【正文】 1. 網(wǎng)絡(luò)及安全系統(tǒng)設(shè)計(jì) 計(jì)算機(jī)網(wǎng)絡(luò)作為一個(gè)通信基礎(chǔ)設(shè)施體系，不僅涉及大量的數(shù)據(jù)、語音和圖像視頻傳輸，同時(shí)也對(duì)系統(tǒng)的實(shí)時(shí)性和可靠性提出較高的要求。因此，建設(shè)一個(gè)先進(jìn)、高效、合理的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)十分的必要。 2. 系統(tǒng)建設(shè)的原則 系統(tǒng)高可靠性 高效穩(wěn)定的系統(tǒng)，能提供全年 365 天，每天 24 小時(shí)的不停頓運(yùn)作。對(duì)于安裝的服務(wù)器、終端設(shè)備、網(wǎng)絡(luò)設(shè)備、控制設(shè)備與布線系統(tǒng)，必須能適應(yīng)嚴(yán)格的工作環(huán)境，以確保系統(tǒng)穩(wěn)定。 高性能可擴(kuò)展性 能夠根據(jù)應(yīng)用需求方便地進(jìn)行系統(tǒng)擴(kuò)充和技術(shù)擴(kuò)展，滿足應(yīng)用系統(tǒng)需求。支持各種高速網(wǎng)絡(luò)技術(shù)（千兆以太網(wǎng)，快 速以太網(wǎng)）；全系列的交換產(chǎn)品，拓展網(wǎng)絡(luò)帶寬。 網(wǎng)絡(luò)系統(tǒng)的高安全性 劃分 VLAN，并通過核心交換機(jī)中的三層路由中的包過濾功能，限制和隔離數(shù)據(jù)報(bào)；提高整個(gè)網(wǎng)絡(luò)的安全性。 系統(tǒng)的開放性 系統(tǒng)在設(shè)計(jì)時(shí)均采用國(guó)際標(biāo)準(zhǔn)協(xié)議。如網(wǎng)絡(luò)管理基于 SNMP，并支持 RMON 和RMON2； VLAN 協(xié)議支持國(guó)際標(biāo)準(zhǔn) 等。 系統(tǒng)的先進(jìn)性 選用當(dāng)前業(yè)界領(lǐng)先且代表主流發(fā)展方向的網(wǎng)絡(luò)技術(shù)來設(shè)計(jì)相應(yīng)的系統(tǒng)， 3. 系統(tǒng)設(shè)計(jì) 網(wǎng)絡(luò)拓?fù)鋱D 網(wǎng)絡(luò)配置說明 防火墻配置說明 防火墻部署： 在 Inter 公網(wǎng)出口部署 1 臺(tái) Hillstone SG6000M3100 高性能防火墻，實(shí)現(xiàn) Inter 公網(wǎng)與其它各安全區(qū)域之間，以及對(duì) Inter 的訪問控制和對(duì)來自 Inter 的各種攻擊進(jìn)行有效的防御。 在應(yīng)用服務(wù)器區(qū)部署 1 臺(tái) Hillstone SG6000M3100 高性能防火墻，實(shí)現(xiàn)應(yīng)用服務(wù)器區(qū)與其它各安全區(qū)域之間，以及對(duì) Inter 的訪問控制，同時(shí)可有效保護(hù)應(yīng)用服務(wù)器區(qū)不受各種網(wǎng)絡(luò)攻擊。 移動(dòng)用戶的接入安全： 移動(dòng)用戶可以采用 SSL VPN 方式，實(shí)現(xiàn)對(duì)內(nèi)部資源的安全訪問。 在 Inter 出口部署的 1 臺(tái) Hillstone SG6000M3100 設(shè)備已集成 SSLVPN功能，用戶只需通過 Inter 訪問此設(shè)備，然后經(jīng)過認(rèn)證服務(wù)器的認(rèn)證后，建立 VPN 通道，即可安全地訪問被授權(quán)的內(nèi)網(wǎng)資源。 Hillstone SG6000M3100 簡(jiǎn)介： SG6000是 Hillstone山石網(wǎng)科公司全新推出的新一代多核安全網(wǎng)關(guān)系列產(chǎn)品。其基于角色，深度應(yīng)用的多核 Plus174。G2 安全架構(gòu)突破了傳統(tǒng)防火墻只能基于IP 和端口的防范限制。處理器模塊化設(shè)計(jì)可 以提升整體處理能力，突破傳統(tǒng) UTM在開啟病毒防護(hù)或 IPS 等功能所帶來的性能下降的局限。 SG6000M3100 處理能力高達(dá) 1Gbps，適用于政府機(jī)關(guān)、企業(yè)等機(jī)構(gòu)，可部署在網(wǎng)絡(luò)的主要結(jié)點(diǎn)、總出口及數(shù)據(jù)中心，為網(wǎng)絡(luò)提供基于角色，深度應(yīng)用安全的訪問控制、 IPSec/SSL VPN、應(yīng)用帶寬管理、病毒過濾、入侵防護(hù)、上網(wǎng)行為管理等安全服務(wù)。 新一代防火墻 深度應(yīng)用安全 隨著網(wǎng)絡(luò)的快速發(fā)展，越來越多的應(yīng)用都建立在 HTTP/HTTPS 等應(yīng)用層協(xié)議之上。新的安全威脅也隨之嵌入到應(yīng)用之中，而傳統(tǒng)基于狀態(tài)檢測(cè)的防火墻只 能依據(jù)端口或協(xié)議去設(shè)置安全策略，根本無法識(shí)別應(yīng)用，更談不上安全防護(hù)。 Hillstone 山石網(wǎng)科新一代防火墻可以根據(jù)應(yīng)用的行為和特征實(shí)現(xiàn)對(duì)應(yīng)用的識(shí)別和控制，而不依賴于端口或協(xié)議，即使加密過的數(shù)據(jù)流也能應(yīng)付自如。 StoneOS174。識(shí)別的應(yīng)用多達(dá)幾百種，而且跟隨著應(yīng)用的發(fā)展每天都在增加；其中包括 P2P、 IM(即時(shí)通訊 )、游戲、辦公軟件以及基于 SIP、 、 HTTP 等協(xié)議的應(yīng)用。同時(shí)，應(yīng)用特征庫(kù)通過網(wǎng)絡(luò)服務(wù)可以實(shí)時(shí)更新，無須等待新版本軟件發(fā)布。 全面的 VPN 解決方案 SG6000 多核安全網(wǎng)關(guān)支持多種 IPSecVPN 的部署，它能夠完全兼容標(biāo)準(zhǔn)的IPSecVPN。 SG6000 系列產(chǎn)品對(duì) VPN(包括 SSL VPN)都提供硬件加速，結(jié)合多核平臺(tái)的處理能力，可為用戶提供高容量、高性能的 VPN 解決方案。 Hillstone 獨(dú)具特色的即插即用 VPN，可以讓遠(yuǎn)端分支機(jī)構(gòu)只需簡(jiǎn)單的用戶名和密碼即可自動(dòng)從中心端下載網(wǎng)絡(luò)和安全配置，完全解決了傳統(tǒng) IPSec VPN設(shè)備配置難、使用難、維護(hù)成本高的缺點(diǎn)。 SG6000 多核安全網(wǎng)關(guān)還通過集成第三代 SSL VPN 實(shí)現(xiàn)角色訪問控制和即插即用特性，為用戶提供方便、快捷的安全遠(yuǎn)程接入服務(wù) 。 內(nèi)容安全 (UTM Plus174。) SG6000 可選 UTM Plus174。軟件包提供病毒過濾，入侵防御，內(nèi)容過濾，上網(wǎng)行為管理和應(yīng)用流量整形等功能，可以防范病毒，間諜軟件，蠕蟲，木馬等網(wǎng)絡(luò)的攻擊。關(guān)鍵字過濾和基于超過 20xx 萬域名的 Web 頁面分類數(shù)據(jù)庫(kù)可以幫助管理員輕松設(shè)置工作時(shí)間禁止訪問的網(wǎng)頁，提高工作效率和控制對(duì)不良網(wǎng)站的訪問。病毒庫(kù)，攻擊庫(kù)， URL 庫(kù)可以通過網(wǎng)絡(luò)服務(wù)實(shí)時(shí)下載，確保對(duì)新爆發(fā)的病毒、攻擊、新的 URL 做到及時(shí)響應(yīng)。 安全可視化 基于角色和應(yīng)用的管理 沒有能見度就談不上安全。 StoneOS174。的應(yīng)用和身份識(shí)別，能夠滿足越來越多的深度安全需求。 基于身份和角色的管理 (RBNS)讓網(wǎng)絡(luò)配置更加直觀和精細(xì)化。不同的用戶甚至同一用戶在不同的地點(diǎn)或時(shí)間都可以有不同的管理策略。用戶訪問的內(nèi)容也可以記錄在本機(jī)存儲(chǔ)模塊或?qū)Ｓ梅?wù)器中，通過用戶的名稱審閱相關(guān)記錄使查找更簡(jiǎn)單。 基于角色的管理模式主要包含基于“人”的訪問控制、基于“人”的網(wǎng)絡(luò)資源 (服務(wù) )的分配、基于”人“的日志審計(jì)三大方面。基于角色的管理模式可以通過對(duì)訪問者身份審核和確認(rèn)，確定訪問者的訪問權(quán)限，分配相應(yīng)的網(wǎng)絡(luò)資源。在技術(shù)上可避免 IP 盜用或者 PC 終端 被盜用引發(fā)的數(shù)據(jù)泄露等問題。 全并行處理的安全架構(gòu) (多核 Plus174。 G2) Hillstone 山石網(wǎng)科自主開發(fā)的 64 位實(shí)時(shí)安全操作系統(tǒng) StoneOS174。，具備強(qiáng)大的并行處理能力。 StoneOS174。采用專利的多處理器全并行架構(gòu)，和常見的多核處理器或 NP/ASIC只負(fù)責(zé)三層包轉(zhuǎn)發(fā)的架構(gòu)不同； StoneOS174。實(shí)現(xiàn)了從網(wǎng)絡(luò)層到應(yīng)用層的多核全并行處理。 因此 SG6000較業(yè)界其他的多核或 NP/ASIC系統(tǒng)在同檔的硬件配置下有多達(dá)5 倍的性能提升，為同時(shí)開啟多項(xiàng)防護(hù)功能奠定了性能基礎(chǔ)，突破了傳統(tǒng)安全網(wǎng) 關(guān)的功能實(shí)用性和性 能的無法兩全的局限。 可擴(kuò)展的模塊化設(shè)計(jì) (多核 Plus174。 G2) SG6000G5150 支持三種類型的擴(kuò)展模塊：接口擴(kuò)展模塊，應(yīng)用處理擴(kuò)展模塊，存儲(chǔ)擴(kuò)展模塊。模塊化設(shè)計(jì)充分保護(hù)用戶投資。通過增加接口擴(kuò)展模塊提高設(shè)備的連接性，使設(shè)備不會(huì)因?yàn)榫W(wǎng)絡(luò)帶寬或應(yīng)用系統(tǒng)的升級(jí)而過時(shí)；增加應(yīng)用處理擴(kuò)展模塊，可以提高本機(jī)應(yīng)用處理能力，讓應(yīng)用處理不再成為性能瓶頸；存儲(chǔ)擴(kuò)展模塊可以實(shí)時(shí)記錄 NAT 日志， Web 訪問記錄， Web 內(nèi)容審計(jì)等日志，滿足公安部 82 號(hào)令的要求。在校園網(wǎng)和小區(qū)寬帶等大流量的場(chǎng)合，也可以使用外置高性能日志服務(wù) 器。 關(guān)鍵指標(biāo) 指 標(biāo) SG6000M3100 防火墻吞吐量 1Gbps IPSec 吞吐量 (1) 500Mbps 最大并發(fā)連接 (標(biāo)配/最大 ) 40/100 萬 防病毒吞吐量 (2) 70Mbps IPS 吞吐量 (3) 200Mbps 每秒新建連接 (4) 10,000 IPSec 隧道數(shù) 1,000 最大 SSL VPN 用戶數(shù) 500 管理接口 1 個(gè)配置口， 1 個(gè) USB 口 網(wǎng)絡(luò)接口 8 個(gè)千兆電口 電源規(guī)格 單 45W 電源輸入范圍 交流 100240V 50/60Hz 外形尺寸 (W DH,mm) 1U (442 x 241 x 44) 重量 5kg 工作環(huán)境溫度 040℃ 工作環(huán)境濕度 1095%(不結(jié)露 ) 入侵檢測(cè)系統(tǒng) 我們推薦選用入侵防御系統(tǒng)（ IPS），集成入侵防御與入侵檢測(cè)功能（ IDS） ，即可實(shí)現(xiàn)檢測(cè)功能，也可實(shí)現(xiàn)對(duì)有害行為進(jìn)行阻斷 。 我們選用綠盟科技的 “ 冰之眼 ” 網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)。 作為入侵檢測(cè)功能 使用（采用旁路模式部署），可以實(shí)現(xiàn) 實(shí)時(shí)監(jiān)控和檢測(cè)網(wǎng)絡(luò)或系統(tǒng)中的活動(dòng)狀態(tài)，一旦發(fā)現(xiàn)網(wǎng)絡(luò)中的可疑行為或惡意攻擊， IDS 便可做出及時(shí) 的報(bào)警和響應(yīng) 。 在本系統(tǒng)中我們建議采用旁路部署模式，起到入侵檢測(cè)功能（ IDS），我們把 服務(wù)器網(wǎng)段映射到 IDS 端口，檢測(cè)服務(wù)器網(wǎng)段的所有攻擊。 綠盟 NIPS600A 簡(jiǎn)介： 綠盟網(wǎng)絡(luò)入侵防護(hù)系（ NSFOCUS Network Intrusion Prevention System，簡(jiǎn)稱： NSFOCUS NIPS） 是綠盟科技自主知識(shí)產(chǎn)權(quán)的新一代安全產(chǎn)品，作為一種在線部署的產(chǎn)品，其設(shè)計(jì)目標(biāo)旨在準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)異常流量，自動(dòng)對(duì)各類攻擊性的流量，尤其是應(yīng)用層的威脅進(jìn)行實(shí)時(shí)阻斷，而不是在監(jiān)測(cè)到惡意流量的同時(shí)或之后才發(fā) 出告警。這類產(chǎn)品彌補(bǔ)了防火墻、入侵檢測(cè)等產(chǎn)品的不足，提供動(dòng)態(tài)的、深度的、主動(dòng)的安全防御，為企業(yè)提供了一個(gè)全新的入侵保護(hù)解決方案。 入侵防護(hù) 實(shí)時(shí)、主動(dòng)攔截黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、 等惡意流量，保護(hù)企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)。 Web 威脅防護(hù) 基于互聯(lián)網(wǎng) Web 站點(diǎn)的掛馬檢測(cè)結(jié)果，結(jié)合 URL 信譽(yù)評(píng)價(jià)技術(shù)，保護(hù)用戶在訪問被植入木馬等惡意代碼的網(wǎng)站時(shí)不受侵害，及時(shí)、有效地第一時(shí)間攔截 Web威脅。 流量控制 阻斷一切非授權(quán)用戶流量，管理合法網(wǎng)絡(luò)資源的利用， 有效保證關(guān)鍵應(yīng)用全天候暢通無阻，通過保護(hù)關(guān)鍵應(yīng)用帶寬來不斷提升企業(yè) IT 產(chǎn)出率和收益率。 用戶上網(wǎng)行為監(jiān)管 全面監(jiān)測(cè)和管理 IM 即時(shí)通訊、 P2P 下載、網(wǎng)絡(luò)游戲、在線視頻，以及在線炒股等網(wǎng)絡(luò)行為，協(xié)助企業(yè)辨識(shí)和限制非授權(quán)網(wǎng)絡(luò)流量，更好地執(zhí)行企業(yè)的安全策略。 產(chǎn)品型號(hào) 規(guī)格和性能 NSF