醫(yī)院網(wǎng)絡(luò)安全建議和方案

網(wǎng)絡(luò)安全建議方案書(shū)和縣中醫(yī)院信息科第一部分技術(shù)方案目錄1 前言 41.1 醫(yī)院網(wǎng)絡(luò)安全建設(shè)的指導(dǎo)思想 41.2 醫(yī)院網(wǎng)絡(luò)安全建設(shè)的目標(biāo) 42 醫(yī)院網(wǎng)絡(luò)安全建設(shè)的必要性 43 防火墻系統(tǒng)安全方案 53.1 設(shè)計(jì)目標(biāo) 53.2 方案拓樸圖 53.3 配置建議 53.4 防火墻介紹 73.4.1 強(qiáng)大的處理性能，用戶網(wǎng)絡(luò)更順暢 73.4.2 99.99%的系統(tǒng)高穩(wěn)定性，用戶業(yè)務(wù)永不宕機(jī) 73.4.3 深度內(nèi)容安全，用戶業(yè)務(wù)安全無(wú)憂 73.4.4 貼心的安全助手，用戶使用更方便 83.4.5 強(qiáng)大的網(wǎng)絡(luò)拓?fù)渥赃m應(yīng)性 83.4.6 智能便捷的配置向?qū)Ш凸芾矸绞?84 上網(wǎng)行為管理審計(jì)系統(tǒng) 94.1 企業(yè)單位經(jīng)常會(huì)碰到這樣的問(wèn)題 94.2 法律與法規(guī) 94.3 方案特點(diǎn) 104.3.1 部署簡(jiǎn)單 104.3.2 強(qiáng)大的互聯(lián)網(wǎng)審計(jì)、控制、分析功能 104.3.3 多種可選操作模式和認(rèn)證方式 124.3.4 獨(dú)立的報(bào)表系統(tǒng) 124.4 價(jià)值和優(yōu)勢(shì) 124.5 功能列表 134.5.1 報(bào)表系統(tǒng) 134.5.2 審計(jì)系統(tǒng) 135 配置清單 15

前言醫(yī)院網(wǎng)絡(luò)安全建設(shè)的指導(dǎo)思想醫(yī)院網(wǎng)絡(luò)安全的建設(shè)、應(yīng)用和管理涉及到醫(yī)院的方方面面。醫(yī)院網(wǎng)絡(luò)安全不僅僅是醫(yī)院重要的基礎(chǔ)設(shè)施，更重要的還是一個(gè)重要的信息源泉，網(wǎng)絡(luò)上承載著醫(yī)療信息、科研信息、管理信息等，這些信息通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)的傳輸和處理，就能夠?yàn)樘岣吖ぷ餍?、掌握科研和醫(yī)療發(fā)展動(dòng)態(tài)提供強(qiáng)有力的支撐。醫(yī)院信息網(wǎng)絡(luò)安全必須成為醫(yī)院日常業(yè)務(wù)工作的有效可靠工具。使得各項(xiàng)業(yè)務(wù)的操作更加科學(xué)化規(guī)范化，提高數(shù)據(jù)的準(zhǔn)確性和安全性，減少人為因素造成的差錯(cuò)。同時(shí)極大地減輕業(yè)務(wù)人員的勞動(dòng)強(qiáng)度。在此基礎(chǔ)上成為醫(yī)院領(lǐng)導(dǎo)進(jìn)行管理、分析的工具，為領(lǐng)導(dǎo)的管理和決策提供及時(shí)、安全準(zhǔn)確的數(shù)據(jù)依據(jù)。這是醫(yī)院網(wǎng)絡(luò)安全建設(shè)的最根本的指導(dǎo)思想。醫(yī)院網(wǎng)絡(luò)安全建設(shè)的目標(biāo)確定醫(yī)院網(wǎng)絡(luò)安全建設(shè)的目標(biāo)，不僅要考慮技術(shù)方面，更要考慮環(huán)境、應(yīng)用和管理等，從某種意義上講，醫(yī)院網(wǎng)絡(luò)安全的建設(shè)不僅僅是涉及到技術(shù)問(wèn)題，而是會(huì)引起更深層次的變革，也就是醫(yī)院網(wǎng)絡(luò)安全的建設(shè)將改變醫(yī)院傳統(tǒng)的管理運(yùn)作模式，因此醫(yī)院網(wǎng)絡(luò)的建設(shè)必須與醫(yī)院各方面的改革、建設(shè)相結(jié)合，與醫(yī)院長(zhǎng)遠(yuǎn)發(fā)展相結(jié)合，科學(xué)論證和決策。醫(yī)院網(wǎng)絡(luò)安全建設(shè)的必要性醫(yī)院核心數(shù)據(jù)系統(tǒng)數(shù)據(jù)保護(hù)，防止本地用戶和其它各下級(jí)節(jié)點(diǎn)對(duì)醫(yī)院核心數(shù)據(jù)系統(tǒng)（如HIS系統(tǒng)）進(jìn)行非授權(quán)訪問(wèn)和惡意攻擊，防止本地網(wǎng)絡(luò)病毒的危害和傳播。加強(qiáng)對(duì)其它各下級(jí)和內(nèi)部用戶的身份鑒別、權(quán)限控制、角色管理和訪問(wèn)控制管理，防止對(duì)應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)服務(wù)器、郵件服務(wù)器及文檔服務(wù)器的非法存取、刪改和破壞。外聯(lián)單位接入安全，衛(wèi)生管理部門(mén)需要采集醫(yī)院的相關(guān)信息，因此必須提供對(duì)系統(tǒng)的訪問(wèn)控制，允許從外部訪問(wèn)某些主機(jī)，同時(shí)禁止訪問(wèn)另外的主機(jī)，保護(hù)醫(yī)院內(nèi)部系統(tǒng)的安全?；ヂ?lián)網(wǎng)接入安全，通過(guò)設(shè)定策略與Internet進(jìn)行有效隔離，控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，過(guò)濾不安全的外部數(shù)據(jù)，提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的受攻擊風(fēng)險(xiǎn)，增加用戶的訪問(wèn)控制，阻止攻擊者獲得攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息。防火墻系統(tǒng)安全方案設(shè)計(jì)目標(biāo)防范針對(duì)重要網(wǎng)絡(luò)資源的網(wǎng)絡(luò)攻擊行為，可解決醫(yī)院網(wǎng)絡(luò)的部分網(wǎng)絡(luò)安全、應(yīng)用系統(tǒng)安全和網(wǎng)絡(luò)管理安全的隱患。具體描述如下：將醫(yī)院網(wǎng)絡(luò)內(nèi)部網(wǎng)與其它外部網(wǎng)絡(luò)安全隔離，拒絕非法訪問(wèn)，惡意攻擊，保護(hù)醫(yī)院內(nèi)風(fēng)網(wǎng)絡(luò)的安全。抵擋木馬攻擊、蠕蟲(chóng)攻擊、后門(mén)攻擊、利用漏洞攻擊和拒絕服務(wù)攻擊。強(qiáng)化對(duì)網(wǎng)絡(luò)的控制，確保關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)帶寬。方案拓樸圖配置建議建議在醫(yī)院安裝1臺(tái)網(wǎng)御神州SECGATE3600-F防火墻，以實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)之間的安全隔離；將網(wǎng)站服務(wù)器及其資源服務(wù)器直接與防火墻的DMZ區(qū)相連，提高服務(wù)器在內(nèi)外網(wǎng)的運(yùn)行安全性。通過(guò)對(duì)防火墻進(jìn)行詳盡的策略設(shè)置，實(shí)現(xiàn)防黑（黑客攻擊）、防白（政治敏感內(nèi)容）、防黃（黃色網(wǎng)站）的效果，具體分述如下：通過(guò)防火墻的監(jiān)控功能，實(shí)現(xiàn)內(nèi)網(wǎng)實(shí)時(shí)監(jiān)控統(tǒng)計(jì)功能，以內(nèi)網(wǎng)IP為對(duì)象，實(shí)時(shí)地監(jiān)視統(tǒng)計(jì)內(nèi)網(wǎng)連主機(jī)連接數(shù)量和流量；實(shí)現(xiàn)外網(wǎng)實(shí)時(shí)監(jiān)控統(tǒng)計(jì)功能，實(shí)時(shí)地監(jiān)視統(tǒng)計(jì)內(nèi)網(wǎng)訪問(wèn)外網(wǎng)的地址的連接數(shù)量和流量；實(shí)現(xiàn)DMZ實(shí)時(shí)監(jiān)控統(tǒng)計(jì)功能，實(shí)時(shí)地監(jiān)視統(tǒng)計(jì)DMZ區(qū)內(nèi)主機(jī)被訪問(wèn)的連接數(shù)量和流量；實(shí)時(shí)監(jiān)控內(nèi)網(wǎng)訪問(wèn)指定外網(wǎng)主機(jī)的連接數(shù)量和流量；通過(guò)時(shí)間控制功能實(shí)現(xiàn)支持安全規(guī)則時(shí)間調(diào)度，根據(jù)用戶的具體要求實(shí)現(xiàn)上班時(shí)間、下班時(shí)間對(duì)網(wǎng)絡(luò)的應(yīng)用控制；內(nèi)網(wǎng)文件服務(wù)器僅對(duì)內(nèi)提供數(shù)據(jù)服務(wù)，不對(duì)外網(wǎng)提供服務(wù)，有效阻斷外網(wǎng)對(duì)內(nèi)網(wǎng)的非授權(quán)訪問(wèn)；將WWW服務(wù)器的IP地址通過(guò)NAT轉(zhuǎn)換為公網(wǎng)地址，對(duì)外提供服務(wù)。外網(wǎng)無(wú)法得到WWW服務(wù)器的IP地址，這樣就有效地保證了內(nèi)部網(wǎng)絡(luò)安全。對(duì)內(nèi)網(wǎng)IP地址、Mac地址的綁定，有效控制內(nèi)網(wǎng)終端對(duì)外網(wǎng)的訪問(wèn)。嵌有VPN模塊，如需要，可直接開(kāi)通防火墻VPN功能，通過(guò)給防火墻定義詳盡的策略，只有授權(quán)的客戶端用戶可以登陸到內(nèi)部服務(wù)器。對(duì)拒絕服務(wù)攻擊的防范。防范syn_flood、pingflood、udpflood、teardrop、sweep、land、pingofdeath、smurf、碎片攻擊、WINNUKE、圣誕樹(shù)攻擊等。實(shí)現(xiàn)內(nèi)容過(guò)濾，對(duì)HTTP，對(duì)網(wǎng)頁(yè)中java、javascrip、activeX進(jìn)行過(guò)濾；針對(duì)SMTP、POP3，基于發(fā)信人地址、收信人地址、收信人數(shù)、文件大小、郵件主題、正文內(nèi)容、發(fā)件人姓名、收件人姓名、附件文件名、附件內(nèi)容等進(jìn)行關(guān)鍵字匹配過(guò)濾。通過(guò)網(wǎng)絡(luò)帶寬管理功能保證關(guān)鍵部門(mén)網(wǎng)絡(luò)的帶寬，使得領(lǐng)導(dǎo)核心的決策、指令的上傳下達(dá)得到保障；通過(guò)策略設(shè)置，有效防止內(nèi)網(wǎng)用戶使用的BT,電驢等P2P軟件的下載及在工作時(shí)間使用QQ,MSN,SKYPE等IM軟件，有效保證網(wǎng)絡(luò)的帶寬和合理利用醫(yī)院工作資源；通過(guò)防火墻的IPS和抗攻擊設(shè)置,可以有效防護(hù)內(nèi)部網(wǎng)絡(luò)不受外部的非法入侵行為；通過(guò)安全設(shè)置,防火墻可以抵御外部蠕蟲(chóng)病毒攻擊。防火墻介紹網(wǎng)神SecGate3600防火墻、是網(wǎng)御神州經(jīng)過(guò)多年研發(fā)，基于高性能、高穩(wěn)定性的多核處理器架構(gòu)硬件平臺(tái)和多核并行操作系統(tǒng)新一代SecOS推出的全線多核下一代防火墻產(chǎn)品，是專門(mén)面向大中型企業(yè)、政府、軍隊(duì)、高校等用戶開(kāi)發(fā)的新一代專業(yè)防火墻設(shè)備，支持外部攻擊防范、內(nèi)網(wǎng)安全、網(wǎng)絡(luò)訪問(wèn)權(quán)限控制、網(wǎng)絡(luò)流量監(jiān)控和帶寬管理、動(dòng)態(tài)路由、網(wǎng)頁(yè)內(nèi)容過(guò)濾、郵件內(nèi)容過(guò)濾、入侵檢測(cè)、病毒過(guò)濾、IP沖突檢測(cè)等功能，能夠有效地保證網(wǎng)絡(luò)的安全；產(chǎn)品提供靈活的網(wǎng)絡(luò)路由/橋接能力，支持策略路由，多出口鏈路聚合；提供多種智能分析和管理手段，支持郵件告警，支持日志審計(jì)，提供全面的網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理。強(qiáng)大的處理性能，用戶網(wǎng)絡(luò)更順暢基于多核架構(gòu)和多核并行操作系統(tǒng)新一代SecOS的完美匹配；性能大幅提升；雙核架構(gòu)相比單核，吞吐量同比提高30%-70%；完全自主知識(shí)產(chǎn)權(quán)的SecOS實(shí)現(xiàn)防火墻的控制層和數(shù)據(jù)轉(zhuǎn)發(fā)層分離，全模塊化設(shè)計(jì)，實(shí)現(xiàn)獨(dú)立的安全協(xié)議棧，消除了因操作系統(tǒng)漏洞帶來(lái)的安全性問(wèn)題，以及操作系統(tǒng)升級(jí)、維護(hù)對(duì)防火墻功能的影響。同時(shí)也減少了因?yàn)橛布脚_(tái)的更換帶來(lái)的重復(fù)開(kāi)發(fā)問(wèn)題。由于采用先進(jìn)的設(shè)計(jì)理念，使該SecOS具有更高的安全性、開(kāi)放性、擴(kuò)展性和可移植性。99.99%的系統(tǒng)高穩(wěn)定性，用戶業(yè)務(wù)永不宕機(jī)多核架構(gòu)實(shí)現(xiàn)安全任務(wù)的物理分離，確保核心處理不受干擾；多核間監(jiān)控備份機(jī)制，確保核心處理任務(wù)的更加穩(wěn)定運(yùn)行；采用獨(dú)創(chuàng)的分段直接尋址搜索算法MSDAL（Multi-StageDirectAddressingLookupAlgorithm），解決了傳統(tǒng)防火墻隨著安全策略數(shù)的增加其性能逐漸下降的問(wèn)題，確保您在大量安全策略數(shù)目情況下仍能獲取最高的網(wǎng)絡(luò)性能！深度內(nèi)容安全，用戶業(yè)務(wù)安全無(wú)憂多核間相互分工協(xié)作，一部分核進(jìn)行高速數(shù)據(jù)轉(zhuǎn)發(fā)，完成對(duì)HTTP/等13種應(yīng)用協(xié)議的預(yù)處理；另外一部分核實(shí)現(xiàn)快速數(shù)據(jù)包重組還原內(nèi)容，進(jìn)行深度安全檢測(cè)?？蓪?shí)現(xiàn)大流量下的深度內(nèi)容檢測(cè)，完成P2P/IM協(xié)議識(shí)別與限制、入侵防護(hù)、病毒防護(hù)等深度安全功能；貼心的安全助手，用戶使用更方便全面的連接狀態(tài)監(jiān)控，讓您及時(shí)掌握網(wǎng)絡(luò)運(yùn)行狀態(tài)，配合豐富的連接限制，方便您對(duì)迅雷/BT/電驢等P2P應(yīng)用的控制，以及對(duì)感染網(wǎng)絡(luò)蠕蟲(chóng)病毒的主機(jī)進(jìn)行快速定位和實(shí)時(shí)阻斷！系統(tǒng)集成強(qiáng)大的安全助手，能夠根據(jù)需要對(duì)內(nèi)網(wǎng)主機(jī)、服務(wù)、端口、系統(tǒng)及版本進(jìn)行探測(cè)，實(shí)時(shí)獲取內(nèi)網(wǎng)狀況，并可以根據(jù)掃描結(jié)果輕松設(shè)置對(duì)象及安全策略，大大降低了配置、維護(hù)的復(fù)雜度強(qiáng)大的網(wǎng)絡(luò)拓?fù)渥赃m應(yīng)性適應(yīng)于各種復(fù)雜網(wǎng)絡(luò)拓?fù)?，包括透明橋接、路由以及橋和路由完全自適應(yīng)識(shí)別模式。支持透明橋接、路由以及橋和路由自適應(yīng)識(shí)別模式，支持多條路由負(fù)載均衡，支持基于應(yīng)用（ARP/PING/TCP/ HTTP）和鏈路質(zhì)量的鏈路探測(cè)，支持多條ADSL撥號(hào)及自動(dòng)負(fù)載均衡，支持多純透明橋與接口聯(lián)動(dòng)，支持基于路由的雙VPN隧道備份。智能便捷的配置向?qū)Ш凸芾矸绞綖榘踩芾韱T提供智能便捷的配置向?qū)В屇p松完成復(fù)雜的安全配置！并提供豐富的管理方式，包括本地Console，撥號(hào)PPP接入，基于Web（HTTPS）瀏覽器，遠(yuǎn)程SSH登錄，以及強(qiáng)大的SecFox集中安全管理方式。上網(wǎng)行為管理審計(jì)系統(tǒng)企業(yè)單位經(jīng)常會(huì)碰到這樣的問(wèn)題隨著人們對(duì)互聯(lián)網(wǎng)的使用越來(lái)越普及，互聯(lián)網(wǎng)給我們帶來(lái)許多方便的同時(shí)，也帶來(lái)了許多風(fēng)險(xiǎn)和挑戰(zhàn)。政府和企事業(yè)單位管理者希望對(duì)員工上網(wǎng)進(jìn)行合理的控制，而網(wǎng)管無(wú)法找到一個(gè)可以實(shí)現(xiàn)該功能的專用工具。因?yàn)楝F(xiàn)有的網(wǎng)絡(luò)設(shè)備，網(wǎng)管軟件都不能靈活分配員工可獲得的上網(wǎng)資源，透視員工的上網(wǎng)行為。政府和企事業(yè)單位內(nèi)部人員通過(guò)網(wǎng)絡(luò)泄漏敏感資料的事件時(shí)有報(bào)道，員工因私上網(wǎng)影響工作的問(wèn)題日益明顯，網(wǎng)管對(duì)限制員工私自下載危險(xiǎn)文檔的需求越來(lái)越迫切。政府和企事業(yè)單位的計(jì)算機(jī)應(yīng)用和上網(wǎng)條件越來(lái)越好了，但同時(shí)產(chǎn)生出來(lái)的問(wèn)題也越來(lái)越多了。很有可能，您的員工正在如此“工作”：兩個(gè)人正在下載MP3,電影，消耗大量帶寬三個(gè)人在下載和分發(fā)不良的信息和圖片兩個(gè)人在玩在線游戲兩個(gè)人正在用QQ和無(wú)關(guān)的人聊天兩個(gè)人一邊工作一邊炒股還有一個(gè)人在傳送秘密的資料給競(jìng)爭(zhēng)對(duì)手這些威脅和挑戰(zhàn)事件多數(shù)是來(lái)自于內(nèi)部合法用戶的“合法”操作引起的，僅靠某些安全產(chǎn)品如防火墻等的日志和控制功能并不能很好的滿足對(duì)這些互聯(lián)網(wǎng)安全事件的審計(jì)要求，網(wǎng)絡(luò)行為和內(nèi)容審計(jì)系統(tǒng)應(yīng)運(yùn)而生。法律與法規(guī)2005年底，公安部頒布《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》，明文規(guī)定網(wǎng)絡(luò)使用單位要有一定的管理制度。其中第七條，第三款指出，要有記錄并存儲(chǔ)用戶登錄和退出時(shí)間、主叫號(hào)碼、賬號(hào)、互聯(lián)網(wǎng)地址或域名、系統(tǒng)維護(hù)日志的技術(shù)措施。第十條指出使用網(wǎng)絡(luò)的企事業(yè)單位要具有一定的安全保護(hù)技術(shù)措施，其中包括：記錄并儲(chǔ)存用戶注冊(cè)信息；在公共信息服務(wù)中發(fā)現(xiàn)、停止傳輸違法信息，并保留相關(guān)記錄；能夠記錄并儲(chǔ)存用戶使用的互聯(lián)網(wǎng)絡(luò)地址和內(nèi)部網(wǎng)絡(luò)地址對(duì)應(yīng)關(guān)系。第十三條規(guī)定了記錄儲(chǔ)存技術(shù)應(yīng)當(dāng)具有至少保存六十天記錄備份的功能。這些法律法規(guī)也要求對(duì)用戶互聯(lián)網(wǎng)行為進(jìn)行必要的安全審計(jì)。方案特點(diǎn)為了應(yīng)對(duì)政府和企事業(yè)單位用戶上網(wǎng)行為監(jiān)控與審計(jì)的需要，以及國(guó)家相關(guān)法律法規(guī)的要求，網(wǎng)御神州推出了SecFox-NBA（NetworkBehaviorAnalysisforInternetAduit）網(wǎng)絡(luò)行為審計(jì)系統(tǒng)（上網(wǎng)審計(jì)型）。該產(chǎn)品具有以下特點(diǎn)：部署簡(jiǎn)單通過(guò)旁路偵聽(tīng)的方式對(duì)內(nèi)部網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)（Internet）的數(shù)據(jù)流進(jìn)行采集、分析和識(shí)別，不影響網(wǎng)絡(luò)結(jié)構(gòu)。B/S結(jié)構(gòu)，可在內(nèi)網(wǎng)中任意臺(tái)機(jī)器上（可進(jìn)行安全限制），通過(guò)IE瀏覽器對(duì)其進(jìn)行訪問(wèn)，無(wú)需安裝任何客戶端程序及插件。支持大型網(wǎng)絡(luò)級(jí)聯(lián)部署強(qiáng)大的互聯(lián)網(wǎng)審計(jì)、控制、分析功能基于應(yīng)用層協(xié)議還原的行為和內(nèi)容審計(jì)網(wǎng)頁(yè)瀏覽（HTTP協(xié)議）審計(jì)，記錄機(jī)器IP、訪問(wèn)網(wǎng)址等信息網(wǎng)絡(luò)聊天審計(jì)：騰訊QQ、WindowsLiveMessenger、ICQ、YAHOOMessenger、網(wǎng)易泡泡、淘寶阿里旺旺、新浪UC、QQ聊天室等聊天軟件,可記錄聊天賬號(hào)，聊天工具，未加密的聊天內(nèi)容等信息收發(fā)郵件（POP3、SMTP、WEBMAIL、LOTUS、EXCHANGE），可對(duì)郵件賬號(hào)、標(biāo)題、內(nèi)容、附件進(jìn)行審計(jì)P2P協(xié)議審計(jì)股票審計(jì)：審計(jì)大智慧、同花順、錢(qián)龍等股票軟件搜索關(guān)鍵詞審計(jì)，baidu、google等常見(jiàn)搜索網(wǎng)站遠(yuǎn)程登錄（TELNET協(xié)議）審計(jì)文件傳輸（FTP協(xié)議）審計(jì)音視頻審計(jì)網(wǎng)絡(luò)游戲?qū)徲?jì)：聯(lián)眾、邊鋒、QQ游戲、大型網(wǎng)游，等等細(xì)致的控制策略可對(duì)一周內(nèi)任意時(shí)間段（最小精確到半小時(shí)）進(jìn)行訪問(wèn)控制可對(duì)端口、網(wǎng)頁(yè)訪問(wèn)、郵件、聊天、文件傳輸、遠(yuǎn)程登錄、BT下載進(jìn)行細(xì)粒度控制內(nèi)外網(wǎng)黑白名單，可設(shè)置VIP機(jī)器、限制指定IP或空閑IP進(jìn)行網(wǎng)絡(luò)訪問(wèn)內(nèi)置URL分類過(guò)濾庫(kù)包含百萬(wàn)個(gè)站點(diǎn)以上的記錄，含有超過(guò)一億以上的網(wǎng)頁(yè)。豐富多樣的分析和統(tǒng)計(jì)功能實(shí)時(shí)流量：以圖表的形式實(shí)時(shí)顯示機(jī)器/機(jī)器組的流量變化軌跡實(shí)時(shí)觀察：以列表的形式實(shí)時(shí)的顯示所選機(jī)器的一切上網(wǎng)行為數(shù)據(jù)包流量：以列表的形式顯示所選機(jī)器的數(shù)據(jù)包流量和流速統(tǒng)計(jì)報(bào)表：提供豐富的報(bào)表管理功能；根據(jù)時(shí)間、數(shù)據(jù)類型等生成報(bào)表，提供打印、導(dǎo)出等服務(wù)，可以保存為html格式；直觀地為管理員提供決策和分析的數(shù)據(jù)基礎(chǔ)，幫助管理員掌握網(wǎng)絡(luò)使用狀況流量排名、搜索關(guān)鍵字排名、網(wǎng)站排名、BBS訪問(wèn)排名、網(wǎng)址類型排名流量統(tǒng)計(jì)、協(xié)議流量分析、帶寬統(tǒng)計(jì)、上網(wǎng)時(shí)長(zhǎng)統(tǒng)計(jì)多種可選操作模式和認(rèn)證方式提供兩種操作模式，以滿足不同用戶操作習(xí)慣和不同操作目的的需求：面向功能的操作模式面向?qū)徲?jì)對(duì)象的操作模式（包括兩種：面向被監(jiān)控機(jī)器、面向上網(wǎng)用戶賬號(hào)）提供認(rèn)證管理功能，目前支持以下三種方式LDAP認(rèn)證方式WINDOWS域一次認(rèn)證方式本地認(rèn)證獨(dú)立的報(bào)表系統(tǒng)面對(duì)大量的審計(jì)數(shù)據(jù)，許多客戶更加關(guān)心所有網(wǎng)絡(luò)數(shù)據(jù)的詳細(xì)分類統(tǒng)計(jì)、網(wǎng)絡(luò)使用情況、員工上網(wǎng)分析等。因此，SecFox-NBA（上網(wǎng)審計(jì)型）還專門(mén)獨(dú)立出上網(wǎng)行為評(píng)估報(bào)表系統(tǒng)。上網(wǎng)行為評(píng)估報(bào)表系統(tǒng)將在審計(jì)的網(wǎng)絡(luò)行為數(shù)據(jù)統(tǒng)計(jì)分析后，按照時(shí)間段生成詳細(xì)的網(wǎng)絡(luò)應(yīng)用表，并且報(bào)表系統(tǒng)提供個(gè)性化策略設(shè)置，企事業(yè)單位可以按照自身需求設(shè)置方便自身的策略。上網(wǎng)行為評(píng)估報(bào)表對(duì)數(shù)據(jù)統(tǒng)計(jì)時(shí)，從工作效率、可疑行為、網(wǎng)絡(luò)管理3個(gè)方面進(jìn)行了統(tǒng)計(jì)，給管理人員提供了一個(gè)方便的網(wǎng)絡(luò)管理平臺(tái)。上網(wǎng)行為評(píng)估報(bào)表可幫助企事業(yè)單位在網(wǎng)絡(luò)管理、預(yù)防信息泄密、了解員工需求方面取得更高成效。并且擁有了獨(dú)立的報(bào)表系統(tǒng)后，一方面，使各級(jí)管理人員能夠盡可能詳盡的了解自己所管轄的人員及其網(wǎng)絡(luò)使用情況，另一方面，又可保證每個(gè)人網(wǎng)絡(luò)上面的個(gè)人信息及隱私、無(wú)損企業(yè)利益的機(jī)密信息不會(huì)因?qū)徲?jì)系統(tǒng)而泄露給其他人員，包括該產(chǎn)品的管理人員。實(shí)現(xiàn)了真正的人性化管理。價(jià)值和優(yōu)勢(shì)審計(jì)和控制上網(wǎng)行為，實(shí)時(shí)追蹤記錄審計(jì)和控制員工外發(fā)數(shù)據(jù)內(nèi)容，防止公司資料泄密減少員工因互聯(lián)網(wǎng)活動(dòng)所帶來(lái)的法律責(zé)任風(fēng)險(xiǎn)優(yōu)化使用IT資源，包括帶寬和計(jì)算機(jī)資源實(shí)施因特網(wǎng)和應(yīng)用程序使用策略通過(guò)配置合理的策略，禁止網(wǎng)絡(luò)濫用，提高員工工作效率人性化管理，在進(jìn)行網(wǎng)絡(luò)審計(jì)的同時(shí)，注重保護(hù)個(gè)人隱私功能列表報(bào)表系統(tǒng)功能點(diǎn)說(shuō)明綜合統(tǒng)計(jì)報(bào)表主要提供按部門(mén)統(tǒng)計(jì)各部門(mén)的綜合數(shù)據(jù)，如：網(wǎng)頁(yè)訪問(wèn)總次數(shù)，總流量，平均流量，可疑行為，游戲時(shí)間，聊天時(shí)間，炒股時(shí)間等，并提供統(tǒng)計(jì)數(shù)據(jù)的明細(xì)列表和數(shù)據(jù)的詳情查看。行為排名報(bào)表對(duì)上網(wǎng)數(shù)據(jù)按照不同的網(wǎng)絡(luò)行為分類，對(duì)分類中的數(shù)據(jù)按照數(shù)據(jù)訪問(wèn)量排名，逐次顯示被統(tǒng)計(jì)部門(mén)的上網(wǎng)人員數(shù)據(jù)訪問(wèn)情況，如：網(wǎng)頁(yè)訪問(wèn)排名，聊天排名，游戲排名，炒股排名等。行為趨勢(shì)報(bào)表分類統(tǒng)計(jì)數(shù)據(jù)，形成數(shù)據(jù)趨勢(shì)變化圖。周報(bào)表和月報(bào)表中，在同一圖形中呈現(xiàn)被統(tǒng)計(jì)周（或者月）和對(duì)應(yīng)的上周(或者上個(gè)月)數(shù)據(jù)的趨勢(shì)變化。通過(guò)圖形直觀顯示網(wǎng)絡(luò)數(shù)據(jù)量的變化，并通過(guò)數(shù)據(jù)比較改時(shí)間段和上個(gè)時(shí)間段的流量升降度，根據(jù)這些對(duì)比數(shù)據(jù)，可以了解公司網(wǎng)絡(luò)不同時(shí)期的使用情況，上網(wǎng)人員網(wǎng)絡(luò)行為變化情況。網(wǎng)絡(luò)管理報(bào)表網(wǎng)絡(luò)管理報(bào)表為網(wǎng)絡(luò)管理人員提供方便掌握內(nèi)網(wǎng)使用情況的總結(jié)報(bào)表。網(wǎng)管人員通該功能及時(shí)了解網(wǎng)絡(luò)中哪些機(jī)器可能中毒、內(nèi)網(wǎng)中最受關(guān)注網(wǎng)站，網(wǎng)絡(luò)流量、各種網(wǎng)絡(luò)協(xié)議的流量比例分配。審計(jì)系統(tǒng)功能點(diǎn)說(shuō)明行為審計(jì)能夠?qū)贖TTP（WEB，POST）、、郵件（SMTP，POP3，WEBMAIL）、聊天（ICQ、QQ、MSN、WEBMSN、網(wǎng)易泡泡、YAHOOMESSENGER、UC、淘寶）、聊天室（QQ、163、263聊天室）、TELNET、游戲、音視頻、自定義協(xié)議等的行為進(jìn)行記錄；能夠?qū)徲?jì)BTComet、BitTorrent、比特精靈、TurboBT、電騾、VNN、PPlive、PPStream等P2P協(xié)議；能夠?qū)徲?jì)通過(guò)GOOGLE、百度、淘寶、MSN、天網(wǎng)、雅虎等搜索引擎搜索的關(guān)鍵字內(nèi)容審計(jì)可進(jìn)行SMTP、POP3、原文和附件（包括ZIP、RAR文件）審計(jì)，MSN、WEBMSN、ICQ、YahooMessenger、UC、QQ聊天室、163聊天室、263聊天室、BBS等網(wǎng)上通訊內(nèi)容審計(jì)，F(xiàn)TP數(shù)據(jù)上傳審計(jì)等策略管理可定制控制策略、系統(tǒng)策略、內(nèi)網(wǎng)黑白名單、允許/禁止端口等，支持當(dāng)前互聯(lián)網(wǎng)流行的大多數(shù)應(yīng)用以及協(xié)議分析，包括HTTP、網(wǎng)絡(luò)層協(xié)議、文件訪問(wèn)協(xié)議、郵件、FTP等多種協(xié)議，還可以對(duì)QQ、MSN、ICQ、YahooMassenger等應(yīng)用進(jìn)行封堵實(shí)時(shí)觀察系統(tǒng)可實(shí)時(shí)顯示最新的網(wǎng)絡(luò)活動(dòng)的日志信息；包括：上網(wǎng)賬號(hào)、機(jī)器名、分組、上網(wǎng)活動(dòng)、訪問(wèn)時(shí)間；所有實(shí)時(shí)數(shù)據(jù)分析的數(shù)據(jù)圖表支持自動(dòng)刷新流量分析實(shí)時(shí)流量審計(jì)：各主機(jī)所產(chǎn)生的內(nèi)外網(wǎng)流量統(tǒng)計(jì)；TOP10地址內(nèi)網(wǎng)流量統(tǒng)計(jì)、并以圖標(biāo)形式顯示；單主機(jī)的內(nèi)外網(wǎng)各種協(xié)議流量統(tǒng)計(jì)。歷史流量審計(jì)：可以按地址范圍、數(shù)據(jù)流向、時(shí)間范圍、排名的名次數(shù)等用戶定義的內(nèi)容生成流量統(tǒng)計(jì)報(bào)表地址分類庫(kù)管理內(nèi)置URL分類過(guò)濾庫(kù)包含百萬(wàn)個(gè)站點(diǎn)以上的記錄，含有超過(guò)一億以上的網(wǎng)址，支持用戶根據(jù)企業(yè)內(nèi)部的網(wǎng)絡(luò)應(yīng)用特點(diǎn)自行定義網(wǎng)站分類和網(wǎng)站站點(diǎn)，系統(tǒng)可以對(duì)自定義的網(wǎng)站進(jìn)行按管理策略進(jìn)行封堵或放行等監(jiān)控報(bào)警管理將所有的報(bào)警記錄按使用者、上網(wǎng)賬號(hào)、機(jī)器名稱、機(jī)器IP、時(shí)間、外網(wǎng)IP、外網(wǎng)端口、協(xié)議種類、備注等信息列表顯示，對(duì)告警信息進(jìn)行分析和統(tǒng)計(jì)。產(chǎn)生的告警信息能夠通過(guò)短信報(bào)警、郵件方式通知管理人員報(bào)表管理提供豐富的報(bào)表管理功能；根據(jù)時(shí)間、數(shù)據(jù)類型等生成報(bào)表，提供打印、導(dǎo)出服務(wù)；直觀地為管理員提供決策和分析的數(shù)據(jù)基礎(chǔ)，幫助管理員掌握網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)的狀況。報(bào)表可以保存為html格式認(rèn)證管理不改變用戶網(wǎng)絡(luò)結(jié)構(gòu)的情況下，系統(tǒng)以機(jī)器IP管理或賬號(hào)管理方式管理監(jiān)控范圍內(nèi)的機(jī)器，可以對(duì)機(jī)器或賬號(hào)實(shí)施各種不同的策略。賬號(hào)控制模式實(shí)現(xiàn)了網(wǎng)絡(luò)實(shí)名制管理，同時(shí)支持多種第三方認(rèn)證方式，比如本地認(rèn)證、Window域服務(wù)器、LDAP機(jī)器管理自動(dòng)發(fā)現(xiàn)企業(yè)的內(nèi)網(wǎng)中的機(jī)器，將被監(jiān)控主機(jī)的IP地址按照子網(wǎng)分類，便于查看，方便管理員的管理工作；可設(shè)定空閑IP，限制非法機(jī)器連接網(wǎng)絡(luò)權(quán)限管理采用基于角色的權(quán)限管理機(jī)制，通過(guò)角色定義支持多用戶訪問(wèn)。角色能夠從設(shè)備和功能兩個(gè)維度進(jìn)行定義，從而達(dá)到控制誰(shuí)可以對(duì)什么設(shè)備進(jìn)行什么操作的控制粒度系統(tǒng)配置完成對(duì)NBA系統(tǒng)自身的各項(xiàng)配置工作系統(tǒng)安全性用戶登陸時(shí)，采用了加密的通訊協(xié)議，確保了登陸賬號(hào)、密碼及審計(jì)數(shù)據(jù)的保密性；審計(jì)數(shù)據(jù)加密存儲(chǔ)性能抓包速率最低配置下50000pps（數(shù)據(jù)包每秒），峰值達(dá)到120000pps事件存儲(chǔ)性能事件存儲(chǔ)量?jī)H取決于系統(tǒng)所用存儲(chǔ)空間大小，標(biāo)配情況下最少60天平均無(wú)故障運(yùn)行時(shí)間（MBTF）不少于60000小時(shí)

配置清單設(shè)備名稱設(shè)備參數(shù)備注防火墻網(wǎng)御神州SecGate3600-F3百兆，1U機(jī)架式；吞吐量≥300Mbps，并發(fā)連接數(shù)≥40萬(wàn)，配置3個(gè)獨(dú)立網(wǎng)口和8個(gè)交換口，共計(jì)11個(gè)10/100M自適應(yīng)電口；集成IPSec、SSLVPN功能，資質(zhì)：必須提供公安部銷售許可證、中國(guó)信息安全技術(shù)產(chǎn)品安全測(cè)評(píng)證書(shū)，中國(guó)國(guó)家信息安全產(chǎn)品認(rèn)證證書(shū)（CCC認(rèn)證）、商用密碼產(chǎn)品生產(chǎn)定點(diǎn)單位證書(shū)、商用密碼產(chǎn)品銷售許可證；為保證售后服務(wù)，必須提供原廠商授權(quán)原件。部署于醫(yī)院網(wǎng)絡(luò)出口，安全接入Internet，同時(shí)對(duì)醫(yī)保網(wǎng)絡(luò)的訪問(wèn)進(jìn)行控制，禁止未經(jīng)授權(quán)的非法訪問(wèn)上網(wǎng)行為管理系統(tǒng)網(wǎng)御神州SecFox-NBA-F1、性能:標(biāo)準(zhǔn)機(jī)架式設(shè)備，產(chǎn)品標(biāo)配4個(gè)10/100/1000M自適應(yīng)以太網(wǎng)口，抓包率:不低于50000pps（數(shù)據(jù)包每秒），峰值可達(dá)到120000pps,數(shù)據(jù)保存時(shí)間≥60天；2、采用自主開(kāi)發(fā)的SecOS網(wǎng)關(guān)安全操作系統(tǒng)；3、采用B/S結(jié)構(gòu)，無(wú)需安裝任何插件，采用旁路偵聽(tīng)方式接入，在不改變網(wǎng)絡(luò)結(jié)構(gòu)的情況下精確監(jiān)控，不會(huì)對(duì)網(wǎng)絡(luò)內(nèi)部的流量與數(shù)據(jù)信息造成任何瓶頸；4、上網(wǎng)行為審計(jì)：能夠記錄用戶網(wǎng)頁(yè)瀏覽的時(shí)間、URL地址、標(biāo)題、源目的IP地址、源MAC地址、源目的端口、網(wǎng)址分類信息、機(jī)器名稱、使用者信息，并且支持對(duì)指定的發(fā)起網(wǎng)頁(yè)瀏覽的IP進(jìn)行還原。并可實(shí)時(shí)顯示；記錄用戶炒股用的大智慧、同花順、錢(qián)龍等股票工具的使用時(shí)間、源IP地址、源MAC地址、軟件名稱、機(jī)器名稱、使用者。并可實(shí)時(shí)顯示。能夠?qū)徲?jì)通過(guò)GOOGLE、百度、淘寶、MSN、天網(wǎng)、雅虎等搜索引擎搜索的關(guān)鍵字；5、上網(wǎng)內(nèi)容審計(jì)：記錄通過(guò)MSN、ICQ、YAHOOMESSENGER、QQ聊天室私聊的內(nèi)容和通過(guò)聊天工具傳輸?shù)奈募２⒖蓪?shí)時(shí)顯示；6、上網(wǎng)行為控制：控制每一種上網(wǎng)行為在從周一到周日任意的時(shí)間段（基數(shù)為半小時(shí)），在允許的時(shí)間段內(nèi)對(duì)應(yīng)的上網(wǎng)行為可以正常進(jìn)行，在禁止的時(shí)間段系統(tǒng)對(duì)對(duì)應(yīng)的上網(wǎng)行為采用封堵策略；可結(jié)合windowsAD認(rèn)證和LADP認(rèn)證；提供本地認(rèn)證；7、上網(wǎng)行為分析：系統(tǒng)實(shí)時(shí)顯示最新的網(wǎng)絡(luò)活動(dòng)的日志信息；包括：上網(wǎng)帳號(hào)、機(jī)器名、分組、上網(wǎng)活動(dòng)、訪問(wèn)時(shí)間；所有實(shí)時(shí)數(shù)據(jù)分析的數(shù)據(jù)圖表支持自動(dòng)刷新，且刷新時(shí)間不大于30秒；8、資質(zhì)：公安部銷售許可證、軍用信息安全產(chǎn)品認(rèn)證證書(shū),中國(guó)信息安全技術(shù)產(chǎn)品安全測(cè)評(píng)證書(shū)，中國(guó)國(guó)家信息安全產(chǎn)品認(rèn)證證書(shū)（CCC認(rèn)證）、國(guó)家保密局證書(shū)，為了保證產(chǎn)品服務(wù)需提供原廠授權(quán)及原廠服務(wù)承諾函原件。審計(jì)和控制上網(wǎng)行為，實(shí)時(shí)追蹤記錄審計(jì)和控制員工外發(fā)數(shù)據(jù)內(nèi)容，防止公司資料泄密減少員工因互聯(lián)網(wǎng)活動(dòng)所帶來(lái)的法律責(zé)任風(fēng)險(xiǎn)優(yōu)化使用IT資源，包括帶寬和計(jì)算機(jī)資源實(shí)施因特網(wǎng)和應(yīng)用程序使用策略防火墻硬件服務(wù)7*24小時(shí)，三年維護(hù)服務(wù)，硬件備機(jī)支持，軟件終身升級(jí)原廠服務(wù)第二部分網(wǎng)神SecGate3600防火墻介紹目錄1 概述 202 網(wǎng)神SecGate3600防火墻企業(yè)級(jí)主要功能列表 203 網(wǎng)神SecGate3600防火墻企業(yè)級(jí)六大特色 223.1 獨(dú)立的SecOS安全協(xié)議棧 223.2 獨(dú)創(chuàng)的智能高效搜索算法 233.3 深度的網(wǎng)絡(luò)行為關(guān)聯(lián)分析 233.4 全面的連接狀態(tài)監(jiān)控和實(shí)時(shí)阻斷 233.5 強(qiáng)大的網(wǎng)絡(luò)拓?fù)渥赃m應(yīng)性 233.6 智能便捷的配置向?qū)Ш凸芾矸绞?234 網(wǎng)神SecGate3600防火墻企業(yè)級(jí)主要功能介紹 244.1 自適應(yīng)的網(wǎng)絡(luò)接入模式 244.2 完善的智能包過(guò)濾 244.3 強(qiáng)大的抗攻擊能力 244.4 全面的NAT地址轉(zhuǎn)換 254.5 豐富的預(yù)定義代理和自定義代理 264.6 獨(dú)創(chuàng)的高效安全規(guī)則搜索算法 264.7 全面靈活的連接限制 264.8 策略路由和鏈路聚合 274.9 動(dòng)態(tài)路由支持 274.10 深度內(nèi)容過(guò)濾 274.11 深度動(dòng)態(tài)協(xié)議分析 274.12 全面的VLAN支持 284.13 用戶認(rèn)證 284.14 IP/MAC地址綁定 284.15 靈活的時(shí)間調(diào)度 284.16 與IDS聯(lián)動(dòng) 294.17 入侵檢測(cè)IPS 294.18 病毒過(guò)濾 304.19 流量整形和帶寬管理 304.20 完善的DHCP支持 304.21 雙機(jī)熱備和高可用性HA 314.22 全面的系統(tǒng)監(jiān)控 314.23 便捷的配置向?qū)?314.24 對(duì)象名稱定義和引用 314.25 豐富、安全的管理方式 324.26 分級(jí)權(quán)限的安全管理 324.27 與SecFox集中遠(yuǎn)程管理無(wú)縫集成 324.28 完善的系統(tǒng)升級(jí) 324.29 系統(tǒng)配置的導(dǎo)入導(dǎo)出 324.30 貼心的安全助手 334.31 全面的日志審計(jì)和日志服務(wù)器 335 網(wǎng)神SecGate3600防火墻企業(yè)級(jí)的典型應(yīng)用環(huán)境 335.1 拓?fù)湟唬憾喑隹阪溌肪酆?335.2 拓?fù)涠喝哂嗟母呖捎眯?341概述網(wǎng)神SecGate3600防火墻企業(yè)級(jí)是基于狀態(tài)檢測(cè)包過(guò)濾和應(yīng)用級(jí)代理的復(fù)合型硬件防火墻，是專門(mén)面向大中型企業(yè)、政府、軍隊(duì)、高校等用戶開(kāi)發(fā)的新一代專業(yè)防火墻設(shè)備，支持外部攻擊防范、內(nèi)網(wǎng)安全、網(wǎng)絡(luò)訪問(wèn)權(quán)限控制、網(wǎng)絡(luò)流量監(jiān)控和帶寬管理、動(dòng)態(tài)路由、網(wǎng)頁(yè)內(nèi)容過(guò)濾、郵件內(nèi)容過(guò)濾、入侵檢測(cè)、病毒過(guò)濾、IP沖突檢測(cè)等功能，能夠有效地保證網(wǎng)絡(luò)的安全；產(chǎn)品提供靈活的網(wǎng)絡(luò)路由/橋接能力，支持策略路由，多出口鏈路聚合；提供多種智能分析和管理手段，支持郵件告警，支持日志審計(jì)，提供全面的網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理。2網(wǎng)神SecGate3600防火墻企業(yè)級(jí)主要功能列表安全防御能力提供基于狀態(tài)檢測(cè)的智能包過(guò)濾支持SIP/H.323/H.323網(wǎng)守/等動(dòng)態(tài)協(xié)議支持802.1QVLAN協(xié)議支持雙向NAT，支持源地址轉(zhuǎn)換、端口映射、IP映射三種類型的NAT支持靜態(tài)橋轉(zhuǎn)發(fā)表支持多純透明子橋和接口聯(lián)動(dòng)支持IP/MAC地址綁定和自動(dòng)探測(cè)支持新建連接/并發(fā)連接限制提供透明網(wǎng)關(guān)式應(yīng)用代理提供HTTP/自定義代理等提供與應(yīng)用服務(wù)無(wú)關(guān)的用戶認(rèn)證提供基于Web/Portal的無(wú)客戶端認(rèn)證有效抵御各種DoS/DDoS攻擊提供實(shí)時(shí)網(wǎng)絡(luò)連接監(jiān)控和實(shí)時(shí)中斷提供全面的內(nèi)外網(wǎng)連接監(jiān)控VPN支持標(biāo)準(zhǔn)IPSecVPN能夠與使用標(biāo)準(zhǔn)IPSec的網(wǎng)關(guān)或客戶端互聯(lián)互通支持基于策略的VPN應(yīng)用支持基于路由的VPN應(yīng)用（特別適用于大型縱向網(wǎng)絡(luò)環(huán)境）支持基于路由的雙VPN隧道備份支持VPN的星型、網(wǎng)狀等多種接入方式支持VPN的NAT穿越支持DHCPoverIPSecVPN支持VPN遠(yuǎn)端狀態(tài)探測(cè)DPD支持遵守VPN客戶端提案方式支持PPTP/L2TP撥號(hào)VPN支持X-AUTH擴(kuò)展認(rèn)證支持本地和RADIUS認(rèn)證支持LDAP證書(shū)獲取方式支持VPN證書(shū)一次導(dǎo)入導(dǎo)出支持SSLVPN網(wǎng)絡(luò)適應(yīng)能力支持透明/橋接/路由/混合模式可適應(yīng)多種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和VLANTrunk環(huán)境支持策略路由支持基于服務(wù)的策略路由支持動(dòng)態(tài)路由RIPv1/v2和OSPF提供目的地址路由、源地址路由和路由負(fù)載均衡支持基于應(yīng)用探測(cè)和鏈路質(zhì)量探測(cè)的多出口路由備份切換支持PPPOE協(xié)議，提供ADSL接入方式支持多條ADSL撥號(hào)和自動(dòng)負(fù)載均衡提供QoS帶寬管理支持DHCP服務(wù)器/中繼/客戶端支持DNS中繼支持PPTP的NAT穿越支持?jǐn)?shù)據(jù)包分片重組功能深度內(nèi)容檢測(cè)支持對(duì)URL進(jìn)行過(guò)濾、網(wǎng)頁(yè)內(nèi)容過(guò)濾、黑名單、白名單、可對(duì)允許訪問(wèn)的URL和禁止訪問(wèn)的URL進(jìn)行日志記錄、支持關(guān)鍵字導(dǎo)入支持BT/eDonkey/Kazaa/apple/ares/dc/gnu/soul/winux/thunder等P2P軟件的禁止支持BT/eDonkey/Kazaa/apple/ares/dc/gnu/soul/winux等P2P軟件的禁止帶寬限制支持對(duì)迅雷客戶端軟件和WEB迅雷進(jìn)行有效的禁止支持對(duì)即時(shí)通信軟件（MSN、QQ、Skype）限制支持新建/并發(fā)連接限制，包括保護(hù)主機(jī)、保護(hù)服務(wù)、限制主機(jī)、限制服務(wù)防MAC欺騙和IP盜用可對(duì)SMTP協(xié)議進(jìn)行病毒過(guò)濾可對(duì)POP3協(xié)議進(jìn)行病毒過(guò)濾可限制文件最大容量、附件數(shù)量，可設(shè)置文件夾最大壓縮層數(shù)支持病毒庫(kù)升級(jí)可對(duì)多種常見(jiàn)網(wǎng)絡(luò)蠕蟲(chóng)進(jìn)行過(guò)濾支持多家IDS聯(lián)動(dòng)支持Web應(yīng)用協(xié)議實(shí)時(shí)入侵防御阻斷支持IPS特征庫(kù)升級(jí)高可用性能力支持防火墻雙機(jī)熱備支持防火墻多機(jī)負(fù)載均衡支持端口鏈路備份和負(fù)載均衡支持服務(wù)器負(fù)載均衡管理審計(jì)能力支持SecGateManager防火墻集中管理系統(tǒng)提供靈活的軟件升級(jí)方式提供強(qiáng)大的日志管理和日志審計(jì)管理員身份認(rèn)證支持電子鑰匙認(rèn)證或證書(shū)認(rèn)證內(nèi)置安全助手功能，方便管理員了解內(nèi)網(wǎng)情況支持活動(dòng)主機(jī)探測(cè)，并能根據(jù)探測(cè)結(jié)果自動(dòng)生成資源對(duì)象和安全策略支持開(kāi)放服務(wù)探測(cè)，并能根據(jù)探測(cè)結(jié)果自動(dòng)生成資源對(duì)象和安全策略支持內(nèi)網(wǎng)開(kāi)放服務(wù)版本探測(cè)支持內(nèi)網(wǎng)主機(jī)操作系統(tǒng)版本探測(cè)支持防火墻系統(tǒng)的實(shí)時(shí)監(jiān)控支持實(shí)時(shí)連接狀態(tài)監(jiān)控支持TCP狀態(tài)統(tǒng)計(jì)，能夠詳細(xì)統(tǒng)計(jì)出TCP連接總數(shù)和ESTABLISHED、LISTEN、SYN-SENT、SYN-RECV、FIN-WAIT、CLOSING、TIME-WAIT、CLOSE-WAIT、LAST-ACK、CLOSED10種狀態(tài)的連接數(shù)數(shù)量及占總TCP連接數(shù)的比例支持實(shí)時(shí)路由表查看支持當(dāng)前配置查看支持IP地址沖突檢測(cè)支持橋轉(zhuǎn)發(fā)表查看支持中文對(duì)象名支持管理員分級(jí)管理支持配置向?qū)еС窒到y(tǒng)導(dǎo)入導(dǎo)出配置支持Web界面導(dǎo)出調(diào)試信息功能3網(wǎng)神SecGate3600防火墻企業(yè)級(jí)六大特色3.1獨(dú)立的SecOS安全協(xié)議棧完全自主知識(shí)產(chǎn)權(quán)的SecOS實(shí)現(xiàn)防火墻的控制層和數(shù)據(jù)轉(zhuǎn)發(fā)層分離，全模塊化設(shè)計(jì)，實(shí)現(xiàn)獨(dú)立的安全協(xié)議棧，消除了因操作系統(tǒng)漏洞帶來(lái)的安全性問(wèn)題，以及操作系統(tǒng)升級(jí)、維護(hù)對(duì)防火墻功能的影響。同時(shí)也減少了因?yàn)橛布脚_(tái)的更換帶來(lái)的重復(fù)開(kāi)發(fā)問(wèn)題。由于采用先進(jìn)的設(shè)計(jì)理念，使該SecOS具有更高的安全性、開(kāi)放性、擴(kuò)展性和可移植性。硬件抽象層硬件抽象層SecOS安全協(xié)議棧控制接口配置管理應(yīng)用軟件圖3.1網(wǎng)神SecGate3600防火墻企業(yè)級(jí)體系架構(gòu)圖3.2獨(dú)創(chuàng)的智能高效搜索算法采用獨(dú)創(chuàng)的分段直接尋址搜索算法MSDAL（Multi-StageDirectAddressingLookupAlgorithm），解決了傳統(tǒng)防火墻隨著安全策略數(shù)的增加其性能逐漸下降的問(wèn)題，確保您在大量安全策略數(shù)目情況下仍能獲取最高的網(wǎng)絡(luò)性能！3.3深度的網(wǎng)絡(luò)行為關(guān)聯(lián)分析采用數(shù)據(jù)包內(nèi)容的深度網(wǎng)絡(luò)行為關(guān)聯(lián)分析技術(shù)，讓您不再為各種專有動(dòng)態(tài)協(xié)議如H.323、等的控制“愁眉不展”！并且增強(qiáng)了您的網(wǎng)絡(luò)對(duì)于各種DDoS攻擊的防范能力！3.4全面的連接狀態(tài)監(jiān)控和實(shí)時(shí)阻斷全面的連接狀態(tài)監(jiān)控，讓您及時(shí)掌握網(wǎng)絡(luò)運(yùn)行狀態(tài)，配合豐富的連接限制，方便您對(duì)迅雷/BT/電驢等P2P應(yīng)用的控制，以及對(duì)感染網(wǎng)絡(luò)蠕蟲(chóng)病毒的主機(jī)進(jìn)行快速定位和實(shí)時(shí)阻斷！3.5強(qiáng)大的網(wǎng)絡(luò)拓?fù)渥赃m應(yīng)性適應(yīng)于各種復(fù)雜網(wǎng)絡(luò)拓?fù)洌ㄍ该鳂蚪?、路由以及橋和路由完全自適應(yīng)識(shí)別模式。支持VLAN和VLANTRUNK處理；支持多網(wǎng)絡(luò)出口的鏈路聚合和策略路由；支持生成樹(shù)和每VLAN生成樹(shù)協(xié)議（STP/PVST+）和虛擬路由冗余協(xié)議（VRRP），提供全面可靠的二層鏈路備份和三層路由備份。3.6智能便捷的配置向?qū)Ш凸芾矸绞綖榘踩芾韱T提供智能便捷的配置向?qū)В屇p松完成復(fù)雜的安全配置！并提供豐富的管理方式，包括本地Console，撥號(hào)PPP接入，基于Web（HTTPS）瀏覽器，遠(yuǎn)程SSH登錄，以及強(qiáng)大的SecFox集中安全管理方式。4網(wǎng)神SecGate3600防火墻企業(yè)級(jí)主要功能介紹4.1自適應(yīng)的網(wǎng)絡(luò)接入模式網(wǎng)神SecGate3600防火墻企業(yè)級(jí)支持透明橋接、路由、混合（同時(shí)存在透明、路由的自適應(yīng)接入）接入模式。當(dāng)工作在透明模式時(shí)，網(wǎng)神SecGate3600防火墻企業(yè)級(jí)類似于一個(gè)網(wǎng)橋，不需要用戶對(duì)網(wǎng)絡(luò)的拓?fù)渥龀鋈魏握{(diào)整；當(dāng)工作在路由模式時(shí)，網(wǎng)神SecGate3600防火墻企業(yè)級(jí)類似于一個(gè)路由器，可以提供策略路由功能；網(wǎng)神SecGate3600防火墻企業(yè)級(jí)還可以工作在自適應(yīng)的混合模式下，即防火墻的不同端口有的在同一網(wǎng)段上（透明），有的在不同網(wǎng)段上（路由），這樣更方便用戶在各種網(wǎng)絡(luò)環(huán)境的接入。4.2完善的智能包過(guò)濾網(wǎng)神SecGate3600防火墻企業(yè)級(jí)根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、協(xié)議類型、源端口、目標(biāo)端口以及網(wǎng)絡(luò)接口等對(duì)數(shù)據(jù)包進(jìn)行訪問(wèn)控制，而且能夠記錄通過(guò)防火墻的連接狀態(tài)，直接對(duì)分組里的數(shù)據(jù)進(jìn)行處理；具有完備的狀態(tài)檢測(cè)表追蹤連接會(huì)話狀態(tài)，并且結(jié)合前后分組里的關(guān)系進(jìn)行綜合判斷決定是否允許該數(shù)據(jù)包通過(guò)，通過(guò)連接狀態(tài)進(jìn)行更迅速更安全的過(guò)濾。支持復(fù)雜動(dòng)態(tài)協(xié)議的狀態(tài)包過(guò)濾，通過(guò)對(duì)協(xié)議內(nèi)容的實(shí)時(shí)分析，動(dòng)態(tài)開(kāi)放所需的端口，傳輸結(jié)束后實(shí)時(shí)關(guān)閉端口，確保內(nèi)網(wǎng)安全。4.3強(qiáng)大的抗攻擊能力完全自主開(kāi)發(fā)的SecOS安全協(xié)議棧，支持對(duì)常見(jiàn)攻擊的檢測(cè)和阻斷，并可以實(shí)現(xiàn)針對(duì)ICMP、UDP、TCP的Flood攻擊提交頻度檢查與閾值分析，如針對(duì)ICMPFlood完成過(guò)濾類型與代碼、頻度、包長(zhǎng)檢查，針對(duì)UDPFlood完成頻度、包長(zhǎng)檢查，針對(duì)Synflood完成頻度檢查。針對(duì)最常見(jiàn)的SynFlood攻擊，設(shè)置了SYNproxy以保護(hù)內(nèi)部網(wǎng)絡(luò)和防火墻本身免受此類的拒絕服務(wù)攻擊，提供高安全性和高可用性。支持對(duì)以下攻擊的檢測(cè)：TCP端口掃描UDP端口掃描SynFlood攻擊ICMPFlood攻擊UDPFlood攻擊Pingofdeath攻擊Pingsweep攻擊IPspoofingLand攻擊Teardrop攻擊FilterIPsourcerouteoptionWinNuke攻擊Synfragments攻擊SynandFinbitset攻擊NoflagsinTCP攻擊FINwithnoACK攻擊ICMPfragment攻擊LargeICMPIPsourcerouteIPrecordrouteIPsecurityoptionsIPtimestampIPstreamIPbadoptionsUnknownprotocols4.4全面的NAT地址轉(zhuǎn)換支持動(dòng)態(tài)地址轉(zhuǎn)換，支持地址池，即一對(duì)一，一對(duì)多，多對(duì)多支持靜態(tài)地址轉(zhuǎn)換支持端口轉(zhuǎn)換，支持動(dòng)態(tài)服務(wù)的映射，允許用戶內(nèi)部服務(wù)對(duì)外開(kāi)放支持反向IP映射，允許用戶內(nèi)部IP主機(jī)對(duì)外開(kāi)放支持雙向地址轉(zhuǎn)換（一般應(yīng)用于兩邊權(quán)限對(duì)等網(wǎng)絡(luò)中），即源地址和目的地址的同時(shí)轉(zhuǎn)換支持基于策略（基于協(xié)議、目的地址）的地址轉(zhuǎn)換4.5豐富的預(yù)定義代理和自定義代理網(wǎng)神SecGate3600防火墻企業(yè)級(jí)提供豐富的代理功能。預(yù)定義代理包括：HTTP代理能夠?qū)ava、JavaScript、ActiveX進(jìn)行過(guò)濾FTP代理能夠?qū)Χ嗑€程、put和get命令過(guò)濾SMTP代理能夠?qū)︵]件大小、接收人數(shù)限制，并按關(guān)鍵字對(duì)郵件主題、郵件正文和附件內(nèi)容、附件名過(guò)濾POP3代理能夠?qū)︵]件大小限制，并按關(guān)鍵字對(duì)郵件主題、附件名過(guò)濾支持基于TCP協(xié)議的用戶自定義代理，方便管理員使用4.6獨(dú)創(chuàng)的高效安全規(guī)則搜索算法網(wǎng)神SecGate3600防火墻企業(yè)級(jí)采用自主設(shè)計(jì)的分段直接尋址安全規(guī)則搜索算法MSDAL（Multi-StageDirectAddressingLookupAlgorithm），解決了傳統(tǒng)防火墻隨著安全規(guī)則數(shù)的增加，其搜索速率呈線性遞減的問(wèn)題，確保在大規(guī)則數(shù)情況下以最短的時(shí)間匹配到安全規(guī)則。4.7全面靈活的連接限制網(wǎng)神SecGate3600防火墻企業(yè)級(jí)提供了四種連接限制：保護(hù)主機(jī)、保護(hù)服務(wù)、限制主機(jī)、限制服務(wù)。連接限制可以保護(hù)服務(wù)器或服務(wù)器上提供的某項(xiàng)服務(wù)，限制對(duì)服務(wù)器過(guò)于頻繁的訪問(wèn)。在規(guī)定的時(shí)間內(nèi)，如果某臺(tái)主機(jī)訪問(wèn)服務(wù)器超過(guò)了所限制的次數(shù)，則會(huì)對(duì)該主機(jī)實(shí)行阻斷，在阻斷時(shí)間段內(nèi)，拒絕其對(duì)服務(wù)器的所有訪問(wèn)。也可以應(yīng)用此功能對(duì)使用迅雷/BT/電驢等連接數(shù)目過(guò)大嚴(yán)重影響網(wǎng)絡(luò)流量的用戶加以限制。4.8策略路由和鏈路聚合網(wǎng)神SecGate3600防火墻企業(yè)級(jí)除常規(guī)的按目的IP方式的路由功能外，還支持按源IP方式的路由功能和路由負(fù)載均衡，支持多出口時(shí)鏈路聚合。按源IP方式是根據(jù)源IP地址來(lái)決定下一跳地址。路由負(fù)載均衡指按照下一跳的權(quán)值來(lái)自動(dòng)選擇路由，從而充分利用用戶的帶寬資源，保護(hù)用戶投資。另外，還可以支持基于協(xié)議和端口進(jìn)行源路由選擇。4.9動(dòng)態(tài)路由支持網(wǎng)神SecGate3600防火墻企業(yè)級(jí)具備動(dòng)態(tài)路由的功能，可以和路由器或路由交換機(jī)進(jìn)行動(dòng)態(tài)路由互連，甚至替代部分路由器，極大的簡(jiǎn)化用戶組網(wǎng)和節(jié)省用戶的整體組網(wǎng)投入支持RIPV1/V2協(xié)議支持OSPF協(xié)議支持路由協(xié)議明文/MD5驗(yàn)證支持區(qū)域內(nèi)，區(qū)域間路由4.10深度內(nèi)容過(guò)濾網(wǎng)神SecGate3600防火墻企業(yè)級(jí)具備HTTP、、POP3協(xié)議的內(nèi)容過(guò)濾功能，保護(hù)終端用戶合法有效地使用各種網(wǎng)絡(luò)資源支持對(duì)網(wǎng)頁(yè)中的java、javascrip、activeX等小程序的過(guò)濾支持對(duì)郵件的發(fā)收信人地址、人數(shù)、文件大小過(guò)濾，及對(duì)郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等的關(guān)鍵字匹配過(guò)濾支持URL過(guò)濾，并支持黑/白名單過(guò)濾策略4.11深度動(dòng)態(tài)協(xié)議分析網(wǎng)神SecGate3600防火墻企業(yè)級(jí)支持對(duì)網(wǎng)絡(luò)動(dòng)態(tài)協(xié)議的深度分析，全面支持H.323、等動(dòng)態(tài)協(xié)議的過(guò)濾。4.12全面的VLAN支持網(wǎng)神SecGate3600防火墻企業(yè)級(jí)能夠支持802.1Q封裝協(xié)議；支持VLANTrunk協(xié)議，并可以對(duì)Trunk口中的VLANID進(jìn)行過(guò)濾；支持VTP鏈路聚合協(xié)議；支持生成樹(shù)協(xié)議STP和每VLAN的生成樹(shù)協(xié)議PVST+；在路由模式和橋模塊下均支持VLAN間路由，方便用戶在旁路方式下的接入。4.13用戶認(rèn)證網(wǎng)神SecGate3600防火墻企業(yè)級(jí)提供協(xié)議層用戶認(rèn)證系統(tǒng)，突破認(rèn)證的服務(wù)種類限制，為包過(guò)濾、雙向NAT、代理等訪問(wèn)控制提供用戶認(rèn)證功能支持用戶和組管理，支持用戶策略（源IP綁定、可訪問(wèn)目的IP和服務(wù)），支持對(duì)用戶帳號(hào)的流量控制和時(shí)間控制提供與標(biāo)準(zhǔn)的radius服務(wù)器（PAP）聯(lián)動(dòng)的用戶認(rèn)證提供本地認(rèn)證庫(kù)：提供基于角色的用戶策略，并與安全規(guī)則策略配合完成強(qiáng)訪問(wèn)控制，支持對(duì)用戶帳號(hào)的流量控制和時(shí)間控制，客戶端可以修改密碼，服務(wù)器端檢查用戶在線狀態(tài)，支持PAP和S/Key認(rèn)證協(xié)議4.14IP/MAC地址綁定網(wǎng)神SecGate3600防火墻企業(yè)級(jí)提供IP/MAC地址綁定檢查功能，防止IP地址盜用，可以設(shè)置綁定的默認(rèn)策略，提供IP/MAC對(duì)的唯一性檢查。此外還提供地址對(duì)與網(wǎng)口的綁定功能，可以及時(shí)定位盜用合法IP/MAC地址對(duì)的非法用戶。網(wǎng)神SecGate3600防火墻企業(yè)級(jí)提供IP/MAC自動(dòng)探測(cè)功能，可以大大減輕管理員手工收集IP/MAC對(duì)的工作量。4.15靈活的時(shí)間調(diào)度網(wǎng)神SecGate3600防火墻企業(yè)級(jí)可設(shè)定一次性或周期性的調(diào)度規(guī)則，對(duì)安全規(guī)則、用戶安全策略等進(jìn)行調(diào)度，給安全管理帶來(lái)方便。網(wǎng)神SecGate3600防火墻企業(yè)級(jí)的系統(tǒng)時(shí)間可以設(shè)置為與時(shí)鐘服務(wù)器的時(shí)間同步，也可以設(shè)置為與管理主機(jī)的時(shí)間同步。4.16與IDS聯(lián)動(dòng)網(wǎng)神SecGate3600防火墻企業(yè)級(jí)支持與目前市場(chǎng)上大部分主流IDS產(chǎn)品的聯(lián)動(dòng)。當(dāng)IDS聯(lián)動(dòng)產(chǎn)品發(fā)現(xiàn)入侵攻擊行為時(shí)，會(huì)通知防火墻。如果防火墻相應(yīng)網(wǎng)口啟用了IDS自動(dòng)阻斷功能，則防火墻會(huì)按IDS通知的阻斷方式、阻斷時(shí)間和入侵主機(jī)的相關(guān)信息，對(duì)入侵主機(jī)進(jìn)行阻斷。網(wǎng)神SecGate3600防火墻企業(yè)級(jí)阻斷方式包括：對(duì)“源IP地址”阻斷對(duì)“源IP地址、目的IP地址、目的端口、協(xié)議”阻斷對(duì)“源IP地址、目的IP地址、協(xié)議、方向（單向、雙向、反向）”阻斷防火墻阻斷協(xié)議包括：TCP/UDP/ICMP和所有協(xié)議（any）4.17入侵檢測(cè)IPS網(wǎng)神SecGate3600防火墻企業(yè)級(jí)采用最新的監(jiān)測(cè)引擎，高效快速分析算法?？梢约皶r(shí)有效的發(fā)現(xiàn)入侵行為并予以阻止；同時(shí)提供在線升級(jí)功能，提供最新的入侵特征。網(wǎng)神SecGate3600防火墻企業(yè)級(jí)可以檢測(cè)以下常見(jiàn)入侵類型：AtkrespBackdoorInfoMultimediap2ppornscanviruswebcgiwebcfwebclientwebfpwebiiswebphpwebmisc4.18病毒過(guò)濾網(wǎng)神SecGate3600防火墻企業(yè)級(jí)采用最新的病毒過(guò)濾引擎，有效保護(hù)用戶的網(wǎng)絡(luò)安全提供16萬(wàn)種常見(jiàn)病毒庫(kù)提供在線升級(jí)，實(shí)時(shí)更新病毒庫(kù)可以對(duì)：SMTP、POP3進(jìn)行病毒檢測(cè)和過(guò)濾4.19流量整形和帶寬管理網(wǎng)神SecGate3600防火墻企業(yè)級(jí)采用先進(jìn)的擁塞控制算法、流量調(diào)度算法以及優(yōu)先級(jí)排隊(duì)機(jī)制，根據(jù)用戶定義的帶寬策略（最大峰值帶寬，最小保證帶寬和優(yōu)先級(jí)），動(dòng)態(tài)實(shí)現(xiàn)帶寬分配的實(shí)時(shí)控制。具有以下特點(diǎn)：最大限制帶寬可以對(duì)用戶IP地址、服務(wù)等通過(guò)防火墻的帶寬進(jìn)行限制，例如：限制某個(gè)用戶對(duì)外訪問(wèn)最大帶寬，或者訪問(wèn)某種服務(wù)的最大帶寬。最小保證帶寬保證網(wǎng)絡(luò)中重要服務(wù)或者重要用戶的帶寬不被其他服務(wù)或者用戶占用，從而保證了重要數(shù)據(jù)優(yōu)先通過(guò)網(wǎng)絡(luò)。優(yōu)先級(jí)控制防火墻可以設(shè)定4個(gè)優(yōu)先級(jí)（0-3），在擁塞情況下，可以進(jìn)行更加細(xì)致的流量控制。4.20完善的DHCP支持支持DHCP客戶端防火墻支持動(dòng)態(tài)IP，其接口可以動(dòng)態(tài)地獲得IP地址，方便靈活地接入用戶的網(wǎng)絡(luò)環(huán)境。支持DHCPserver防火墻自身可以作為DHCPServer，為網(wǎng)絡(luò)中計(jì)算機(jī)動(dòng)態(tài)的分配IP地址，從而為企業(yè)的網(wǎng)絡(luò)建設(shè)節(jié)約投資，同時(shí)方便網(wǎng)絡(luò)的應(yīng)用和IP地址的管理。支持DHCPRelay防火墻支持DHCPRelay。放置于DHCPServer和DHCPClient之間，既有效的保護(hù)DHCPServer同時(shí)便于用戶網(wǎng)絡(luò)的部署。4.21雙機(jī)熱備和高可用性HA為了保證網(wǎng)絡(luò)的高可用性與高可靠性，針對(duì)電信級(jí)的要求，網(wǎng)神SecGate3600防火墻企業(yè)級(jí)提供了雙機(jī)熱備份功能，當(dāng)一臺(tái)防火墻發(fā)生意外宕機(jī)、網(wǎng)絡(luò)故障、硬件故障等情況時(shí)，另一臺(tái)防火墻自動(dòng)切換到工作狀態(tài)，從而保證了網(wǎng)絡(luò)的正常使用。切換過(guò)程不需要人為操作和其他系統(tǒng)的參與，當(dāng)發(fā)生切換時(shí)防火墻上的連接可以透明地、完整地遷移到另一臺(tái)防火墻上，用戶不會(huì)覺(jué)察到。4.22全面的系統(tǒng)監(jiān)控網(wǎng)神SecGate3600防火墻企業(yè)級(jí)提供全面