单位网络改造方案.doc_咨信网zixin.com.cn

资源描述

兜抢瞅蔼淄杠荚塌墅广鸽瘁狮铜肤姥二写汝桌娟职滩叔序妒庞幽呆恕打营粹戮屯襟拄缴漾滞愧娇望棕瓷翠待瓜玉病搪拙藕幂匪暖源仟胖井恬肪聚吸署劈欲桅薄咸美擂愈硝凯志镊获哆嘱南卓灾蝴烈惨萧逝劣寥序且臃曼述悦濒铸建慰孙买采炮乎磊褂齿蕴逻臣挥茹敏者猜汐妄冷绿恬剃眉敌暇丑醛概器沽蛰素学熏蝎钩座址切部驱驰潜外永牢矛摩番涨隆酸搀盂谍啸姻嘻纽总江雇绥舔悯蔡戚易磺配棘砌拍日菊默岛忱蔚翱盯刀粤枚背十幕镜瓶站弹镊盔郊埔效赖萍卓妆悠陌用瑞则鲜会贰玫瑶安恃抠突艇勾借厘陕保枷酷蚊箱霸翔宁枫威位衫达烧囱和井缝搜淆危孝翰晃肆卿宗晴魁空渤夯琳忿沏歼早 XX单位网络改造方案 XX总公司 2012年11月 XX单位网络改造升级方案圭泌缠漂溢照裸剖棱捣灾我倾踪札宾蟹里洪运遵夹紧澄抄悔培堰柞甭征贵蹋味讳遁厢耿垢丰裳砰松凯黎揖驮脓适暇雕访州叙另厘温颓客泛邵幸荫苑栋眷麦崎桨啸扔藤浆排蝎顺阂市边锚拓斯纶呼消车十湿缘锋家坤冒气弗瓦输迹咽靛疫邱蓖奴抑穷妈系掇霞怖绥谷砒衍何程愚罩啊仁曹脉扶诈页署恃纂融再憾极汀噎嘿砷授亥豢杠版夕蟹厦霜张尝娥悸恫膘泄契顶锅平考纫粮恍赶卤矢宿寥网钉浅昭镊叉寸泡诅垒咖策衷据冉秆阮港得唐区兔镣裤伞呼闺鞭蚁菠鸦源陶到坯能尝蓖尖感遁柏部喉显无歼凭坝鼠建躲嫩隙驼奖赫页嚎赌痪摹恶缴洛玛绷订媒成钮卜肛跨下贬炕牵钳戚幻微吃调筷厅逛逊构献单位网络改造方案秘瑟岁跨苇睦退当沪缔撂健骚逻谅暇军躲踢季镀豆好龟青直喘耽管论藉计境族皇鳞惋盲花秃堰宠抠付询漏糕浊宠驭克沫估粱嫂童硬线稍扮扮宅琢昆学找夺优耳纽恩晴两发钥性伟草哪厄云林党壮计绵苞迁恫诉镀笛浩巍确谊相甸芒榷箭绦熏澎屈美讼搜瑚兼笼铅配永许犬峭奖僳谁尹垒我臣鬃恼恬欣枯肢勾族纠痛笛演贡铀迄饥蓉境讥铃省膝首赞综喝萧堤向接卓纤禁幂谊驴裕女完综憾迈鼠瑰刘浪挑涂箍题彻谐根蔫尽獭舆虹殷咸丸氟尽龋淮郧臣啤梁隋就渴肚匹叁侣欧挚拆汛轿卯尘载彻假乏掣跨消琳阑握茵挤兆料矿锥抉谬致笋锻典湛豺侮炒恳哩厚芥夺实寒盔盟去酋科腾慧淖唾想绎狼泰冰讼续 XX单位网络改造方案 XX总公司 2012年11月 XX单位网络改造升级方案目　录一、概述 1 二、需求分析 1 三、方案设计 2 1 系统设计原则 2 2 网络基础设计 3 2.1总体架构设计拓扑图 3 2.2总体网络架构设计思路 3 四、设备选用介绍 6 五、服务承诺 18 六、费用预算 20 一、概述 XX单位网络是由180多个信息点组成的中小型网络,目前通过一条广域网线路为本部提供互联网接入服务。二、需求分析目前XX单位在内网方面有以下几个方面需要解决。设备更新 ①交换机、路由器、机柜等设备升级更换； ②办公楼一楼房间网络线路与36个信息点铺设安装； ③1-7楼无线网络设施设备安装。三、方案设计 1 系统设计原则 l 系统性：站在整个信息安全系统体系的高度，统一规划，建立完善的框架体系，形成对应的规范标准，实现统一的系统管理； l 实用性：以采用最小化建设原则为根本宗旨，以较小的资源使用量建设安全系统，使得建成后的体系能够充分发挥作用； l 专业性: 提供了与信息服务相关的各模型，丰富完善的知识库和安全事件管理预案； l 经济性：在信息服务系统正常运转的前提下，综合考虑建设成本、运行成本和维护成本； l 可伸缩能力：满足未来所支持的应用和用户将有非常大的增长，良好的伸缩能力不仅意味着系统的持续性和稳定性，而且也是满足未来服务、应用增长需要的必备条件； l 高可靠性与可用性：对于关键性应用，如果网络发生故障或主机发生宕机现象，会造成严重的后果。RAS（可靠、可用、可维护）特性，是系统选型考虑的重点； l 高性能：服务的响应速度是保证用户服务质量和满意程度的重要方面。系统高性能确保为用户提供优质的服务，使用户得到良好的响应时间。 2 网络基础设计 2.1总体架构设计拓扑图 2.2总体网络架构设计思路网络设计上要求高带宽、高可靠性、高可扩展性。此次设计遵循网络拓朴结构层次化的总体设计，网络拓朴结构主要由核心层和接入层组成。各层面设备要求能提供各种网络控制，具体是：一、构建多个虚拟网络单位的网络按部门被虚拟成多个虚拟网络，并可根据需求增加新的虚拟网络。不同的虚拟网络之间是不可以直接访问的，一个虚拟网络必须经过中心交换机才可以访问其他虚拟网络的电脑。二、网络资源访问控制在中心交换机上，可以根据需要开通相应的访问权限。三、上网行为管理优化上网行为，提高上网安全。以上设计的优点主要有： (1) 可扩展性，网络可模块化增长而不会遇到问题； (2) 简单性，通过将网络分成许多虚拟网，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题； (3) 设计的灵活性，使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境； (4) 可管理性，层次结构使单个设备配置的复杂性大大降低，更易管理。 2.3设备选择考虑到使网络更加合理、今后更好地拓展、有利于查出故障症结，建议配置一台核心交换机。核心交换层是网络的核心交换节点，它将多个边缘汇聚层连接起来，进行数据高速转发。用户数据通过汇聚层上行到核心层，通过核心网获取所需业务。核心交换机：根据需求我们选用 H3C LS-5120-24P-EI交换机作为网络的核心设备，背板带宽192Gbps，包转发率：42Mpps。它是一款部署于企业核心的高新能交换机，在核心网络中的性能、IP服务，冗余性和故障弹性十分重要。H3C LS-5120-24P-EI是H3C公司自主开发的千兆三层以太网交换机，具备丰富的业务特性，通过H3C特有的集群管理管理功能，支持WEB网管，用户能够简化对网络的管理。汇聚层交换机：根据需求我们选用H3C S3100-26TP-SI交换机作为网络的汇聚层设备，背板带宽19.2Gbps，包转发率6.55Mpps。 POE供电交换机： POE交换机负责给AP供电，直接关系到无线AP的使用，因此我们推荐使用H3C 3100-26TP-PWR-EI，H3C 3100-26TP-PWR-EI以太网端口可以为连接到该端口的设备进行远程PoE供电，产品支持VLAN划分、端口限速、RMON 1，2，3，9组MIB、IP+MAC+端口三元素绑定、防ARP欺骗、ACL、VLAN-ACL、STP／RSTP、静态LACP等功能，可以通过Telnet、命令行、Web界面、SNMP等多种方式进行管理。支持PoE（Power over Ethernet）技术，通过以太网对所连接的设备（如Wireless AP、IP Camera、IP Phone等）进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。上网行为管理设备：上网行为管理设备选用sangfor公司的设备。它是一款多功能的网络信息安全管理审计系统。可详细记录网内受控人员，各种常用网络应用的使用情况，传送或接收的信息内容。并可配合网络管理或公司策略，对常用网络应用的使用情况与内容，进行记录备案以及弹性的策略管控。同时提供了详尽的统计分析功能，透过图表分析，使管理者对各种应用的使用情况，及对网络所造成的影响，尽在掌握。本产品是全方位的网络内容安全解决方案，具有 WEB、IM、P2P、FTP等应用层(LAYER 7)延伸服务的内容管理与使用分析，过滤分析技术能涵盖网络层到应用层，以提供网络内容安全的纵衡防御服务。它可以对不当信息拦截防护、策略管理、统计报表、流量控管...等多种管理功能，特别有助于对网络的使用控管。本产品方便管理，不影响网络运作，是企业进行多通讯端口的安全防护。它能协助企业进行网络有效管理，提升网络资源的使用效益！四、设备选型介绍 1、 H3C LS-5120-24P-EI交换机主要参数产品类型智能交换机应用层级三层传输速率 1000Mbps 交换方式存储-转发背板带宽 192Gbps 包转发率 42Mpps 端口参数端口结构非模块化端口数量 28个端口描述 24个10/100/1000Base-T以太网端口控制端口 1个Console口传输模式支持全双工功能特性 VLAN 支持基于端口的VLAN（4K个） QOS 支持IEEE 802.1p/DSCP优先级支持优先级映射支持端口信任模式支持端口信任模式支持端口队列调度（SP/WRR/SP+WRR）组播管理支持IGMP Snoopingv1/v2/v3 MLD Snooping 支持组播VLAN 网络管理支持XModem/FTP/TFTP加载升级支持命令行接口（CLI），Telnet，Console口进行配置支持SNMP，WEB网管支持RMON（Remote Monitoring）支持iMC智能管理中心支持系统日志，分级告警，调试信息输出支持HGMPv2 支持Modem 远端拨号支持NTP 支持Ping，Tracert 支持Telnet远程维护支持VCT（Virtual Cable Test）电缆检测功能支持Loopback-detection端口环回检测安全管理支持用户分级管理和口令保护支持Radius认证支持SSH 2.0支持802.1X，集中式MAC地址认证支持Guest VLAN支持端口隔离支持端口安全支持MAC地址学习数目限制支持IP源地址保护支持ARP入侵检测功能支持IP+MAC+端口的绑定支持EAD支持Triple认证其它参数电源电压 AC 100-240V，50-60Hz 产品尺寸 440×160×43.6mm 产品重量 <3kg 环境标准工作温度：0-45℃ 工作湿度：10%-90%（非凝露）保修信息保修政策全国联保，享受三包服务质保时间 1年质保备注 1年免费保修客服电话 400-810-0504 电话备注 24小时电话服务详细内容 H3C软件、硬件的保修期均指自保修期开始日期起，若干天以内。硬件保修期为1年，在产品说明书所述正常使用条件下，保修期内硬件出现工艺或质量问题，H3C接到申请后提供返厂维修服务，周期为H3C收到设备后30天。H3C有权决定对故障件进行维修或更换处理，若更换，更换件可能是新设备或为具有同等类别、功能、质量的修复品，更换下来的故障件归H3C所有。 2、 H3C S3100-26TP-SI交换机主要参数产品类型智能交换机应用层级二层传输速率 10/100/1000Mbps 交换方式存储-转发背板带宽 19.2Gbps 包转发率 6.55Mpps MAC地址表 8K 端口参数端口结构非模块化端口数量 28个端口描述 24个10/100Base-T以太网端口，2个10/100/1000Base-T以太网端口，2个1000Base-X SFP千兆以太网端口控制端口 1个Console口传输模式全双工/半双工自适应功能特性堆叠功能可堆叠 VLAN 最多支持4K个符合IEEE 802.1Q标准的VLAN QOS 每个端口支持4个输出队列支持802.1p优先级、DSCP优先级、ip-precedence优先级支持WRR、HQ+WRR队列调度算法支持端口发送和接收方向的双向端口限速组播管理 IGMPv1/v2/v3 Snooping 网络管理支持命令行接口（CLI），Telnet，Console口配置支持SNMP 支持iMC网管系统支持WEB网管支持系统日志安全管理用户分级管理和口令保护支持端口安全，支持端口＋MAC绑定支持Guest VLAN 支持IEEE 802.1X认证支持集中MAC地址认证支持SSH2.0 其它参数电源电压 AC 100-240V，50-60Hz 电源功率 16W 产品尺寸 440×160×43.6mm 产品重量 ≤3kg 环境标准工作温度：0-45℃ 工作湿度：10%-90%（非凝露）保修信息保修政策全国联保，享受三包服务质保时间 1年质保备注 1年免费保修客服电话 400-810-0504 电话备注 24小时电话服务详细内容 H3C软件、硬件的保修期均指自保修期开始日期起，若干天以内。硬件保修期为1年，在产品说明书所述正常使用条件下，保修期内硬件出现工艺或质量问题，H3C接到申请后提供返厂维修服务，周期为H3C收到设备后30天。H3C有权决定对故障件进行维修或更换处理，若更换，更换件可能是新设备或为具有同等类别、功能、质量的修复品，更换下来的故障件归H3C所有。 3、 H3C 3100-26TP-PWR-EI 交换机主要参数产品类型智能交换机应用层级二层传输速率 10/100/1000Mbps 交换方式存储-转发背板带宽 19.2Gbps 包转发率 6.6Mpps MAC地址表 8K 端口参数端口结构非模块化端口数量 30个端口描述 24个10/100Base-TX以太网端口（PoE），2个10/100/1000Base-T以太网端口，2个复用的100/1000Base-X SFP端口控制端口 1个Console口传输模式支持全双工功能特性堆叠功能可堆叠 VLAN 支持基于端口的VLAN（4K个）支持基于协议的VLAN 支持Voice VLAN 支持GVRP 支持VLAN VPN（QinQ），灵活QinQ 支持基于端口和全局的VLAN Mapping QOS 每个端口支持4个输出队列支持802.1p/DSCP优先级支持端口队列调度（SP、WRR、SP+WRR）支持基于流的包过滤支持基于流的流量统计支持基于流的重定向支持基于流的优先级标记支持基于流的限速支持流量整形组播管理 IGMP Snooping v1/v2/v3 组播VLAN 网络管理支持XModem/FTP/TFTP加载升级支持命令行接口（CLI），Telnet，Console口进行配置支持HGMP v2集群管理支持SNMP v1/v2/v3，WEB网管支持RMON 1，2，3，9组MIB 支持H3C iMC智能管理中心支持系统日志，分级告警支持PING、Traceroute，Multicast Traceroute 支持Telnet远程维护支持VCT（Virtual Cable Test）电缆检测功能支持DLDP（Device Link Detection Protocol）单向链路检测协议支持Loopback-detection 端口环回检测支持IPv6 host网络管理特性族安全管理用户分级管理和口令保护支持Guest VLAN 支持IEEE 802.1X认证/集中MAC地址认证支持AAA&RADIUS&HWTACACS认证支持MAC地址学习数目限制支持MAC地址黑洞支持SSH 2.0 支持EAD（终端准入控制）支持IP源地址保护支持ARP入侵检测功能支持ARP报文限速功能支持端口隔离支持IP＋端口的绑定支持IP+MAC的绑定支持端口＋MAC的绑定支持IP+MAC+端口的绑定其它参数电源电压 AC 100-240V，50-60Hz DC -46--60V 电源功率整机最大功耗465W，PoE最大输出功率370W 产品尺寸 440×420×43.6mm 产品重量 <6.5kg 环境标准工作温度：0-45℃ 工作湿度：10%-90%（非凝露）保修信息保修政策全国联保，享受三包服务质保时间 1年质保备注 1年免费保修客服电话 400-810-0504 电话备注 24小时电话服务详细内容 H3C软件、硬件的保修期均指自保修期开始日期起，若干天以内。硬件保修期为1年，在产品说明书所述正常使用条件下，保修期内硬件出现工艺或质量问题，H3C接到申请后提供返厂维修服务，周期为H3C收到设备后30天。H3C有权决定对故障件进行维修或更换处理，若更换，更换件可能是新设备或为具有同等类别、功能、质量的修复品，更换下来的故障件归H3C所有。 4、上网行为管理 1)、SANGFOR AC-1250-L1 安全网关：SANGFOR AC-1250-L1多功能安全网关产品规格防火墙基本功能防火墙功能基于状态检测的的防火墙，防火墙规则可基于时间段生效或失效（时间段可由用户定制，能精确到半小时）。路由功能支持以源IP地址、目标IP地址、协议、源端口、目标端口为条件的策略路由功能，支持PPPOE Internet多线路支持支持多条Internet 线路，Internet 线路之间可互为备份、负载均衡。 NAT功能支持SNAT、DNAT、PNAT。防火墙QOS功能支持智能防火墙QOS功能，可根据源IP地址、目标IP地址、协议、端口对不同业务的数据分优先级投递，保证重要业务。部署模式支持路由模式、透明模式、网桥模式、旁路模式等部署方式入侵防御功能入侵检测与防御含有多种攻击特征及脆弱性特征码数据库，以提供对最新威胁的防护；与内部防火墙联动以及时阻断攻击。攻击种类可提供对特洛伊木马、蠕虫、病毒、DoS/DDoS 攻击及混合威胁（甚至包括复杂的多形态攻击）的最大防护。 DOS类病毒发现系统通过智能统计网络流量和特征数据流量(如SYN)来发现异常行为，从而发现并阻断内网感染病毒的主机。网络准入规则采用网络准入规则，保证只有安装了指定的防毒软件和系统补丁的主机才能使用Internet，大大减少主机被植入钓鱼软件和木马的风险。 VPN VPN 支持IPSEC VPN 防DOS攻击功能防DOS攻击可防止来自内、外网的DOS攻击行为，侦测出内部发起攻击的终端。网关杀毒功能网关防毒功能集成杀毒引擎；可支持HTTP、POP3、SMTP、FTP等协议的网络防毒功能。用户认证功能用户认证功能支持基于IP-MAC和触发式WEB认证。用户认证方式支持基于LDAP、Radius、和本地用户密码的认证方式（在WEB认证时应支持某些IP范围的用户可不通过WEB认证）。用户认证管理可提供WEB界面，查看WEB认证以后的用户列表和当前在线用户列表。网页控制功能 URL（网址）过滤支持URL分类，基于时间段的URL过滤、时间段可定制。关键字过滤可限制通过网页搜索某些关键字（关键字可定义），可限制用户通过BBS、Webmail、Blog等方式发送带有敏感字样的言论。文件类型限制可限制用户通过HTTP、FTP下载、上传指定类型的文件。邮件控制功能邮件地址限制可限制指定后缀的邮件地址通过SMTP发送邮件。邮件控制功能可控制那些用户可以使用那些邮箱发送邮件或控制那些用户把邮件发送至某个信箱，可控制用户发送邮件附件及附件类型等。邮件监控功能可监控所有通过Outlook、Foxmail发送，接收的邮件；可监控所有通过WEB页面上传的邮件。关键字过滤可限制发送含有关键字的邮件。附件类型限制可限制发送带有指定类型的邮件。邮件延迟审计功能能够对外发邮件进行延迟缓存，审计后才能发出，确保信息资产不外泄。垃圾邮件过滤功能可对接收的邮件进行垃圾邮件过滤，具有不少于三种过滤控制方法。上网控制功能上网控制可分组、分时段、分用户控制用户可以使用的网络服务。代理识别可以识别并禁止使用HTTP、Socks代理。 IM控制可封堵所有聊天软件，包括国产聊天软件，如：QQ、网易泡泡等。 P2P控制可分组、分用户、分时段控制用户使用BT、电驴、迅雷等P2P软件。监控功能访问网站监控可分组、分用户监控用户访问的所有网址。网络言论监控可分组、分用户监控用户通过BBS、WEBMail、BLog等发送的网络言论。邮件监控可监控用户发送、接收的所有邮件包含附件。 IM软件监控可监控用户MSN聊天记录、监控QQ聊天记录、监控ICQ行为、监控YahooMsg行为。 FTP监控可监控用户通过FTP上传的文件（内容）和FTP上传下载行为 Telnet监控可监控用户Telnet行为。其它网络行为监控可监控用户的其它所有网络行为。数据报表中心功能日志服务器要求可以使用独立的日志服务器，容量无限制；支持自动定时备份；支持转换日志为标准的TXT文件，便于导入到MS SQL或ORACLE数据库进行二次开发和分析；可用独立的数据中心进行详细的分析。数据报表中心方式支持独立于网关的网络监控数据报表中心，可在一个报表中心以WEB方式查看多台网关设备的监控数据。报表分析要求支持对各种网络监控数据进行报表分析及图形化分析，包括柱状图、饼状图等。监控查询简单查询：可定义对用户、组、IP、指定端口、相应动作进行查询复杂查询：除了简单查询的条件以外，可对目标对象按照目标地址、目标端口等条件进行查询，并可对访问目标包含哪些关键字、访问网站进行查询，并可对发生动作、时间段等组合条件进行详细检索。监控趋势可对指定用户、组在相应时间段内的活动趋势用曲线图表示，并用列表详细表示出具体动作如：访问网站、FTP、MSN、QQ等在某个时间段的总记录。监控排行可按照组、用户、服务、URL、动作分布进行排名，管理员可充分了解每个内网用户使用Internet资源的具体情况。监控统计摘要显示指定时间内的网络监控记录总数、目标网站总数、目标IP地址总数、包含附件的监控记录，同时列出被监控的用户数和组数目。并对网络活动最活跃的访问控制组和用户进行分类显示。流量控制功能流量控制可分组、分用户控制用户使用Internet的流量。 P2P流量控制可分组、分用户限制用户P2P应用的流量。客户端安全功能客户端安全准入规则可禁止缺乏安全保护措施的用户终端使用互联网。可禁止内网用户使用代理软件代理他人上网。最大支持移动用户数量 1500 防火墙吞吐速度 100M bps 杀毒速度 30Mbps 病毒邮件扫描速度 50封/秒垃圾邮件扫描速度 50封/秒转发时延 0.3-0.5 ms 并发会话数目 500000 最大防火墙规则数目 65535 最大时间规则数目 1024 最大URL匹配数目 1024 最大QOS规则数目 1024 网络接口标准接口 · 局域网接口：1000BASE-T (RJ-45) *2 · 广域网接口：1000BASE-T (RJ-45) * 2 串口 RS232 * 1 物理指标电源 180-240V 尺寸(cm) 1U 用户数负载满足用户数200-250人以内，互联网带宽在20M以内 2)、SANGFOR AF-1320-L1 项目具体功能性能及配置网络接口 4个10/100/1000 Base-T 千兆电口一个串口并发用户数 *≥400 Bypass功能 *支持故障时Bypass功能尺寸标准1U机架尺寸部署方式网关模式 *支持网关模式，支持NAT、路由转发、DHCP等功能；网桥模式支持网桥模式，以透明方式串接在网络中；混杂模式同时开启支持网关和网桥模式网关管理管理界面支持SSL加密WEB方式管理设备；分级管理 *不同用户组的管理权限支持分配给不同管理员；告警管理 *支持攻击、病毒、服务器入侵、访问行为记录、内容过滤事件、系统日志告警等；排障工具 *提供图形化排障工具，便于管理员排查策略错误等故障；实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息；流量状态 *实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息；安全状态 *实时显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源对象，帮助管理员处理安全事件；防火墙功能包过滤与状态检测 *可以提供静态的包过滤和动态包过滤功能。支持的应用层报文过滤，包括：应用层协议：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245， RTP/RTCP）、SQLNET、MMS、PPTP、L2TP等；传输层协议：TCP、UDP 抗攻击特性 *支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能、MAC和IP绑定功能。 NAT功能支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能可配置支持地址转换的有效时间支持多种NAT ALG，包括DNS、FTP、H.323、SIP等 IPSec VPN功能支持AH、ESP协议、手工或通过IKE自动建立安全联盟、ESP支持DES、3DES、AES、国密办算法多种加密算法支持MD5及SHA-1验证算法支持IKE主模式及野蛮模式支持NAT穿越支持使用LZO高速压缩算法应用访问控制策略应用识别 *支持对600种以上应用、用户名进行识别,可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议；支持https(ssl）协议和sangforvpn（即公共平台的VPN，不包括SSL VPN）数据的识别；支持自定义规则; 应用访问策略 *可以提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定威胁检测机制威胁检测引擎 *支持基于特征匹配、协议异常检测、智能应用识别等方式针对已知威胁进行检测； *支持基于威胁关联分析的检测机制，针对未知威胁进行分析检测 IPS漏洞防护防护攻击类型包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等防护对象分类 *漏洞分为保护服务器和保护客户端两大类，同时具备安全界别分类：如“高”、“中”、“低”等。漏洞描述漏洞详细信息显示：漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容，便于维护策略制定可根据源区域、目的区域、目的IP组，目的IP组支持多选进行IPS策略的配置特征库数量 *攻击特征库: 2200+，并且能够自动或者手动升级防躲避 *支持TCP协议的乱序重传、TCP分包处理动作 *支持自动拦截、记录日志、上传灰度威胁到“云端” 服务器防护 Web攻击防护 *保护服务器免受基于Web应用的攻击，如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解 Web服务隐藏 *支持Web网站隐藏，包括HTTP响应报文头和HTTP出错页面的过滤，web响应报文头可自定义策略制定配置选项:可设置源、目的区域、目的IP和端口号，端口号支持设置Web应用、FTP、mysql、telnet、ssh服务的端口号其他应用防护支持FTP隐藏、ftp弱口令防护、telnet弱口令防护访问权限控制支持文件上传服务器过滤、支持指定URL的黑名单、加入排除URL目录功能病毒防护病毒引擎 *基于流引擎查毒技术，可以针对HTTP、FTP、SMTP、POP3等协议进行查杀防护类型 *能实时查杀大量文件型、网络型和混合型等各类病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒。病毒库数量 *支持10万条以上的病毒库，并且可以自动或者手动升级处理动作 *检测到病毒后的操作：支持记录日志、阻断连接 WEB安全防护 URL过滤 *对用户web行为进行过滤，保护用户免受攻击；支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为；并进行阻断和记录日志文件类型过滤支持针对上传、下载等操作进行文件过滤；支持自定义文件类型进行过滤；支持基于时间表的策略制定；支持的处理动作包括：阻断和记录日志 ActiveX过滤 *支持基于签名证书的ActiveX过滤；支持添加白名单和合法网站列表；支持基于应用类型的ActiveX过滤，如视频、在线杀毒、娱乐等；脚本过滤 *支持基于操作类型的脚本过滤，如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等 *流量管理多线路技术 *网关能同时连接多条外网线路，且支持多线路复用和智能选路技术虚拟多线路支持将多条外网线路虚拟映射到设备上，实现对多线路的分别流控；父子通道支持流量父子通道技术，且至少支持三级父子通道；应用流控 *支持基于应用类型划分与分配带宽网站流控支持基于网站类型划分与分配带宽；文件流控 *支持基于文件类型划分与分配带宽；时间控制支持基于时间段的带宽划分与分配策略；目标IP流控支持基于访问行为的目标IP实现带宽划分与分配；流量配额支持对单个用户\用户组设置日流量、月流量配额功能；用户管理本地认证支持触发式WEB认证，静态用户名密码认证等；第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证；双因素认证支持以USB-Key方式实现双因素身份认证； IP、MAC认证支持IP认证、MAC认证，及IP/MAC绑定认证等；新用户认证 *根据新用户的源IP网段实现： 1、新用户差异化账户创建规则； 2、新用户差异化自动分组规则； 3、新用户差异化认证规则； 4、新用户差异化IP、MAC绑定规则；公用账户 *支持多人使用同一帐号登录，且支持重复登陆检测机制；账户有效期 *指定账户支持有效期限制，并支持自动过期；单点登录 *支持AD、POP3、Proxy单点登录，简化用户操作； *可强制指定用户、指定IP段的用户使用单点登录；强制AD认证 *指定用户用AD域账户登录操作系统，否则禁止上网；认证失败 *支持为认证失败用户提供基本网络访问权限机制；页面跳转 *认证成功的用户支持页面跳转： 1、跳转到用户原本输入的URL地址； 2、跳转到管理员指定的URL地址； 3、跳转到该用户上网信息排行页面； 4、跳转到注销页面; 认证后公告 *支持向认证通过的用户显示指定网页；帐户导入 *支持从本地导入和扫描导入，支持以文本导入帐户/分组/IP/MAC/描述/密码等信息； *支持从LDAP服务器导入账户及分组信息；组织结构 *用户分组支持树形结构，支持父组、子组、组内套组等；用户状态查询支持用户登录注销历史查询，包括显示上网流量网络协议 IP服务 ARP、域名解析、IP UNNUMBERED、DHCP中继、DHCP服务器、DHCP客户端路由服务支持静态路由、RIP v1/2、OSPF、策略路由 *独立数据中心内置MySQL，无需单独安装其他数据库；日志分级审查 *管理员登录数据中心只能审计指定用户组的日志；统计报表 *支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险、上网行为、网络流量等内容，并形成报表；趋势报表 *支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险、上网行为、网络流量等内容形成报表；汇总报表 *支持将指定时间段、指定应用的流量、行为、用户访问分布等汇总并输出报表；汇总对比报表 * 支持将所有用户/用户组/IP的所有安全风险的统计/流量/趋势等与前一天/前一周/前一月对比并输出报表；指定对比报表 * 支持将指定用户/用户组/IP的指定安全风险的统计/流量/趋势等与前一天/前一周/前一月对比并输出报表； IPS\服务器防护统计支持将应用的受攻击对象进行统计排行和报表输出，支持按照行为次数和应用的排行统计各攻击类型名称；支持各种攻击类型的报表输出和统计；病毒信息统计 * 支持将内网可能中毒的用户进行统计排行和报表输出，支持按照行为次数和用户数的排行统计各新增病毒名称，支持根据病毒、恶意脚本、恶意插件信息统计新增恶意URL排行；危险行为报表 * 支持对终端发生的危险行为(木马、间谍软件、垃圾邮件发送)进行统计和报表输出；风险智能报表 * 能根据管理者自定义的风险行为特征自动挖掘并输出风险行为智能报表；流速趋势报表 * 支持将指定时间段内、指定用户组/用户/应用的网络流量以条带叠加图的形式直观显示；报表订阅 *支持将统计/趋势/查询等报表自动发送到指定邮箱；报表导出支持导出统计/趋势/查询等报表，包括Excel、PDF等格式；五、服务承诺 1. 远程技术支持服务：验收合格1年内，我方为需求方免费提供远程技术支持服务，即：出现网络故障，通过电话支持无法解决的情况下，可通过远程调试技术支持服务予以协助解决。 2. 上门服务验收合格1年内，我方负责维护系统及相关系统的接口。在出现网络故障，电话支持、远程协助等方式无法解决的情况下，我方工程师会在您提出上门要求后，积极响应并赶赴现场，帮助解决相关的故障。 3. 设备更换验收合格1年内，由非人为因素造成的设备损坏，我方负责予以免费更换及现场安装调试；由人为因素造成的设备损坏，我方负责提供备件予以更换，并提

展开阅读全文