網(wǎng)絡(luò)安全加固最新解決方案報(bào)告書模板

1、WORD 完美格式網(wǎng)絡(luò)系統(tǒng)安全加固方案北京*有限公司2018 年 3 月.整理分享.WORD 完美格式目 錄1 項(xiàng)目介紹 . 31.1 項(xiàng)目背景. 31.2 項(xiàng)目目標(biāo). 31.3 參考標(biāo)準(zhǔn). 41.4 方案設(shè)計(jì)原則. 41.5 網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀. 62 網(wǎng)絡(luò)系統(tǒng)升級(jí)改造方案. 72.1 網(wǎng)絡(luò)系統(tǒng)建設(shè)要求 . 72.2 網(wǎng)絡(luò)系統(tǒng)升級(jí)改造方案 . 82.3 網(wǎng)絡(luò)設(shè)備部署及用途. 112.4 核心交換及安全設(shè)備 UPS 電源保證 . 122.5 網(wǎng)絡(luò)系統(tǒng)升級(jí)改造方案總結(jié) .123 網(wǎng)絡(luò)系統(tǒng)安全加固技術(shù)方案. 123.1 網(wǎng)絡(luò)系統(tǒng)安全加固建設(shè)要求 .123.2 網(wǎng)絡(luò)系統(tǒng)安全加固技術(shù)方案 .133.3 安全

2、設(shè)備部署及用途. 283.4 安全加固方案總結(jié) . 284 產(chǎn)品清單 . 錯(cuò)誤!未定義書簽。.整理分享.WORD 完美格式1 項(xiàng)目介紹1.1 項(xiàng)目背景隨著對(duì)外網(wǎng)信息化的發(fā)展，業(yè)務(wù)系統(tǒng)對(duì)外網(wǎng)絡(luò)系統(tǒng)、信息系統(tǒng)的依賴程度也越來越高，信息安全的問題也越來越突出。為了有效防范和化解風(fēng)險(xiǎn)，保證對(duì)外網(wǎng)信息系統(tǒng)平穩(wěn)運(yùn)行和業(yè)務(wù)持續(xù)開展，須對(duì)對(duì)外網(wǎng)現(xiàn)有的網(wǎng)絡(luò)升級(jí)，并建立信息安全保障體系，以增強(qiáng)對(duì)外網(wǎng)的信息安全風(fēng)險(xiǎn)防范能力。同時(shí)隨著全球化和網(wǎng)絡(luò)化，全球信息化建設(shè)的加快對(duì)我國的影響越來越大。由于利益的驅(qū)使，針對(duì)信息系統(tǒng)的安全威脅越來越多，必需加強(qiáng)自身的信息安全保護(hù)工作，建立完善的安全機(jī)制來抵御外來和內(nèi)在的信息安全威脅

3、。為提升對(duì)外網(wǎng)整體信息安全管理水平和抗風(fēng)險(xiǎn)能力，我們需要根據(jù)國內(nèi)外先進(jìn)信息安全管理機(jī)制結(jié)合對(duì)外網(wǎng)自身特點(diǎn)和需求來開展一項(xiàng)科學(xué)和系統(tǒng)的信息安全體系建設(shè)和規(guī)劃設(shè)計(jì)工作。通過系統(tǒng)的信息安全體系規(guī)劃和建設(shè)，將為對(duì)外網(wǎng)加強(qiáng)內(nèi)部控制和內(nèi)部管理，降低運(yùn)營風(fēng)險(xiǎn)，建立高效、統(tǒng)一、運(yùn)轉(zhuǎn)協(xié)調(diào)的管理體制的重要因素。1.2 項(xiàng)目目標(biāo)滿足對(duì)外網(wǎng)對(duì)網(wǎng)絡(luò)系統(tǒng)等基礎(chǔ)設(shè)施的需求，降低基礎(chǔ)設(shè)施對(duì)對(duì)外網(wǎng)信息化發(fā)展的制約，順利完成業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)與信息安全系統(tǒng)的整合，促進(jìn)對(duì)外網(wǎng)信息化可持續(xù)發(fā)展。本次改造工作的主要內(nèi)容：通過網(wǎng)絡(luò)系統(tǒng)改造及安全加固，滿足對(duì)外網(wǎng)日常辦公需要，保障重要網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)的安全運(yùn)行。.整理分享.WORD 完美格式

4、1.3 參考標(biāo)準(zhǔn)本方案重點(diǎn)參考的政策和標(biāo)準(zhǔn)包括： 中華人民共和國政府信息公開條例（中華人民共和國國務(wù)院令第492 號(hào)） 中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定 國務(wù)院辦公廳關(guān)于做好中央政府門戶網(wǎng)站內(nèi)容保障工作的意見（國辦發(fā)200531 號(hào)） 信息技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 信息技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 信息技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)方案設(shè)計(jì)規(guī)范 BS7799/ISO17799信息安全管理實(shí)踐準(zhǔn)則1.4 方案設(shè)計(jì)原則本方案在設(shè)計(jì)中將嚴(yán)格遵循以下原則：需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際的研究(包括任務(wù)、性能

5、、結(jié)構(gòu)、可靠性、可維護(hù)性等 )，并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定系統(tǒng)的安全策略；綜合性、整體性原則應(yīng)運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護(hù)保障制度等).整理分享.WORD 完美格式以及專業(yè)技術(shù)措施(訪問控制、加密技術(shù)、認(rèn)證技術(shù)、攻出檢測技術(shù)、容錯(cuò)、防病毒等)。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。計(jì)算機(jī)網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)，包括個(gè)人(使用、維護(hù)、管理)、設(shè)備(含設(shè)施)、軟件(含應(yīng)用系統(tǒng))、數(shù)據(jù)等，在網(wǎng)絡(luò)安全中的地位和影響作用，也只有從系統(tǒng)整體的角度去

6、看待、分析，才可能得到有效、可行的措施。不同的安全措施其代價(jià)、效果對(duì)不同網(wǎng)絡(luò)并不完全相同。計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)確定的安全策略制定出合理的網(wǎng)絡(luò)體系結(jié)構(gòu)及網(wǎng)絡(luò)安全體系結(jié)構(gòu)；動(dòng)態(tài)保護(hù)原則網(wǎng)絡(luò)安全是整體的、動(dòng)態(tài)的。網(wǎng)絡(luò)安全的整體性是指一個(gè)安全系統(tǒng)的建立，即包括采用相應(yīng)的安全設(shè)備，又包括相應(yīng)的管理手段。安全設(shè)備不是指單一的某種安全設(shè)備，而是指幾種安全設(shè)備的綜合。網(wǎng)絡(luò)安全系統(tǒng)的動(dòng)態(tài)性是指，安全是隨著環(huán)境、時(shí)間的變化而變化的，在一定環(huán)境下是安全的系統(tǒng)，環(huán)境發(fā)生變化了（如更換了某個(gè)機(jī)器），原來安全的系統(tǒng)就變的不安全了；在一段時(shí)間里安全的系統(tǒng)，時(shí)間發(fā)生變化了（如今天是安全的系統(tǒng)，可能因?yàn)楹诳?/p>

7、發(fā)現(xiàn)了某種系統(tǒng)的漏洞，明天就會(huì)變的不安全了），原來的系統(tǒng)就會(huì)變的不安全。所以，建設(shè)的安全防護(hù)系統(tǒng)不是一勞永逸的事情；一致性原則一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)當(dāng)與具體的安全措施保持同步，并且在網(wǎng)絡(luò)安全建設(shè)中所采取的各類安全措施應(yīng)當(dāng)執(zhí)行統(tǒng)一的安全策略，各個(gè)策略之間能夠相互互補(bǔ)，并針對(duì)具體的問題，從不同的側(cè)面執(zhí)行一致性的策略，避免出現(xiàn)策略自身的矛盾和失誤；強(qiáng)制性原則.整理分享.WORD 完美格式安全措施的策略應(yīng)當(dāng)統(tǒng)一下發(fā)，強(qiáng)制執(zhí)行，應(yīng)避免各個(gè)環(huán)節(jié)的安全措施各自為政，從而也保障了安全策略的一致性，保障各個(gè)環(huán)節(jié)的安全措施能夠相互互補(bǔ)，真正的為系統(tǒng)提供有效的保護(hù)；易操作性原則安全措施需要人去完成，如果措

8、施過于復(fù)雜，對(duì)人的要求過高，本身就降低了安全性；其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。多重保護(hù)原則任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。1.5 網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀對(duì)外網(wǎng)共計(jì)約 120 名辦公人員。辦公網(wǎng)絡(luò)通過一臺(tái)二層交換機(jī)接入亦莊機(jī)房核心交換機(jī)，到機(jī)房的鏈路介質(zhì)為兩條光纖。.整理分享.WORD 完美格式網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀拓?fù)淠壳?，?duì)外網(wǎng)現(xiàn)有四臺(tái)二層交換機(jī)需要更新升級(jí)。同時(shí)辦公場所沒有無線網(wǎng)絡(luò)覆蓋，且無內(nèi)網(wǎng)安全防護(hù)設(shè)備。2網(wǎng)絡(luò)系統(tǒng)升級(jí)改造方案2.1網(wǎng)絡(luò)系統(tǒng)建設(shè)要求網(wǎng)絡(luò)系統(tǒng)建設(shè)要求如下： 升級(jí)替換二層交換機(jī)。

9、 采用集中控管的組網(wǎng)方式，集中控制管理所有的 AP。 AP 采用 POE 供電的方式。.整理分享.WORD 完美格式 為了滿足大容量并且以備擴(kuò)容和發(fā)展，室內(nèi)無線 AP 要求必須支持兩個(gè)射頻模塊，可以工作在 2.4GHz 和 5.8GHz 頻段; 無線系統(tǒng)能夠?qū)τ脩艚巧贫ú煌牟呗?，滿足授權(quán)管理（訪問控制、流量控制）功能； 充分考慮 WLAN 的安全性，采用先進(jìn)的 WLAN 安全技術(shù)保障。 無線局域網(wǎng)系統(tǒng)要能方便和靈活地調(diào)整與擴(kuò)充。 為核心網(wǎng)絡(luò)交換及安全設(shè)備提供 UPS 電源保證。2.2 網(wǎng)絡(luò)系統(tǒng)升級(jí)改造方案網(wǎng)絡(luò)系統(tǒng)升級(jí)改造方案拓?fù)鋱D如下：.整理分享.WORD 完美格式2.2.1 有線網(wǎng)絡(luò)升級(jí)

10、替換四臺(tái)現(xiàn)有二層交換機(jī)。2.2.2 新建無線網(wǎng)絡(luò) AP 布放設(shè)計(jì)根據(jù)現(xiàn)場實(shí)際勘測、信號(hào)測試情況，無線網(wǎng)絡(luò)采取蜂窩式部署方式。 AP安裝在走廊/墻壁上。.整理分享.WORD 完美格式辦公區(qū)域接入 8 個(gè) AP 供辦公人員日常業(yè)務(wù)使用。 無線組網(wǎng)方式結(jié)合用戶無線網(wǎng)絡(luò)需求情況，結(jié)合產(chǎn)品自身技術(shù)特點(diǎn)，為了滿足用戶構(gòu)建一個(gè)高速、穩(wěn)定、安全、可靠、易于管理的無線接入網(wǎng)絡(luò)的需求，本設(shè)計(jì)方案按照 AP+控制器的結(jié)構(gòu)化無線網(wǎng)絡(luò)解決方案進(jìn)行設(shè)計(jì)。 信道規(guī)劃使用 2.4GHz 頻點(diǎn)為例，為保證信道之間不相互干擾，要求兩個(gè)信道之間間隔不低于 25MHz。在一個(gè)覆蓋區(qū)內(nèi)，最多可以提供 3 個(gè)不重疊的頻點(diǎn)同時(shí)工作，通常采

11、用 1、6、11 三個(gè)頻點(diǎn)。WLAN 頻率規(guī)劃需綜合考慮建筑結(jié)構(gòu)、穿透損耗以及布線系統(tǒng)等具體情況進(jìn)行。 多業(yè)務(wù)區(qū)分設(shè)計(jì)在設(shè)計(jì)上采用無線局域網(wǎng)多 SSID 技術(shù)，設(shè)置多業(yè)務(wù)區(qū)分方式。例如一個(gè)SSID 可給內(nèi)部員工所用，而另一個(gè)可給外來的客戶專用。 無線安全性設(shè)計(jì)在無線系統(tǒng)中，可以在多個(gè)層面對(duì)系統(tǒng)構(gòu)筑安全防護(hù)，其安全性設(shè)計(jì)如下：（1）多SSID：可以根據(jù)需要，如用戶的種類、應(yīng)用的種類設(shè)置多個(gè)SSID，不同的 SSID 采用不同的安全策略，這樣可以對(duì)不同的用戶及應(yīng)用進(jìn)行區(qū)分服務(wù)。另外 SSID 還可以選擇隱藏的方式，該 SSID 不廣播，用戶無法看到，防止.整理分享.WORD 完美格式非法用戶的接入

12、。SSID 還可以選擇在某些 AP 上出現(xiàn)，某些 AP 上不出現(xiàn)，限制 SSID 出現(xiàn)的范圍也是實(shí)現(xiàn)安全性的一種手段。（2）加密：無線系統(tǒng)支持國際標(biāo)準(zhǔn)的多種數(shù)據(jù)加密方式，保護(hù)數(shù)據(jù)不被竊取，用戶可根據(jù)實(shí)際需要自行選擇。（3）多重接入認(rèn)證方式：廠家無線系統(tǒng)支持多重認(rèn)證方式結(jié)合：開 放 式 、 WPA-PSK 、 WPA2-PSK （ 個(gè) 人 ）、 開 放 式 +Portal 認(rèn) 證 、WPA-PSK/WPA2-PSK+Portal 認(rèn)證、WPA(企業(yè))、WPA2（企業(yè)）、WPA/WPA2（企業(yè)）； 網(wǎng)絡(luò)與用戶管理在無線系統(tǒng)中可以設(shè)定用戶的角色，同時(shí)，可根據(jù)角色進(jìn)行訪問的管控與流量的管理。比如，辦公

13、人員及領(lǐng)導(dǎo)具有較高的網(wǎng)絡(luò)權(quán)限，可以訪問更多的網(wǎng)絡(luò)資源，或者對(duì)某些特殊的來賓開放某些 VIP 賬號(hào)，分配給其較高權(quán)限的權(quán)限。分配較高的帶寬供使用。而訪客分配有限的權(quán)限，限制帶寬和禁止訪問內(nèi)網(wǎng)，同時(shí)也可進(jìn)行時(shí)間的限制。2.3 網(wǎng)絡(luò)設(shè)備部署及用途本次網(wǎng)絡(luò)系統(tǒng)升級(jí)改造中各設(shè)備部署及用途如下：序號(hào) 設(shè)備名稱 數(shù)量 單位 用途1 接入交換機(jī) 1 臺(tái) 與機(jī)房三層交換機(jī)對(duì)接2 終端接入交換機(jī) 4 臺(tái) 提供終端 PC 的接入網(wǎng)絡(luò).整理分享.WORD 完美格式3 POE 交換機(jī) 1 臺(tái) 為 AP 設(shè)備供電4 AC 控制器 1 臺(tái) 用于控制管理 AP5 室內(nèi) AP 8 臺(tái) 為用戶提供無線數(shù)據(jù)接入2.4 核心交換及安

14、全設(shè)備 UPS 電源保證通過核心信息機(jī)房布放核心交換機(jī)，核心網(wǎng)絡(luò)安全設(shè)備，無線網(wǎng)控制器等，為保證這些設(shè)備在停電狀態(tài)下的正常工作，我們配置了 5K 的 ups 電源，為核心網(wǎng)絡(luò)設(shè)備提供延遲 1 小時(shí)的不間斷電源保證。2.5 網(wǎng)絡(luò)系統(tǒng)升級(jí)改造方案總結(jié)通過本次網(wǎng)絡(luò)系統(tǒng)升級(jí)改造，網(wǎng)絡(luò)的基礎(chǔ)設(shè)施可以滿足未來 5 年擴(kuò)展需求。根據(jù)業(yè)務(wù)需求優(yōu)化網(wǎng)絡(luò)系統(tǒng)，保證網(wǎng)絡(luò)系統(tǒng)可用性、工程實(shí)施的簡便快捷。滿足網(wǎng)絡(luò)系統(tǒng)等基礎(chǔ)設(shè)施的需求，降低基礎(chǔ)設(shè)施對(duì)信息化發(fā)展的制約，順利完成重要業(yè)務(wù)系統(tǒng)的部署及信息系統(tǒng)的整合，促進(jìn)對(duì)外網(wǎng)信息化可持續(xù)發(fā)展。3網(wǎng)絡(luò)系統(tǒng)安全加固技術(shù)方案3.1網(wǎng)絡(luò)系統(tǒng)安全加固建設(shè)要求網(wǎng)絡(luò)系統(tǒng)安全加固建設(shè)要求如下

15、：1、網(wǎng)絡(luò)邊界安全防護(hù)2、財(cái)務(wù)等重要部門安全防護(hù).整理分享.WORD 完美格式3、限制網(wǎng)速，控制上網(wǎng)；訪客可通過掃碼或關(guān)注微信公眾號(hào)，認(rèn)證上網(wǎng)4、網(wǎng)絡(luò)準(zhǔn)入5、IPSEC VPN：與阿里云對(duì)接6、SSLVPN 設(shè)備：移動(dòng)辦公3.2 網(wǎng)絡(luò)系統(tǒng)安全加固技術(shù)方案針對(duì)系統(tǒng)的安全建設(shè)需求，在安全域劃分的基礎(chǔ)之上，提出了有針對(duì)性的安全技術(shù)措施，來構(gòu)建整個(gè)信息安全技術(shù)防護(hù)體系。具體部署方式如下圖所示：.整理分享.WORD 完美格式結(jié)合實(shí)際業(yè)務(wù)保障需要，本著“適度安全，保護(hù)重點(diǎn)”的原則，我們建議采用以下安全技術(shù)措施來構(gòu)建安全保障體系的技術(shù)支撐平臺(tái)。3.2.1 邊界安全保護(hù)措施采用防火墻，對(duì)信息網(wǎng)絡(luò)中重要的安全域

16、提供邊界訪問控制，嚴(yán)格控制進(jìn)出網(wǎng)絡(luò)各個(gè)安全區(qū)域的訪問，明確訪問的來源、訪問的對(duì)象及訪問的類型，確.整理分享.WORD 完美格式保合法訪問的正常進(jìn)行，杜絕非法及越權(quán)訪問；同時(shí)有效預(yù)防、發(fā)現(xiàn)、處理異常的網(wǎng)絡(luò)訪問，確保對(duì)外網(wǎng)信息網(wǎng)絡(luò)正常訪問活動(dòng)。 網(wǎng)絡(luò)邊界安全防護(hù) 部署位置：在房與辦公區(qū)域之間部署防火墻設(shè)備。 部署模式：防火墻采用路由方式部署。 重要部門安全防護(hù) 部署位置：在行政、財(cái)務(wù)等重要部門與其他辦公區(qū)域之間 部署防火墻設(shè)備。 部署模式：防火墻采用透明方式部署。 產(chǎn)品功能特點(diǎn)“基于用戶防護(hù)”、“面向應(yīng)用安全”、“高效轉(zhuǎn)發(fā)平臺(tái)”、“多層級(jí)冗余架構(gòu)”、“全方位可視化”及“安全技術(shù)融合”六大特性的NG

17、FW下一代防火墻系列產(chǎn)品。全新的 NGFW下一代防火墻產(chǎn)品線，不論是在性能方面還是在功能方面都完全符合用戶對(duì)下一代防火墻產(chǎn)品的各種需求。 基于用戶防護(hù).整理分享.WORD 完美格式靈活且 強(qiáng) 大的 用戶 身 份管 理系 統(tǒng) ， 支持 RADIUS 、 TACACS 、LDAP 、AD、郵件、證書、Ukey、短信等多種認(rèn)證協(xié)議和認(rèn)證方式。在用戶管理方面，實(shí)現(xiàn)了分級(jí)、分組、權(quán)限、繼承關(guān)系等功能，充分考慮到各種應(yīng)用環(huán)境下不同的用戶需求?；谏鲜鎏匦裕W(wǎng)絡(luò)終端在訪問網(wǎng)絡(luò)前，被強(qiáng)制要求到 NGFW下一代防火墻進(jìn)行身份認(rèn)證來完成對(duì)其的“合法性”檢查。除此之外，NGFW下一代防火墻還集成了強(qiáng)大的安全準(zhǔn)入控制

18、功能，針對(duì)身份認(rèn)證通過后的網(wǎng)絡(luò)終端操作系統(tǒng)環(huán)境進(jìn)行系統(tǒng)服務(wù)、軟件、文件、進(jìn)程、注冊(cè)表等細(xì)粒度的檢測與控制來實(shí)現(xiàn)對(duì)其的“合規(guī)性”檢查。通過對(duì)網(wǎng)絡(luò)終端“合法性”與“合規(guī)性”的雙重審核后，NGFW下一代防火墻將根據(jù)其身份認(rèn)證信息（用戶 ID）通過智能過濾引擎實(shí)現(xiàn)基于用戶身份的安全防護(hù)策略部署與可視化監(jiān)控。一體化智能過濾引擎NGFW下一代防火墻系列產(chǎn)品，采用高度集成的一體化智能過濾引擎技術(shù)。其能夠在一次數(shù)據(jù)拆包過程中，對(duì)數(shù)據(jù)進(jìn)行并行深度檢測，從而保證了協(xié)議深度識(shí)別的高效性。另外，NGFW下一代防火墻產(chǎn)品基于八元組高級(jí)訪問控制設(shè)計(jì)，除傳統(tǒng)的五元組控制以外，實(shí)現(xiàn)了用戶身份信息、應(yīng)用程序指紋及內(nèi)容特征的識(shí)別

19、與控制，充分體現(xiàn)了下一代防火墻關(guān)注“用戶”與“應(yīng)用”的設(shè)計(jì)理念。.整理分享.WORD 完美格式 高效轉(zhuǎn)發(fā)平臺(tái) TOS 安全系統(tǒng)平臺(tái)NGFW系列產(chǎn)品基于廠家公司十余年高品質(zhì)安全產(chǎn)品開發(fā)經(jīng)驗(yàn)結(jié)晶的 TOS（Topsec Operating System）安全系統(tǒng)平臺(tái)。隨著多核技術(shù)的廣泛應(yīng)用，TOS 以多核硬件架構(gòu)為基礎(chǔ)，分為系統(tǒng)內(nèi)核層、硬件抽象層及安全引擎層。在安全引擎層內(nèi)，根據(jù)安全功能模塊協(xié)議特性的不同，分為網(wǎng)絡(luò)引擎組（NETWORK Engines）與應(yīng)用引擎組（APP Engines）。通過將引擎組與多核硬件架構(gòu)的完美整合，使 TOS 在系統(tǒng)層面實(shí)現(xiàn)了全功能多核并行流處理。而在硬件抽象層則采

20、用多種加速技術(shù)，根據(jù)各個(gè)核心的實(shí)時(shí)負(fù)載情況，將流量按會(huì)話的方式動(dòng)態(tài)均衡到 CPU 的各個(gè)核心，從而確保整個(gè) CPU 效率執(zhí)行的最大化。.整理分享.WORD 完美格式TopTURBO 數(shù)據(jù)層高速處理TopTURBO 是自主原創(chuàng)實(shí)現(xiàn)數(shù)據(jù)層多核快速轉(zhuǎn)發(fā)的高性能業(yè)務(wù)處理技術(shù)。通過 NGFW產(chǎn)品研發(fā)團(tuán)隊(duì)在 TOS 系統(tǒng)平臺(tái)上所進(jìn)行的大量性能優(yōu)化工作，利用 TopTURBO 技術(shù)將數(shù)據(jù)層高速處理解決方案平滑遷移到多核硬件平臺(tái)上，與當(dāng)今最先進(jìn)的高性能多核架構(gòu)合而為一，從而獲得更高的網(wǎng)絡(luò)處理性能。.整理分享.WORD 完美格式3.2.2 網(wǎng)絡(luò)流量控制防護(hù)措施串聯(lián)部署上網(wǎng)行為管理系統(tǒng)，依據(jù)業(yè)務(wù)系統(tǒng)使用情況配置網(wǎng)

21、絡(luò)帶寬和用戶對(duì)外訪問的帶寬，滿足業(yè)務(wù)應(yīng)用系統(tǒng)帶寬使用，同時(shí)保障網(wǎng)絡(luò)暢通。 網(wǎng)絡(luò)流量控制防護(hù) 部署位置：在防火墻設(shè)備與內(nèi)網(wǎng)三層交換機(jī)之間。 部署模式：采用透明方式部署。 認(rèn)證方式：用戶只需用微信掃描企業(yè)提供的二維碼，關(guān)注公眾號(hào)并申請(qǐng)上網(wǎng)，即可完成身份認(rèn)證過程。同時(shí)支持掃一掃的方式認(rèn)證上網(wǎng)。 產(chǎn)品功能特點(diǎn) IP/MAC/VLAN 綁定上網(wǎng)行為管理設(shè)備支持二層網(wǎng)絡(luò)環(huán)境和三層網(wǎng)絡(luò)環(huán)境的 IP、MAC、IP+MAC 和 VLAN ID 的綁定，可自動(dòng)阻斷哪些非法占用他人 IP 的用戶上網(wǎng)。 認(rèn)證賬戶有效期對(duì)于一些臨時(shí)的用戶，通過有效期的限定可以控制這些用戶的上網(wǎng)時(shí)間范圍，當(dāng)用戶超出預(yù)設(shè)的時(shí)間有效期，就不

22、能上網(wǎng)。很好的控制了外來用戶上網(wǎng)的準(zhǔn)入性和上網(wǎng)時(shí)長。同時(shí)可以設(shè)定用戶離線多久就自動(dòng)刪除該用戶，從而大大的簡化了動(dòng)態(tài)用戶的管理，增強(qiáng)了用戶管理的靈活性。 微信認(rèn)證支持與微信結(jié)合的認(rèn)證方式，用戶關(guān)注微信公眾號(hào)后即通過身份認(rèn).整理分享.WORD 完美格式證，后臺(tái)記錄用戶 ID 登錄重定向上網(wǎng)行為管理設(shè)備支持網(wǎng)頁重定向的功能。當(dāng)用戶認(rèn)證成功后，上網(wǎng)行為管理設(shè)備可以將其第一次的 WEB 訪問重定向到預(yù)設(shè)的 URL 鏈接。此功能適合于政府機(jī)關(guān)、企業(yè)集團(tuán)、大中小學(xué)等、或者酒店等網(wǎng)絡(luò)環(huán)境，便于用戶上網(wǎng)的時(shí)候直接導(dǎo)向最新的公告信息。 帶寬資源管理通過專業(yè)的帶寬管理和分配算法，上網(wǎng)行為管理設(shè)備提供流量優(yōu)先級(jí)、最大

23、帶寬限制、保障帶寬、預(yù)留帶寬、以及隨機(jī)公平隊(duì)列等一系列的應(yīng)用優(yōu)化和帶寬管理控制功能。 防共享上網(wǎng)上網(wǎng)行為管理，能自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中私接的有線路由器、無線路由、360wifi 等共享上網(wǎng)行為，能夠及時(shí)對(duì)私接行為進(jìn)行管控，在系統(tǒng)中能夠?qū)崟r(shí)查看管控記錄和日志3.2.3 網(wǎng)絡(luò)準(zhǔn)入 網(wǎng)絡(luò)準(zhǔn)入 部署位置：內(nèi)網(wǎng)三層交換機(jī)。 部署模式：采用旁路方式部署。 產(chǎn)品功能特點(diǎn) 完整的接入管理流程.整理分享.WORD 完美格式一套完整的接入管理流程，從基本的接入身份標(biāo)識(shí)，到接入后的合規(guī)檢查和修復(fù)向?qū)б约皩?shí)名審計(jì)等，整體包裝終端準(zhǔn)入的安全性，純凈化與抗抵賴作用。 全方位的可信準(zhǔn)入可信終端：只允許合法終端的接入，細(xì)粒度的健康檢

24、查保證接入終端的合規(guī)性；可信用戶：系統(tǒng)提供實(shí)名制的準(zhǔn)入功能，并可與 AD 域聯(lián)動(dòng)，將網(wǎng)絡(luò)準(zhǔn)入同域認(rèn)證有機(jī)結(jié)合。 無線準(zhǔn)入業(yè)界領(lǐng)先支持傳統(tǒng) PC 有線和無線認(rèn)證、健康檢查、動(dòng)態(tài) VLAN 劃分；支持智能終端無線準(zhǔn)入，無需安裝客戶端，支持 Android、IOS、WindowsPhone 等主流操作系統(tǒng)。 具有很好的網(wǎng)絡(luò)環(huán)境適應(yīng)性，不需要大幅調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)可適應(yīng)各類復(fù)雜網(wǎng)絡(luò)和混合型部署網(wǎng)絡(luò)，支持多種接入方式，支持有線和無線的準(zhǔn)入。支持 CISCO、H3C、華為等多個(gè)廠商的設(shè)備，很好的滿足及適應(yīng)了客戶網(wǎng)絡(luò)的復(fù)雜性。 細(xì)粒度的合規(guī)檢查從識(shí)別系統(tǒng)特征，到操作系統(tǒng)以及殺毒軟件的特征，全面支持

25、對(duì)客戶端主機(jī)的各種安全檢查，除基本的安全檢查項(xiàng)外（殺毒軟件、注冊(cè)表、進(jìn)程等），可以由管理員自定義制訂檢查安全監(jiān)測任務(wù)。用戶可根據(jù)實(shí)際需求選擇符合自己的合規(guī)檢查。 高性能，高穩(wěn)定性的設(shè)備.整理分享.WORD 完美格式基于最新硬件平臺(tái)而構(gòu)建的 NAC 硬件準(zhǔn)入網(wǎng)關(guān)，公司十五年的硬件產(chǎn)品技術(shù)積累，硬件平臺(tái)廣泛應(yīng)用于防火墻、IPS、VPN 等其他硬件產(chǎn)品。該產(chǎn)品基于具有自主知識(shí)產(chǎn)權(quán)的安全操作系統(tǒng) TOS (Topsec Operating System)。 強(qiáng)大的可擴(kuò)展性準(zhǔn)入安全檢查技術(shù)上除了滿足客戶端安全監(jiān)控、客戶端安全加固、客戶端管理等要求之外，還提供多種數(shù)據(jù)接口和二次開發(fā)接口?？筛鶕?jù)實(shí)際需要快速

26、進(jìn)行功能定制，也可與 TSM 產(chǎn)品(TD/TA-NET/TA-DB)聯(lián)合部署，并可提供基于實(shí)名認(rèn)證審計(jì)功能。3.2.4 IPSEC VPN機(jī)房與云 IPSEC VPN 建立安全訪問通道。采用基于 IPSEC 協(xié)議的虛擬專用網(wǎng)（VPN）機(jī)制，結(jié)合可靠的認(rèn)證、授權(quán)和密碼技術(shù)，保護(hù)遠(yuǎn)程通信過程和傳輸數(shù)據(jù)的真實(shí)性、完整性、保密性，防止重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中被竊取、篡改和破壞。 IPSEC VPN 部署位置：機(jī)房三層交換機(jī)。 部署模式：采用旁路方式部署。 產(chǎn)品功能特點(diǎn) 全面支持國密局 IPSec 協(xié)議規(guī)范IPSec 作為一個(gè)通用性的安全標(biāo)準(zhǔn)，要求所有 IPSec 的實(shí)現(xiàn)必須嚴(yán)格遵循.整理分享.WORD

27、 完美格式其各種協(xié)議規(guī)范，以便實(shí)現(xiàn)不同產(chǎn)品之間的互通。IPSec VPN 產(chǎn)品經(jīng)過國家密碼管理局的嚴(yán)格鑒定，符合國密局最新制定的IPSEC VPN 技術(shù)規(guī)范，可以和其他符合規(guī)范的的 VPN 產(chǎn)品實(shí)現(xiàn)互通。本產(chǎn)品遵循國密局最新制定的IPSEC VPN 技術(shù)規(guī)范標(biāo)準(zhǔn)協(xié)議。支持 ESP、AH 加密認(rèn)證協(xié)議支持隧道模式、傳輸模式的協(xié)議封裝格式支持密鑰交換協(xié)議支持主模式、快速模式多種協(xié)商模式支持證書認(rèn)證方式通過隧道路由技術(shù)實(shí)現(xiàn) VPN 網(wǎng)絡(luò)的靈活自動(dòng)部署在實(shí)際物理網(wǎng)絡(luò)部署中，網(wǎng)絡(luò)管理員首先通過物理線路（可能是光纖、雙絞線、電話線等）連接各個(gè)路由設(shè)備，然后通過在路由器上配置靜態(tài)路由或者動(dòng)態(tài)路由完成各種規(guī)模

28、網(wǎng)絡(luò)的靈活部署。在 IPSec VPN 網(wǎng)絡(luò)中，將每一條隧道視為連接兩臺(tái) VPN 設(shè)備的虛擬網(wǎng)絡(luò)線路，隧道建立成功后，虛擬線路連接工作就完成了?；谶@些虛擬線路，網(wǎng)絡(luò)管理員可以在 IPSec VPN 網(wǎng)關(guān)上采用同樣的方法配置靜態(tài)、動(dòng)態(tài)路由協(xié)議，完成整個(gè) VPN 網(wǎng)絡(luò)的靈活部署。這種隧道路由機(jī)制的優(yōu)點(diǎn)在于：網(wǎng)關(guān)的配置概念和方法與路由器類似，減少網(wǎng)絡(luò)管理員對(duì)于部署 VPN 網(wǎng)絡(luò)的學(xué)習(xí)和熟悉過程；通過隧道路由規(guī)則的配置，可以完成 VPN 數(shù)據(jù)流在 VPN 網(wǎng)關(guān)之間的靈活轉(zhuǎn)發(fā)，從而可以實(shí)現(xiàn)星型網(wǎng)絡(luò)拓?fù)?，并解決雙向 NAT 穿越問題；通過動(dòng)態(tài)隧道路由協(xié)議的配置，可以實(shí)現(xiàn)整個(gè) VPN 網(wǎng)絡(luò)的自適應(yīng)部署，.

29、整理分享.WORD 完美格式VPN 網(wǎng)絡(luò)拓?fù)涞淖詣?dòng)學(xué)習(xí)、自動(dòng)尋徑；通過基于策略的隧道路由配置，可以實(shí)現(xiàn) VPN 網(wǎng)關(guān)的冗余備份和負(fù)載均衡。完善的 PKI 體系提高用戶網(wǎng)絡(luò)的安全等級(jí)隨著 VPN 技術(shù)在政府、金融等高安全性要求領(lǐng)域的應(yīng)用不斷深入，用戶對(duì) VPN 網(wǎng)絡(luò)的認(rèn)證功能與其原有的 PKI 體系進(jìn)行無縫結(jié)合的需求也越來越強(qiáng)烈。網(wǎng)絡(luò)衛(wèi)士 VPN 產(chǎn)品全面支持標(biāo)準(zhǔn) PKI 體系結(jié)構(gòu)，既能夠通過內(nèi)置的 CA 模塊獨(dú)立為移動(dòng)用戶簽發(fā)數(shù)字證書，又能夠通過導(dǎo)入 CA 根證書CRL 列表方式對(duì)第三方 CA 簽發(fā)的證書進(jìn)行認(rèn)證，同時(shí)還能夠通過 OCSP/LDAP 等標(biāo)準(zhǔn)協(xié)議向第三方 CA 提交在線證書認(rèn)真請(qǐng)

30、求。具體 PKI 功能包括：支持標(biāo)準(zhǔn) X509.V3 格式數(shù)字證書；支持 DER、PEM、PKCS12 等多種證書編碼格式；支持通過內(nèi)置 CA 模塊為用戶簽發(fā)標(biāo)準(zhǔn)數(shù)字證書；支持同時(shí)導(dǎo)入多個(gè) CA 根證書和 CRL 列表，對(duì)不同 CA 簽發(fā)證書進(jìn)行認(rèn)證；支持通過 OCSP/LDAP 等標(biāo)準(zhǔn)協(xié)議向第三方 CA 進(jìn)行在線證書認(rèn)證；支持生成 PKCS10 格式的證書請(qǐng)求，可生成證書請(qǐng)求，由第三方 CA 簽名；支持 CRL 列表文件的導(dǎo)入和通過 HTTP 自動(dòng)下載；與吉大正元、上海格爾、天威誠信、江南計(jì)算所等國內(nèi)主要 CA 廠商有著長期的合作，網(wǎng)絡(luò)衛(wèi)士 VPN 網(wǎng)關(guān)與這些廠商的 CA 系統(tǒng)均能夠無縫集成

31、。3.2.5 SSL VPN采用基于 PKI 的數(shù)字證書技術(shù)實(shí)現(xiàn)服務(wù)器和用戶端的雙向身份認(rèn)證，并采.整理分享.WORD 完美格式用數(shù)字簽名技術(shù)保證數(shù)據(jù)傳輸?shù)耐暾院徒灰椎目沟仲囆裕煞奖愕貙?shí)現(xiàn)移動(dòng)辦公用戶利用互聯(lián)網(wǎng)對(duì)系統(tǒng)的安全訪問。可結(jié)合 USB KEY 提供證書和密鑰的存儲(chǔ)，增強(qiáng)用戶身份認(rèn)證的安全性。 SSL VPN 部署位置：機(jī)房防火墻 DMZ 區(qū)。 部署模式：采用旁路方式部署。 產(chǎn)品功能特點(diǎn) 自主安全操作系統(tǒng)平臺(tái)采 用 自主 知識(shí) 產(chǎn)權(quán)的 安 全操 作系 統(tǒng) TOS （ Topsec OperatingSystem），TOS 擁有優(yōu)秀的模塊化設(shè)計(jì)架構(gòu)，有效保障了防火墻、VPN、內(nèi)容過濾、

32、抗攻擊、流量整形等模塊的優(yōu)異性能，其良好的擴(kuò)展性為未來迅速擴(kuò)展更多特性提供了無限可能。TOS 具有高安全性、高可靠性、高實(shí)時(shí)性、高擴(kuò)展性及多體系結(jié)構(gòu)平臺(tái)適應(yīng)性的特點(diǎn)。 多種 VPN 技術(shù)有機(jī)融合前面已經(jīng)分析了目前主流的各種 VPN 技術(shù)的優(yōu)缺點(diǎn)，這些技術(shù)有其不同的適用范圍。在實(shí)際的用戶網(wǎng)絡(luò)中，不同的用戶需求往往需要多種 VPN 技術(shù)綜合應(yīng)用，在這種情況下往往需要用戶購買多臺(tái)不同的 VPN 設(shè)備來滿足需求，這既浪費(fèi)資源又帶來用戶管理維護(hù)的工作量，同時(shí)網(wǎng)絡(luò)環(huán)境變得更加復(fù)雜，網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性和安全性都會(huì)面臨新的挑戰(zhàn)。VONE 網(wǎng)關(guān)是廠家公司在多年各種獨(dú)立的 VPN 產(chǎn)品研發(fā)和銷售的基礎(chǔ)上，.整理分享

33、.WORD 完美格式推出的一款融合 IPSEC/SSL/PPTP/L2TP 等多種 VPN 技術(shù)的綜合安全網(wǎng)關(guān)產(chǎn)品。在 TOS 平臺(tái)強(qiáng)大的整合能力保障下，各種 VPN 模塊進(jìn)行了有機(jī)的整合，為用戶提供一個(gè)統(tǒng)一完整的 VPN 接入平臺(tái)。多種 SSLVPN 技術(shù)結(jié)合實(shí)現(xiàn)應(yīng)用全覆蓋目前 SSLVPN 接入技術(shù)大致分為三類：WEB 轉(zhuǎn)發(fā)（WEB FORWARD），端口轉(zhuǎn)發(fā)（PORT FORWARD）和全網(wǎng)接入（NETWORK ACCESS 或者稱為 IPTUNNEL）。這三種技術(shù)的技術(shù)特點(diǎn)和適用范圍各不相同，在廠家 VONE 網(wǎng)關(guān)中對(duì)這三種 SSLVPN 接入技術(shù)都做了很好的支持，用戶可以根據(jù)自身應(yīng)用

34、系統(tǒng)的特點(diǎn)選擇使用一種或多種接入方式。WEB 轉(zhuǎn)發(fā)模式可以實(shí)現(xiàn)用戶的完全無客戶端接入，支持各種操作系統(tǒng)和客戶瀏覽器平臺(tái)。但其缺點(diǎn)是僅支持 B/S 模式的應(yīng)用系統(tǒng)，而且對(duì)客戶應(yīng)用系統(tǒng)的依賴性較強(qiáng)。廠家 VONE 網(wǎng)關(guān)通過在 WEB 轉(zhuǎn)發(fā)模式中應(yīng)用獨(dú)創(chuàng)的智能 URL重定向技術(shù)和自動(dòng)分布式頁面重構(gòu)技術(shù)大大提高了對(duì)用戶 B/S 系統(tǒng)的支持率和處理性能。同時(shí)通過開放的頁面替換規(guī)則框架，支持為用戶個(gè)性化的業(yè)務(wù)系統(tǒng)自定義特殊的 URL 替換規(guī)則，進(jìn)一步提高了系統(tǒng)的適應(yīng)性。端口轉(zhuǎn)發(fā)模式通過客戶端本地代理技術(shù)實(shí)現(xiàn)對(duì)用戶訪問請(qǐng)求的 SSL 協(xié)議封裝和轉(zhuǎn)發(fā)。這種模式的適應(yīng)性比 WEB 轉(zhuǎn)發(fā)要好，但其要求在客戶端安裝一個(gè)ACTIVEX 控件。廠家 VONE 網(wǎng)關(guān)實(shí)現(xiàn)了客戶端透明代理，用戶不需要修改本地的任何配置即能完成代理控件的安裝和使用，大大簡化了用戶操作步驟。全網(wǎng)接入模式通過 SSL 隧道轉(zhuǎn)發(fā)客戶端所有的 IP 請(qǐng)求報(bào)文，其適應(yīng)性最好，能夠支持基于 IP 協(xié)議的所有