【正文】 1. 網(wǎng)絡及安全系統(tǒng)設計 計算機網(wǎng)絡作為一個通信基礎(chǔ)設施體系，不僅涉及大量的數(shù)據(jù)、語音和圖像視頻傳輸，同時也對系統(tǒng)的實時性和可靠性提出較高的要求。因此，建設一個先進、高效、合理的計算機網(wǎng)絡系統(tǒng)十分的必要。 2. 系統(tǒng)建設的原則 系統(tǒng)高可靠性 高效穩(wěn)定的系統(tǒng)，能提供全年 365 天，每天 24 小時的不停頓運作。對于安裝的服務器、終端設備、網(wǎng)絡設備、控制設備與布線系統(tǒng)，必須能適應嚴格的工作環(huán)境，以確保系統(tǒng)穩(wěn)定。 高性能可擴展性 能夠根據(jù)應用需求方便地進行系統(tǒng)擴充和技術(shù)擴展，滿足應用系統(tǒng)需求。支持各種高速網(wǎng)絡技術(shù)（千兆以太網(wǎng)，快 速以太網(wǎng)）；全系列的交換產(chǎn)品，拓展網(wǎng)絡帶寬。 網(wǎng)絡系統(tǒng)的高安全性 劃分 VLAN，并通過核心交換機中的三層路由中的包過濾功能，限制和隔離數(shù)據(jù)報；提高整個網(wǎng)絡的安全性。 系統(tǒng)的開放性 系統(tǒng)在設計時均采用國際標準協(xié)議。如網(wǎng)絡管理基于 SNMP，并支持 RMON 和RMON2； VLAN 協(xié)議支持國際標準 等。 系統(tǒng)的先進性 選用當前業(yè)界領(lǐng)先且代表主流發(fā)展方向的網(wǎng)絡技術(shù)來設計相應的系統(tǒng)， 3. 系統(tǒng)設計 網(wǎng)絡拓撲圖 網(wǎng)絡配置說明 防火墻配置說明 防火墻部署： 在 Inter 公網(wǎng)出口部署 1 臺 Hillstone SG6000M3100 高性能防火墻，實現(xiàn) Inter 公網(wǎng)與其它各安全區(qū)域之間，以及對 Inter 的訪問控制和對來自 Inter 的各種攻擊進行有效的防御。 在應用服務器區(qū)部署 1 臺 Hillstone SG6000M3100 高性能防火墻，實現(xiàn)應用服務器區(qū)與其它各安全區(qū)域之間，以及對 Inter 的訪問控制，同時可有效保護應用服務器區(qū)不受各種網(wǎng)絡攻擊。 移動用戶的接入安全： 移動用戶可以采用 SSL VPN 方式，實現(xiàn)對內(nèi)部資源的安全訪問。 在 Inter 出口部署的 1 臺 Hillstone SG6000M3100 設備已集成 SSLVPN功能，用戶只需通過 Inter 訪問此設備，然后經(jīng)過認證服務器的認證后，建立 VPN 通道，即可安全地訪問被授權(quán)的內(nèi)網(wǎng)資源。 Hillstone SG6000M3100 簡介： SG6000是 Hillstone山石網(wǎng)科公司全新推出的新一代多核安全網(wǎng)關(guān)系列產(chǎn)品。其基于角色，深度應用的多核 Plus174。G2 安全架構(gòu)突破了傳統(tǒng)防火墻只能基于IP 和端口的防范限制。處理器模塊化設計可 以提升整體處理能力，突破傳統(tǒng) UTM在開啟病毒防護或 IPS 等功能所帶來的性能下降的局限。 SG6000M3100 處理能力高達 1Gbps，適用于政府機關(guān)、企業(yè)等機構(gòu)，可部署在網(wǎng)絡的主要結(jié)點、總出口及數(shù)據(jù)中心，為網(wǎng)絡提供基于角色，深度應用安全的訪問控制、 IPSec/SSL VPN、應用帶寬管理、病毒過濾、入侵防護、上網(wǎng)行為管理等安全服務。 新一代防火墻 深度應用安全 隨著網(wǎng)絡的快速發(fā)展，越來越多的應用都建立在 HTTP/HTTPS 等應用層協(xié)議之上。新的安全威脅也隨之嵌入到應用之中，而傳統(tǒng)基于狀態(tài)檢測的防火墻只 能依據(jù)端口或協(xié)議去設置安全策略，根本無法識別應用，更談不上安全防護。 Hillstone 山石網(wǎng)科新一代防火墻可以根據(jù)應用的行為和特征實現(xiàn)對應用的識別和控制，而不依賴于端口或協(xié)議，即使加密過的數(shù)據(jù)流也能應付自如。 StoneOS174。識別的應用多達幾百種，而且跟隨著應用的發(fā)展每天都在增加；其中包括 P2P、 IM(即時通訊 )、游戲、辦公軟件以及基于 SIP、 、 HTTP 等協(xié)議的應用。同時，應用特征庫通過網(wǎng)絡服務可以實時更新，無須等待新版本軟件發(fā)布。 全面的 VPN 解決方案 SG6000 多核安全網(wǎng)關(guān)支持多種 IPSecVPN 的部署，它能夠完全兼容標準的IPSecVPN。 SG6000 系列產(chǎn)品對 VPN(包括 SSL VPN)都提供硬件加速，結(jié)合多核平臺的處理能力，可為用戶提供高容量、高性能的 VPN 解決方案。 Hillstone 獨具特色的即插即用 VPN，可以讓遠端分支機構(gòu)只需簡單的用戶名和密碼即可自動從中心端下載網(wǎng)絡和安全配置，完全解決了傳統(tǒng) IPSec VPN設備配置難、使用難、維護成本高的缺點。 SG6000 多核安全網(wǎng)關(guān)還通過集成第三代 SSL VPN 實現(xiàn)角色訪問控制和即插即用特性，為用戶提供方便、快捷的安全遠程接入服務 。 內(nèi)容安全 (UTM Plus174。) SG6000 可選 UTM Plus174。軟件包提供病毒過濾，入侵防御，內(nèi)容過濾，上網(wǎng)行為管理和應用流量整形等功能，可以防范病毒，間諜軟件，蠕蟲，木馬等網(wǎng)絡的攻擊。關(guān)鍵字過濾和基于超過 20xx 萬域名的 Web 頁面分類數(shù)據(jù)庫可以幫助管理員輕松設置工作時間禁止訪問的網(wǎng)頁，提高工作效率和控制對不良網(wǎng)站的訪問。病毒庫，攻擊庫， URL 庫可以通過網(wǎng)絡服務實時下載，確保對新爆發(fā)的病毒、攻擊、新的 URL 做到及時響應。 安全可視化 基于角色和應用的管理 沒有能見度就談不上安全。 StoneOS174。的應用和身份識別，能夠滿足越來越多的深度安全需求。 基于身份和角色的管理 (RBNS)讓網(wǎng)絡配置更加直觀和精細化。不同的用戶甚至同一用戶在不同的地點或時間都可以有不同的管理策略。用戶訪問的內(nèi)容也可以記錄在本機存儲模塊或?qū)Ｓ梅掌髦?，通過用戶的名稱審閱相關(guān)記錄使查找更簡單。 基于角色的管理模式主要包含基于“人”的訪問控制、基于“人”的網(wǎng)絡資源 (服務 )的分配、基于”人“的日志審計三大方面?；诮巧墓芾砟Ｊ娇梢酝ㄟ^對訪問者身份審核和確認，確定訪問者的訪問權(quán)限，分配相應的網(wǎng)絡資源。在技術(shù)上可避免 IP 盜用或者 PC 終端 被盜用引發(fā)的數(shù)據(jù)泄露等問題。 全并行處理的安全架構(gòu) (多核 Plus174。 G2) Hillstone 山石網(wǎng)科自主開發(fā)的 64 位實時安全操作系統(tǒng) StoneOS174。，具備強大的并行處理能力。 StoneOS174。采用專利的多處理器全并行架構(gòu)，和常見的多核處理器或 NP/ASIC只負責三層包轉(zhuǎn)發(fā)的架構(gòu)不同； StoneOS174。實現(xiàn)了從網(wǎng)絡層到應用層的多核全并行處理。 因此 SG6000較業(yè)界其他的多核或 NP/ASIC系統(tǒng)在同檔的硬件配置下有多達5 倍的性能提升，為同時開啟多項防護功能奠定了性能基礎(chǔ)，突破了傳統(tǒng)安全網(wǎng) 關(guān)的功能實用性和性 能的無法兩全的局限。 可擴展的模塊化設計 (多核 Plus174。 G2) SG6000G5150 支持三種類型的擴展模塊：接口擴展模塊，應用處理擴展模塊，存儲擴展模塊。模塊化設計充分保護用戶投資。通過增加接口擴展模塊提高設備的連接性，使設備不會因為網(wǎng)絡帶寬或應用系統(tǒng)的升級而過時；增加應用處理擴展模塊，可以提高本機應用處理能力，讓應用處理不再成為性能瓶頸；存儲擴展模塊可以實時記錄 NAT 日志， Web 訪問記錄， Web 內(nèi)容審計等日志，滿足公安部 82 號令的要求。在校園網(wǎng)和小區(qū)寬帶等大流量的場合，也可以使用外置高性能日志服務 器。 關(guān)鍵指標 指 標 SG6000M3100 防火墻吞吐量 1Gbps IPSec 吞吐量 (1) 500Mbps 最大并發(fā)連接 (標配/最大 ) 40/100 萬 防病毒吞吐量 (2) 70Mbps IPS 吞吐量 (3) 200Mbps 每秒新建連接 (4) 10,000 IPSec 隧道數(shù) 1,000 最大 SSL VPN 用戶數(shù) 500 管理接口 1 個配置口， 1 個 USB 口 網(wǎng)絡接口 8 個千兆電口 電源規(guī)格 單 45W 電源輸入范圍 交流 100240V 50/60Hz 外形尺寸 (W DH,mm) 1U (442 x 241 x 44) 重量 5kg 工作環(huán)境溫度 040℃ 工作環(huán)境濕度 1095%(不結(jié)露 ) 入侵檢測系統(tǒng) 我們推薦選用入侵防御系統(tǒng)（ IPS），集成入侵防御與入侵檢測功能（ IDS） ，即可實現(xiàn)檢測功能，也可實現(xiàn)對有害行為進行阻斷 。 我們選用綠盟科技的 “ 冰之眼 ” 網(wǎng)絡入侵保護系統(tǒng)。 作為入侵檢測功能 使用（采用旁路模式部署），可以實現(xiàn) 實時監(jiān)控和檢測網(wǎng)絡或系統(tǒng)中的活動狀態(tài)，一旦發(fā)現(xiàn)網(wǎng)絡中的可疑行為或惡意攻擊， IDS 便可做出及時 的報警和響應 。 在本系統(tǒng)中我們建議采用旁路部署模式，起到入侵檢測功能（ IDS），我們把 服務器網(wǎng)段映射到 IDS 端口，檢測服務器網(wǎng)段的所有攻擊。 綠盟 NIPS600A 簡介： 綠盟網(wǎng)絡入侵防護系（ NSFOCUS Network Intrusion Prevention System，簡稱： NSFOCUS NIPS） 是綠盟科技自主知識產(chǎn)權(quán)的新一代安全產(chǎn)品，作為一種在線部署的產(chǎn)品，其設計目標旨在準確監(jiān)測網(wǎng)絡異常流量，自動對各類攻擊性的流量，尤其是應用層的威脅進行實時阻斷，而不是在監(jiān)測到惡意流量的同時或之后才發(fā) 出告警。這類產(chǎn)品彌補了防火墻、入侵檢測等產(chǎn)品的不足，提供動態(tài)的、深度的、主動的安全防御，為企業(yè)提供了一個全新的入侵保護解決方案。 入侵防護 實時、主動攔截黑客攻擊、蠕蟲、網(wǎng)絡病毒、后門木馬、 等惡意流量，保護企業(yè)信息系統(tǒng)和網(wǎng)絡架構(gòu)免受侵害，防止操作系統(tǒng)和應用程序損壞或宕機。 Web 威脅防護 基于互聯(lián)網(wǎng) Web 站點的掛馬檢測結(jié)果，結(jié)合 URL 信譽評價技術(shù)，保護用戶在訪問被植入木馬等惡意代碼的網(wǎng)站時不受侵害，及時、有效地第一時間攔截 Web威脅。 流量控制 阻斷一切非授權(quán)用戶流量，管理合法網(wǎng)絡資源的利用， 有效保證關(guān)鍵應用全天候暢通無阻，通過保護關(guān)鍵應用帶寬來不斷提升企業(yè) IT 產(chǎn)出率和收益率。 用戶上網(wǎng)行為監(jiān)管 全面監(jiān)測和管理 IM 即時通訊、 P2P 下載、網(wǎng)絡游戲、在線視頻，以及在線炒股等網(wǎng)絡行為，協(xié)助企業(yè)辨識和限制非授權(quán)網(wǎng)絡流量，更好地執(zhí)行企業(yè)的安全策略。 產(chǎn)品型號 規(guī)格和性能 NSF