通州財(cái)政設(shè)計(jì)方案匯編

1、 通州財(cái)政WLAN無(wú)線網(wǎng)絡(luò)覆蓋設(shè)計(jì)方案通州財(cái)政局WLAN網(wǎng)絡(luò)覆蓋設(shè)計(jì)方案聯(lián)通通州分公司2014年9月目錄第一章. 概述11. 概述1第二章. 項(xiàng)目需求分析31. 總體要求32. 網(wǎng)絡(luò)覆蓋的范圍33. 技術(shù)要求3第三章. 整體設(shè)計(jì)51. 設(shè)計(jì)原則52. 整體區(qū)域設(shè)計(jì)5第四章. 方案優(yōu)勢(shì)11第五章. 產(chǎn)品介紹135.1智能防火墻AF1210135.2上網(wǎng)行為管理AC155.3 WX5500系列多業(yè)務(wù)無(wú)線控制器175.4 S5500-EI 系列以太網(wǎng)交換機(jī)185.5 WA2610無(wú)線AP19第一章. 概述1. 概述北京通州財(cái)政局是貫徹落實(shí)國(guó)家和本市關(guān)于財(cái)政、財(cái)務(wù)、會(huì)計(jì)管理方面的法律、法規(guī)、規(guī)章和政策

2、；編制并組織實(shí)施本區(qū)中長(zhǎng)期財(cái)政計(jì)劃；參與擬訂本區(qū)重大經(jīng)濟(jì)決策和措施、辦法，研究提出運(yùn)用財(cái)稅政策對(duì)經(jīng)濟(jì)運(yùn)行實(shí)施調(diào)控和綜合平衡本區(qū)財(cái)力的建議；執(zhí)行市與區(qū)縣、國(guó)家與企業(yè)的分配政策；擬訂完善鼓勵(lì)公益事業(yè)發(fā)展的財(cái)稅相關(guān)措施、辦法的政府機(jī)構(gòu)，財(cái)政局辦公大樓主要有辦公樓主樓9層，備用樓層4層，包含辦公區(qū)域、食堂、學(xué)習(xí)會(huì)議室、健身房、地下車庫(kù)。無(wú)線網(wǎng)絡(luò)是財(cái)政單位的一項(xiàng)基礎(chǔ)設(shè)施，無(wú)線網(wǎng)絡(luò)是有線網(wǎng)絡(luò)的有效補(bǔ)充和擴(kuò)展，采用高速以太技術(shù)和802.11a/b/g/n無(wú)線網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)財(cái)政辦公區(qū)域網(wǎng)絡(luò)的全面覆蓋，即實(shí)現(xiàn)辦公區(qū)域內(nèi)在任何地方都可以進(jìn)行網(wǎng)上辦公、網(wǎng)上學(xué)習(xí)、網(wǎng)上科研及網(wǎng)上服務(wù)的一種普通計(jì)算的辦公網(wǎng)絡(luò)文化，逐步實(shí)現(xiàn)

3、辦公網(wǎng)絡(luò)信息化、現(xiàn)代化的目標(biāo)。建設(shè)目標(biāo)覆蓋辦公樓所有空間，包括辦公區(qū)域、食堂、學(xué)習(xí)會(huì)議室、健身房、地下車庫(kù)等等，為辦公和會(huì)議、健身生活提供切實(shí)可用的無(wú)線網(wǎng)絡(luò)環(huán)境；同已有有線網(wǎng)絡(luò)骨干無(wú)縫結(jié)合，成為原有辦公網(wǎng)的有力補(bǔ)充，可以通暢、安全地訪問(wèn)財(cái)政內(nèi)網(wǎng)，外部網(wǎng)絡(luò)；利用各種安全技術(shù)，保證無(wú)線網(wǎng)及辦公網(wǎng)絡(luò)的安全；第二章. 項(xiàng)目需求分析1. 總體要求目前辦公大樓存在固定網(wǎng)絡(luò)，為了更高效的辦公，實(shí)現(xiàn)現(xiàn)代化，信息化，需要建立一張無(wú)線網(wǎng)絡(luò)，建立無(wú)線網(wǎng)絡(luò)就需要升級(jí)帶寬，還有原來(lái)網(wǎng)絡(luò)的一些小問(wèn)題需要緊急處理，就是在辦公網(wǎng)中，員工私自鏈接小路由器、小交換機(jī)，不但影響網(wǎng)絡(luò)的穩(wěn)定，而且還不安全。由于建造無(wú)線網(wǎng)絡(luò)，需要加大帶

4、寬，隨之相應(yīng)原來(lái)的帶有路由功能的光纖貓就不能滿足需求，因此我們需要建造無(wú)線網(wǎng)絡(luò)，使用技術(shù)手段解決光纖貓性能和辦公網(wǎng)出現(xiàn)的問(wèn)題。對(duì)于員工上網(wǎng)辦公等需要相對(duì)安全的網(wǎng)絡(luò)環(huán)境，我們需要審計(jì)員工上網(wǎng)行為，上網(wǎng)的記錄，發(fā)現(xiàn)問(wèn)題立刻解決，這也是國(guó)家對(duì)相關(guān)部門硬性要求。2. 網(wǎng)絡(luò)覆蓋的范圍本次建設(shè)覆蓋范圍包括：地下停車場(chǎng)、辦公樓、食堂、備辦公樓的員工會(huì)議室，健身房等位置。3. 技術(shù)要求1. 運(yùn)用技術(shù)手段保證無(wú)線網(wǎng)絡(luò)的穩(wěn)定、安全、有效的運(yùn)行。2. 運(yùn)用技術(shù)手段將原來(lái)的光纖帶寬在防火墻上做分流，一部分 給有線網(wǎng)絡(luò)，一部分給無(wú)線網(wǎng)絡(luò)使用。3. 使用硬件應(yīng)用防火墻保證內(nèi)網(wǎng)，網(wǎng)絡(luò)出口數(shù)據(jù)的轉(zhuǎn)發(fā)，相對(duì)安全內(nèi)部網(wǎng)絡(luò)環(huán)境。4

5、. 使用上網(wǎng)行為管理管理內(nèi)部網(wǎng)絡(luò)的迅雷下載、QQ等不應(yīng)該出現(xiàn)的流量，包括私接的小路由，小交換的行為導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定都可做到有效控制。5. 對(duì)網(wǎng)絡(luò)設(shè)備要求能夠遠(yuǎn)程管理，方便運(yùn)維人員的管理和排障，在網(wǎng)絡(luò)出現(xiàn)問(wèn)題時(shí)，有效解決網(wǎng)絡(luò)故障，恢復(fù)網(wǎng)絡(luò)使用。第三章. 整體設(shè)計(jì)1. 設(shè)計(jì)原則網(wǎng)絡(luò)設(shè)計(jì)應(yīng)該遵循開(kāi)放性和標(biāo)準(zhǔn)化原則、實(shí)用性與先進(jìn)性兼顧原則、可用性原則、高性能原則、經(jīng)濟(jì)性原則、可靠性原則、安全第一原則、適度的可擴(kuò)展性原則、充分利用現(xiàn)有資源原則、易管理性原則、易維護(hù)性原則、最佳的性能價(jià)格比原則、QoS保證原則。2. 整體區(qū)域設(shè)計(jì)本次設(shè)計(jì)將原有網(wǎng)絡(luò)從一個(gè)大二層網(wǎng)絡(luò)重新規(guī)劃為相對(duì)穩(wěn)定的三層架構(gòu)，各區(qū)域的設(shè)備和主

6、要功能如下：2.1. 核心互聯(lián)區(qū)增加性能強(qiáng)大H3C 5500交換機(jī)為核心交換機(jī)，主要負(fù)責(zé)與其他各個(gè)區(qū)域的互聯(lián)和數(shù)據(jù)的三層轉(zhuǎn)發(fā)，為整個(gè)網(wǎng)絡(luò)提供高速的數(shù)據(jù)交換，同時(shí)保留原有網(wǎng)絡(luò)架構(gòu)不變。2.2. 服務(wù)器區(qū)增加防火墻，防止外部對(duì)網(wǎng)絡(luò)攻擊，防火墻把整個(gè)網(wǎng)絡(luò)劃分為三個(gè)區(qū)域，一部份為外部網(wǎng)絡(luò)不可信賴區(qū)域，一部分為內(nèi)部網(wǎng)絡(luò)可信賴區(qū)域，另一部份為DMZ區(qū)域，保證服務(wù)器的安全穩(wěn)定運(yùn)行。2.3. 內(nèi)部網(wǎng)絡(luò) 對(duì)于原來(lái)單位內(nèi)部網(wǎng)絡(luò)不安全，網(wǎng)絡(luò)出口設(shè)備性能不佳，芯片處理速度慢，我們采用深信服的防火墻來(lái)做安全設(shè)備。如今網(wǎng)絡(luò)在改變網(wǎng)絡(luò)已經(jīng)深入日常生活 1、大量的新應(yīng)用建立在HTTP/HTTPS標(biāo)準(zhǔn)協(xié)議之上2、許多威脅依附在

7、應(yīng)用之中傳播肆虐3、根據(jù)報(bào)告：75%的攻擊來(lái)自應(yīng)用層4、攻擊的多樣化、黑客平民化傳統(tǒng)的防火墻基于包頭信息不能分辨應(yīng)用及內(nèi)容也不能區(qū)分用戶，更是不能分析記錄用戶的行為。因此我們采用深信服新一代防火墻設(shè)備，它可以做到基于用戶和應(yīng)用做安全控制，要求對(duì)用戶進(jìn)行識(shí)別和對(duì)應(yīng)用進(jìn)行識(shí)別。NGAF具備全面的用戶認(rèn)證系統(tǒng)和海量的應(yīng)用識(shí)別特征庫(kù)。對(duì)于單位的需求完全滿足。2.4. 對(duì)于單位員工行為的設(shè)計(jì)目前單位網(wǎng)絡(luò)中，員工私自接無(wú)線路由，交換等行為一方面影響網(wǎng)絡(luò)穩(wěn)定的運(yùn)行，另一方面單位不允許使用這些小路由，屢勸不該，加之員工互聯(lián)網(wǎng)風(fēng)險(xiǎn)意識(shí)不強(qiáng)，這樣做對(duì)于內(nèi)部網(wǎng)絡(luò)及其不安全，不懷好意的人可以通過(guò)這些小路由，交換鏈接到

8、網(wǎng)絡(luò)內(nèi)部，攻擊網(wǎng)絡(luò)，竊取信息，然而就是這些小路由小交換安全做的不夠好，無(wú)法有效的防御。網(wǎng)絡(luò)的發(fā)展與普及正在改變?nèi)藗兊纳a(chǎn)生活方式，互聯(lián)網(wǎng)正逐步成為重要的生產(chǎn)資料，組織業(yè)務(wù)正逐漸向互聯(lián)網(wǎng)轉(zhuǎn)型。 互聯(lián)網(wǎng)是一把”雙刃劍”，缺乏管理的互聯(lián)網(wǎng)已經(jīng)帶來(lái)諸多問(wèn)題：1、帶寬濫用，上網(wǎng)速度慢（P2P流量超過(guò)一半，訪問(wèn)網(wǎng)頁(yè)，ERP等無(wú)法順利進(jìn)行，帶寬無(wú)法有效的分配和利用）2、工作效率下降（上班時(shí)間網(wǎng)絡(luò)聊天、炒股、網(wǎng)游、看新聞等行為泛濫）3、機(jī)密信息被泄露，信息安全遭威脅（上網(wǎng)授權(quán)缺失，用戶肆意上網(wǎng)，為通過(guò)網(wǎng)絡(luò)泄密提供了通道，泄密后無(wú)據(jù)可查，責(zé)任難追究)4、違法網(wǎng)絡(luò)行為為企業(yè)帶來(lái)法律風(fēng)險(xiǎn)（肆意瀏覽非法、反動(dòng)網(wǎng)站，若

9、無(wú)具體日志記錄，無(wú)法舉證追蹤）5、安全威脅頻發(fā)、上網(wǎng)環(huán)境惡化（互聯(lián)網(wǎng)威脅越來(lái)越多；隱蔽和病毒感染技術(shù)越來(lái)越先進(jìn)）因此，我們采用業(yè)內(nèi)比較權(quán)威的先進(jìn)的深信服廠家的上網(wǎng)行為管理設(shè)備杜絕這種情況產(chǎn)生。對(duì)于上網(wǎng)行為管理產(chǎn)品，它可以做到一下幾個(gè)方面： 1、應(yīng)用授權(quán)其中包括：網(wǎng)站訪問(wèn)、言論發(fā)布、文件傳輸、郵收發(fā)、IM/P2P等應(yīng)用、控制與提醒； 2、帶寬管理其中包括：多線路流控、用戶/組流控、應(yīng)用流量、文件流控； 3、行為記錄其中包括：網(wǎng)站訪問(wèn)、外發(fā)言論、SSL加密應(yīng)用、郵件、文件收發(fā)、IM聊天等行為、免審計(jì)Key 4、報(bào)表分析其中包括：獨(dú)立數(shù)據(jù)中心、統(tǒng)計(jì)/對(duì)比/趨勢(shì)、風(fēng)險(xiǎn)智能報(bào)表、數(shù)據(jù)挖掘與分析、內(nèi)容快速

10、檢索、日志權(quán)限Key 5、安全防護(hù)其中包括：終端安全檢查、網(wǎng)絡(luò)準(zhǔn)入控制、安全桌面、過(guò)濾腳本、插件、危險(xiǎn)流量封堵、查殺木馬、病毒、無(wú)線熱點(diǎn)發(fā)現(xiàn)；所以上網(wǎng)行為管理設(shè)備完全滿足我們的需求，而且對(duì)于政府部門這類設(shè)備是國(guó)家規(guī)定必須使用的設(shè)備。對(duì)于原有網(wǎng)絡(luò)架構(gòu)不變，增加無(wú)線網(wǎng)絡(luò)覆蓋，對(duì)用戶的上網(wǎng)行為進(jìn)行審計(jì)，可以做到針對(duì)每個(gè)用戶可以做到控制，完全禁止員工私自接入小路由，小交換，記錄員工上網(wǎng)記錄，以及發(fā)送內(nèi)容等。基于網(wǎng)絡(luò)的先進(jìn)性考慮,本次無(wú)線網(wǎng)絡(luò)項(xiàng)目采用目前主流的無(wú)線控制器+瘦AP的架構(gòu),在實(shí)現(xiàn)對(duì)辦公網(wǎng)絡(luò)進(jìn)行無(wú)縫覆蓋的同時(shí),又能夠?qū)崿F(xiàn)對(duì)無(wú)線網(wǎng)絡(luò)的靈活管理配置,提高網(wǎng)絡(luò)維護(hù)效率。由于本次項(xiàng)目所需室內(nèi)AP數(shù)量較

11、多，所以在本次無(wú)線網(wǎng)絡(luò)解決方案采用高端無(wú)線控制器H3C EWP-WX3024E-POEP放在網(wǎng)絡(luò)核心，實(shí)現(xiàn)對(duì)于無(wú)線網(wǎng)絡(luò)中所有的室內(nèi)AP的統(tǒng)一管理。H3C EWP-WX3024E-POEP高端無(wú)線控制器最大可管理128個(gè)AP，完全能夠管理本次項(xiàng)目所需的室內(nèi)AP；室內(nèi)型AP采用WA2620-E雙頻AP，WA2620-E支持六個(gè)射頻模塊，可以同時(shí)工作在2.4GHz和5GHz，在設(shè)備數(shù)量不變的情況下，把網(wǎng)絡(luò)的介入容量提高幾倍，以滿足WLAN用戶快速增長(zhǎng)的需求；PoE交換機(jī)采用LS5120-28P PoE千兆交換機(jī)，H3C S5120系列PoE交換機(jī)最大提供AC輸入： 523W DC輸入： 832W供電

12、功率，可以滿足24口同時(shí)接AP的供電需求；管理方面，H3C可以部署iMC智能管理中心，通過(guò)在iMC智能管理中心上增加WSM無(wú)線業(yè)務(wù)管理組件的方式實(shí)現(xiàn)對(duì)無(wú)線控制器、室內(nèi)AP、室外AP設(shè)備的統(tǒng)一管理。簡(jiǎn)易邏輯組網(wǎng)圖如下圖所示：2.5. 無(wú)線覆蓋匯總 覆蓋目標(biāo)描述數(shù)量 停車場(chǎng)四個(gè)角落各1個(gè)，中間2個(gè)6一層辦公樓后廚3個(gè)，食堂大廳5個(gè)，辦公樓走廊4個(gè)12二層辦公樓備樓會(huì)議室5個(gè)，走廊4個(gè)，主樓走廊4個(gè)13三層辦公樓健身房2個(gè)，走廊7個(gè)，302會(huì)議室4個(gè)11四層辦公樓辦公樓主樓走廊4個(gè)4五層辦公樓辦公樓主樓走廊5個(gè)5六層辦公樓辦公樓主樓走廊5個(gè)5七層辦公樓辦公樓主樓走廊4個(gè)4八層辦公樓辦公樓主樓走廊4個(gè)

13、4九層辦公樓辦公樓主樓走廊4個(gè)4具體點(diǎn)位圖，請(qǐng)參照網(wǎng)絡(luò)信息圖紙。第四章. 方案優(yōu)勢(shì)4.1全面完整無(wú)線有線統(tǒng)一管控：除了傳統(tǒng)的封堵、流控、審計(jì)等功能外，深信服的上網(wǎng)行為管理針對(duì)無(wú)線、有線網(wǎng)絡(luò)的各種PC、移動(dòng)終端上網(wǎng)遇到的新問(wèn)題、新風(fēng)險(xiǎn)，提供了統(tǒng)一全面的管理功能：?jiǎn)T工、來(lái)賓的統(tǒng)一接入管理，BYOD的權(quán)限控制、移動(dòng)APP/云應(yīng)用管控和審計(jì)。從而簡(jiǎn)化了IT運(yùn)維操作，降低了管理難度。4.2終端識(shí)別與流量控制通過(guò)無(wú)線控制器自動(dòng)識(shí)別終端類型，根據(jù)終端類型設(shè)置相應(yīng)的流量控制策略。實(shí)現(xiàn)了針對(duì)終端精細(xì)的流量控制。例如禁止手機(jī)完微博、炒股、斗地主等等，對(duì)于應(yīng)用的雜亂無(wú)章，難以管控，本方案中無(wú)線控制器通過(guò)內(nèi)置全國(guó)最大

14、的應(yīng)用識(shí)別庫(kù)和URL庫(kù)，自動(dòng)識(shí)別無(wú)線流量類型，并根據(jù)終端類型設(shè)置相應(yīng)的流量控制策略。對(duì)于重要的OA、郵件、財(cái)務(wù)等辦公系統(tǒng)進(jìn)行重點(diǎn)的帶寬保障，防止了其流量被搶占。對(duì)于高耗流量的風(fēng)行、迅雷、電驢等P下載，視頻瀏覽進(jìn)行帶寬限制，防止此類應(yīng)用對(duì)于帶寬的過(guò)分搶占，從而保障了政府正常的辦公網(wǎng)絡(luò)4.3智能聯(lián)動(dòng)：互聯(lián)網(wǎng)出口上網(wǎng)行為管理設(shè)備和無(wú)線網(wǎng)絡(luò)上網(wǎng)行為管理設(shè)備之間需要通過(guò)用戶認(rèn)證信息的聯(lián)動(dòng)、單點(diǎn)登錄等功能，將上網(wǎng)終端和用戶身份信息進(jìn)行同步關(guān)聯(lián)，讓用戶只需要認(rèn)證一次就可以讓AC同步識(shí)別身份信息，便于后續(xù)的報(bào)表分析、威脅定位、合規(guī)審計(jì)等。從而，也極大的減少IT管理員配置、運(yùn)維工作量。4.4更便捷的安全管理 二

15、維碼認(rèn)證通過(guò)二維碼認(rèn)證，訪客從接入無(wú)線到通過(guò)審核、時(shí)間就在十秒之內(nèi)完成，解決了便捷認(rèn)證、防蹭網(wǎng)、責(zé)任溯源三大訪客認(rèn)證難點(diǎn)。 802.1X自動(dòng)配置802.1X能有效保證北京市通州區(qū)地稅局單位網(wǎng)絡(luò)的安全性,但802.1X復(fù)雜的配置往往令802.1X認(rèn)證實(shí)施遇到巨大阻力。對(duì)此，深信服方案為北京市通州區(qū)地稅局單位提供了802.1X自動(dòng)配置工具，讓各個(gè)部門的人能夠輕松使用802.1X認(rèn)證。大大降低了802.1X認(rèn)證的推廣實(shí)施難度 帳號(hào)、MAC自動(dòng)綁定為了實(shí)現(xiàn)針對(duì)北京市通州區(qū)地稅局單位領(lǐng)導(dǎo)等人員帳號(hào)需要重點(diǎn)保障的情況，深信服針對(duì)重點(diǎn)帳號(hào)使用帳號(hào)、MAC自動(dòng)綁定。防止越權(quán)訪問(wèn)的同時(shí)減少管理員繁瑣的操作。而且

16、一個(gè)賬號(hào)最多綁定5個(gè)MAC，實(shí)現(xiàn)了安全性與靈活性的兼顧。第五章. 產(chǎn)品介紹5.1智能防火墻AF1210AF 1210 產(chǎn)品是一款基于應(yīng)用層設(shè)計(jì)和開(kāi)發(fā)的新一代應(yīng)用防火墻，與傳統(tǒng)安全設(shè)備相比它可以針對(duì)豐富的應(yīng)用提供更完整的、可視化的內(nèi)容安全保護(hù)方案。 AF解決了傳統(tǒng)安全設(shè)備在應(yīng)用可視化、應(yīng)用管控、應(yīng)用防護(hù)、未知威脅處理方面的巨大不足，同時(shí)開(kāi)啟所有功能后性能不會(huì)大幅下降。產(chǎn)品特點(diǎn)：更完整的安全防護(hù):單次解析引擎:傳統(tǒng)的 UTM產(chǎn)品通常為多設(shè)備的疊加，未實(shí)現(xiàn)真正的功能集成 , 一個(gè)數(shù)據(jù)包經(jīng)過(guò)各個(gè)模塊的串行處理，速度急劇下降。為了解決統(tǒng)一防護(hù)后設(shè)備性能急劇下降的難題，深信服科技采用了獨(dú)有的 “單次解析引

17、擎 ”技術(shù)，多種業(yè)務(wù)并發(fā)處理，將所有內(nèi)容掃描功能融合在一個(gè)模塊完成，這樣所有數(shù)據(jù)流只會(huì)有一次掃描，即使在多功能同時(shí)開(kāi)啟、威脅庫(kù)不斷增加的情況下，也不會(huì)造成性能的衰減和網(wǎng)絡(luò)時(shí)延的增加。其中應(yīng)用安全防護(hù)功能模塊可以幫助用戶抵御漏洞利用、病毒蠕蟲(chóng)、 Web入侵（ SQL注入等）、惡意網(wǎng)站、木馬后門等多種應(yīng)用威脅。 從而，AF避免了安全設(shè)備串糖葫蘆式的部署模式，可以為用戶提供更高性價(jià)比、功能更完整、可靠性更好、性能更高的防護(hù)方案。可視化的業(yè)務(wù)安全：精確制定應(yīng)用訪問(wèn)策略。AF獨(dú)創(chuàng)的應(yīng)用可視化引擎：AF獨(dú)創(chuàng)的應(yīng)用可視化引擎，可以根據(jù)應(yīng)用的行為和特征實(shí)現(xiàn)對(duì)應(yīng)用的識(shí)別和控制，而不僅僅依賴于端口或協(xié)議

18、，擺脫了過(guò)去只能通過(guò)IP地址來(lái)控制的尷尬,即使加密過(guò)的數(shù)據(jù)流也能應(yīng)付自如。目前，深信服AF 1210的應(yīng)用可視化引擎不但可以識(shí)別600多種的應(yīng)用及其應(yīng)用動(dòng)作，還可以與多種認(rèn)證系統(tǒng)（AD、LDAP、Radius等）、應(yīng)用系統(tǒng)（POP3、SMTP等）無(wú)縫對(duì)接，自動(dòng)識(shí)別出網(wǎng)絡(luò)當(dāng)中IP地址對(duì)應(yīng)的用戶信息，并建立組織的用戶分組結(jié)構(gòu)；既滿足了普通互聯(lián)網(wǎng)邊界行為管控的要求，同時(shí)還滿足了在內(nèi)網(wǎng)數(shù)據(jù)中心和廣域網(wǎng)邊界的部署要求，可以識(shí)別和控制豐富的內(nèi)網(wǎng)應(yīng)用。 因此，通過(guò)應(yīng)用可視化引擎制定的L3-L7一體化應(yīng)用控制策略, 可以為用戶提供更加精細(xì)和直觀化控制界面，在一個(gè)界面下完成多套設(shè)備的運(yùn)維工作，提升工作效率內(nèi)容的

19、安全識(shí)別：灰度未知威脅感知技術(shù)：為了解決未知威脅的智能識(shí)別和處理，深信服 NGAF采用了“威脅關(guān)聯(lián)分析引擎”，不再是單一的去檢查一種威脅，而是將病毒、漏洞、木馬、惡意網(wǎng)站、入侵等技術(shù)手段視為一個(gè)攻擊行為的多種攻擊動(dòng)作來(lái)進(jìn)行統(tǒng)一的分析和識(shí)別，因?yàn)榭梢宰畲笙薅鹊奶嵘龣z測(cè)精度和識(shí)別出未知威脅。因此， NGAF規(guī)避了傳統(tǒng)安全設(shè)備對(duì)未知攻擊的防范能力較弱的缺點(diǎn)，可以發(fā)現(xiàn)未知威脅，降低誤報(bào)率，提升響應(yīng)速度。5.2上網(wǎng)行為管理AC上網(wǎng)行為管理是大中型企業(yè)的網(wǎng)絡(luò)行為管理設(shè)備，能夠幫助企業(yè)用戶更好的管控網(wǎng)絡(luò)行為和網(wǎng)絡(luò)資源，最大化利用有限的網(wǎng)絡(luò)帶寬并保障網(wǎng)絡(luò)安全。AC系列產(chǎn)品是目前網(wǎng)絡(luò)行為識(shí)別率最高、性能最強(qiáng)的專

20、業(yè)上網(wǎng)行為管理設(shè)備。擁有著領(lǐng)先的網(wǎng)絡(luò)行為識(shí)別能力，除了識(shí)別普通的明文數(shù)據(jù)外，AC還可識(shí)別加密的流量和應(yīng)用，并通過(guò)基于統(tǒng)計(jì)學(xué)的網(wǎng)絡(luò)行為智能檢測(cè)技術(shù)（NBID），對(duì)用戶最新面臨的應(yīng)用進(jìn)行管理，進(jìn)而提高用戶的工作效率，避免機(jī)密信息的泄漏。由于采用了高性能的硬件平臺(tái)，以及不受硬盤空間限制、可獨(dú)立部署的數(shù)據(jù)中心，深信服NC的性能領(lǐng)先于其他同類產(chǎn)品，更好的滿足了大規(guī)模網(wǎng)絡(luò)的苛刻要求。1300萬(wàn)條URL過(guò)濾，人工智能網(wǎng)頁(yè)分析，1000種網(wǎng)絡(luò)應(yīng)用庫(kù)，應(yīng)用訪問(wèn)控制，報(bào)表和檢索，流量分析，帶寬管理，防DOS攻擊，防ARP欺騙。 產(chǎn)品特點(diǎn)：防止帶寬資源濫用 AC系列上網(wǎng)行為管理產(chǎn)品通過(guò)基于應(yīng)用類

21、型、網(wǎng)站類別、文件類型、用戶/用戶組、時(shí)間段等的細(xì)致帶寬分配策略限制P2P、在線視頻、大文件下載等不良應(yīng)用所占用的帶寬，保障OA、ERP等辦公應(yīng)用獲得足夠的帶寬支持，提升上網(wǎng)速度和網(wǎng)絡(luò)辦公應(yīng)用的使用效率。防止無(wú)關(guān)網(wǎng)絡(luò)行為影響工作效率 AC系列上網(wǎng)行為管理產(chǎn)品可基于用戶/用戶組、應(yīng)用、時(shí)間等條件的上網(wǎng)授權(quán)策略可以精細(xì)管控所有與工作無(wú)關(guān)的網(wǎng)絡(luò)行為，并可根據(jù)各組織不同要求進(jìn)行授權(quán)的靈活調(diào)整，包括基于不同用戶身份差異化授權(quán)、智能提醒等。記錄上網(wǎng)軌跡滿足法規(guī)要求 AC系列上網(wǎng)行為管理產(chǎn)品可以幫助組織詳盡記錄用戶的上網(wǎng)軌跡，做到網(wǎng)絡(luò)行為有據(jù)可查，滿足組織對(duì)網(wǎng)絡(luò)行為記錄的相關(guān)要求、規(guī)避可

22、能的法規(guī)風(fēng)險(xiǎn)。 管控外發(fā)信息，降低泄密風(fēng)險(xiǎn) AC系列上網(wǎng)行為管理產(chǎn)品充分考慮網(wǎng)絡(luò)使用中的主動(dòng)泄密、被動(dòng)泄密行為，從事前防范、事中告警、事后追蹤等多方面防范泄密，為組織保護(hù)信息資產(chǎn)安全，降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。掌握組織動(dòng)態(tài)、優(yōu)化員工管理 AC系列上網(wǎng)行為管理產(chǎn)品通過(guò)風(fēng)險(xiǎn)智能報(bào)表來(lái)自動(dòng)發(fā)現(xiàn)存在離職風(fēng)險(xiǎn)或有工作效率問(wèn)題的員工，并通過(guò)關(guān)鍵字報(bào)表和熱貼報(bào)表來(lái)反映員工思想動(dòng)態(tài)。風(fēng)險(xiǎn)智能報(bào)表能夠自動(dòng)提示管理者關(guān)注離職傾向、泄密風(fēng)險(xiǎn)、工作效率降低等員工管理風(fēng)險(xiǎn)，而關(guān)鍵字報(bào)表和熱貼排行等報(bào)表將有助于組織深入了解員工的思想動(dòng)態(tài)，并以此為基礎(chǔ)實(shí)施組織文化建設(shè)、制度改進(jìn)等針對(duì)性措施，從而提高員工管理水平。防

23、止病毒木馬等網(wǎng)絡(luò)風(fēng)險(xiǎn) 通過(guò)部署深信服AC系列上網(wǎng)行為管理產(chǎn)品，利用其內(nèi)置的危險(xiǎn)插件和惡意腳本過(guò)濾等創(chuàng)新技術(shù)過(guò)濾掛馬網(wǎng)站的訪問(wèn)、封堵不良網(wǎng)站等，從源頭上切斷病毒、木馬的潛入，再結(jié)合終端安全強(qiáng)度檢查與網(wǎng)絡(luò)準(zhǔn)入、DOS防御、ARP欺騙防護(hù)等多種安全手段，實(shí)現(xiàn)立體式安全護(hù)航，確保組織安全上網(wǎng)。5.3 WX5500系列多業(yè)務(wù)無(wú)線控制器WX5500系列無(wú)線控制器具有大容量、高可靠、業(yè)務(wù)類型豐富等特點(diǎn)，集精細(xì)的用戶控制管理、完善的射頻資源管理、7X24小時(shí)無(wú)線安全管控、二三層快速漫游、靈活的QoS控制、IPv4&IPv6雙棧等多功能于一體，提供強(qiáng)大的有線、無(wú)線一體化接入能力。產(chǎn)品特點(diǎn)：支持

24、智能AP負(fù)載分擔(dān)802.11協(xié)議把無(wú)線漫游的決策交給了無(wú)線客戶端，無(wú)線客戶端一般會(huì)根據(jù)AP信號(hào)強(qiáng)度(RSSI)選擇AP，這很容易導(dǎo)致大量的客戶端僅僅因?yàn)槟硞€(gè)AP信號(hào)較強(qiáng)而連接到同一個(gè)AP上。由于這些客戶端共享無(wú)線媒介，導(dǎo)致每個(gè)客戶端的網(wǎng)絡(luò)吞吐將大量減少。智能負(fù)載分擔(dān)方法可以實(shí)時(shí)地分析無(wú)線客戶端的位置，動(dòng)態(tài)地確定在當(dāng)前時(shí)刻和當(dāng)前位置下哪些AP可以彼此分擔(dān)負(fù)載，通過(guò)控制無(wú)線客戶端接入的AP，來(lái)實(shí)現(xiàn)這些AP間的負(fù)載分擔(dān)。系統(tǒng)不僅支持按照用戶在線會(huì)話數(shù)的負(fù)載分擔(dān)，而且支持按照用戶流量負(fù)載的分擔(dān)。支持7層移動(dòng)安全檢測(cè)/防御(wIDS/wIPS)WX5500系列無(wú)線控制器支持的移動(dòng)安全防御模式有：黑名單、

25、白名單、Rogue防御、畸形報(bào)文檢測(cè)、非法用戶下線、基于可預(yù)設(shè)升級(jí)的Signature MAC層攻擊檢測(cè)與反制(例如：DoS攻擊，F(xiàn)lood攻擊、中間人攻擊)等。配合無(wú)線應(yīng)用控制臺(tái)內(nèi)置的海量智能專家知識(shí)庫(kù)，可以獲得靈活的無(wú)線安全策略判斷依據(jù)，對(duì)于明確的非法攻擊源(AP或終端等)，實(shí)現(xiàn)可視的物理位置跟蹤監(jiān)控和交換機(jī)物理端口移除。5.4 S5500-EI 系列以太網(wǎng)交換機(jī)S5500增強(qiáng)型IPv6強(qiáng)三層萬(wàn)兆以太網(wǎng)交換機(jī)產(chǎn)品，具備業(yè)界盒式交換機(jī)最先進(jìn)的硬件處理能力和最豐富的業(yè)務(wù)特性。支持最多4個(gè)萬(wàn)兆擴(kuò)展接口，支持IPv4/IPv6硬件雙棧及線速轉(zhuǎn)發(fā)，使客戶能夠從容應(yīng)對(duì)即將帶來(lái)的IPv6時(shí)代；除此以外，

26、其出色的安全性，可靠性和多業(yè)務(wù)支持能力使其成為大型企業(yè)網(wǎng)絡(luò)和園區(qū)網(wǎng)的匯聚，中小企業(yè)網(wǎng)核心、以及城域網(wǎng)邊緣設(shè)備的第一選擇。產(chǎn)品特點(diǎn)：彈性擴(kuò)展 可以按照用戶需求實(shí)現(xiàn)彈性擴(kuò)展，保證用戶投資。并且新增的設(shè)備加入或離開(kāi)IRF架構(gòu)時(shí)可以實(shí)現(xiàn)“熱插拔”，不影響其他設(shè)備的正常運(yùn)行。高可靠 IRF的高可靠性體現(xiàn)在鏈路，設(shè)備和協(xié)議三個(gè)方面。成員設(shè)備之間物理端口支持聚合功能，IRF系統(tǒng)和上、下層設(shè)備之間的物理連接也支持聚合功能，這樣通過(guò)多鏈路備份提高了鏈路的可靠性；IRF系統(tǒng)由多臺(tái)成員設(shè)備組成，一旦Master設(shè)備故障，系統(tǒng)會(huì)迅速自動(dòng)選舉新的Master，以保證通過(guò)系統(tǒng)的業(yè)務(wù)不中斷，從而實(shí)現(xiàn)了設(shè)備級(jí)的1：N備份；I

27、RF系統(tǒng)會(huì)有實(shí)時(shí)的協(xié)議熱備份功能負(fù)責(zé)將協(xié)議的配置信息備份到其他所有成員設(shè)備，實(shí)現(xiàn)1：N的協(xié)議可靠性。高性能 對(duì)于高端交換機(jī)來(lái)說(shuō)，性能和端口密度的提升會(huì)受到硬件結(jié)構(gòu)的限制。而IRF系統(tǒng)的性能和端口密度是IRF內(nèi)部所有設(shè)備性能和端口數(shù)量的總和。因此，IRF技術(shù)能夠輕易的將設(shè)備的交換能力、用戶端口的密度擴(kuò)大數(shù)倍，從而大幅度提高了設(shè)備的性能。5.5 WA2610無(wú)線APWa2610是新一代基于終端感知型硬件智能天線覆蓋技術(shù)的超百兆高速無(wú)線接入設(shè)備(以下簡(jiǎn)稱AP)，可提供相當(dāng)于傳統(tǒng)802.11a/b/g網(wǎng)絡(luò)6倍以上的無(wú)線接入速率，能夠覆蓋更大的范圍。該系列無(wú)線產(chǎn)品上行鏈路采用千兆以太網(wǎng)接口，突破了百兆速

28、率的限制，使無(wú)線多媒體應(yīng)用成為現(xiàn)實(shí)。新一代基于終端感知型硬件智能天線覆蓋技術(shù)的超百兆高速無(wú)線接入設(shè)備(以下簡(jiǎn)稱AP)，可提供相當(dāng)于傳統(tǒng)802.11a/b/g網(wǎng)絡(luò)6倍以上的無(wú)線接入速率，能夠覆蓋更大的范圍。該系列無(wú)線產(chǎn)品上行鏈路采用千兆以太網(wǎng)接口，突破了百兆速率的限制，使無(wú)線多媒體應(yīng)用成為現(xiàn)實(shí)。產(chǎn)品特點(diǎn)：提供本地轉(zhuǎn)發(fā)功能當(dāng)WA2610AP (Fit模式)通過(guò)廣域網(wǎng)方式轉(zhuǎn)發(fā)時(shí)，無(wú)線接入設(shè)備部署在分支機(jī)構(gòu)，而無(wú)線控制器部署在總部，所有用戶數(shù)據(jù)由無(wú)線接入設(shè)備發(fā)送到無(wú)線控制器，再由無(wú)線控制器進(jìn)行集中轉(zhuǎn)發(fā)。WA2610 系列AP可將數(shù)據(jù)報(bào)文在無(wú)線接入設(shè)備上直接轉(zhuǎn)化為有線格式的報(bào)文，使得數(shù)據(jù)報(bào)文不經(jīng)過(guò)無(wú)線控

29、制器，而是在本地進(jìn)行轉(zhuǎn)發(fā)，大大節(jié)約了有線帶寬。提供EAD無(wú)線接入終端準(zhǔn)入控制(EAD，End user Admission Domination)解決方案從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，通過(guò)與安全策略服務(wù)器的聯(lián)動(dòng)，可以對(duì)感染病毒或存在系統(tǒng)漏洞等不合格的無(wú)線客戶端進(jìn)行下線、隔離、提醒或監(jiān)控等多種方式的處理，只有無(wú)線客戶端符合相應(yīng)的安全策略之后才允許正常訪問(wèn)網(wǎng)絡(luò)，從而提高了無(wú)線網(wǎng)絡(luò)的整體安全性。支持遠(yuǎn)程探針?lè)治鯳A2610 AP支持作為遠(yuǎn)程探針?lè)治龅腟ensor設(shè)備，可以對(duì)覆蓋區(qū)內(nèi)的Wi-Fi報(bào)文進(jìn)行偵聽(tīng)捕獲并實(shí)時(shí)鏡像到本地分析設(shè)備，供網(wǎng)絡(luò)管理員進(jìn)行故障排查、優(yōu)化分析。遠(yuǎn)程探針?lè)治龉δ芗瓤梢葬槍?duì)工作信道進(jìn)行無(wú)收斂鏡像，也可以對(duì)所有信