網(wǎng)絡安全加固最新解決方案報告書模板

1、WORD 完美格式網(wǎng)絡系統(tǒng)安全加固方案北京*有限公司2018 年 3 月.整理分享.WORD 完美格式目 錄1 項目介紹 . 31.1 項目背景. 31.2 項目目標. 31.3 參考標準. 41.4 方案設(shè)計原則. 41.5 網(wǎng)絡系統(tǒng)現(xiàn)狀. 62 網(wǎng)絡系統(tǒng)升級改造方案. 72.1 網(wǎng)絡系統(tǒng)建設(shè)要求 . 72.2 網(wǎng)絡系統(tǒng)升級改造方案 . 82.3 網(wǎng)絡設(shè)備部署及用途. 112.4 核心交換及安全設(shè)備 UPS 電源保證 . 122.5 網(wǎng)絡系統(tǒng)升級改造方案總結(jié) .123 網(wǎng)絡系統(tǒng)安全加固技術(shù)方案. 123.1 網(wǎng)絡系統(tǒng)安全加固建設(shè)要求 .123.2 網(wǎng)絡系統(tǒng)安全加固技術(shù)方案 .133.3 安全

2、設(shè)備部署及用途. 283.4 安全加固方案總結(jié) . 284 產(chǎn)品清單 . 錯誤!未定義書簽。.整理分享.WORD 完美格式1 項目介紹1.1 項目背景隨著對外網(wǎng)信息化的發(fā)展，業(yè)務系統(tǒng)對外網(wǎng)絡系統(tǒng)、信息系統(tǒng)的依賴程度也越來越高，信息安全的問題也越來越突出。為了有效防范和化解風險，保證對外網(wǎng)信息系統(tǒng)平穩(wěn)運行和業(yè)務持續(xù)開展，須對對外網(wǎng)現(xiàn)有的網(wǎng)絡升級，并建立信息安全保障體系，以增強對外網(wǎng)的信息安全風險防范能力。同時隨著全球化和網(wǎng)絡化，全球信息化建設(shè)的加快對我國的影響越來越大。由于利益的驅(qū)使，針對信息系統(tǒng)的安全威脅越來越多，必需加強自身的信息安全保護工作，建立完善的安全機制來抵御外來和內(nèi)在的信息安全威脅

3、。為提升對外網(wǎng)整體信息安全管理水平和抗風險能力，我們需要根據(jù)國內(nèi)外先進信息安全管理機制結(jié)合對外網(wǎng)自身特點和需求來開展一項科學和系統(tǒng)的信息安全體系建設(shè)和規(guī)劃設(shè)計工作。通過系統(tǒng)的信息安全體系規(guī)劃和建設(shè)，將為對外網(wǎng)加強內(nèi)部控制和內(nèi)部管理，降低運營風險，建立高效、統(tǒng)一、運轉(zhuǎn)協(xié)調(diào)的管理體制的重要因素。1.2 項目目標滿足對外網(wǎng)對網(wǎng)絡系統(tǒng)等基礎(chǔ)設(shè)施的需求，降低基礎(chǔ)設(shè)施對對外網(wǎng)信息化發(fā)展的制約，順利完成業(yè)務系統(tǒng)、網(wǎng)絡系統(tǒng)與信息安全系統(tǒng)的整合，促進對外網(wǎng)信息化可持續(xù)發(fā)展。本次改造工作的主要內(nèi)容：通過網(wǎng)絡系統(tǒng)改造及安全加固，滿足對外網(wǎng)日常辦公需要，保障重要網(wǎng)絡及業(yè)務系統(tǒng)的安全運行。.整理分享.WORD 完美格式

4、1.3 參考標準本方案重點參考的政策和標準包括： 中華人民共和國政府信息公開條例（中華人民共和國國務院令第492 號） 中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定 國務院辦公廳關(guān)于做好中央政府門戶網(wǎng)站內(nèi)容保障工作的意見（國辦發(fā)200531 號） 信息技術(shù) 信息系統(tǒng)安全等級保護實施指南 信息技術(shù) 信息系統(tǒng)安全等級保護基本要求 信息技術(shù) 信息系統(tǒng)安全等級保護方案設(shè)計規(guī)范 BS7799/ISO17799信息安全管理實踐準則1.4 方案設(shè)計原則本方案在設(shè)計中將嚴格遵循以下原則：需求、風險、代價平衡分析的原則對任一網(wǎng)絡，絕對安全難以達到，也不一定是必要的。對一個網(wǎng)絡要進行實際的研究(包括任務、性能

5、、結(jié)構(gòu)、可靠性、可維護性等 )，并對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定系統(tǒng)的安全策略；綜合性、整體性原則應運用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等).整理分享.WORD 完美格式以及專業(yè)技術(shù)措施(訪問控制、加密技術(shù)、認證技術(shù)、攻出檢測技術(shù)、容錯、防病毒等)。一個較好的安全措施往往是多種方法適當綜合的應用結(jié)果。計算機網(wǎng)絡的各個環(huán)節(jié)，包括個人(使用、維護、管理)、設(shè)備(含設(shè)施)、軟件(含應用系統(tǒng))、數(shù)據(jù)等，在網(wǎng)絡安全中的地位和影響作用，也只有從系統(tǒng)整體的角度去

6、看待、分析，才可能得到有效、可行的措施。不同的安全措施其代價、效果對不同網(wǎng)絡并不完全相同。計算機網(wǎng)絡安全應遵循整體安全性原則，根據(jù)確定的安全策略制定出合理的網(wǎng)絡體系結(jié)構(gòu)及網(wǎng)絡安全體系結(jié)構(gòu)；動態(tài)保護原則網(wǎng)絡安全是整體的、動態(tài)的。網(wǎng)絡安全的整體性是指一個安全系統(tǒng)的建立，即包括采用相應的安全設(shè)備，又包括相應的管理手段。安全設(shè)備不是指單一的某種安全設(shè)備，而是指幾種安全設(shè)備的綜合。網(wǎng)絡安全系統(tǒng)的動態(tài)性是指，安全是隨著環(huán)境、時間的變化而變化的，在一定環(huán)境下是安全的系統(tǒng)，環(huán)境發(fā)生變化了（如更換了某個機器），原來安全的系統(tǒng)就變的不安全了；在一段時間里安全的系統(tǒng)，時間發(fā)生變化了（如今天是安全的系統(tǒng)，可能因為黑客

7、發(fā)現(xiàn)了某種系統(tǒng)的漏洞，明天就會變的不安全了），原來的系統(tǒng)就會變的不安全。所以，建設(shè)的安全防護系統(tǒng)不是一勞永逸的事情；一致性原則一致性原則主要是指網(wǎng)絡安全問題應當與具體的安全措施保持同步，并且在網(wǎng)絡安全建設(shè)中所采取的各類安全措施應當執(zhí)行統(tǒng)一的安全策略，各個策略之間能夠相互互補，并針對具體的問題，從不同的側(cè)面執(zhí)行一致性的策略，避免出現(xiàn)策略自身的矛盾和失誤；強制性原則.整理分享.WORD 完美格式安全措施的策略應當統(tǒng)一下發(fā)，強制執(zhí)行，應避免各個環(huán)節(jié)的安全措施各自為政，從而也保障了安全策略的一致性，保障各個環(huán)節(jié)的安全措施能夠相互互補，真正的為系統(tǒng)提供有效的保護；易操作性原則安全措施需要人去完成，如果措

8、施過于復雜，對人的要求過高，本身就降低了安全性；其次，措施的采用不能影響系統(tǒng)的正常運行。多重保護原則任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。1.5 網(wǎng)絡系統(tǒng)現(xiàn)狀對外網(wǎng)共計約 120 名辦公人員。辦公網(wǎng)絡通過一臺二層交換機接入亦莊機房核心交換機，到機房的鏈路介質(zhì)為兩條光纖。.整理分享.WORD 完美格式網(wǎng)絡系統(tǒng)現(xiàn)狀拓撲目前，對外網(wǎng)現(xiàn)有四臺二層交換機需要更新升級。同時辦公場所沒有無線網(wǎng)絡覆蓋，且無內(nèi)網(wǎng)安全防護設(shè)備。2網(wǎng)絡系統(tǒng)升級改造方案2.1網(wǎng)絡系統(tǒng)建設(shè)要求網(wǎng)絡系統(tǒng)建設(shè)要求如下： 升級替換二層交換機。

9、 采用集中控管的組網(wǎng)方式，集中控制管理所有的 AP。 AP 采用 POE 供電的方式。.整理分享.WORD 完美格式 為了滿足大容量并且以備擴容和發(fā)展，室內(nèi)無線 AP 要求必須支持兩個射頻模塊，可以工作在 2.4GHz 和 5.8GHz 頻段; 無線系統(tǒng)能夠?qū)τ脩艚巧贫ú煌牟呗?，滿足授權(quán)管理（訪問控制、流量控制）功能； 充分考慮 WLAN 的安全性，采用先進的 WLAN 安全技術(shù)保障。 無線局域網(wǎng)系統(tǒng)要能方便和靈活地調(diào)整與擴充。 為核心網(wǎng)絡交換及安全設(shè)備提供 UPS 電源保證。2.2 網(wǎng)絡系統(tǒng)升級改造方案網(wǎng)絡系統(tǒng)升級改造方案拓撲圖如下：.整理分享.WORD 完美格式2.2.1 有線網(wǎng)絡升級

10、替換四臺現(xiàn)有二層交換機。2.2.2 新建無線網(wǎng)絡 AP 布放設(shè)計根據(jù)現(xiàn)場實際勘測、信號測試情況，無線網(wǎng)絡采取蜂窩式部署方式。 AP安裝在走廊/墻壁上。.整理分享.WORD 完美格式辦公區(qū)域接入 8 個 AP 供辦公人員日常業(yè)務使用。 無線組網(wǎng)方式結(jié)合用戶無線網(wǎng)絡需求情況，結(jié)合產(chǎn)品自身技術(shù)特點，為了滿足用戶構(gòu)建一個高速、穩(wěn)定、安全、可靠、易于管理的無線接入網(wǎng)絡的需求，本設(shè)計方案按照 AP+控制器的結(jié)構(gòu)化無線網(wǎng)絡解決方案進行設(shè)計。 信道規(guī)劃使用 2.4GHz 頻點為例，為保證信道之間不相互干擾，要求兩個信道之間間隔不低于 25MHz。在一個覆蓋區(qū)內(nèi)，最多可以提供 3 個不重疊的頻點同時工作，通常采

11、用 1、6、11 三個頻點。WLAN 頻率規(guī)劃需綜合考慮建筑結(jié)構(gòu)、穿透損耗以及布線系統(tǒng)等具體情況進行。 多業(yè)務區(qū)分設(shè)計在設(shè)計上采用無線局域網(wǎng)多 SSID 技術(shù)，設(shè)置多業(yè)務區(qū)分方式。例如一個SSID 可給內(nèi)部員工所用，而另一個可給外來的客戶專用。 無線安全性設(shè)計在無線系統(tǒng)中，可以在多個層面對系統(tǒng)構(gòu)筑安全防護，其安全性設(shè)計如下：（1）多SSID：可以根據(jù)需要，如用戶的種類、應用的種類設(shè)置多個SSID，不同的 SSID 采用不同的安全策略，這樣可以對不同的用戶及應用進行區(qū)分服務。另外 SSID 還可以選擇隱藏的方式，該 SSID 不廣播，用戶無法看到，防止.整理分享.WORD 完美格式非法用戶的接入

12、。SSID 還可以選擇在某些 AP 上出現(xiàn)，某些 AP 上不出現(xiàn)，限制 SSID 出現(xiàn)的范圍也是實現(xiàn)安全性的一種手段。（2）加密：無線系統(tǒng)支持國際標準的多種數(shù)據(jù)加密方式，保護數(shù)據(jù)不被竊取，用戶可根據(jù)實際需要自行選擇。（3）多重接入認證方式：廠家無線系統(tǒng)支持多重認證方式結(jié)合：開 放 式 、 WPA-PSK 、 WPA2-PSK （ 個 人 ）、 開 放 式 +Portal 認 證 、WPA-PSK/WPA2-PSK+Portal 認證、WPA(企業(yè))、WPA2（企業(yè)）、WPA/WPA2（企業(yè)）； 網(wǎng)絡與用戶管理在無線系統(tǒng)中可以設(shè)定用戶的角色，同時，可根據(jù)角色進行訪問的管控與流量的管理。比如，辦公

13、人員及領(lǐng)導具有較高的網(wǎng)絡權(quán)限，可以訪問更多的網(wǎng)絡資源，或者對某些特殊的來賓開放某些 VIP 賬號，分配給其較高權(quán)限的權(quán)限。分配較高的帶寬供使用。而訪客分配有限的權(quán)限，限制帶寬和禁止訪問內(nèi)網(wǎng)，同時也可進行時間的限制。2.3 網(wǎng)絡設(shè)備部署及用途本次網(wǎng)絡系統(tǒng)升級改造中各設(shè)備部署及用途如下：序號 設(shè)備名稱 數(shù)量 單位 用途1 接入交換機 1 臺 與機房三層交換機對接2 終端接入交換機 4 臺 提供終端 PC 的接入網(wǎng)絡.整理分享.WORD 完美格式3 POE 交換機 1 臺 為 AP 設(shè)備供電4 AC 控制器 1 臺 用于控制管理 AP5 室內(nèi) AP 8 臺 為用戶提供無線數(shù)據(jù)接入2.4 核心交換及安

14、全設(shè)備 UPS 電源保證通過核心信息機房布放核心交換機，核心網(wǎng)絡安全設(shè)備，無線網(wǎng)控制器等，為保證這些設(shè)備在停電狀態(tài)下的正常工作，我們配置了 5K 的 ups 電源，為核心網(wǎng)絡設(shè)備提供延遲 1 小時的不間斷電源保證。2.5 網(wǎng)絡系統(tǒng)升級改造方案總結(jié)通過本次網(wǎng)絡系統(tǒng)升級改造，網(wǎng)絡的基礎(chǔ)設(shè)施可以滿足未來 5 年擴展需求。根據(jù)業(yè)務需求優(yōu)化網(wǎng)絡系統(tǒng)，保證網(wǎng)絡系統(tǒng)可用性、工程實施的簡便快捷。滿足網(wǎng)絡系統(tǒng)等基礎(chǔ)設(shè)施的需求，降低基礎(chǔ)設(shè)施對信息化發(fā)展的制約，順利完成重要業(yè)務系統(tǒng)的部署及信息系統(tǒng)的整合，促進對外網(wǎng)信息化可持續(xù)發(fā)展。3網(wǎng)絡系統(tǒng)安全加固技術(shù)方案3.1網(wǎng)絡系統(tǒng)安全加固建設(shè)要求網(wǎng)絡系統(tǒng)安全加固建設(shè)要求如下

15、：1、網(wǎng)絡邊界安全防護2、財務等重要部門安全防護.整理分享.WORD 完美格式3、限制網(wǎng)速，控制上網(wǎng)；訪客可通過掃碼或關(guān)注微信公眾號，認證上網(wǎng)4、網(wǎng)絡準入5、IPSEC VPN：與阿里云對接6、SSLVPN 設(shè)備：移動辦公3.2 網(wǎng)絡系統(tǒng)安全加固技術(shù)方案針對系統(tǒng)的安全建設(shè)需求，在安全域劃分的基礎(chǔ)之上，提出了有針對性的安全技術(shù)措施，來構(gòu)建整個信息安全技術(shù)防護體系。具體部署方式如下圖所示：.整理分享.WORD 完美格式結(jié)合實際業(yè)務保障需要，本著“適度安全，保護重點”的原則，我們建議采用以下安全技術(shù)措施來構(gòu)建安全保障體系的技術(shù)支撐平臺。3.2.1 邊界安全保護措施采用防火墻，對信息網(wǎng)絡中重要的安全域

16、提供邊界訪問控制，嚴格控制進出網(wǎng)絡各個安全區(qū)域的訪問，明確訪問的來源、訪問的對象及訪問的類型，確.整理分享.WORD 完美格式保合法訪問的正常進行，杜絕非法及越權(quán)訪問；同時有效預防、發(fā)現(xiàn)、處理異常的網(wǎng)絡訪問，確保對外網(wǎng)信息網(wǎng)絡正常訪問活動。 網(wǎng)絡邊界安全防護 部署位置：在房與辦公區(qū)域之間部署防火墻設(shè)備。 部署模式：防火墻采用路由方式部署。 重要部門安全防護 部署位置：在行政、財務等重要部門與其他辦公區(qū)域之間 部署防火墻設(shè)備。 部署模式：防火墻采用透明方式部署。 產(chǎn)品功能特點“基于用戶防護”、“面向應用安全”、“高效轉(zhuǎn)發(fā)平臺”、“多層級冗余架構(gòu)”、“全方位可視化”及“安全技術(shù)融合”六大特性的NG

17、FW下一代防火墻系列產(chǎn)品。全新的 NGFW下一代防火墻產(chǎn)品線，不論是在性能方面還是在功能方面都完全符合用戶對下一代防火墻產(chǎn)品的各種需求。 基于用戶防護.整理分享.WORD 完美格式靈活且 強 大的 用戶 身 份管 理系 統(tǒng) ， 支持 RADIUS 、 TACACS 、LDAP 、AD、郵件、證書、Ukey、短信等多種認證協(xié)議和認證方式。在用戶管理方面，實現(xiàn)了分級、分組、權(quán)限、繼承關(guān)系等功能，充分考慮到各種應用環(huán)境下不同的用戶需求?；谏鲜鎏匦?，網(wǎng)絡終端在訪問網(wǎng)絡前，被強制要求到 NGFW下一代防火墻進行身份認證來完成對其的“合法性”檢查。除此之外，NGFW下一代防火墻還集成了強大的安全準入控制

18、功能，針對身份認證通過后的網(wǎng)絡終端操作系統(tǒng)環(huán)境進行系統(tǒng)服務、軟件、文件、進程、注冊表等細粒度的檢測與控制來實現(xiàn)對其的“合規(guī)性”檢查。通過對網(wǎng)絡終端“合法性”與“合規(guī)性”的雙重審核后，NGFW下一代防火墻將根據(jù)其身份認證信息（用戶 ID）通過智能過濾引擎實現(xiàn)基于用戶身份的安全防護策略部署與可視化監(jiān)控。一體化智能過濾引擎NGFW下一代防火墻系列產(chǎn)品，采用高度集成的一體化智能過濾引擎技術(shù)。其能夠在一次數(shù)據(jù)拆包過程中，對數(shù)據(jù)進行并行深度檢測，從而保證了協(xié)議深度識別的高效性。另外，NGFW下一代防火墻產(chǎn)品基于八元組高級訪問控制設(shè)計，除傳統(tǒng)的五元組控制以外，實現(xiàn)了用戶身份信息、應用程序指紋及內(nèi)容特征的識別

19、與控制，充分體現(xiàn)了下一代防火墻關(guān)注“用戶”與“應用”的設(shè)計理念。.整理分享.WORD 完美格式 高效轉(zhuǎn)發(fā)平臺 TOS 安全系統(tǒng)平臺NGFW系列產(chǎn)品基于廠家公司十余年高品質(zhì)安全產(chǎn)品開發(fā)經(jīng)驗結(jié)晶的 TOS（Topsec Operating System）安全系統(tǒng)平臺。隨著多核技術(shù)的廣泛應用，TOS 以多核硬件架構(gòu)為基礎(chǔ)，分為系統(tǒng)內(nèi)核層、硬件抽象層及安全引擎層。在安全引擎層內(nèi)，根據(jù)安全功能模塊協(xié)議特性的不同，分為網(wǎng)絡引擎組（NETWORK Engines）與應用引擎組（APP Engines）。通過將引擎組與多核硬件架構(gòu)的完美整合，使 TOS 在系統(tǒng)層面實現(xiàn)了全功能多核并行流處理。而在硬件抽象層則采

20、用多種加速技術(shù)，根據(jù)各個核心的實時負載情況，將流量按會話的方式動態(tài)均衡到 CPU 的各個核心，從而確保整個 CPU 效率執(zhí)行的最大化。.整理分享.WORD 完美格式TopTURBO 數(shù)據(jù)層高速處理TopTURBO 是自主原創(chuàng)實現(xiàn)數(shù)據(jù)層多核快速轉(zhuǎn)發(fā)的高性能業(yè)務處理技術(shù)。通過 NGFW產(chǎn)品研發(fā)團隊在 TOS 系統(tǒng)平臺上所進行的大量性能優(yōu)化工作，利用 TopTURBO 技術(shù)將數(shù)據(jù)層高速處理解決方案平滑遷移到多核硬件平臺上，與當今最先進的高性能多核架構(gòu)合而為一，從而獲得更高的網(wǎng)絡處理性能。.整理分享.WORD 完美格式3.2.2 網(wǎng)絡流量控制防護措施串聯(lián)部署上網(wǎng)行為管理系統(tǒng)，依據(jù)業(yè)務系統(tǒng)使用情況配置網(wǎng)

21、絡帶寬和用戶對外訪問的帶寬，滿足業(yè)務應用系統(tǒng)帶寬使用，同時保障網(wǎng)絡暢通。 網(wǎng)絡流量控制防護 部署位置：在防火墻設(shè)備與內(nèi)網(wǎng)三層交換機之間。 部署模式：采用透明方式部署。 認證方式：用戶只需用微信掃描企業(yè)提供的二維碼，關(guān)注公眾號并申請上網(wǎng)，即可完成身份認證過程。同時支持掃一掃的方式認證上網(wǎng)。 產(chǎn)品功能特點 IP/MAC/VLAN 綁定上網(wǎng)行為管理設(shè)備支持二層網(wǎng)絡環(huán)境和三層網(wǎng)絡環(huán)境的 IP、MAC、IP+MAC 和 VLAN ID 的綁定，可自動阻斷哪些非法占用他人 IP 的用戶上網(wǎng)。 認證賬戶有效期對于一些臨時的用戶，通過有效期的限定可以控制這些用戶的上網(wǎng)時間范圍，當用戶超出預設(shè)的時間有效期，就不

22、能上網(wǎng)。很好的控制了外來用戶上網(wǎng)的準入性和上網(wǎng)時長。同時可以設(shè)定用戶離線多久就自動刪除該用戶，從而大大的簡化了動態(tài)用戶的管理，增強了用戶管理的靈活性。 微信認證支持與微信結(jié)合的認證方式，用戶關(guān)注微信公眾號后即通過身份認.整理分享.WORD 完美格式證，后臺記錄用戶 ID 登錄重定向上網(wǎng)行為管理設(shè)備支持網(wǎng)頁重定向的功能。當用戶認證成功后，上網(wǎng)行為管理設(shè)備可以將其第一次的 WEB 訪問重定向到預設(shè)的 URL 鏈接。此功能適合于政府機關(guān)、企業(yè)集團、大中小學等、或者酒店等網(wǎng)絡環(huán)境，便于用戶上網(wǎng)的時候直接導向最新的公告信息。 帶寬資源管理通過專業(yè)的帶寬管理和分配算法，上網(wǎng)行為管理設(shè)備提供流量優(yōu)先級、最大

23、帶寬限制、保障帶寬、預留帶寬、以及隨機公平隊列等一系列的應用優(yōu)化和帶寬管理控制功能。 防共享上網(wǎng)上網(wǎng)行為管理，能自動發(fā)現(xiàn)網(wǎng)絡中私接的有線路由器、無線路由、360wifi 等共享上網(wǎng)行為，能夠及時對私接行為進行管控，在系統(tǒng)中能夠?qū)崟r查看管控記錄和日志3.2.3 網(wǎng)絡準入 網(wǎng)絡準入 部署位置：內(nèi)網(wǎng)三層交換機。 部署模式：采用旁路方式部署。 產(chǎn)品功能特點 完整的接入管理流程.整理分享.WORD 完美格式一套完整的接入管理流程，從基本的接入身份標識，到接入后的合規(guī)檢查和修復向?qū)б约皩嵜麑徲嫷?，整體包裝終端準入的安全性，純凈化與抗抵賴作用。 全方位的可信準入可信終端：只允許合法終端的接入，細粒度的健康檢

24、查保證接入終端的合規(guī)性；可信用戶：系統(tǒng)提供實名制的準入功能，并可與 AD 域聯(lián)動，將網(wǎng)絡準入同域認證有機結(jié)合。 無線準入業(yè)界領(lǐng)先支持傳統(tǒng) PC 有線和無線認證、健康檢查、動態(tài) VLAN 劃分；支持智能終端無線準入，無需安裝客戶端，支持 Android、IOS、WindowsPhone 等主流操作系統(tǒng)。 具有很好的網(wǎng)絡環(huán)境適應性，不需要大幅調(diào)整網(wǎng)絡結(jié)構(gòu)網(wǎng)絡安全準入系統(tǒng)可適應各類復雜網(wǎng)絡和混合型部署網(wǎng)絡，支持多種接入方式，支持有線和無線的準入。支持 CISCO、H3C、華為等多個廠商的設(shè)備，很好的滿足及適應了客戶網(wǎng)絡的復雜性。 細粒度的合規(guī)檢查從識別系統(tǒng)特征，到操作系統(tǒng)以及殺毒軟件的特征，全面支持

25、對客戶端主機的各種安全檢查，除基本的安全檢查項外（殺毒軟件、注冊表、進程等），可以由管理員自定義制訂檢查安全監(jiān)測任務。用戶可根據(jù)實際需求選擇符合自己的合規(guī)檢查。 高性能，高穩(wěn)定性的設(shè)備.整理分享.WORD 完美格式基于最新硬件平臺而構(gòu)建的 NAC 硬件準入網(wǎng)關(guān)，公司十五年的硬件產(chǎn)品技術(shù)積累，硬件平臺廣泛應用于防火墻、IPS、VPN 等其他硬件產(chǎn)品。該產(chǎn)品基于具有自主知識產(chǎn)權(quán)的安全操作系統(tǒng) TOS (Topsec Operating System)。 強大的可擴展性準入安全檢查技術(shù)上除了滿足客戶端安全監(jiān)控、客戶端安全加固、客戶端管理等要求之外，還提供多種數(shù)據(jù)接口和二次開發(fā)接口?？筛鶕?jù)實際需要快速

26、進行功能定制，也可與 TSM 產(chǎn)品(TD/TA-NET/TA-DB)聯(lián)合部署，并可提供基于實名認證審計功能。3.2.4 IPSEC VPN機房與云 IPSEC VPN 建立安全訪問通道。采用基于 IPSEC 協(xié)議的虛擬專用網(wǎng)（VPN）機制，結(jié)合可靠的認證、授權(quán)和密碼技術(shù)，保護遠程通信過程和傳輸數(shù)據(jù)的真實性、完整性、保密性，防止重要業(yè)務數(shù)據(jù)在傳輸過程中被竊取、篡改和破壞。 IPSEC VPN 部署位置：機房三層交換機。 部署模式：采用旁路方式部署。 產(chǎn)品功能特點 全面支持國密局 IPSec 協(xié)議規(guī)范IPSec 作為一個通用性的安全標準，要求所有 IPSec 的實現(xiàn)必須嚴格遵循.整理分享.WORD

27、 完美格式其各種協(xié)議規(guī)范，以便實現(xiàn)不同產(chǎn)品之間的互通。IPSec VPN 產(chǎn)品經(jīng)過國家密碼管理局的嚴格鑒定，符合國密局最新制定的IPSEC VPN 技術(shù)規(guī)范，可以和其他符合規(guī)范的的 VPN 產(chǎn)品實現(xiàn)互通。本產(chǎn)品遵循國密局最新制定的IPSEC VPN 技術(shù)規(guī)范標準協(xié)議。支持 ESP、AH 加密認證協(xié)議支持隧道模式、傳輸模式的協(xié)議封裝格式支持密鑰交換協(xié)議支持主模式、快速模式多種協(xié)商模式支持證書認證方式通過隧道路由技術(shù)實現(xiàn) VPN 網(wǎng)絡的靈活自動部署在實際物理網(wǎng)絡部署中，網(wǎng)絡管理員首先通過物理線路（可能是光纖、雙絞線、電話線等）連接各個路由設(shè)備，然后通過在路由器上配置靜態(tài)路由或者動態(tài)路由完成各種規(guī)模

28、網(wǎng)絡的靈活部署。在 IPSec VPN 網(wǎng)絡中，將每一條隧道視為連接兩臺 VPN 設(shè)備的虛擬網(wǎng)絡線路，隧道建立成功后，虛擬線路連接工作就完成了?；谶@些虛擬線路，網(wǎng)絡管理員可以在 IPSec VPN 網(wǎng)關(guān)上采用同樣的方法配置靜態(tài)、動態(tài)路由協(xié)議，完成整個 VPN 網(wǎng)絡的靈活部署。這種隧道路由機制的優(yōu)點在于：網(wǎng)關(guān)的配置概念和方法與路由器類似，減少網(wǎng)絡管理員對于部署 VPN 網(wǎng)絡的學習和熟悉過程；通過隧道路由規(guī)則的配置，可以完成 VPN 數(shù)據(jù)流在 VPN 網(wǎng)關(guān)之間的靈活轉(zhuǎn)發(fā)，從而可以實現(xiàn)星型網(wǎng)絡拓撲，并解決雙向 NAT 穿越問題；通過動態(tài)隧道路由協(xié)議的配置，可以實現(xiàn)整個 VPN 網(wǎng)絡的自適應部署，.

29、整理分享.WORD 完美格式VPN 網(wǎng)絡拓撲的自動學習、自動尋徑；通過基于策略的隧道路由配置，可以實現(xiàn) VPN 網(wǎng)關(guān)的冗余備份和負載均衡。完善的 PKI 體系提高用戶網(wǎng)絡的安全等級隨著 VPN 技術(shù)在政府、金融等高安全性要求領(lǐng)域的應用不斷深入，用戶對 VPN 網(wǎng)絡的認證功能與其原有的 PKI 體系進行無縫結(jié)合的需求也越來越強烈。網(wǎng)絡衛(wèi)士 VPN 產(chǎn)品全面支持標準 PKI 體系結(jié)構(gòu)，既能夠通過內(nèi)置的 CA 模塊獨立為移動用戶簽發(fā)數(shù)字證書，又能夠通過導入 CA 根證書CRL 列表方式對第三方 CA 簽發(fā)的證書進行認證，同時還能夠通過 OCSP/LDAP 等標準協(xié)議向第三方 CA 提交在線證書認真請

30、求。具體 PKI 功能包括：支持標準 X509.V3 格式數(shù)字證書；支持 DER、PEM、PKCS12 等多種證書編碼格式；支持通過內(nèi)置 CA 模塊為用戶簽發(fā)標準數(shù)字證書；支持同時導入多個 CA 根證書和 CRL 列表，對不同 CA 簽發(fā)證書進行認證；支持通過 OCSP/LDAP 等標準協(xié)議向第三方 CA 進行在線證書認證；支持生成 PKCS10 格式的證書請求，可生成證書請求，由第三方 CA 簽名；支持 CRL 列表文件的導入和通過 HTTP 自動下載；與吉大正元、上海格爾、天威誠信、江南計算所等國內(nèi)主要 CA 廠商有著長期的合作，網(wǎng)絡衛(wèi)士 VPN 網(wǎng)關(guān)與這些廠商的 CA 系統(tǒng)均能夠無縫集成

31、。3.2.5 SSL VPN采用基于 PKI 的數(shù)字證書技術(shù)實現(xiàn)服務器和用戶端的雙向身份認證，并采.整理分享.WORD 完美格式用數(shù)字簽名技術(shù)保證數(shù)據(jù)傳輸?shù)耐暾院徒灰椎目沟仲囆裕煞奖愕貙崿F(xiàn)移動辦公用戶利用互聯(lián)網(wǎng)對系統(tǒng)的安全訪問?？山Y(jié)合 USB KEY 提供證書和密鑰的存儲，增強用戶身份認證的安全性。 SSL VPN 部署位置：機房防火墻 DMZ 區(qū)。 部署模式：采用旁路方式部署。 產(chǎn)品功能特點 自主安全操作系統(tǒng)平臺采 用 自主 知識 產(chǎn)權(quán)的 安 全操 作系 統(tǒng) TOS （ Topsec OperatingSystem），TOS 擁有優(yōu)秀的模塊化設(shè)計架構(gòu)，有效保障了防火墻、VPN、內(nèi)容過濾、

32、抗攻擊、流量整形等模塊的優(yōu)異性能，其良好的擴展性為未來迅速擴展更多特性提供了無限可能。TOS 具有高安全性、高可靠性、高實時性、高擴展性及多體系結(jié)構(gòu)平臺適應性的特點。 多種 VPN 技術(shù)有機融合前面已經(jīng)分析了目前主流的各種 VPN 技術(shù)的優(yōu)缺點，這些技術(shù)有其不同的適用范圍。在實際的用戶網(wǎng)絡中，不同的用戶需求往往需要多種 VPN 技術(shù)綜合應用，在這種情況下往往需要用戶購買多臺不同的 VPN 設(shè)備來滿足需求，這既浪費資源又帶來用戶管理維護的工作量，同時網(wǎng)絡環(huán)境變得更加復雜，網(wǎng)絡運行的穩(wěn)定性和安全性都會面臨新的挑戰(zhàn)。VONE 網(wǎng)關(guān)是廠家公司在多年各種獨立的 VPN 產(chǎn)品研發(fā)和銷售的基礎(chǔ)上，.整理分享

33、.WORD 完美格式推出的一款融合 IPSEC/SSL/PPTP/L2TP 等多種 VPN 技術(shù)的綜合安全網(wǎng)關(guān)產(chǎn)品。在 TOS 平臺強大的整合能力保障下，各種 VPN 模塊進行了有機的整合，為用戶提供一個統(tǒng)一完整的 VPN 接入平臺。多種 SSLVPN 技術(shù)結(jié)合實現(xiàn)應用全覆蓋目前 SSLVPN 接入技術(shù)大致分為三類：WEB 轉(zhuǎn)發(fā)（WEB FORWARD），端口轉(zhuǎn)發(fā)（PORT FORWARD）和全網(wǎng)接入（NETWORK ACCESS 或者稱為 IPTUNNEL）。這三種技術(shù)的技術(shù)特點和適用范圍各不相同，在廠家 VONE 網(wǎng)關(guān)中對這三種 SSLVPN 接入技術(shù)都做了很好的支持，用戶可以根據(jù)自身應用

34、系統(tǒng)的特點選擇使用一種或多種接入方式。WEB 轉(zhuǎn)發(fā)模式可以實現(xiàn)用戶的完全無客戶端接入，支持各種操作系統(tǒng)和客戶瀏覽器平臺。但其缺點是僅支持 B/S 模式的應用系統(tǒng)，而且對客戶應用系統(tǒng)的依賴性較強。廠家 VONE 網(wǎng)關(guān)通過在 WEB 轉(zhuǎn)發(fā)模式中應用獨創(chuàng)的智能 URL重定向技術(shù)和自動分布式頁面重構(gòu)技術(shù)大大提高了對用戶 B/S 系統(tǒng)的支持率和處理性能。同時通過開放的頁面替換規(guī)則框架，支持為用戶個性化的業(yè)務系統(tǒng)自定義特殊的 URL 替換規(guī)則，進一步提高了系統(tǒng)的適應性。端口轉(zhuǎn)發(fā)模式通過客戶端本地代理技術(shù)實現(xiàn)對用戶訪問請求的 SSL 協(xié)議封裝和轉(zhuǎn)發(fā)。這種模式的適應性比 WEB 轉(zhuǎn)發(fā)要好，但其要求在客戶端安裝一個ACTIVEX 控件。廠家 VONE 網(wǎng)關(guān)實現(xiàn)了客戶端透明代理，用戶不需要修改本地的任何配置即能完成代理控件的安裝和使用，大大簡化了用戶操作步驟。全網(wǎng)接入模式通過 SSL 隧道轉(zhuǎn)發(fā)客戶端所有的 IP 請求報文，其適應性最好，能夠支持基于 IP 協(xié)議的所有