通州財政設(shè)計方案

1、通州財政局WLAN網(wǎng)絡(luò)覆蓋設(shè)計方案聯(lián)通通州分公司2014年9月目錄第一章. 概述11. 概述1第二章. 項目需求分析31. 總體要求32. 網(wǎng)絡(luò)覆蓋的范圍33. 技術(shù)要求3第三章. 整體設(shè)計51. 設(shè)計原則52. 整體區(qū)域設(shè)計5第四章. 方案優(yōu)勢11第五章. 產(chǎn)品介紹135.1智能防火墻AF1210135.2上網(wǎng)行為管理AC155.3 WX5500系列多業(yè)務(wù)無線控制器175.4 S5500-EI 系列以太網(wǎng)交換機185.5 WA2610無線AP19第一章. 概述1. 概述北京通州財政局是貫徹落實國家和本市關(guān)于財政、財務(wù)、會計管理方面的法律、法規(guī)、規(guī)章和政策；編制并組織實施本區(qū)中長期財政計劃；參

2、與擬訂本區(qū)重大經(jīng)濟決策和措施、辦法，研究提出運用財稅政策對經(jīng)濟運行實施調(diào)控和綜合平衡本區(qū)財力的建議；執(zhí)行市與區(qū)縣、國家與企業(yè)的分配政策；擬訂完善鼓勵公益事業(yè)發(fā)展的財稅相關(guān)措施、辦法的政府機構(gòu)，財政局辦公大樓主要有辦公樓主樓9層，備用樓層4層，包含辦公區(qū)域、食堂、學習會議室、健身房、地下車庫。無線網(wǎng)絡(luò)是財政單位的一項基礎(chǔ)設(shè)施，無線網(wǎng)絡(luò)是有線網(wǎng)絡(luò)的有效補充和擴展，采用高速以太技術(shù)和802.11a/b/g/n無線網(wǎng)絡(luò)技術(shù)實現(xiàn)財政辦公區(qū)域網(wǎng)絡(luò)的全面覆蓋，即實現(xiàn)辦公區(qū)域內(nèi)在任何地方都可以進行網(wǎng)上辦公、網(wǎng)上學習、網(wǎng)上科研及網(wǎng)上服務(wù)的一種普通計算的辦公網(wǎng)絡(luò)文化，逐步實現(xiàn)辦公網(wǎng)絡(luò)信息化、現(xiàn)代化的目標。建設(shè)目標

3、覆蓋辦公樓所有空間，包括辦公區(qū)域、食堂、學習會議室、健身房、地下車庫等等，為辦公和會議、健身生活提供切實可用的無線網(wǎng)絡(luò)環(huán)境；同已有有線網(wǎng)絡(luò)骨干無縫結(jié)合，成為原有辦公網(wǎng)的有力補充，可以通暢、安全地訪問財政內(nèi)網(wǎng)，外部網(wǎng)絡(luò)；利用各種安全技術(shù)，保證無線網(wǎng)及辦公網(wǎng)絡(luò)的安全；第二章. 項目需求分析1. 總體要求目前辦公大樓存在固定網(wǎng)絡(luò)，為了更高效的辦公，實現(xiàn)現(xiàn)代化，信息化，需要建立一張無線網(wǎng)絡(luò)，建立無線網(wǎng)絡(luò)就需要升級帶寬，還有原來網(wǎng)絡(luò)的一些小問題需要緊急處理，就是在辦公網(wǎng)中，員工私自鏈接小路由器、小交換機，不但影響網(wǎng)絡(luò)的穩(wěn)定，而且還不安全。由于建造無線網(wǎng)絡(luò)，需要加大帶寬，隨之相應(yīng)原來的帶有路由功能的光纖貓

4、就不能滿足需求，因此我們需要建造無線網(wǎng)絡(luò)，使用技術(shù)手段解決光纖貓性能和辦公網(wǎng)出現(xiàn)的問題。對于員工上網(wǎng)辦公等需要相對安全的網(wǎng)絡(luò)環(huán)境，我們需要審計員工上網(wǎng)行為，上網(wǎng)的記錄，發(fā)現(xiàn)問題立刻解決，這也是國家對相關(guān)部門硬性要求。2. 網(wǎng)絡(luò)覆蓋的范圍本次建設(shè)覆蓋范圍包括：地下停車場、辦公樓、食堂、備辦公樓的員工會議室，健身房等位置。3. 技術(shù)要求1. 運用技術(shù)手段保證無線網(wǎng)絡(luò)的穩(wěn)定、安全、有效的運行。2. 運用技術(shù)手段將原來的光纖帶寬在防火墻上做分流，一部分 給有線網(wǎng)絡(luò)，一部分給無線網(wǎng)絡(luò)使用。3. 使用硬件應(yīng)用防火墻保證內(nèi)網(wǎng)，網(wǎng)絡(luò)出口數(shù)據(jù)的轉(zhuǎn)發(fā)，相對安全內(nèi)部網(wǎng)絡(luò)環(huán)境。4. 使用上網(wǎng)行為管理管理內(nèi)部網(wǎng)絡(luò)的迅雷

5、下載、QQ等不應(yīng)該出現(xiàn)的流量，包括私接的小路由，小交換的行為導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定都可做到有效控制。5. 對網(wǎng)絡(luò)設(shè)備要求能夠遠程管理，方便運維人員的管理和排障，在網(wǎng)絡(luò)出現(xiàn)問題時，有效解決網(wǎng)絡(luò)故障，恢復(fù)網(wǎng)絡(luò)使用。第三章. 整體設(shè)計1. 設(shè)計原則網(wǎng)絡(luò)設(shè)計應(yīng)該遵循開放性和標準化原則、實用性與先進性兼顧原則、可用性原則、高性能原則、經(jīng)濟性原則、可靠性原則、安全第一原則、適度的可擴展性原則、充分利用現(xiàn)有資源原則、易管理性原則、易維護性原則、最佳的性能價格比原則、QoS保證原則。2. 整體區(qū)域設(shè)計本次設(shè)計將原有網(wǎng)絡(luò)從一個大二層網(wǎng)絡(luò)重新規(guī)劃為相對穩(wěn)定的三層架構(gòu)，各區(qū)域的設(shè)備和主要功能如下：2.1. 核心互聯(lián)區(qū)增加性

6、能強大H3C 5500交換機為核心交換機，主要負責與其他各個區(qū)域的互聯(lián)和數(shù)據(jù)的三層轉(zhuǎn)發(fā)，為整個網(wǎng)絡(luò)提供高速的數(shù)據(jù)交換，同時保留原有網(wǎng)絡(luò)架構(gòu)不變。2.2. 服務(wù)器區(qū)增加防火墻，防止外部對網(wǎng)絡(luò)攻擊，防火墻把整個網(wǎng)絡(luò)劃分為三個區(qū)域，一部份為外部網(wǎng)絡(luò)不可信賴區(qū)域，一部分為內(nèi)部網(wǎng)絡(luò)可信賴區(qū)域，另一部份為DMZ區(qū)域，保證服務(wù)器的安全穩(wěn)定運行。2.3. 內(nèi)部網(wǎng)絡(luò) 對于原來單位內(nèi)部網(wǎng)絡(luò)不安全，網(wǎng)絡(luò)出口設(shè)備性能不佳，芯片處理速度慢，我們采用深信服的防火墻來做安全設(shè)備。如今網(wǎng)絡(luò)在改變網(wǎng)絡(luò)已經(jīng)深入日常生活 1、大量的新應(yīng)用建立在HTTP/HTTPS標準協(xié)議之上2、許多威脅依附在應(yīng)用之中傳播肆虐3、根據(jù)報告：75%的

7、攻擊來自應(yīng)用層4、攻擊的多樣化、黑客平民化傳統(tǒng)的防火墻基于包頭信息不能分辨應(yīng)用及內(nèi)容也不能區(qū)分用戶，更是不能分析記錄用戶的行為。因此我們采用深信服新一代防火墻設(shè)備，它可以做到基于用戶和應(yīng)用做安全控制，要求對用戶進行識別和對應(yīng)用進行識別。NGAF具備全面的用戶認證系統(tǒng)和海量的應(yīng)用識別特征庫。對于單位的需求完全滿足。2.4. 對于單位員工行為的設(shè)計目前單位網(wǎng)絡(luò)中，員工私自接無線路由，交換等行為一方面影響網(wǎng)絡(luò)穩(wěn)定的運行，另一方面單位不允許使用這些小路由，屢勸不該，加之員工互聯(lián)網(wǎng)風險意識不強，這樣做對于內(nèi)部網(wǎng)絡(luò)及其不安全，不懷好意的人可以通過這些小路由，交換鏈接到網(wǎng)絡(luò)內(nèi)部，攻擊網(wǎng)絡(luò)，竊取信息，然而就是

8、這些小路由小交換安全做的不夠好，無法有效的防御。網(wǎng)絡(luò)的發(fā)展與普及正在改變?nèi)藗兊纳a(chǎn)生活方式，互聯(lián)網(wǎng)正逐步成為重要的生產(chǎn)資料，組織業(yè)務(wù)正逐漸向互聯(lián)網(wǎng)轉(zhuǎn)型。 互聯(lián)網(wǎng)是一把”雙刃劍”，缺乏管理的互聯(lián)網(wǎng)已經(jīng)帶來諸多問題：1、帶寬濫用，上網(wǎng)速度慢（P2P流量超過一半，訪問網(wǎng)頁，ERP等無法順利進行，帶寬無法有效的分配和利用）2、工作效率下降（上班時間網(wǎng)絡(luò)聊天、炒股、網(wǎng)游、看新聞等行為泛濫）3、機密信息被泄露，信息安全遭威脅（上網(wǎng)授權(quán)缺失，用戶肆意上網(wǎng)，為通過網(wǎng)絡(luò)泄密提供了通道，泄密后無據(jù)可查，責任難追究)4、違法網(wǎng)絡(luò)行為為企業(yè)帶來法律風險（肆意瀏覽非法、反動網(wǎng)站，若無具體日志記錄，無法舉證追蹤）5、安全

9、威脅頻發(fā)、上網(wǎng)環(huán)境惡化（互聯(lián)網(wǎng)威脅越來越多；隱蔽和病毒感染技術(shù)越來越先進）因此，我們采用業(yè)內(nèi)比較權(quán)威的先進的深信服廠家的上網(wǎng)行為管理設(shè)備杜絕這種情況產(chǎn)生。對于上網(wǎng)行為管理產(chǎn)品，它可以做到一下幾個方面： 1、應(yīng)用授權(quán)其中包括：網(wǎng)站訪問、言論發(fā)布、文件傳輸、郵收發(fā)、IM/P2P等應(yīng)用、控制與提醒； 2、帶寬管理其中包括：多線路流控、用戶/組流控、應(yīng)用流量、文件流控； 3、行為記錄其中包括：網(wǎng)站訪問、外發(fā)言論、SSL加密應(yīng)用、郵件、文件收發(fā)、IM聊天等行為、免審計Key 4、報表分析其中包括：獨立數(shù)據(jù)中心、統(tǒng)計/對比/趨勢、風險智能報表、數(shù)據(jù)挖掘與分析、內(nèi)容快速檢索、日志權(quán)限Key 5、安全防護其中

10、包括：終端安全檢查、網(wǎng)絡(luò)準入控制、安全桌面、過濾腳本、插件、危險流量封堵、查殺木馬、病毒、無線熱點發(fā)現(xiàn)；所以上網(wǎng)行為管理設(shè)備完全滿足我們的需求，而且對于政府部門這類設(shè)備是國家規(guī)定必須使用的設(shè)備。對于原有網(wǎng)絡(luò)架構(gòu)不變，增加無線網(wǎng)絡(luò)覆蓋，對用戶的上網(wǎng)行為進行審計，可以做到針對每個用戶可以做到控制，完全禁止員工私自接入小路由，小交換，記錄員工上網(wǎng)記錄，以及發(fā)送內(nèi)容等?；诰W(wǎng)絡(luò)的先進性考慮,本次無線網(wǎng)絡(luò)項目采用目前主流的無線控制器+瘦AP的架構(gòu),在實現(xiàn)對辦公網(wǎng)絡(luò)進行無縫覆蓋的同時,又能夠?qū)崿F(xiàn)對無線網(wǎng)絡(luò)的靈活管理配置,提高網(wǎng)絡(luò)維護效率。由于本次項目所需室內(nèi)AP數(shù)量較多，所以在本次無線網(wǎng)絡(luò)解決方案采用高端

11、無線控制器H3C EWP-WX3024E-POEP放在網(wǎng)絡(luò)核心，實現(xiàn)對于無線網(wǎng)絡(luò)中所有的室內(nèi)AP的統(tǒng)一管理。H3C EWP-WX3024E-POEP高端無線控制器最大可管理128個AP，完全能夠管理本次項目所需的室內(nèi)AP；室內(nèi)型AP采用WA2620-E雙頻AP，WA2620-E支持六個射頻模塊，可以同時工作在2.4GHz和5GHz，在設(shè)備數(shù)量不變的情況下，把網(wǎng)絡(luò)的介入容量提高幾倍，以滿足WLAN用戶快速增長的需求；PoE交換機采用LS5120-28P PoE千兆交換機，H3C S5120系列PoE交換機最大提供AC輸入： 523W DC輸入： 832W供電功率，可以滿足24口同時接AP的供電需

12、求；管理方面，H3C可以部署iMC智能管理中心，通過在iMC智能管理中心上增加WSM無線業(yè)務(wù)管理組件的方式實現(xiàn)對無線控制器、室內(nèi)AP、室外AP設(shè)備的統(tǒng)一管理。簡易邏輯組網(wǎng)圖如下圖所示：2.5. 無線覆蓋匯總 覆蓋目標描述數(shù)量 停車場四個角落各1個，中間2個6一層辦公樓后廚3個，食堂大廳5個，辦公樓走廊4個12二層辦公樓備樓會議室5個，走廊4個，主樓走廊4個13三層辦公樓健身房2個，走廊7個，302會議室4個11四層辦公樓辦公樓主樓走廊4個4五層辦公樓辦公樓主樓走廊5個5六層辦公樓辦公樓主樓走廊5個5七層辦公樓辦公樓主樓走廊4個4八層辦公樓辦公樓主樓走廊4個4九層辦公樓辦公樓主樓走廊4個4具體點

13、位圖，請參照網(wǎng)絡(luò)信息圖紙。第四章. 方案優(yōu)勢4.1全面完整無線有線統(tǒng)一管控：除了傳統(tǒng)的封堵、流控、審計等功能外，深信服的上網(wǎng)行為管理針對無線、有線網(wǎng)絡(luò)的各種PC、移動終端上網(wǎng)遇到的新問題、新風險，提供了統(tǒng)一全面的管理功能：員工、來賓的統(tǒng)一接入管理，BYOD的權(quán)限控制、移動APP/云應(yīng)用管控和審計。從而簡化了IT運維操作，降低了管理難度。4.2終端識別與流量控制通過無線控制器自動識別終端類型，根據(jù)終端類型設(shè)置相應(yīng)的流量控制策略。實現(xiàn)了針對終端精細的流量控制。例如禁止手機完微博、炒股、斗地主等等，對于應(yīng)用的雜亂無章，難以管控，本方案中無線控制器通過內(nèi)置全國最大的應(yīng)用識別庫和URL庫，自動識別無線流

14、量類型，并根據(jù)終端類型設(shè)置相應(yīng)的流量控制策略。對于重要的OA、郵件、財務(wù)等辦公系統(tǒng)進行重點的帶寬保障，防止了其流量被搶占。對于高耗流量的風行、迅雷、電驢等P下載，視頻瀏覽進行帶寬限制，防止此類應(yīng)用對于帶寬的過分搶占，從而保障了政府正常的辦公網(wǎng)絡(luò)4.3智能聯(lián)動：互聯(lián)網(wǎng)出口上網(wǎng)行為管理設(shè)備和無線網(wǎng)絡(luò)上網(wǎng)行為管理設(shè)備之間需要通過用戶認證信息的聯(lián)動、單點登錄等功能，將上網(wǎng)終端和用戶身份信息進行同步關(guān)聯(lián)，讓用戶只需要認證一次就可以讓AC同步識別身份信息，便于后續(xù)的報表分析、威脅定位、合規(guī)審計等。從而，也極大的減少IT管理員配置、運維工作量。4.4更便捷的安全管理 二維碼認證通過二維碼認證，訪客從接入無線

15、到通過審核、時間就在十秒之內(nèi)完成，解決了便捷認證、防蹭網(wǎng)、責任溯源三大訪客認證難點。 802.1X自動配置802.1X能有效保證北京市通州區(qū)地稅局單位網(wǎng)絡(luò)的安全性,但802.1X復(fù)雜的配置往往令802.1X認證實施遇到巨大阻力。對此，深信服方案為北京市通州區(qū)地稅局單位提供了802.1X自動配置工具，讓各個部門的人能夠輕松使用802.1X認證。大大降低了802.1X認證的推廣實施難度 帳號、MAC自動綁定為了實現(xiàn)針對北京市通州區(qū)地稅局單位領(lǐng)導(dǎo)等人員帳號需要重點保障的情況，深信服針對重點帳號使用帳號、MAC自動綁定。防止越權(quán)訪問的同時減少管理員繁瑣的操作。而且一個賬號最多綁定5個MAC，實現(xiàn)了安全

16、性與靈活性的兼顧。第五章. 產(chǎn)品介紹5.1智能防火墻AF1210AF 1210 產(chǎn)品是一款基于應(yīng)用層設(shè)計和開發(fā)的新一代應(yīng)用防火墻，與傳統(tǒng)安全設(shè)備相比它可以針對豐富的應(yīng)用提供更完整的、可視化的內(nèi)容安全保護方案。 AF解決了傳統(tǒng)安全設(shè)備在應(yīng)用可視化、應(yīng)用管控、應(yīng)用防護、未知威脅處理方面的巨大不足，同時開啟所有功能后性能不會大幅下降。產(chǎn)品特點：更完整的安全防護:單次解析引擎:傳統(tǒng)的 UTM產(chǎn)品通常為多設(shè)備的疊加，未實現(xiàn)真正的功能集成 , 一個數(shù)據(jù)包經(jīng)過各個模塊的串行處理，速度急劇下降。為了解決統(tǒng)一防護后設(shè)備性能急劇下降的難題，深信服科技采用了獨有的 “單次解析引擎 ”技術(shù)，多種業(yè)務(wù)并發(fā)處理，將所有內(nèi)

17、容掃描功能融合在一個模塊完成，這樣所有數(shù)據(jù)流只會有一次掃描，即使在多功能同時開啟、威脅庫不斷增加的情況下，也不會造成性能的衰減和網(wǎng)絡(luò)時延的增加。其中應(yīng)用安全防護功能模塊可以幫助用戶抵御漏洞利用、病毒蠕蟲、 Web入侵（ SQL注入等）、惡意網(wǎng)站、木馬后門等多種應(yīng)用威脅。 從而，AF避免了安全設(shè)備串糖葫蘆式的部署模式，可以為用戶提供更高性價比、功能更完整、可靠性更好、性能更高的防護方案?？梢暬臉I(yè)務(wù)安全：精確制定應(yīng)用訪問策略。AF獨創(chuàng)的應(yīng)用可視化引擎：AF獨創(chuàng)的應(yīng)用可視化引擎，可以根據(jù)應(yīng)用的行為和特征實現(xiàn)對應(yīng)用的識別和控制，而不僅僅依賴于端口或協(xié)議，擺脫了過去只能通過IP地址來控制的尷

18、尬,即使加密過的數(shù)據(jù)流也能應(yīng)付自如。目前，深信服AF 1210的應(yīng)用可視化引擎不但可以識別600多種的應(yīng)用及其應(yīng)用動作，還可以與多種認證系統(tǒng)（AD、LDAP、Radius等）、應(yīng)用系統(tǒng)（POP3、SMTP等）無縫對接，自動識別出網(wǎng)絡(luò)當中IP地址對應(yīng)的用戶信息，并建立組織的用戶分組結(jié)構(gòu)；既滿足了普通互聯(lián)網(wǎng)邊界行為管控的要求，同時還滿足了在內(nèi)網(wǎng)數(shù)據(jù)中心和廣域網(wǎng)邊界的部署要求，可以識別和控制豐富的內(nèi)網(wǎng)應(yīng)用。 因此，通過應(yīng)用可視化引擎制定的L3-L7一體化應(yīng)用控制策略, 可以為用戶提供更加精細和直觀化控制界面，在一個界面下完成多套設(shè)備的運維工作，提升工作效率內(nèi)容的安全識別：灰度未知威脅感知技術(shù)：為了解

19、決未知威脅的智能識別和處理，深信服 NGAF采用了“威脅關(guān)聯(lián)分析引擎”，不再是單一的去檢查一種威脅，而是將病毒、漏洞、木馬、惡意網(wǎng)站、入侵等技術(shù)手段視為一個攻擊行為的多種攻擊動作來進行統(tǒng)一的分析和識別，因為可以最大限度的提升檢測精度和識別出未知威脅。因此， NGAF規(guī)避了傳統(tǒng)安全設(shè)備對未知攻擊的防范能力較弱的缺點，可以發(fā)現(xiàn)未知威脅，降低誤報率，提升響應(yīng)速度。5.2上網(wǎng)行為管理AC上網(wǎng)行為管理是大中型企業(yè)的網(wǎng)絡(luò)行為管理設(shè)備，能夠幫助企業(yè)用戶更好的管控網(wǎng)絡(luò)行為和網(wǎng)絡(luò)資源，最大化利用有限的網(wǎng)絡(luò)帶寬并保障網(wǎng)絡(luò)安全。AC系列產(chǎn)品是目前網(wǎng)絡(luò)行為識別率最高、性能最強的專業(yè)上網(wǎng)行為管理設(shè)備。擁有著領(lǐng)先的網(wǎng)絡(luò)行

20、為識別能力，除了識別普通的明文數(shù)據(jù)外，AC還可識別加密的流量和應(yīng)用，并通過基于統(tǒng)計學的網(wǎng)絡(luò)行為智能檢測技術(shù)（NBID），對用戶最新面臨的應(yīng)用進行管理，進而提高用戶的工作效率，避免機密信息的泄漏。由于采用了高性能的硬件平臺，以及不受硬盤空間限制、可獨立部署的數(shù)據(jù)中心，深信服NC的性能領(lǐng)先于其他同類產(chǎn)品，更好的滿足了大規(guī)模網(wǎng)絡(luò)的苛刻要求。1300萬條URL過濾，人工智能網(wǎng)頁分析，1000種網(wǎng)絡(luò)應(yīng)用庫，應(yīng)用訪問控制，報表和檢索，流量分析，帶寬管理，防DOS攻擊，防ARP欺騙。 產(chǎn)品特點：防止帶寬資源濫用 AC系列上網(wǎng)行為管理產(chǎn)品通過基于應(yīng)用類型、網(wǎng)站類別、文件類型、用戶/用戶組、

21、時間段等的細致帶寬分配策略限制P2P、在線視頻、大文件下載等不良應(yīng)用所占用的帶寬，保障OA、ERP等辦公應(yīng)用獲得足夠的帶寬支持，提升上網(wǎng)速度和網(wǎng)絡(luò)辦公應(yīng)用的使用效率。防止無關(guān)網(wǎng)絡(luò)行為影響工作效率 AC系列上網(wǎng)行為管理產(chǎn)品可基于用戶/用戶組、應(yīng)用、時間等條件的上網(wǎng)授權(quán)策略可以精細管控所有與工作無關(guān)的網(wǎng)絡(luò)行為，并可根據(jù)各組織不同要求進行授權(quán)的靈活調(diào)整，包括基于不同用戶身份差異化授權(quán)、智能提醒等。記錄上網(wǎng)軌跡滿足法規(guī)要求 AC系列上網(wǎng)行為管理產(chǎn)品可以幫助組織詳盡記錄用戶的上網(wǎng)軌跡，做到網(wǎng)絡(luò)行為有據(jù)可查，滿足組織對網(wǎng)絡(luò)行為記錄的相關(guān)要求、規(guī)避可能的法規(guī)風險。 管控外發(fā)信息，降低泄密

22、風險 AC系列上網(wǎng)行為管理產(chǎn)品充分考慮網(wǎng)絡(luò)使用中的主動泄密、被動泄密行為，從事前防范、事中告警、事后追蹤等多方面防范泄密，為組織保護信息資產(chǎn)安全，降低網(wǎng)絡(luò)風險。掌握組織動態(tài)、優(yōu)化員工管理 AC系列上網(wǎng)行為管理產(chǎn)品通過風險智能報表來自動發(fā)現(xiàn)存在離職風險或有工作效率問題的員工，并通過關(guān)鍵字報表和熱貼報表來反映員工思想動態(tài)。風險智能報表能夠自動提示管理者關(guān)注離職傾向、泄密風險、工作效率降低等員工管理風險，而關(guān)鍵字報表和熱貼排行等報表將有助于組織深入了解員工的思想動態(tài)，并以此為基礎(chǔ)實施組織文化建設(shè)、制度改進等針對性措施，從而提高員工管理水平。防止病毒木馬等網(wǎng)絡(luò)風險 通過部

23、署深信服AC系列上網(wǎng)行為管理產(chǎn)品，利用其內(nèi)置的危險插件和惡意腳本過濾等創(chuàng)新技術(shù)過濾掛馬網(wǎng)站的訪問、封堵不良網(wǎng)站等，從源頭上切斷病毒、木馬的潛入，再結(jié)合終端安全強度檢查與網(wǎng)絡(luò)準入、DOS防御、ARP欺騙防護等多種安全手段，實現(xiàn)立體式安全護航，確保組織安全上網(wǎng)。5.3 WX5500系列多業(yè)務(wù)無線控制器WX5500系列無線控制器具有大容量、高可靠、業(yè)務(wù)類型豐富等特點，集精細的用戶控制管理、完善的射頻資源管理、7X24小時無線安全管控、二三層快速漫游、靈活的QoS控制、IPv4&IPv6雙棧等多功能于一體，提供強大的有線、無線一體化接入能力。產(chǎn)品特點：支持智能AP負載分擔802.11協(xié)議把無線

24、漫游的決策交給了無線客戶端，無線客戶端一般會根據(jù)AP信號強度(RSSI)選擇AP，這很容易導(dǎo)致大量的客戶端僅僅因為某個AP信號較強而連接到同一個AP上。由于這些客戶端共享無線媒介，導(dǎo)致每個客戶端的網(wǎng)絡(luò)吞吐將大量減少。智能負載分擔方法可以實時地分析無線客戶端的位置，動態(tài)地確定在當前時刻和當前位置下哪些AP可以彼此分擔負載，通過控制無線客戶端接入的AP，來實現(xiàn)這些AP間的負載分擔。系統(tǒng)不僅支持按照用戶在線會話數(shù)的負載分擔，而且支持按照用戶流量負載的分擔。支持7層移動安全檢測/防御(wIDS/wIPS)WX5500系列無線控制器支持的移動安全防御模式有：黑名單、白名單、Rogue防御、畸形報文檢測、

25、非法用戶下線、基于可預(yù)設(shè)升級的Signature MAC層攻擊檢測與反制(例如：DoS攻擊，F(xiàn)lood攻擊、中間人攻擊)等。配合無線應(yīng)用控制臺內(nèi)置的海量智能專家知識庫，可以獲得靈活的無線安全策略判斷依據(jù)，對于明確的非法攻擊源(AP或終端等)，實現(xiàn)可視的物理位置跟蹤監(jiān)控和交換機物理端口移除。5.4 S5500-EI 系列以太網(wǎng)交換機S5500增強型IPv6強三層萬兆以太網(wǎng)交換機產(chǎn)品，具備業(yè)界盒式交換機最先進的硬件處理能力和最豐富的業(yè)務(wù)特性。支持最多4個萬兆擴展接口，支持IPv4/IPv6硬件雙棧及線速轉(zhuǎn)發(fā)，使客戶能夠從容應(yīng)對即將帶來的IPv6時代；除此以外，其出色的安全性，可靠性和多業(yè)務(wù)支持能力

26、使其成為大型企業(yè)網(wǎng)絡(luò)和園區(qū)網(wǎng)的匯聚，中小企業(yè)網(wǎng)核心、以及城域網(wǎng)邊緣設(shè)備的第一選擇。產(chǎn)品特點：彈性擴展 可以按照用戶需求實現(xiàn)彈性擴展，保證用戶投資。并且新增的設(shè)備加入或離開IRF架構(gòu)時可以實現(xiàn)“熱插拔”，不影響其他設(shè)備的正常運行。高可靠 IRF的高可靠性體現(xiàn)在鏈路，設(shè)備和協(xié)議三個方面。成員設(shè)備之間物理端口支持聚合功能，IRF系統(tǒng)和上、下層設(shè)備之間的物理連接也支持聚合功能，這樣通過多鏈路備份提高了鏈路的可靠性；IRF系統(tǒng)由多臺成員設(shè)備組成，一旦Master設(shè)備故障，系統(tǒng)會迅速自動選舉新的Master，以保證通過系統(tǒng)的業(yè)務(wù)不中斷，從而實現(xiàn)了設(shè)備級的1：N備份；IRF系統(tǒng)會有實時的協(xié)議熱備份功能負責將

27、協(xié)議的配置信息備份到其他所有成員設(shè)備，實現(xiàn)1：N的協(xié)議可靠性。高性能 對于高端交換機來說，性能和端口密度的提升會受到硬件結(jié)構(gòu)的限制。而IRF系統(tǒng)的性能和端口密度是IRF內(nèi)部所有設(shè)備性能和端口數(shù)量的總和。因此，IRF技術(shù)能夠輕易的將設(shè)備的交換能力、用戶端口的密度擴大數(shù)倍，從而大幅度提高了設(shè)備的性能。5.5 WA2610無線APWa2610是新一代基于終端感知型硬件智能天線覆蓋技術(shù)的超百兆高速無線接入設(shè)備(以下簡稱AP)，可提供相當于傳統(tǒng)802.11a/b/g網(wǎng)絡(luò)6倍以上的無線接入速率，能夠覆蓋更大的范圍。該系列無線產(chǎn)品上行鏈路采用千兆以太網(wǎng)接口，突破了百兆速率的限制，使無線多媒體應(yīng)用成為現(xiàn)實。新

28、一代基于終端感知型硬件智能天線覆蓋技術(shù)的超百兆高速無線接入設(shè)備(以下簡稱AP)，可提供相當于傳統(tǒng)802.11a/b/g網(wǎng)絡(luò)6倍以上的無線接入速率，能夠覆蓋更大的范圍。該系列無線產(chǎn)品上行鏈路采用千兆以太網(wǎng)接口，突破了百兆速率的限制，使無線多媒體應(yīng)用成為現(xiàn)實。產(chǎn)品特點：提供本地轉(zhuǎn)發(fā)功能當WA2610AP (Fit模式)通過廣域網(wǎng)方式轉(zhuǎn)發(fā)時，無線接入設(shè)備部署在分支機構(gòu)，而無線控制器部署在總部，所有用戶數(shù)據(jù)由無線接入設(shè)備發(fā)送到無線控制器，再由無線控制器進行集中轉(zhuǎn)發(fā)。WA2610 系列AP可將數(shù)據(jù)報文在無線接入設(shè)備上直接轉(zhuǎn)化為有線格式的報文，使得數(shù)據(jù)報文不經(jīng)過無線控制器，而是在本地進行轉(zhuǎn)發(fā)，大大節(jié)約了有

29、線帶寬。提供EAD無線接入終端準入控制(EAD，End user Admission Domination)解決方案從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，對接入網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略，通過與安全策略服務(wù)器的聯(lián)動，可以對感染病毒或存在系統(tǒng)漏洞等不合格的無線客戶端進行下線、隔離、提醒或監(jiān)控等多種方式的處理，只有無線客戶端符合相應(yīng)的安全策略之后才允許正常訪問網(wǎng)絡(luò)，從而提高了無線網(wǎng)絡(luò)的整體安全性。支持遠程探針分析WA2610 AP支持作為遠程探針分析的Sensor設(shè)備，可以對覆蓋區(qū)內(nèi)的Wi-Fi報文進行偵聽捕獲并實時鏡像到本地分析設(shè)備，供網(wǎng)絡(luò)管理員進行故障排查、優(yōu)化分析。遠程探針分析功能既可以針對工作信道進行無收斂鏡像，也可以對所有信