通州財政設(shè)計方案

1、通州財政局WLAN網(wǎng)絡(luò)覆蓋設(shè)計方案China unicorn 4?國聯(lián) ifi聯(lián)通通州分公司2014年9月目錄第一章.概述11. 概述1第二章.項目需求分析31. 總體要求32. 網(wǎng)絡(luò)覆蓋的范圍33. 技術(shù)要求3第三章.整體設(shè)計41. 設(shè)計原則52. 整體區(qū)域設(shè)計 5第四章.方案優(yōu)勢10第五章.產(chǎn)品介紹125.1智能防火墻 AF1210 135.2上網(wǎng)行為管理AC 145.3 WX5500系列多業(yè)務(wù)無線控制器 175.4 S5500-EI系列以太網(wǎng)交換機 185.5 WA2610無線 AP19第一章.概述1.概述北京通州財政局是貫徹落實國家和本市關(guān)于財政、財務(wù)、會計管 理方面的法律、法規(guī)、規(guī)章

2、和政策；編制并組織實施本區(qū)中長期財政 計劃；參與擬訂本區(qū)重大經(jīng)濟決策和措施、辦法，研究提出運用財稅 政策對經(jīng)濟運行實施調(diào)控和綜合平衡本區(qū)財力的建議；執(zhí)行市與區(qū)縣、國家與企業(yè)的分配政策；擬訂完善鼓勵公益事業(yè)發(fā)展的財稅相關(guān)措施、 辦法的政府機構(gòu)，財政局辦公大樓主要有辦公樓主樓 9層，備用樓層 4層，包含辦公區(qū)域、食堂、學習會議室、健身房、地下車庫。無線網(wǎng)絡(luò)是財政單位的一項基礎(chǔ)設(shè)施， 無線網(wǎng)絡(luò)是有線網(wǎng)絡(luò)的有 效補充和擴展，采用高速以太技術(shù)和802.11a/b/g/n無線網(wǎng)絡(luò)技術(shù)實現(xiàn) 財政辦公區(qū)域網(wǎng)絡(luò)的全面覆蓋，即實現(xiàn)辦公區(qū)域內(nèi)在任何地方都可以 進行網(wǎng)上辦公、網(wǎng)上學習、網(wǎng)上科研及網(wǎng)上服務(wù)的一種普通計算

3、的辦 公網(wǎng)絡(luò)文化，逐步實現(xiàn)辦公網(wǎng)絡(luò)信息化、現(xiàn)代化的目標。建設(shè)目標覆蓋辦公樓所有空間，包括辦公區(qū)域、食堂、學習會議室、健 身房、地下車庫等等，為辦公和會議、健身生活提供切實可用的無線 網(wǎng)絡(luò)環(huán)境；同已有有線網(wǎng)絡(luò)骨干無縫結(jié)合，成為原有辦公網(wǎng)的有力補充,可以通暢、安全地訪問財政內(nèi)網(wǎng)，外部網(wǎng)絡(luò)；利用各種安全技術(shù)，保證無線網(wǎng)及辦公網(wǎng)絡(luò)的安全;第二章.項目需求分析1. 總體要求目前辦公大樓存在固定網(wǎng)絡(luò)，為了更高效的辦公，實現(xiàn)現(xiàn)代化，信息化，需要建立一張無線網(wǎng)絡(luò)，建立無線網(wǎng)絡(luò)就需要升級帶寬，還 有原來網(wǎng)絡(luò)的一些小問題需要緊急處理， 就是在辦公網(wǎng)中，員工私自 鏈接小路由器、小交換機，不但影響網(wǎng)絡(luò)的穩(wěn)定，而且還不

4、安全。由 于建造無線網(wǎng)絡(luò)，需要加大帶寬，隨之相應(yīng)原來的帶有路由功能的光 纖貓就不能滿足需求，因此我們需要建造無線網(wǎng)絡(luò)，使用技術(shù)手段解 決光纖貓性能和辦公網(wǎng)出現(xiàn)的問題。對于員工上網(wǎng)辦公等需要相對安全的網(wǎng)絡(luò)環(huán)境， 我們需要審計員 工上網(wǎng)行為，上網(wǎng)的記錄，發(fā)現(xiàn)問題立刻解決，這也是國家對相關(guān)部 門硬性要求。2. 網(wǎng)絡(luò)覆蓋的范圍本次建設(shè)覆蓋范圍包括：地下停車場、辦公樓、食堂、備辦公樓的員工會議室，健身房等位置。3. 技術(shù)要求1運用技術(shù)手段保證無線網(wǎng)絡(luò)的穩(wěn)定、安全、有效的運行。2運用技術(shù)手段將原來的光纖帶寬在防火墻上做分流，一部分給有線網(wǎng)絡(luò)，一部分給無線網(wǎng)絡(luò)使用。3使用硬件應(yīng)用防火墻保證內(nèi)網(wǎng)，網(wǎng)絡(luò)出口數(shù)據(jù)

5、的轉(zhuǎn)發(fā)，相對安全內(nèi)部網(wǎng)絡(luò)環(huán)境4使用上網(wǎng)行為管理管理內(nèi)部網(wǎng)絡(luò)的迅雷下載、QQ等不應(yīng)該出現(xiàn)的流量，包括私接的小路由，小交換的行為導致網(wǎng)絡(luò)不穩(wěn)定都可做 到有效控制。5對網(wǎng)絡(luò)設(shè)備要求能夠遠程管理，方便運維人員的管理和排障,在網(wǎng)絡(luò)出現(xiàn)問題時，有效解決網(wǎng)絡(luò)故障，恢復網(wǎng)絡(luò)使用。第三章.整體設(shè)計1. 設(shè)計原則網(wǎng)絡(luò)設(shè)計應(yīng)該遵循開放性和標準化原則、實用性與先進性兼顧原 則、可用性原則、高性能原則、經(jīng)濟性原則、可靠性原則、安全第一 原則、適度的可擴展性原則、充分利用現(xiàn)有資源原則、易管理性原則、 易維護性原則、最佳的性能價格比原則、QoS保證原則。2. 整體區(qū)域設(shè)計本次設(shè)計將原有網(wǎng)絡(luò)從一個大二層網(wǎng)絡(luò)重新規(guī)劃為相對穩(wěn)定

6、的三層架構(gòu)，各區(qū)域的設(shè)備和主要功能如下：2.1.核心互聯(lián)區(qū)增加性能強大H3C 5500交換機為核心交換機，主要負責與其他 各個區(qū)域的互聯(lián)和數(shù)據(jù)的三層轉(zhuǎn)發(fā)，為整個網(wǎng)絡(luò)提供高速的數(shù)據(jù)交換, 同時保留原有網(wǎng)絡(luò)架構(gòu)不變。22服務(wù)器區(qū)增加防火墻，防止外部對網(wǎng)絡(luò)攻擊，防火墻把整個網(wǎng)絡(luò)劃分 為三個區(qū)域，一部份為外部網(wǎng)絡(luò)不可信賴區(qū)域，一部分為內(nèi)部網(wǎng) 絡(luò)可信賴區(qū)域，另一部份為DMZ區(qū)域，保證服務(wù)器的安全穩(wěn)定運 行。2.3. 內(nèi)部網(wǎng)絡(luò)對于原來單位內(nèi)部網(wǎng)絡(luò)不安全，網(wǎng)絡(luò)出口設(shè)備性能不佳，芯片 處理速度慢，我們采用深信服的防火墻來做安全設(shè)備。如今網(wǎng)絡(luò) 在改變網(wǎng)絡(luò)已經(jīng)深入日常生活1、大量的新應(yīng)用建立在HTTP/HTTPS

7、標準協(xié)議之上2、許多威脅依附在應(yīng)用之中傳播肆虐3、根據(jù)報告：75%的攻擊來自應(yīng)用層4、攻擊的多樣化、黑客平民化傳統(tǒng)的防火墻基于包頭信息不能分辨應(yīng)用及內(nèi)容也不能區(qū)分用戶， 更是不能分析記錄用戶的行為。因此我們采用深信服新一代防火 墻設(shè)備，它可以做到基于用戶和應(yīng)用做安全控制，要求對用戶進 行識別和對應(yīng)用進行識別。NGAF具備全面的用戶認證系統(tǒng)和海 量的應(yīng)用識別特征庫。對于單位的需求完全滿足。2.4. 對于單位員工行為的設(shè)計目前單位網(wǎng)絡(luò)中，員工私自接無線路由，交換等行為一方面 影響網(wǎng)絡(luò)穩(wěn)定的運行，另一方面單位不允許使用這些小路由，屢 勸不該，加之員工互聯(lián)網(wǎng)風險意識不強，這樣做對于內(nèi)部網(wǎng)絡(luò)及 其不安全

8、，不懷好意的人可以通過這些小路由，交換鏈接到網(wǎng)絡(luò) 內(nèi)部，攻擊網(wǎng)絡(luò)，竊取信息，然而就是這些小路由小交換安全做 的不夠好，無法有效的防御。網(wǎng)絡(luò)的發(fā)展與普及正在改變?nèi)藗兊?生產(chǎn)生活方式，互聯(lián)網(wǎng)正逐步成為重要的生產(chǎn)資料，組織業(yè)務(wù)正 逐漸向互聯(lián)網(wǎng)轉(zhuǎn)型。 互聯(lián)網(wǎng)是一把”雙刃劍”缺乏管理的互聯(lián)網(wǎng) 已經(jīng)帶來諸多問題：1、帶寬濫用，上網(wǎng)速度慢（P2P流量超過一半，訪問網(wǎng)頁， ERP等無法順利進行，帶寬無法有效的分配和利用）2、工作效率下降（上班時間網(wǎng)絡(luò)聊天、炒股、網(wǎng)游、看新聞等行為泛濫）3、機密信息被泄露，信息安全遭威脅（上網(wǎng)授權(quán)缺失，用戶 肆意上網(wǎng)，為通過網(wǎng)絡(luò)泄密提供了通道，泄密后無據(jù)可查，責任 難追究）4、

9、違法網(wǎng)絡(luò)行為為企業(yè)帶來法律風險（肆意瀏覽非法、反動 網(wǎng)站，若無具體日志記錄，無法舉證追蹤）5、安全威脅頻發(fā)、上網(wǎng)環(huán)境惡化（互聯(lián)網(wǎng)威脅越來越多；隱 蔽和病毒感染技術(shù)越來越先進）因此，我們采用業(yè)內(nèi)比較權(quán)威的先進的深信服廠家的上網(wǎng)行 為管理設(shè)備杜絕這種情況產(chǎn)生。對于上網(wǎng)行為管理產(chǎn)品，它可以 做到一下幾個方面：1、應(yīng)用授權(quán)其中包括：網(wǎng)站訪問、言論發(fā)布、文件傳輸、郵 收發(fā)、IM/P2P等應(yīng)用、控制與提醒；2、帶寬管理其中包括：多線路流控、用戶/組流控、應(yīng)用流量、 文件流控；3、行為記錄其中包括：網(wǎng)站訪問、外發(fā)言論、SSL加密應(yīng)用、 郵件、文件收發(fā)、IM聊天等行為、免審計Key4、報表分析其中包括：獨立數(shù)

10、據(jù)中心、統(tǒng)計/對比/趨勢、風險智能報表、數(shù)據(jù)挖掘與分析、內(nèi)容快速檢索、日志權(quán)限Key5、安全防護其中包括：終端安全檢查、網(wǎng)絡(luò)準入控制、安全桌面、過濾腳本、插件、危險流量封堵、查殺木馬、病毒、無線熱點 發(fā)現(xiàn)；所以上網(wǎng)行為管理設(shè)備完全滿足我們的需求，而且對于政府部門這類設(shè)備是國家規(guī)定必須使用的設(shè)備。對于原有網(wǎng)絡(luò)架構(gòu)不變，增加無線網(wǎng)絡(luò)覆蓋，對用戶的上網(wǎng)行為 進行審計，可以做到針對每個用戶可以做到控制， 完全禁止員工私自 接入小路由，小交換，記錄員工上網(wǎng)記錄，以及發(fā)送內(nèi)容等?；诰W(wǎng)絡(luò)的先進性考慮，本次無線網(wǎng)絡(luò)項目采用目前主流的無線 控制器+瘦AP的架構(gòu)，在實現(xiàn)對辦公網(wǎng)絡(luò)進行無縫覆蓋的同時，又能夠 實現(xiàn)

11、對無線網(wǎng)絡(luò)的靈活管理配置，提高網(wǎng)絡(luò)維護效率。由于本次項目所需室內(nèi)AP數(shù)量較多，所以在本次無線網(wǎng)絡(luò)解決 方案采用高端無線控制器 H3C EWP-WX3024E-POEP放在網(wǎng)絡(luò)核心， 實現(xiàn)對于無線網(wǎng)絡(luò)中所有的室內(nèi)AP的統(tǒng)一管理。H3C EWP-WX3024E-POEP高端無線控制器最大可管理 128個AP，完全 能夠管理本次項目所需的室內(nèi) AP；室內(nèi)型AP采用WA2620-E雙頻 AP,WA2620-E支持六個射頻模塊，可以同時工作在2.4GHz和5GHz, 在設(shè)備數(shù)量不變的情況下，把網(wǎng)絡(luò)的介入容量提高幾倍，以滿足 WLAN用戶快速增長的需求；PoE交換機采用LS5120-28P PoE千兆交換

12、機，H3C S5120系列 PoE交換機最大提供 AC輸入：523W DC輸入：832W供電功率， 可以滿足24 口同時接AP的供電需求；管理方面，H3C可以部署iMC智能管理中心，通過在iMC智能 管理中心上增加WSM無線業(yè)務(wù)管理組件的方式實現(xiàn)對無線控制器、 室內(nèi)AP、室外AP設(shè)備的統(tǒng)一管理。簡易邏輯組網(wǎng)圖如下圖所示:北京通州財政局內(nèi)網(wǎng)拓撲無線AP26102.5.無線覆蓋匯總覆蓋目標描述數(shù)量停車場四個角落各1個，中間2個6一層辦公樓后廚3個，食堂大廳5個，辦公樓走廊4個12二層辦公樓備樓會議至5個，走廊4個，主樓走廊4個13三層辦公樓健身房2個，走廊7個，302會議室4個11四層辦公樓辦公樓

13、主樓走廊4個4五層辦公樓辦公樓主樓走廊5個5六層辦公樓辦公樓主樓走廊5個5七層辦公樓辦公樓主樓走廊4個4八層辦公樓辦公樓主樓走廊4個4九層辦公樓辦公樓主樓走廊4個4具體點位圖，請參照網(wǎng)絡(luò)信息圖紙。第四章.方案優(yōu)勢4.1全面完整無線有線統(tǒng)一管控：除了傳統(tǒng)的封堵、流控、審計等功能外，深信服的上網(wǎng)行為管理針對無線、 有線網(wǎng)絡(luò)的各種PC、移動終端 上網(wǎng)遇到的新問題、新風險，提供了統(tǒng)一全面的管理功能：員工、 來賓的統(tǒng)一接入管理，BYOD的權(quán)限控制、移動APP/云應(yīng)用管控 和審計。從而簡化了 IT運維操作，降低了管理難度。4.2終端識別與流量控制通過無線控制器自動識別終端類型，根據(jù)終端類型設(shè)置相應(yīng)的流 量

14、控制策略。實現(xiàn)了針對終端精細的流量控制。例如禁止手機完微博、 炒股、斗地主等等，對于應(yīng)用的雜亂無章，難以管控，本方案中無線 控制器通過內(nèi)置全國最大的應(yīng)用識別庫和 URL庫，自動識別無線流 量類型，并根據(jù)終端類型設(shè)置相應(yīng)的流量控制策略。 對于重要的0A、 郵件、財務(wù)等辦公系統(tǒng)進行重點的帶寬保障，防止了其流量被搶占。 對于高耗流量的風行、迅雷、電驢等P下載，視頻瀏覽進行帶寬限制， 防止此類應(yīng)用對于帶寬的過分搶占，從而保障了政府正常的辦公網(wǎng)絡(luò)4.3智能聯(lián)動：互聯(lián)網(wǎng)出口上網(wǎng)行為管理設(shè)備和無線網(wǎng)絡(luò)上網(wǎng)行為管理設(shè)備之 間需要通過用戶認證信息的聯(lián)動、 單點登錄等功能，將上網(wǎng)終端和用 戶身份信息進行同步關(guān)聯(lián)，

15、讓用戶只需要認證一次就可以讓 AC同步 識別身份信息，便于后續(xù)的報表分析、威脅定位、合規(guī)審計等。從而， 也極大的減少IT管理員配置、運維工作量。4.4更便捷的安全管理二維碼認證通過二維碼認證，訪客從接入無線到通過審核、時間就在十秒之內(nèi)完成，解決了便捷認證、防蹭網(wǎng)、責任溯源三大訪客認證難點。802.1X自動配置802.1X能有效保證北京市通州區(qū)地稅局單位網(wǎng)絡(luò)的安全性，但802.1X復雜的配置往往令802.1X認證實施遇到巨大阻力。對此，深 信服方案為北京市通州區(qū)地稅局單位提供了802.1X自動配置工具，讓各個部門的人能夠輕松使用 802.1X認證。大大降低了 802.1X認證 的推廣實施難度帳號

16、、MAC自動綁定為了實現(xiàn)針對北京市通州區(qū)地稅局單位領(lǐng)導等人員帳號需要重 點保障的情況，深信服針對重點帳號使用帳號、MAC自動綁定。防止越權(quán)訪問的同時減少管理員繁瑣的操作。而且一個賬號最多綁定5個MAC，實現(xiàn)了安全性與靈活性的兼顧。第五章.產(chǎn)品介紹5.1智能防火墻AF1210AF 1210產(chǎn)品是一款基于應(yīng)用層設(shè)計和開發(fā)的新一代應(yīng)用防火墻，與傳統(tǒng)安全設(shè)備相比它可以針對豐富的應(yīng)用提供更完整的、可視化的內(nèi)容安全保護方案。 AF解決了傳統(tǒng)安全設(shè)備在應(yīng)用可視化、應(yīng) 用管控、應(yīng)用防護、未知威脅處理方面的巨大不足，同時開啟所有功 能后性能不會大幅下降。產(chǎn)品特點：更完整的安全防護：單次解析引擎：傳統(tǒng)的UTM產(chǎn)品

17、通常為多設(shè)備的疊加，未實現(xiàn)真正的功能集成，一 個數(shù)據(jù)包經(jīng)過各個模塊的串行處理， 速度急劇下降。為了解決統(tǒng)一防 護后設(shè)備性能急劇下降的難題，深信服科技采用了獨有的 單次解析 引擎”技術(shù)，多種業(yè)務(wù)并發(fā)處理，將所有內(nèi)容掃描功能融合在一個模 塊完成，這樣所有數(shù)據(jù)流只會有一次掃描，即使在多功能同時開啟、 威脅庫不斷增加的情況下，也不會造成性能的衰減和網(wǎng)絡(luò)時延的增加。 其中應(yīng)用安全防護功能模塊可以幫助用戶抵御漏洞利用、病毒蠕蟲、Web入侵（SQL注入等）、惡意網(wǎng)站、木馬后門等多種應(yīng)用威脅。 從 而，AF避免了安全設(shè)備串糖葫蘆式的部署模式，可以為用戶提供更 高性價比、功能更完整、可靠性更好、性能更高的防護方

18、案。可視化 的業(yè)務(wù)安全：精確制定應(yīng)用訪問策略。AF獨創(chuàng)的應(yīng)用可視化引擎:AF獨創(chuàng)的應(yīng)用可視化引擎，可以根據(jù)應(yīng)用的行為和特征實現(xiàn)對應(yīng)用 的識別和控制，而不僅僅依賴于端口或協(xié)議，擺脫了過去只能通過IP地址來控制的尷尬，即使加密過的數(shù)據(jù)流也能應(yīng)付自如。目前，深信 服AF 1210的應(yīng)用可視化引擎不但可以識別600多種的應(yīng)用及其應(yīng)用 動作，還可以與多種認證系統(tǒng)（AD、LDAP、Radius等）、應(yīng)用系統(tǒng)（POP3 SMTP等）無縫對接，自動識別出網(wǎng)絡(luò)當中IP地址對應(yīng)的用 戶信息，并建立組織的用戶分組結(jié)構(gòu)；既滿足了普通互聯(lián)網(wǎng)邊界行為 管控的要求，同時還滿足了在內(nèi)網(wǎng)數(shù)據(jù)中心和廣域網(wǎng)邊界的部署要求， 可以識

19、別和控制豐富的內(nèi)網(wǎng)應(yīng)用。因此，通過應(yīng)用可視化引擎制定的L3-L7 一體化應(yīng)用控制策略，可以為用戶提供更加精細和直觀化控 制界面，在一個界面下完成多套設(shè)備的運維工作，提升工作效率內(nèi)容的安全識別：灰度未知威脅感知技術(shù)：為了解決未知威脅的智能識別和處理，深信服NGAF采用了威脅關(guān)聯(lián)分析引擎”不再是單一的去檢查一種威脅，而是將病毒、漏洞、 木馬、惡意網(wǎng)站、入侵等技術(shù)手段視為一個攻擊行為的多種攻擊動作 來進行統(tǒng)一的分析和識別，因為可以最大限度的提升檢測精度和識別 出未知威脅。因此，NGAF規(guī)避了傳統(tǒng)安全設(shè)備對未知攻擊的防范 能力較弱的缺點，可以發(fā)現(xiàn)未知威脅，降低誤報率，提升響應(yīng)速度。5.2上網(wǎng)行為管理A

20、C上網(wǎng)行為管理是大中型企業(yè)的網(wǎng)絡(luò)行為管理設(shè)備，能夠幫助企業(yè) 用戶更好的管控網(wǎng)絡(luò)行為和網(wǎng)絡(luò)資源，最大化利用有限的網(wǎng)絡(luò)帶寬并 保障網(wǎng)絡(luò)安全。AC系列產(chǎn)品是目前網(wǎng)絡(luò)行為識別率最高、性能最強 的專業(yè)上網(wǎng)行為管理設(shè)備。擁有著領(lǐng)先的網(wǎng)絡(luò)行為識別能力，除了識 別普通的明文數(shù)據(jù)外，AC還可識別加密的流量和應(yīng)用，并通過基于 統(tǒng)計學的網(wǎng)絡(luò)行為智能檢測技術(shù)（NBID ），對用戶最新面臨的應(yīng)用 進行管理，進而提高用戶的工作效率，避免機密信息的泄漏。由于采 用了高性能的硬件平臺，以及不受硬盤空間限制、可獨立部署的數(shù)據(jù) 中心，深信服NC的性能領(lǐng)先于其他同類產(chǎn)品，更好的滿足了大規(guī)模 網(wǎng)絡(luò)的苛刻要求。1300萬條URL過濾，

21、人工智能網(wǎng)頁分析，1000種網(wǎng) 絡(luò)應(yīng)用庫，應(yīng)用訪問控制，報表和檢索，流量分析，帶寬管理，防 DOS攻擊，防ARP欺騙。產(chǎn)品特點：防止帶寬資源濫用AC系列上網(wǎng)行為管理產(chǎn)品通過基于應(yīng)用類型、網(wǎng)站類別、文件 類型、用戶/用戶組、時間段等的細致帶寬分配策略限制 P2P、在線視 頻、大文件下載等不良應(yīng)用所占用的帶寬，保障 OA、ERP等辦公應(yīng) 用獲得足夠的帶寬支持，提升上網(wǎng)速度和網(wǎng)絡(luò)辦公應(yīng)用的使用效率。防止無關(guān)網(wǎng)絡(luò)行為影響工作效率AC系列上網(wǎng)行為管理產(chǎn)品可基于用戶/用戶組、應(yīng)用、時間等條件的上網(wǎng)授權(quán)策略可以精細管控所有與工作無關(guān)的網(wǎng)絡(luò)行為，并可根據(jù)各組織不同要求進行授權(quán)的靈活調(diào)整，包括基于不同用戶身份差

22、異 化授權(quán)、智能提醒等。記錄上網(wǎng)軌跡滿足法規(guī)要求AC系列上網(wǎng)行為管理產(chǎn)品可以幫助組織詳盡記錄用戶的上網(wǎng)軌 跡，做到網(wǎng)絡(luò)行為有據(jù)可查，滿足組織對網(wǎng)絡(luò)行為記錄的相關(guān)要求、 規(guī)避可能的法規(guī)風險。管控外發(fā)信息，降低泄密風險AC系列上網(wǎng)行為管理產(chǎn)品充分考慮網(wǎng)絡(luò)使用中的主動泄密、被 動泄密行為，從事前防范、事中告警、事后追蹤等多方面防范泄密， 為組織保護信息資產(chǎn)安全，降低網(wǎng)絡(luò)風險。掌握組織動態(tài)、優(yōu)化員工管理AC系列上網(wǎng)行為管理產(chǎn)品通過風險智能報表來自動發(fā)現(xiàn)存在離 職風險或有工作效率問題的員工，并通過關(guān)鍵字報表和熱貼報表來反 映員工思想動態(tài)。風險智能報表能夠自動提示管理者關(guān)注離職傾向、 泄密風險、工作效率降

23、低等員工管理風險，而關(guān)鍵字報表和熱貼排行 等報表將有助于組織深入了解員工的思想動態(tài)， 并以此為基礎(chǔ)實施組 織文化建設(shè)、制度改進等針對性措施，從而提高員工管理水平。防止病毒木馬等網(wǎng)絡(luò)風險通過部署深信服AC系列上網(wǎng)行為管理產(chǎn)品，利用其內(nèi)置的危險 插件和惡意腳本過濾等創(chuàng)新技術(shù)過濾掛馬網(wǎng)站的訪問、 封堵不良網(wǎng)站 等，從源頭上切斷病毒、木馬的潛入，再結(jié)合終端安全強度檢查與網(wǎng)絡(luò)準入、DOS防御、ARP欺騙防護等多種安全手段，實現(xiàn)立體式安全 護航，確保組織安全上網(wǎng)。5.3 WX5500系列多業(yè)務(wù)無線控制器WX5500系列無線控制器具有大容量、高可靠、業(yè)務(wù)類型豐富等 特點，集精細的用戶控制管理、完善的射頻資源

24、管理、 7X24小時無 線安全管控、二三層快速漫游、靈活的QoS控制、IPv4&IPv6雙棧等 多功能于一體，提供強大的有線、無線一體化接入能力。支持智能AP負載分擔802.11協(xié)議把無線漫游的決策交給了無線客戶端， 無線客戶端一 般會根據(jù)AP信號強度(RSSI)選擇AP,這很容易導致大量的客戶端僅 僅因為某個AP信號較強而連接到同一個 AP上。由于這些客戶端共 享無線媒介，導致每個客戶端的網(wǎng)絡(luò)吞吐將大量減少。智能負載分擔方法可以實時地分析無線客戶端的位置， 動態(tài)地確 定在當前時刻和當前位置下哪些 AP可以彼此分擔負載，通過控制無 線客戶端接入的AP,來實現(xiàn)這些AP間的負載分擔。系統(tǒng)不僅支持

25、按照用戶在線會話數(shù)的負載分擔，而且支持按照用戶流量負載的分擔。支持7層移動安全檢測/防御（wIDS/wIPS）WX5500系列無線控制器支持的移動安全防御模式有：黑名單、 白名單、Rogue防御、畸形報文檢測、非法用戶下線、基于可預(yù)設(shè)升 級的Sig nature MAC層攻擊檢測與反制（例如：DoS攻擊，F(xiàn)lood攻擊、 中間人攻擊）等。配合無線應(yīng)用控制臺內(nèi)置的海量智能專家知識庫， 可以獲得靈活的無線安全策略判斷依據(jù)，對于明確的非法攻擊源（AP或終端等），實現(xiàn)可視的物理位置跟蹤監(jiān)控和交換機物理端口移除。5.4 S5500-EI系列以太網(wǎng)交換機S5500增強型IPv6強三層萬兆以太網(wǎng)交換機產(chǎn)品，

26、具備業(yè)界盒 式交換機最先進的硬件處理能力和最豐富的業(yè)務(wù)特性。支持最多4個 萬兆擴展接口，支持IPv4/IPv6硬件雙棧及線速轉(zhuǎn)發(fā)，使客戶能夠從 容應(yīng)對即將帶來的IPv6時代；除此以外，其出色的安全性，可靠性 和多業(yè)務(wù)支持能力使其成為大型企業(yè)網(wǎng)絡(luò)和園區(qū)網(wǎng)的匯聚，中小企業(yè)網(wǎng)核心、以及城域網(wǎng)邊緣設(shè)備的第一選擇。產(chǎn)品特點: 彈性擴展 可以按照用戶需求實現(xiàn)彈性擴展，保證用戶投資。并且新增的設(shè)備加入或離開IRF架構(gòu)時可以實現(xiàn) 熱插拔”不影響其他設(shè)備的正常運行高可靠IRF的高可靠性體現(xiàn)在鏈路，設(shè)備和協(xié)議三個方面。成 員設(shè)備之間物理端口支持聚合功能，IRF系統(tǒng)和上、下層設(shè)備之間的 物理連接也支持聚合功能，這樣

27、通過多鏈路備份提高了鏈路的可靠性； IRF系統(tǒng)由多臺成員設(shè)備組成，一旦Master設(shè)備故障，系統(tǒng)會迅速自 動選舉新的Master,以保證通過系統(tǒng)的業(yè)務(wù)不中斷，從而實現(xiàn)了設(shè)備 級的1： N備份；IRF系統(tǒng)會有實時的協(xié)議熱備份功能負責將協(xié)議的 配置信息備份到其他所有成員設(shè)備，實現(xiàn) 1： N的協(xié)議可靠性。高性能 對于高端交換機來說，性能和端口密度的提升會受到硬 件結(jié)構(gòu)的限制。而IRF系統(tǒng)的性能和端口密度是IRF內(nèi)部所有設(shè)備性 能和端口數(shù)量的總和。因此，IRF技術(shù)能夠輕易的將設(shè)備的交換能力、 用戶端口的密度擴大數(shù)倍，從而大幅度提高了設(shè)備的性能。5.5 WA2610 無線 APWa2610是新一代基于終

28、端感知型硬件智能天線覆蓋技術(shù)的超百 兆高速無線接入設(shè)備（以下簡稱AP），可提供相當于傳統(tǒng)802.11a/b/g 網(wǎng)絡(luò)6倍以上的無線接入速率，能夠覆蓋更大的范圍。該系列無線產(chǎn) 品上行鏈路采用千兆以太網(wǎng)接口，突破了百兆速率的限制，使無線多 媒體應(yīng)用成為現(xiàn)實。新一代基于終端感知型硬件智能天線覆蓋技術(shù)的超百兆高速無 線接入設(shè)備（以下簡稱AP），可提供相當于傳統(tǒng)802.11a/b/g網(wǎng)絡(luò)6倍 以上的無線接入速率，能夠覆蓋更大的范圍。該系列無線產(chǎn)品上行鏈路采用千兆以太網(wǎng)接口，突破了百兆速率的限制，使無線多媒體應(yīng)用 成為現(xiàn)實。產(chǎn)品特點：提供本地轉(zhuǎn)發(fā)功能當WA2610AP (Fit模式)通過廣域網(wǎng)方式轉(zhuǎn)發(fā)時，

29、無線接入設(shè)備 部署在分支機構(gòu)，而無線控制器部署在總部，所有用戶數(shù)據(jù)由無線接 入設(shè)備發(fā)送到無線控制器，再由無線控制器進行集中轉(zhuǎn)發(fā)。WA2610系列AP可將數(shù)據(jù)報文在無線接入設(shè)備上直接轉(zhuǎn)化為有線格式的報文， 使得數(shù)據(jù)報文不經(jīng)過無線控制器，而是在本地進行轉(zhuǎn)發(fā)，大大節(jié)約了 有線帶寬。提供EAD無線接入終端準入控制(EAD，End user Admission Domination)解決方案從 控制用戶終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安 全產(chǎn)品，對接入網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略，通過與安全策略服務(wù)器的聯(lián)動，可以對感染病毒或存在系統(tǒng)漏洞等不合格的無線 客戶端進行下線、隔離、提醒或監(jiān)控等多種方式的處理，只有無線客 戶端符合相應(yīng)的安全策略之后才允許正常訪問網(wǎng)絡(luò)，從而提高了無線 網(wǎng)絡(luò)的整體安全性。支持遠程探針分析WA2610 AP支持作為遠程探針分析的Sensor設(shè)備，可以對覆蓋 區(qū)內(nèi)的Wi-Fi報文進行偵聽捕獲并實時鏡像到本地分析設(shè)備，供網(wǎng)絡(luò)管理員進行故障排查、優(yōu)化分析。遠程探針分析功能既可以針對工作 信道進行無收斂鏡像，也可以對所有信道輪詢采樣，