优秀啊教育网 > 中学 > 初一 > 正文

XXX规划院信息安全建设方案,V.16

XXXXXX调查规划院信息安全建设方案 (V1.6) 成都XXX有限公司 Chengdu XXXX Information Technoloy Co., Ltd. 二OO八年十一月文档状态文件状态［］草稿文件［］正式文件［√］更改正式文件文　件标　识 LGY-ITS 当　前版　本 V1.6 作　者完　成日　期 2008-12-22 修订历史记录日期版本说明作者 2008-11-3 V1.0 根据实际需求及进一步发展描述完成方案草案 2008-11-4 V1.1 对方案中的问题进行修订、完善 2008-11-5 V1.3 对方案中的问题进行修订提出三套不同档次解决方案对DMZ区设计进行修订 2008-11-6 V1.4 对三套方案的产品及预算进行调整 2008-11-6 V1.5 对第一套方案一、二阶段进行调整完善对现在设备的分析 2008-11-20 V1.6 完成产品介绍内容目录 1 信息系统安全体系现状概述 1 1.1 现状概述 1 1.2 现状分析 1 1.3 拓扑结构说明 2 2 安全威胁分析 6 2.1 外部威胁分析 6 2.2 内部威胁分析 6 2.3 总体威胁分析 7 3 总体需求及主要内容 8 4 网络及信息安全体系总体方案 9 4.1 设计原则 9 4.2 总体方案 9 5 详细设计 10 5.1 拓扑结构调整 10 5.2 出口安全设计 10 5.3 网络防病毒 11 5.3.1 内容安全网关(防毒墙) 11 5.3.2 企业级网络版防病毒软件 11 5.4 构建全局安全网络体系 12 5.4.1 概述 12 5.4.2 IP地址规划 13 5.4.3 VLAN规划 14 5.4.4 常见网络危害病毒防范设计 15 5.4.5 常见网络攻击防范设计 18 5.4.5.1 MAC攻击 18 5.4.5.2 DHCP攻击 18 5.4.5.3 ARP攻击 19 5.4.5.4 IP/MAC攻击 20 5.4.5.5 STP攻击 20 5.4.5.6 Dos/Ddos攻击 21 5.4.5.7 IP扫描攻击 21 5.4.5.8 网络设备管理安全 21 5.4.6 全局安全网络(GSN)方案设计 22 5.4.6.1 安全挑战 22 5.4.6.2 管理挑战 22 5.4.6.3 方案详细介绍 22 5.4.6.4 安全特性 23 5.4.6.5 管理特性 24 5.4.6.6 详细功能 24 5.4.6.7 交换设备升级 26 5.5 应用扩展后的安全体系建设 26 5.5.1 总体方案 26 5.5.2 服务器DMZ区 27 5.5.3 入侵检测系统(IDS) 27 5.5.4 应用控制引擎 28 5.5.5 数据中心构建 31 6 方案特色 37 7 建设计划及资金预算 38 7.1 方案1—中低配置方案 38 7.2 方案2—中档配置方案 40 7.3 方案3—中高配置方案 42 8 主要设备选型 44 8.1 防火墙-RG-WALL-160M 44 8.1.1 产品特性 44 8.1.2 技术参数 45 8.2 防火墙-RG-WALL-1600S 48 8.2.1 产品概述 48 8.2.2 产品特性 49 8.2.3 技术参数 51 8.2.4 扩展模块 54 8.3 RG-S2126G安全智能交换机 55 8.3.1 产品概述 55 8.3.2 产品特性 55 8.3.3 技术参数 58 8.4 防病毒安全套装 PESA4.0 59 8.4.1 PESA特性 60 8.4.2 模块介绍 60 8.5 入侵检测系统RG-IDS-500 61 8.5.1 产品概述 61 8.5.2 产品特性 62 8.5.3 技术参数 64 8.6 RG-SMP安全网络管理平台 64 8.6.1 产品概述 64 8.6.2 产品特征 65 8.6.2.1 身份认证功能 65 8.6.2.2 主机端点防护功能 65 8.6.2.3 网络通信保护功能 66 1 信息系统安全体系现状概述 1.1 现状概述我单位计算机网络、信息系统在建设之初，经过了仔细规划，结构合理、运行可靠、维护方便。但是在建设初期，网络系统及应用系统均相对简单，信息系统安全的重要性并未体现出来，主要应用仍限于内部局域当中，对外网的访问主要是普通上网和信息服务，信息系统安全措施及技术手段相对较少。

随着IT技术的飞速发展，各种应用的不断丰富，国家几大“金”字号工程的建设，电子商务、电子政务的不断深入，我单位网络规模的不断扩大、应用不断增加，陆续或即将扩大网络规模、增加多种业务系统，网络和信息系统的使用频率巨增，并将提供对外的资源服务，因此，大大增加了病毒感染、网络入侵等危险。原有设计和实施的网络及信息系统安全技术手段、相关设备、措施，已经远远不能满足现在我单位网络和信息系统安全的需要，因此，迫切需要解决信息系统安全问题，构建一个全局安全网络和立体的信息安全体系。

1.2 现状分析由于网络规模的不断扩大、应用不断复杂、使用频率的不断增多，我单位网络已经变得复杂和难以管理，存在着极大的信息安全风险。

现有网络结构如下图所示：
1.3 拓扑结构说明网络通过Quidway AR 2880模块化路由器接入Internet，带宽10M。

Quidway AR 2880主要功能及性能：
Quidway AR28-40/80模块化中心路由器是华为AR系列路由器中面向运营商和企业用户的网络产品，采用32位的微处理器技术，使用VRP（通用路由平台），提供了极其丰富的软件特性，支持哑终端接入服务器和金融POS接入功能，支持SNA/DLSw、VoIP特性等，提供丰富的备份方案及QoS特性。硬件采用模块化结构，具有更高的处理能力和更大的接入密度；
采用华为公司VRP网络操作系统平台，支持更多的功能特性，既适合于在大型网络中担当汇聚层路由器，也可以在中小型企业网中担当核心路由器。

其特点如下：
Ø 采用VRP操作平台 Ø 提供VPN解决方案 Ø 提供一定的网络安全功能 Ø 支持多种互连协议 Ø 支持丰富网络协议 Ø 支持应用层协议及业务特性 Ø 支持QoS Ø 处理器 MPC8245 300MHz Ø 转发性能 110-120KPPS Ø NVRAM 128KB Ø FLASH 32MB Ø SDRAM 缺省：128MB 最大：256MB 采用华为S5510为核心交换机，采用10M链路与路由器连接，与接入层交换机采用100M连接。

S5510主要功能及性能：
产品类型企业级,三层,可网管型交换机,以太网型传输方式存储转发方式背板带宽 48Gbps 包转发率 35.71Mpps 外形尺寸 440×360×43.6mm 重量 5Kg 接口类型 10/100/1000BASE-T端口接口数目 24口传输速率 10M/100M/1000Mbps 模块化插槽数 4 管理端口 1个Console端口堆叠不可堆叠支持网络标准 802.3；
802.3u,IEEE 802.3x,IEEE 802.1D,IEEE 802.1Q VLAN支持支持,支持端口VLAN(4094个) 端口聚合支持,支持FE(Fast Ethernet)端口聚合/支持GE(Gigabit Ethernet)端口聚合/支持LACP(Link Aggregation Control Protocol,链路聚合控制协议) 网管功能支持,支持命令行接口(CLI)配置/支持Telnet远程配置/支持通过Console口配置/支持SNMP(Simple Network Management Protocol)V1/V2c/V3/支持WEB网管是否支持全双工支持 MAC地址表 12K 其他性能支持交流电源输入和直流电源输入采用Quidway S2000、Quidway S2100作为接入交换机，与桌面连接为100M。

Quidway S2000主要功能及性能：
项目 S2008-EI S2016-EI S2403H-EI 固定端口 8个10/100M以太网电口 1个Console口 16个10/100M以太网电口 1个Console口 25个10/100M以太网电口 1个Console口扩展槽位数量无 1 1 扩展接口模块种类无 100Base-FX多模模块、100Base-FX单模模块、100Base-FX单模中距模块、百兆远程受电接口模块 100Base-FX多模模块、100Base-FX单模模块、100Base-FX单模中距模块线速二层交换所有端口支持线速转发包转发率：S2008-EI为1.19Mpps，S2016-EI为2.53Mpps，S2403H-EI为3.87Mpps 交换模式存储转发模式 VLAN 支持符合IEEE 802.1Q标准的VLAN，最多支持512个VLAN 支持基于端口的VLAN 支持GVRP 组播 GMRP IGMP Snooping 生成树协议支持STP/RSTP/MSTP 端口汇聚最多可以支持4/8/12组端口汇聚，每个端口汇聚组最多可以有8个端口广播风暴抑制所有端口上支持基于带宽百分比的广播风暴抑制端口镜像支持一对多的端口镜像，即一个镜像端口，对被镜像端口的数量没有限制 MAC地址表地址自学习 IEEE 802.1D标准最多支持4K个MAC地址流控支持IEEE 802.3x 流控(全双工) 支持背压式流控(半双工) 加载与升级支持XModem协议实现加载升级支持FTP、TFTP加载升级管理支持命令行接口配置支持Telnet远程配置支持通过Console口配置支持SNMP 支持RMON 1，2，3，9组MIB 支持iManager N2000 DMS网管系统支持HGMP V2集群管理支持系统日志支持分级告警维护支持调试信息输出支持PING、Tracert 支持Telnet远程维护 QoS 支持DSCP优先级、802.1p优先级支持端口出方向和入方向报文的双向端口限速，带宽分配支持64Kbps的精细粒度。

支持WRR、HQ+WRR队列调度算法支持流量统计安全特性支持MAC地址和端口绑定支持端口锁定对属于同一个802.1Q VLAN的端口之间可以设置隔离或互通。

用户分级管理和口令保护支持基于端口和基于MAC的802.1X认证远程受电 S2016-EI的直流机型支持远程受电，满足802.3af标准。

外形尺寸(W╳D╳H) 216mm x 40mm x 117mm 436mm x 42mm x 200mm 436mm x 42mm x 240mm 重量 <2kg ≤3kg ≤3kg 电源采用外置电源供电，外置电源的输入电压及输出电压如下：
输入额定电压范围：100-240V a.c. ；
50/60Hz 输入最大电压范围：90-264V a.c. ；

50/60Hz 输出电压：12V d.c 输出电流：1A AC：
额定电压范围：100-240V a.c. ；
50/60Hz 最大电压范围：90-264V a.c. ；

50/60Hz DC：
额定电压范围：-48- -60V d.c. 最大电压范围：-36- -72V d.c.. 功耗 8W 12W 15W 工作环境温度 0～45℃ 工作环境湿度 10%～90% (无凝结) 在这一拓扑结构下，总体带宽已经不能满足现有需求和今后进一步发展的要求，交换设备，特别是接入层设备不支持千兆扩展、安全性及组播能力、IPV6支持等，均显不足，应考虑升级。

在核心交换机上，划分了多个VLAN，在一定程度上方便了管理，并能在一定程度上抑制广播风暴。

但网络总体对病毒、攻击等安全威胁的防范能力、措施不足，在现有需求和进一步发展的需求上，必须加强。

在基于网络的应用越来越复杂、网络的使用越来越频繁的情况下，加之使用者的计算机应用能力参差不齐，行为难以规范，我单位网络经常面临ARP、蠕虫、木马等病毒、攻击和众多的威胁，我们必须在仔细分析的基础上，部署安全设备和措施、防病毒和来自内外的威胁对网络和信息系统造成威胁、并且进行用户行为管理、流量控制，同时，必须考虑今后我单位向公众提供资源服务后的应用安全。

2 安全威胁分析通过对现状的分析，我单位网络安全正遭受着来自Internet以及内网的大量威胁，要解决网络安全、数据及信息安全、流量控制、服务质量保证、病毒及攻击防范等，必须针对我单位网络安全威胁进行全面分析。

2.1 外部威胁分析我单位网络通过电信10M出口直接接入Internet，现在只部署了1台路由器，没有部署防火墙设备，除私有IP的应用和NAT外，内网基本完全暴露在Internet上，面临巨大的威胁。

由于Internet上资源的多样性、用户的复杂性，存在很多插件、威胁软件、采用密灌技术的网站、流氓网站、流氓软件等，使得网络用户在不知情情况下便感染病毒、受到攻击或其它安全威胁。因此，必须采用相应技术手段及设备防止这类威胁对我单位网络及信息系统的影响；
同时，由于我单位网络接入到Internet，给外来黑客攻击、间谍软件提供了入侵机会，此类威胁将对今后的业务系统、关键数据造成巨大威胁，我们必须严加防范。

2.2 内部威胁分析由于我单位网络用户达400，由于其安全意识、技术水平等参差不齐，给网络及信息系统安全带来了极大的威胁，主要包括以下几点：
(1) 不按要求私自使用U盘等移动存储设备，将病毒等威胁在网内进行传播；

(2) 擅自访问有威胁的网站，下载插件，给网络造成安全威胁；

(3) 擅自访问有病毒、有流氓软件的网站和网络资源，给网络造成安全威胁；

(4) 擅自安装聊天、游戏、电影、P2P等应用软件，带来病毒等安全威胁；

(5) 擅自访问、下载有害资源；

(6) 擅自使用P2P下载软件、在线视频等，大量消耗网络带宽；

(7) MAC攻击：占满交换机的MAC地址表；

(8) DHCP攻击：使用户无法正常分配到IP地址；

(9) ARP攻击：无法正常上网、通讯中断、流量消耗；

(10) STP攻击：导致网络瘫痪；

(11) DOS/DDOS攻击：占用网络带宽，占用服务器提供的服务资源；

从分析看来，内部威胁给我单位网络带来的危害丝毫不比来自外网的小，在一定程度上更为频繁、破坏更为严重，因此，必须加强管理。

2.3 总体威胁分析序号来源内容原因风险级别 1 Internet 病毒、蠕虫、木马不知情的情况下网络传播普通 2 Internet 黑客、间谍软件恶意普通 3 内部行为病毒、蠕虫、木马移动存储设备使用极高 4 内部行为黑客、间谍软件恶意低 5 内部行为病毒、蠕虫、木马收发邮件极高 6 内部行为病毒、蠕虫、木马访问非安全网站极高 7 内部行为病毒、蠕虫、木马私自安装软件极高 8 内部行为黑客、间谍软件使用聊天软件或其它极高 9 内部行为带宽资源消耗 P2P、电影或其它高 10 内、外 MAC攻击病毒、恶意高 11 内、外 ARP攻击病毒、恶意极高 12 内、外 DHCP攻击病毒、恶意高 13 内、外 STP攻击病毒、恶意高 14 内、外 DOS/DDOS攻击病毒、恶意高 15 内、外应用数据窃取、破坏病毒、木马、恶意极高通过以上分析，我单位网络及信息系统所面临的安全威胁很多，影响极大，因此，我们在对外网威胁因素进行监控、防范的同时，必须对内部行为造成的威胁进行严格控制、管理，必须从源头上遏制住病毒、蠕虫、木马、恶意使用网络、恶意攻击等威胁对我单位网络和信息系统造成的影响。

3 总体需求及主要内容根据以上的分析和总结，我们提出以下应用需求：
Ø 需要部署防火墙保证内外数据交换安全；

Ø 在局域网内布置防病毒攻击；

Ø 终端计算机管理方案（主要是端口和IP地址与机器码绑定管理）；

Ø 流量监控与控制；

Ø 未来涉及对公众提供对外资源服务，数据交换量较大，需要包含对外资源服务建设规划。

通过对应用需求、安全威胁分析，我们提出信息安全体系建设的总体需求及主要内容下如：
ü 改造网络出口，部署防火墙，保证数据交换安全；

ü 对网络主干实施千兆拓展，构建万兆核心、千兆骨干、百兆(千兆)桌面的高速网络；

ü 部署防毒墙、网络版杀毒软件，有效防止病毒和恶意软件的传播、感染；

ü 加强内网行为管理，通过软硬体系，构建全局安全网络和统一威胁管理；

ü 实现内网实名制上网，对上网用户进行身份认证；

ü 实现终端设备IP地址、MAC地址、交换机端口绑定，有效防范ARP欺骗、ARP病毒及攻击；

ü 实现基于应用的多策略的流量监控与控制；

ü 在提供对外资源服务时，构建服务器DMZ区、部署入侵检测系统、建设数据中心确保数据安全可靠。

4 网络及信息安全体系总体方案 4.1 设计原则本方案按以下原则设计和实施：
² 软、硬结合，技术手段与管理制度结合；

² 重软硬件的同时，必须强调安全意识的培养和强化，网络和信息系统安全问题必须提高到政治高度；

² 内外兼顾，重外来威胁防范的同时，强调内部威胁管理，对内部威胁来源严防死守；

² 立足现状、预见未来，在能解决目前问题的同时，必须有效预见将来会有的安全威胁；

² 事先防范、事后定位、快速恢复，在威胁变为危害前，加以防范，一旦出现危害，应快速找出原因、分析了判断故障，快速恢复。

4.2 总体方案针对我单位网络安全所受威胁的分析，我们必须提出一个行之有效的解决方案，包括以下内容：
(1) 物理拓扑结构改造及优化；

(2) 科学、合理的IP地址规划及优化；

(3) 实施出口安全实施；

(4) 实施防病毒的软、硬方案；

(5) 构建全局安全网络体系；

(6) 确保服务器与数据库安全，建设数据中心，部署容灾容错备份系统；

(7) 实施运行保障体系。

5 详细设计 5.1 拓扑结构调整 5.2 出口安全设计应部署专业防火墙设备。

出口防火墙应具备扩展的状态检测功能、防范入侵及其它（如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等）附加功能。处理能力应可达1000Mbps。

应支持支持扩展的状态检测技术，具备高性能的网络传输功能；
同时在启用动态端口应用程序(如VoIP、H323等)时，可提供强有力的安全信道。

应支持安全协议栈、具备强大的处理功能，在防范外网病毒和攻击的同时，应具备完整的内网安全管理，能对用户使用网络的情况进行实时监控，并可及时隔离异常客户端。

5.3 网络防病毒 5.3.1 内容安全网关(防毒墙) 硬件安全网关透明接入防火墙和核心交换机之间，位于网络咽喉，一台设备可防护全网，同时在党政网中任何一台计算机可以进行管理和配置。

开启防毒墙的HTTP、FTP、SMTP、POP3等协议的扫描，可以防止浏览网页、上传下载和收发电子邮件带来的病毒，同时阻断进出Mail服务器的垃圾邮件，保证邮件服务器的安全和高效，还可以启用内容过滤模块，对进出服务器的内容进行过滤。

防毒墙通过输入激活码后，便可以每隔一小时自动到网上更新。

同时自带的冗余系统，可以保证系统自身的稳定运行，是网关防毒的首选产品。

5.3.2 企业级网络版防病毒软件在网络防病毒方面，可采用网络版杀毒软件。

应方便对网络中所有计算机的保护配置和更新，这些计算机包括：工作站、文件服务器、邮件服务器、SMTP网关和边界服务器。

它不仅应抵御病毒，蠕虫和特洛依木马，还防护新的Internet攻击，如垃圾邮件、间谍程序、拨号器、黑客工具和恶作剧等，以及针对系统漏洞，并提供保护阻止安全冒险。

应具有不间断保护功能，至少每天一次将已作的更新自动分发到网络中。这是由于采用了向用户透明的新机制，其结果是提高了产品的质量，使管理员可以集中精力到其它工作中。

应具备以下功能特性：
ü 应能保护所有电子邮件通讯，保护所有接收和发送的电子邮件通讯安全而免受病毒感染；

ü 可保护整个网络的边界，保护了内网和Internet之间的所有连接；

ü 可抵挡所有类型的Internet攻击，它包括客户端桌面保护；

ü 可通过中央管理工具，从一台计算机进行整个网络的集中管理；

ü 对于预计将大量传播和感染的攻击信息，可通过预先提示信息系统，发布最新详细的相关信息；

ü 可每日自动更新将抵挡新病毒。

5.4 构建全局安全网络体系 5.4.1 概述根据现有需求，并考虑到未来的发展趋势，需要建立一个统一的信息传输网络，以满足数据、语音、视频、图像、多媒体等相关信息的传输，并可实现办公、财务各部门等正常地访问网络，同时满足内部网络之间的高速转发。

网络的总体设计思路是，采用星型高速以太网的网络主体架构。这样架构可以充分提高网络的可扩展性、易维护性以及稳定性。

采用千兆主干，百兆到桌面的设计思路。采用“核心—汇聚—接入”的三层网络架构，核心到汇聚、汇聚到接入交换机均应采用千兆连接，同时通过汇聚层的安全功能，大大减轻核心层的路由、安全处理的压力，提高整体网络的性能。

(1)网络出口采用防火墙设备，提供抵抗外网攻击等功能，有效地防止蠕虫等病毒的攻击，同时还可以有效地防止BT/电驴等对网络带宽的占用。

(2)核心层可沿用原有核心交换机。

(3)接入层可升级为安全智能交换机，应支持丰富的ACL策略，防ARP欺骗功能等，提供丰富的安全策略，防止病毒对网络的攻击与危害，并能提供千兆扩展接口。

(4)部署一套综合网络及安全管理软件负责整个网络设备、服务器及用户PC的拓扑发现和设备的管理，并做到实时的网络流量监控及预警功能，通过这套软件可以让网管人员足不出户就可以管理到网络中的每一台设备和每一个端口，大大提高了网管人员的管理效率和整个网络的安全性。

在管理软件的配合下，构建软、硬一体的全局安全网络体系。

5.4.2 IP地址规划对于网络来说，IP规划的设计是非常重要的，一方面体现网络设计的规范性，另一方面对日后网络的管理以及维护都会起到非常重要的作用。

IP地址规划应依据科学性、系统性、完整性及可扩展性原则，采用先进的网络编码技术，保证信息交换的效率和质量，既要在相当时期内保持技术的先进性，同时也充分考虑现期工程的可实施性，为了更加便于记忆和管理，在网络建设中，网络IP地址规划采用统一的IP地址分配方式，保证IP地址的唯一性。具体来说，IP地址规划应该遵循以下原则：
u 可扩展性：IP地址的规划与划分应该考虑到网络的发展，能够满足未来发展的需要；
即要满足本期工程对IP地址的需求，同时要充分考虑未来业务发展，预留相应的地址段；

u 唯一性：一个IP网络中不能有两个主机采用相同的IP地址；

u 简单性：地址分配应简单、易于管理，降低网络扩展的复杂性，简化路由表的款项；

u 灵活性：IP地址的分配需要有足够的灵活性，能够满足用户不同的联网需要；

u 连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。

u 高效性：IP地址的分配必须采用VLSM技术，充分合理利用已申请的地址空间，保证IP地址的利用效率，采用CIDR技术，减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小；

IP规划的时候，为了保障全网的统一管理，需要对接入用户以及网络设备进行统一的IP规划。即分为接入用户的IP规划、网络设备的管理IP规划两部分。

接入用户的IP规划，建议采用熟悉的B类地址，即172.16.X.X，这样即可以根据不同的VLAN来分配不同的IP，方便于日后网络管理者对网络的管理。然后再根据不同的部门，或者根据地理位置来进行详细的子网划分。

网络设备的管理IP规划，建议采用C类地址，即192.168.0.X，这样就可以非常方便地区分设备的IP，易于日后对网络的维护。

5.4.3 VLAN规划在网络成为必不可少的工具、信息处理成为日常工作的重心后，VLAN技术的运用显得越来越重要。VLAN对于信息系统的意义体现在：
(1)VLAN可以改善网络的通信效率。因为通信流量只局限于本子网中，不会对其它子网产生干扰。

(2)VLAN可以避免广播风暴。在较大规模的网络中，大量的广播信息很容易引起网络性能的急剧降低，甚至使网络瘫痪。而VLAN使广播只在子网中进行，不会作无意义的扩散，从而消除了广播风暴产生的条件。

(3)VLAN大大增强了网络及其信息的安全性。因为子网间无法随意进行访问，信息流通得到相当好的控制。

(4)VLAN使网络的组织更具灵活性。网络用户在网络中的物理位置不会影响该用户逻辑上的访问权限，也就是说网络规划完全不会受到物理的限制。

VLAN的划分与IP子网的规划存在很大的关系。具体的实施过程建议如下进行：
(1)对全网的IP地址进行全面的规划，确定各子网内主机的数量，并根据IP子网内主机的数量确定掩码的长度。

(2)确定IP子网的聚合点，聚合点以下采用连续的子网划分。使聚合点向核心路由交换机通告最少的路由。

(3)选择合适的路由协议进行子网路由。

(4)根据IP子网的规划，对交换机进行VLAN的规划和划分。建立VLAN和IP子网的对应关系。

(5)网络管理系统采用完全独立的IP子网和VLAN，实现更安全的对所有网络设备进行管理。

(6)根据信息流量的走向和分布，确定服务器集群的VLAN和IP子网。

(7)在三层路由交换机建立相应的VLAN以及与VLAN绑定的IP子网网关。

(8)建立相应的子网间的访问策略，在三层路由交换机配置访问列表。

方案应选择采用统一的、标准的（802.1q）虚拟网标记协议的交换设备，真正实现跨越交换机、跨越主干的灵活的虚拟网划分。

通过虚拟网划分，可将数据点划分成一个个独用的虚拟网，方便地交换数据，同时隔离外界的不必要的干扰。同样的，各个应用系统，无论其站点物理分布如何，皆可各自构成自己的虚拟网络，正如坐在同一办公室内连接在同一交换机上一样。而不同虚拟网之间的访问通过多层交换实现，接受严格的安全访问控制。对于那些极其关键和敏感的而且不希望与外界交流的应用系统所在的虚拟网，只要在多层交换机上作相应配置，即可满足各种不同层次的安全需求，直至实现完全的隔离，不受外界侵入。

5.4.4 常见网络危害病毒防范设计现在网络病毒对网络的冲击影响已经越来越大，如非常猖狂的红色代码（codered）、冲击波（MS Blaster）等网络病毒，所以有必要对网络病毒继续有效的控制。

红色代码病毒－－蠕虫、特洛伊木马、黑客结合的双特征病毒恶意IP地址扫描，病毒向按一定算法生成的IP网段的IP地址的80端口发送HTTP GET请求，请求连接成功，就会发送包含缓冲溢出的代码，导致一些没有打补丁的IIS服务器缓冲溢出，此主机遭受感染；

遭受病毒感染的服务器在后台开辟600个线程用于扫描，占用了大量系统资源，并再次感染其它主机，并对其WEB服务器80端口发起长度为66字节的SYN请求包的DoS攻击。病毒大量扫描和DoS攻击导致网络路由器和三层交换机过载，表现为用户上网速度变慢，网络阻塞。性能不高的路由器和三层交换机最有可能过载。根据监听分析通过一个60多台IIS服务主机的网络，RED CODE内外相互攻击包每秒通过路由器平均达4239个，传播速度非常惊人；
如下图：
红色代码及其变种利用微软IIS远程缓存溢出的漏洞获得系统权限，并在这个感染的Web服务器上拷贝一个后门程序，在IIS上设置完全共享的虚拟目录，给黑客完全的访问权限，从而可以全面控制被攻击网络的全部资源，对网络的安全构成极高的威胁。

在这里可以利用交换机的ACL来关闭网段内所有普通主机的被扫描端口80(这样，造成的后果无非是普通上网人员无法提供WEB服务了—事实上也不应该让普通上网人员具备提供WEB服务的功能)，这样可以杜绝大面积病毒传播，同时可以将病毒的影响控制在接入层，使核心设备不至于因为病毒的影响而使网络终断。另外，也提供充足的时间让网络中的客户进行杀毒、修复等，等攻击隐患消除后，再开启对应的服务端口（需要提供Web服务的服务器）。

冲击波病毒－－蠕虫病毒，针对Microsoft Windows远程缓冲区溢出漏洞的蠕虫。因为该漏洞影响所有没有安装MS03-026补丁的Windows2000、Windows XP、Windows 2003系统，不仅是服务器，也包括个人计算机在内，所以危害极大。

l 蠕虫感染系统后首先检测是否有名为“BILLY”的互斥体存在，如果检测到该互斥体，蠕虫就会退出，如果没有，就创建一个。然后蠕虫会在注册表中添加以下键值：“windows auto update”=“msblast.exe”以保证每次用户登录的时候蠕虫都会自动运行。

l 蠕虫在本地的UDP/69端口上建立一个tftp服务器，用来向其他受侵害的系统上传送蠕虫的二进制程序msblast.exe。

l 蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP，然后再按照一定算法随机在互连网上用ICMP 扫描的方法选择目标攻击，即发送大量的ICMP报文（Ping包）。

l 一旦连接建立，蠕虫会向目标的TCP/135端口发送攻击数据。

l 如果攻击成功，会监听目标系统的TCP/4444端口作为后门，并绑定cmd.exe。

l 然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机，将msblast.exe传到目标系统上，然后运行它。

遭到冲击波病毒感染的计算机会出现如下症状：
(1) 用户上网变慢，ping丢包严重；

(2) 莫名其妙地死机或重新启动计算机；

(3) IE浏览器不能正常地打开链接；

(4) 不能复制粘贴；
有时出现应用程序，比如Word异常。

另外，攻击者成功利用此漏洞可以以本地系统权限执行任意指令，可以在系统上执行任意操作，如安装程序、查看或修改、删除数据或建立系统管理员权限的账户。

在这里可以利用交换机的ACL来关闭ICMP服务，以及相应端口，达到控制冲击波病毒传播的目的。

access-list 101 deny tcp any any eq 135 阻止感染病毒的PC向其它正常PC的135端口发布攻击代码 access-list 101 deny udp any any eq tftp 限制目标主机通过tftp下载病毒。

access-list 101 deny icmp any any 阻断感染病毒的PC向外发送大量的ICMP报文，防止其堵塞网络。

然后将其应用在相应网口，例如fa0/1 int fa0/1 ip access-group 101 in 这样即可阻断Blaster蠕虫病毒的传播。

5.4.5 常见网络攻击防范设计网络中针对交换机的攻击和必须经过交换机的攻击有如下几种：
Ø MAC 攻击 Ø DHCP攻击 Ø ARP攻击 Ø IP/MAC欺骗攻击 Ø STP攻击 Ø DoS/DDoS攻击 Ø IP扫描攻击 Ø 网络设备管理安全 5.4.5.1 MAC攻击攻击：
交换机内部的MAC地址表空间是有限的，MAC攻击会很快占满交换机内部MAC地址表，使得单播包在交换机内部也变成广播包向同一个VLAN中所有端口转发，每个连在端口上的客户端都可以收到该报文，交换机变成了一个Hub，用户的信息传输也没有安全保障了。

防范：
利用交换机端口安全功能下的MAC动态地址锁/端口静态绑定MAC，或1x端口下端口自动动态绑定MAC/IP，来限定交换机某个端口上可以学习的源MAC数量或源MAC地址，当该端口学习的MAC数量超过限定数量时，交换机将产生违例动作。

5.4.5.2 DHCP攻击 DHCP攻击之一：
恶意用户通过更换MAC地址的方式向DHCP Server发送大量的DHCP请求，以消耗DHCP Server可分配的IP地址为目的，使得合法用户的IP请求无法实现。

防范：
利用交换机端口安全功能：MAC动态地址锁和端口静态绑定MAC、1x端口下的自动动态绑定用户IP/MAC，来限定交换机某个端口上可以访问网络的MAC地址，从而控制：那些通过变化MAC地址来恶意请求不同IP地址和消耗IP资源的DHCP攻击。当交换机一个端口的MAC地址的数目已经达到允许的最大个数后，如果该端口收到一个源地址不属于端口上的MAC安全地址的包时，交换机则采取措施。

DHCP攻击之二：
非法DHCP Server，为合法用户的IP请求分配不正确的IP地址、网关、DNS等错误信息，不仅影响合法用户的正常通讯，还导致合法用户的信息都发往非法DHCP Server，严重影响合法用户的信息安全。

防范：
Ø 控制客户端发出的DHCP请求报文被广播出去；

Ø 检查和控制DHCP响应报文是否：是合法DHCP Server发出的报文。

接入交换机一般不具有DHCP Relay功能，收到DHCP请求广播报文后，并在VLAN内是向所有端口转发。

而所选择的交换机应具有DHCP Relay功能，一旦启用DHCP Relay功能，并且配置了DHCP Server的IP地址，则客户端发出的DHCP请求，在交换机中将不以广播包的形式转发出去，而是直接到交换机CPU，从而有效避免DHCP请求报文广播出去被非法DHCP Server收到。

交换机CPU处理后，以单播的形式发往指定的DHCP Server。收到DHCP响应报文后（Offer，ACK，NAK报文），CPU会判定报文中的源IP地址是否为交换机中设定的DHCP Server的地址，从而保证DHCP响应报文的合法性。

这比仅仅设定交换机某个端口可以接受DHCP响应报文更合理和可靠。

5.4.5.3 ARP攻击 ARP 攻击：ARP欺骗 ARP欺骗者：利用ARP漏洞，发送虚假的ARP请求报文和响应报文，报文中的源IP和源MAC均为虚假的，或错误的网关IP和网关MAC对应关系，扰乱局域网中各PC以及网关中保存的ARP表，使得网络中的合法PC正常上网、通讯中断，并且流量都可流入到攻击者手中。

ARP欺骗的防范：
利用交换机端口ARP检查安全功能：打开ARP报文检查ARP报文中的源IP和源MAC是否和绑定的一致，可有效防止安全端口上欺骗ARP，防止非法信息点冒充网络关键设备的IP（如服务器），造成网络通讯混乱。

5.4.5.4 IP/MAC攻击 MAC欺骗：
盗用合法用户的MAC地址，侵入网络，使得正常用户无法上网；

IP欺骗：
Ø 盗用合法用户的IP地址，使得到合法用户的通讯得不到响应，造成Ping of death，和ICMP不可达风暴；

Ø 不断修改IP，发送TCP SYN连接，攻击Server，造成SYN Flood。

防范：
Ø 交换机端口安全：端口静态绑定；

Ø 交换机整机绑定IP和MAC地址；

Ø DHCP动态绑定（无1x认证环境下，S2126S不支持该功能）；

Ø 802.1x；

检查IP报文中源IP和源MAC是否和交换机中管理员设定的是否一致，不一致，报文丢弃，并发送告警信息。

5.4.5.5 STP攻击发送虚假的BPDU报文，扰乱网络拓扑和链路架构，可以导致整个网络瘫痪。

防范：
使用交换机具备的BPDU Guard功能，可以禁止网络中直接接用户的端口或接入层交换机的下连端口收到BPDU报文。从而防范用户发送非法BPDU报文。

对于接入层交换机，在没有冗余链路的情况下，尽量不用开启STP协议。

5.4.5.6 Dos/Ddos攻击 Dos攻击：
占用网络带宽，占用服务器提供的服务资源，表现为合法用户的请求得不到服务的响应，被攻击方的CPU满负荷或内存不足。攻击报文主要是采用伪装源IP。

防范：
RFC 28227的入口过滤规则。

5.4.5.7 IP扫描攻击许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的，大量的扫描报文也急剧占用网络带宽，导致正常的网络通讯无法进行。

防范：
防IP扫描：检测用户、隔离用户（发日志信息）、恢复通讯（发日志信息）
被监控的攻击主机数量、隔离用户的时间都可以根据网络实际状况设置。

5.4.5.8 网络设备管理安全网络管理可以说是网络中最薄弱的一个环节，因为一旦攻击者登录交换机，那么交换机配置的所有安全防范措施则化为乌有，因此必须重视交换机管理安全。

Ø 一般的网络管理协议：SNMPv2，Telnet，Web等都是明文登录和传输信息的。因此，尽量使用SSH、SNMPv3等秘文传输方式登录交换机，因为它们都与交换机之间都是加密传输。

Ø 管理VLAN与用户VLAN分开。

Ø 交换机上不用的端口划在一个VLAN中，并将这些口Shutdown，需要用时，再开启。

Ø 限制可以管理交换机的IP，所选择的交换机必须支持Telnet和Web的源IP访问控制列表。

5.4.6 全局安全网络(GSN)方案设计在我单位网络建设中，考虑到全网的网络安全，应采用全局安全网络解决方案，整个方案采用分布式的设计体系，采用身份认证系统和安全策略系统，同时在核心层旁路部署1台IDS(入侵检测)设备做安全检测。

5.4.6.1 安全挑战 Ø 用户可以在网络内的任意地点随意接入网络，出现安全问题后无法追查到用户身份；

Ø 网络病毒泛滥，网络攻击成上升趋势。安全事件从发现到控制，基本采取手工方式，难以及时控制与防范；

Ø 对于未知的安全事件和网络病毒，无法控制；

Ø 用户普遍安全意识不足，管理者单方面的安全控制管理，难度大；

Ø 现有安全设备工作分散，无法协同管理、协同工作，只能形成单点防御。各种安全设备管理复杂，对于网络的整体安全性提升有限。

Ø 某些安全设备采取网络内串行部署的方式，容易造成性能瓶颈和单点故障；

Ø 无法对用户的网络行为进行记录，事后审计困难；

5.4.6.2 管理挑战 Ø 用户信息量大，设置管理困难；

Ø 网络出现故障，难以准确定位、迅速解决；

Ø 针对用户的IP地址管理困难，存在IP地址盗用、IP地址冲突等情况；

Ø 难以自动对接入用户的时间和地点进行控制；

Ø 文件、补丁、软件难以及时下发到每个用户；

5.4.6.3 方案详细介绍 “高安全、易管理”的全新企业/政府网解决方案，由六个组件构成。

(1) 认证管理平台——提供用户身份、地址、端口绑定功能；

(2) 安全策略平台——将对发现的安全事件进行判断，以确定调用何种安全策略进行处理；

(3) 安全修复平台——对于触发安全事件的用户，将其隔离到安全修复平台，自动对其进行修复；

(4) 入侵检测系统（IDS）——负责对全网的用户行为进行监控和记录，将网络中存在的网络攻击、异常流量、蠕虫病毒、P2P应用等安全事件通告给安全策略平台；

(5) 安全交换机——对于安全策略平台下发的策略进行处理，实时对网络用户的安全事件进行阻断或隔离；

(6) 安全客户端——对用户的安全行为进行告警和提示，并能够对安全策略平台下发的补丁、软件自动安装运行。

5.4.6.4 安全特性 (1) 对用户的身份和IP、MAC、交换机端口、交换机IP等信息严格绑定，一旦出现安全事件，可迅速追查到人；

(2) 针对网络中的安全事件（网络攻击、异常数据流、蠕虫病毒等），能够自动发现，并可以依据预定的策略自动进行处理，保障网络安全；

(3) 提供强大的实时在线升级功能，抵御最新的网络攻击和病毒；

(4) 对于存在安全问题的用户，系统将自动告警，提示用户可能存在的问题，以及处理方式；
提升用户安全意识，让用户切身体会到安全问题的严重性；

(5) 网络安全组件统一管理，协同工作。构建一个全局安全网络。整套系统管理简单，后期需投入的管理工作量小；

(6) 所有安全设备均旁路部署，不形成性能瓶颈和单点故障；
部署完成后将极大的提升现有网络性能；

(7) 系统将详细记录用户的网络行为，当需要进行审计时，可迅速关联到用户身份、接入时间、接入地点、访问目的等相关信息；
可提供不可抵赖的审计证据。

5.4.6.5 管理特性 (1) 应具有用户管理模式。将大量的信息转化为少量的模板对应，可以在设置的时候使用最少量的对应关系，从而大大提高用户管理的效率。

(2) 用户能够清晰的了解到系统自动对其处理的安全事件和措施，出现网络故障时，能够提供网络在线报修平台，提高故障管理的效率，极大的减轻了网络中心的工作压力；

(3) 事件，可迅速追查到人；

(4) 能够提供多种地址绑定手段，并能严格限定地址获取方式，防止IP地址冲突及盗用；

(5) 紧急的系统补丁，文件通知，将能够简单便捷的分发至每一个用户。且无论用户是否上线，也要保证其在登陆网络后，第一时间安装和阅读。

5.4.6.6 详细功能 (1) 安全功能 Ø 强大而灵活的绑定设置，可以实现用户账号、用户IP、用户MAC、NAS IP、NAS Port的静态绑定、动态绑定以及自动绑定，最大程度保证用户入网身份唯一；

Ø 限制用户认证客户端程序的类型和版本号，自动升级认证客户端程序，防客户端破解；

Ø 强大的日志功能，可记录和查询服务日志、IDS详细日志、系统日志、管理员操作日志、用户WEB自助服务日志，实现事后的审计；

Ø 系统可自动发现网络中的安全事件，深度分析报文数据字段，对超过2000多种的安全事件或病毒进行监测；

Ø 系统可进行实时在线升级，有效防御最新的网络攻击和病毒；

Ø 针对发现的安全事件可选择警告、修复、阻断三种处理方式，并且可以选择同一事件以后是否自动执行。经过一段时间磨合后，管理工作量很小；

Ø 对于触发安全事件的用户进行自动告警，让用户知道他的网络行为正在被监控；

Ø 系统支持手动或自动的文件下发功能。用户触发安全事件后，可自动给用户下发修复程序。该功能也可用于微软紧急补丁的全网下发，或其它文件的全网下发；

Ø 对于触发安全事件的用户，可自动阻断其攻击数据流，或将其隔离到修复区域；

Ø 灵活的策略下发机制，可批量对交换机进行策略部署。当出现紧急安全事件时，第一时间全网部署安全策略；

Ø 按日、周、月输出安全事件报表。针对认证用户和非认证用户输出TOP 10的安全排名，为安全管理和策略部署提供详细的参考数据；

Ø 提供无人值守模式，对未知的安全事件进行防御。将未知安全事件预设为普通、严重、灾难三个级别，可根据预先定义的事件模板进行处理。

Ø 系统应具备公安部安全销售许可证。

(2) 管理功能 Ø 应支持DHCP Option82，配合交换机的DHCP Relay实现对用户IP和权限的灵活分配 Ø 提供人性化的消息提示和记录功能，包括系统广告、个性信息、认证失败原因信息、用户下线原因记录与提示功能；

Ø 安全严格的管理员和安全组管理，保证管理员权限的同时，提供灵活的权限定制方式，可实现分级管理，权限细化至第三级菜单；

Ø 有完善的用户管理模式，通过完整的组策略，将系统中的服务、接入控制、接入时段、帐号模板、用户组等概念将系统中使用的功能进行全面系统组织，不仅有利于系统配置和管理，也有利于理解和学习系统；

Ø 提供各种在线统计分析功能，包括在线用户信息、用户分布情况、业务开通情况等；

Ø 集成的WEB网管功能，可对网络中的NAS设备和IP网段进行统一的管理。

Ø 用户WEB自助注册功能，可自助申请注册，查看审批信息。配合WEB管理中的用户审核，可高效安全的实现用户资料的收集和记录 Ø 用户WEB自助服务功能，用户可通过WEB自助服务页面，进行个人资料的查询、密码修改、上网明细查询等。

Ø 支持集团用户，方便对独立机房的分级综合管理 Ø 支持LDAP协议，方便实施用户身份信息的统一集中管理 Ø 实时短消息功能，方便管理员与再现用户的沟通与信息发布 Ø 针对用户组、用户的BACL功能，在复合绑定策略下的多范围漫游 5.4.6.7 交换设备升级为配合部署全局安全网络，将接入交换机升级为安全智能交换机，并应支持千兆扩展及IPV6。

5.5 应用扩展后的安全体系建设我单位网络及信息系统将对公众提供对外资源服务，数据交换量较大，安全性、稳定性、可靠性要求高。因此，在应用扩展后，必须建立更为健壮的安全体系。

5.5.1 总体方案总体方案应在建立全局安全网络(GSN)的基础上，加强以下内容：
(1) 建立服务器DMZ区；

(2) 加强入侵检测；

(3) 采用应用控制引擎；

(4) 构建稳定、可靠、安全的数据中心。

5.5.2 服务器DMZ区在增加应用系统，向公众提供资源服务后，必将建设应用系统服务器群，采用热备、负载均衡等技术，实现稳定、可靠的公众服务，同时，应防范来自内、外网络的病毒、攻击和恶意访问。

因此，必须在原有全局安全网络的基础上，通过内网安全防火墙，构建服务器DMZ区，对服务器区实施有效的安全保证，在防止外来威胁的同时，也防止来自内网的安全威胁。

5.5.3 入侵检测系统(IDS) 入侵检测系统以旁路的方式在网络中部署，并且实时检测数据包并从中发现攻击行为或可疑行为，这就要求对攻击行为的检测据有极高的准确性，错误的攻击行为检测可能比攻击行为本身带来的危害还要巨大。为了保证准确性，入侵检测系统应使用丰富的攻击识别和检测技术，在这些技术中，每一种都应有其固有的优势和弱点，这也说明了为什么没有一种单一的入侵检测技术能够达到用户可接受的防护效果。

IDS在网络中应能够阻止来自外部或内部的蠕虫、病毒和攻击带来的安全威胁，确保信息资产的安全，能够检测因为各种IM即时通讯软件、P2P下载等网络资源滥用行为，保证重要业务的正常运转，能够高效、全面的事件统计分析，能迅速定位网络故障，提高网络稳定运行时间。

结合网络中的其他网络产品和网络安全产品，便可以很容易的构建一个整体的全方位的安全管理体系。

一方面集中管理整个网络的访问控制策略，监测并阻止网络中的各种可疑行为，收集网络中各设备的安全事件，将数据进行标准化、集中、并进行关联和智能分析，方便用户在大量的安全时间中快速准确的定位威胁；
另一方面结合漏洞扫描，可以使您提前确定系统是否存在已知漏洞，做到“防范于未然”，以建立实时主动的，而不仅仅是响应式的整体网络安全防御体系。

5.5.4 应用控制引擎在提供公共资源服务后，网络流量将成几何级数增长，因此，必须采用专家级的应用控制引擎，能够全面识别和控制包括P2P、VoIP、视频/流媒体、HTTP、网络游戏、数据库及中间件等在内的多种应用，配合用户自定义的带宽策略以带宽自动分配算法，可以为网络链路划分多个虚拟带宽通道，能够实现最大带宽限制、保证带宽、带宽租借、带宽配额、应用优先级、随机公平队列等一系列带宽管理功能，提供主动式的、智能化的、可视化的带宽管理和应用优化解决方案，达到可视、可测、可控、可优化的管理目标，为带宽优化与管控、网络规划提供科学的依据。

应实现以下功能：
u 网络实时流量监控与分析网络流量的实时采集、监控和精细分析使得网络运行状况、应用情况、带宽使用情况等状况完全可视化。

基于协议和基于IP地址（用户）两种类型的实时流量分析器，提供访问的源/目的IP地址、服务端口、应用协议、Session数以及流量大小等详细信息。

u 应用层自动识别和分类 P2P应用：Bittorrent、eMule、KAZAA、KURO、NAPSTER 、EDONKEY、AUDIOGALAXY、EZPEER、KUGOO、GNUTELLA、VAGAA、SOULSEEK、POCO、PIGO等30多种P2P软件。

IM应用：MSN、Yahoo、ICQ、AOL、QQ、YAHOO、WEBIM、IRC、XMPP等多种主流的IM软件。

视频/Streaming应用：新浪直播、搜狐直播、RTSP、SIP、PPSTREAM、PPLIVE、APPLEQTC、CCIPTV、QUICKTIME、REALPLAYER、MMS、QQlive、H.323等主流的视频和流媒体应用。

网络游戏：COUNTERSTRIKE 、QUAKE1 、DOOM3、QQGAME、CGA、SUBSPACE 、XBOXLIVE 、QUAKE-HALFLIFE 、BATTLEFIELD1942、WOW、联众等网络游戏。

炒股软件：大智慧证劵信息平台、天一证劵网上交易系统、华泰网上交易分析系统、证券之星等炒股软件。

企业办公、数据库与中间件：HTTP、SMTP、POP3、IMAP、文件共享、FTP、SQL Server、Oracle、DB2、WebSphere MQ等企业的关键应用。

为用户关键应用提供量身定做的自定义特征码。

u 网络流量控制管理支持基于用户（源IP地址）、目标IP地址、时间、协议和应用等为参数进行灵活的阻断与允许功能；

支持基于用户（源IP地址）、目标IP地址、时间、协议和应用等为参数进行上行与下行带宽控制；

支持基于用户（源IP地址）、目标IP地址、时间、协议和应用等为参数进行Session数量控制；

支持组对象的配置，如定义用户组（IP组）、协议组（如P2P协议组、游戏组）对同一类型的应用、相同级别的用户进行带宽管理策略的控制。

u 流量整型与应用优化支持自定义虚拟带宽通道、最大带宽限制、保证带宽、带宽租借、应用优先级以及随机公平队列等一系列的应用优化和带宽管理控制功能。

u 提供丰富的图表报告分析和统计提供一年内的应用或协议流量纪录，并可生成天、周、月、季度、年时间段内的应用及协议的带宽使用统计报告。包括：总带宽分析报表、应用带宽分析报表、基于协议的带宽分析报表、基于协议和流量方向（进入/出去）的带宽分析报表、基于应用和流量方向（进入/出去）的带宽分析报表、基于IP地址的带宽分析报表、用户自定义报表等等 u 应用层防火墙应用层防火墙能够识别并阻断黑客的端口扫描以及DoS攻击行为，支持通过Session数控制、带宽控制来提高网络可用性和安全性；

u 集中化的图形化管理平台提供图形化管理平台，可以用一台管理服务器集中的管理网络上的多台ACE设备。图形化管理平台采用JAVA架构，能够适应于各种操作系统和服务器，用户只需利用浏览器即可远程访问管理服务器进行设备管理。

5.5.5 数据中心构建在增加应用系统，向公众提供资源服务后，便对各应用系统、业务系统的数据存储、安全性、可靠性、稳定性提出了极高的要求，因此，必须构建数据中心，采用基于IP-SAN的数据中心。

应采用应用最新网络存储技术开发的IP SAN网络存储系统。应具备大容量、高性能、全方位资料保护、系统备份架构设计等优点，最能符合网络存储快速增长的需求。

应支持以下功能：
u 应具备性能最佳的硬件RAID 应采用硬件RAID技术，可发挥串行ATA（SATA）的威力，最优化的硬件XOR RAID 5/6引擎提供真正基于RAID的硬件和智能驱动管理功能。硬件RAID控制器的速率应超过每秒700兆字节（MB/sec）持续RAID-5读出和400MB/sec RAID-5 顺序写入，CPU的应用<3％。

Ø 支持RAID级别0、1、10、5、50、单硬盘（JBOD）、6 Ø 点对点、无阻塞交换体系结构可以获得最高性能 Ø 支持热插拔和热备份，保证数据的可用性 Ø 动态扇区修复，可以使数据受到严密保护 Ø S.M.A.R.T.磁盘驱动器监控，确保可靠性 Ø 紧急情况快速恢复，避免固件在升级过程中发生掉电 Ø 基于浏览器的管理工具 u 友好的管理界面 Ø Web网页方式管理界面，使系统设定及档案管理更为容易操作，支持多平台及SSL安全传输协议，并提供英文、繁体中文、简体中文等多国语言接口。

Ø 通过管理界面可以直接更新系统软件。

Ø 自动侦测系统状态并以电子邮件提醒管理者。

Ø 系统纪录方便管理者追踪系统状态。

Ø 支持SNMP网络管理协议。

Ø 详尽的在线说明(On-Line Help)功能，操作步骤及问题可以及时解决。

u 可靠的数据保存 Ø 具热插拔功能的硬盘插槽，标准配置可容纳多个SATA硬盘，储存容量可达数十TB级（使用750GB SATA硬盘）。

Ø RAID 0、1、5、10、50、JBOD、6磁盘阵列技术，RAID 1、5、6具自动重建及热备援功能。

Ø 在线直接控制RAID状态，在线增减及规划储存空间，支持Multi-Volume功能，扩充更具弹性。

Ø 支持单一超大档案 (>2GB)。

Ø 数据及系统设定可快速或周期性的备份(恢复)到本机磁带机、USB硬盘或远程Unix/Linux主机的磁带机、硬盘。

Ø 提供多台设备之间通过局域网络或因特网进行周期性数据同步加密传输功能。可与另一台设备做远程资料同步（双机热备份）。

Ø 磁盘快照(Snapshot)功能，可设定低容量提醒、在线容量增减等功能。

u 强壮的系统稳定 Ø 支持双网卡之多网段传输(Multi-subnet)、备援(Fail-over)及捆绑(Bonding)功能，提升网络传输效能，确保不间断的网络高速传输能力。

Ø 整合UPS电源管理机制。

Ø 热插拔容错系统风扇及电源供应器，确保系统正常运行不停机。

u 跨平台的安全机制 Ø 支持NIS、LDAP及Microsoft Active Directory密码验证。

Ø 支持访问控制列表（ACL）存取控制。

Ø 整合Microsoft Windows NT/2000/2003域和活动目录（ADS）管理架构。

Ø 支持Unix NIS及Microsoft ADS动态目录服务。

Ø 内建FTP Server可直接上传或下载档案。

Ø 提供数据夹层级安全存取权限设定。

Ø 提供文件/文件夹/共享级权限管理，使管理更具弹性。

Ø 用户、目录磁盘配额管理。

u 广泛的系统支持 Ø 网络通讯协议支持DHCP、TCP/IP、IPX、AppleTalk、FTP、HTTP、iSCSI。

Ø 档案传输协议支持SMB/CIFS(Microsoft)、NFS (Unix)、AFP (Apple)、NCP (Novell)。

Ø 客户端操作系统支持Windows 9x/NT/2K/2K3/XP、、Solaris、HP-UX、AIX、Unix、Linux、Novell NetWare、Macintosh OS等 u RAID5和RAID6容量热扩充功能，在线即时扩充RAID存储容量提供的热扩充（Hot-Expansion）功能可以随时在线即时扩充RAID5和RAID6的存储容量。此项功能不必将系统关机即可进行，不仅可以让容量扩充更具弹性，且能维持系统的高可用性。

举例来说，在建立存储系统之初，其存储需求仅需2TB，因此在系统中安装了6个400GB的硬盘组成RAID5。过了一年之后，该存储容量已经不够用，因此系统管理员决定再扩充1TB，此时，仅需插入三个400GB的硬盘到系统中，并把这两个硬盘设定给该RAID5群组使用，该群组即马上拥有了3.2TB的存储容量。在扩充容量的过程中，系统仍然在线上保持运转，完全不必关机来进行。

热扩充功能具有下列特色：
Ø 可同时插入多个硬盘进行容量扩充 Ø 扩充容量前不需事先转移资料 Ø 档案系统中的逻辑卷册可以即时动态扩充，不需重新启动 Ø 在UNIX/Linux环境中，不需重新设置挂载点和存取权限 Ø 在Windows环境中，不需重新设置网络共享硬盘及共享权限 u 全局热备份硬盘（Global Hot-Spare）
所谓热备份硬盘是指装置于RAID存储系统中，平时不做存储资料之用，当存有资料的RAID硬盘损坏时，热备份硬盘会立即取代受损坏的硬盘，系统并通过容错演算法，在这些备份的硬盘上重建资料，使系统的资料存取工作不中断。系统提供热备份硬盘功能，有效保证存放在系统中的资料的完整性和可用性。

系统所提供的热备份硬盘可提供给系统中任一组RAID群组使用，因此称之为“全局热备份硬盘”。也就是说，在系统中，只要系统侦测到任何一组RAID1或5群组中硬盘发生损坏，即马上由一个热备份硬盘取代，并马上进行RAID资料重建的工作。而在资料重建过程中，系统仍然可以提供资料存储的服务，不会发生服务中断的现象。

u 整合UPS电源管理机制市面上部分NAS产品标榜支持UPS，不过是仅提供连接UPS的功能，在系统本身的电源管理上并不提供与UPS有关的监控和管理。而系统的电源管理机制则完全整合UPS于其中，只要通过系统的管理界面，便能够轻松设定、监控UPS，使系统避免无预警电力而招致中断。

如果市电发生中断的情况，系统就会以很平顺的方式将系统安全关机，以避免发生因突然断电而可能造成的资料损毁情况。而发生的同时，系统管理员也会收到由系统所发出的断电事件通知，并可从系统事件记录中查看相关的状况。与UPS整合的电源管理机制能带给你多项好处：
Ø 在市电中断时，保护存放在系统中的资料；

Ø 当发生电源问题时，可即时通知系统管理员；

Ø 采用图形化操作管理界面，减轻管理负担。

u 快照功能快照功能提供了快速和方便的虚拟复制功能，这对于关键数据和系统的连续工作，软件测试、关键应用等有着重要的意义。瞬时的“时间点”数据拷贝使中小型企业用户在高可用性要求的情况下通过大量缩短备份窗口获得大量高端的数据处理能力。管理员只要轻松的点几下鼠标，存储管理员就可以做到：
Ø 建立一个逻辑卷册的瞬间拷贝 Ø 自动按时间初始化 Ø 建立快照拷贝增长的策略 u 虚拟化逻辑卷管理虚拟化逻辑卷管理的特点是允许任何一台服务器看到一个大的看上去是直接连接的存储空间，这使用户在增加存储容量的时候操作的对象是虚拟存储池而不是独立的物理硬盘。存储虚拟化可以产生、扩展、删除、移动或者选择性的提供存储而不需要顾及底层的存储子系统。由于简化了存储的供应，就减少了系统管理员的管理费用，这就直接影响到了总拥有成本。

u iSCSI功能应支持iSCSI，可以通过iSCSI功能轻松搭建IP SAN。iSCSI（互联网小型计算机系统接口）是一种在Internet协议网络上，特别是以太网上进行数据块传输的标准。

u 高扩展性可以外接多个磁盘单元来扩充本机的存储空间。最大支持>=256颗硬盘，使用750GB SATA硬盘可以支持>=192TB容量。

u 存储虚拟化可以外接SCSI卡或FC HBA卡（光纤通道卡），整合现有的SCSI磁盘系统和FC磁盘系统，并且可以通过iSCSI方式提供给主机访问。

u 重复文件自动删除功能（Single Instance Storage）
SIS减少存放在服务器上的重复数据，同时找出相同的文件，只将单一份文件复本储存在存储空间内，并以指到 SIS 共享存储空间内文件的指针来取代文件。SIS 不需要任何使用者介入，即可自动工作。系统管理员可采单一分区为单位来启用 SIS，若要得到最好的结果，系统管理员-可以使用一个支持 SIS 的备份应用程序。

SIS可让服务器只在磁盘上保存一份内容相同的文件，虽然对于应用程序而言，可能存在多份相同的文件。这是通过无须使用者介入的自动建立的，利用SIS技术可节省超过 35% 的磁盘空间，同时减少存储空间的管理成本。

6 方案特色 u 专业防火墙，确保内外数据交换安全；

u 防火墙强大的P2P应用识别能力和流量管理功能，保障关键应用/部门带宽；

u 防病毒墙、网络杀毒软件、全局安全网络等软、硬体系配合，立体防范来自内、外的攻击、病毒、入侵；

u IP、MAC、端口、帐号等多元素绑定，上网实名管理；

u 全面的ARP防御功能，打造永不掉线的办公网络；

u 接入交换机DHCP动态地址绑定功能，打造易维护的可信办公网；

u 接入交换机安全访问控制（ACL）功能，遏制蠕虫病毒的泛滥的源头；

u 交换机VLAN隔离技术，保障部门通信安全；

u 专家级的流量监控与控制；

u 防火墙内置的入侵防御引擎，全面阻挡网络黑客及病毒的入侵；

u 全网图形化网管，提升单位网络管理效率；

u 成熟的认证系统，实现准确有效的身份认证，保证接入的公平性；

u 强大的扩展与升级能力，保护现有的网络建设投资；

u 安全的服务器区域；

u 稳定可靠、可扩展、可用性极高的IP-SAN存储系统；

u 事先防范、事后定位、快速恢复。

7 建设计划及资金预算 7.1 方案1—中低配置方案阶段方案设备/软件名称建议规格型号产品说明数量预算单价预算小计备注第一阶段出口安全防火墙 RG-WALL-160M 固化4个GE口+1个FE口，支持Bypass功能,提供1个模块化插槽，支持4GE/4SFP/2GE /2SFP扩展，可扩展至8个千兆口 1 ￥65,000 ￥65,000 必备网络杀毒网络杀毒软件防病毒安全套装 PESA4.0 400客户端 1 ￥80,000 ￥80,000 可选　合计￥145,000 　第二阶段全局安全网络 RG-SMP2.X标准版 RG-SMP2.X标准版 RG-SMP 2.X软件标准版，直接支持Radius身份认证，可独立运行，无须配合SAM使用；
软件本体包含100用户的授权 1 ￥60,000 ￥60,000 必备 RG-SMP 2.X 标准版License RG-SMP 2.x软件License，每个License增加50用户的授权许可 6 ￥4,000 ￥24,000 必备　 GSN客户端 400 ￥0 ￥0 必备安全智能交换机 RG-S2126G 24口10/100M交换机，两个扩展槽，可上100M、1000M光纤/电口模块，支持堆叠 10 ￥7,400 ￥74,000 必备入侵检测系统 RG-IDS-500 百兆级IDS入侵检测系统，2 10/100/1000M RJ45接口，2 10/100M RJ45接口，支持1路管理，3路监听 1 ￥120,000 ￥120,000 必备合计￥278,000 　第三阶段专家级应用控制引擎应用控制引擎 RG-ACE-1000 千兆应用控制引擎，500Mbps处理能力，4个千兆电口＋1个千兆管理接口+1个千兆HA接口（电口内置Bypass功能）
1 ￥150,000 ￥150,000 可选数据中心 IP-SAN RG-iS1000E 64位高速双核存储处理器，2GB缓存，4个GE端口（可扩展），12盘位，支持SAS硬盘，含管理软件，盘位可扩展；
内含NAS功能模块，通过CIFS/NFS提供跨平台文件共享服务 1 ￥76,000 ￥76,000 必备 RG-iS1000E-J 12盘位扩展柜（JBOD），支持SATA，SAS硬盘 1 ￥60,000 ￥60,000 　硬件视实际存储量定，1TB SATA企业级磁盘 12 ￥8,000 ￥96,000 待定合计￥382,000 　总计￥805,000 　 7.2 方案2—中档配置方案阶段方案设备/软件名称建议规格型号产品说明数量预算单价预算小计备注第一阶段出口安全防火墙 RG-WALL-1600S 千兆防火墙/VPN网关，固化6个GE口+2个SFP口；
提供2个模块化插槽，支持8GE/8SFP/4GE/4SFP扩展，可扩展至24个千兆口；
支持Bypass功能，配置冗余电源，标准2U设备 1 ￥130,000 ￥130,000 必备合计￥130,000 　第二阶段网络防病毒网络杀毒软件防病毒安全套装 PESA4.0 400客户端 1 ￥80,000 ￥80,000 可选防毒墙方正熊猫安全网关 PAGD8100（TX) 防病毒、反垃圾邮件和内容过滤 1 ￥150,000 ￥150,000 　全局安全网络 RG-SMP2.X标准版 RG-SMP2.X标准版 RG-SMP 2.X软件标准版，直接支持Radius身份认证，可独立运行，无须配合SAM使用；
软件本体包含100用户的授权 1 ￥55,000 ￥55,000 必备 RG-SMP 2.X 标准版License RG-SMP 2.x软件License，每个License增加50用户的授权许可 6 ￥4,000 ￥24,000 必备　 GSN客户端 400 ￥0 ￥0 必备安全智能交换机 RG-S2628G 24口10/100M交换机，2个10/100/1000端口和2个千兆SFP光口复用，1个扩展槽，可上千兆模块和堆叠模块 10 ￥9,400 ￥94,000 必备入侵检测系统 RG-IDS-1000 千兆IDS入侵检测系统,2个千兆RJ45接口和2个SFP插槽模块,支持3路千兆监听 1 ￥220,000 ￥220,000 必备合计￥623,000 　第三阶段专家级应用控制引擎应用控制引擎 RG-ACE-1000 　 1 ￥150,000 ￥150,000 可选数据中心 IP-SAN RG-iS1000E 64位高速双核存储处理器，2GB缓存，4个GE端口（可扩展），12盘位，支持SAS硬盘，含管理软件，盘位可扩展；
内含NAS功能模块，通过CIFS/NFS提供跨平台文件共享服务 1 ￥76,000 ￥76,000 必备 RG-iS1000E-J 12盘位扩展柜（JBOD），支持SATA，SAS硬盘 1 ￥60,000 ￥60,000 　硬件视实际存储量定，1TB SATA企业级磁盘 12 ￥8,000 ￥96,000 待定合计￥382,000 　总计￥1,135,000 　 7.3 方案3—中高配置方案阶段方案设备/软件名称建议规格型号产品说明数量预算单价预算小计备注第一阶段出口安全防火墙 RG-WALL 1800 千兆中高端防火墙/VPN网关，固化4个GE口+4个SFP口；
提供1个模块化插槽，支持8GE/8SFP/4GE/4SFP扩展，支持2口万兆光模块；
电口支持Bypass功能，配置冗余电源，标准2U设备 1 ￥230,000 ￥230,000 必备合计￥230,000 　第二阶段网络防病毒网络杀毒软件防病毒安全套装 PESA4.0 400客户端 1 ￥80,000 ￥80,000 可选防毒墙方正熊猫安全网关 PAGD8100（TX) 防病毒、反垃圾邮件和内容过滤 1 ￥150,000 ￥150,000 　全局安全网络 RG-SMP2.X标准版 RG-SMP2.X标准版 RG-SMP 2.X软件标准版，直接支持Radius身份认证，可独立运行，无须配合SAM使用；
软件本体包含100用户的授权 1 ￥55,000 ￥55,000 必备 RG-SMP 2.X 标准版License RG-SMP 2.x软件License，每个License增加50用户的授权许可 6 ￥4,000 ￥24,000 必备　 GSN客户端 400 ￥0 ￥0 必备安全智能交换机 RG-S2628G 24口10/100M交换机，2个10/100/1000端口和2个千兆SFP光口复用，1个扩展槽，可上千兆模块和堆叠模块 10 ￥9,400 ￥94,000 必备入侵检测系统 RG-IDS-1000 千兆IDS入侵检测系统,2个千兆RJ45接口和2个SFP插槽模块,支持3路千兆监听 1 ￥220,000 ￥220,000 必备合计￥623,000 　第三阶段专家级应用控制引擎应用控制引擎 RG-ACE-2000 中端千兆应用控制引擎，2Gbps处理能力，2个千兆SFP光口，2个千兆电口＋1个千兆管理接口+1个千兆HA接口（电口内置Bypass功能，光口实现Bypass功能，需要另外配置RG-ACE-OBS模块）
1 ￥380,000 ￥380,000 可选数据中心 IP-SAN RG-iS2000 V2.0 64位高速双核存储处理器，2GB缓存，6个GE端口，1个SAS主机接口，12盘位，支持SAS硬盘，含管理软件，可扩展 1 ￥150,000 ￥150,000 必备 RG-iS2000-J 12盘位扩展柜（JBOD），支持SATA，SAS硬盘 1 ￥110,000 ￥110,000 　 RG-iS-NAS NAS功能模块。通过CIFS/NFS提供跨平台文件共享服务。含快照，镜像，复制，重复数据删除功能模块 1 ￥48,000 ￥48,000 　硬件视实际存储量定，1TB SATA企业级磁盘 12 ￥8,000 ￥96,000 待定合计￥784,000 　总计￥1,637,000 　 8 主要设备选型 8.1 防火墙-RG-WALL-160M RG-WALL160M防火墙 8.1.1 产品特性 u 独立安全协议栈采用自主研发的RG-SecOS，完整实现了状态检测包过滤/应用代理防火墙、入侵检测防护、IPSec VPN、抗DDoS攻击、深度内容检测、带宽管理和流量控制等综合安全网关功能，从而摆脱了通用操作系统束缚，无通用操作系统漏洞，不用被动地追随通用操作系统的升级而升级。

u 强大的处理性能采用快速流检测（FFD，Fast Flow Detect）引擎，对网络报文处理流程进行了革命性的改造和优化，将关键处理过程下移，在硬件中断里实现流分类、流交换；
产品采用分段直接寻址安全规则搜索算法（MSDAL，Multi-Stage Direct Addressing Lookup Algorithm），减少因系统内部任务间切换、内存缓存管理以及安全规则匹配对性能的消耗，从而提升了整个系统的处理性能。

u 完整内网安全管理管理员可实时查看内网用户在线情况、登录IP、在线时间、流量、连接数等详细信息，从而对内网用户上网情况一目了然；
通过独有的智能隔离技术，可以实时识别出网络流量异常的在线用户并隔离，防止病毒在内网传播。

u 深度内容检测采用独立的安全协议栈，可以自由处理通过协议栈的网络数据，基于网络行为检测的多流关联分析技术，支持对网络数据的病毒过滤、支持入侵检测（IPS），支持对P2P和即时通讯软件的限制、支持URL以及WEB内容过滤、支持邮件内容过滤，支持FTP内容过滤，还可以和多种IDS产品联动，为细粒度的网络安全管理提供了有利的技术保障。

8.1.2 技术参数技术参数参数描述产品名称及型号 RG-WALL 160M 物理特性　尺寸(长×宽×高) 标准19英寸宽度，1U高度重量 5kg 容错与电源备份 100-240V/50-60Hz 支持电源单电源工作温度 0～50℃ 存储温度 -20～70℃ 存储湿度 5%～95% 系统性能　固定接口固化4个GE口+1个FE口，支持Bypass功能模块插槽提供1个模块化插槽，支持4GE/4SFP/2GE /2SFP扩展，可扩展至8个千兆口安全策略数 65535 最大VLAN数量 4096 包延时 45µs MTBF ≥100,000小时操作模式　操作系统 RG-SecOS 二层模式（透明模式）
支持三层模式（路由和NAT模式）
支持混合模式支持 NAT（网络地址转换）
支持 PAT（端口地址转换）
支持应用代理支持FTP、HTPP、POP3、SMTP预定义和自定义 VLAN路由支持 STP和BPDU协议支持每接口用户数无限制防火墙特性　攻击检测保护支持 IP和MAC绑定支持规则时效属性支持预定义服务和网络对象支持单个服务和服务组定义 URL过滤支持关键字过滤支持阻断URL列表导入支持256个URL 内置防病毒支持 Email地址过滤支持 Email主题过滤支持 Email内容过滤支持 Email附件名过滤支持 Email附件大小过滤支持 FTP命令过滤支持禁止多线程下载支持（通过连接限制设置）
P2P应用控制支持限制且带宽控制 IM的应用控制支持QQ、Skype、MSN 对ActiveX、Java applet、Java script的过滤支持支持内容过滤协议种类支持HTPP、FTP、POP3、SMTP IPS规则支持1247条规则应用代理支持FTP、HTPP、POP3、SMTP预定义和自定义动态端口协议检测支持FTP、PPTP、RSTP、STP、SQL NET、TFTP、MMS、H.323、H.323GK 集成的实时检查支持TCP、UDP、ICMP连接的实时监控配置及操作支持CLI、SSH、WEB 路由特性　 OSPF动态路由支持 RIP动态路由 RIPv1/v2均支持静态路由支持 H.323 over NAT 支持策略路由、规则路由支持 DHCP 支持DHCP Server、DHCP Client、DHCP中继 PPPoE 支持 VPN特性　 VPN通道数根据需要灵活配置支持VPN类型 PPTP、L2TP、IPSec、SSL VPN 加密算法 DES、3DES、AES 认证算法 SHA1、MD5 完全传输安全标准（PFS）
支持 IPSec协议支持手工密钥、IKE 支持对端认证扩展认证支持 IPSec NAT穿越支持星型结构VPN 支持动态VPN接入支持 QoS支持支持连接过期时间支持 Replay protection 支持和其它主流VPN设备协同支持Cisco、华为、H3C、Juniper等系统管理　本地管理员数据库支持限制性的管理网络支持管理员分级支持软件升级支持WEB、命令行升级配置更改支持WEB、命令行认证方法支持证书、第三方证书，及电子钥匙管理方式支持WEB、命令行简单配置向导支持标准MIB或私有MIB 支持 SNMP 支持SNMPv1/v2/v3 集中管理支持本地管理支持远程管理支持界面会话查询支持病毒库的更新支持日志和监控　内部日志数据库支持外部日志服务器支持远程系统日志服务器支持审计报告支持实时统计支持日志级别支持日志备份支持本地状态显示支持将日志和高调试信息打印到终端支持报警方式支持高可用性　 HA模式支持路由模式和透明模式HA 切换条件防火墙断电、物理链路断线配置文件/变化同步支持配置和状态同步 HA设备认证支持（与单台防火墙雷同）
HA数据加密支持（与单台防火墙雷同）
状态切换时间 1秒流量整形及QoS 　接口优先级队列支持带宽控制优先级选择最大限制带宽支持最小保证带宽支持带宽控制粒度最低带宽控制50Kbps 数据流定义支持服务器负载均衡支持 8.2 防火墙-RG-WALL-1600S 8.2.1 产品概述 RG-WALL1600S是面向大型园区网出口用户开发的新一代电信级高性能防火墙设备。RG-WALL1600S采用了最新的硬件平台和体系架构，实现防火墙性能的跨越式突破，可支持数十个GE接口。可以广泛应用于教育、政府、金融、医疗、军队、医疗等行业的千兆网络环境。配合锐捷网络的交换机、路由器产品，可以为用户提供完整的端到端解决方案，是大型网络出口和不同策略区域之间安全互联的理想选择。

RG-WALL1600S防火墙采用锐捷网络自主开发的RG-SecOS和独创的分类算法使得它的高速性能不受策略数和会话数多少的影响，产品安装前后丝毫不会影响网络速度；
同时，RG-WAL1600E在内核层处理所有数据包的接收、分类、转发工作，因此不会成为网络流量的瓶颈。另外，RG-WALL具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不会影响防火墙的性能。

RG-WALL1600S支持深度状态检测、外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；
提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；
支持PPTP、L2TP、IPSec和SSL等多种全面的VPN业务，可以构建多种形式的VPN；
提供强大的路由能力，支持静态/RIP/OSPF/路由策略及策略路由；
支持双机状态热备，支持Active/Active和Active/Standby两种工作模式以及丰富的QoS特性，充分满足客户对网络高可靠性的要求。

RG-WALL1600S防火墙支持模块：
Ø 4个千兆电口、光口模块 Ø 8口千兆电口、光口模块 8.2.2 产品特性独立的安全协议栈 RG-WALL1600S防火墙采用独立的安全协议栈，可以自由处理通过协议栈的网络数据，基于网络行为检测的多流关联分析技术，支持对网络数据的病毒过滤、支持入侵检测（IPS），支持对P2P和即时通讯软件的限制、支持URL以及WEB内容过滤、支持邮件内容过滤，支持FTP内容过滤，还可以和多种IDS产品联动，为细粒度的网络安全管理提供了有利的技术保障。

采用先进的硬件平台通过多内核系统实现对不同数据流量的调度，极大提高设备的处理性能，满足用户对高性能安全设备处理能力的需求。

深度状态检测 RG-WALL1600S防火墙采用独立的安全协议栈，可以自由处理通过协议栈的网络数据，基于网络行为检测的多流关联分析技术，支持对网络数据的病毒过滤、支持入侵检测（IPS），支持对P2P和即时通讯软件的限制、支持URL以及WEB内容过滤、支持邮件内容过滤，支持FTP内容过滤，还可以和多种IDS产品联动，为细粒度的网络安全管理提供了有利的技术保障。支持按照时间段进行过滤，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对FTP、HTTP、SMTP、RTSP、H.323等应用层协议的状态监控。

强大的处理能力 RG-WALL1600S防火墙采用快速流检测（FFD，Fast Flow Detect）引擎，对网络报文处理流程进行了革命性的改造和优化，将关键处理过程下移，在硬件中断里实现流分类、流交换；
产品采用分段直接寻址安全规则搜索算法（MSDAL，Multi-Stage Direct Addressing Lookup Algorithm），减少因系统内部任务间切换、内存缓存管理以及安全规则匹配对性能的消耗，从而提升了整个系统的处理性能。支持一对一、多对一、多对多、静态网段、双向转换等多种形式的NAT，提供源的和基于目的策略路由支持，高速的处理性能基本不受策略条目和并发连接数目的影响。

支持全面的网络攻击防护支持CC、SYN flood、DNS Query Flood等DoS/DDoS攻击防护，支持MAC和IP绑定功能，支持智能防范蠕虫病毒技术、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范等等网络攻击防护；

完善的日志管理与审计提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能，配合日志管理系统可以完成日志的记录、查询和分析。

独立的VPN模块内置专用的硬件VPN模块，支持PPTP、L2TP、IPSec、SSL VPN等多种VPN业务模式。

支持高可靠性支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份。设备关键部件均采用冗余设计。

8.2.3 技术参数技术参数参数描述产品名称及型号 RG-WALL1600S 物理特性尺寸(长×宽×高) 标准19英寸宽度，2U高度容错与电源备份双电源冗余备份电源 AC 100-240V/50-60Hz，400W 工作温度 0～50℃ 存储温度 -20～70℃ 存储湿度 5%～95% 系统性能产品架构 x86多核接口固化6个GE口+2个SFP口模块插槽提供2个模块化插槽，支持8GE/8SFP/4GE/4SFP扩展最大并发连接数 200万安全策略数 65,535 最大VLAN数量 4096 包延时 40μs MTBF ≥100,000小时操作模式操作系统 RG-SecOS 二层模式（透明模式）
支持三层模式（路由和NAT模式）
支持混合模式支持 NAT（网络地址转换）
支持 PAT（端口地址转换）
支持应用代理支持FTP、HTPP、POP3、SMTP预定义和自定义 VLAN路由支持 STP和BPDU协议支持每接口用户数无限制防火墙特性攻击检测保护支持 IP和MAC绑定支持规则时效属性支持预定义服务和网络对象支持单个服务和服务组定义 URL过滤支持阻断URL列表导入支持256个URL 内置防病毒支持 Email地址过滤支持 Email主题过滤支持 Email内容过滤支持 Email附件名过滤支持 Email附件大小过滤支持 FTP命令过滤支持禁止多线程下载支持（通过连接限制设置）
P2P应用控制支持限制且带宽控制 IM的应用控制支持QQ、Skype、MSN 对ActiveX、Java applet、Java script的过滤支持支持内容过滤协议种类支持HTPP、FTP、POP3、SMTP IPS规则支持1247条规则应用代理支持FTP、HTPP、POP3、SMTP预定义和自定义动态端口协议检测支持FTP、PPTP、RSTP、STP、SQL NET、TFTP、MMS、H.323、H.323GK 集成的实时检查支持TCP、UDP、ICMP连接的实时监控配置及操作支持CLI、SSH、WEB 路由特性 OSPF动态路由支持 RIP动态路由 RIPv1/v2均支持静态路由支持 H.323 over NAT 支持策略路由、规则路由支持 DHCP 支持DHCP Server、DHCP Client、DHCP中继 PPPoE 支持 VPN特性 VPN通道数根据需要灵活配置支持VPN类型 PPTP、L2TP、IPSec、SSL VPN 加密算法 DES、3DES、AES 认证算法 SHA1、MD5 完全传输安全标准（PFS）
支持 IPSec协议支持手工密钥、IKE 支持对端认证扩展认证支持 IPSec NAT穿越支持星型结构VPN 支持动态VPN接入支持 QoS支持支持连接过期时间支持 Replay protection 支持和其它主流VPN设备协同支持Cisco、华为、H3C、Juniper等系统管理本地管理员数据库支持限制性的管理网络支持管理员分级支持软件升级支持WEB、命令行升级配置更改支持WEB、命令行认证方法支持证书、第三方证书，及电子钥匙管理方式支持WEB、命令行简单配置向导支持标准MIB或私有MIB 支持 SNMP 支持SNMPv1/v2/v3 集中管理支持本地管理支持远程管理支持界面会话查询支持病毒库的更新支持日志和监控内部日志数据库支持外部日志服务器支持远程系统日志服务器支持审计报告支持实时统计支持日志级别支持日志备份支持本地状态显示支持将日志和高调试信息打印到终端支持报警方式支持高可用性 HA模式支持路由模式和透明模式HA 切换条件防火墙断电、物理链路断线配置文件/变化同步支持配置和状态同步 HA设备认证支持（与单台防火墙雷同）
HA数据加密支持（与单台防火墙雷同）
状态切换时间 1秒流量整形及QoS 接口优先级队列支持带宽控制优先级选择最大限制带宽支持最小保证带宽支持带宽控制粒度最低带宽控制50Kbps 数据流定义支持服务器负载均衡支持 8.2.4 扩展模块本产品订购信息型号描述 RG-WALL1600S 千兆低端防火墙/VPN网关，固化6个GE口+2个SFP口；
提供2个模块化插槽，支持8GE/8SFP/4GE/4SFP扩展，可扩展至24个千兆口；
支持Bypass功能，配置冗余电源，标准2U设备 RG-WALL 1600-MIM-4GBE 4口千兆电模块 RG-WALL 1600-MIM-4GEF 4口SFP光模块 RG-WALL 1600-MIM-8GBE 8口千兆电模块 RG-WALL 1600-MIM-8GEF 8口SFP光模块本产品订购信息型号描述 RG-WALL VPN UPG-200 RG-WALL VPN 使用许可升级，VPN隧道数200 RG-WALL VPN UPG-500 RG-WALL VPN 使用许可升级，VPN隧道数500 RG-WALL VPN UPG-1000 RG-WALL VPN 使用许可升级，VPN隧道数1000 RG-WALL VPN UPG-2000 RG-WALL VPN 使用许可升级，VPN隧道数2000 RG-WALL VPN UPG-5000 RG-WALL VPN 使用许可升级，VPN隧道数5000 本产品订购信息型号描述 RG-WALL VPN Client-20 防火墙IPSec VPN客户端，用于移动IPSec VPN用户，支持用户数量20个 RG-WALL VPN Client-50 防火墙IPSec VPN客户端，用于移动IPSec VPN用户，支持用户数量50个 RG-WALL VPN Client-200 防火墙IPSec VPN客户端，用于移动IPSec VPN用户，支持用户数量200个 8.3 RG-S2126G安全智能交换机 8.3.1 产品概述 STAR-S2126G全线速可堆叠的安全智能交换机，在提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性同时，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，可有效防止和控制病毒传播和网络攻击，控制非法用户使用网络，保证合法用户合理使用网络资源，充分保障网络安全和网络合理化使用和运营。

STAR-S2126G可通过SNMP、Telnet、Web和Console口等多种配置方式提供丰富的管理。S2126G以极高的性价比为各类型网络提供完善的端到端的QoS服务质量、灵活丰富的安全策略管理和基于策略的网管，最大化满足高速、安全、智能的企业网新需求。

8.3.2 产品特性 u 高性能 Ø 高背板带宽为所有的端口提供线速的交换能力。

u 灵活完备的安全控制策略 Ø 通过与锐捷网络全局安全解决方案GSN的结合，可在安全策略方面为用户提供全新的立体三维的技术特性和解决方案，完全解除安全威胁、攻击欺骗、病毒侵害等危害；

Ø 通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化地使用网络，如端口安全、端口隔离、专家级ACL、时间ACL、端口ARP报文的合法性检查、基于数据流的带宽限速、六元素绑定等，满足企业网、网络加强对访问者进行控制、限制非授权用户通信的需求；

Ø 硬件实现端口与MAC地址和用户IP地址的灵活绑定，严格限定端口上用户接入；

Ø 保护端口不必占用VLAN资源，即可非常方便地隔离用户之间信息互通，充分保护用户隐私；

Ø 通过安全计费管理平台SAM，不仅可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定，有效确认用户身份的合法性和唯一性，更能通过交换机特色硬件动态绑定，保障用户身份始终一致性，避免了用户恶意篡改身份信息进行非法攻击等行为；

Ø 专用的硬件防范ARP网关和ARP主机欺骗功能，有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象，保障了用户的正常上网；

Ø 支持DHCP Relay，更可支持DHCP Option 82，可方便实现对IP地址的精确分配和控制；
支持DHCP Snooping，可有效防范动静态分配IP地址环境下的ARP欺骗问题；

Ø 提供极为有效的Port Blocking功能，避免和阻止端口受到其它端口发送的广播包、多播包等报文的干扰，有效减轻端口的负载负担，提高端口带宽，保护用户PC更高效安全地运行；

Ø 基于源IP地址控制的Telnet和Web设备访问控制，避免非法人员和黑客恶意攻击和控制设备，增强了设备网管的安全性；

Ø SSH（Secure Shell）和SNMPv3技术可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备；

Ø 各种类型的硬件ACL控制，可灵活控制二－七层数据报文，使得任何一个用户PC上的应用报文通过网络都能得到有效控制，充分保障了网络的安全和合理化使用。

u 完善的QoS策略 Ø 支持802.1P、DSCP、端口优先级、IP TOS、二到七层流过滤等QoS策略，具备MAC流、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量，提供服务；

Ø 极灵活的带宽控制能力，可以基于交换机端口、MAC地址、IP地址、VLAN ID、协议、应用组合进行灵活的带宽限速，限速粒度精细：1Mbps（128KB）粒度/百兆端口、8Mbps（1024KB）粒度/千兆端口，可根据网络安全需求，设定不同业务应用的带宽流量，满足网络带宽按需所用。

u 丰富的组播特性 Ø 支持业界特有的IGMP源端口检查，有效杜绝非法组播源播放和大量占用大量网络带宽，提高网络安全性；

Ø 支持和识别IGMPv1/v2和IGMPv3全部版本的组播报文，适应不同组播环境，避免非法的组播数据流占用网络带宽，满足组播安全应用的需要。

u 高可靠性 Ø 支持生成树协议802.1D、802.1w、802.1s，完全保证链路快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，网络通道得到合理化使用，提供冗余链路利用率；

Ø 支持端口环路检测，可快速检测端口下联出现环路的情况，并能自动将有环路端口关闭和定时启动，保障了网络的可靠。

u 方便易用易管理 Ø 强大的菊花链式堆叠，支持S2126G/S2150G的混合堆叠，保证网络的高度灵活和可扩展，网络管理更加简单；

Ø 提供图形化的安全策略管理平台，支持安全策略自动同步下发、升级和维护功能，安全策略智能化，可大幅度提高交换机管理和配置效率，提高网络安全；

Ø 在实施了各种安全措施基础上，S21还能根据网络管理灵活性和特殊性的需要，能为网络内的一些特殊用户，以及设备的方便管理，开启安全通道，实现安全和灵活兼并的网络管理理念；

Ø 端口的VLAN自动跳转功能，无需网管员手工干预，即可将端口跳转到用户所在VLAN，实现用户全网漫游上网，减轻设备配置和维护量；

Ø 多端口同步监控，通过一个端口即可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率；

Ø 简单网络时间协议（SNTP）保证交换机时间的准确性，并与网络中时间服务器的时间统一化，方便日志信息和流量信息的分析、故障诊断；

Ø Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员进行网络维护和管理；

Ø 独特的集群管理，通过一台命令交换机可管理多达20台的S21系列交换机，无论交换机是否在同一配线间和布线室；

Ø 强大的集群管理方式使得网络的维护工作变得非常方便和简单，只需配置1个IP地址，即可管理多台设备，不仅成倍节省了IP地址空间，而且维护和管理量也得到极大降低；

Ø CLI界面，方便高级用户配置和使用；

Ø Java-based Web管理方式，实现对交换机的可视化图形管理，快速和高效地配置设备。

8.3.3 技术参数产品型号 STAR-S2126G 固定端口 24端口10/100自适应模块插槽 2个扩展插槽可用模块单口1000BASE-SX模块单口1000BASE-LX模块单口1000BASE-TX模块（支持10/100/1000M自适应）
单口100BASE-FX模块单口100BASE-FX单模模块单口100BASE-TX模块堆叠模块背板带宽 12.8Gbps 包转发速率线速（6.6 Mpps）
802.1q VLAN 4K ACL 标准IP ACL（基于IP地址的硬件ACL）、扩展IP ACL（基于IP地址、传输层端口号的硬件ACL）、 MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）、基于时间ACL、专家级ACL（可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间灵活组合的硬件ACL)、 ACL 80 L2协议 IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q(GVRP)、IEEE802.1d、IEEE802.1w、IEEE802.1s、IGMP Snooping v1/v2/v3 管理协议 SNMPv1/v2C/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、集群、SSH、Syslog、SNTP 其它协议 BOOTP/DHCP Relay、DNS Client 尺寸（长× 宽× 高）
440 × 240 ×44mm 电源 160VAC~240VAC，48Hz~60Hz 温度工作温度：
0℃ 到 45℃ 存储温度：-40ºC 到 70ºC 湿度工作湿度：
10% 到 90% RH 存储湿度：
5% 到 90% RH 8.4 防病毒安全套装 PESA4.0 方正熊猫企业级防病毒安全套装( PESA )是一个高性能和稳定的防病毒解决方案，它方便了对网络中所有计算机的保护配置和更新，这些计算机包括：工作站，文件服务器，Exchange和Domino邮件服务器，SMTP网关和边界服务器。它不仅抵御病毒，蠕虫和特洛依木马，还防护新的英特网攻击，如垃圾邮件，间谍程序，拨号器，黑客工具和恶作剧，以及针对系统漏洞，并提供保护阻止安全冒险。

方正熊猫企业级防病毒安全套装( PESA )具有不间断保护功能，至少每天一次将已作的更新自动分发到网络中。这是由于采用了向用户透明的新机制，其结果是提高了产品的质量，使管理员可以集中精力到其它工作中。

8.4.1 PESA特性保护所有电子邮件通讯，它保护了所有接收和发送的电子邮件通讯安全而免受病毒感染。

保护整个网络的边界，保护了网络和英特网之间的所有连接。

抵挡所有类型的英特网攻击，它包括了新的瘦客户端桌面保护。

通过新的中央管理工具AdminSecure，可以从一台计算机进行整个网络的集中管理。

非常适用于窄带宽的网络，瘦客户端和AdminSecure都是为此种类型的网络特别设计的。

通过将命令方式防病毒程序CommandlineSecure集成，对Linux提供防病毒保护。

对于预计将大量传播和感染的攻击信息，通过预先提示信息系统，发布最新详细的相关信息。

每日自动更新将抵挡新病毒。

提供365天24小时的电话技术支持。我们的专家将通过电话或电子邮件随时处理您的问题。

8.4.2 模块介绍 1）管理工具：
Panda AdminSecure 2）工作站：
Panda ClientShield （Windows全系列）
3）文件服务器：Panda FileSecure (Win32/Novell) 4）邮件服务器：Panda ExchangeSecure 5）邮件服务器：Panda DominoSecure 6）Linux的SMTP网关：（SendmailSecure, QmailSecure和PostfixSecure）
7）兼容CVP防护：Panda CVPSecure 8）网关防护：Panda ProxySecure /Panda ISASecure 8.5 入侵检测系统RG-IDS-500 8.5.1 产品概述入侵检测系统以旁路的方式在网络中部署，并且实时检测数据包并从中发现攻击行为或可疑行为，这就要求RG-IDS对攻击行为的检测据有极高的准确性，错误的攻击行为检测可能比攻击行为本身带来的危害还要巨大。为了保证准确性，RG-IDS使用了多种攻击识别和检测技术，在这些技术中，每一种都有其固有的优势和弱点，这也说明了为什么没有一种单一的入侵检测技术能够达到用户可接受的防护效果。

RG-IDS 采用多层分布式体系结构，由五部分程序组件组成：控制台、EC（事件收集器）、LogServer（数据服务器）、Sensor（传感器）、报表和查询工具。

RG-IDS 500:具备完整的入侵检测和管理功能,完全适用于需要同时监控多个百兆网络的环境;最多支持3个百兆监听口，1U硬件。

RG-IDS在网络中能够阻止来自外部或内部的蠕虫、病毒和攻击带来的安全威胁，确保企业信息资产的安全，能够检测因为各种IM即时通讯软件、P2P下载等网络资源滥用行为，保证重要业务的正常运转，能够高效、全面的事件统计分析，能迅速定位网络故障，提高网络稳定运行时间。

结合锐捷网络的其他网络产品和网络安全产品，便可以很容易的构建一个整体的全方位的安全管理体系。一方面集中管理整个网络的访问控制策略，监测并阻止网络中的各种可疑行为，收集网络中各设备的安全事件，将数据进行标准化、集中、并进行关联和智能分析，方便用户在大量的安全时间中快速准确的定位威胁；
另一方面结合漏洞扫描，可以使您提前确定系统是否存在已知漏洞，做到“防范于未然”，以建立实时主动的，而不仅仅是响应式的整体网络安全防御体系。

8.5.2 产品特性 ü 领先的检测技术 RG-IDS采用基于状态的应用层协议分析技术。状态协议分析技术基于对已知协议结构的了解，通过分析数据包的结构和连接状态，检测可疑连接和事件，极大地提高了检测效率和准确性。不仅能准确识别所有的已知攻击，还可以识别未知攻击，并使采用IDS躲避技术的攻击手段彻底失效。利用协议分析已知的通信协议，在处理数据帧和连接时更加迅速和有效准确，减少了误报的可能性。

能够关联数据包前后的内容，对孤立的数据包不进行检测，这和普通IDS检测所有数据包有着本质的区别。它具有判别通信行为真实意图的能力，它不会受到像URL编码、干扰信息、IP分片等入侵检测系统规避技术的影响。

ü 高性能 RG-IDS采用高效的入侵检测引擎，综合使用虚拟机解释器、多进程、多线程技术，配合专门设计的高性能的硬件专用平台，能够实时处理高达两千兆的网络流量。

ü 行为描述代码用户可以非常方便地使用我司提供的“行为描述代码”自行创建符合企业要求的新的特征签名，扩大检测范围，个性化入侵检测系统。

ü 分布式结构 RG-IDS采用先进的多层分布式体系结构，包括控制台、事件收集器、传感器，这种结构能够更好地保证整个系统的可生存性、可靠性，也带来了更多灵活性和更可伸缩性，适应各种规模的企业网络的安全和管理需要。

ü 全面检测能力 l 支持对预攻击探测行为的检测 l 支持对口令猜测行为的检测 l 支持对Windows系统漏洞攻击的检测 l 支持对Unix系统攻击的检测 l 支持对洛伊木马活动的检测 l 支持对蠕虫/病毒传播的检测 l 支持对拒绝服务攻击的检测 l 支持对CGI/WWW 攻击的检测 l 支持对缓冲区溢出攻击的检测 l 支持对非法访问行为的检测 l 支持对常见P2P软件活动的检测 l OS FingerPrint识别能力 l 对FTP，WWW，SMTP，SMB，NNTP，NDMP，SIP等常见协议的兼容性检测 l 支持对用户定义网络连接事件的检测 l 支持对用户自定义签名的检测 ü 高可靠性 RG-IDS是软件与硬件紧密结合的一体化专用硬件设备。硬件平台采用严格的设计和工艺标准，保证了高可靠性；
独特的硬件体系结构大大提升了处理能力、吞吐量；
操作系统经过优化和安全性处理，保证系统的安全性和抗毁性。

ü 高可用性 RG-IDS的所有组件都支持HA冗余配置，保证提供不间断的服务。

ü 隐秘部署 RG-IDS支持安全的部署模式为隐秘配置。

ü 灵活响应 RG-IDS提供了丰富的响应方式，如：向控制台发出警告，发提示性的电子邮件，向网络管理平台发出SNMP消息，自动终止攻击，重新配置防火墙，执行一个用户自定义的响应程序等。

ü 低误报率 RG-IDS采用基于状态的应用层协议分析技术，同时允许用户灵活地调节签名的参数和创建新的签名，大大降低了误报率，提高了检测的准确性。

ü 简单易用 RG-IDS安装简单，升级方便，查询灵活，并能生成适合各级管理者任意需要的多种格式的报告。

8.5.3 技术参数物理特性管理接口 1*10/100Base-TX 监控接口 1*10/100Base-TX + 1*10/100/1000Base-TX 扩展接口 N/A 产品形态 1U机架冗余电源 N/A 尺寸 (cm) 44*43*4.4 重量 (kg) 10 安全策略每秒数据流量 400Mbps 每秒最大抓包数 480000pps 每秒能监控的新建TCP连接数 28,000 每秒能监控的新建HTTP连接数 18,000 能监控的最大TCP并发连接数 1,500,000 能监控的最大HTTP并发连接数 750,000 工作环境工作电压 100–240 AC 电源频率 50–60 Hz 工作电流 6A 工作温度 10 to 35ºC (50 to 95ºF) 存储温度 –40 to 65ºC (–40 to 149ºF) 相对工作湿度 8 to 80%（无冷凝）
相对存储湿度 5 to 95%（无冷凝）
功率 250W 8.6 RG-SMP安全网络管理平台 8.6.1 产品概述 RG-SMP安全管理平台软件系统是锐捷网络GSN全局安全网络解决方案的核心组成部分，GSN全局安全网络解决方案定位于网络访问控制NAC领域，从网络接入者的身份、接入主机的健康性以及网络通信的安全性等多方面为用户构建一个全局的安全网络。RG-SMP安全管理平台软件作为GSN解决方案的核心，承载着以上三个方面的重要功能。

RG-SMP安全管理平台配合锐捷网络安全智能交换机，可根据用户需求采用接入层认证和汇聚层认证的方式，部署实施于校园宿舍网、办公网，企业、金融、政府、医疗等行业的办公网等局域网环境，实现对用户身份、主机健康性以及网络通信安全性等方面的管理。

8.6.2 产品特征 8.6.2.1 身份认证功能 Ø 基于802.1X协议的身份认证体系 Ø 基于用户身份的网络访问权限控制体系 Ø 基于包括用户名、密码、IP地址、MAC地址、认证交换机IP、认证交换机端口号等在内的6元素灵活绑定，保障用户身份正确性 Ø 用户短消息、修复程序自动下发功能 Ø 用户上下线日志功能 Ø 用户黑名单功能 *身份认证相关功能需要配合锐捷网络支持802.1X的认证交换机以及客户端RG-SU共同完成。

8.6.2.2 主机端点防护功能 Ø Windows补丁强制更新功能（需配合微软WSUS服务器）
Ø 杀毒软件联动功能（需配合对应的杀毒软件）
Ø 用户端软件安装黑白名单功能 Ø 用户端注册表关键键值检测及修复功能 Ø 用户端后台服务检测及修复功能 Ø 用户端进程检测及强制开启/关闭功能 Ø 用户端软硬件情况收集、统计功能 Ø 违规用户自动隔离功能 *主机端点防护相关功能需配合锐捷网络支持802.1X的认证交换机以及客户端RG-SU共同完成 8.6.2.3 网络通信保护功能 Ø 与业界主流IDS产品联动功能 Ø ARP攻击三重立体防御功能 Ø 基于网络攻击的自动隔离、阻断功能 Ø 攻击日志、报表管理功能 *IDS联动功能需配合锐捷网络入侵检测设备或其他合作品牌入侵检测设备及RG-SEP安全事件解析器共同进行 *ARP欺骗三重立体防御功能需配合锐捷网络安全智能三层交换设备以及安全智能客户端RG-SU共同完成 — END —

推荐访问: