Pierwsza inteligentna zapora ogniowa (iNGFW) i jednocześnie pierwszy firewall czwartej generacji. Jest w stanie wykrywać nieznane złośliwe oprogramowanie i podejrzane nieprawidłowe zachowanie obiektów w sieci. Obsługuje głęboką kontrolę pakietów (DPI), zaawansowaną kontrolę aplikacji, czy jakość usług (QoS). Jest również ekologiczny – zachowując wysoką wydajność, cechuje go niskie zużycie energii.
Seria T Hillstone iNGF wykorzystuje trzy kluczowe technologie do wykrywania zaawansowanych ataków i ciągłej ochrony sieci przed zagrożeniami:
1. Klastry statystyczne wykorzystujące autorski silnik Hillstone NetworksAdvanced Threat Detection wykrywa 0-day (Hillstone ATD).
2. Po przez analitykę behawioralną w czasie rzeczywistym tworzy model matematyczny użytkownika, wykrywającą anomalii w zachowaniu sieci, opartą o technologię Hillstone Abnormal Behavior Detection (Hillstone ABD).
3. Silnik analizy korelacji zagrożeń (Hillstone ATC), który wykorzystuje do tego dane zebrane przez pozostałe technologie: ATD, ABD, sandbox, sygnatury, itd. – wraz z informacjami kontekstowymi w celu identyfikacji zaawansowanych zagrożeń.
Dzięki Hillstone ATC możliwa jest dokładna analiza z wykorzystaniem informacji z pozostałych modułów. Każde wykryte w ten sposób zagrożenie ze strony złośliwego kodu, jest automatycznie łączone z krokami w tzw. „Kill Chain”. Dzięki obszernym danym, uzupełniony zostaje on o bogaty kontekst dla analityków bezpieczeństwa w firmie – np. ustalenie źródła ataku, jego siły i zastosowanej metodologii. Ponadto Hillstone zapewnia również opcję przechwytywania pakietów, co w połączeniem z syslogiem i dziennikami ruchu, zapewniają szereg dodatkowych informacji, również w celach dochodzeniowych i kryminalistycznych.
Silnik Hillstone Abnormal Behavior stale uczy się sieci, aby dowiedzieć się, jak wygląda normalny ruch sieciowy dla danego dnia i czasu. Alertuje na podstawie zbadanego ruchu, gdy aktywność sieciowa przekracza obliczone progi. Używa do tego celu ponad 50 tablic wymiarowych, które służą do kalkulowania normalnego ruchu sieciowego w warstwach L4-L7. Proces ten określany jest jako “modelowanie zachowania”. Dodatkowo został on przeszkolony prawdziwymi narzędziami hakerskimi w celu zapewnienia, że szkodliwe działania będą prawidłowo rozpoznawane. Techniki te ograniczają liczbę false positive i zapewniają użytkownikowi wiele możliwości zatrzymania ataku.