网络改造解决方案V.doc_咨信网zixin.com.cn

资源描述

网络改造解决方案陕西西华科创软件技术有限公司 2016年12月目录设备报价清单一、需求概述错误!未指定书签。 1.1. 需求背景错误!未指定书签。 1.2. 问题分析错误!未指定书签。 1.2.1. 安全问题错误!未指定书签。 1.2.2. 资源问题错误!未指定书签。 1.2.3. 内容问题错误!未指定书签。 1.2.4. 法律风险错误!未指定书签。 1.3. 方案设计原则错误!未指定书签。 1.3.1. 基本原则：错误!未指定书签。 1.3.2. 网络设备及终端通信可靠：错误!未指定书签。 1.3.3. 安全保障：错误!未指定书签。 1.3.4. 管理制度监督及落实：错误!未指定书签。二、设计方案错误!未指定书签。 2.1. 建设目标错误!未指定书签。 2.2. 设计目标错误!未指定书签。 2.3. 网络部署拓扑错误!未指定书签。 2.4. 解决方案设计要点错误!未指定书签。 2.5. 华为主要优势介绍错误!未指定书签。 2.6 华为6300系列防火墙介绍错误!未指定书签。 2.7 华为 5630介绍错误!未指定书签。设备报价清单设备报价单名称品牌单价/元数量/个总价/元上网行为管理 2200 华为 25550 1 25550 华为防火墙6350 华为 15800 1 15800 华为 5630 华为 26000(三年保） 1 26000 合计 67350 一、需求概述 1.1. 需求背景随着信息化建设的发展，建立了设施完善、带宽充裕、应用丰富的互联网网络。互联网渗透到工作、生活的方方面面，当下无论企业运作，或是个人生活都已离不开网络上的各种应用作为沟通、交流的媒介，如企业中广泛使用的视频会议、、、，个人使用的即时通讯、博客、社区、P2P分享等等应用。据最近《中国互联网状况》白皮书公布的抽样调查统计数据，2009年，中国约有2.3亿人经常使用搜索引擎查询各类信息，约2.4亿人经常利用即时通信工具进行沟通交流，约4,600万人利用互联网学习和接受教育，约3,500万人利用互联网进行证券交易，约1,500万人通过互联网求职，约1,400万人通过互联网安排旅行。 1.2. 问题分析 1.2.1. 安全问题据国际权威调研机构统计，网络安全事件中40％以上是由互联网活动引起的。四通八达的网络，方便的不仅仅是正常信息的获取和交流。恶意代码，比如病毒、蠕虫、间谍软件等等，也在搭乘着便车。籍由网页、、聊天工具、下载工具等方式，侵入到网络的各个角落。而现有的安全手段捉襟见肘，不能很好的掌控应用层，乃至内容层面的控制管理，也无法做基于用户的，灵活的策略定制。 1.2.2. 资源问题据中国社会科学研究院最新的统计调查表明，70％的互联网带宽资源被音乐、电影下载占用着。企业员工平均每天的互联网活动中有近40%是用来在线聊天，浏览新闻娱乐、股票行情、色情网站，或处理个人事务。事实证明，不加管理的互联网活动，严重消耗了带宽资源，导致正常业务得不到应有的资源保障。而宝贵的工作、学习时间被无目的的上网闲逛、聊天占用着，极大地影响了人们的工作、学习效率，人力资源也在无形之中浪费殆尽。我们需要一种有效的资源管理控制手段，确保重要业务的正常运行，避免人力、带宽等重要资源的浪费。 1.2.3. 内容问题纷繁复杂的网络世界，充斥着各种各样的信息。正如打开窗户，进来的不止是新鲜空气。我们在获取有用信息的同时，也被各种不良内容侵蚀着。同时，联通的网络也会把一些保密信息泄漏出去。任何企业都担心自己内部的机密信息泄露出去，而互联网偏偏又提供了方便的信息交流和传递环境。通过电子邮件或、等即时通信工具，任何数字文件都可以方便地通过互联网发送到企业外部。如何确保人们利用网络获取有用信息的同时，免受不良内容的干扰，同时安全保密信息，将直接影响到一个单位的战斗力。 1.2.4. 法律风险根据公安部82号令的相关规定，互联网服务提供者必须要保留至少60天的用户上网记录以供审查。为了避免公司员工在互联网上发布某些敏感、违法的言论给单位造成负面影响及不必要的风险，也需要有对用户上网行为和内容进行审查的可靠手段，并且在需要的时候对用户外发的言论进行必要的阻断。 1.3. 方案设计原则 1.3.1. 基本原则：安全性： l 鉴于网络内容过滤设备的特殊性，设备自身应该提供高安全等级的管理方式，并对非法登录进行记录及屏蔽。 l 设备自身应具备本地物理管理能力，提供最直接而安全的控制手段。实用性： l 设备部署后应可以立刻看到效果，可以最快体现出实际价值可操作性： l 设备应采用图形化界面，便于非专业人员操作 l 设备的各项配置应主要是勾选方式，提供最简单的控制实现能力 1.3.2. 网络设备及终端通信可靠： l 设备应可以实现对互联网应用的识别并进行流量阻断、压缩、保障 l 设备应可以实现多线路接入，并可以进行静态的，动态的负载均衡，实现南北互通 l 设备应提供故障时的物理回退，并可提供多重的冗余保障机制 l 设备应可对接入的客户端进行软件及系统检查，不合规的客户端禁止通过设备 1.3.3. 安全保障： l 设备应提供对非法网站专业的控制的能力，并可及时体现非法网站的访问 l 设备应可以通过2层地址，3层地址，本地用户名，或与其他系统联动获取的用户名进行身份识别 1.3.4. 管理制度监督及落实： l 设备应可以对人员的网页访问，应用使用情况进行实时的记录 l 设备应可以对人员通过网页，邮件，等外发手段的内容进行记录 l 设备可对以上行为中的不合规行为进行阻断，规避法律风险 l 设备应可以针对网页，应用，外发，下载等信息进行清晰的行为明细或统计报表呈现，便于自查审核的快速高效的完成。二、设计方案 2.1. 建设目标根据国家对上网的需求和安全行为的管理要求及出差员工或者外部终端对业务系统和信息资源的需求，本次建设需要在现有基础网络设施中部署一套上网行为管理系统，防火墙，以实现外网防护安全，内网对所有用户的上网行为进行跟中记录，保证再发生受到攻击和防护上有数据可以查询；并配备设备，方便设备对业务系统的访问需要。通过本次建设，应可达到对互联网行为有效的风险规避，减少法律风险，提升工作学习效率，保障出口带宽的使用质量，并可尽最大可能全面监控，审计，管理互联网行为；同时满足数字化中心，办公、宿舍楼、网络地址统一规划，各个网络逻辑隔离，互不影响，既满足现阶段网络资源需求，同时满足未来5年的网络资源需求。 2.2. 设计目标 1) 实现审计方法的简易化：做为增值类网络产品，要求不能对现有网络造成过大的耦合，可快速部署，快速配置，快速查询。 2) 安全、可靠，有效的行为管理系统：做为在链路中串入的设备，必须实现自身安全，自身可靠，原有链路可靠，以及审计后果的有效性。 3) 行为管理的长期可持续持续：利用设备标准的，频繁的，持续的更新服务，使得审计工作可持续性的发展，保证长期有效的安全。 2.3. 网络部署拓扑根据现有的互联网接入网络环境和应用情况，建议在互联网出口处将互联网出口部署华为6350防火墙设备，替换原有出口设备，级联华为2200上网行为管理设备管理内网的上网行为，旁挂5630 设备满足用户对网络资源和业务系统的需求，同时给管理员的维护带来便利。 2.4. 解决方案设计要点 2.4.1 遵从法律法规与上级部门规定华为作为专业的解决方案提供商，产品提供完备准确的用户互联网行为记录功能，对用户访问互联网的行为能够详细记录到用户名、使用、使用、访问的网站、目的端口、完整地址等，完全满足公安部82号令以及上级主管部门的要求。 2.4.2 通过应用控制管理避免员工滥用网络针对员工容易使用互联网进行娱乐，影响工作效率的问题，提供了互联网应用控制功能，能够准确识别各种互联网娱乐应用，根据管理者的管理策略，可以区分用户及应用进行精确控制。通过对开心农场、网络游戏、在线聊天、视频网站等各种互联网娱乐应用进行识别并控制，将员工消耗在互联网娱乐上的时间都解放出来，投入到正常工作当中去。同时，也提供了独到的应用时长限时功能，可以为每个用户、每种应用设置每天使用的时长，比如：员工上班时间禁止玩网络游戏，在非工作时间可以玩2小时，这样就不会影响员工正常工作。 2.4.3 使用流量通道技术科学管理出口带宽为了解决出口带宽被大量P2P、在线视频等无关业务抢占，影响正常业务的开展的问题，通过提供的智能流量控制功能，可以划分固定的带宽通道，将P2P下载、在线视频等带宽消耗巨大的流量进行有效控制，使其对出口带宽的占用能够控制在一个有限、可以接受的范围内。同时，也能够支持对单位网站、邮件、,视频会议等关键业务的流量进行区分，可以为关键业务划分一个指定的带宽通道，进行专门的流量保障，可以确保在出现病毒攻击、流量激增等非常情况下，也能够为核心业务保留足够可用的带宽，不会受到非正常流量的影响。 2.4.4 过滤有害网页信息，营造健康网络环境华为和国际知名安全公司赛门铁克合作成立以来就致力对于中文互联网环境的深入研究和分析，根据中国的文化背景、伦理道德、法律法规、应用领域、上网习惯等，进行全面采集、多级分类，并生成分类数据库。通过智能多级分类系统、人工校验审核等多级过滤技术对获取到的进行有效性校验和内容分类匹配，截止目前，网康已经建立了容量超过1600万条的庞大分类资料库，为业内同类产品中容量最全，基本上覆盖了中国用户能够访问的网页信息。并且为了保持数据库的有效性和实时性，华为在杭州安全总部的服务器群时刻都在对既有的库进行更新，每天更新的速度超过300万条。这些变化内容可以自动更新到客户的在线设备上，使客户设备与华为库保持实时同步。容量齐全的数据库，确保了能够准确判断用户所访问的网页类别，对色情、暴力、毒品等各种含有有害内容的网页，能够及时有效地加以识别，并根据单位的管理策略进行记录或者封堵，保证员工远离有害信息困扰，营造一个健康、和谐的上网环境。 2.4.5 行为内容完全审计，规避潜在的法律风险提供的内容审计功能也能够完整还原用户访问网络的各种行为记录，包括用户访问网页的快照信息、邮件的完整收发记录、即时聊天工具的对话和文件传输内容以及论坛的发帖、上传记录，都能够得到完整的记录和还原；并且可以进一步设置特定的敏感关键字，当员工外发的信息匹配特定关键字时，能够自动阻断外发信息，并以邮件方式向管理员进行告警，为互联网的信息管理要求提供完善的解决方案。 2.5. 华为主要优势介绍互联网络作为单位信息化建设的重要基础设施，网络的稳定性是极其重要的考量指标。华为一直重视网络的可用性和系统健壮性，在多方面进行了大量技术攻关来保障不因任何设备原因造成的客户网络不畅或中断。 2.6华为6300系列防火墙介绍华为6300（盒式）下一代防火墙 2.产品图 633506360 63790E 6300（盒式）下一代防火墙产品特性与优势精准的访问控制传统防火墙主要通过端口和进行访问控制，下一代防火墙的核心功能依然是访问控制。6000 在控制的维度和精细程度上都有很大的提高： • 一体化防护：从应用、用户、内容、时间、威胁、位置6个维度进行一体化的管控和防御。内容层的防御与应用识别深度结合，一体化处理。例如：识别出的流量，进而针对性地进行对应的入侵防御，效率更高，误报更少。 • 基于应用：运用多种技术手段，准确识别包括移动应用及应用内的6000+应用协议及应用的不同功能，继而进行访问控制和业务加速。例如：区分微信的语音和文字后采取不同的控制策略。 • 基于用户：通过、、等8种用户识别手段集成已有用户认证系统简化管理。基于用户进行访问控制、管理和深度防护。 • 基于位置：与全球位置信息结合，识别流量发起的位置信息；掌控应用和攻击发起的位置，第一时间发现网络异常情况。根据位置信息可以实现对不同区域访问流量的差异化控制。支持根据自定义位置。全面的防护范围越来越多的信息资产连接到了互联网上，网络攻击和信息窃取形成巨大的产业链，这对下一代防火墙的防护范围提出了更高要求。6000具备全面的防护功能： • 一机多能：集传统防火墙、、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功能于一身，简化部署，提高管理效率。 • 入侵防护（）：超过5000种漏洞特征的攻击检测和防御。支持攻击识别和防护，如跨站脚本攻击、注入攻击等。 • 防病毒（）：高性能病毒引擎，可防护500万种以上的病毒和木马，病毒特征库每日更新。 • 防御：防火墙可以与沙箱联动实现对未知威胁的防御。防火墙从网络流量中识别并提取可疑的文件型流量，并将其送入沙箱进行威胁分析。沙箱通过分析、识别未知文件运行之后的行为判断流量是否为恶意。防火墙根据沙箱的检测结果对流量进行处理。 • 数据防泄漏：对传输的文件和内容进行识别过滤。可识别120+种常见文件类型，防止通过修改后缀名的病毒攻击。能对、、、、等30+文件进行还原和内容过滤，防止企业关键信息通过文件泄露。 • 解密：作为代理，可对加密流量进行应用层安全防护，如、、数据防泄漏、过滤等。 • ：可以识别和防范 ﬂ、 ﬂ等10+种攻击，识别500多万种病毒。 • 上网行为管理：采用基于云的分类过滤，预定义的分类库已超过1.2亿，阻止员工访问恶意网站带来的威胁，满足合规要求。并可对员工的发帖、等上网行为进行控制。可对上网记录进行审计。 • 安全互联：丰富的特性，确保企业总部和分支间高可靠安全互联。支持、、 L2 、、等。 • 带宽管理：基于应用灵活的管理流量带宽的上限和下限，可基于应用进行策略路由和标签着色。支持对分类的标签着色，例如：优先转发对财经类网站的访问。 • 负载均衡：支持服务器间的负载均衡。对多出口场景，可按照链路质量、链路带宽比例、链路权重基于应用进行负载均衡。 • 虚拟化：支持多种安全业务的虚拟化，包括防火墙、入侵防御、反病毒、等。不同用户可在同一台物理设备上进行隔离的个性化管理。简单的安全管理 • 下一代防火墙的防护范围和控制精度比传统防火墙大大增加，这对使用者的经验和技能提出了更高的要求。华为6000利用功能降低对使用者的要求，更好的进行防护。主要具备以下功能：快速部署策略：内置场景策略模板，不依赖使用者的经验也能快速地部署常用防护策略。例如：如果希望使用网络存储，管理员仅需基于“使用网盘”这个策略模板，就能建立一系列策略。在策略中，对网盘类应用允许下载并进行病毒检测，但禁止文件上传。智能优化策略：根据内置应用风险库和网络实际流量对已部署的安全策略进行评估和优化，使其符合最小授权原则。在企业遗留大量端口防护策略，需要转换为使用的应用防护策略时尤其有用。智能精简策略：自动发现重复的和长期没有使用的策略，精简策略规模，简化管理。 •网络安全分析报告管理员可以通过“网络安全分析报告”功能对当前网络的安全状态进行评估，并给出相关优化建议。从防火墙导出报表原始数据文件，上传到华为安全中心平台即可生成“网络安全分析报告”。该报告提供多种报表形式（如饼图、柱状图和折线图）来展现流量分析、威胁分析、网页浏览分析和数据泄露行为分析的结果，使管理员可以直观地了解当前网络的安全性及对安全弱点的补救措施。高效防护性能产品当开启应用层防护时性能下降明显，无法满足当前应用层防护的性能要求。下一代防火墙要求在多重防护的情况下仍保持高性能。三位一体化助推高性能体验 6000系列下一代防火墙采用全新架构的智能感知引擎（，），采用了一次解析多业务并行处理的架构，确保多重防御下的高性能体验。使用了三大核心技术： • 一体化描述语言：应用识别、、采用统一的描述语言，一次性处理，一次性分析，减少重复的操作； • 一体化处理架构：不同于对各个安全功能串行处理，6000在完成统一解析后，各安全业务检查是并行的，最后做统一处理。每个步骤一次性做好，确保多安全业务开启情况下，对整体性能影响最小； • 软硬结合一体化：对有规律、大批量、高运算能力要求的报文处理，例如：报文加解密、特征匹配，采用专用多核平台由专用的协处理器硬件处理。对小规模的运算，仍然用软件处理。软硬结合一体化的处理方式让整体性能更高。 2. 典型应用场景 31 / 32 企业内网边界防护 • 在企业内网部门和无线接入的汇聚网络部署下一代防火墙。对用户通过防火墙策略基于用户信息进行访问控制。 • 对移动用户采用基于用户+应用的策略控制，实现精细权限管理，并记录日志。 • 对邮件、、文件传输等进行内容过滤和审计，监控社交类应用，避免数据泄露。互联网出口防护 • 在互联网出口部署下一代防火墙，在出口进行访问控制，阻止一切非认证访问。 • 启用入侵防御功能，提供万兆级应用层威胁实时防护。 • 对邮件、、文件传输等进行内容过滤和审计，监控社交类应用，避免数据泄露。 • 基于用户、应用、时间进行管理，优先保障核心用户和关键业务的服务质量。 • 通过分类和应用阻断进行上网行为管理。阻断挂马网站和工作无关网站，根据角色监控员工可以访问的网站和可以使用的网络应用。云数据中心边界防护 • 数据中心出口部署下一代防火墙，进行安全业务和系统资源的虚拟化特性，可为每个虚拟环境提供超乎寻常的安全体验。 • 万兆级入侵防御可有效阻断各类黑客攻击，并可根据不同的虚拟环境需求，提供差异化的防御特性，保障数据安全。 •通过特性，对拒绝服务攻击流量进行清洗，保障数据中心对外业务。远程互联 • 通过下一代防火墙的接入，在互联网上构建一条可信、可控、可管的安全传输隧道。 • 在外人员和移动用户可通过接入，提供、、、，多种操作系统支持，提供泛终端的接入能力。型号 6306 6308 6330 6350 6360 6370 6380 6390 6390E 固定接口 42 84 84 接口扩展可扩展千兆电口/千兆光口/万兆光口，支持插卡可扩展千兆电口/千兆光口/万兆光口，支持插卡产品形态 1U 1U 1U 尺寸 (W×D×H) 442×421×44.4 442×421×44.4 442 ×421 ×44.4 满配重量 7.9 8.6 8.7 型号 6306 6308 6330 6350 6360 6370 6380 6390 6390E 选配可热插拔硬盘选配可热插拔硬盘选配可热插拔硬盘冗余电源选配选配选配最大功率 170W 170W 350W 电源 100～240V 工作环境温度：0～45°C (不含硬盘)/5°C～40°C (包含硬盘) 湿度：5%～95% (不含硬盘)/ 5%～90% (包含硬盘) 非工作环境温度：-40°C～70°C /湿度：5%～95% 认证软件认证：，，，：4+ ：推荐级硬件认证，，，，()，，，，，功能特性一体化防护集传统防火墙、、入侵防御、防病毒、数据防泄漏、带宽管理、、过滤、反垃圾邮件等多种功能于一身，全局配置视图和一体化策略管理。应用识别与管控最多可识别6000+应用，访问控制精度到应用功能，例如：区分微信的文字和语音。应用识别与入侵检测、防病毒、内容过滤相结合，提高检测性能和准确率。入侵防御与防护最多超过5000种漏洞特征的攻击检测和防御。第一时间获取最新威胁信息，准确检测并防御针对漏洞的攻击。可防护各种针对的攻击，包括注入攻击和跨站脚本攻击等。防病毒病毒库每日更新，可迅速检出超过500万种病毒。防御与沙箱联动，对恶意文件进行检测和阻断。数据防泄漏对传输的文件和内容进行识别过滤，可准确识别常见文件的真实类型，如、、、等，并对敏感内容进行过滤。带宽管理在识别业务应用的基础上，可管理每用户使用的带宽，确保关键业务和关键用户的网络体验。管控方式包括：限制最大带宽或保障最小带宽、应用的策略路由、修改应用转发优先级等。过滤分类库超过1.2亿，可区分对不同类别网站的访问，并对访问行为进行管理，防范恶意网站对企业网络的侵害。可对特定类别网站的访问进行加速，保障对高优先级网站的访问体验。型号 6306 6308 6330 6350 6360 6370 6380 6390 6390E 行为和内容审计可基于用户的访问地址和内容进行审计、溯源。负载均衡支持服务器负载均衡和链路负载均衡，充分利用现有网络资源。业务智能选路支持基于业务的策略路由，在多出口场景下可根据多种负载均衡算法（如带宽比例、链路健康状态等）进行智能选路。加密支持丰富高可靠性的特性，如、、L2 、、等；提供自研的客户端，实现、L2 和L2 用户远程接入。加密流量检测可作为代理检测并防御隐藏在加密流量中的威胁，包括入侵防御、防病毒、内容过滤、过滤等应用层防护。用户认证支持多种用户认证方式，包括本地、、、、、、、等。防火墙支持内置及重定向功能，与配合可以实现微信认证。安全虚拟化支持多种安全业务的虚拟化，包括防火墙、入侵防御、反病毒、等。不同用户可在同一台物理设备上进行隔离的个性化管理。智能策略管理预置常用防护场景模板，快速部署安全策略，降低学习成本。自动评估安全策略存在的风险，智能给出优化建议。支持策略冲突和冗余检测，发现冗余的和长期未使用策略，有效控制策略规模。与公司合作提供安全策略管理解决方案，降低运维成本，减少故障风险。丰富的报表可视化多维度报表呈现，支持用户、应用、内容、时间、流量、威胁、等多维度呈现报表。通过华为安全中心平台生成“网络安全分析报告”，对当前网络的安全状态进行评估，并给出相关优化建议。路由特性全面支持46下的多种路由协议，如、、、、6、6等；部署及可靠性透明、路由、混合部署模式，支持主/主、主/备特性。型号 6306 6308 6330 6350 6360 6370 6380 6390 6390E 配套管理能力：防火墙自带的设备管理界面，提供了丰富的设备管理和维护功能，包括输出日志报表，配置各种功能，进行故障诊断等。：防火墙配套的网管软件，可以提供性能、告警、资源、配置、拓扑等管理能力，实现全网设备的统一管理。：在华为敏捷网络解决方案中，用户可以通过敏捷控制器实现基于应用及用户的安全策略控制。：防火墙配套的安全事件管理系统，可以提供安全态势感知、报表管理、日志审计、集中告警管理等功能。敏捷云网管理平台：敏捷云网解决方案是华为的云管理网络解决方案，它包括云管理平台和全系列云化网络设备。用户可以通过购买云管理实现防火墙管理和维护托管，节省网管软件及网管人员投资。敏捷云网管理模式下防火墙的功能请参见《华为6300云管理防火墙详版彩页》。 2.7华为 5630 华为5600/5800系列安全接入网关趋势与挑战随着当今网络业务的迅速发展，企业必须扩展其内网、、、等应用服务资源和数据资源的访问领域，以满足越来越多的远程接入需求，比如分支机构接入、合作伙伴接入、客户接入、出差员工接入、移动办公接入、居家办公接入等等。接入的网络环境也越来越复杂，除了受管理的分支机构网络以及合作伙伴的网络接入之外，还需要考虑从分散的、未受有效管理的家庭网络以及公共、3G网络接入；使用的接入设备类型也越来越丰富，除了传统的固定接入终端（包括和便携机）外，智能终端设备接入企业网络的需求也逐步增强；为了提供快速及时的商务能力，企业必须确保处于各种复杂的网络环境以及使用不同接入终端的合法用户，能够快速方便的安全地访问内网企业信息资源，同时还必须确保企业内网的安全性。产品概述华为5600/5800系列产品是华为公司最新推出的安全接入网关产品，采用电信级的可靠硬件平台，安全的实时嵌入式操作系统，传承多年在通讯、网络领域的研发、设计能力，满足各种严苛的国际认证规范，为企业、政府、运营商提供远程接入、移动办公、分支机构互联、云接入、多媒体隧道接入等安全解决方案。产品外观 5600/5800 系列安全接入网关产品特性卓越的接入能力，访问随心强大的接入性能最高支持100,000用户并发接入，业界最高性能之一，满足超大规模用户并发接入场景。 5600/5800系列安全接入网关采用全新架构的硬件平台，采用专用多核平台，多个并行处理。先进的硬件和三大核心技术的使用，使5800系列产品能够轻松应付100,000 并发用户场景，满足超大规模并发安全接入的需求。广泛的终端适应性智能移动终端的发展使得接入企业内网的终端类型更加多样化。5600/5800系列安全网关支持、、、、、、等主流操作系统平台，用户可自由选择终端平台的类型。全面的解决方案在某些场景下并不能完全取代以及其它类型的接入方式，不同的接入技术应用在不同的领域，相互之间是可以进行互补的。5600/5800系列安全接入网关支持多达5种接入类型，包括、、、L2 、，帮助客户部署一体化解决方案，根据实际的业务类型选择最适用的技术来满足安全接入需求。立体的防护管控，安全随身丰富的认证方式 5600/5800系列安全接入网关支持本地口令（）、、、、数字证书、令牌、短信、终端标识码、图形码、认证方式。单一的认证方式易被窃取，为了进一步提高身份认证的安全性，支持混合认证，可针对用户名密码、证书认证、外部认证、硬件特征码、短信认证等进行多因素捆绑认证，这几种认证方式必须同时满足才能够接入系统。如果需要几种接入方式做备份接入选择，那么还可以选择对于以上几种认证方式进行组合，只要通过一种认证方式即可接入到系统中。多种认证方式、完善的认证体系，使得企业在可以根据相应的安全级别，对客户端的认证方式进行选择组合，最大限度地保证了接入用户的合法性和企业内网资源的安全。同时，企业可以根据自身需求、认证体系的建设情况灵活选择认证方式，保护企业的原始投资。精细的安全管控 5600/5800系列安全接入网关可提供基于应用、、端口以及的细粒度访问控制，超过 6000种应用协议识别，实现对用户访问的精细管控。基于应用的访问控制，如允许、等应用流量通过，但是阻止社交应用通过。基于应用的控制，可以对流量进行更加细粒度的分类，实现精确控制，确保合规应用接入。基于应用的流量管控，如限制视频流量的带宽，保证其它业务应用的带宽，可以对流量进行更加细粒度的分类，实现精确控制，确保企业带宽资源不被滥用。立体的安全防护 5600/5800系列安全接入网关可以对接入终端的安全属性进行检查，根据检查结果可以限制用户可访问的资源，或者限制用户登录，避免不安全终端接入到安全内网后带来的隐患。在访问结束时，采用必要的手段清除不可信终端上的访问痕迹（例如生成的临时文件、等），以防止泄密，杜绝安全隐患。 5600/5800系列安全接入网关还可根据访问数据特征，以及攻击的不同手段，主动识别出数十种常见的攻击种类，可以主动发现并隔断这些非法攻击，消除了内部网络遭受攻击的可能，确保用户终端设备安全访问业务资源，避免成为攻击跳板。领先的虚拟化技术一台5600/5800系列安全接入网关物理实体，可以通过虚拟技术将其虚拟为多个逻辑上的网关，提供给多个企业或者一个企业的多个部门使用，每台设备上提供的虚拟网关是逻辑上独立的，为不同部门和不同企业提供独立安全的访问体系。5600/5800系列产品最高可支持512个虚拟网关。通过虚拟网关技术，不但使设备的利用率得到最大化，更降低了企业对设备的投资成本。同时，支持虚拟运营，可为运营商提供多种运营模式，灵活方便，安全可控，为企业和运营商带来更高的投资回报。敏捷的访问体验，业务随行灵活的接入方式支持代理、文件共享、端口转发、网络扩展和多媒体隧道五种接入方式，用户可灵活选择业务接入的方式。 • 代理：远端用户通过浏览器对内网页面发起请求，接收这一请求转发给内网服务器，并将服务器的响应以网页形式回传给用户。网页信息在公网传输的过程，经过加密隧道，确保了将内网资源安全、真实地反映给远程用户。 • 文件共享：通过将内网文件系统化，使用户直接通过浏览器就能在内网文件系统上创建和浏览目录，进行下载、上传、改名、删除等文件操作，就像对本机文件系统进行操作一样方便安全。安全接入网关通过支持协议和协议，实现了用户对文件系统和文件系统的安全远程访问。 • 端口转发：采用协议对应用进行保护，并且对应用进行访问控制。通过在客户端安装控件拦截待转发的服务，并且将数据流经协议加密传送给安全接入网关，由安全接入网关解密并解析后传送给相应的应用服务器，从而确保了应用的安全。 • 网络扩展：通过网络扩展功能为网络层的应用和资源提供远程接入能力，支持两种方式实现企业内网的逻辑扩展，一种是基于的3层（ L3），另外一种是基于的3层（ L3）。 • 多媒体隧道：通过提供客户端软件组件，由多媒体业务客户端将该的安全组件集成后，可以为多媒体客户端软件提供安全加密功能，并且由于隧道在穿越、防火墙方面天然具有的优势，隧道定制功能也可以解决多媒体业务在实际部署时经常遇到的私网穿越问题。智能动态优选多线路智能优选，提升访问质量，5600/5800系列安全接入网关的多线路智能选路特性可根据线路的质量状态优选最佳的线路接入，从而避免跨运营商的时延问题。支持网关分布部署优选访问，提升访问效率。对于分布地域部署安全接入网关的场景，的智能优先功能通过客户端持续探测分布网关的访问质量，优先选择访问速度最快的网关接入。帮助企业移动办公用户自动选择就近网关接入，大大提升访问质量。业务随行 5600/5800系列安全接入网关与敏捷园区方案配套可实现不管用户身处何地，使用哪个地址，都可以保证该用户获得相同的网络权限和网络体验，而且策略的执行点会跟随用户移动，从而达到体验随身，高效合理利用企业网络资源。用户限流：通过统一配置，在用户接入认证时，会向设备下发该用户的带宽阈值。这样可以限制每个用户的内网总带宽，以避免用户运行消耗大带宽的应用导致园区网络拥塞。优先接入：如果接入网关上接入用户数已满，新接入用户是用户，则安全接入网关会自动强制部分普通用户下线，为用户释放资源，保证其正常接入。流量优先转发：根据优先级优先转发高优先用户的流量，同时将用户的优先级映射到流量优先级中，确保高优先级的用户流量能被边界网络的设备识别，并优先转发。组网应用应用于企业办公网络随着互联网的迅速普及，企业远程办公和移动接入的需求越来越多，如何在保障内网安全的前提下，确保处于各种复杂网络环境以及接入场景的合法用户，能够安全便捷地访问内网资源，成为企业发展获得竞争优势所亟须解决的问题。在网络出入口防火墙之后部署安全接入网关，如果企业划分了区，可部署在区，不影响原有的网络拓扑结构。对用户进行全面的身份认证、访问授权以及行为审计，充分保证用户身份的合法性，实现灵活细致的访问控制策略。对远程用户与企业内网之间的传输数据进行强加密，保护敏感信息，杜绝了有效信息的泄露。用于政府及事业单位随着电子政务、网上政府、政府自身的信息化业务系统等的发展，政府与自身分支机构、外界相关单位信息交互的“外网”安全和互连互通就变得尤为必要。通过构建网络，实现了政府以及事业单位整体的安全互联，使分散的部门连到统一的网络。构建出完整的基础网络平台，充分满足了政府行业整体网络实时互联互通的要求，对接入用户的身份进行严格认证，对传输数据进行强加密，保障信息化系统日常工作的高安全性。应用于桌面云解决方案在桌面云解决方案中采用设备，部署在云系统网络边界，提供高性能的请求转发、桌面云协议代理能力，提供多种负载均衡算法供用户选择，同时提供基于和源地址的会话保持、根据业务检查服务健康状态、防截屏、防跳转能力，应用于高安全、大规模的桌面云环境。产品规格 5630 5660 5830 5850 5860 5880 虚拟网关最高支持数 64 128 256 256 512 512 固定接口 42 84 4*10168 功能特性支持代理、文件共享、端口转发、网络扩展、多媒体隧道支持访问资源、资源、多媒体资源、基于4的资源、基于6的资源类型、、、L2 、用户认证支持本地口令认证()、认证、认证、认证、认证支持x.509数字证书认证、证书认证、短信认证、终端标识码校验、图形码校验支持支持分级认证、单点登录、软键盘功能授权控制基于角色的授权、外部组的授权映射；基于接入终端安全等级的动态授权基于应用、、端口、的细粒度访问控制；超过6000种应用协议识别操作系统平台支持支持、、、、、、等主流平台终端安全支持终端主机安全检查、缓存清除、终端标识码绑定、应用及网络层防护虚拟网关支持多个虚拟网关，服务虚拟化、网络虚拟化，认证、授权、业务、资源实现完全独立管理敏捷特性带宽管理、智能选路网络安全支持访问控制、、攻击防范等网络协议支持4和6 部署及可靠性透明、路由、混合部署模式，支持主/主、主/备特性

展开阅读全文