集團(tuán)網(wǎng)絡(luò)升級(jí)改造建設(shè)實(shí)施方案

1、完美 WORD格式- 集團(tuán)網(wǎng)絡(luò)升級(jí)改造建設(shè)方案一、概述網(wǎng)絡(luò)是集團(tuán)信息的基礎(chǔ)設(shè)施 ，以集團(tuán)為中心下屬各分支機(jī)構(gòu)及項(xiàng)目部通過(guò)與中心節(jié)點(diǎn)的連接 ，實(shí)現(xiàn)互聯(lián)互通 。此方案從網(wǎng)絡(luò)入口 、網(wǎng)絡(luò)安全 、數(shù)據(jù)加密 、網(wǎng)站加密等安全防護(hù)方面出發(fā)，保障公司網(wǎng)絡(luò)安全與數(shù)據(jù)互聯(lián)的暢通 。二、原拓?fù)浣榻B ：1、外網(wǎng)接入 ：目前公司大樓接入的電信帶寬是 100 兆光纖 ，較難滿足公司后期帶寬的需求 。2 網(wǎng)絡(luò)層設(shè)備核心路由器 ：設(shè)備接口為百兆而且是六年前采購(gòu)的 ，相關(guān)配件已經(jīng)停產(chǎn) 。目前要想提速到 300 兆必須采購(gòu)千兆接口路由器，因?yàn)榍д锥丝诳梢越邮崭嗟牟l(fā)訪問(wèn)數(shù)量，后期相關(guān)模塊上線使用后會(huì)有大量的用戶訪問(wèn)集團(tuán)網(wǎng)絡(luò)中

2、心 ，帶寬的擴(kuò)容可以解決此問(wèn)題 。層交換機(jī) ：目前公司六層主樓加五層副樓只有四個(gè)光口交整理分享完美 WORD格式換機(jī) ，從網(wǎng)絡(luò)拓?fù)浣嵌葋?lái)講應(yīng)該是核心交換機(jī)通過(guò)光纖直連到層交換機(jī) ，還需要采購(gòu)七臺(tái)光口交換機(jī)，保證300帶寬可以到達(dá)弱電井 ，目前的設(shè)備只支持最多一百兆帶寬到達(dá)弱電井，不能滿足后期帶寬的擴(kuò)容 。核心網(wǎng)關(guān) ：目前公司用的核心網(wǎng)關(guān)為2013年采購(gòu) ，且前段時(shí)間已升級(jí)最新版本，完全符合公司的后期擴(kuò)容要求，一般硬件廠家的支持升級(jí)年限為五年以上。上網(wǎng)行為 ：規(guī)范和限制員工的設(shè)備，包括上班時(shí)間禁止看視頻、下載大容量文件等 ，后期網(wǎng)絡(luò)改造將進(jìn)行手工配置ip 地址的模式 ，每人都對(duì)應(yīng)自己唯一的ip

3、地址 。公司現(xiàn)在網(wǎng)絡(luò)情況總結(jié)：百兆光纖接入 ，通過(guò)百兆路由器千兆交換機(jī)接入到弱電井，通過(guò)網(wǎng)絡(luò)線接入到辦公室，有相應(yīng)的上網(wǎng)行為設(shè)備的控制 ，在服務(wù)器區(qū)通過(guò)核心網(wǎng)關(guān)做映射與外網(wǎng)相連，同時(shí)起到安全防護(hù)的作用。缺點(diǎn)：用戶訪問(wèn)外部網(wǎng)絡(luò)沒(méi)有安全設(shè)備 ，會(huì)造成后期網(wǎng)絡(luò)訪問(wèn)的數(shù)據(jù)安全問(wèn)題；服務(wù)器區(qū)只有核心網(wǎng)關(guān)做防護(hù) ，不能保證服務(wù)器區(qū)的足夠安全；各樓層沒(méi)有光纖交換機(jī) ，后期擴(kuò)容帶寬受限；網(wǎng)站沒(méi)有足夠防護(hù)，主要原應(yīng)是訪問(wèn)量和數(shù)據(jù)交換較少，暫時(shí)不會(huì)有大量的數(shù)據(jù)，不會(huì)引起相關(guān)木馬等的攻擊。之所以公司網(wǎng)絡(luò)是這個(gè)現(xiàn)狀主要原因是當(dāng)時(shí)集團(tuán)大樓為臨時(shí)大樓只為過(guò)度使用，申特對(duì)網(wǎng)絡(luò)的要求也很低 ，同時(shí)在線人數(shù)也不會(huì)超過(guò)100 人

4、，網(wǎng)絡(luò)負(fù)載基本滿足。整理分享完美 WORD格式三、網(wǎng)絡(luò)整改后拓?fù)浣榻B1、接入方式擴(kuò)容 ：光纖接入 ：原先為 100 兆，擬增加到 300 兆，考慮后期集團(tuán)大樓人數(shù)的增加 、應(yīng)用系統(tǒng)的上線和視頻會(huì)議的需要 。2、網(wǎng)絡(luò)層設(shè)備 ：核心路由器 ：更換千兆接口路由器，核心路由器作為各個(gè)接入機(jī)構(gòu)的業(yè)務(wù)數(shù)據(jù)匯聚點(diǎn)，需滿足高性能、高穩(wěn)定 、接口豐富靈活 、可擴(kuò)展的要求 ，現(xiàn)有百兆路由器已經(jīng)不滿足需求，建議在出口替換成模塊化核心路由器 ，保證高穩(wěn)定性 ，用于各個(gè)機(jī)構(gòu)的主鏈路接入 ，保證出口快速轉(zhuǎn)發(fā) ，并方便后期擴(kuò)展 ，路由器支持光口 、電口、155M CPOS 接口、 E1/CE1 接口、V35 同步接口、15

5、5M ATM 接口等 ，滿足各種廣域網(wǎng)接入要求 。接入交換機(jī) ：現(xiàn)有七臺(tái)接入交換機(jī)無(wú)光口 ，且性能偏低 ，無(wú)法滿足現(xiàn)有數(shù)據(jù)線速轉(zhuǎn)發(fā)要求 ，建議將現(xiàn)有 7 臺(tái)交換機(jī)升級(jí)為光口交換機(jī) ，各大樓及樓層之間通過(guò)光纖直連 ，提升可靠性 、分布性和易管理性 。安全防護(hù) ：目前公司只有一臺(tái)核心網(wǎng)關(guān) ，并沒(méi)有相應(yīng)的安全設(shè)備 ，特新增一臺(tái)入侵防御系統(tǒng) ，針對(duì)互聯(lián)網(wǎng)病毒 、蠕蟲(chóng)，黑客攻擊等入侵行為進(jìn)行檢測(cè) 、報(bào)警和阻斷 ，提供安全檢測(cè) 、流量分析 、修正分析 、及時(shí)準(zhǔn)確告警 ，更好地進(jìn)行風(fēng)險(xiǎn)分析 、風(fēng)險(xiǎn)預(yù)警 、系統(tǒng)和網(wǎng)絡(luò)脆弱性分析 ，構(gòu)建安全可靠的信息網(wǎng)整理分享完美 WORD格式絡(luò)，后期信息系統(tǒng)的通入必然會(huì)有大量

6、的數(shù)據(jù)，入侵防御系統(tǒng)是目前網(wǎng)絡(luò)安全領(lǐng)域較好的抵御設(shè)備 ，也是目前主流的安全設(shè)備，一般的使用年限在五年以上 ，考慮公司的成本問(wèn)題建議采購(gòu)。增加入侵防御系統(tǒng)的原因：在網(wǎng)絡(luò)的運(yùn)行維護(hù)中， IT 部門(mén)仍然發(fā)現(xiàn)網(wǎng)絡(luò)的帶寬利用率居高不下、而應(yīng)用系統(tǒng)的響應(yīng)速度越來(lái)越慢 ，只好提升帶寬并升級(jí)服務(wù)器嘍，可過(guò)不了多久問(wèn)題再次出現(xiàn) 。 而實(shí)際上 ，業(yè)務(wù)增長(zhǎng)速度并沒(méi)有這樣快，業(yè)務(wù)流量占用帶寬不會(huì)達(dá)到這樣的數(shù)量 ，這是目前各大公司網(wǎng)絡(luò)都可能存在的問(wèn)題 。并不是當(dāng)初網(wǎng)絡(luò)設(shè)計(jì)不周，而是自 2003 年以來(lái) ，蠕蟲(chóng)、點(diǎn)到點(diǎn) ，入侵技術(shù)日益滋長(zhǎng)并演變到應(yīng)用層面（ L7）的結(jié)果，而這些有害代碼總是偽裝成客戶正常業(yè)務(wù)進(jìn)行傳播，目前

7、部署的防火墻其軟硬件設(shè)計(jì)當(dāng)初僅按照其工作在L2-L4時(shí)的情況考慮 ，不具有對(duì)數(shù)據(jù)流進(jìn)行綜合、深度監(jiān)測(cè)的能力 ，自然就無(wú)法有效識(shí)別偽裝成正常業(yè)務(wù)的非法流量，結(jié)果蠕蟲(chóng) 、攻擊、間諜軟件 、點(diǎn)到點(diǎn)應(yīng)用等非法流量輕而易舉地通過(guò)防火墻開(kāi)放的端口進(jìn)出網(wǎng)絡(luò) ，如下圖所示 ：整理分享完美 WORD格式這就是為何用戶在部署了防火墻后，仍然遭受入侵以及蠕蟲(chóng)、病毒、拒絕服務(wù)攻擊的困擾。事實(shí)上 ，員工的 PC 都既需要訪問(wèn) Internet又必須訪問(wèn)公司的業(yè)務(wù)系統(tǒng)，所以存在被病毒感染和黑客控制的可能，蠕蟲(chóng)可以穿透防火墻并迅速傳播，導(dǎo)致主機(jī)癱瘓 ，吞噬寶貴網(wǎng)絡(luò)帶寬，P2P 等應(yīng)用 ，利用 80 端口進(jìn)行協(xié)商，然后利用開(kāi)

8、放的DP 進(jìn)行大量文件共享，導(dǎo)致機(jī)密泄漏和網(wǎng)絡(luò)擁塞 ，對(duì)系統(tǒng)的危害極大。為了能夠讓防火墻具備深入的監(jiān)測(cè)能力，許多廠商都基于現(xiàn)有的平臺(tái)增加了L4-L7 分析能力 ，但問(wèn)題是僅僅將上千個(gè)基于簡(jiǎn)單模式匹配過(guò)濾器同時(shí)打開(kāi)來(lái)完成對(duì)數(shù)據(jù)包的L4-L7 深入檢測(cè)時(shí) ，防火墻的在數(shù)據(jù)流量較大時(shí)會(huì)迅速崩潰，或雖可以勉強(qiáng)工作 ，卻引入很大的處理延時(shí)，造成業(yè)務(wù)系統(tǒng)性能的嚴(yán)重下降，所以基于現(xiàn)有防火墻體系結(jié)構(gòu)增加深入包檢測(cè)功能的方案存在嚴(yán)重的性能問(wèn)題 。整理分享完美 WORD格式防火墻和 IPS 協(xié)同工作 ：內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接處一向是網(wǎng)絡(luò)安全的重點(diǎn)，防火墻無(wú)法阻止黑客間接地通過(guò)有權(quán)限的主機(jī)發(fā)起攻擊 。 因此在防火

9、墻之后部署一臺(tái) IPS，配置保護(hù)內(nèi)部網(wǎng)絡(luò)的安全策略 。 通過(guò)防火墻過(guò)濾掉非法的訪問(wèn)數(shù)據(jù) ，轉(zhuǎn)發(fā)開(kāi)放端口的服務(wù)數(shù)據(jù)到內(nèi)部網(wǎng)絡(luò)中 ，進(jìn)入內(nèi)部網(wǎng)絡(luò)之前 ，在通過(guò) IPS的深度檢測(cè) ，檢查每一個(gè)數(shù)據(jù)包是否存在病毒或攻擊代碼 ，能夠進(jìn)行實(shí)時(shí)阻斷 。Web 應(yīng)用防火墻 ：主要部署在網(wǎng)站 、應(yīng)用服務(wù)器前端 ，后期應(yīng)用系統(tǒng)將通過(guò)網(wǎng)站訪問(wèn) ，如果沒(méi)有較強(qiáng)的保護(hù)措施 ，后期會(huì)對(duì)應(yīng)用的訪問(wèn)造成一定的安全威脅，同時(shí)它具備用戶訪問(wèn)的行為分析與審計(jì)，對(duì)頁(yè)面點(diǎn)擊率、客戶端地址 、訪問(wèn)流量和時(shí)間等維度進(jìn)行有效行為跟蹤和呈現(xiàn)，內(nèi)置典型攻擊特征，針對(duì)穿山甲等常用軟甲工具精心優(yōu)化，阻止 SQL 注入 HTTP 參數(shù)污染等常見(jiàn)攻擊

10、。涵蓋 OWASPTOP110 威脅，并能自動(dòng)升級(jí) 。增加 web 防火墻的原因 ：從狹義的保護(hù)角度來(lái)看 ，計(jì)算機(jī)網(wǎng)絡(luò)安全是指計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害 ；從其本質(zhì)上來(lái)講就是系統(tǒng)上的信息安全 。從廣義來(lái)說(shuō) ，凡是涉及到計(jì)算機(jī)網(wǎng)絡(luò)上信息的保密性 、完整性、可用性 、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是計(jì)算機(jī)網(wǎng)絡(luò)安全的研究領(lǐng)域 ?；诠蚕淼木W(wǎng)絡(luò)存在以下共同的風(fēng)險(xiǎn)。整理分享完美 WORD格式1) 操作系統(tǒng)安全的脆弱性操作系統(tǒng)不安全，是計(jì)算機(jī)不安全的根本原因。主要表現(xiàn)在：操作系統(tǒng)結(jié)構(gòu)體制本身的缺陷；操作系統(tǒng)支持在網(wǎng)絡(luò)上傳輸文件 、加載與安裝程序 ，包括可執(zhí)行文件

11、；操作系統(tǒng)不安全的原因還在于創(chuàng)建進(jìn)程 ，甚至可以在網(wǎng)絡(luò)的結(jié)點(diǎn)上進(jìn)行遠(yuǎn)程的創(chuàng)建和激活 ；操作系統(tǒng)提供網(wǎng)絡(luò)文件系統(tǒng) (NFS)服務(wù)， NFS 系統(tǒng)是一個(gè)基于 RPC 的網(wǎng)絡(luò)文件系統(tǒng) ，如果 NFS 設(shè)置存在重大問(wèn)題 ，則幾乎等于將系統(tǒng)管理權(quán)拱手交出 ；操作系統(tǒng)安排的無(wú)口令人口 ，是為系統(tǒng)開(kāi)發(fā)人員提供的邊界入口 ，但這些入口也可能被黑客利用 ；操作系統(tǒng)還有隱蔽的信道，存在潛在的危險(xiǎn) 。2) 網(wǎng)絡(luò)安全的脆弱性由于 Internet Intranet 的出現(xiàn) ，網(wǎng)絡(luò)安全問(wèn)題更加嚴(yán)重 。可以說(shuō) ，使用 TCP IP 協(xié)議的網(wǎng)絡(luò)所提供的 FTP、E-Mail 、RPC和 NFS 都包含許多不安全的因素 ，存

12、在許多漏洞 。同時(shí)，網(wǎng)絡(luò)的普及使信息共享達(dá)到了一個(gè)新的層次 ，信息被暴露的機(jī)會(huì)大大增多 。 Intranet 網(wǎng)絡(luò)就是一個(gè)不設(shè)防的開(kāi)放大系統(tǒng)，誰(shuí)都可以通過(guò)未受保護(hù)的外部環(huán)境和線路訪問(wèn)系統(tǒng)內(nèi)部 ，隨時(shí)可能發(fā)生搭線竊聽(tīng) 、遠(yuǎn)程監(jiān)控 、攻擊破壞 。整理分享完美 WORD格式3) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全的脆弱性當(dāng)前，大量的信息存儲(chǔ)在各種各樣的數(shù)據(jù)庫(kù)中，而這些數(shù)據(jù)庫(kù)系統(tǒng)在安全方面的考慮卻很少。而且，數(shù)據(jù)庫(kù)管理系統(tǒng)安全必須與操作系統(tǒng)的安全相配套。4) 內(nèi)部資料被竊取現(xiàn)在企業(yè)信息化過(guò)程中上傳下達(dá)的各種資料基本上都要先經(jīng)過(guò)電腦錄入并打印后再送發(fā)出去，電腦內(nèi)一般都留有電子版的備份，若此電腦直接接入局域網(wǎng)或Intra

13、net ，就有可能受到來(lái)自內(nèi)部或外部人員的威脅，其主要方式有 ：利用系統(tǒng)漏洞入侵 ，瀏覽 、拷貝甚至刪除重要文件 。 前段時(shí)間在安全界流行一個(gè)名為 DCOM RPC 的漏洞 ，其涉及范圍非常之廣 ，從 Windows NT4 0、 Windows 2000 、 Windows XP 到 WindowsServer 2003 。由于 Microsoft RPC 的 DCOM( 分布式組件對(duì)象模塊 )接口存在緩沖區(qū)溢出缺陷 ，如果攻擊者成功利用了該漏洞 ，將會(huì)獲得本地系統(tǒng)權(quán)限 ，并可以在系統(tǒng)上運(yùn)行任何命令 ，如安裝程序 ，查看或更改 、刪除數(shù)據(jù)或是建立系統(tǒng)管理員權(quán)限的帳戶等 。 目前關(guān)于該漏洞的攻

14、擊代碼已經(jīng)涉及到的相應(yīng)操作系統(tǒng)和版本已有 48 種之多，其危害性可見(jiàn)一斑 ；電腦操作人員安全意識(shí)差 ，系統(tǒng)配置疏忽大意 ，隨意共享目錄 ；系統(tǒng)用戶使用空口令 ，或?qū)⑾到y(tǒng)帳號(hào)隨意轉(zhuǎn)借他人 ，都會(huì)導(dǎo)致重要內(nèi)容被非法訪問(wèn) ，甚至丟失系統(tǒng)控制權(quán) 。5) Web 服務(wù)被非法利用整理分享完美 WORD格式基于網(wǎng)頁(yè)的入侵及欺詐行為威脅著網(wǎng)站數(shù)據(jù)的安全性及可信性。 其主要表現(xiàn)在 ：Web 頁(yè)面欺詐許多提供各種法律法規(guī)及相關(guān)專業(yè)數(shù)據(jù)查詢的站點(diǎn)都提供了會(huì)員服務(wù) ，這些會(huì)員一般需要繳納一定的費(fèi)用才能正式注冊(cè)成為會(huì)員 ，站點(diǎn)允許通過(guò)信用卡在線付費(fèi)的形式注冊(cè)會(huì)員。攻擊者可以通過(guò)一種被稱為 Man-In-the-Midd

15、le的方式得到會(huì)員注冊(cè)中的敏感信息 。攻擊者可通過(guò)攻擊站點(diǎn)的外部路由器，使進(jìn)出方的所有流量都經(jīng)過(guò)他 。 在此過(guò)程中 ，攻擊者扮演了一個(gè)代理人的角色，在通信的受害方和接收方之間傳遞信息。代理人是位于正在同心的兩臺(tái)計(jì)算機(jī)之間的一個(gè)系統(tǒng)，而且在大多數(shù)情況下 ，它能在每個(gè)系統(tǒng)之間建立單獨(dú)的連接。在此過(guò)程中 ，攻擊者記錄下用戶和服務(wù)器之間通信的所有流量，從中挑選自己感興趣的或有價(jià)值的信息 ，對(duì)用戶造成威脅 。CGI 欺騙CGI(Common Gateway Interface) 即通用網(wǎng)關(guān)接口 ，許多 Web 頁(yè)面允許用戶輸入信息 ，進(jìn)行一定程度的交互 。 還有一些搜索引擎允許用戶查找特定信息的站點(diǎn) ，

16、這些一般都通過(guò)執(zhí)行 CGI 程序來(lái)完成 。 一些配置不當(dāng)或本身存在漏洞的 CGI 程序，能被攻擊者利用并執(zhí)行一些系統(tǒng)命令 ，如創(chuàng)建具有管理員權(quán)限的用戶 ，開(kāi)啟共享 、系統(tǒng)服務(wù) ，上傳并運(yùn)行木馬等 。在奪取系統(tǒng)整理分享完美 WORD格式管理權(quán)限后 ，攻擊者還可在系統(tǒng)內(nèi)安裝嗅探器 ，記錄用戶敏感數(shù)據(jù) ，或隨意更改頁(yè)面內(nèi)容 ，對(duì)站點(diǎn)信息的真實(shí)性及可信性造成威脅 。錯(cuò)誤和疏漏Web 管理員 、Web 設(shè)計(jì)者 、頁(yè)面制作人員 、Web 操作員以及編程人員有時(shí)會(huì)無(wú)意中犯一些錯(cuò)誤 ，導(dǎo)致一些安全問(wèn)題 ，使得站點(diǎn)的穩(wěn)定性下降 、查詢效率降低 ，嚴(yán)重的可導(dǎo)致系統(tǒng)崩潰、頁(yè)面被篡改 、降低站點(diǎn)的可信度 。6) 網(wǎng)絡(luò)

17、服務(wù)的潛在安全隱患一切網(wǎng)絡(luò)功能的實(shí)現(xiàn) ，都基于相應(yīng)的網(wǎng)絡(luò)服務(wù)才能實(shí)現(xiàn) ，如 IIS 服務(wù)、 FTP 服務(wù)、 E-Mail 服務(wù)等 。 但這些有著強(qiáng)大功能的服務(wù)，在一些有針對(duì)性的攻擊面前 ，也顯得十分脆弱 。 以下列舉幾種常見(jiàn)的攻擊手段 。分布式拒絕服務(wù)攻擊攻擊者向系統(tǒng)或網(wǎng)絡(luò)發(fā)送大量信息 ，使系統(tǒng)或網(wǎng)絡(luò)不能響應(yīng)。 對(duì)任何連接到 Intranet 上并提供基于 TCP 的網(wǎng)絡(luò)服務(wù) (如 Web 服務(wù)器 、 FrP 服務(wù)器或郵件服務(wù)器 )的系統(tǒng)都有可能成為被攻擊的目標(biāo) 。大多數(shù)情況下 ，遭受攻擊的服務(wù)很難接收進(jìn)新的連接，系統(tǒng)可能會(huì)因此而耗盡內(nèi)存 、死機(jī)或產(chǎn)生其他問(wèn)題 ?？诹罟艋诰W(wǎng)絡(luò)的辦公過(guò)程中不

18、免會(huì)有利用共享 、FTP 或網(wǎng)頁(yè)形式來(lái)傳送一些敏感文件 ，這些形式都可以通過(guò)設(shè)置密碼的方式來(lái)整理分享完美 WORD格式提高文件的安全性，但多數(shù)八會(huì)使用一些諸如123 、 work 、happy等基本數(shù)字或單詞作為密碼，或是用自己的生日、姓名作為口令 ，由于人們主觀方面的原因，使得這些密碼形同虛設(shè)，攻擊者可通過(guò)詞典、組合或暴力破解等手段得到用戶密碼，從而達(dá)到訪問(wèn)敏感信息的目的。網(wǎng)頁(yè)防篡改軟件針對(duì)網(wǎng)站群實(shí)現(xiàn)安全防護(hù) 。防范數(shù)據(jù)篡改 、網(wǎng)站暗鏈 、頁(yè)面篡改 、后臺(tái)管理 、文件包含 、目錄遍歷 、文件上傳 、信息泄露 、攻擊痕跡 、中間件 。 部署于服務(wù)器前端 ，串聯(lián)，針對(duì)網(wǎng)站安全漏洞 、攻擊手段及最

19、終攻擊結(jié)果 ，行掃描 、防護(hù)及診斷 ，對(duì)網(wǎng)站進(jìn)行應(yīng)用層防護(hù) ，防止篡改 ，保障數(shù)據(jù)完整性 。對(duì)網(wǎng)站進(jìn)行應(yīng)用層防護(hù) ，防止篡改 ，保障數(shù)據(jù)完整性 ，內(nèi)核控制 、本地備份 、異地備份等多種組合防護(hù)措施，保證網(wǎng)站免遭篡改 ，維護(hù)網(wǎng)站形象 ，同時(shí)保證網(wǎng)站和應(yīng)用系統(tǒng)的前端安全。整改后的網(wǎng)絡(luò)介紹：通過(guò)路由器接入外網(wǎng) ，核心網(wǎng)關(guān) 、上網(wǎng)行為 、ips 主動(dòng)防御部署在主路上 ， web 防火墻部署在網(wǎng)站和應(yīng)用前端 ，網(wǎng)頁(yè)防竄改系統(tǒng)部署在網(wǎng)站和應(yīng)用服務(wù)器上 ，保證整條鏈路的安全和訪問(wèn)速度 ，同時(shí)核心交換于層交換機(jī)光口相連，保證三百兆帶寬直達(dá)弱電井 。整理分享完美 WORD格式四、配置清單序產(chǎn)品規(guī)格描述號(hào)標(biāo)準(zhǔn) 2

20、U 機(jī)架式設(shè)備 ，冗余電源 ，液晶屏 ；吞吐率 1.5Gbps ，并發(fā)連接數(shù) 200 萬(wàn)；全模塊化配置 ，支持萬(wàn)兆接口 ；配置有 6 個(gè)千兆接口 ,1 個(gè)擴(kuò)展插槽 ；配置 2 路 IPS 許可 。 內(nèi)置軟 / 硬 bybass ，最大支持 2 路 IPS 和 1 路 IDS。 防范系統(tǒng)漏洞 、網(wǎng)站木馬 、跨站腳本 、危侵防御系1險(xiǎn)端口 、文件上傳 、信息泄露 、攻擊痕跡 、中間件 。 部署于 WAF統(tǒng)之前 ，串聯(lián)，針對(duì)互聯(lián)網(wǎng)病毒 、蠕蟲(chóng)，黑客攻擊等入侵行為進(jìn)行檢測(cè)、報(bào)警和防護(hù) ，提供安全檢測(cè) 、流量分析 、修正分析 、及時(shí)準(zhǔn)確告警 ，幫助安全管理員更好地進(jìn)行風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)預(yù)警 、系統(tǒng)和網(wǎng)絡(luò)脆弱性分析標(biāo)準(zhǔn)機(jī)架式 ， 6