年5月29日吉林鋼鐵網(wǎng)絡(luò)安全方案文檔僅供參考 吉林鋼鐵網(wǎng)絡(luò)安全方案一、網(wǎng)絡(luò)安全整體設(shè)計:網(wǎng)絡(luò)的安全是保障網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運行的前提。網(wǎng)絡(luò)安全也是網(wǎng)絡(luò)內(nèi)部信息泄漏的主要原因之一。在吉林鋼鐵廠網(wǎng)絡(luò)中,包括了生產(chǎn)、辦公、財務(wù)等眾多重要部門,而且提供專網(wǎng)訪問與互聯(lián)網(wǎng)訪問?，F(xiàn)有的安全設(shè)備只有防火墻,為確保各部門信息數(shù)據(jù)的安全性和保密性,現(xiàn)有的這些安全設(shè)備還遠(yuǎn)遠(yuǎn)不夠,還需要增加相應(yīng)的安全產(chǎn)品,保證網(wǎng)絡(luò)在受到攻擊時網(wǎng)絡(luò)設(shè)備的穩(wěn)定性,從而提高整個網(wǎng)絡(luò)的穩(wěn)定可靠性。基于以上要求提出本方案。吉林鋼鐵網(wǎng)絡(luò)整體安全方案根據(jù)網(wǎng)絡(luò)中不同服務(wù)功能模塊、不同安全級別及管理需求進(jìn)行劃分。共分未4個區(qū)塊。分別是:互聯(lián)網(wǎng)外聯(lián)區(qū)塊:負(fù)責(zé)連接互聯(lián)網(wǎng)。是對外的出口。而且會放置公共服務(wù)器,比如EMAIL、WWW服務(wù)器。此區(qū)塊是安全的重點防護(hù)區(qū)。根據(jù)方案設(shè)計,未來的互聯(lián)網(wǎng)雙出口,分別接入到不同的ISP。ISP接入直接連接到防火墻上,防火墻提供SSLVPN功能和正常的安全保護(hù)。骨干網(wǎng)區(qū)塊:網(wǎng)管、安全區(qū)塊:企業(yè)專線區(qū)塊:網(wǎng)絡(luò)終端安全1.1、外聯(lián)區(qū)塊:①Firewall+IPS+SSLVPN在安全體系中,設(shè)計采用雙互聯(lián)網(wǎng)接入方式。在外聯(lián)區(qū)使用Firewall+IPS+SSLVPN、防毒墻、流量控制系統(tǒng)提供整體流量管控、防病毒和防攻擊架構(gòu)。來自外部網(wǎng)絡(luò)的數(shù)據(jù)流量,首先經(jīng)過帶有入侵防御功能的防火墻。傳統(tǒng)的防火墻只能根據(jù)配置的策略來對數(shù)據(jù)包是否能經(jīng)過進(jìn)行判斷。具體是根據(jù)在數(shù)據(jù)包中的源IP地址、目的IP地址、協(xié)議類型、源端口、目的端口這5個。假設(shè)出現(xiàn)了一種新的惡意流量,這種新流量沒有在防火墻上部署過,那么防火墻對其沒有識別和檢測的能力。因此,防火墻屬于被動的安全方式。當(dāng)事件產(chǎn)生后,經(jīng)過對防火墻進(jìn)行設(shè)置來解決問題。注意,問題發(fā)生后才能發(fā)現(xiàn)問題解決問題,已經(jīng)造成了實際的損失了。IPS(入侵保護(hù)系統(tǒng))是一種主動安全產(chǎn)品。在IPS中存放了很多攻擊簽名庫,簽名就是某種類型攻擊的特征碼。當(dāng)有新的攻擊信息是,及時更新簽名庫。這樣就能夠識別最新的攻擊信息而且對惡意流量做出動作。IPS的簽名庫是根據(jù)某種攻擊行為的特征碼和攻擊行為做出響應(yīng)。如果某種攻擊行為使用動態(tài)端口,那么在防火墻上使用傳統(tǒng)的封鎖端口方法沒有效果。IPS就能夠根據(jù)數(shù)據(jù)包行為的相關(guān)性識別出攻擊行為,而且做出反映。VPN叫做虛擬專用網(wǎng)絡(luò)。經(jīng)過在源端和VPN接入網(wǎng)關(guān)之間建立虛擬的點對點的隧道,而且對隧道中的數(shù)據(jù)流進(jìn)行高強(qiáng)度加密實現(xiàn)了安全的遠(yuǎn)程接入。使用3DES\AES等加密方式對數(shù)據(jù)進(jìn)行高響度加密,就算數(shù)據(jù)流在傳輸途中被截獲也無法讀取具體的數(shù)據(jù)內(nèi)容。同時使用MD5\SHA-1等單向散列算法,在數(shù)據(jù)傳輸過程中,密鑰對并不進(jìn)行傳輸,在接收端,根據(jù)密鑰算法對數(shù)據(jù)進(jìn)散列運算對比其運算結(jié)果,來判斷數(shù)據(jù)是否被修改過。如果數(shù)據(jù)被修改過,拒收數(shù)據(jù)。這樣就算數(shù)據(jù)被修改過,也能識別出來。散列算法的特點是在發(fā)起端和接入網(wǎng)關(guān)端對數(shù)據(jù)都是進(jìn)行正向算法,因此不可破解。是最安全的算法。SSLVPN是現(xiàn)在最流行的VPN接入方式,其特點是不需要安裝任何客戶端。只要能夠使用瀏覽器,不論在什么位置都能夠經(jīng)過VPN訪問公司內(nèi)網(wǎng)。②DMZ策略:同時在防火墻DMZ區(qū)域放置公共服務(wù)器。對DMZ中的流量進(jìn)行嚴(yán)格的權(quán)限設(shè)定。安全級別的設(shè)定規(guī)定內(nèi)部接口安全級別最高,DMZ接口的安全級別中等,外部接口的安全級別最低。根據(jù)信任關(guān)系,級別低的接口信任級別高的接口,級別高的接口不信任級別低的接口。這樣,內(nèi)部到外部的數(shù)據(jù)都是允許的,外部到DMZ和內(nèi)部的數(shù)據(jù)不被信任。其結(jié)果是:1、由內(nèi)部或DMZ發(fā)起到外部的數(shù)據(jù)總是允許。2、外部發(fā)起的到內(nèi)部的數(shù)據(jù)總是被阻止。3、外部發(fā)起到DMZ的某些數(shù)據(jù)被允許,因為在DMZ中放置的是對外的公共服務(wù)器。4、由內(nèi)部或DMZ發(fā)起的到外部的數(shù)據(jù)流,其返回包被允許從外部接口進(jìn)入,外部不能發(fā)起到內(nèi)部或DMZ的請求。4、由內(nèi)部發(fā)起到DMZ的數(shù)據(jù)流其返回包能夠進(jìn)入內(nèi)部,由DMZ發(fā)起到內(nèi)部的信息被攔截。這樣設(shè)計是因為外部能夠訪問DMZ。如果DMZ中的服務(wù)器被外來的黑客攻占,也只能破壞公共服務(wù)器本身系統(tǒng),不能經(jīng)過DMZ中的主機(jī)跳轉(zhuǎn)到內(nèi)部。絕對保證內(nèi)網(wǎng)的安全。③防毒墻:眾所周之,沒有任何殺毒軟件能完全阻止病毒的進(jìn)入,而且現(xiàn)在有很多免殺工具能夠欺騙殺毒軟件或者殺掉殺毒軟件的進(jìn)程。如果遇到這樣的病毒或者木馬,計算機(jī)上的殺毒軟件就沒有用武之地了。硬件防毒網(wǎng)關(guān)的好處是直接在出口上對數(shù)據(jù)進(jìn)行過濾,有安全威脅的數(shù)據(jù)在網(wǎng)絡(luò)層面被直接丟棄,不會轉(zhuǎn)發(fā)到內(nèi)部。只有防毒網(wǎng)關(guān)不能識別的極少數(shù)病毒才能進(jìn)入內(nèi)部。這些病毒又會遇到殺毒軟件的再次查殺。這樣整個網(wǎng)絡(luò)的防毒體系就更加強(qiáng)壯。從多個方面保證免受病毒的入侵。需要強(qiáng)調(diào)的是,計算機(jī)的殺毒軟件和防毒網(wǎng)關(guān)應(yīng)該選用不同的產(chǎn)品。因為不同的產(chǎn)品有不同的病毒特征庫,而不同的特征庫能夠互補,強(qiáng)化了病毒防護(hù)的等級。④流控網(wǎng)關(guān):現(xiàn)在互聯(lián)網(wǎng)中P2P的流量占據(jù)了絕大部分的流量。P2P的特征是多個客戶之間彼此進(jìn)行資源共享,直接從對等的客戶之間獲取數(shù)據(jù),而且現(xiàn)在眾多的P2P軟件都使用動態(tài)端口。因此不能用傳統(tǒng)的攔截端口、IP地址的方法來封鎖。要對P2P流量進(jìn)行限制,就只能經(jīng)過應(yīng)用特征識別的方式來實現(xiàn)?，F(xiàn)在國內(nèi)外很多廠商都推出了專用的流量控制網(wǎng)關(guān)。根據(jù)P2P協(xié)議的特征碼來識別并進(jìn)行阻斷或限速。而且此類產(chǎn)品還能夠識別游戲、在線視頻、股票等各種非工作流量,保證在工作時間只能經(jīng)過與工作相關(guān)的流量。并根據(jù)業(yè)務(wù)的重要程度對數(shù)據(jù)流進(jìn)行分類,保證關(guān)鍵業(yè)務(wù)和視頻會議這樣的對延遲敏感的數(shù)據(jù)得到足夠的服務(wù)。⑤專用的網(wǎng)絡(luò)基礎(chǔ)設(shè)施:因為外聯(lián)區(qū)塊是企業(yè)網(wǎng)和外部網(wǎng)絡(luò)的接口,因此這個區(qū)域的安全策略一定要非常嚴(yán)格。因此此區(qū)塊的設(shè)備不能直接接入到內(nèi)部的骨干交換機(jī)。采用2臺專用的外聯(lián)交換機(jī)連接所有的外聯(lián)設(shè)備。這2臺交換機(jī)要支持比較多的安全策略。而且在相連接的骨干交換機(jī)的端口進(jìn)行嚴(yán)格的安全策略限制。⑥外聯(lián)區(qū)綜述:結(jié)合上述的部署,在外聯(lián)區(qū)采用了FW+IPS+SSLVPN+防毒墻+流控墻+專用的路由器防火墻的連接方式。不同的安全設(shè)備專注不同的安全領(lǐng)域。同時又遵從統(tǒng)一的安全策略設(shè)計。經(jīng)過這樣的設(shè)計,來自與外部的數(shù)據(jù)的安全性得到了保證。防止病毒也攻擊流量”并從口入”。1.2、網(wǎng)絡(luò)核心:在H3C9500主交換上,使用旁路模式連接IPS系統(tǒng),采集全網(wǎng)流量信息,分析整個網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊信息。吉林鋼鐵設(shè)計使用10G骨干,若IPS采用inline模式,就得選用支持10G的IPS產(chǎn)品,價格非常昂貴。根基整體方案設(shè)計,在專線、互聯(lián)網(wǎng)處都使用了防火墻、防毒墻、流控墻等產(chǎn)品,在終端部署EAD對終端進(jìn)行準(zhǔn)入控制,并限制終端電腦上運行的軟件,因此網(wǎng)內(nèi)的流量相對比較安全。因此采用bypass方式的IPS,只對網(wǎng)絡(luò)中的流量進(jìn)行分析檢測,如果發(fā)現(xiàn)入侵信息,采取的措施是與其它安全設(shè)備聯(lián)動,或者發(fā)送信息給網(wǎng)絡(luò)管理人員,及時做出策略。而且使用H3CA1000安全管理器,對IPS提交的信息進(jìn)行智能分類、分析,形成攻擊報告,并提供安全隱患處理手段報告。IPS采集的信息量非常龐大,而且不能對各種信息進(jìn)行分類。這就產(chǎn)生了一個問題:網(wǎng)絡(luò)管理人員面對IPS發(fā)來的數(shù)萬條的log信息很難一一查看,而且要在其中找出事件的相關(guān)信息也如同大海撈針。SecPathA1000安全分析產(chǎn)品能夠?qū)PS發(fā)來的信息進(jìn)行分析、歸類、而且進(jìn)行過濾。首先從數(shù)以萬計的信息中排除誤報等情況,篩選出來有價值的信息。接著基事件的攻擊特點和影響程度分成不同的安全級別不同的攻擊類型。然后記錄該事件,而且找出事件的相關(guān)性。例如A登陸到B上攻擊了C,這樣的攻擊路徑也會被記載,提交到網(wǎng)絡(luò)管理中心,而且還會提出排除問題的方法。1.3、服務(wù)器、網(wǎng)管區(qū)塊服務(wù)器區(qū)塊和網(wǎng)管中心區(qū)塊使用10GE連接到主交換上。這兩個區(qū)塊是整個網(wǎng)絡(luò)安全重要保護(hù)點,要絕對保證這部分網(wǎng)絡(luò)服務(wù)的持續(xù)性和安全性?？墒?0G的防火墻價格及其昂貴,因此建議在H3CS9500主交換上使用防火墻模塊來對內(nèi)網(wǎng)流量進(jìn)行全面的安全管理。重點在于保護(hù)服務(wù)器區(qū)塊免受攻擊,保護(hù)網(wǎng)絡(luò)安全管理中心免受攻擊。(此模塊在H3C整體網(wǎng)絡(luò)方案中沒有提供,建議合同變更時添加此模塊)。1.4企業(yè)專線從吉林到明城、北京的專線,使用H3CUTM(統(tǒng)一威脅管理,包含殺毒、防火墻、入侵檢測功能)來防止惡意流量經(jīng)過企業(yè)內(nèi)部專線在北京、吉林、明城之間傳播。保證內(nèi)網(wǎng)流量純凈。北京或明城都有安全體系,而且都屬于內(nèi)部網(wǎng)絡(luò),相對來講屬于信任區(qū)域?？墒且惨乐辜只虮本┎《颈l(fā)或者客戶機(jī)中毒發(fā)動攻擊等情況對吉林鋼鐵內(nèi)網(wǎng)的威脅。UTM相當(dāng)于把防火墻、IPS、防毒網(wǎng)關(guān)集成到一個設(shè)備上。與單獨的防火墻、IPS、防毒墻相比,UTM只是性能較若。可是內(nèi)網(wǎng)的流量不是很大,而且流量類型相對外網(wǎng)比不復(fù)雜。因此整體方案中選擇了H3C的UTM產(chǎn)品。1.5終端安全⑴端點準(zhǔn)入:內(nèi)網(wǎng)安全問題近來日益成為網(wǎng)絡(luò)安全的重點防護(hù)對象。有了防火墻、防毒墻、IPS等產(chǎn)品在出口把守,一般來自于外部的攻擊流量不容易流入。而內(nèi)網(wǎng)中中毒的計算機(jī)可能帶來更多的威脅。因此終端準(zhǔn)入系統(tǒng)發(fā)揮著越來越重要的作用。終端準(zhǔn)入系統(tǒng)能夠根基終端計算機(jī)的健康狀態(tài),來決定是否準(zhǔn)許用戶接入到網(wǎng)絡(luò)中。能夠檢查的信息包括:用戶是否安裝了指定的殺毒軟件、殺毒軟件的版本是否更新到最新、操作系統(tǒng)是否已經(jīng)打了最新的補丁、計算機(jī)是否安裝了不被允許的軟件。如果發(fā)現(xiàn)用戶有違反健康狀態(tài)的情況,那么交換機(jī)等網(wǎng)絡(luò)設(shè)備會自動把用戶放置到隔離區(qū),而且?guī)椭K端計算機(jī)更新各種補丁升級包。當(dāng)終端計算機(jī)恢復(fù)健康狀態(tài),就能夠重新接入到網(wǎng)絡(luò)。這樣,避免了一臺終端出現(xiàn)問題之后波及到其它的地方。隔離區(qū)就相當(dāng)于重病看護(hù)病房。出現(xiàn)健康問題的計算機(jī)只能在這里互相傳染。而且這種隔離的行為都是自動的。當(dāng)前我們選擇的是H3CEAD終端準(zhǔn)入系統(tǒng)。此系統(tǒng)具有軟件黑白名單管理功能。經(jīng)過這一功能,如果發(fā)現(xiàn)用戶終端計算機(jī)上安裝了禁止使用的軟件,比如迅雷、BT、股票軟件,用戶的計算機(jī)會自動斷網(wǎng)。如果用戶的殺毒軟件被惡意程序破壞,或者沒有更新重要補丁,也會被自動斷網(wǎng)。⑵防毒軟件:終端防毒體系對于企業(yè)的計算機(jī)網(wǎng)絡(luò)穩(wěn)定運行意義重大。在大型企業(yè)部署中,應(yīng)該使用網(wǎng)絡(luò)版殺毒。設(shè)計思想要以防毒為主。防毒軟件和防毒網(wǎng)關(guān)要使用不同病毒庫的產(chǎn)品,這樣能夠有雙重的保障。同時要能夠和端點準(zhǔn)入系統(tǒng)良好的聯(lián)動,保證終端計算機(jī)處于健康的狀態(tài)。⑶軟件分發(fā)、補丁管理:SCCM,微軟系統(tǒng)管理中心。能夠支持定義策略的補丁管理。而且具有軟件分發(fā)能力。所有安裝SCCM客戶端的終端機(jī)都,如果需要批量安裝、卸載某軟件,都能夠經(jīng)過SCCM來實施。這樣能夠保證整個公司終端機(jī)使用的軟件統(tǒng)一。而且具有資產(chǎn)管理功能,能夠收集終端計算機(jī)的軟件、硬件列表,實現(xiàn)計算機(jī)資產(chǎn)管理功能,并能跟蹤終端計算機(jī)的軟硬件變更。同時能夠形成終端計算機(jī)軟件使用率分析報告,據(jù)此我們能夠分析用戶最常見的軟件是什么。二、網(wǎng)絡(luò)安全現(xiàn)狀介:2.1、當(dāng)前運行情況吉林鋼鐵當(dāng)前已經(jīng)初具規(guī)模,然而安全建設(shè)一直沒有做過投入。隨著用戶數(shù)量的增多,對網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理提出了更高的要求。當(dāng)前網(wǎng)絡(luò)設(shè)備極度匱乏已經(jīng)造成了很多問題,包括病毒爆發(fā),木馬橫行。因此急需網(wǎng)絡(luò)安全設(shè)備,來保證吉林鋼鐵網(wǎng)絡(luò)的良好運行。2.2、設(shè)備現(xiàn)狀和需求網(wǎng)絡(luò)整體設(shè)計方案中已經(jīng)包含了H3C的IDS(入侵檢測系統(tǒng))、UTM(統(tǒng)一威脅管理)、H3CIMC(認(rèn)證管理系統(tǒng)純軟件)、FWSSLVPN、H3CEAD(端點接入檢測)部分。根據(jù)整體安全架構(gòu),依然缺少終端防毒系統(tǒng)、硬件防毒網(wǎng)關(guān)、流量控制系統(tǒng)、補丁管理系統(tǒng)、用戶認(rèn)證網(wǎng)關(guān)。這些部分當(dāng)前需求迫切。其中H3CSSLVPN防火墻雖然在網(wǎng)絡(luò)整體設(shè)計方案中,可是此產(chǎn)品當(dāng)前已經(jīng)投入使用,需要購買。序號種類功能H3C方案是否包含是否建議采購1外網(wǎng)防火墻全網(wǎng)保護(hù)YY2SSLVPN提供SSLVPN接入YY3認(rèn)證軟件用戶數(shù)據(jù)庫YN4UTM企業(yè)專線防護(hù)YN5端點管控EAD終端接入網(wǎng)絡(luò)控制YN6IDS/IPS主動入侵檢測、保護(hù)YN7監(jiān)控分析響應(yīng)智能攻擊分析系統(tǒng)YN8S9500防火墻模塊主交換上的防火墻模塊YN9防毒墻硬件防毒網(wǎng)關(guān)NY10殺毒軟件網(wǎng)絡(luò)版防毒軟件NY11補丁管理所有用戶補丁升級管理NY12流量控制限制互聯(lián)網(wǎng)流量NY13服務(wù)器硬件防毒、認(rèn)證、端點準(zhǔn)入硬件平臺NY14認(rèn)證網(wǎng)關(guān)互聯(lián)網(wǎng)認(rèn)證網(wǎng)關(guān)NY另外,H3C已經(jīng)提供了EAD軟件包,可是由于沒有H3C交換機(jī),因此沒有成規(guī)模的測試EAD的使用效果以及其性能。因此,建議采購少數(shù)幾臺H3C交換機(jī),在真正上線之前,在實際環(huán)境中測試EAD的使用效果。因為如果有問題,正式上線后才發(fā)現(xiàn)影響就太嚴(yán)重了。以上建議采購的產(chǎn)品列表是根據(jù)吉林鋼鐵當(dāng)前環(huán)境,并結(jié)合最終系統(tǒng)上線的情況分析,給出的建議。請領(lǐng)導(dǎo)批示。三、曾作過的測試及結(jié)果3.1、流量控制系統(tǒng)⑴城市熱點:5月10月測試。經(jīng)過測試,發(fā)現(xiàn)能夠識別大部分常見的網(wǎng)絡(luò)流量。操作界面簡潔。當(dāng)時公司共有300多臺PC,都能夠訪問互聯(lián)網(wǎng)。使用后效果很明顯。產(chǎn)品型號:DR.COMP2P-1000產(chǎn)品規(guī)格:2個千兆以太網(wǎng)電口,最大吞吐量1G,產(chǎn)品特點:基于用戶的P2P限流;區(qū)別于單純的限制一個通道中各種流量,能夠針對每個用戶的P2P業(yè)務(wù)流量進(jìn)行帶寬控制升級容易;P2P應(yīng)用層出不窮,而對P2P的包的識別是基于應(yīng)用層的,沒有固定的規(guī)律,城市熱點的接入服務(wù)器能夠隨時經(jīng)過升級內(nèi)核來處理影響流量的P2P應(yīng)用,將來能夠采用類似升級病毒庫的方式來升級P2P的描述庫。易于擴(kuò)展;接入服務(wù)器的網(wǎng)絡(luò)位置比較合理:每臺處理的用戶數(shù)一般在1000-8000個水平,100M－1G的網(wǎng)絡(luò)帶寬,擴(kuò)容只需要增加接入服務(wù)器,實現(xiàn)橫向升級,如果放在接入層交換機(jī),升級的數(shù)量較大,放在核心層交換機(jī),升級的成本過高,放在出口路由,單臺處理能力無法滿足。因此,將P2P限流功能放在接入服務(wù)器是性價比最高的方式。這當(dāng)然也是要接入服務(wù)器的性能作為保障。防BT協(xié)議端口:Dr.COM的BT協(xié)議控制,包含針對BT通用端口的限制,用戶如果無須完全杜絕BT下載,而只需要屏蔽大部分BT通用端口限制BT下載的TCP/UDP會話數(shù):Dr.COM的BT協(xié)議控制,能夠經(jīng)過限制每個用戶的TCP/UDP會話數(shù),用戶如果無須完全杜絕BT下載,那限制TCP/UDP會話數(shù),從而在一定程度上限制每個用戶的BT軟件的連接數(shù)。限制P2P流量控制(BT)下載的上下行帶寬:Dr.COM的P2P流量控制,能夠根據(jù)不同的組用戶和不同的時間段,分別限制每個用戶的上下行帶寬,用戶如果無須完全杜絕BT下載,那限制上下行帶寬,從而限制每個用戶的P2P流量控制下載的速率。⑵北京網(wǎng)康:10月11月測試。識別率和管控率對比城市熱點效果差一些。操作界面簡潔,支持常見非法URL過濾。對網(wǎng)頁訪問速度不能提供很好的保證。網(wǎng)絡(luò)接近峰值運行。產(chǎn)品型號:NS15000產(chǎn)品規(guī)格:4個千兆以太網(wǎng)電接口,最大吞吐量1G產(chǎn)品特點:采用融合的深度包檢測和動態(tài)流識別(DPI+DFI)技術(shù),經(jīng)過協(xié)議特征、流量特征以及行為模式識別技術(shù),精確識別網(wǎng)絡(luò)應(yīng)用,包括各種加密協(xié)議協(xié)議特征庫,超過240種應(yīng)用,全面覆蓋電子郵件、P2P下載、即時消息、VoIP、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)游戲等流行應(yīng)用。流量監(jiān)管與整形技術(shù),實現(xiàn)流量控制精度1kbps采用”多維非線性策略管理”引擎,提高策略匹配的效率與靈活性,支持2萬條策略規(guī)則?；谟脩?、應(yīng)用、時間、數(shù)據(jù)流向(上傳/下載)等條件,設(shè)置靈活的策略組合,實現(xiàn)按照每用戶/每部門、每應(yīng)用設(shè)置差異化的流量控制策略提供應(yīng)用封堵、流量整形、流量限額、連接限制等多種手段,實現(xiàn)流量控制的多種效果支持帶寬借用/還貸機(jī)制,并根據(jù)用戶數(shù)量的變化動態(tài)調(diào)整帶寬分配,保障帶寬資源高效與公平利用硬件設(shè)備支持?jǐn)嚯娢锢碇蓖?避免電源失效導(dǎo)致的網(wǎng)絡(luò)中斷一鍵式旁路切換技術(shù),主動調(diào)整網(wǎng)絡(luò)負(fù)載軟件死鎖與高負(fù)載自動跳轉(zhuǎn)技術(shù),根據(jù)預(yù)設(shè)閾值自動分流高負(fù)載流量系統(tǒng)軟件熱備,當(dāng)主控制系統(tǒng)發(fā)生異常后,備份系統(tǒng)可保持系統(tǒng)繼續(xù)運轉(zhuǎn)⑶H3CACG:12月初至今在測試使用。識別率和管控率很好。產(chǎn)品設(shè)計專業(yè)。配合PFC(無電源連接器)能夠?qū)崿F(xiàn)硬件級故障bypass。功能豐富,操作界面清晰明確。產(chǎn)品型號:ACG-M產(chǎn)品規(guī)格:6個千兆以太網(wǎng)電接口,最大吞吐量2G產(chǎn)品特點:經(jīng)過的狀態(tài)機(jī)檢測技術(shù),能精確檢測BitTorrent、Thunder(迅雷)、eMule、eDonkey、QQ、MSN、PPLive等近百種P2P/IM應(yīng)用。同時,可基于時間、用戶、區(qū)域、應(yīng)用協(xié)議,對P2P/IM應(yīng)用進(jìn)行告警、限速、干擾或阻斷。可對各種P2P/IM、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)多媒體、文件共享、郵件收發(fā)、數(shù)據(jù)傳輸?shù)雀鞣N上網(wǎng)行為提供全方面的行為監(jiān)控和記錄;同時,經(jīng)過綜合分析、檢測用戶網(wǎng)絡(luò)流量與流向趨勢,事后對歷史數(shù)據(jù)進(jìn)行分析。經(jīng)過自定義IP地址、主機(jī)名、正則表示式等方式設(shè)置URL特征庫,支持根據(jù)不同的URL策略設(shè)置不同的響應(yīng)方式,支持根據(jù)時間表對不同的URL策略設(shè)置不同的響應(yīng)動作,避免保密信息的外泄,免受非法信息的干擾。提供業(yè)務(wù)流量趨勢圖、流量分布圖、TopN用戶列表、TopN應(yīng)用協(xié)議列表等報表,并支持按照用戶名/用戶組、使用頻度、使用時段、應(yīng)用分類、應(yīng)用協(xié)議、流量大小等進(jìn)行多維度組合定制報表,使用戶能全面掌握網(wǎng)絡(luò)中的流量、應(yīng)用和業(yè)務(wù)分布。支持對Skype、H.323、SIP、中橋、UUCall等近百種協(xié)議或網(wǎng)關(guān)的呼叫識別、阻斷或干擾。采用業(yè)界流行的ID軌跡檢測技術(shù)、時鐘偏移檢測技術(shù),結(jié)合多種應(yīng)用層特征檢測技術(shù)如應(yīng)用特征檢測、流量/連接數(shù)統(tǒng)計、TTL檢測、MAC地址檢測等,能實時準(zhǔn)確的識別出以NAT、Proxy方式進(jìn)行共享接入的用戶以及準(zhǔn)確的PC數(shù)量,并實施告警、阻斷等控制措施。采用先進(jìn)的技術(shù)分析手段,全面分析網(wǎng)絡(luò)應(yīng)用的流量類型和流量流向趨勢,統(tǒng)計網(wǎng)絡(luò)熱點,發(fā)掘業(yè)務(wù)增長點;分析用戶行為。同時,能對網(wǎng)絡(luò)多媒體、網(wǎng)絡(luò)游戲、炒股等應(yīng)用進(jìn)行識別與控制,經(jīng)過URL過濾、關(guān)鍵字過濾、內(nèi)容過濾等多種Internet訪問控制策略,規(guī)范內(nèi)網(wǎng)用戶上網(wǎng)行為?；谛乱淮嗪薈PU+FPGA硬件架構(gòu),業(yè)務(wù)與轉(zhuǎn)發(fā)相分離,實現(xiàn)了千兆級線速業(yè)務(wù)處理能力;經(jīng)過雙電源冗余、掉電保護(hù)、二層回退等高可靠性設(shè)計,保證SecPathACG在斷電、軟硬件故障或鏈路故障的情況下,網(wǎng)絡(luò)鏈路依然暢通。對應(yīng)用協(xié)議特征庫及時更新;支持在線自動/手動升級方式,升級過程無需重啟系統(tǒng),不影響系統(tǒng)業(yè)務(wù)運行。⑷從測試效果來看,H3CACG的效果較好。3.2、防毒墻⑴趨勢IWSA:使用趨勢病毒庫。識別率和攔截率不錯,能夠支持惡意URL攔截,對網(wǎng)絡(luò)性能沒有影響。已完成測試報告。產(chǎn)品型號:IWSA-2500-L產(chǎn)品規(guī)格:2個千兆以太網(wǎng)電口,使用趨勢科技病毒庫產(chǎn)品特點:提供零日攻擊防護(hù)無需本地更新連接層阻止,節(jié)省帶寬

針對HTTP和FTP流量中的各種新型威脅進(jìn)行防護(hù)攔截間諜軟件的回?fù)?Phone-home)企圖,阻止間諜軟件下載阻止惡意程序經(jīng)過即時通信程序進(jìn)行擴(kuò)散阻止訪問與間諜軟件或網(wǎng)絡(luò)釣魚有關(guān)的網(wǎng)站發(fā)現(xiàn)網(wǎng)絡(luò)節(jié)點有Web威脅相關(guān)的活動時自動啟動遠(yuǎn)程損害清除服務(wù)憑借靈活的策略和完整的間諜軟件數(shù)據(jù)庫實施URL過濾采用Web信譽技術(shù)(WRT)對網(wǎng)頁進(jìn)行實時分類,實現(xiàn)安全訪問經(jīng)過分析和驗證ActiveX&JavaApplet中含有的威脅來阻止插件安裝式攻擊控制員工對不適當(dāng)網(wǎng)站的訪問。即插即防優(yōu)化的操作系統(tǒng)降低安全風(fēng)險控管中心TMCM集中管理狀態(tài)一覽提供詳細(xì)連接、資源占用狀況可實時或定時生成日志報表支持SNMP、LDAP和ActiveDirectory,實現(xiàn)緊密集成,降低擁有成本⑵CPsecure:采用卡巴斯基和CPSECURE雙掃描引擎和病毒庫。先后測試了2款產(chǎn)品,第一款由于性能不足,導(dǎo)致網(wǎng)絡(luò)運行緩慢。后聯(lián)系廠家協(xié)調(diào),更換了性能更好的產(chǎn)品,使用中沒有再出現(xiàn)問題,病毒識別率攔截率好。已完成測試報告。CPsecure公司已經(jīng)被收購。產(chǎn)品后續(xù)升級存在問題。產(chǎn)品型號:CPSecureCSG-1000+產(chǎn)品規(guī)格:2個千兆以太網(wǎng)電口,采用卡巴斯基和CPSECURE雙掃描引擎和病毒庫產(chǎn)品特點:CPSecure的內(nèi)容安全網(wǎng)關(guān)采用了與傳統(tǒng)的隨機(jī)存取算法(Batch-basedScanning)不同的掃描技術(shù):串流掃描算法(Stream-basedScanning),該算法能夠在獲得很高的吞吐率的同時大大減少網(wǎng)絡(luò)延遲和超時的問題CSG安全網(wǎng)關(guān)攔截和掃描http,FTP,SMTP,POP3,IMAP4和httpS等六大通訊協(xié)議以檢測惡意軟件。管理員能夠開啟或關(guān)閉對每種協(xié)議的掃描對于http和FTP信息的掃描,可阻止惡意內(nèi)容不到達(dá)用戶處CSG安全網(wǎng)關(guān)也能夠檢測出對網(wǎng)絡(luò)性能影響嚴(yán)重的蠕蟲攻擊行為。CSG經(jīng)過監(jiān)聽蠕蟲傳播常見的端口以外,還可經(jīng)過用戶自定義端口進(jìn)行監(jiān)聽,這樣CSG就能夠攔截蠕蟲傳播的途徑,這樣不但能夠保護(hù)網(wǎng)絡(luò)中個人PC/服務(wù)器的安全,也能夠減少網(wǎng)絡(luò)中不必要的流量CSG的Anti-Spam功能由五部分組成:白名單,黑名單,RBL,灰名單,啟發(fā)式掃描⑶天融信:使用卡巴斯基病毒庫,病毒識別率攔截率好。使用后對網(wǎng)絡(luò)性能沒有不良影響。已完成測試報告。產(chǎn)品型號:TF-8423-Virus產(chǎn)品規(guī)格:最大配置5個接口,包括2個千兆電接口,2個SFP插槽,1個百兆電接口,帶硬件的BYPASS功能,采用卡巴斯基病毒庫產(chǎn)品特點:單或雙通道的病毒過濾:在過濾網(wǎng)關(guān)內(nèi)部采用創(chuàng)新的技術(shù)可使用戶選擇單或雙通道的病毒掃描通道。當(dāng)配置成雙通道,兩條通道之間相互隔離,增加了產(chǎn)品的可擴(kuò)展性;流掃瞄技術(shù):運用流掃瞄技術(shù)的實時掃瞄優(yōu)勢,充分發(fā)揮網(wǎng)絡(luò)效能,可抵御病毒(Virus)、蠕蟲(Worm)、垃圾郵件(Spam)、廣告軟件(Adware)、間諜軟件(Spyware)、木馬程序及其它惡意程序的入侵;全面的協(xié)議保護(hù):過濾網(wǎng)關(guān)對SMTP、POP3、IMAP、HTTP和FTP等應(yīng)用協(xié)議進(jìn)行病毒掃描和過濾,有效地防止可能的病毒威脅;內(nèi)嵌的內(nèi)容過濾功能:過濾網(wǎng)關(guān)支持對數(shù)據(jù)內(nèi)容進(jìn)行檢查,能夠采用關(guān)鍵字過濾,URL過濾等方式來阻止非法數(shù)據(jù)進(jìn)入企業(yè)網(wǎng)絡(luò),同時支持對Java等小程序進(jìn)行過濾等,防止可能的惡意代碼進(jìn)入企業(yè)網(wǎng)絡(luò);防垃圾郵件功能:過濾網(wǎng)關(guān)采用黑名單技術(shù)實時檢測垃圾郵件并阻止其進(jìn)入網(wǎng)絡(luò),節(jié)省寶貴的帶寬,同時支持灰名單和啟發(fā)式掃描的反垃圾郵件的算法來進(jìn)行垃圾郵件防御;防蠕蟲攻擊:過濾網(wǎng)關(guān)能夠?qū)崟r檢測到日益泛濫的蠕蟲攻擊,并對其進(jìn)行實時阻斷,防止企業(yè)網(wǎng)絡(luò)因遭受蠕蟲攻擊而陷于癱瘓;報警功能:報警配置用于當(dāng)某個病毒突然爆發(fā)時,網(wǎng)絡(luò)衛(wèi)士防病毒網(wǎng)關(guān)可向網(wǎng)絡(luò)管理員發(fā)送報警信息;網(wǎng)關(guān)構(gòu)建在高性能的硬件平臺上,實現(xiàn)過濾網(wǎng)關(guān)的高可靠性,過濾網(wǎng)關(guān)能夠?qū)崿F(xiàn)雙機(jī)熱備,完全滿足關(guān)鍵業(yè)務(wù)的安全運行需求;監(jiān)控功能:防病毒網(wǎng)關(guān)提供的監(jiān)控功能,能夠監(jiān)控過濾網(wǎng)關(guān)系統(tǒng)資源、網(wǎng)絡(luò)流量、當(dāng)前會話數(shù)、當(dāng)前病毒掃描信息等,極大地方便管理員對過濾網(wǎng)關(guān)進(jìn)行監(jiān)控;⑷從測試效果來看,CPsecure和天融信的效果較好。3.3、互聯(lián)網(wǎng)認(rèn)證網(wǎng)關(guān)⑴城市熱點認(rèn)證網(wǎng)關(guān):剛實施上網(wǎng)管控時使用此產(chǎn)品。能夠支持客戶端認(rèn)證和IE觸發(fā)認(rèn)證。能夠使用外部AAA服務(wù)器。效果較好。和CISCO認(rèn)證數(shù)據(jù)庫的兼容效果一般,廠家工程師解釋如果購買能夠提供二次開發(fā)服務(wù)。能支持單用戶帶寬限制產(chǎn)品型號:DR.COMBMG-1000產(chǎn)品規(guī)格:1000并發(fā),3個100/1000兆電口產(chǎn)品特點:支持橋接方式和路由方式,地址轉(zhuǎn)換(NAT)策略,可設(shè)置透明,部分透明,和NAT模式;支持內(nèi)外網(wǎng)端口映射策略地址映射策略;DHCP策略,可設(shè)置多段DHCP網(wǎng)段、租用時間、支持32個DHCP地址池,以及能夠?qū)崟r查詢DHCP分配的地址狀態(tài),支持根據(jù)VLAN分配DHCP池;目標(biāo)地址的分類策略,將目標(biāo)地址能夠定義多個組,例如國內(nèi)地址組,國際地址組;;源地址控制策略,指定范圍的IP地址才能登錄;TCP/UDP端口控制策略;客戶端封裝策略,對訪問指定的目標(biāo)地址不做網(wǎng)絡(luò)標(biāo)記;網(wǎng)關(guān)內(nèi)部的用戶資料的查詢;支持按地區(qū)組,計費組的管理權(quán)限設(shè)置,管理分級授權(quán),分為運維、營帳、超級管理員等級別,并可單獨設(shè)置不同的操作權(quán)限;支持telnet功能,可二次telnet內(nèi)網(wǎng)設(shè)備支持遠(yuǎn)程管理,可使用專用軟件進(jìn)行遠(yuǎn)程管理支持認(rèn)證方式包括:Dr.COM客戶端,Web,PPPoE,PPTP,802.1x等認(rèn)證方式;兩種認(rèn)證模式:賬號密碼認(rèn)證和免賬號認(rèn)證(專線方式和直通方式);可實現(xiàn)基于用戶名和密碼的身份認(rèn)證,能夠透過三層網(wǎng)絡(luò)綁定用戶的IP、MAC、VLAN等重要網(wǎng)元信息;支持最高16000個用戶的內(nèi)部資料,單臺支持最高16000個同時在線用作為RadiusClint,外部認(rèn)證支持標(biāo)準(zhǔn)Radius和多個廠家的擴(kuò)展屬性,并支持基于LDAP的外部認(rèn)證;并支持一主一備的外部Radius服務(wù)器,并能夠?qū)崿F(xiàn)RadiusCache的功能;在做RadiusClint的同時,能夠作為RadiusServer,為其它接入設(shè)備提供認(rèn)證;多臺網(wǎng)關(guān)的之間的關(guān)聯(lián)認(rèn)證和同步,對于多個出口的情況,一次認(rèn)證就能夠經(jīng)過各個網(wǎng)關(guān);支持網(wǎng)關(guān)與802.1x交換機(jī)的同步認(rèn)證,一次認(rèn)證能夠同時登錄內(nèi)網(wǎng)和外支持基于Dr.COM客戶端、802.1x客戶端和PPPoE客戶端的防私接功可授予控制用戶上下行帶寬,精度為8kBit/S;可授予用戶不同的目標(biāo)地址的訪問權(quán)限和帶寬,精度為8kBit/S;基于用戶組實現(xiàn)對P2P應(yīng)用程序的帶寬授權(quán);包括TCP和UDP包的限制,精度為8kBit/S;基于用戶所在的計費組,可授予該組用戶的控制策略:包括能夠上網(wǎng)的時段,能夠訪問目標(biāo)地址分組,能夠登錄的源地址,能夠使用的TCP/UDP端口,是否允許使用代理,登錄成功后的重定向頁面;有效防范惡意用戶的SYNFLOOD、DDos攻擊和大量模擬WEB請求猜測密碼的攻擊;高效率的紀(jì)錄用戶的登錄和訪問紀(jì)錄;在線用戶資料實時顯示,并能夠經(jīng)過客戶端向用戶發(fā)送信息;支持SNMPMIBII,用于查看設(shè)備狀態(tài);與其它的網(wǎng)絡(luò)安全設(shè)備,例如防火墻、IDS等設(shè)備配合,實現(xiàn)基于用戶的安全監(jiān)控;經(jīng)過客戶端與防病毒客戶端或其它安全客戶端聯(lián)動,實現(xiàn)網(wǎng)絡(luò)防御;⑵深瀾認(rèn)證計費系統(tǒng):國內(nèi)著名的認(rèn)證計費系統(tǒng)。能夠支持客戶端認(rèn)證和IE觸發(fā)認(rèn)證。經(jīng)與廠家咨詢,和外部AAA服務(wù)器兼容性好。能支持單用戶帶寬限制。具有簡單的流量控制功能(能管控P2P流量)。產(chǎn)品型號:SRUN產(chǎn)品規(guī)格:1000并發(fā),5個100/1000兆電口產(chǎn)品特點:支持多種接入認(rèn)證模式:Radius(AAA認(rèn)證)、WEB、DHCP+、VLANID、802.1x,專用客戶端等;支持橋接、路由、nat地址轉(zhuǎn)換等接入方式,支持集中式或分布式系統(tǒng)結(jié)構(gòu),支持無線網(wǎng)關(guān)了,能夠作為AC控制器;多出口路由:支持多路由出口接入Internet,支持目標(biāo)地址路由、策略路由,接入模式能夠是網(wǎng)關(guān)方式,也能夠是網(wǎng)橋模式,使用非常靈活;DHCP服務(wù):支持網(wǎng)內(nèi)dhcp服務(wù),而且支持多路dhcp分發(fā);安全控制功能:全面的包過濾和狀態(tài)檢測防火墻。系統(tǒng)采用防火墻級的安全內(nèi)核,能夠根據(jù)協(xié)議,源地址,目的地址,端口,tcp選項等進(jìn)行包過濾,支持tcp,udp,icmp等協(xié)議的狀態(tài)檢測,可阻擋當(dāng)前各種流行的攻擊方式。內(nèi)核專有優(yōu)化算法,突破傳統(tǒng)包過濾狀態(tài)防火墻用戶認(rèn)證效率,最高可支持同時在線人數(shù)65000;SNAT和DNAT:支持源地址(池)轉(zhuǎn)換(SNAT俗稱nat地址轉(zhuǎn)化)、目的地址池轉(zhuǎn)換(DNAT,也稱地址映射).目的端口轉(zhuǎn)化(也稱端口映射)。DDOS攻擊防范:自身具備防止DDOS攻擊的能力,會對攻擊自身的ddos進(jìn)行自我防范,保證系統(tǒng)自身安全;經(jīng)過端口過濾和最大鏈接數(shù)限制能夠有效的防止病毒泛濫導(dǎo)致網(wǎng)絡(luò)效率下降,具備對未知網(wǎng)絡(luò)蠕蟲病毒的預(yù)先防范能力;基于用戶賬號的p2p(bt)軟件控制功能,保證網(wǎng)絡(luò)暢通、快速;帶寬控制,能夠根據(jù)用戶帳戶,IP地址等分配用戶網(wǎng)絡(luò)上下行帶寬,對于用戶的FTP,BT,視頻點播等暫用大量帶寬的應(yīng)用能夠限制最高速率;支持各種計費,支持包月或者按照時間,流量等多種計費方式,支持費用封頂,最低消費等,能夠自定義公式進(jìn)行計費;支持先交費后使用,同時也支持先使用后交費;智能代理監(jiān)控控制:能夠智能的判斷用戶使用代理的情況,對于大量用戶使用同一帳號經(jīng)過代理上網(wǎng)的行為,可智能查封、解除查封該類用戶;內(nèi)容智能過濾:能夠?qū)W(wǎng)站地址,網(wǎng)頁內(nèi)容進(jìn)行智能過濾;用戶行為管理功能:支持全面的用戶訪問日志記錄功能,監(jiān)控網(wǎng)內(nèi)用戶上網(wǎng)行為,以備在需要的時候進(jìn)行日志查詢。支持任意長時間的日志記錄,適合記錄大量的日志;實時監(jiān)控功能:能夠?qū)崟r查看當(dāng)前在線的用戶,以及用戶當(dāng)前的動作等功能,能夠查看系統(tǒng)狀態(tài)如cpu,內(nèi)存占用,資源占用,網(wǎng)絡(luò)狀態(tài)如:實時帶寬顯示、路由表、ARP表、用戶連接數(shù)、連線狀態(tài)等功能;用戶認(rèn)證功能:同時支持web、客戶端的認(rèn)證,豐富用戶認(rèn)證習(xí)慣選擇,對于不同的用戶支持不同的認(rèn)證方式。能夠采取ip+mac+賬號綁定,也支持免認(rèn)證方式的計費等方式;用戶管理功能:支持用戶分組管理、具備有完備的用戶管理功能.能夠?qū)π枰J(rèn)證的用戶進(jìn)行動態(tài)修改,銷戶,刪除。并可實時斷開用戶的訪問。支持大量用戶的初始化,隨機(jī)產(chǎn)生用戶名,密碼。用戶及時狀態(tài)顯示等。分級式管理:對用戶可設(shè)置多種管理級別,支持多管理員、多收費員。用戶自助服務(wù):支持用戶web查詢上網(wǎng)時間、流量、結(jié)帳、費用等上網(wǎng)相關(guān)數(shù)據(jù);網(wǎng)頁重定向功能:在用戶尚未認(rèn)證之前,能夠把所有用戶的網(wǎng)頁訪問請求重定向要指定的頁面。也可重定向自定義認(rèn)證頁面;支持802.1q協(xié)議,能適應(yīng)cisco、3com、bay等各種支持802.1Q協(xié)議的交換機(jī);其它功能:ip-mac地址綁定功能,備份與恢復(fù)配置功能;3.4、防病毒軟件⑴趨勢OfficeScan8.0網(wǎng)絡(luò)版:以防為主。策略相對復(fù)雜。支持分布式部署。支持集中管控,管理功能強(qiáng),經(jīng)過管理控制臺可對所有客戶端統(tǒng)一部署防毒策略、統(tǒng)一更新病毒碼、統(tǒng)一殺毒。而且能夠統(tǒng)計出在網(wǎng)絡(luò)中排名前10名的病毒感染者和病毒感染源。占用系統(tǒng)資源較低。測試過和CiscoNAC聯(lián)動。H3C官方資料EAD能和趨勢聯(lián)動。因為沒有H3C交換機(jī),因此H3CEAD的測試沒有做。產(chǎn)品型號:OfficeScan8.0(客戶端防護(hù))ServerProtect5.58(服務(wù)器防護(hù))產(chǎn)品特點:集中的Web管理界面:能夠方便地經(jīng)過任一瀏覽器隨時掌握全網(wǎng)防毒狀況,對防毒策略進(jìn)行調(diào)整,對防毒日志進(jìn)行審計;安全漏洞防護(hù):經(jīng)過與CISCONAC設(shè)備聯(lián)動,對沒有安裝officescan客戶端或者防病毒組件升級不正常的客戶端,NAC設(shè)備能夠阻止這些客戶機(jī)進(jìn)入網(wǎng)絡(luò)。支持病毒爆發(fā)阻止策略:有效控制病毒擴(kuò)散;應(yīng)用層、網(wǎng)絡(luò)層雙層防護(hù):OfficeScan同時采用文件型病毒代碼和網(wǎng)絡(luò)型病毒代碼分別基于應(yīng)用層和網(wǎng)絡(luò)層進(jìn)行病毒實時清除;集成網(wǎng)絡(luò)版防火墻/IDS:集成專殺工具:病毒專殺工具和客戶端防病毒軟件無縫集成,專殺工具的掃描引擎和病毒碼能夠自動更新,而且每一個病毒都有特定的專殺工具;可抵御間諜軟件和其它灰色軟件的侵害;病毒爆發(fā)監(jiān)控:”病毒爆發(fā)監(jiān)控”能夠用來監(jiān)控網(wǎng)絡(luò)上有感染跡象的可疑活動;嚴(yán)格的權(quán)限控制:對客戶端的配置權(quán)限、退出權(quán)限、卸載權(quán)限進(jìn)行嚴(yán)格限定;可調(diào)整的掃描資源占用:為減少文件掃描對客戶機(jī)CPU資源的需求,可手動調(diào)整掃描資源占用情況和一個文件與下一個文件之間的等待時間,降低掃描行為對其它應(yīng)用系統(tǒng)的影響;增量更新:對于其病毒碼文件與防毒墻網(wǎng)絡(luò)版服務(wù)器上最新版本相差不超過七個版本的防毒墻網(wǎng)絡(luò)版客戶機(jī),能夠經(jīng)過增量方式更新其病毒碼文件,而非更新整個病毒碼文件;更新代理設(shè)置:經(jīng)過設(shè)定網(wǎng)絡(luò)中任意計算機(jī)做為病毒碼更新源,將其它計算機(jī)指定到該計算機(jī)更新,以節(jié)省網(wǎng)絡(luò)帶寬;檢測為安裝防病毒軟件的計算機(jī):支持網(wǎng)絡(luò)掃描偵測尚未安裝OfficeScan的用戶機(jī),杜絕防毒漏洞;定位病毒傳染源:管理控制臺自動生成網(wǎng)絡(luò)中病毒傳染源排行榜,并能給傳染源機(jī)器發(fā)出提示信息;郵件查殺和無線支持:支持對POP3郵件和Outlook文件的直接掃描,同時支持保護(hù)PDA等無線設(shè)備;支持多種WebServer:IIS和Apache支持64位平臺:防毒墻網(wǎng)絡(luò)版支持使用64位處理器體系結(jié)構(gòu)的WindowsXP/Server計算機(jī);統(tǒng)計信息:管理控制臺自動生成豐富的統(tǒng)計報表,如傳染源排行榜、中毒客戶機(jī)排行榜、病毒排行榜、病毒清除率、更新率、在線率等等病毒信息;數(shù)據(jù)庫管理:支持將紀(jì)錄數(shù)據(jù)導(dǎo)入SQL服務(wù)器方便數(shù)據(jù)分析與管理靈活的客戶端遷移:支持在客戶端能夠在不同的OfficeScan服務(wù)器中轉(zhuǎn)移,不需重新安裝;大版本升級:大版本升級只需在服務(wù)端運行升級程序后,每個客戶端就能夠迅速獲得最新版本,不需要重新部署;⑵賽門鐵克網(wǎng)絡(luò)版:以防為主。策略相對復(fù)雜,設(shè)置過高時會影響系統(tǒng)使用。管理功能一般,經(jīng)過控制臺可統(tǒng)一部署防毒策略、統(tǒng)一更新病毒碼。殺毒效果還能夠。能夠和NAC和EAD聯(lián)動。產(chǎn)品型號:Symantec網(wǎng)絡(luò)版11.0產(chǎn)品特點:從一個管理控制臺提供高級病毒防護(hù)和監(jiān)視;實時掃描功能能夠自動檢測并刪除企圖在計算機(jī)上運行或安裝的間諜軟件;經(jīng)過一個控制臺提供基于Web的集成圖形報告和集中式管理;間諜軟件修復(fù)功能,有助于防范入侵風(fēng)險。Symantec采取主動防護(hù)技術(shù),包括”行為阻截”技術(shù)、Seeker、數(shù)字免疫技術(shù)、NAVEX、bloodHond技術(shù)等技術(shù);每天都進(jìn)行最新病毒定義的更新;提供易用的管理功能;服務(wù)器擴(kuò)展方便,不需要客戶端更改服務(wù)器地址(當(dāng)服務(wù)器容量不夠需要擴(kuò)容時,只需增加服務(wù)器數(shù)量,然后將原服務(wù)器上的客戶端經(jīng)過拖拽的方式拖到新增服務(wù)器下即可完成客戶端父服務(wù)器的切換)。提供方便的安裝方式,用戶能夠直接從IE上點擊下載一個安裝文件,然后安裝程序自動運行安裝;安裝在客戶端的防病毒系統(tǒng)能夠配置為后臺運行,所有的防病毒操作都能夠自動運行;集成報告系統(tǒng),能夠使用該系統(tǒng)快速、輕松地查看事件和配置,并配置警報;SSL通訊和數(shù)字證書,管理平臺、服務(wù)器、客戶端基于通訊和數(shù)字證書認(rèn)證,客戶端能夠在不同的服務(wù)器間實現(xiàn)自動漫游;⑶McaFee:殺毒效果和管理功能一般,系統(tǒng)資源占用較大。售后服務(wù)和技術(shù)支持不夠理想。產(chǎn)品型號:McaFeeAVD網(wǎng)絡(luò)版產(chǎn)品特點:McAfee防病毒掃描引擎能夠攔截各種病毒和惡意代碼威脅,包括”傳統(tǒng)”病毒、電子郵件蠕蟲、Internet蠕蟲、DDoS(分布式拒絕服務(wù))攻擊、后門、遠(yuǎn)程訪問木馬以及Zombies;經(jīng)過中央控制臺實現(xiàn)集中的管理和報告功能;針對桌面機(jī)和文件服務(wù)器提供了病毒防護(hù)功能電子郵件內(nèi)容過濾功能,能夠避免用戶看到帶有攻擊性的內(nèi)容和不適當(dāng)?shù)膬?nèi)容,確保流入和流出的SMTP流量無毒;McAfee能夠?qū)otusDomino和MicrosoftExchange服務(wù)器提供防病毒支持;McAfee能夠經(jīng)過實時掃描來檢測并清除病毒和其它威脅,進(jìn)而為NetWare文件服務(wù)器提供保護(hù);自動更新功能采用請求(pull)技術(shù)自動檢索最新的更新,確保所有的系統(tǒng)都處于最新狀態(tài);⑷卡巴斯基:以殺毒為主。相比病毒庫較全面,使用率高。能夠殺滅大部分病毒。系統(tǒng)資源占用不大。殺毒時偶然會破壞系統(tǒng)文件。管理功能和防毒策略一般。和NAC能完全聯(lián)動,配合EAD能檢查客戶端的安裝情況,不能調(diào)用服務(wù)器端升級。產(chǎn)品型號卡巴斯基6.0產(chǎn)品特點防御病毒、木馬和蠕蟲;保護(hù)郵件服務(wù)器,例如Sendmail,Qmail,Postfix和Exim;掃描MicrosoftExchange服務(wù)器之間傳輸?shù)泥]件;掃描LotusDomino服務(wù)器上的郵件、數(shù)據(jù)庫和其它對象;防御網(wǎng)絡(luò)釣魚和垃圾郵件的攻擊;阻止病毒爆發(fā);高靈活性;集中安裝和管理;支持Cisco?NAC(網(wǎng)絡(luò)準(zhǔn)入控制);主動防御最新的惡意程序;包含IDS和IPS的個人防火墻;在各種網(wǎng)絡(luò)中(包括WiFi)工作時都可受到保護(hù);實時掃描網(wǎng)絡(luò)傳輸;修復(fù)惡意軟件對系統(tǒng)所做的非法纂改;執(zhí)行全盤掃描時,對系統(tǒng)資源進(jìn)行合理的再分配;隔離被感染的和可疑的對象;系統(tǒng)狀態(tài)的集中報告;自動更新威脅特征庫;⑸建議:防毒墻和殺毒軟件使用不同的病毒庫,能夠進(jìn)一步保證識別率和攔截率。防毒軟件建議在趨勢、賽門鐵克中選擇。防毒網(wǎng)關(guān)使用卡巴特征碼的產(chǎn)品。四、總結(jié)4.1根據(jù)當(dāng)前吉林鋼鐵的網(wǎng)絡(luò)現(xiàn)狀考慮,當(dāng)前急需的產(chǎn)品如下:⑴流控。⑵防毒網(wǎng)關(guān)。⑶防毒軟件。⑷SSLVPN(需要配合H3CSecPathF1000防火墻使用)。⑸互聯(lián)網(wǎng)認(rèn)證網(wǎng)關(guān)。4.2建議:為了保證正式上線的流暢和穩(wěn)定,下列產(chǎn)品建議購買并在一定規(guī)模部署測試其使用的實際效果。⑴補丁管理軟件分發(fā)系統(tǒng)。產(chǎn)品型號:MicrosoftSCCM產(chǎn)品特點:定義企業(yè)配置標(biāo)準(zhǔn):該功能可經(jīng)過為配置和管理IT環(huán)境提供指導(dǎo)原則和實踐,幫助提高操作效率并增強(qiáng)安全性;構(gòu)建配置知識:ConfigurationManager中的基線配置知識能夠來自多個來源。能夠配置她們自己的配置基線,或者她們能夠從Microsoft或第三方軟件供應(yīng)商導(dǎo)入配置包;補救措施:能夠使用期望的配置管理兼容性狀態(tài)消息來構(gòu)建基于查詢的集合,她們能夠經(jīng)過部署軟件、更新、腳本或任務(wù)序列從這些集合修復(fù)不兼容計算機(jī);測量兼容性:借助她們已經(jīng)建立的配置基線,能夠?qū)⑦@些基線應(yīng)用到計算機(jī)或計算機(jī)集合并定義日程安排,客戶端將按此日程安排評估和報告她們針對基線的兼容性;報告兼容性:經(jīng)過期望的配置管理面板和經(jīng)過創(chuàng)立基于查詢的集合的能力,報告與ConfigurationManager的兼容性成為一個簡化的工作;強(qiáng)制遵守:ConfigurationManager中的NAP與微軟的Windows網(wǎng)絡(luò)策略服務(wù)器共同工作,以強(qiáng)化監(jiān)管軟件更新修復(fù)不符合要求的客戶端:ConfigurationManager經(jīng)過軟件更新功能來修復(fù)那些不符合策略要求的客戶端;靈活的OS部署:ConfigurationManager是一個完全自動的解決方案,它允許從一個中央單元部署及配置服務(wù)器和客戶端;支持服務(wù)器部署:ConfigurationManager包含的功能中支持獨特需求的Windows服務(wù)器操作系統(tǒng)的部署;集中監(jiān)控:能夠利用服務(wù)器和客戶端詳細(xì)全面的可視化狀態(tài)報表對操作系統(tǒng)部署進(jìn)行集中監(jiān)控;基于WSUS:ConfigurationManager的綜合更新管理依賴于WindowsUpdateService(Windows更新服務(wù)WSUS);無縫部署更新:使用效率化基于策略的管理,能夠進(jìn)行無縫部署更新;基于Internet的客戶端管理:提供的更新有基于Internal和基于Internet的兩種客戶端,允許無論用戶的計算機(jī)是不是在內(nèi)部網(wǎng)絡(luò)都能進(jìn)行及時的軟件更新;網(wǎng)絡(luò)喚醒:這個網(wǎng)絡(luò)喚醒功能能夠在工作時間結(jié)束后發(fā)出網(wǎng)絡(luò)喚醒包到計算機(jī),讓它獲得軟件更新;網(wǎng)絡(luò)訪問保護(hù):客戶端強(qiáng)制遵循軟件更新策略,有助于內(nèi)部網(wǎng)絡(luò)的統(tǒng)一性;靈活的報表:ConfigurationManager提供了大量多樣化的報表來展示軟件更新狀態(tài);能夠基于系統(tǒng)分發(fā)任務(wù)順序,配置管理她們希望得到的軟件更新并減少成本;產(chǎn)品型號:北信源補丁管理系統(tǒng)產(chǎn)品特點:補丁策略制定:包括補丁應(yīng)用策略制定、補丁文件分發(fā)任務(wù)制定,能夠根據(jù)要求按照不同的區(qū)域進(jìn)行劃分,可按照IP地址、部門、操作系統(tǒng)、用戶自定義等方式進(jìn)行區(qū)域劃分;補丁下載檢測和增量式導(dǎo)入:使用增量式補丁分離技術(shù),在外網(wǎng)導(dǎo)出補丁時,可分離出內(nèi)網(wǎng)已經(jīng)安裝的補丁,只導(dǎo)入內(nèi)網(wǎng)尚未安裝的系統(tǒng)補丁,即僅對內(nèi)網(wǎng)的補丁進(jìn)行”增量式”的升級;補丁安全自動測試:可根據(jù)相應(yīng)得策略對網(wǎng)絡(luò)內(nèi)的計算機(jī)進(jìn)行大面積的推送。此技術(shù)能夠很好的減輕網(wǎng)管的測試工作量,并提高補丁安裝的安全性;補丁庫自動分類:系統(tǒng)對存放到服務(wù)器上的計算機(jī)系統(tǒng)補丁能進(jìn)行相應(yīng)的分析,自動得出補丁屬性、類型和與之相關(guān)的補丁說明,并在網(wǎng)頁中進(jìn)行清晰明了的顯示。能夠方便管理人員根據(jù)相應(yīng)的需求,高效快捷定義補丁分發(fā)策略,及時的針對不同的系統(tǒng)和需要分發(fā)計算機(jī)補丁;補丁庫的級聯(lián)和同步:系統(tǒng)能夠針對補丁進(jìn)行級聯(lián)式的分發(fā)和管理,在級聯(lián)級數(shù)沒有任何限制并在三級的基礎(chǔ)上進(jìn)行無縫平滑擴(kuò)展;補丁安裝檢測、自動分發(fā)補丁:經(jīng)過本模塊全面檢測網(wǎng)絡(luò)系統(tǒng)終端補丁的安裝狀況,并經(jīng)過此模塊,對沒有安裝補丁的設(shè)備進(jìn)行遠(yuǎn)程補丁安裝,將最新補丁升級包及時分發(fā)到終端計算機(jī),并提示安裝修補,在客戶端有明顯提示,通知用戶打補丁;補丁推送安裝:當(dāng)系統(tǒng)檢測到有客戶端未打補丁時,可對漏打的補丁進(jìn)行推送式的安裝;系統(tǒng)補丁報表:監(jiān)控程序?qū)⒕W(wǎng)絡(luò)客戶端補丁信息上報管理中心后寫入數(shù)據(jù)庫,在WEB管理平臺可進(jìn)行補丁報表察看,統(tǒng)計網(wǎng)絡(luò)客戶端補丁安裝狀況;補丁下載流量控制:系統(tǒng)能夠根據(jù)網(wǎng)絡(luò)的負(fù)載情況自動調(diào)整分發(fā)補丁時所占的網(wǎng)絡(luò)帶寬和并發(fā)連接數(shù);根據(jù)手動設(shè)置允許的帶寬或服務(wù)器并發(fā)連接數(shù)及每個連接所允許使用的帶寬;系統(tǒng)同時支持客戶端轉(zhuǎn)發(fā)代理補丁下載,以減少網(wǎng)絡(luò)帶寬流量;服務(wù)器端補丁查詢:客戶端軟件實時監(jiān)控客戶端系統(tǒng)漏洞及補丁安裝情況,服務(wù)器端補丁查詢補丁可根據(jù)補丁名稱、待查詢IP范圍、操作系統(tǒng)、待查區(qū)域,查詢時間或其它條件對區(qū)域網(wǎng)絡(luò)范圍內(nèi)的計算機(jī)終端進(jìn)行補丁安裝狀況查詢;客戶端網(wǎng)頁查詢補丁安裝信息:安裝了系統(tǒng)客戶端的計算機(jī)能夠經(jīng)過訪問內(nèi)網(wǎng)的特定網(wǎng)頁,對本機(jī)所缺少的計算機(jī)補丁進(jìn)行查詢;新(長時間關(guān)機(jī))客戶端入網(wǎng)先打補丁:對于新機(jī)器或長時間關(guān)機(jī)的計算機(jī),在其進(jìn)入網(wǎng)絡(luò)時,能快速的發(fā)現(xiàn)并識別此類計算機(jī),對這類計算機(jī)發(fā)送相應(yīng)的提示,如提醒用戶下載并安裝計算機(jī)補丁,提醒補丁下載的位置和計算機(jī)用戶下載并安裝所需的計算機(jī)補丁⑵少量H3C交換機(jī),(在崴子辦公區(qū)終端做測試,測試和補丁、防毒