szczególnie dobrze w kilku scenariuszach:

  • Firmy potrzebujące NGFW z IPS i sandboxem bez budżetu enterprise top-tier: pełen feature set przy racjonalnych kosztach zakupu i subskrypcji aktualizacji sygnatur
  • Środowiska wielooddziałowe z SD-WAN: SD-WAN wbudowane eliminuje konieczność oddzielnego urządzenia; centralne zarządzanie przez HSM lub Cloud Manager
  • Data center wymagające microsegmentacji: T-Series z przepustowością 100 Gbps+ i politykami wschód-zachód dla segmentacji stref DMZ, produkcji i zarządzania
  • Sektory regulowane (finanse, ochrona zdrowia, przemysł): certyfikaty Common Criteria i ICSA ułatwiają compliance z wymaganiami branżowymi; virtual patching chroni legacy systemy bez możliwości aktualizacji

INFTEL i Hillstone – partner z doświadczeniem wdrożeniowym

INFTEL jest autoryzowanym partnerem Hillstone Networks i posiada doświadczenie we wdrożeniach NGFW w środowiskach produkcyjnych. Nasze usługi obejmują pełen cykl projektu:

  • Analiza wymagań bezpieczeństwa i dobór odpowiedniej serii oraz modelu Hillstone
  • Projektowanie polityk bezpieczeństwa: strefy, reguły dostępu, polityki IPS i application control dostosowane do profilu biznesowego klienta
  • Konfiguracja SSL inspection z wyjątkami dla aplikacji SaaS i usług finansowych
  • Integracja z Active Directory, RADIUS
  • Szkolenie administratorów z zarządzania politykami i analizy logów bezpieczeństwa
  • Wsparcie powdrożeniowe: helpdesk, aktualizacje sygnatur, przeglądy konfiguracji w ramach kontraktu SLA

Dobry firewall to fundament bezpieczeństwa sieci – ale firewall źle skonfigurowany lub z zapomnianymi regułami z 2019 roku nie chroni nikogo. INFTEL zapewnia nie tylko sprzęt i licencje, ale też wiedzę, żeby skonfigurować Hillstone NGFW w sposób, który realnie podnosi poziom bezpieczeństwa Twojej organizacji.