北京*****有限公司年3月目錄1項(xiàng)目介紹..............................錯(cuò)誤!未指定書(shū)簽。1.1項(xiàng)目背景........................錯(cuò)誤!未指定書(shū)簽。1.2項(xiàng)目目標(biāo)........................錯(cuò)誤!未指定書(shū)簽。1.3參考標(biāo)準(zhǔn)........................錯(cuò)誤!未指定書(shū)簽。1.4方案設(shè)計(jì)原則....................錯(cuò)誤!未指定書(shū)簽。1.5網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀....................錯(cuò)誤!未指定書(shū)簽。2網(wǎng)絡(luò)系統(tǒng)升級(jí)改造方案..................錯(cuò)誤!未指定書(shū)簽。2.1網(wǎng)絡(luò)系統(tǒng)建設(shè)要求................錯(cuò)誤!未指定書(shū)簽。2.2網(wǎng)絡(luò)系統(tǒng)升級(jí)改造方案............錯(cuò)誤!未指定書(shū)簽。2.3網(wǎng)絡(luò)設(shè)備部署及用途..............錯(cuò)誤!未指定書(shū)簽。2.4核心交換及安全設(shè)備UPS電源保證..錯(cuò)誤!未指定書(shū)簽。2.5網(wǎng)絡(luò)系統(tǒng)升級(jí)改造方案總結(jié)........錯(cuò)誤!未指定書(shū)簽。3網(wǎng)絡(luò)系統(tǒng)安全加固技術(shù)方案..............錯(cuò)誤!未指定書(shū)簽。3.1網(wǎng)絡(luò)系統(tǒng)安全加固建設(shè)要求........錯(cuò)誤!未指定書(shū)簽。3.2網(wǎng)絡(luò)系統(tǒng)安全加固技術(shù)方案........錯(cuò)誤!未指定書(shū)簽。3.3安全設(shè)備部署及用途..............錯(cuò)誤!未指定書(shū)簽。3.4安全加固方案總結(jié)................錯(cuò)誤!未指定書(shū)簽。4產(chǎn)品清單..............................錯(cuò)誤!未指定書(shū)簽。1項(xiàng)目介紹隨著對(duì)外網(wǎng)信息化的發(fā)展，業(yè)務(wù)系統(tǒng)對(duì)外網(wǎng)絡(luò)系統(tǒng)、信息系統(tǒng)的依賴(lài)程度也越來(lái)越高，信息安全的問(wèn)題也越來(lái)越突出。為了有效防范和化解風(fēng)險(xiǎn)，保證對(duì)外網(wǎng)信息系統(tǒng)平穩(wěn)運(yùn)行和業(yè)務(wù)持續(xù)開(kāi)展，須對(duì)對(duì)外網(wǎng)現(xiàn)有的網(wǎng)絡(luò)升級(jí)，并建立信息安全保障體系，以增強(qiáng)對(duì)外網(wǎng)的信息安全風(fēng)險(xiǎn)防范能力。由于利益的驅(qū)使，針對(duì)信息系統(tǒng)的安全威脅越來(lái)越多，必需加強(qiáng)自身的信息安全保護(hù)工作，建立完善的安全機(jī)制來(lái)抵御外來(lái)和內(nèi)在的信息安全威脅。為提升對(duì)外網(wǎng)整體信息安全管理水平和抗風(fēng)險(xiǎn)能力，我們需要根據(jù)國(guó)內(nèi)外先進(jìn)信息安全管理機(jī)制結(jié)合對(duì)外網(wǎng)自身特點(diǎn)和需求來(lái)開(kāi)展一項(xiàng)科學(xué)和系統(tǒng)的信息安全體系建設(shè)和規(guī)劃設(shè)計(jì)工作。通過(guò)系統(tǒng)的信息安全體系規(guī)劃和建設(shè)，將為對(duì)外網(wǎng)加強(qiáng)內(nèi)部控制和內(nèi)部管理，降低運(yùn)營(yíng)風(fēng)險(xiǎn)，建立高效、統(tǒng)一、運(yùn)轉(zhuǎn)協(xié)調(diào)的管理體制的重要因素。滿足對(duì)外網(wǎng)對(duì)網(wǎng)絡(luò)系統(tǒng)等基礎(chǔ)設(shè)施的需求，降低基礎(chǔ)設(shè)施對(duì)對(duì)外網(wǎng)信息化發(fā)展的制約，順利完成業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)與信息安全系統(tǒng)的整合，促進(jìn)對(duì)外網(wǎng)信息化可持續(xù)發(fā)展。本次改造工作的主要內(nèi)容：通過(guò)網(wǎng)絡(luò)系統(tǒng)改造及安全加固，滿足對(duì)外網(wǎng)日常辦公需要，保障重要網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)的安全運(yùn)行。本方案重點(diǎn)參考的政策和標(biāo)準(zhǔn)包括：《中華人民共和國(guó)政府信息公開(kāi)條例》（中華人民共和國(guó)國(guó)務(wù)院令第492號(hào)）《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》辦發(fā)〔2005〕31號(hào)）《信息技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》《信息技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》《信息技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)方案設(shè)計(jì)規(guī)范》BS7799/ISO17799《信息安全管理實(shí)踐準(zhǔn)則》本方案在設(shè)計(jì)中將嚴(yán)格遵循以下原則：需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際的研究(包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等)，并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定系統(tǒng)的安全策略；綜合性、整體性原則應(yīng)運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主以及專(zhuān)業(yè)技術(shù)措施(訪問(wèn)控制、加密技術(shù)、認(rèn)證技術(shù)、攻出檢測(cè)技術(shù)、容錯(cuò)、防病毒等)。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。計(jì)算機(jī)網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)，包括個(gè)人(使用、維護(hù)、管理)、設(shè)備(含設(shè)施)、軟件(含應(yīng)用系統(tǒng))、數(shù)據(jù)等，在網(wǎng)絡(luò)安全中的地位和影響作用，也只有從系統(tǒng)整體的角度去看待、分析，才可能得到有效、可行的措施。不同的安全措施其根據(jù)確定的安全策略制定出合理的網(wǎng)絡(luò)體系結(jié)構(gòu)及網(wǎng)絡(luò)安全體系結(jié)構(gòu)；動(dòng)態(tài)保護(hù)原則即包括采用相應(yīng)的安全設(shè)備，又包括相應(yīng)的管理手段。安全設(shè)備不是指單一的某種安全設(shè)備，而是指幾種安全設(shè)備的綜合。網(wǎng)絡(luò)安全系統(tǒng)的動(dòng)態(tài)性是指，安全是隨著環(huán)境、時(shí)間的變化而變化的，在一定環(huán)境下是安全的系統(tǒng)，環(huán)境發(fā)生安全的系統(tǒng)，時(shí)間發(fā)生變化了（如今天是安全的系統(tǒng)，可能因?yàn)楹诳桶l(fā)現(xiàn)了某建設(shè)的安全防護(hù)系統(tǒng)不是一勞永逸的事情；一致性原則一致性原則主要是指網(wǎng)絡(luò)安全問(wèn)題應(yīng)當(dāng)與具體的安全措施保持同步，并且在網(wǎng)絡(luò)安全建設(shè)中所采取的各類(lèi)安全措施應(yīng)當(dāng)執(zhí)行統(tǒng)一的安全策略，各個(gè)策略之間能夠相互互補(bǔ)，并針對(duì)具體的問(wèn)題，從不同的側(cè)面執(zhí)行一致性的策略，避免出現(xiàn)策略自身的矛盾和失誤；強(qiáng)制性原則安全措施的策略應(yīng)當(dāng)統(tǒng)一下發(fā)，強(qiáng)制執(zhí)行，應(yīng)避免各個(gè)環(huán)節(jié)的安全措施各自為政，從而也保障了安全策略的一致性，保障各個(gè)環(huán)節(jié)的安全措施能夠相互互補(bǔ)，真正的為系統(tǒng)提供有效的保護(hù)；易操作性原則安全措施需要人去完成，如果措施過(guò)于復(fù)雜，對(duì)人的要求過(guò)高，本身就降低了安全性；其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。多重保護(hù)原則任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。對(duì)外網(wǎng)共計(jì)約120名辦公人員。辦公網(wǎng)絡(luò)通過(guò)一臺(tái)二層交換機(jī)接入亦莊機(jī)房核心交換機(jī)，到機(jī)房的鏈路介質(zhì)為兩條光纖。網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀拓?fù)淠壳?，?duì)外網(wǎng)現(xiàn)有四臺(tái)二層交換機(jī)需要更新升級(jí)。同時(shí)辦公場(chǎng)所沒(méi)有無(wú)線網(wǎng)絡(luò)覆蓋，且無(wú)內(nèi)網(wǎng)安全防護(hù)設(shè)備。2網(wǎng)絡(luò)系統(tǒng)升級(jí)改造方案網(wǎng)絡(luò)系統(tǒng)建設(shè)要求如下：升級(jí)替換二層交換機(jī)。采用集中控管的組網(wǎng)方式，集中控制管理所有的AP。AP采用POE供電的方式。AP要求必須支持兩個(gè)射頻模塊，可以工作在2.4GHz和5.8GHz頻段;無(wú)線系統(tǒng)能夠?qū)τ脩艚巧贫ú煌牟呗?，滿足授權(quán)管理（訪問(wèn)控制、流量控制）功能；充分考慮WLAN的安全性，采用先進(jìn)的WLAN安全技術(shù)保障。無(wú)線局域網(wǎng)系統(tǒng)要能方便和靈活地調(diào)整與擴(kuò)充。為核心網(wǎng)絡(luò)交換及安全設(shè)備提供UPS電源保證。網(wǎng)絡(luò)系統(tǒng)升級(jí)改造方案拓?fù)鋱D如下：2.2.1有線網(wǎng)絡(luò)升級(jí)替換四臺(tái)現(xiàn)有二層交換機(jī)。2.2.2新建無(wú)線網(wǎng)絡(luò)AP布放設(shè)計(jì)安裝在走廊/墻壁上。辦公區(qū)域接入8個(gè)AP供辦公人員日常業(yè)務(wù)使用。無(wú)線組網(wǎng)方式結(jié)合用戶無(wú)線網(wǎng)絡(luò)需求情況，結(jié)合產(chǎn)品自身技術(shù)特點(diǎn)，為了滿足用戶構(gòu)建一個(gè)高速、穩(wěn)定、安全、可靠、易于管理的無(wú)線接入網(wǎng)絡(luò)的需求，本設(shè)計(jì)方案按照AP+控制器的結(jié)構(gòu)化無(wú)線網(wǎng)絡(luò)解決方案進(jìn)行設(shè)計(jì)。信道規(guī)劃使用2.4GHz隔不低于3個(gè)不重疊的頻點(diǎn)同時(shí)工作，通常采用1、6、11三個(gè)頻點(diǎn)。WLAN頻率規(guī)劃需綜合考慮建筑結(jié)構(gòu)、穿透損耗以及布線系統(tǒng)等具體情況進(jìn)行。多業(yè)務(wù)區(qū)分設(shè)計(jì)在設(shè)計(jì)上采用無(wú)線局域網(wǎng)多SSID技術(shù)，設(shè)置多業(yè)務(wù)區(qū)分方式。例如一個(gè)SSID可給內(nèi)部員工所用，而另一個(gè)可給外來(lái)的客戶專(zhuān)用。無(wú)線安全性設(shè)計(jì)（1）多SSID，不同的SSID采用不同的安全策略，這樣可以對(duì)不同的用戶及應(yīng)用進(jìn)行區(qū)分服務(wù)。另外SSID還可以選擇隱藏的方式，該SSID不廣播，用戶無(wú)法看到，防止還可以選擇在某些AP上出現(xiàn)，某些AP上不出現(xiàn)，限制SSID出現(xiàn)的范圍也是實(shí)現(xiàn)安全性的一種手段。取，用戶可根據(jù)實(shí)際需要自行選擇。（3）多重接入認(rèn)證方式：廠家無(wú)線系統(tǒng)支持多重認(rèn)證方式結(jié)合：開(kāi)放式、WPA-PSK、WPA2-PSK（個(gè)人開(kāi)放式+Portal認(rèn)證、WPA-PSK/WPA2-PSK+Portal網(wǎng)絡(luò)與用戶管理在無(wú)線系統(tǒng)中可以設(shè)定用戶的角色，同時(shí)，可根據(jù)角色進(jìn)行訪問(wèn)的管控與流量的管理。比如，辦公人員及領(lǐng)導(dǎo)具有較高的網(wǎng)絡(luò)權(quán)限，可以訪問(wèn)更多的網(wǎng)VIP分配較高的帶寬供使用。而訪客分配有限的權(quán)限，限制帶寬和禁止訪問(wèn)內(nèi)網(wǎng)，同時(shí)也可進(jìn)行時(shí)間的限制。本次網(wǎng)絡(luò)系統(tǒng)升級(jí)改造中各設(shè)備部署及用途如下：臺(tái)1234514118臺(tái)臺(tái)臺(tái)臺(tái)通過(guò)核心信息機(jī)房布放核心交換機(jī)，核心網(wǎng)絡(luò)安全設(shè)備，無(wú)線網(wǎng)控制器等，為保證這些設(shè)備在停電狀態(tài)下的正常工作，我們配置了5K的ups1小時(shí)的不間斷電源保證。通過(guò)本次網(wǎng)絡(luò)系統(tǒng)升級(jí)改造，網(wǎng)絡(luò)的基礎(chǔ)設(shè)施可以滿足未來(lái)5年擴(kuò)展需求。根據(jù)業(yè)務(wù)需求優(yōu)化網(wǎng)絡(luò)系統(tǒng)，保證網(wǎng)絡(luò)系統(tǒng)可用性、工程實(shí)施的簡(jiǎn)便快捷。滿足網(wǎng)絡(luò)系統(tǒng)等基礎(chǔ)設(shè)施的需求，降低基礎(chǔ)設(shè)施對(duì)信息化發(fā)展的制約，順利完成重要業(yè)務(wù)系統(tǒng)的部署及信息系統(tǒng)的整合，促進(jìn)對(duì)外網(wǎng)信息化可持續(xù)發(fā)展。3網(wǎng)絡(luò)系統(tǒng)安全加固技術(shù)方案網(wǎng)絡(luò)系統(tǒng)安全加固建設(shè)要求如下：1、網(wǎng)絡(luò)邊界安全防護(hù)2、財(cái)務(wù)等重要部門(mén)安全防護(hù)3、限制網(wǎng)速，控制上網(wǎng)；訪客可通過(guò)掃碼或關(guān)注微信公眾號(hào)，認(rèn)證上網(wǎng)4、網(wǎng)絡(luò)準(zhǔn)入5、IPSECVPN：與阿里云對(duì)接6、SSLVPN設(shè)備：移動(dòng)辦公針對(duì)系統(tǒng)的安全建設(shè)需求，在安全域劃分的基礎(chǔ)之上，提出了有針對(duì)性的結(jié)合實(shí)際業(yè)務(wù)保障需要，本著“適度安全，保護(hù)重點(diǎn)”的原則，我們建議采用以下安全技術(shù)措施來(lái)構(gòu)建安全保障體系的技術(shù)支撐平臺(tái)。3.2.1邊界安全保護(hù)措施采用防火墻，對(duì)信息網(wǎng)絡(luò)中重要的安全域提供邊界訪問(wèn)控制，嚴(yán)格控制進(jìn)出網(wǎng)絡(luò)各個(gè)安全區(qū)域的訪問(wèn)，明確訪問(wèn)的來(lái)源、訪問(wèn)的對(duì)象及訪問(wèn)的類(lèi)型，確保合法訪問(wèn)的正常進(jìn)行，杜絕非法及越權(quán)訪問(wèn)；同時(shí)有效預(yù)防、發(fā)現(xiàn)、處理異常的網(wǎng)絡(luò)訪問(wèn)，確保對(duì)外網(wǎng)信息網(wǎng)絡(luò)正常訪問(wèn)活動(dòng)。網(wǎng)絡(luò)邊界安全防護(hù)部署位置：在房與辦公區(qū)域之間部署防火墻設(shè)備。部署模式：防火墻采用路由方式部署。重要部門(mén)安全防護(hù)部署位置：在行政、財(cái)務(wù)等重要部門(mén)與其他辦公區(qū)域之間部署防火墻設(shè)備。部署模式：防火墻采用透明方式部署。產(chǎn)品功能特點(diǎn)“基于用戶防護(hù)”、“面向應(yīng)用安全”、“高效轉(zhuǎn)發(fā)平臺(tái)”、“多層級(jí)冗余架構(gòu)”、“全方位可視化”及“安全技術(shù)融合”六大特性的NGFW?下一代防火墻系列產(chǎn)品。全新的NGFW?下一代防火墻產(chǎn)品線，不論是在性能方面還是在功能方面都完全符合用戶對(duì)下一代防火墻產(chǎn)品的各種需求?；谟脩舴雷o(hù)RADIUSTACACS、LDAP、AD、郵件、證書(shū)、、短信等多種認(rèn)證協(xié)議和認(rèn)證方式。在用戶管理方面，實(shí)現(xiàn)了分級(jí)、分組、權(quán)限、繼承關(guān)系等功能，充分考慮到各種應(yīng)用環(huán)境下不同的用戶需求。基于上述特性，網(wǎng)絡(luò)終端在訪問(wèn)網(wǎng)絡(luò)前，被強(qiáng)制要求到下一代防火墻進(jìn)行身份認(rèn)證來(lái)完成對(duì)其的“合法性”檢查。除此之外，NGFW?下一代防火墻還集成了強(qiáng)大的安全準(zhǔn)入控制功能，針對(duì)身份認(rèn)證通過(guò)后的網(wǎng)絡(luò)終端操作系統(tǒng)環(huán)境進(jìn)行系統(tǒng)服務(wù)、軟件、文件、進(jìn)程、注冊(cè)表等細(xì)粒度的檢測(cè)與控制來(lái)實(shí)現(xiàn)對(duì)其的合規(guī)性”檢查。通過(guò)對(duì)網(wǎng)絡(luò)終端合法性”與“合規(guī)性”的雙重審核后，NGFW?ID能過(guò)濾引擎實(shí)現(xiàn)基于用戶身份的安全防護(hù)策略部署與可視化監(jiān)控。一體化智能過(guò)濾引擎NGFW?下一代防火墻系列產(chǎn)品，采用高度集成的一體化智能過(guò)濾引擎技術(shù)。其能夠在一次數(shù)據(jù)拆包過(guò)程中，對(duì)數(shù)據(jù)進(jìn)行并行深度檢測(cè)，從而保證了協(xié)議深度識(shí)別的高效性。另外，NGFW?下一代防火墻產(chǎn)品基于八元組高級(jí)訪問(wèn)控制設(shè)計(jì)，除傳統(tǒng)的五元組控制以外，實(shí)現(xiàn)了用戶身份信息、應(yīng)用程序指紋及內(nèi)容特征的識(shí)別與控制，充分體現(xiàn)了下一代防火墻關(guān)注“用戶”與應(yīng)用”的設(shè)計(jì)理念。高效轉(zhuǎn)發(fā)平臺(tái)TOS安全系統(tǒng)平臺(tái)NGFW?系列產(chǎn)品基于廠家公司十余年高品質(zhì)安全產(chǎn)品開(kāi)發(fā)經(jīng)驗(yàn)結(jié)晶的TOS（多核技術(shù)的廣泛應(yīng)用，TOS以多核硬件架構(gòu)為基礎(chǔ)，分為系統(tǒng)內(nèi)核層、硬件抽象層及安全引擎層。在安全引擎層內(nèi)，根據(jù)安全功能模塊協(xié)議特性的不同，分為網(wǎng)絡(luò)引擎組（NETWORKEngines）與應(yīng)用引擎組（APPEngines擎組與多核硬件架構(gòu)的完美整合，使TOS在系統(tǒng)層面實(shí)現(xiàn)了全功能多核并行流處理。而在硬件抽象層則采用多種加速技術(shù)，根據(jù)各個(gè)核心的實(shí)時(shí)負(fù)載情況，將流量按會(huì)話的方式動(dòng)態(tài)均衡到CPU的各個(gè)核心，從而確保整個(gè)CPU效率執(zhí)行的最大化。TopTURBO數(shù)據(jù)層高速處理TopTURBO是自主原創(chuàng)實(shí)現(xiàn)數(shù)據(jù)層多核快速轉(zhuǎn)發(fā)的高性能業(yè)務(wù)處理技術(shù)。通過(guò)NGFW?產(chǎn)品研發(fā)團(tuán)隊(duì)在TOS系統(tǒng)平臺(tái)上所進(jìn)行的大量性能優(yōu)化工作，利用TopTURBO技術(shù)將數(shù)據(jù)層高速處理解決方案平滑遷移到多核硬件平臺(tái)上，與當(dāng)今最先進(jìn)的高性能多核架構(gòu)合而為一，從而獲得更高的網(wǎng)絡(luò)處理性能。3.2.2網(wǎng)絡(luò)流量控制防護(hù)措施串聯(lián)部署上網(wǎng)行為管理系統(tǒng)，依據(jù)業(yè)務(wù)系統(tǒng)使用情況配置網(wǎng)絡(luò)帶寬和用戶對(duì)外訪問(wèn)的帶寬，滿足業(yè)務(wù)應(yīng)用系統(tǒng)帶寬使用，同時(shí)保障網(wǎng)絡(luò)暢通。網(wǎng)絡(luò)流量控制防護(hù)部署位置：在防火墻設(shè)備與內(nèi)網(wǎng)三層交換機(jī)之間。部署模式：采用透明方式部署。即可完成身份認(rèn)證過(guò)程。同時(shí)支持掃一掃的方式認(rèn)證上網(wǎng)。產(chǎn)品功能特點(diǎn)IP/MAC/VLAN綁定上網(wǎng)行為管理設(shè)備支持二層網(wǎng)絡(luò)環(huán)境和三層網(wǎng)絡(luò)環(huán)境的IPMACIP+MAC和VLANID的綁定，可自動(dòng)阻斷哪些非法占用他人IP的用戶上網(wǎng)。認(rèn)證賬戶有效期對(duì)于一些臨時(shí)的用戶，通過(guò)有效期的限定可以控制這些用戶的上網(wǎng)時(shí)間范圍，當(dāng)用戶超出預(yù)設(shè)的時(shí)間有效期，就不能上網(wǎng)。很好的控制了外來(lái)用戶上網(wǎng)的準(zhǔn)入性和上網(wǎng)時(shí)長(zhǎng)。同時(shí)可以設(shè)定用戶離線多久就自動(dòng)刪除該用戶，從而大大的簡(jiǎn)化了動(dòng)態(tài)用戶的管理，增強(qiáng)了用戶管理的靈活性。微信認(rèn)證支持與微信結(jié)合的認(rèn)證方式，用戶關(guān)注微信公眾號(hào)后即通過(guò)身份認(rèn)證，后臺(tái)記錄用戶ID登錄重定向上網(wǎng)行為管理設(shè)備支持網(wǎng)頁(yè)重定向的功能。當(dāng)用戶認(rèn)證成WEB訪問(wèn)重定向到預(yù)設(shè)的URL鏈接。此功能適合于政府機(jī)關(guān)、企業(yè)集團(tuán)、大中小學(xué)等、或者酒店等網(wǎng)絡(luò)環(huán)境，便于用戶上網(wǎng)的時(shí)候直接導(dǎo)向最新的公告信息。帶寬資源管理通過(guò)專(zhuān)業(yè)的帶寬管理和分配算法，上網(wǎng)行為管理設(shè)備提供流量?jī)?yōu)先級(jí)、最大帶寬限制、保障帶寬、預(yù)留帶寬、以及隨機(jī)公平隊(duì)列等一系列的應(yīng)用優(yōu)化和帶寬管理控制功能。防共享上網(wǎng)上網(wǎng)行為管理，能自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中私接的有線路由器、無(wú)線路由、360wifi等共享上網(wǎng)行為，能夠及時(shí)對(duì)私接行為進(jìn)行管控，在系統(tǒng)中能夠?qū)崟r(shí)查看管控記錄和日志3.2.3網(wǎng)絡(luò)準(zhǔn)入網(wǎng)絡(luò)準(zhǔn)入部署位置：內(nèi)網(wǎng)三層交換機(jī)。部署模式：采用旁路方式部署。產(chǎn)品功能特點(diǎn)完整的接入管理流程一套完整的接入管理流程，從基本的接入身份標(biāo)識(shí)，到接入后的合規(guī)檢查和修復(fù)向?qū)б约皩?shí)名審計(jì)等，整體包裝終端準(zhǔn)入的安全性，純凈化與抗抵賴(lài)作用。全方位的可信準(zhǔn)入可信終端：只允許合法終端的接入，細(xì)粒度的健康檢查保證接入終端的合規(guī)性；AD域認(rèn)證有機(jī)結(jié)合。無(wú)線準(zhǔn)入業(yè)界領(lǐng)先支持傳統(tǒng)PC有線和無(wú)線認(rèn)證、健康檢查、動(dòng)態(tài)VLAN劃分；支持智能終端無(wú)線準(zhǔn)入，無(wú)需安裝客戶端，支持Android、IOS、WindowsPhone等主流操作系統(tǒng)。具有很好的網(wǎng)絡(luò)環(huán)境適應(yīng)性，不需要大幅調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)可適應(yīng)各類(lèi)復(fù)雜網(wǎng)絡(luò)和混合型部署網(wǎng)絡(luò)，支持多種接入方式，支持有線和無(wú)線的準(zhǔn)入。支持好的滿足及適應(yīng)了客戶網(wǎng)絡(luò)的復(fù)雜性。細(xì)粒度的合規(guī)檢查從識(shí)別系統(tǒng)特征，到操作系統(tǒng)以及殺毒軟件的特征，全面支持對(duì)客戶端主以由管理員自定義制訂檢查安全監(jiān)測(cè)任務(wù)。用戶可根據(jù)實(shí)際需求選擇符合自己的合規(guī)檢查。高性能，高穩(wěn)定性的設(shè)備基于最新硬件平臺(tái)而構(gòu)建的NAC硬件準(zhǔn)入網(wǎng)關(guān)，公司十五年的硬件產(chǎn)品技等其他硬件產(chǎn)品。該產(chǎn)品基于具有自主知識(shí)產(chǎn)權(quán)的安全操作系統(tǒng)TOS(TopsecOperatingSystem)。強(qiáng)大的可擴(kuò)展性準(zhǔn)入安全檢查技術(shù)上除了滿足客戶端安全監(jiān)控、客戶端安全加固、客戶端管理等要求之外，還提供多種數(shù)據(jù)接口和二次開(kāi)發(fā)接口。可根據(jù)實(shí)際需要快速TSM名認(rèn)證審計(jì)功能。3.2.4IPSECVPN機(jī)房與云IPSECVPNIPSEC協(xié)議的虛擬專(zhuān)用網(wǎng)據(jù)的真實(shí)性、完整性、保密性，防止重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中被竊取、篡改和破壞。IPSECVPN部署位置：機(jī)房三層交換機(jī)。部署模式：采用旁路方式部署。產(chǎn)品功能特點(diǎn)全面支持國(guó)密局IPSec協(xié)議規(guī)范IPSec作為一個(gè)通用性的安全標(biāo)準(zhǔn)，要求所有IPSec的實(shí)現(xiàn)必須嚴(yán)格遵循產(chǎn)品經(jīng)過(guò)國(guó)家密碼管理局的嚴(yán)格鑒定，符合國(guó)密局最新制定的《IPSECVPN他符合規(guī)范的的VPN產(chǎn)品實(shí)現(xiàn)互通。本產(chǎn)品遵循國(guó)密局最新制定的《IPSECVPN技術(shù)規(guī)范》標(biāo)準(zhǔn)協(xié)議。支持ESP、AH加密認(rèn)證協(xié)議支持隧道模式、傳輸模式的協(xié)議封裝格式支持密鑰交換協(xié)議支持主模式、快速模式多種協(xié)商模式支持證書(shū)認(rèn)證方式通過(guò)隧道路由技術(shù)實(shí)現(xiàn)VPN網(wǎng)絡(luò)的靈活自動(dòng)部署在實(shí)際物理網(wǎng)絡(luò)部署中，網(wǎng)絡(luò)管理員首先通過(guò)物理線路（可能是光纖、雙絞線、電話線等）連接各個(gè)路由設(shè)備，然后通過(guò)在路由器上配置靜態(tài)路由或者IPSecVPN為連接兩臺(tái)VPN設(shè)備的虛擬網(wǎng)絡(luò)線路，隧道建立成功后，虛擬線路連接工作就IPSecVPN網(wǎng)關(guān)上采用同樣的方法配置靜態(tài)、動(dòng)態(tài)路由協(xié)議，完成整個(gè)VPN網(wǎng)絡(luò)的靈活部署。這種隧道路由機(jī)制的優(yōu)點(diǎn)在于：網(wǎng)關(guān)的配置概念和方法與路由器類(lèi)似，減少網(wǎng)絡(luò)管理員對(duì)于部署VPN網(wǎng)絡(luò)的學(xué)習(xí)和熟悉過(guò)程；通過(guò)隧道路由規(guī)則的配置，可以完成VPN數(shù)據(jù)流在VPN網(wǎng)關(guān)之間的靈活轉(zhuǎn)發(fā)，從而可以實(shí)現(xiàn)星型網(wǎng)絡(luò)拓?fù)?，并解決雙向NAT穿越問(wèn)題；VPN網(wǎng)絡(luò)拓?fù)涞淖詣?dòng)學(xué)習(xí)、自動(dòng)尋徑；VPN網(wǎng)關(guān)的冗余備份和負(fù)載均衡。完善的PKI體系提高用戶網(wǎng)絡(luò)的安全等級(jí)隨著VPN技術(shù)在政府、金融等高安全性要求領(lǐng)域的應(yīng)用不斷深入，用戶對(duì)VPN網(wǎng)絡(luò)的認(rèn)證功能與其原有的PKI體系進(jìn)行無(wú)縫結(jié)合的需求也越來(lái)越強(qiáng)烈。網(wǎng)絡(luò)衛(wèi)士VPN產(chǎn)品全面支持標(biāo)準(zhǔn)PKICA模塊獨(dú)立CA根證書(shū)＋CRL列表方式對(duì)第三方CA簽發(fā)的證書(shū)進(jìn)行認(rèn)證，同時(shí)還能夠通過(guò)OCSP/LDAP等標(biāo)準(zhǔn)協(xié)議向第三方CA提交在線證書(shū)認(rèn)真請(qǐng)求。具體PKI功能包括：支持標(biāo)準(zhǔn)X509.V3格式數(shù)字證書(shū)；支持DER、PEM、PKCS12等多種證書(shū)編碼格式；支持通過(guò)內(nèi)置CA模塊為用戶簽發(fā)標(biāo)準(zhǔn)數(shù)字證書(shū)；支持同時(shí)導(dǎo)入多個(gè)CA根證書(shū)和CRL列表，對(duì)不同CA簽發(fā)證書(shū)進(jìn)行認(rèn)證；支持通過(guò)OCSP/LDAP等標(biāo)準(zhǔn)協(xié)議向第三方CA進(jìn)行在線證書(shū)認(rèn)證；支持生成PKCS10格式的證書(shū)請(qǐng)求，可生成證書(shū)請(qǐng)求，由第三方CA支持CRL列表文件的導(dǎo)入和通過(guò)HTTP自動(dòng)下載；CA廠商有著長(zhǎng)期的合作，網(wǎng)絡(luò)衛(wèi)士VPN網(wǎng)關(guān)與這些廠商的CA系統(tǒng)均能夠無(wú)縫集成。3.2.5SSLVPN采用基于PKI的數(shù)字證書(shū)技術(shù)實(shí)現(xiàn)服務(wù)器和用戶端的雙向身份認(rèn)證，并采用數(shù)字簽名技術(shù)保證數(shù)據(jù)傳輸?shù)耐暾院徒灰椎目沟仲?lài)性，可方便地實(shí)現(xiàn)移動(dòng)辦公用戶利用互聯(lián)網(wǎng)對(duì)系統(tǒng)的安全訪問(wèn)?？山Y(jié)合USBKEY提供證書(shū)和密鑰的存儲(chǔ)，增強(qiáng)用戶身份認(rèn)證的安全性。SSLVPN部署位置：機(jī)房防火墻DMZ區(qū)。部署模式：采用旁路方式部署。產(chǎn)品功能特點(diǎn)自主安全操作系統(tǒng)平臺(tái)量整形等模塊的優(yōu)異性能，其良好的擴(kuò)展性為未來(lái)迅速擴(kuò)展更多特性提供了無(wú)限可能。TOS具有高安全性、高可靠性、高實(shí)時(shí)性、高擴(kuò)展性及多體系結(jié)構(gòu)平臺(tái)適應(yīng)性的特點(diǎn)。多種VPN技術(shù)有機(jī)融合前面已經(jīng)分析了目前主流的各種VPN技術(shù)的優(yōu)缺點(diǎn)，這些技術(shù)有其不同的適用范圍。在實(shí)際的用戶網(wǎng)絡(luò)中，不同的用戶需求往往需要多種VPN技術(shù)綜合應(yīng)用，在這種情況下往往需要用戶購(gòu)買(mǎi)多臺(tái)不同的VPN設(shè)備來(lái)滿足需求，這既浪費(fèi)資源又帶來(lái)用戶管理維護(hù)的工作量，同時(shí)網(wǎng)絡(luò)環(huán)境變得更加復(fù)雜，網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性和安全性都會(huì)面臨新的挑戰(zhàn)。VONE網(wǎng)關(guān)是廠家公司在多年各種獨(dú)立的VPN出的一款融合IPSEC/SSL/PPTP/L2TP等多種VPN技術(shù)的綜合安全網(wǎng)關(guān)產(chǎn)品。在TOS平臺(tái)強(qiáng)大的整合能力保障下，各種VPN模塊進(jìn)行了有機(jī)的整合，為用戶提供一個(gè)統(tǒng)一完整的VPN接入平臺(tái)。多種SSLVPN技術(shù)結(jié)合實(shí)現(xiàn)應(yīng)用全覆蓋目前SSLVPN接入技術(shù)大致分為三類(lèi)：WEB（PORTFORWARD）和全網(wǎng)接入（NETWORKACCESS或者稱(chēng)為術(shù)的技術(shù)特點(diǎn)和適用范圍各不相同，在廠家VONE網(wǎng)關(guān)中對(duì)這三種SSLVPN接入技術(shù)都做了很好的支持，用戶可以根據(jù)自身應(yīng)用系統(tǒng)的特點(diǎn)選擇使用一種或多種接入方式。WEB轉(zhuǎn)發(fā)模式可以實(shí)現(xiàn)用戶的完全無(wú)客戶端接入，支持各種操作系統(tǒng)和客戶瀏覽器平臺(tái)。但其缺點(diǎn)是僅支持B/S模式的應(yīng)用系統(tǒng)，而且對(duì)客戶應(yīng)用系統(tǒng)VONE網(wǎng)關(guān)通過(guò)在WEB轉(zhuǎn)發(fā)模式中應(yīng)用獨(dú)創(chuàng)的智能URL重定向技術(shù)和自動(dòng)分布式頁(yè)面重構(gòu)技術(shù)大大提高了對(duì)用戶B/S系統(tǒng)的支持率和處理性能。同時(shí)通過(guò)