通州財(cái)政設(shè)計(jì)方案

1、通州財(cái)政局WLAN網(wǎng)絡(luò)覆蓋設(shè)計(jì)方案China unicorn 4?國(guó)聯(lián) ifi聯(lián)通通州分公司2014年9月目錄第一章.概述11. 概述1第二章.項(xiàng)目需求分析31. 總體要求32. 網(wǎng)絡(luò)覆蓋的范圍33. 技術(shù)要求3第三章.整體設(shè)計(jì)41. 設(shè)計(jì)原則52. 整體區(qū)域設(shè)計(jì) 5第四章.方案優(yōu)勢(shì)10第五章.產(chǎn)品介紹125.1智能防火墻 AF1210 135.2上網(wǎng)行為管理AC 145.3 WX5500系列多業(yè)務(wù)無(wú)線(xiàn)控制器 175.4 S5500-EI系列以太網(wǎng)交換機(jī) 185.5 WA2610無(wú)線(xiàn) AP19第一章.概述1.概述北京通州財(cái)政局是貫徹落實(shí)國(guó)家和本市關(guān)于財(cái)政、財(cái)務(wù)、會(huì)計(jì)管 理方面的法律、法規(guī)、規(guī)章

2、和政策；編制并組織實(shí)施本區(qū)中長(zhǎng)期財(cái)政 計(jì)劃；參與擬訂本區(qū)重大經(jīng)濟(jì)決策和措施、辦法，研究提出運(yùn)用財(cái)稅 政策對(duì)經(jīng)濟(jì)運(yùn)行實(shí)施調(diào)控和綜合平衡本區(qū)財(cái)力的建議；執(zhí)行市與區(qū)縣、國(guó)家與企業(yè)的分配政策；擬訂完善鼓勵(lì)公益事業(yè)發(fā)展的財(cái)稅相關(guān)措施、 辦法的政府機(jī)構(gòu)，財(cái)政局辦公大樓主要有辦公樓主樓 9層，備用樓層 4層，包含辦公區(qū)域、食堂、學(xué)習(xí)會(huì)議室、健身房、地下車(chē)庫(kù)。無(wú)線(xiàn)網(wǎng)絡(luò)是財(cái)政單位的一項(xiàng)基礎(chǔ)設(shè)施， 無(wú)線(xiàn)網(wǎng)絡(luò)是有線(xiàn)網(wǎng)絡(luò)的有 效補(bǔ)充和擴(kuò)展，采用高速以太技術(shù)和802.11a/b/g/n無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn) 財(cái)政辦公區(qū)域網(wǎng)絡(luò)的全面覆蓋，即實(shí)現(xiàn)辦公區(qū)域內(nèi)在任何地方都可以 進(jìn)行網(wǎng)上辦公、網(wǎng)上學(xué)習(xí)、網(wǎng)上科研及網(wǎng)上服務(wù)的一種普通計(jì)算

3、的辦 公網(wǎng)絡(luò)文化，逐步實(shí)現(xiàn)辦公網(wǎng)絡(luò)信息化、現(xiàn)代化的目標(biāo)。建設(shè)目標(biāo)覆蓋辦公樓所有空間，包括辦公區(qū)域、食堂、學(xué)習(xí)會(huì)議室、健 身房、地下車(chē)庫(kù)等等，為辦公和會(huì)議、健身生活提供切實(shí)可用的無(wú)線(xiàn) 網(wǎng)絡(luò)環(huán)境；同已有有線(xiàn)網(wǎng)絡(luò)骨干無(wú)縫結(jié)合，成為原有辦公網(wǎng)的有力補(bǔ)充,可以通暢、安全地訪(fǎng)問(wèn)財(cái)政內(nèi)網(wǎng)，外部網(wǎng)絡(luò)；利用各種安全技術(shù)，保證無(wú)線(xiàn)網(wǎng)及辦公網(wǎng)絡(luò)的安全;第二章.項(xiàng)目需求分析1. 總體要求目前辦公大樓存在固定網(wǎng)絡(luò)，為了更高效的辦公，實(shí)現(xiàn)現(xiàn)代化，信息化，需要建立一張無(wú)線(xiàn)網(wǎng)絡(luò)，建立無(wú)線(xiàn)網(wǎng)絡(luò)就需要升級(jí)帶寬，還 有原來(lái)網(wǎng)絡(luò)的一些小問(wèn)題需要緊急處理， 就是在辦公網(wǎng)中，員工私自 鏈接小路由器、小交換機(jī)，不但影響網(wǎng)絡(luò)的穩(wěn)定，而且還不

4、安全。由 于建造無(wú)線(xiàn)網(wǎng)絡(luò)，需要加大帶寬，隨之相應(yīng)原來(lái)的帶有路由功能的光 纖貓就不能滿(mǎn)足需求，因此我們需要建造無(wú)線(xiàn)網(wǎng)絡(luò)，使用技術(shù)手段解 決光纖貓性能和辦公網(wǎng)出現(xiàn)的問(wèn)題。對(duì)于員工上網(wǎng)辦公等需要相對(duì)安全的網(wǎng)絡(luò)環(huán)境， 我們需要審計(jì)員 工上網(wǎng)行為，上網(wǎng)的記錄，發(fā)現(xiàn)問(wèn)題立刻解決，這也是國(guó)家對(duì)相關(guān)部 門(mén)硬性要求。2. 網(wǎng)絡(luò)覆蓋的范圍本次建設(shè)覆蓋范圍包括：地下停車(chē)場(chǎng)、辦公樓、食堂、備辦公樓的員工會(huì)議室，健身房等位置。3. 技術(shù)要求1運(yùn)用技術(shù)手段保證無(wú)線(xiàn)網(wǎng)絡(luò)的穩(wěn)定、安全、有效的運(yùn)行。2運(yùn)用技術(shù)手段將原來(lái)的光纖帶寬在防火墻上做分流，一部分給有線(xiàn)網(wǎng)絡(luò)，一部分給無(wú)線(xiàn)網(wǎng)絡(luò)使用。3使用硬件應(yīng)用防火墻保證內(nèi)網(wǎng)，網(wǎng)絡(luò)出口數(shù)據(jù)

5、的轉(zhuǎn)發(fā)，相對(duì)安全內(nèi)部網(wǎng)絡(luò)環(huán)境4使用上網(wǎng)行為管理管理內(nèi)部網(wǎng)絡(luò)的迅雷下載、QQ等不應(yīng)該出現(xiàn)的流量，包括私接的小路由，小交換的行為導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定都可做 到有效控制。5對(duì)網(wǎng)絡(luò)設(shè)備要求能夠遠(yuǎn)程管理，方便運(yùn)維人員的管理和排障,在網(wǎng)絡(luò)出現(xiàn)問(wèn)題時(shí)，有效解決網(wǎng)絡(luò)故障，恢復(fù)網(wǎng)絡(luò)使用。第三章.整體設(shè)計(jì)1. 設(shè)計(jì)原則網(wǎng)絡(luò)設(shè)計(jì)應(yīng)該遵循開(kāi)放性和標(biāo)準(zhǔn)化原則、實(shí)用性與先進(jìn)性兼顧原 則、可用性原則、高性能原則、經(jīng)濟(jì)性原則、可靠性原則、安全第一 原則、適度的可擴(kuò)展性原則、充分利用現(xiàn)有資源原則、易管理性原則、 易維護(hù)性原則、最佳的性能價(jià)格比原則、QoS保證原則。2. 整體區(qū)域設(shè)計(jì)本次設(shè)計(jì)將原有網(wǎng)絡(luò)從一個(gè)大二層網(wǎng)絡(luò)重新規(guī)劃為相對(duì)穩(wěn)定

6、的三層架構(gòu)，各區(qū)域的設(shè)備和主要功能如下：2.1.核心互聯(lián)區(qū)增加性能強(qiáng)大H3C 5500交換機(jī)為核心交換機(jī)，主要負(fù)責(zé)與其他 各個(gè)區(qū)域的互聯(lián)和數(shù)據(jù)的三層轉(zhuǎn)發(fā)，為整個(gè)網(wǎng)絡(luò)提供高速的數(shù)據(jù)交換, 同時(shí)保留原有網(wǎng)絡(luò)架構(gòu)不變。22服務(wù)器區(qū)增加防火墻，防止外部對(duì)網(wǎng)絡(luò)攻擊，防火墻把整個(gè)網(wǎng)絡(luò)劃分 為三個(gè)區(qū)域，一部份為外部網(wǎng)絡(luò)不可信賴(lài)區(qū)域，一部分為內(nèi)部網(wǎng) 絡(luò)可信賴(lài)區(qū)域，另一部份為DMZ區(qū)域，保證服務(wù)器的安全穩(wěn)定運(yùn) 行。2.3. 內(nèi)部網(wǎng)絡(luò)對(duì)于原來(lái)單位內(nèi)部網(wǎng)絡(luò)不安全，網(wǎng)絡(luò)出口設(shè)備性能不佳，芯片 處理速度慢，我們采用深信服的防火墻來(lái)做安全設(shè)備。如今網(wǎng)絡(luò) 在改變網(wǎng)絡(luò)已經(jīng)深入日常生活1、大量的新應(yīng)用建立在HTTP/HTTPS

7、標(biāo)準(zhǔn)協(xié)議之上2、許多威脅依附在應(yīng)用之中傳播肆虐3、根據(jù)報(bào)告：75%的攻擊來(lái)自應(yīng)用層4、攻擊的多樣化、黑客平民化傳統(tǒng)的防火墻基于包頭信息不能分辨應(yīng)用及內(nèi)容也不能區(qū)分用戶(hù)， 更是不能分析記錄用戶(hù)的行為。因此我們采用深信服新一代防火 墻設(shè)備，它可以做到基于用戶(hù)和應(yīng)用做安全控制，要求對(duì)用戶(hù)進(jìn) 行識(shí)別和對(duì)應(yīng)用進(jìn)行識(shí)別。NGAF具備全面的用戶(hù)認(rèn)證系統(tǒng)和海 量的應(yīng)用識(shí)別特征庫(kù)。對(duì)于單位的需求完全滿(mǎn)足。2.4. 對(duì)于單位員工行為的設(shè)計(jì)目前單位網(wǎng)絡(luò)中，員工私自接無(wú)線(xiàn)路由，交換等行為一方面 影響網(wǎng)絡(luò)穩(wěn)定的運(yùn)行，另一方面單位不允許使用這些小路由，屢 勸不該，加之員工互聯(lián)網(wǎng)風(fēng)險(xiǎn)意識(shí)不強(qiáng)，這樣做對(duì)于內(nèi)部網(wǎng)絡(luò)及 其不安全

8、，不懷好意的人可以通過(guò)這些小路由，交換鏈接到網(wǎng)絡(luò) 內(nèi)部，攻擊網(wǎng)絡(luò)，竊取信息，然而就是這些小路由小交換安全做 的不夠好，無(wú)法有效的防御。網(wǎng)絡(luò)的發(fā)展與普及正在改變?nèi)藗兊?生產(chǎn)生活方式，互聯(lián)網(wǎng)正逐步成為重要的生產(chǎn)資料，組織業(yè)務(wù)正 逐漸向互聯(lián)網(wǎng)轉(zhuǎn)型。 互聯(lián)網(wǎng)是一把”雙刃劍”缺乏管理的互聯(lián)網(wǎng) 已經(jīng)帶來(lái)諸多問(wèn)題：1、帶寬濫用，上網(wǎng)速度慢（P2P流量超過(guò)一半，訪(fǎng)問(wèn)網(wǎng)頁(yè)， ERP等無(wú)法順利進(jìn)行，帶寬無(wú)法有效的分配和利用）2、工作效率下降（上班時(shí)間網(wǎng)絡(luò)聊天、炒股、網(wǎng)游、看新聞等行為泛濫）3、機(jī)密信息被泄露，信息安全遭威脅（上網(wǎng)授權(quán)缺失，用戶(hù) 肆意上網(wǎng)，為通過(guò)網(wǎng)絡(luò)泄密提供了通道，泄密后無(wú)據(jù)可查，責(zé)任 難追究）4、

9、違法網(wǎng)絡(luò)行為為企業(yè)帶來(lái)法律風(fēng)險(xiǎn)（肆意瀏覽非法、反動(dòng) 網(wǎng)站，若無(wú)具體日志記錄，無(wú)法舉證追蹤）5、安全威脅頻發(fā)、上網(wǎng)環(huán)境惡化（互聯(lián)網(wǎng)威脅越來(lái)越多；隱 蔽和病毒感染技術(shù)越來(lái)越先進(jìn)）因此，我們采用業(yè)內(nèi)比較權(quán)威的先進(jìn)的深信服廠(chǎng)家的上網(wǎng)行 為管理設(shè)備杜絕這種情況產(chǎn)生。對(duì)于上網(wǎng)行為管理產(chǎn)品，它可以 做到一下幾個(gè)方面：1、應(yīng)用授權(quán)其中包括：網(wǎng)站訪(fǎng)問(wèn)、言論發(fā)布、文件傳輸、郵 收發(fā)、IM/P2P等應(yīng)用、控制與提醒；2、帶寬管理其中包括：多線(xiàn)路流控、用戶(hù)/組流控、應(yīng)用流量、 文件流控；3、行為記錄其中包括：網(wǎng)站訪(fǎng)問(wèn)、外發(fā)言論、SSL加密應(yīng)用、 郵件、文件收發(fā)、IM聊天等行為、免審計(jì)Key4、報(bào)表分析其中包括：獨(dú)立數(shù)

10、據(jù)中心、統(tǒng)計(jì)/對(duì)比/趨勢(shì)、風(fēng)險(xiǎn)智能報(bào)表、數(shù)據(jù)挖掘與分析、內(nèi)容快速檢索、日志權(quán)限Key5、安全防護(hù)其中包括：終端安全檢查、網(wǎng)絡(luò)準(zhǔn)入控制、安全桌面、過(guò)濾腳本、插件、危險(xiǎn)流量封堵、查殺木馬、病毒、無(wú)線(xiàn)熱點(diǎn) 發(fā)現(xiàn)；所以上網(wǎng)行為管理設(shè)備完全滿(mǎn)足我們的需求，而且對(duì)于政府部門(mén)這類(lèi)設(shè)備是國(guó)家規(guī)定必須使用的設(shè)備。對(duì)于原有網(wǎng)絡(luò)架構(gòu)不變，增加無(wú)線(xiàn)網(wǎng)絡(luò)覆蓋，對(duì)用戶(hù)的上網(wǎng)行為 進(jìn)行審計(jì)，可以做到針對(duì)每個(gè)用戶(hù)可以做到控制， 完全禁止員工私自 接入小路由，小交換，記錄員工上網(wǎng)記錄，以及發(fā)送內(nèi)容等?；诰W(wǎng)絡(luò)的先進(jìn)性考慮，本次無(wú)線(xiàn)網(wǎng)絡(luò)項(xiàng)目采用目前主流的無(wú)線(xiàn) 控制器+瘦AP的架構(gòu)，在實(shí)現(xiàn)對(duì)辦公網(wǎng)絡(luò)進(jìn)行無(wú)縫覆蓋的同時(shí)，又能夠 實(shí)現(xiàn)

11、對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)的靈活管理配置，提高網(wǎng)絡(luò)維護(hù)效率。由于本次項(xiàng)目所需室內(nèi)AP數(shù)量較多，所以在本次無(wú)線(xiàn)網(wǎng)絡(luò)解決 方案采用高端無(wú)線(xiàn)控制器 H3C EWP-WX3024E-POEP放在網(wǎng)絡(luò)核心， 實(shí)現(xiàn)對(duì)于無(wú)線(xiàn)網(wǎng)絡(luò)中所有的室內(nèi)AP的統(tǒng)一管理。H3C EWP-WX3024E-POEP高端無(wú)線(xiàn)控制器最大可管理 128個(gè)AP，完全 能夠管理本次項(xiàng)目所需的室內(nèi) AP；室內(nèi)型AP采用WA2620-E雙頻 AP,WA2620-E支持六個(gè)射頻模塊，可以同時(shí)工作在2.4GHz和5GHz, 在設(shè)備數(shù)量不變的情況下，把網(wǎng)絡(luò)的介入容量提高幾倍，以滿(mǎn)足 WLAN用戶(hù)快速增長(zhǎng)的需求；PoE交換機(jī)采用LS5120-28P PoE千兆交換

12、機(jī)，H3C S5120系列 PoE交換機(jī)最大提供 AC輸入：523W DC輸入：832W供電功率， 可以滿(mǎn)足24 口同時(shí)接AP的供電需求；管理方面，H3C可以部署iMC智能管理中心，通過(guò)在iMC智能 管理中心上增加WSM無(wú)線(xiàn)業(yè)務(wù)管理組件的方式實(shí)現(xiàn)對(duì)無(wú)線(xiàn)控制器、 室內(nèi)AP、室外AP設(shè)備的統(tǒng)一管理。簡(jiǎn)易邏輯組網(wǎng)圖如下圖所示:北京通州財(cái)政局內(nèi)網(wǎng)拓?fù)錈o(wú)線(xiàn)AP26102.5.無(wú)線(xiàn)覆蓋匯總覆蓋目標(biāo)描述數(shù)量停車(chē)場(chǎng)四個(gè)角落各1個(gè)，中間2個(gè)6一層辦公樓后廚3個(gè)，食堂大廳5個(gè)，辦公樓走廊4個(gè)12二層辦公樓備樓會(huì)議至5個(gè)，走廊4個(gè)，主樓走廊4個(gè)13三層辦公樓健身房2個(gè)，走廊7個(gè)，302會(huì)議室4個(gè)11四層辦公樓辦公樓

13、主樓走廊4個(gè)4五層辦公樓辦公樓主樓走廊5個(gè)5六層辦公樓辦公樓主樓走廊5個(gè)5七層辦公樓辦公樓主樓走廊4個(gè)4八層辦公樓辦公樓主樓走廊4個(gè)4九層辦公樓辦公樓主樓走廊4個(gè)4具體點(diǎn)位圖，請(qǐng)參照網(wǎng)絡(luò)信息圖紙。第四章.方案優(yōu)勢(shì)4.1全面完整無(wú)線(xiàn)有線(xiàn)統(tǒng)一管控：除了傳統(tǒng)的封堵、流控、審計(jì)等功能外，深信服的上網(wǎng)行為管理針對(duì)無(wú)線(xiàn)、 有線(xiàn)網(wǎng)絡(luò)的各種PC、移動(dòng)終端 上網(wǎng)遇到的新問(wèn)題、新風(fēng)險(xiǎn)，提供了統(tǒng)一全面的管理功能：?jiǎn)T工、 來(lái)賓的統(tǒng)一接入管理，BYOD的權(quán)限控制、移動(dòng)APP/云應(yīng)用管控 和審計(jì)。從而簡(jiǎn)化了 IT運(yùn)維操作，降低了管理難度。4.2終端識(shí)別與流量控制通過(guò)無(wú)線(xiàn)控制器自動(dòng)識(shí)別終端類(lèi)型，根據(jù)終端類(lèi)型設(shè)置相應(yīng)的流 量

14、控制策略。實(shí)現(xiàn)了針對(duì)終端精細(xì)的流量控制。例如禁止手機(jī)完微博、 炒股、斗地主等等，對(duì)于應(yīng)用的雜亂無(wú)章，難以管控，本方案中無(wú)線(xiàn) 控制器通過(guò)內(nèi)置全國(guó)最大的應(yīng)用識(shí)別庫(kù)和 URL庫(kù)，自動(dòng)識(shí)別無(wú)線(xiàn)流 量類(lèi)型，并根據(jù)終端類(lèi)型設(shè)置相應(yīng)的流量控制策略。 對(duì)于重要的0A、 郵件、財(cái)務(wù)等辦公系統(tǒng)進(jìn)行重點(diǎn)的帶寬保障，防止了其流量被搶占。 對(duì)于高耗流量的風(fēng)行、迅雷、電驢等P下載，視頻瀏覽進(jìn)行帶寬限制， 防止此類(lèi)應(yīng)用對(duì)于帶寬的過(guò)分搶占，從而保障了政府正常的辦公網(wǎng)絡(luò)4.3智能聯(lián)動(dòng)：互聯(lián)網(wǎng)出口上網(wǎng)行為管理設(shè)備和無(wú)線(xiàn)網(wǎng)絡(luò)上網(wǎng)行為管理設(shè)備之 間需要通過(guò)用戶(hù)認(rèn)證信息的聯(lián)動(dòng)、 單點(diǎn)登錄等功能，將上網(wǎng)終端和用 戶(hù)身份信息進(jìn)行同步關(guān)聯(lián)，

15、讓用戶(hù)只需要認(rèn)證一次就可以讓 AC同步 識(shí)別身份信息，便于后續(xù)的報(bào)表分析、威脅定位、合規(guī)審計(jì)等。從而， 也極大的減少I(mǎi)T管理員配置、運(yùn)維工作量。4.4更便捷的安全管理二維碼認(rèn)證通過(guò)二維碼認(rèn)證，訪(fǎng)客從接入無(wú)線(xiàn)到通過(guò)審核、時(shí)間就在十秒之內(nèi)完成，解決了便捷認(rèn)證、防蹭網(wǎng)、責(zé)任溯源三大訪(fǎng)客認(rèn)證難點(diǎn)。802.1X自動(dòng)配置802.1X能有效保證北京市通州區(qū)地稅局單位網(wǎng)絡(luò)的安全性，但802.1X復(fù)雜的配置往往令802.1X認(rèn)證實(shí)施遇到巨大阻力。對(duì)此，深 信服方案為北京市通州區(qū)地稅局單位提供了802.1X自動(dòng)配置工具，讓各個(gè)部門(mén)的人能夠輕松使用 802.1X認(rèn)證。大大降低了 802.1X認(rèn)證 的推廣實(shí)施難度帳號(hào)

16、、MAC自動(dòng)綁定為了實(shí)現(xiàn)針對(duì)北京市通州區(qū)地稅局單位領(lǐng)導(dǎo)等人員帳號(hào)需要重 點(diǎn)保障的情況，深信服針對(duì)重點(diǎn)帳號(hào)使用帳號(hào)、MAC自動(dòng)綁定。防止越權(quán)訪(fǎng)問(wèn)的同時(shí)減少管理員繁瑣的操作。而且一個(gè)賬號(hào)最多綁定5個(gè)MAC，實(shí)現(xiàn)了安全性與靈活性的兼顧。第五章.產(chǎn)品介紹5.1智能防火墻AF1210AF 1210產(chǎn)品是一款基于應(yīng)用層設(shè)計(jì)和開(kāi)發(fā)的新一代應(yīng)用防火墻，與傳統(tǒng)安全設(shè)備相比它可以針對(duì)豐富的應(yīng)用提供更完整的、可視化的內(nèi)容安全保護(hù)方案。 AF解決了傳統(tǒng)安全設(shè)備在應(yīng)用可視化、應(yīng) 用管控、應(yīng)用防護(hù)、未知威脅處理方面的巨大不足，同時(shí)開(kāi)啟所有功 能后性能不會(huì)大幅下降。產(chǎn)品特點(diǎn)：更完整的安全防護(hù)：?jiǎn)未谓馕鲆妫簜鹘y(tǒng)的UTM產(chǎn)品

17、通常為多設(shè)備的疊加，未實(shí)現(xiàn)真正的功能集成，一 個(gè)數(shù)據(jù)包經(jīng)過(guò)各個(gè)模塊的串行處理， 速度急劇下降。為了解決統(tǒng)一防 護(hù)后設(shè)備性能急劇下降的難題，深信服科技采用了獨(dú)有的 單次解析 引擎”技術(shù)，多種業(yè)務(wù)并發(fā)處理，將所有內(nèi)容掃描功能融合在一個(gè)模 塊完成，這樣所有數(shù)據(jù)流只會(huì)有一次掃描，即使在多功能同時(shí)開(kāi)啟、 威脅庫(kù)不斷增加的情況下，也不會(huì)造成性能的衰減和網(wǎng)絡(luò)時(shí)延的增加。 其中應(yīng)用安全防護(hù)功能模塊可以幫助用戶(hù)抵御漏洞利用、病毒蠕蟲(chóng)、Web入侵（SQL注入等）、惡意網(wǎng)站、木馬后門(mén)等多種應(yīng)用威脅。 從 而，AF避免了安全設(shè)備串糖葫蘆式的部署模式，可以為用戶(hù)提供更 高性?xún)r(jià)比、功能更完整、可靠性更好、性能更高的防護(hù)方

18、案?？梢暬?的業(yè)務(wù)安全：精確制定應(yīng)用訪(fǎng)問(wèn)策略。AF獨(dú)創(chuàng)的應(yīng)用可視化引擎:AF獨(dú)創(chuàng)的應(yīng)用可視化引擎，可以根據(jù)應(yīng)用的行為和特征實(shí)現(xiàn)對(duì)應(yīng)用 的識(shí)別和控制，而不僅僅依賴(lài)于端口或協(xié)議，擺脫了過(guò)去只能通過(guò)IP地址來(lái)控制的尷尬，即使加密過(guò)的數(shù)據(jù)流也能應(yīng)付自如。目前，深信 服AF 1210的應(yīng)用可視化引擎不但可以識(shí)別600多種的應(yīng)用及其應(yīng)用 動(dòng)作，還可以與多種認(rèn)證系統(tǒng)（AD、LDAP、Radius等）、應(yīng)用系統(tǒng)（POP3 SMTP等）無(wú)縫對(duì)接，自動(dòng)識(shí)別出網(wǎng)絡(luò)當(dāng)中IP地址對(duì)應(yīng)的用 戶(hù)信息，并建立組織的用戶(hù)分組結(jié)構(gòu)；既滿(mǎn)足了普通互聯(lián)網(wǎng)邊界行為 管控的要求，同時(shí)還滿(mǎn)足了在內(nèi)網(wǎng)數(shù)據(jù)中心和廣域網(wǎng)邊界的部署要求， 可以識(shí)

19、別和控制豐富的內(nèi)網(wǎng)應(yīng)用。因此，通過(guò)應(yīng)用可視化引擎制定的L3-L7 一體化應(yīng)用控制策略，可以為用戶(hù)提供更加精細(xì)和直觀(guān)化控 制界面，在一個(gè)界面下完成多套設(shè)備的運(yùn)維工作，提升工作效率內(nèi)容的安全識(shí)別：灰度未知威脅感知技術(shù)：為了解決未知威脅的智能識(shí)別和處理，深信服NGAF采用了威脅關(guān)聯(lián)分析引擎”不再是單一的去檢查一種威脅，而是將病毒、漏洞、 木馬、惡意網(wǎng)站、入侵等技術(shù)手段視為一個(gè)攻擊行為的多種攻擊動(dòng)作 來(lái)進(jìn)行統(tǒng)一的分析和識(shí)別，因?yàn)榭梢宰畲笙薅鹊奶嵘龣z測(cè)精度和識(shí)別 出未知威脅。因此，NGAF規(guī)避了傳統(tǒng)安全設(shè)備對(duì)未知攻擊的防范 能力較弱的缺點(diǎn)，可以發(fā)現(xiàn)未知威脅，降低誤報(bào)率，提升響應(yīng)速度。5.2上網(wǎng)行為管理A

20、C上網(wǎng)行為管理是大中型企業(yè)的網(wǎng)絡(luò)行為管理設(shè)備，能夠幫助企業(yè) 用戶(hù)更好的管控網(wǎng)絡(luò)行為和網(wǎng)絡(luò)資源，最大化利用有限的網(wǎng)絡(luò)帶寬并 保障網(wǎng)絡(luò)安全。AC系列產(chǎn)品是目前網(wǎng)絡(luò)行為識(shí)別率最高、性能最強(qiáng) 的專(zhuān)業(yè)上網(wǎng)行為管理設(shè)備。擁有著領(lǐng)先的網(wǎng)絡(luò)行為識(shí)別能力，除了識(shí) 別普通的明文數(shù)據(jù)外，AC還可識(shí)別加密的流量和應(yīng)用，并通過(guò)基于 統(tǒng)計(jì)學(xué)的網(wǎng)絡(luò)行為智能檢測(cè)技術(shù)（NBID ），對(duì)用戶(hù)最新面臨的應(yīng)用 進(jìn)行管理，進(jìn)而提高用戶(hù)的工作效率，避免機(jī)密信息的泄漏。由于采 用了高性能的硬件平臺(tái)，以及不受硬盤(pán)空間限制、可獨(dú)立部署的數(shù)據(jù) 中心，深信服NC的性能領(lǐng)先于其他同類(lèi)產(chǎn)品，更好的滿(mǎn)足了大規(guī)模 網(wǎng)絡(luò)的苛刻要求。1300萬(wàn)條URL過(guò)濾，

21、人工智能網(wǎng)頁(yè)分析，1000種網(wǎng) 絡(luò)應(yīng)用庫(kù)，應(yīng)用訪(fǎng)問(wèn)控制，報(bào)表和檢索，流量分析，帶寬管理，防 DOS攻擊，防ARP欺騙。產(chǎn)品特點(diǎn)：防止帶寬資源濫用AC系列上網(wǎng)行為管理產(chǎn)品通過(guò)基于應(yīng)用類(lèi)型、網(wǎng)站類(lèi)別、文件 類(lèi)型、用戶(hù)/用戶(hù)組、時(shí)間段等的細(xì)致帶寬分配策略限制 P2P、在線(xiàn)視 頻、大文件下載等不良應(yīng)用所占用的帶寬，保障 OA、ERP等辦公應(yīng) 用獲得足夠的帶寬支持，提升上網(wǎng)速度和網(wǎng)絡(luò)辦公應(yīng)用的使用效率。防止無(wú)關(guān)網(wǎng)絡(luò)行為影響工作效率AC系列上網(wǎng)行為管理產(chǎn)品可基于用戶(hù)/用戶(hù)組、應(yīng)用、時(shí)間等條件的上網(wǎng)授權(quán)策略可以精細(xì)管控所有與工作無(wú)關(guān)的網(wǎng)絡(luò)行為，并可根據(jù)各組織不同要求進(jìn)行授權(quán)的靈活調(diào)整，包括基于不同用戶(hù)身份差

22、異 化授權(quán)、智能提醒等。記錄上網(wǎng)軌跡滿(mǎn)足法規(guī)要求AC系列上網(wǎng)行為管理產(chǎn)品可以幫助組織詳盡記錄用戶(hù)的上網(wǎng)軌 跡，做到網(wǎng)絡(luò)行為有據(jù)可查，滿(mǎn)足組織對(duì)網(wǎng)絡(luò)行為記錄的相關(guān)要求、 規(guī)避可能的法規(guī)風(fēng)險(xiǎn)。管控外發(fā)信息，降低泄密風(fēng)險(xiǎn)AC系列上網(wǎng)行為管理產(chǎn)品充分考慮網(wǎng)絡(luò)使用中的主動(dòng)泄密、被 動(dòng)泄密行為，從事前防范、事中告警、事后追蹤等多方面防范泄密， 為組織保護(hù)信息資產(chǎn)安全，降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。掌握組織動(dòng)態(tài)、優(yōu)化員工管理AC系列上網(wǎng)行為管理產(chǎn)品通過(guò)風(fēng)險(xiǎn)智能報(bào)表來(lái)自動(dòng)發(fā)現(xiàn)存在離 職風(fēng)險(xiǎn)或有工作效率問(wèn)題的員工，并通過(guò)關(guān)鍵字報(bào)表和熱貼報(bào)表來(lái)反 映員工思想動(dòng)態(tài)。風(fēng)險(xiǎn)智能報(bào)表能夠自動(dòng)提示管理者關(guān)注離職傾向、 泄密風(fēng)險(xiǎn)、工作效率降

23、低等員工管理風(fēng)險(xiǎn)，而關(guān)鍵字報(bào)表和熱貼排行 等報(bào)表將有助于組織深入了解員工的思想動(dòng)態(tài)， 并以此為基礎(chǔ)實(shí)施組 織文化建設(shè)、制度改進(jìn)等針對(duì)性措施，從而提高員工管理水平。防止病毒木馬等網(wǎng)絡(luò)風(fēng)險(xiǎn)通過(guò)部署深信服AC系列上網(wǎng)行為管理產(chǎn)品，利用其內(nèi)置的危險(xiǎn) 插件和惡意腳本過(guò)濾等創(chuàng)新技術(shù)過(guò)濾掛馬網(wǎng)站的訪(fǎng)問(wèn)、 封堵不良網(wǎng)站 等，從源頭上切斷病毒、木馬的潛入，再結(jié)合終端安全強(qiáng)度檢查與網(wǎng)絡(luò)準(zhǔn)入、DOS防御、ARP欺騙防護(hù)等多種安全手段，實(shí)現(xiàn)立體式安全 護(hù)航，確保組織安全上網(wǎng)。5.3 WX5500系列多業(yè)務(wù)無(wú)線(xiàn)控制器WX5500系列無(wú)線(xiàn)控制器具有大容量、高可靠、業(yè)務(wù)類(lèi)型豐富等 特點(diǎn)，集精細(xì)的用戶(hù)控制管理、完善的射頻資源

24、管理、 7X24小時(shí)無(wú) 線(xiàn)安全管控、二三層快速漫游、靈活的QoS控制、IPv4&IPv6雙棧等 多功能于一體，提供強(qiáng)大的有線(xiàn)、無(wú)線(xiàn)一體化接入能力。支持智能AP負(fù)載分擔(dān)802.11協(xié)議把無(wú)線(xiàn)漫游的決策交給了無(wú)線(xiàn)客戶(hù)端， 無(wú)線(xiàn)客戶(hù)端一 般會(huì)根據(jù)AP信號(hào)強(qiáng)度(RSSI)選擇AP,這很容易導(dǎo)致大量的客戶(hù)端僅 僅因?yàn)槟硞€(gè)AP信號(hào)較強(qiáng)而連接到同一個(gè) AP上。由于這些客戶(hù)端共 享無(wú)線(xiàn)媒介，導(dǎo)致每個(gè)客戶(hù)端的網(wǎng)絡(luò)吞吐將大量減少。智能負(fù)載分擔(dān)方法可以實(shí)時(shí)地分析無(wú)線(xiàn)客戶(hù)端的位置， 動(dòng)態(tài)地確 定在當(dāng)前時(shí)刻和當(dāng)前位置下哪些 AP可以彼此分擔(dān)負(fù)載，通過(guò)控制無(wú) 線(xiàn)客戶(hù)端接入的AP,來(lái)實(shí)現(xiàn)這些AP間的負(fù)載分擔(dān)。系統(tǒng)不僅支持

25、按照用戶(hù)在線(xiàn)會(huì)話(huà)數(shù)的負(fù)載分擔(dān)，而且支持按照用戶(hù)流量負(fù)載的分擔(dān)。支持7層移動(dòng)安全檢測(cè)/防御（wIDS/wIPS）WX5500系列無(wú)線(xiàn)控制器支持的移動(dòng)安全防御模式有：黑名單、 白名單、Rogue防御、畸形報(bào)文檢測(cè)、非法用戶(hù)下線(xiàn)、基于可預(yù)設(shè)升 級(jí)的Sig nature MAC層攻擊檢測(cè)與反制（例如：DoS攻擊，F(xiàn)lood攻擊、 中間人攻擊）等。配合無(wú)線(xiàn)應(yīng)用控制臺(tái)內(nèi)置的海量智能專(zhuān)家知識(shí)庫(kù)， 可以獲得靈活的無(wú)線(xiàn)安全策略判斷依據(jù)，對(duì)于明確的非法攻擊源（AP或終端等），實(shí)現(xiàn)可視的物理位置跟蹤監(jiān)控和交換機(jī)物理端口移除。5.4 S5500-EI系列以太網(wǎng)交換機(jī)S5500增強(qiáng)型IPv6強(qiáng)三層萬(wàn)兆以太網(wǎng)交換機(jī)產(chǎn)品，

26、具備業(yè)界盒 式交換機(jī)最先進(jìn)的硬件處理能力和最豐富的業(yè)務(wù)特性。支持最多4個(gè) 萬(wàn)兆擴(kuò)展接口，支持IPv4/IPv6硬件雙棧及線(xiàn)速轉(zhuǎn)發(fā)，使客戶(hù)能夠從 容應(yīng)對(duì)即將帶來(lái)的IPv6時(shí)代；除此以外，其出色的安全性，可靠性 和多業(yè)務(wù)支持能力使其成為大型企業(yè)網(wǎng)絡(luò)和園區(qū)網(wǎng)的匯聚，中小企業(yè)網(wǎng)核心、以及城域網(wǎng)邊緣設(shè)備的第一選擇。產(chǎn)品特點(diǎn): 彈性擴(kuò)展 可以按照用戶(hù)需求實(shí)現(xiàn)彈性擴(kuò)展，保證用戶(hù)投資。并且新增的設(shè)備加入或離開(kāi)IRF架構(gòu)時(shí)可以實(shí)現(xiàn) 熱插拔”不影響其他設(shè)備的正常運(yùn)行高可靠IRF的高可靠性體現(xiàn)在鏈路，設(shè)備和協(xié)議三個(gè)方面。成 員設(shè)備之間物理端口支持聚合功能，IRF系統(tǒng)和上、下層設(shè)備之間的 物理連接也支持聚合功能，這樣

27、通過(guò)多鏈路備份提高了鏈路的可靠性； IRF系統(tǒng)由多臺(tái)成員設(shè)備組成，一旦Master設(shè)備故障，系統(tǒng)會(huì)迅速自 動(dòng)選舉新的Master,以保證通過(guò)系統(tǒng)的業(yè)務(wù)不中斷，從而實(shí)現(xiàn)了設(shè)備 級(jí)的1： N備份；IRF系統(tǒng)會(huì)有實(shí)時(shí)的協(xié)議熱備份功能負(fù)責(zé)將協(xié)議的 配置信息備份到其他所有成員設(shè)備，實(shí)現(xiàn) 1： N的協(xié)議可靠性。高性能 對(duì)于高端交換機(jī)來(lái)說(shuō)，性能和端口密度的提升會(huì)受到硬 件結(jié)構(gòu)的限制。而IRF系統(tǒng)的性能和端口密度是IRF內(nèi)部所有設(shè)備性 能和端口數(shù)量的總和。因此，IRF技術(shù)能夠輕易的將設(shè)備的交換能力、 用戶(hù)端口的密度擴(kuò)大數(shù)倍，從而大幅度提高了設(shè)備的性能。5.5 WA2610 無(wú)線(xiàn) APWa2610是新一代基于終

28、端感知型硬件智能天線(xiàn)覆蓋技術(shù)的超百 兆高速無(wú)線(xiàn)接入設(shè)備（以下簡(jiǎn)稱(chēng)AP），可提供相當(dāng)于傳統(tǒng)802.11a/b/g 網(wǎng)絡(luò)6倍以上的無(wú)線(xiàn)接入速率，能夠覆蓋更大的范圍。該系列無(wú)線(xiàn)產(chǎn) 品上行鏈路采用千兆以太網(wǎng)接口，突破了百兆速率的限制，使無(wú)線(xiàn)多 媒體應(yīng)用成為現(xiàn)實(shí)。新一代基于終端感知型硬件智能天線(xiàn)覆蓋技術(shù)的超百兆高速無(wú) 線(xiàn)接入設(shè)備（以下簡(jiǎn)稱(chēng)AP），可提供相當(dāng)于傳統(tǒng)802.11a/b/g網(wǎng)絡(luò)6倍 以上的無(wú)線(xiàn)接入速率，能夠覆蓋更大的范圍。該系列無(wú)線(xiàn)產(chǎn)品上行鏈路采用千兆以太網(wǎng)接口，突破了百兆速率的限制，使無(wú)線(xiàn)多媒體應(yīng)用 成為現(xiàn)實(shí)。產(chǎn)品特點(diǎn)：提供本地轉(zhuǎn)發(fā)功能當(dāng)WA2610AP (Fit模式)通過(guò)廣域網(wǎng)方式轉(zhuǎn)發(fā)時(shí)，

29、無(wú)線(xiàn)接入設(shè)備 部署在分支機(jī)構(gòu)，而無(wú)線(xiàn)控制器部署在總部，所有用戶(hù)數(shù)據(jù)由無(wú)線(xiàn)接 入設(shè)備發(fā)送到無(wú)線(xiàn)控制器，再由無(wú)線(xiàn)控制器進(jìn)行集中轉(zhuǎn)發(fā)。WA2610系列AP可將數(shù)據(jù)報(bào)文在無(wú)線(xiàn)接入設(shè)備上直接轉(zhuǎn)化為有線(xiàn)格式的報(bào)文， 使得數(shù)據(jù)報(bào)文不經(jīng)過(guò)無(wú)線(xiàn)控制器，而是在本地進(jìn)行轉(zhuǎn)發(fā)，大大節(jié)約了 有線(xiàn)帶寬。提供EAD無(wú)線(xiàn)接入終端準(zhǔn)入控制(EAD，End user Admission Domination)解決方案從 控制用戶(hù)終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安 全產(chǎn)品，對(duì)接入網(wǎng)絡(luò)的用戶(hù)終端強(qiáng)制實(shí)施企業(yè)安全策略，通過(guò)與安全策略服務(wù)器的聯(lián)動(dòng)，可以對(duì)感染病毒或存在系統(tǒng)漏洞等不合格的無(wú)線(xiàn) 客戶(hù)端進(jìn)行下線(xiàn)、隔離、提醒或監(jiān)控等多種方式的處理，只有無(wú)線(xiàn)客 戶(hù)端符合相應(yīng)的安全策略之后才允許正常訪(fǎng)問(wèn)網(wǎng)絡(luò)，從而提高了無(wú)線(xiàn) 網(wǎng)絡(luò)的整體安全性。支持遠(yuǎn)程探針?lè)治鯳A2610 AP支持作為遠(yuǎn)程探針?lè)治龅腟ensor設(shè)備，可以對(duì)覆蓋 區(qū)內(nèi)的Wi-Fi報(bào)文進(jìn)行偵聽(tīng)捕獲并實(shí)時(shí)鏡像到本地分析設(shè)備，供網(wǎng)絡(luò)管理員進(jìn)行故障排查、優(yōu)化分析。遠(yuǎn)程探針?lè)治龉δ芗瓤梢葬槍?duì)工作 信道進(jìn)行無(wú)收斂鏡像，也可以對(duì)所有信道輪詢(xún)采樣，