某項目網(wǎng)絡(luò)改造設(shè)計方案

1、2021年4月13日網(wǎng)絡(luò)改造設(shè)計方案XXXXXX工程文檔更新記錄版本號更新時間撰寫/修訂審 核修 改 說 明2021-04-13XXX初始版本目錄 TOC o 1-6 h z u HYPERLINK l _Toc290536246 1. 用戶系統(tǒng)現(xiàn)狀 PAGEREF _Toc290536246 h 1 HYPERLINK l _Toc290536247 原網(wǎng)絡(luò)拓撲構(gòu)造 PAGEREF _Toc290536247 h 1 HYPERLINK l _Toc290536248 原網(wǎng)絡(luò)分析 PAGEREF _Toc290536248 h 1 HYPERLINK l _Toc290536249 2. 系

2、統(tǒng)建立需求 PAGEREF _Toc290536249 h 2 HYPERLINK l _Toc290536250 網(wǎng)絡(luò)要求 PAGEREF _Toc290536250 h 2 HYPERLINK l _Toc290536251 設(shè)備要求 PAGEREF _Toc290536251 h 2 HYPERLINK l _Toc290536252 3. 解決方案 PAGEREF _Toc290536252 h 3 HYPERLINK l _Toc290536253 網(wǎng)絡(luò)系統(tǒng)改造設(shè)計 PAGEREF _Toc290536253 h 3 HYPERLINK l _Toc290536254 改造后網(wǎng)絡(luò)拓撲

3、構(gòu)造 PAGEREF _Toc290536254 h 5 HYPERLINK l _Toc290536255 4. 設(shè)備選型 PAGEREF _Toc290536255 h 6 HYPERLINK l _Toc290536256 設(shè)備清單一覽表 PAGEREF _Toc290536256 h 6 HYPERLINK l _Toc290536257 設(shè)備產(chǎn)品資料 PAGEREF _Toc290536257 h 6 HYPERLINK l _Toc290536258 4.2.1 Quidway S5300系列全千兆運營級交換機產(chǎn)品說明 PAGEREF _Toc290536258 h 6 HYPER

4、LINK l _Toc290536259 4.2.2 天融信入侵防御系統(tǒng)TopIDP產(chǎn)品說明 PAGEREF _Toc290536259 h 11 HYPERLINK l _Toc290536260 4.3.3 天融信防火墻系統(tǒng)TopGuard-NGFW4000系列產(chǎn)品說明 PAGEREF _Toc290536260 h 14用戶系統(tǒng)現(xiàn)狀 原網(wǎng)絡(luò)拓撲構(gòu)造 原網(wǎng)絡(luò)分析現(xiàn)有網(wǎng)絡(luò)拓撲構(gòu)造相對簡單，直接從政務(wù)外網(wǎng)接入核心交換機，無法保障內(nèi)網(wǎng)平安；核心采用了非網(wǎng)管交換機，對網(wǎng)絡(luò)的管理造成不便；接入采用百兆交換機，無法滿足高速開展的網(wǎng)絡(luò)時代帶來的巨大信息量的傳輸；三樓只接入了一臺8口交換機，無法滿足20個

5、信息點的接入。系統(tǒng)建立需求 網(wǎng)絡(luò)要求為各類應(yīng)用系統(tǒng)提供方便、快捷的信息通路；具有良好的性能，能夠支持大容量和實時性的各類應(yīng)用；能夠可靠運行，具有較低的故障率和維護要求。提供網(wǎng)絡(luò)平安機制，滿足信息平安的要求，未來升級擴展容易。 整個網(wǎng)絡(luò)系統(tǒng)采用千兆以太網(wǎng)1000M交換，網(wǎng)絡(luò)協(xié)議采用TCP/IP協(xié)議，交換機要求采用主流、成熟、信譽和售后效勞均佳的產(chǎn)品，核心交換機支持VLAN等功能，能較好解決突發(fā)數(shù)據(jù)量和密集效勞請求的實時響應(yīng)問題，在內(nèi)部用戶終端進展數(shù)據(jù)交換時交換引擎不會出現(xiàn)過載現(xiàn)象和數(shù)據(jù)包碰撞、喪失的現(xiàn)象，還要考慮預(yù)防瓶頸出現(xiàn)和補救的相應(yīng)措施。 設(shè)備要求根據(jù)網(wǎng)絡(luò)功能需求情況，樓層接入設(shè)備需要選擇同

6、一型號的設(shè)備；網(wǎng)絡(luò)設(shè)備必須在技術(shù)上具有先進性、通用性，必須便于管理、維護，應(yīng)該滿足現(xiàn)有計算機設(shè)備的高速接入，應(yīng)該具備良好的可擴展性、可升級性。網(wǎng)絡(luò)設(shè)備在滿足功能與性能的根底上必須具有良好的性價比。網(wǎng)絡(luò)設(shè)備應(yīng)該選擇擁有足夠?qū)嵙褪袌龇蓊~的廠商的主流產(chǎn)品，同時設(shè)備廠商必須要有良好的市場形象與售后技術(shù)支持。解決方案 網(wǎng)絡(luò)系統(tǒng)改造設(shè)計針對原網(wǎng)絡(luò)的缺乏及用戶需求，現(xiàn)對原網(wǎng)絡(luò)設(shè)計方案進展升級改造，改造后網(wǎng)絡(luò)系統(tǒng)采用二層構(gòu)造：核心局部核心采用了一臺三層可管理交換機(華為5328C-EI-24S)，該交換機具有24個100/1000Base-X,4個10/100/1000Base-T千兆Combo口，解決了網(wǎng)

7、絡(luò)管理不便的問題并支持未來子網(wǎng)的擴展，轉(zhuǎn)發(fā)性能96M，端口交換容量128G，板交換容量到達了256G，保證了巨大信息量的可靠傳輸及交換。接入局部整個網(wǎng)絡(luò)系統(tǒng)共有110個信息點，四樓使用兩臺華為5352C-SI千兆交換機直接接入核心交換機，該交換機具有48個10/100/1000Base-T端口，滿足用戶終端90個信息點接入需求的同時也保證了各個信息點數(shù)據(jù)的高速傳輸，三樓將原來的8口交換機改為24口交換機華為5328C-SI，也保證了剩下20個信息點的接入，解決了原來三樓接入端口缺乏的問題。由于整個網(wǎng)絡(luò)系統(tǒng)構(gòu)造比擬簡單，傳輸距離較短，所有交換機具有1000base-T端口，所以可采用超5類或6類

8、雙絞線連接整個網(wǎng)絡(luò)，以節(jié)約網(wǎng)絡(luò)系統(tǒng)改造本錢。平安方面，在政務(wù)外網(wǎng)與核心交換機之間接入防火墻天融信NGFW4000系列的TG-4514及入侵防御系統(tǒng)天融信TopIDP2000系列的TI-2230-IDP，該防火墻集成了多種平安引擎，不但有內(nèi)置的攻擊檢測能力，還可以和IPS產(chǎn)品實現(xiàn)聯(lián)動。這不僅提高了平安性，還保證了高性能，是國內(nèi)平安功能最豐富的防火墻產(chǎn)品。入侵防御系統(tǒng)TI-2230-IDP可分析網(wǎng)絡(luò)攻擊的組合行為特征來準確識別各種攻擊，可以智能地識別出多種攻擊隱藏手段及變種攻擊。通過智能化檢測引擎，能夠識別出多種高危網(wǎng)絡(luò)行為，并可以將此類行為以告警方式通知管理員，到達防患于未然的目的。同時具有強大

9、的木馬檢測與識別能力，完善的應(yīng)用攻擊檢測與防護能力，豐富的網(wǎng)絡(luò)應(yīng)用控制能力和及時的應(yīng)急響應(yīng)能力，使得內(nèi)網(wǎng)平安性大大提高。而且，兩者都具有硬件Bypass功能，即使平安設(shè)備出現(xiàn)故障，也不影響整個網(wǎng)絡(luò)的連通性。改造后網(wǎng)絡(luò)構(gòu)造不僅滿足用戶現(xiàn)有需求，同時對未來網(wǎng)絡(luò)構(gòu)造做好擴展準備。改造后的網(wǎng)絡(luò)系統(tǒng)具有如下特性：1.先進性：系統(tǒng)具有高速傳輸?shù)哪芰ΑＯ到y(tǒng)傳輸速率到達1000Mb/s, 同時具有較高的帶寬，滿足現(xiàn)在和未來數(shù)據(jù)信息傳輸?shù)男枨螅?2.靈活性：系統(tǒng)具有較高的適應(yīng)變化的能力。當用戶的物理位置發(fā)生變化時可以在非常簡便的調(diào)整下重新連接； 3.實用性：系統(tǒng)具有低本錢、使用方便、簡單、易擴展的特點。4.平安

10、性：在核心機與政務(wù)外網(wǎng)間接入防火墻和入侵防御系統(tǒng)，大大提高了整個網(wǎng)絡(luò)系統(tǒng)的平安性。 改造后網(wǎng)絡(luò)拓撲構(gòu)造設(shè)備選型 設(shè)備清單一覽表樓層設(shè)備類型名稱數(shù)量設(shè)備配置信息四樓交換機華為5328C-EI-24S1端口描述：24個100/1000Base-X，4個10/100/1000Base-T千兆Combo口；轉(zhuǎn)發(fā)性能96M，端口交換容量128G，板交換容量256G；華為5352C-SI2端口描述：48個10/100/1000Base-T，上行支持210GE XFP、41000Base-X SFP、210GE SFP或者410GE SFP插卡，雙電源，可插拔；轉(zhuǎn)發(fā)性能132M，端口交換容量176G，板交換

11、容量256G；IPSTopIDP2000 TI-2230-IDP11U機架式構(gòu)造；最大配置為26個接口，默認包括2個可插拔的擴展槽和10個10/100/1000BASE-T接口，作為HA口和管理口；默認含1年特征庫升級吞吐量2.6G；最大并發(fā)連接數(shù)60W；IPS性能600M；具有硬件Bypass功能防火墻NGFW4000 TG-4514 11U機架式構(gòu)造；最大配置為12個接口，包括4個10/100/1000BASE-T接口和1個擴展槽吞吐量1G最大并發(fā)連接數(shù)160W三樓交換機華為5328C-SI1端口描述:24個10/100/1000Base-T，4個100/1000Base-X 千兆Comb

12、o口，上行支持210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡,雙電源，可插拔，支持USB口；轉(zhuǎn)發(fā)性能96M，端口交換容量128G，板交換容量256G； 設(shè)備產(chǎn)品資料4.2.1 Quidway S5300系列全千兆運營級交換機產(chǎn)品說明產(chǎn)品概述Quidway S5300系列全千兆交換機以下簡稱S5300，是華為公司為滿足大帶寬接入和以太網(wǎng)多業(yè)務(wù)會聚而推出的新一代全千兆高性能以太網(wǎng)交換機，可為客戶提供強大的以太網(wǎng)功能效勞。S5300基于新一代高性能硬件和華為公司統(tǒng)一的VRPVersatile Routing Platform軟件，具備大容量、高密度千兆

13、端口，可提供萬兆上行，充分滿足客戶對高密度千兆和萬兆上行設(shè)備的需求。S5300可滿足運營商園區(qū)網(wǎng)會聚、企業(yè)網(wǎng)會聚、IDC千兆接入以及企業(yè)千兆到桌面等多種場合的需求。產(chǎn)品外觀S5328C-EI-24S：24個100/1000Base-X，4個10/100/1000Base-T千兆Combo口，上行支持210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡，雙電源，可插拔；S5352C-SI：48個10/100/1000Base-T，上行支持210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡，雙電源，可插拔, 支持

14、USB口；S5328C-SI：24個10/100/1000Base-T，4個100/1000 Base-X 千兆Combo口， 上行支持210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡，雙電源，可插拔，支持USB口；產(chǎn)品特點強大的多業(yè)務(wù)支持能力 S5300支持增強型靈活QinQ功能，確保靈活的外層VLAN標簽功能的同時不占用ACL資源。S5300能將內(nèi)層VLAN的CoS值映射到外層VLAN，或者修改外層VLAN的CoS值，可根據(jù)業(yè)務(wù)需要靈活標記QoS等級，滿足多業(yè)務(wù)承載的要求。 S5300支持IGMP Snooping/ IGMP v3 snoop

15、ing/Filter/Fast Leave/Proxy等協(xié)議。S5300支持線速的跨VLAN組播復制功能，支持捆綁端口的組播負載分擔，支持可控組播，可以充分滿足IPTV和其他組播業(yè)務(wù)的需求。 S5300支持MCE 功能，實現(xiàn)了不同VPN用戶在同一臺設(shè)備的隔離，有效解決用戶數(shù)據(jù)平安問題，同時降低用戶投資本錢。 免維護易部署 S5300采用“一次進站方案， 支持自動配置、即插即用、USB開局、自動批量遠程升級功能，便于部署升級和業(yè)務(wù)發(fā)放，簡化后續(xù)的管理和維護性能。從而大大降低了維護本錢。S5300支持SNMP V1/V2/V3， CLI命令行、Web網(wǎng)管、TELNET、HGMP集群管理等多樣化的管

16、理和維護方式，設(shè)備管理更加靈活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主機、基于端口的流量統(tǒng)計，支持NQA網(wǎng)絡(luò)質(zhì)量分析，有利于進一步作好網(wǎng)絡(luò)規(guī)劃和改造。良好的可擴展性 S5300系列交換機支持智能堆疊 iStack功能，完全即插即用，插好堆疊線纜即可自動組建堆疊虛擬框式架構(gòu)。堆疊成員分為主、備、從三種角色。新增備交換機之后減少了主交換機故障引起的業(yè)務(wù)中斷時間。支持智能升級，排除用戶給堆疊擴容時為新參加交換機更換軟件版本的煩惱。堆疊技術(shù)允許交換機利用互聯(lián)電纜實現(xiàn)多臺設(shè)備的擴展，單一IP管理，大大降低系統(tǒng)擴展以及運維的本錢。與傳統(tǒng)組網(wǎng)技術(shù)相比，在擴展性、可靠性、整體架構(gòu)等性能

17、方面均具有強大的優(yōu)勢。 簡單的可管理特性 S5300支持GVRP實現(xiàn)動態(tài)分發(fā)、注冊和傳播VLAN屬性，從而到達減少網(wǎng)絡(luò)管理員的手工配置量及保證VLAN配置正確的目的。GVRP是一種VLAN的動態(tài)配置技術(shù)，在復雜的組網(wǎng)環(huán)境中應(yīng)用GVRP，能夠簡化VLAN配置管理，減少因為配置不一致而導致的網(wǎng)絡(luò)互通問題。 S5300支持MUX VLAN功能。MUX VLAN提供了一種在VLAN的端口間進展二層流量隔離的機制。采用兩層VLAN隔離技術(shù)，只有上層VLAN全局可見，下層VLAN相互隔離。MUX VLAN通常用于企業(yè)內(nèi)部網(wǎng)，客戶端口可以同效勞器端口通訊，但客戶端口之間不能通訊。用來防止連接到某些接口或接口

18、組的網(wǎng)絡(luò)設(shè)備之間的相互通信，但卻允許與默認網(wǎng)關(guān)進展通信。產(chǎn)品規(guī)格 天融信入侵防御系統(tǒng)TopIDP產(chǎn)品說明產(chǎn)品概述天融信公司的“網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng) TopIDP是基于新一代并行處理技術(shù)，它通過設(shè)置檢測與阻斷策略對流經(jīng)TopIDP的網(wǎng)絡(luò)流量進展分析過濾，并對異常及可疑流量進展積極阻斷，同時向管理員通報攻擊信息，從而提供對網(wǎng)絡(luò)系統(tǒng)內(nèi)部IT資源的平安保護。TopIDP能夠阻斷各種非法攻擊行為，比方利用薄弱點進展的直接攻擊和增加網(wǎng)絡(luò)流量負荷造成網(wǎng)絡(luò)環(huán)境惡化的DoS攻擊等，平安地保護內(nèi)部IT資源。TopIDP采用多核處理器硬件平臺，將并行處理技術(shù)融入到天融信自主研發(fā)的平安操作系統(tǒng)TOS中，保證了TopI

19、DP產(chǎn)品可以做到更高性能地網(wǎng)絡(luò)入侵的防護。公司內(nèi)攻防實驗室會跟蹤分析最新的漏洞和導致的攻擊行為，及時更新入侵防御設(shè)備的規(guī)那么庫，保證該設(shè)備的及時有效的檢測能力。TopIDP是集訪問控制、透明代理、數(shù)據(jù)包深度過濾、漏洞攻擊防御、郵件病毒過濾、報文完整性分析為一體的網(wǎng)絡(luò)平安設(shè)備，為用戶提供完整的立體式網(wǎng)絡(luò)平安防護。與現(xiàn)在市場上的入侵防御系統(tǒng)相比，TopIDP系列入侵防御系統(tǒng)具有更高的性能、更細的平安控制粒度、更完善的內(nèi)容攻擊防御、更大的功能擴展空間、更豐富的效勞和協(xié)議支持，代表了最新的網(wǎng)絡(luò)平安設(shè)備和解決方案開展方向，堪稱網(wǎng)絡(luò)入侵檢測和防御系統(tǒng)的典范。 產(chǎn)品功能詳細功能如下：功能類別功能項功能描述工

20、作模式網(wǎng)絡(luò)接入透明、路由、混合、監(jiān)聽、直連 入侵防御引擎支持路由、交換、混合、直連、監(jiān)聽五種模式支持基于源、目的、規(guī)那么集、動作的入侵檢測規(guī)那么支持時間對象支持策略改變引擎自動重起DDOS防御非法報文攻擊：land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof等；統(tǒng)計型報文攻擊：Synflood、Icmpflood、Udpflood、Portscan、ipsweep等；支持主機連接數(shù)和半連接數(shù)的限制。動作支持阻斷drop，檢測到策略中設(shè)置的數(shù)據(jù)后，丟棄報文；支持報警Alert， 檢測到策略中設(shè)置的數(shù)據(jù)

21、后，進展報警；支持TCP Reset，向攻擊者發(fā)TCP Reset包；支持日志Log，檢測到攻擊事件后記錄日志；支持記錄報文，檢測到攻擊事件后將原始報文完整記錄下來；支持防火墻聯(lián)動，與防火墻聯(lián)動，僅限IDS模式運行；支持自定義組合，可以將以上操作的組合做為一個新的動作。報表Webui支持實時顯示按發(fā)生次數(shù)累計的攻擊事件排名；支持Top10攻擊者、Top10被攻擊者、Top10事件統(tǒng)計報表；支持按時間統(tǒng)計的IPS流量報表；支持選定時間、網(wǎng)絡(luò)攻擊分類的統(tǒng)計報表；支持日報、周報、月報、季報等統(tǒng)計報表；支持報表輸出，輸出格式可以為PDF、DOC、HTML格式。規(guī)那么庫維護支持自定義規(guī)那么庫導入、導出；

22、支持系統(tǒng)規(guī)那么庫手動、自動升級。系統(tǒng)規(guī)那么預(yù)置系統(tǒng)規(guī)那么集包含認證類、木馬類、拒絕效勞類、即時通訊類、p2p類、溢出攻擊類、掃描類、系統(tǒng)漏洞類、webcgi類、蠕蟲類、游戲類、 攻擊類、RPC攻擊類、高風險類、中風險類、低風險類和所有事件等。自定義規(guī)那么支持自定義規(guī)那么；支持自定義規(guī)那么集。網(wǎng)絡(luò)適應(yīng)性路由支持靜態(tài)路由；支持基于源/目的地址、接口、Metric的策略路由；支持Vlan路由，能夠在不同的VLAN虛接口間實現(xiàn)路由功能。VLAN支持802.1Q，能進展封裝和解封。在同一個Vlan內(nèi)能進展二層交換。ARP支持ARP代理、ARP學習。可設(shè)置靜態(tài)ARP。高可用性雙機熱備*支持雙機熱備Acti

23、ve-Active模式。注：高端IDP產(chǎn)品只支持AS方式支持連接同步Bypass提供專業(yè)的硬件ByPass功能，保證網(wǎng)絡(luò)通暢負載均衡支持輪詢、加權(quán)輪叫、最少連接、加權(quán)最少鏈接等多種效勞器負載均衡算法。備份系統(tǒng)支持備份系統(tǒng)，主系統(tǒng)破壞后可以通過備份系統(tǒng)啟動運行。系統(tǒng)管理管理方式支持WEB圖形配置、命令行配置；支持本地配置、遠程配置；支持基于SSH、SSL的平安配置。SNMP支持SNMP 的v1 、v2 、v2c 、v3 版本；與當前通用的網(wǎng)絡(luò)管理平臺兼容，如HP Openview 等；豐富的私有MIB系統(tǒng)信息。監(jiān)控和報警支持網(wǎng)絡(luò)接口、CPU利用率、內(nèi)存使用率等；內(nèi)置了“管理、“系統(tǒng)、“平安、“策

24、略、“通信、“硬件、“容錯、“測試等多種觸發(fā)報警的事件類；支持郵件、SNMP、控制臺等多種組合報警方式。日志支持Welf、Syslog等多種日志格式的輸出；支持通過第三方軟件來查看日志；支持日志分級；支持對接收到的日志進展緩沖存儲。其它系統(tǒng)升級，支持遠程維護和系統(tǒng)升級；系統(tǒng)升級，支持T、 方式升級；配置恢復，可進展配置文件的備份、下載、刪除、恢復和上載；時鐘調(diào)整，支持網(wǎng)絡(luò)時鐘協(xié)議NTP，可自動根據(jù)NTP效勞器時鐘調(diào)整本機時間。4.3.3 天融信防火墻系統(tǒng)TopGuard-NGFW4000系列產(chǎn)品說明產(chǎn)品概述十幾年來，天融信專注于信息平安，第一家開發(fā)出自主防火墻系統(tǒng)，第一家提出TOPSEC聯(lián)動技

25、術(shù)體系。網(wǎng)絡(luò)衛(wèi)士防火墻歷經(jīng)了包過濾、應(yīng)用代理、核檢測等技術(shù)階段，目前已進入以自主平安操作系統(tǒng)TOSTopsec Operating System為根底，以完全內(nèi)容檢測為標志的技術(shù)階段，集成了防火墻、VPN、帶寬管理、防病毒、入侵防御、內(nèi)容過濾等多種平安功能。網(wǎng)絡(luò)衛(wèi)士防火墻系列在政府、銀行、電力、軍工、電信、稅務(wù)、教育、能源、交通等行業(yè)中廣泛應(yīng)用，全國20,000多網(wǎng)絡(luò)和業(yè)務(wù)在其保護下平穩(wěn)運行。天融信基于多年的技術(shù)積累和用戶信賴，連續(xù)多年蟬聯(lián)國內(nèi)第一防火墻品牌。網(wǎng)絡(luò)衛(wèi)士防火系列市場占有量巨大，它保護的網(wǎng)絡(luò)遍布在祖國大江南北，并已走出國門在一些全球性的業(yè)務(wù)網(wǎng)絡(luò)上成功實施，為廣闊用戶的信息平安建立立

26、下了汗馬功績。NGFW4000 (TG-4514)產(chǎn)品功能類別功能詳細描述工作模式支持透明、路由、混合、直連虛擬線模式網(wǎng)絡(luò)平安性內(nèi)容過濾采用完全內(nèi)容檢測Complete Content Inspection技術(shù)。支持基于流、數(shù)據(jù)包、透明代理的過濾方式。支持對 、SMTP、POP3、IMAP、FTP等協(xié)議的深度內(nèi)容過濾。支持URL過濾。支持DNS過濾。支持web重定向。支持 URL長度限制。支持偽裝 連接識別。支持DNS過濾。支持RSH命令過濾。支持telnet命令過濾。支持對移動代碼如Java applet、Active-X、VBScript、Java script的過濾。支持對郵件的收發(fā)郵件

27、地址、文件名、文件類型過濾。支持對郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等關(guān)鍵字匹配過濾。支持反垃圾郵件功能用戶配置黑白名單支持MSN，QQ，Skype等Instant Messenger通信，并可以對于這些應(yīng)用進展登陸限制和帳號過濾?？上拗艬T，eMule，eDonkey，迅雷等P2P應(yīng)用。可屏蔽受保護主機/效勞器系統(tǒng)信息，如替換效勞器、POP3、telnet, 的BANNER信息。網(wǎng)絡(luò)平安性訪問控制基于狀態(tài)檢測的動態(tài)包過濾。基于源/目的IP地址、MAC地址、端口和協(xié)議、時間、用戶的訪問控制。支持基于用戶的PPTP的訪問控制。支持報文合法性檢查。動態(tài)端口支持協(xié)議：H.323、SIP、SQ

28、L*NET、MMS、RPC、T?？蓪崿F(xiàn)IP/MAC綁定。會話收集整理，由收集數(shù)據(jù)生成訪問控制策略。訪問控制策略分組管理。地址對象源目的發(fā)起連接數(shù)控制，支持全網(wǎng)段地址。支持大數(shù)量級的策略匹配加速算法。支持對于策略重復和策略沖突的檢查。平安管理用戶認證支持使用一次性口令認證OTP、本地認證、雙因子認證SecurID以及數(shù)字證書CA等常用的平安認證方式。支持使用第三方認證，如RADIUS、TACACS/TACACS+、LDAP、域認證等平安認證方式。支持Session認證、 會話認證。支持認證?；罟δ??？蓪⒄J證用戶信息加密存放在本地數(shù)據(jù)庫。日志支持Welf、Syslog日志格式的輸出。支持日志分級和按類型輸出。支持通過第三方軟件來查看日志?？蓪θ罩具M展加密傳輸。支持平安審計系統(tǒng)TA-L，獲得更詳盡的日志分析和審計功能。TA-L除承受防火墻日志外還能承受交換機、路由器、操作系統(tǒng)、應(yīng)用系統(tǒng)和其他平安產(chǎn)品的日志進展聯(lián)合分析。監(jiān)控支持網(wǎng)絡(luò)接口、CPU