九原區(qū)醫(yī)院網(wǎng)絡(luò)方案

內(nèi)蒙古包頭九原區(qū)醫(yī)院解決方案第一章項(xiàng)目背景一、隨著Web2.0時(shí)代的到來(lái)，大量網(wǎng)絡(luò)應(yīng)用不斷涌現(xiàn)，這些應(yīng)用提高了生產(chǎn)效率，但同時(shí)也帶來(lái)了許多新的安全威脅，比如惡意軟件入侵、網(wǎng)絡(luò)帶寬消耗、機(jī)密資料外泄等。而另一方面，面對(duì)新的安全威脅，無(wú)論是傳統(tǒng)防火墻還是統(tǒng)一威脅管理設(shè)備（UTM）,均已遠(yuǎn)遠(yuǎn)不能滿足用戶對(duì)自身網(wǎng)絡(luò)的安全防護(hù)訴求，主要體現(xiàn)在：傳統(tǒng)防火墻不能對(duì)Web2.0時(shí)代下的網(wǎng)絡(luò)應(yīng)用及其威脅風(fēng)險(xiǎn)進(jìn)行有效識(shí)別和控制UTM設(shè)備由于架構(gòu)缺陷，導(dǎo)致安全處理性能不足在此現(xiàn)狀下，用戶迫切需要一種能夠代表下一代網(wǎng)絡(luò)和安全發(fā)展訴求的全新一代防火墻產(chǎn)品來(lái)解決關(guān)鍵痛點(diǎn)?；诖朔N預(yù)見,適合用戶的下一代防火墻還應(yīng)該具備如下的安全功能：Web攻擊防護(hù)能力Web2.0時(shí)代，終端客戶同互聯(lián)網(wǎng)業(yè)務(wù)交互越來(lái)越緊密，75%的攻擊來(lái)自于應(yīng)用層，如何保障網(wǎng)站服務(wù)器，互聯(lián)網(wǎng)增值服務(wù)等應(yīng)用的正常運(yùn)營(yíng)是安全建設(shè)關(guān)注的重點(diǎn)，所以針對(duì)Web的攻擊防護(hù)能力成為關(guān)鍵。服務(wù)器雙向內(nèi)容檢測(cè)互聯(lián)網(wǎng)沒有百分之百的安全，假使服務(wù)器不幸被攻陷，對(duì)于事后的安全補(bǔ)救措施也能把損失控制到最低，雙向內(nèi)容檢測(cè)技術(shù)即是在攻擊發(fā)起方開始防護(hù)，對(duì)于服務(wù)器對(duì)的請(qǐng)求響應(yīng)內(nèi)容也同時(shí)進(jìn)行檢測(cè)雙向檢測(cè)，及時(shí)阻斷黑客的攻擊行為。終端木馬惡意流量識(shí)別/隔離客戶端安全受關(guān)注程度日益提高，很多攻擊行為并不是針對(duì)服務(wù)器進(jìn)行的，而是通過(guò)內(nèi)網(wǎng)終端用戶做為攻擊跳板，攻陷了終端用戶后再利用終端用戶的信任信息對(duì)內(nèi)網(wǎng)服務(wù)器發(fā)起進(jìn)攻。所以對(duì)于終端的安全檢測(cè)以及能夠?qū)Πl(fā)現(xiàn)風(fēng)險(xiǎn)后進(jìn)行隔離都是下一代防火墻應(yīng)具備的功能。數(shù)據(jù)防泄密國(guó)內(nèi)互聯(lián)網(wǎng)安全事件，導(dǎo)致個(gè)人賬號(hào)，信息泄漏的案例層出不窮，數(shù)據(jù)泄密已經(jīng)在OWASP2013年最新發(fā)布的網(wǎng)絡(luò)威脅TOP10中版上，針對(duì)敏感數(shù)據(jù)內(nèi)容防泄漏的安全產(chǎn)品需求日益增長(zhǎng)。網(wǎng)頁(yè)防篡改黑客針對(duì)代表客戶形象的門戶網(wǎng)站進(jìn)行篡改替換，設(shè)置外鏈，黑鏈等惡意行為，對(duì)客戶的對(duì)外形象產(chǎn)生極其不良的影響。對(duì)此類型攻擊的防護(hù)，降低正常網(wǎng)頁(yè)的誤判也是國(guó)內(nèi)客戶經(jīng)常遇到的難題。二、隨著信息化業(yè)務(wù)的逐漸成熟，面對(duì)辦公網(wǎng)絡(luò)的不斷豐富，員工在上班時(shí)間的很多的網(wǎng)絡(luò)使用行為可能會(huì)導(dǎo)致醫(yī)院的極大損失，由于醫(yī)院有著相對(duì)靈活的上網(wǎng)行為管理制度，員工內(nèi)網(wǎng)亟需解決以下問(wèn)題：1、規(guī)范員工的上網(wǎng)行為，提高工作效率：禁止員工上班時(shí)間從事一些私人網(wǎng)絡(luò)行為，比如網(wǎng)絡(luò)游戲、網(wǎng)上看電影、BT下載、炒股等。2、防止機(jī)密信息外泄：防止內(nèi)部員工通過(guò)IM聊天軟件外發(fā)消息和傳文件、外發(fā)郵件、BBS發(fā)帖等方式泄露內(nèi)部機(jī)密信息。3、保護(hù)內(nèi)網(wǎng)安全：比如阻止通過(guò)類似QQ遠(yuǎn)程控制等遠(yuǎn)程控制軟件由外網(wǎng)連到內(nèi)網(wǎng)。4、流量管理與控制：由于大部分銀行的網(wǎng)絡(luò)結(jié)構(gòu)是分支與總部通過(guò)統(tǒng)一的Internet出口接入互聯(lián)網(wǎng)，如果不能夠進(jìn)行帶寬劃分、流量控制、P2P限流等，將導(dǎo)致帶寬壓力大，用戶上網(wǎng)慢的問(wèn)題。上述描述顯示：內(nèi)網(wǎng)員工上網(wǎng)行為管理方面有著非常迫切的需求：1、對(duì)BBS發(fā)貼，上網(wǎng)的行為等進(jìn)行關(guān)鍵字過(guò)濾，防止郵件，IM聊天工具產(chǎn)生的泄密事件；2、對(duì)于員工上網(wǎng)行為進(jìn)行管控，惡意網(wǎng)站的過(guò)濾，色情，反動(dòng)網(wǎng)站的過(guò)濾等等保障內(nèi)網(wǎng)安全，尤其是過(guò)濾賭博類網(wǎng)站；3、對(duì)流量進(jìn)行控制，為核心應(yīng)用劃分出專用帶寬，保障網(wǎng)絡(luò)通暢；4、防止會(huì)引起安全風(fēng)險(xiǎn)或是黑客攻擊的一些應(yīng)用，例如QQ遠(yuǎn)程協(xié)助等遠(yuǎn)程工具；通過(guò)以上綜合分析發(fā)現(xiàn)，原有的網(wǎng)絡(luò)設(shè)備，例如防火墻等傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備，在提供傳統(tǒng)的解決手段和方案的同時(shí)，對(duì)于解決以上提到的問(wèn)題已經(jīng)捉襟見肘。現(xiàn)在我們需要一套全面的上網(wǎng)行為管理解決方案來(lái)應(yīng)對(duì)所遇到的這些問(wèn)題。三、近年來(lái)，VPN以其可以利用公網(wǎng)資源，建立安全、可靠、經(jīng)濟(jì)、高效的傳輸鏈路的特點(diǎn)引起了人們的廣泛注意。在VPN技術(shù)的支持下，位于不同地點(diǎn)的醫(yī)療部門只需分別聯(lián)入當(dāng)?shù)氐腎nternet，就

可以組成一個(gè)高效統(tǒng)一的虛擬專用網(wǎng)絡(luò)。深信服科技提供的SSLVPN解決方案在傳統(tǒng)的VPN技術(shù)基礎(chǔ)上，針對(duì)國(guó)內(nèi)固定IP的匱乏、復(fù)雜的Internet接入方式、操作人員技術(shù)能力參差不齊等多種不利因素進(jìn)行了技術(shù)和產(chǎn)品上的創(chuàng)新，為醫(yī)療衛(wèi)生行業(yè)提供了一種高安全、高性能、高穩(wěn)定性的VPN解決方案。通過(guò)深信服VPN的實(shí)施，可實(shí)現(xiàn)了應(yīng)用系統(tǒng)的遠(yuǎn)程拓展，提高了業(yè)務(wù)處理水平和整體管理水平，同時(shí)也可實(shí)現(xiàn)領(lǐng)導(dǎo)及員工遠(yuǎn)程移動(dòng)辦公，在任何地點(diǎn)、任何上網(wǎng)方式都可以接入醫(yī)院，查詢系統(tǒng)以及其它相關(guān)信息。第二章網(wǎng)絡(luò)拓?fù)鋵＞€：3C3200ACL巧系統(tǒng)=iHl；線控制器機(jī)S2322326APS2321024232北樓匯聚53328口□□□Liuulj□口□匚]□□□□S網(wǎng)管平臺(tái)服務(wù)器群1-MDS5020INTERNETDS5020H3C3200IPS無(wú)線安仝策略管理POE交換機(jī)核3S5328專線：3C3200ACL巧系統(tǒng)=iHl；線控制器機(jī)S2322326APS2321024232北樓匯聚53328口□□□Liuulj□口□匚]□□□□S網(wǎng)管平臺(tái)服務(wù)器群1-MDS5020INTERNETDS5020H3C3200IPS無(wú)線安仝策略管理POE交換機(jī)核3S5328j匯聚S3328九原區(qū)醫(yī)院內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D婦產(chǎn)兒科住院樓（包括AP）設(shè)備1設(shè)備12設(shè)備1T2眄婦產(chǎn)科兒科用戶群/移動(dòng)終端康復(fù)科-□□1-1-inn門廠11—1_11_1i_i口口□D舊門診樓第三章解決方案一、深信服NGAF下一代防火墻深信服NGAF是面向應(yīng)用層設(shè)計(jì)，能夠精確識(shí)別用戶、應(yīng)用和內(nèi)容，具備完整安全防護(hù)能力，能夠全面替代傳統(tǒng)防火墻，并具有強(qiáng)勁應(yīng)用層處理能力的全新網(wǎng)絡(luò)安全設(shè)備oNGAF解決了傳統(tǒng)安全設(shè)備在應(yīng)用管控、應(yīng)用可視化、應(yīng)用內(nèi)容防護(hù)等方面的巨大不足，同時(shí)開啟所有功能后性能不會(huì)大幅下降。深信服NGAF不但可以提供基礎(chǔ)網(wǎng)絡(luò)安全功能，如狀態(tài)檢測(cè)、VPN、抗DDoS、NAT等；還實(shí)現(xiàn)了統(tǒng)一的應(yīng)用安全防護(hù)，可以針對(duì)一個(gè)入侵行為中的各種技術(shù)手段進(jìn)行統(tǒng)一的檢測(cè)和防護(hù)，如應(yīng)用掃描、漏洞利用、Web入侵、非法訪問(wèn)、蠕蟲病毒、帶寬濫用、惡意代碼等。深信服NGAF涵蓋傳統(tǒng)防火墻、IPS的主要功能，內(nèi)部能夠?qū)崿F(xiàn)內(nèi)核級(jí)聯(lián)動(dòng)，是一個(gè)“L2-L7完整的安全防護(hù)產(chǎn)品”這也是Gartner定義的“額外的防火墻智能”實(shí)現(xiàn)的前提，做到真正的內(nèi)核級(jí)聯(lián)動(dòng)，才能為用戶的業(yè)務(wù)系統(tǒng)提供一個(gè)安全防護(hù)的“銅墻鐵壁”。二、SINGFORAC上網(wǎng)行為管理功能介紹（一）控制功能：細(xì)致的訪問(wèn)控制功能，有效管理用戶上網(wǎng)SANGFORAC安全網(wǎng)關(guān)不僅可以對(duì)員工訪問(wèn)WEB、FTP、MAIL等常用服務(wù)的內(nèi)容進(jìn)行控制，更可以對(duì)QQ、BT、MSN、SKYPE等各種P2P軟件的行為進(jìn)行限制和控制。豐富的報(bào)表功能還可以分析出企業(yè)的Internet的詳細(xì)使用情況，為網(wǎng)絡(luò)管理員和決策者分配和了解員工網(wǎng)絡(luò)資源提供有效數(shù)據(jù)支持。基于Web的和LDAP/Radius集成的用戶認(rèn)證功能，使得對(duì)上網(wǎng)用戶的管理變得十分靈活方便。危險(xiǎn)網(wǎng)站阻隔：使用更新的不良網(wǎng)站列表阻隔對(duì)色情、病毒、釣魚網(wǎng)站的訪問(wèn)、訪問(wèn)控制策略、提供基于組、時(shí)間、服務(wù)、網(wǎng)址策略、內(nèi)容策略等多種對(duì)象組合的安全訪問(wèn)控制策略P2P攔截、使用深度內(nèi)容檢測(cè)技術(shù)及在線網(wǎng)關(guān)監(jiān)控技術(shù)實(shí)現(xiàn)對(duì)包括QQ、MSN、SKYPE、BT等任何P2P軟件的流量阻隔用戶認(rèn)證提供Web登錄認(rèn)證功能，提供本地用戶數(shù)據(jù)庫(kù)和LDAP、RADIUS用戶數(shù)據(jù)集成功能、文件上傳下載控制控制、對(duì)HTTP、FTP文件上傳、下載類型和大小進(jìn)行控制，也能對(duì)QQ、MSN等P2P軟件的文件傳送進(jìn)行攔截。IPMAC綁定，提供靈活的IPMAC綁定策略、代理識(shí)別功能、能識(shí)別采用Http、Https、Socks等代理服務(wù)器繞過(guò)防火墻檢查的行為，從而進(jìn)行阻斷，敏感數(shù)據(jù)攔截，對(duì)HTTP、FTP、SMTP、IMAP等應(yīng)用協(xié)議做敏感數(shù)據(jù)攔截，以防泄密或引起法律糾紛。（二）監(jiān)控功能：完善的內(nèi)容過(guò)慮和訪問(wèn)審計(jì)功能，防止機(jī)密信息泄漏談到安全問(wèn)題時(shí)，大多數(shù)人都只關(guān)注外網(wǎng)安全，但其實(shí)企業(yè)的信息資產(chǎn)更多的不是被黑客竊取，而是通過(guò)內(nèi)部泄漏的。SANGFORAC安全網(wǎng)關(guān)完善的訪問(wèn)審計(jì)和監(jiān)控功能能夠有效防止信息通過(guò)Internet泄漏，并建立強(qiáng)大的內(nèi)部安全的威懾，減少內(nèi)部泄密的行為。對(duì)于郵件類型的應(yīng)用還采用了深信服“郵件延遲審計(jì)”的專利技術(shù)來(lái)保證先審計(jì)后發(fā)送。SANGFORAC的訪問(wèn)審計(jì)/監(jiān)控模塊為企業(yè)構(gòu)筑了強(qiáng)大的內(nèi)部安全屏障。郵件延遲審計(jì)：對(duì)外發(fā)郵件進(jìn)行延遲緩存，審計(jì)后才能發(fā)出，確保信息資產(chǎn)不外泄。實(shí)時(shí)監(jiān)控，實(shí)時(shí)監(jiān)控用戶的上網(wǎng)行為，內(nèi)網(wǎng)監(jiān)控針對(duì)員工在網(wǎng)上的所有行為，包括聊天記錄、瀏覽的網(wǎng)頁(yè)、上傳下載的文件等進(jìn)行詳細(xì)的記錄，以監(jiān)控員工上班時(shí)間的工作行為，防止企業(yè)內(nèi)部機(jī)密、情報(bào)等泄漏，并事后追查責(zé)任人。（三）報(bào)表功能：強(qiáng)大的數(shù)據(jù)報(bào)表中心，提供直觀的上網(wǎng)數(shù)據(jù)統(tǒng)計(jì)SANGFORAC擁有強(qiáng)大的數(shù)據(jù)中心，管理者可分組、用戶、規(guī)則、協(xié)議等多種查詢對(duì)象，按餅圖、柱狀圖、曲線圖等方式進(jìn)行查詢，可直觀地查看到網(wǎng)絡(luò)流量、郵件、網(wǎng)絡(luò)監(jiān)控、IPS系統(tǒng)、準(zhǔn)入規(guī)則、防火墻等詳細(xì)信息，并可直接打印和導(dǎo)出報(bào)表。SANGFORAC網(wǎng)關(guān)強(qiáng)大的日志系統(tǒng)和豐富的報(bào)表功能，可詳細(xì)分析出企業(yè)的Internet的詳細(xì)使用情況，為網(wǎng)絡(luò)管理員和決策者提供了最有效的數(shù)據(jù)支持。流量統(tǒng)計(jì)日志：包含內(nèi)網(wǎng)流量統(tǒng)計(jì)概要、組流量排行、流量日志、流量趨勢(shì)等，用餅狀、柱型等直觀地表示網(wǎng)絡(luò)內(nèi)部的流量排名；郵件日志：包含郵件統(tǒng)計(jì)概要、郵件排行、郵件查詢、郵件趨勢(shì)等功能，可詳細(xì)統(tǒng)計(jì)用戶所有收發(fā)郵件的具體情況。網(wǎng)絡(luò)監(jiān)控日志：包括監(jiān)控統(tǒng)計(jì)摘要、監(jiān)控排行、監(jiān)控查詢、監(jiān)控趨勢(shì)等功能。管理員可詳細(xì)監(jiān)控內(nèi)網(wǎng)用戶使用互聯(lián)網(wǎng)資源的具體使用情況。準(zhǔn)入規(guī)則日志：包括準(zhǔn)入規(guī)則摘要、準(zhǔn)入排行、準(zhǔn)入查詢等功能，管理員可對(duì)內(nèi)部網(wǎng)絡(luò)的違規(guī)機(jī)器進(jìn)行詳細(xì)統(tǒng)計(jì)和查看IPS日志包含IPS日志摘要、IPS排行、IPS查詢、IPS趨勢(shì)等功能，可顯示詳細(xì)的網(wǎng)絡(luò)安全情況。防火墻日志包含防火墻摘要、防火墻排行、防火墻查詢、防火墻趨勢(shì)等功能，管理員可以對(duì)防火墻的日志進(jìn)行更為詳細(xì)地分析。日志庫(kù)管理：主要包含日志庫(kù)信息、日志庫(kù)查詢、日志庫(kù)切換等功能；用戶管理：管理員可在此新增用戶、查詢用戶。（四）帶寬及流量管理功能：強(qiáng)大的QOS功能及流量分析SANGFORAC安全網(wǎng)關(guān)強(qiáng)大的訪問(wèn)控制和QOS功能可以使得企業(yè)合理利用Internet資源，為不同的用戶分配不同的帶寬和上網(wǎng)權(quán)限，使得Internet資源得到有效利用，并大大提高員工的工作效率。SANGFORAC可以詳細(xì)記錄和分析所有流量的內(nèi)容，包括http、ftp、mail、telnet等常用軟件的內(nèi)容和QQ、ICQ、MSN、YAHOO、MESSAGER等IM軟件的內(nèi)容。另外還能按用戶、用戶組、協(xié)議和時(shí)間對(duì)Internet流量進(jìn)行統(tǒng)計(jì)分析，以優(yōu)化員工對(duì)Internet的資源使用情況。使得企業(yè)有限的帶寬能得到最充分的利用，提高企業(yè)的網(wǎng)絡(luò)利用率。流量控制：能針對(duì)內(nèi)網(wǎng)每個(gè)用戶或者不同的組，限定其上網(wǎng)能占用的帶寬資源，使企業(yè)內(nèi)網(wǎng)帶寬資源得到充分有效的利用三、SANGFORSSLVPN作為專業(yè)的VPN解決方案,SANGFORSSLVPN方案為醫(yī)療行業(yè)提供了集高安全性、高可靠性、高性能、靈活方便的互聯(lián)方案，具備以下幾個(gè)重要特性：高安全的VPN:由于使用了Internet作為連接鏈路的基礎(chǔ),通過(guò)Internet來(lái)進(jìn)行數(shù)據(jù)的傳送不得不考慮由此產(chǎn)生的安全隱患,深信服SSLVPN產(chǎn)品結(jié)合多種安全技術(shù)，在隧道加密、接入用戶身份驗(yàn)證、接入用戶權(quán)限控制等方面為用戶提供了全面的安全保障。隧道加密：采用國(guó)際先進(jìn)的AES128位加密技術(shù)加密隧道，防止數(shù)據(jù)竊取和偵聽。先進(jìn)的加密技術(shù)在保證高加密級(jí)別的同時(shí)提供了強(qiáng)大的性能保證，有效加強(qiáng)隧道傳輸效率。接入用戶身份驗(yàn)證：除基于用戶賬號(hào)的Radius身份驗(yàn)證外，SANGFORVPN創(chuàng)新性的采用了深信服科技專利技術(shù)－基于硬件身份的鑒權(quán)體系，將用戶賬號(hào)與其所在計(jì)算機(jī)硬件信息進(jìn)行綁定，即便用戶賬號(hào)意外泄露，由于非法用戶無(wú)法使用與此賬號(hào)事先綁定的那臺(tái)計(jì)算機(jī)，不會(huì)因此造成非法用戶接入。對(duì)于遠(yuǎn)程移動(dòng)辦公人員，采用了基于硬件USBKEY的身份驗(yàn)證機(jī)制，利用DKEY這種USB的便攜設(shè)備的唯一ID號(hào)作為其使用VPN的許可方式，使得只有指定人員使用指定賬號(hào)及指定計(jì)算機(jī)接入總部訪問(wèn)指定資源成為可能，極大的提高了VPN的整體安全性。接入用戶權(quán)限控制：普通的VPN產(chǎn)品在用戶接入后即可隨意訪問(wèn)局域網(wǎng)內(nèi)任意資源，對(duì)于安全要求較高的單位來(lái)說(shuō)，這種不受限制的訪問(wèn)容易造成極大的安全隱患，SANGFORSSL通過(guò)在VPN系統(tǒng)中設(shè)置更細(xì)致的服務(wù)訪問(wèn)權(quán)限來(lái)杜絕這些安全隱患。SANGFORSSL可以針對(duì)每個(gè)用戶設(shè)定不同的接入訪問(wèn)權(quán)限，如某些用戶只能訪問(wèn)總部的HIS系統(tǒng)，不能訪問(wèn)財(cái)務(wù)系統(tǒng)等，不同的VPN用戶可以設(shè)定對(duì)不同資源的訪問(wèn)權(quán)限，避免因?yàn)閂PN用戶權(quán)限過(guò)大造成的安全隱患。高可靠的VPN：作為基礎(chǔ)應(yīng)用的連接鏈路，VPN網(wǎng)絡(luò)的可靠性是極其重要的，深信服SSLVPN通過(guò)多種技術(shù)保證VPN網(wǎng)絡(luò)的高度可靠性。互為備份的Web尋址技術(shù):基于Web的動(dòng)態(tài)尋址技術(shù)是深信服公司專利技術(shù)，通過(guò)該技術(shù)，使得SANGFORSSL可以支持ADSL等動(dòng)態(tài)IP撥號(hào)上網(wǎng)方式，無(wú)需固定IP，大大降低了客戶使用VPN的成本。多線路技術(shù)提升線路穩(wěn)定性：由于Internet線路具有不可靠性的特點(diǎn)，使用Internet線路存在斷線的可能性，對(duì)VPN網(wǎng)絡(luò)的可靠運(yùn)行產(chǎn)生了隱患，因此，深信服SSL創(chuàng)新性的提出了多線路捆綁技術(shù)，在一個(gè)VPN節(jié)點(diǎn)上可以同時(shí)使用多條Internet線路，只要其中的一條線路仍然正常工作，VPN網(wǎng)絡(luò)即可保持正常。斷線重?fù)芗夹g(shù)：為了保證撥號(hào)網(wǎng)絡(luò)的穩(wěn)定性，SANGFORSSL中集成了自動(dòng)撥號(hào)軟件，在撥號(hào)中斷后，5秒內(nèi)可以重?fù)?。網(wǎng)絡(luò)物理連接恢復(fù)正常后，VPN隧道將在1分鐘內(nèi)自動(dòng)建立，從而保證系統(tǒng)迅速恢復(fù)。VPN內(nèi)部QOS功能：VPN內(nèi)的智能QOS可動(dòng)態(tài)為各優(yōu)先級(jí)別的VPN應(yīng)用合理分配帶寬，在網(wǎng)絡(luò)繁忙時(shí)優(yōu)先傳送更重要的數(shù)據(jù)（如對(duì)時(shí)延較為敏感的VOIP及視頻數(shù)據(jù)及數(shù)據(jù)庫(kù)查詢等），而智能的QOS在網(wǎng)絡(luò)空閑時(shí)可充分利用所有帶寬。完善的日志功能：SANGFORSSL集成完善的日志服務(wù)，提供信息日志，告警日志，錯(cuò)誤日志和調(diào)試日志等多種類型的日志，能極大的幫助網(wǎng)絡(luò)管理員分析和維護(hù)整個(gè)網(wǎng)絡(luò)系統(tǒng)。由于有獨(dú)立的日志服務(wù)器，因此日志空間不受限制。高性能的VPN高效的傳輸效率：高效的加解密算法和強(qiáng)大的“流壓縮”技術(shù)使得SANGFORSSLVPN對(duì)實(shí)際帶寬的利用率高達(dá)130%，在傳輸Word、BMP等文檔和SQL查詢等數(shù)據(jù)時(shí)表現(xiàn)尤為出眾，遠(yuǎn)遠(yuǎn)超出一般VPN產(chǎn)品70%-80%的傳輸效率。冗余容量設(shè)計(jì)：電信網(wǎng)經(jīng)常因?yàn)樵拕?wù)高峰而癱瘓，數(shù)據(jù)網(wǎng)絡(luò)也如此，如果網(wǎng)絡(luò)設(shè)備的容量承載不了突然增長(zhǎng)的業(yè)務(wù)負(fù)荷，那么系統(tǒng)就可能癱瘓。SANGFORVPN的設(shè)計(jì)容量大大超過(guò)一般用戶的實(shí)際容量，達(dá)到一個(gè)網(wǎng)關(guān)支持5000個(gè)網(wǎng)絡(luò)用戶，1024條VPN隧道，80M的VPN隧道帶寬，這種冗余容量的設(shè)計(jì)保證VPN網(wǎng)絡(luò)即使遇到業(yè)務(wù)突發(fā)高峰，也能穩(wěn)定運(yùn)行。靈活方便的VPN對(duì)移動(dòng)IP的全面實(shí)現(xiàn)：一般VPN部署都需要改變網(wǎng)絡(luò)結(jié)構(gòu)，SANGFORVPN在充當(dāng)遠(yuǎn)程接入服務(wù)器時(shí)，不需要客戶網(wǎng)絡(luò)做任何改變。遠(yuǎn)程用戶接入到網(wǎng)絡(luò)來(lái)時(shí)，可獲得一個(gè)該網(wǎng)絡(luò)的內(nèi)網(wǎng)IP地址，并以此IP與網(wǎng)絡(luò)內(nèi)其它節(jié)點(diǎn)進(jìn)行雙向的訪問(wèn)，若該遠(yuǎn)程用戶原本就是該網(wǎng)絡(luò)內(nèi)的一個(gè)用戶，則在遠(yuǎn)程接入后仍可保留原本的IP地址，做到在遠(yuǎn)程和在本地時(shí)一模一樣。對(duì)各種接入方式的全面支持：通過(guò)改進(jìn)的IPSEC隧道封裝技術(shù)，SANGFORVPN能很好的支持NAT穿透功能，使得SANGFORVPN可以支持任何接入方式，包括GPRS,CDMA1X,WLAN等最新的無(wú)線上網(wǎng)接入方式，甚至是未來(lái)NGN接入方式。SANGFORSSLVPN實(shí)現(xiàn)了用戶隨時(shí)隨地移動(dòng)辦公的夢(mèng)想，并能保護(hù)用戶對(duì)未來(lái)的網(wǎng)絡(luò)投資。安全策略隨時(shí)攜帶，客戶端零配置：SANGFORSSLVPN集成DKEY技術(shù)，可以將移動(dòng)用戶的安全策略存儲(chǔ)在類似U盤的USBKey（又名DKEY）中。這樣移動(dòng)用戶隨身攜帶標(biāo)識(shí)自己身份和存儲(chǔ)了對(duì)應(yīng)安全策略配置信息的DKEY，可以在任何一臺(tái)電腦安全的接入到總部。簡(jiǎn)單方便的配置備份和恢復(fù)：SANGFORSSLVPN采用多個(gè)加密的配置文件形式保存配置信息。系統(tǒng)提供了對(duì)所有配置的打包備份功能，管理員可方便的對(duì)配置文件進(jìn)行備份和恢復(fù)。同時(shí)管理員還可以在本地配置好遠(yuǎn)程網(wǎng)絡(luò)，利用配置恢復(fù)功能在遠(yuǎn)程導(dǎo)入配置。第四章方案實(shí)現(xiàn)價(jià)值一、深信服NGAF下一代防火墻（一）防止應(yīng)用層攻擊75%的安全威脅發(fā)生在應(yīng)用層，傳統(tǒng)安全產(chǎn)品不能識(shí)別和防范；NGAF應(yīng)用層識(shí)別能力強(qiáng)，有效防范應(yīng)用層攻擊和入侵。近千種應(yīng)用識(shí)別,WEB攻擊防護(hù)，漏洞發(fā)現(xiàn)與防護(hù)，密碼防爆破，病毒木馬惡意插件過(guò)濾,應(yīng)用DDos攻擊,應(yīng)用協(xié)議識(shí)別,用戶身份識(shí)別（二）基于應(yīng)用的策略路由雙向內(nèi)容檢測(cè)，傳統(tǒng)安全產(chǎn)品只防護(hù)來(lái)自外部攻擊，也不檢查內(nèi)容是否安全；AF不僅檢測(cè)來(lái)自外部的流量和內(nèi)容，還能對(duì)服務(wù)器回應(yīng)的內(nèi)容進(jìn)行檢測(cè)和過(guò)濾，防范未知風(fēng)險(xiǎn)，滿足防泄密和防篡改等安全需求。（三）包含傳統(tǒng)安全底層安全風(fēng)險(xiǎn)仍然存在，所以傳統(tǒng)網(wǎng)絡(luò)安全功能仍然需要；AF涵蓋完整的傳統(tǒng)防火墻和IPS功能，能夠有效的避免部署多種安全設(shè)備導(dǎo)致的成本和單點(diǎn)故障問(wèn)題。傳統(tǒng)防火墻全部功能，路由、NAT,狀態(tài)檢訪問(wèn)控制,抗攻擊、DDoS等；（四）應(yīng)用層高性能傳統(tǒng)多功能網(wǎng)關(guān)開啟應(yīng)用層安全功能后性能急劇下降；深信服多年積累的高效應(yīng)用層識(shí)別技術(shù)和一次性掃描技術(shù)，使AF達(dá)到萬(wàn)兆級(jí)應(yīng)用層高性能傳統(tǒng)防火墻全