政府網(wǎng)絡(luò)安全及VPN解決方案

政府網(wǎng)絡(luò)安全及VPN解決方案XX政府網(wǎng)絡(luò)安全及VPN解決方案技術(shù)建議書華為賽門鐵克科技有限公司2011年政府網(wǎng)絡(luò)安全及VPN解決方案全文共1頁，當(dāng)前為第1頁。政府網(wǎng)絡(luò)安全及VPN解決方案全文共1頁，當(dāng)前為第1頁。目錄目錄 i1 政務(wù)外網(wǎng)建設(shè)現(xiàn)狀 32 政務(wù)外網(wǎng)的整體框架 33 政務(wù)外網(wǎng)網(wǎng)絡(luò)安全及VPN建設(shè)目標(biāo) 44 政務(wù)外網(wǎng)VPN建設(shè)需求及建設(shè)原則 44.1 政務(wù)外網(wǎng)VPN建設(shè)需求分析： 44.2 政務(wù)外網(wǎng)VPN建設(shè)的基本設(shè)計(jì)原則 55 政務(wù)外網(wǎng)VPN建設(shè)方案 65.1 網(wǎng)絡(luò)總體結(jié)構(gòu) 65.2 政務(wù)外網(wǎng)VPN網(wǎng)關(guān)接入方案 75.3 省各廳局委辦通過VPN互通方案 125.4 政務(wù)外網(wǎng)VPN移動(dòng)用戶接入方案 126 華賽VPN接入解決方案特點(diǎn) 136.1 全面的VPN業(yè)務(wù)支撐能力 136.2 領(lǐng)先的業(yè)務(wù)性能及高可靠的硬件體系 146.3 圖形化的便捷管理 157 部分產(chǎn)品介紹 167.1 華賽USG2000/5000簡介 167.2 華賽USG2000/5000功能特點(diǎn) 167.2.1 安全區(qū)域管理 167.2.2 安全策略控制 177.2.3 豐富的接入方式 187.2.4 卓越的路由交換特性 207.2.5 黑名單過濾惡意主機(jī) 217.2.6 IP和MAC地址綁定 217.2.7 強(qiáng)大的攻擊防范能力 22政府網(wǎng)絡(luò)安全及VPN解決方案全文共2頁，當(dāng)前為第2頁。7.2.8 VPN特性支持 22政府網(wǎng)絡(luò)安全及VPN解決方案全文共2頁，當(dāng)前為第2頁。7.2.9 靈活的擴(kuò)展能力 237.2.10 良好的管理維護(hù)功能 237.2.11 完備的IPv4/IPv6解決方案 247.2.12 領(lǐng)先的UTM技術(shù) 247.2.13 全面的語音方案 257.2.14 完善的QoS機(jī)制 267.2.15 高度的可靠性保證 267.2.16 廣泛的多業(yè)務(wù)集成 278 成功案例 278.1 XX奧運(yùn)城市數(shù)據(jù)系統(tǒng)VPN項(xiàng)目 278.2 XX省電子政務(wù)VPN應(yīng)用案例 29政府網(wǎng)絡(luò)安全及VPN解決方案全文共3頁，當(dāng)前為第3頁。政府網(wǎng)絡(luò)安全及VPN解決方案全文共3頁，當(dāng)前為第3頁。政務(wù)外網(wǎng)建設(shè)現(xiàn)狀國家電子政務(wù)外網(wǎng)建設(shè)目標(biāo)是：建立一個(gè)開放的、基于標(biāo)準(zhǔn)的、符合國家外網(wǎng)建設(shè)要求的政務(wù)外網(wǎng)統(tǒng)一網(wǎng)絡(luò)平臺，實(shí)現(xiàn)省直各部門及全省市的信息快速交換和資源共享，向全體政務(wù)工作者提供一個(gè)業(yè)務(wù)處理、輔助辦公的工作平臺，為省門戶網(wǎng)站提供信息源及后臺應(yīng)用業(yè)務(wù)運(yùn)行支持，外網(wǎng)將分別支持?jǐn)?shù)據(jù)、語音和視頻業(yè)務(wù)，運(yùn)行各部門的對外業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)各網(wǎng)間的信息交換和資源共享，同時(shí)建立完善的信息安全體系和相應(yīng)的備份系統(tǒng)。目前國家電子政務(wù)外網(wǎng)城域網(wǎng)建設(shè)已經(jīng)完成中央城域網(wǎng)4個(gè)節(jié)點(diǎn)2.5G環(huán)網(wǎng)的建設(shè)；完成國家監(jiān)察部、國務(wù)院扶貧辦、勞動(dòng)和社會保障部、農(nóng)業(yè)部、人事部、國家審計(jì)署等中央部門接入外網(wǎng)的工作；完成國家外網(wǎng)與全國32個(gè)省級外網(wǎng)節(jié)點(diǎn)的互聯(lián)互通工作；開通至中國網(wǎng)通100M出口；開通至中國聯(lián)通100M出口；同時(shí)各省按照中共中央辦公廳、國務(wù)院辦公廳中辦發(fā)[2002]17號、[2006]18號文件精神的要求，建設(shè)覆蓋省、市、縣各級黨委、人大、政府、政協(xié)、法院、檢察院及其組成部門、直屬機(jī)構(gòu)的政務(wù)外網(wǎng)，在省內(nèi)統(tǒng)一組織建設(shè)構(gòu)建五大基礎(chǔ)數(shù)據(jù)庫：法人數(shù)據(jù)庫、人口數(shù)據(jù)庫、地理信息數(shù)據(jù)庫、宏觀經(jīng)濟(jì)數(shù)據(jù)庫、法律法規(guī)數(shù)據(jù)庫，可以通過對省級數(shù)據(jù)庫進(jìn)行訪問的方式進(jìn)行數(shù)據(jù)共享、交換、查詢和比對。政務(wù)外網(wǎng)的整體框架電子政務(wù)外網(wǎng)是國家政務(wù)外網(wǎng)的延伸和拓展。在各省駐地有華為高端路由器，作為省上聯(lián)中央的PE設(shè)備。省政務(wù)外網(wǎng)平臺，上連國家政務(wù)外網(wǎng)，下連市的政務(wù)外網(wǎng)。構(gòu)建省城城域網(wǎng)、省到市廣域網(wǎng)，根據(jù)國家外網(wǎng)中央城域網(wǎng)的接入部委，實(shí)現(xiàn)大部分省直廳局與省政務(wù)外網(wǎng)的連接，貫通政府業(yè)務(wù)部門中央到省的信息通道；地市電子政務(wù)網(wǎng)，上連省電子政務(wù)網(wǎng)，下連接到縣、區(qū)，有條件的地方可以連接到鄉(xiāng)、鎮(zhèn)和社區(qū)，橫向連接到黨委、人大、政府、政協(xié)、法院、檢察院及各職能部門的內(nèi)部局域網(wǎng)。在地市建立政務(wù)網(wǎng)平臺，平臺一般包括：機(jī)房、網(wǎng)絡(luò)接入設(shè)備、安全設(shè)備、計(jì)算機(jī)設(shè)備、基礎(chǔ)軟件（包括操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用服務(wù)器）等。政府網(wǎng)絡(luò)安全及VPN解決方案全文共4頁，當(dāng)前為第4頁。地市在政務(wù)網(wǎng)上建設(shè)統(tǒng)一的政府辦公平臺，平臺上集成有各類應(yīng)用系統(tǒng)、各類數(shù)據(jù)庫。應(yīng)用系統(tǒng)根據(jù)其功能和使用角色分別集成到政府門戶、政務(wù)門戶，各類公務(wù)員按照分配的角色權(quán)限、采用單點(diǎn)登錄的方式統(tǒng)一使用政務(wù)平臺上的功能。政府網(wǎng)絡(luò)安全及VPN解決方案全文共4頁，當(dāng)前為第4頁。地市縣建設(shè)的政府門戶，與政務(wù)網(wǎng)邏輯連接，政府門戶直接為老百姓服務(wù)，實(shí)現(xiàn)政府門戶受理、政務(wù)網(wǎng)辦理、政府門戶結(jié)果發(fā)布的工作模式。在技術(shù)上，各局委辦不建設(shè)技術(shù)平臺，統(tǒng)一使用地市平臺。政務(wù)外網(wǎng)網(wǎng)絡(luò)安全及VPN建設(shè)目標(biāo)在電子政務(wù)外網(wǎng)整體框架下，通過政務(wù)外網(wǎng)VPN的建設(shè)，補(bǔ)充目前政務(wù)外網(wǎng)接入的形式。對于省網(wǎng)建設(shè)相對滯后地區(qū)，各級機(jī)構(gòu)利用專線方式接入難度較大，而采用VPN網(wǎng)關(guān)和技術(shù)可以利用廉價(jià)Internet資源滿足接入單位安全接入政務(wù)外網(wǎng)的需求。需求主要場景如下：省各廳局委辦通過VPN與其所屬的國家部門互通；省各廳局委辦通過VPN與有業(yè)務(wù)需求的國家部門互通；省各廳局委辦通過VPN互通；各廳局委辦移動(dòng)用戶安全接入VPN系統(tǒng)；政務(wù)外網(wǎng)VPN建設(shè)需求及建設(shè)原則政務(wù)外網(wǎng)VPN建設(shè)需求分析：穩(wěn)定可靠性的需求：政務(wù)外網(wǎng)VPN系統(tǒng)的穩(wěn)定性和可靠性關(guān)系整個(gè)政務(wù)外網(wǎng)VPN接入用戶業(yè)務(wù)的延續(xù)性，是政務(wù)外網(wǎng)VPN可行性的基礎(chǔ)。為確保政務(wù)外網(wǎng)VPN系統(tǒng)穩(wěn)定可靠運(yùn)行，政務(wù)外網(wǎng)VPN建設(shè)選擇的產(chǎn)品和解決方案必須是經(jīng)過市場考驗(yàn)，采用成熟技術(shù)支撐的產(chǎn)品和解決方案。安全性的需求：安全性是整個(gè)政務(wù)外網(wǎng)VPN業(yè)務(wù)開展的前提，主要有以下幾個(gè)方面：必須符合國家信息安全相關(guān)條例及國家等級保護(hù)策略，選擇通過國家VPN相關(guān)技術(shù)鑒定的產(chǎn)品，從而能夠達(dá)到符合安全性的國家標(biāo)準(zhǔn)要求通過制定VPN安全策略性，在解決方案設(shè)計(jì)中實(shí)施如CA、Ukey、防入侵檢測等安全手段，提升政務(wù)外網(wǎng)VPN的安全性。關(guān)注網(wǎng)絡(luò)安全發(fā)展的趨勢，對VPN產(chǎn)品的安全特性的擴(kuò)展性提出相應(yīng)擴(kuò)展的要求。政府網(wǎng)絡(luò)安全及VPN解決方案全文共5頁，當(dāng)前為第5頁。大容量的需求：政務(wù)外網(wǎng)VPN將滿足省網(wǎng)未覆蓋到的省、市、區(qū)、鎮(zhèn)等各級部門以及大量移動(dòng)辦公用戶的VPN接入，對產(chǎn)品VPNTunnel的容量及擴(kuò)展性提出很高的要求。政府網(wǎng)絡(luò)安全及VPN解決方案全文共5頁，當(dāng)前為第5頁。高性能的需求：面對大量有訪問需求的政府機(jī)構(gòu)機(jī)關(guān)和移動(dòng)辦公用戶，性能將直接影響到各廳局委辦訪問省政務(wù)平臺數(shù)據(jù)資源時(shí)的效率和使用體驗(yàn)，對VPNServer的性能主要有兩個(gè)方面；一個(gè)是加解密吞吐量，體現(xiàn)了政府分支機(jī)構(gòu)可獲得的最大數(shù)據(jù)帶寬、一個(gè)是時(shí)延，時(shí)延直接關(guān)系業(yè)務(wù)的感受以及政務(wù)平臺多項(xiàng)業(yè)務(wù)的開展，如：VoIP、視頻會議等。對VPNClient的需求主要是QoS要求?；ネㄐ缘男枨螅簩τ谡?wù)外網(wǎng)VPN的互通性主要體現(xiàn)在：VPNServer通過省RD與國家MPLSVPN互通，與省各級部門VPNGateway互通?？晒芾硇缘男枨螅毫己玫目晒芾硇詫⒋蠓档凸芾砭S護(hù)人員耗費(fèi)的精力，有助于快速正確響應(yīng)各類業(yè)務(wù)需求。VPNServer的可管理性主要體現(xiàn)在自身是否有圖形化的管理維護(hù)軟件，以及是否可以支持第三方的管理系統(tǒng)。政務(wù)外網(wǎng)VPN建設(shè)的基本設(shè)計(jì)原則政務(wù)外網(wǎng)VPN設(shè)計(jì)遵循以下建網(wǎng)原則：標(biāo)準(zhǔn)化原則標(biāo)準(zhǔn)化是電子政務(wù)建設(shè)的基礎(chǔ)保障，應(yīng)用服務(wù)系統(tǒng)建設(shè)必須在業(yè)務(wù)流程化、安全體系和安全技術(shù)、信息表示和信息交換、網(wǎng)絡(luò)協(xié)議、軟件結(jié)構(gòu)、軟件平臺等標(biāo)準(zhǔn)方面遵循國家有關(guān)電子政務(wù)技術(shù)標(biāo)準(zhǔn)，才能達(dá)到“互連、互通、互操作”要求，實(shí)現(xiàn)“信息交換、資源共享”。安全保密性原則在數(shù)據(jù)庫設(shè)計(jì)、應(yīng)用操作權(quán)限和身份認(rèn)證方面均嚴(yán)格遵循國家電子政務(wù)有關(guān)安全、保密標(biāo)準(zhǔn)，全面加強(qiáng)安全措施，所有應(yīng)用項(xiàng)目采用符合國家電子政務(wù)標(biāo)準(zhǔn)的基礎(chǔ)軟硬件。可靠性原則系統(tǒng)能有效的避免單點(diǎn)失敗，在設(shè)備選擇和互聯(lián)時(shí)應(yīng)提供充分的冗余備份，實(shí)現(xiàn)7×24小時(shí)不間斷工作。經(jīng)濟(jì)實(shí)用原則以需求為基礎(chǔ)，充分考慮發(fā)展的需要來確定系統(tǒng)規(guī)模，功能模塊子系統(tǒng)以插件方式擴(kuò)展。系統(tǒng)應(yīng)突出實(shí)用，要讓系統(tǒng)的投資與各省電子政務(wù)系統(tǒng)建設(shè)的實(shí)際需求相符合。可管理性原則政府網(wǎng)絡(luò)安全及VPN解決方案全文共6頁，當(dāng)前為第6頁。系統(tǒng)設(shè)備易于管理、維護(hù)，操作簡單，便于配置，在安全性、數(shù)據(jù)流量、性能等方面能得到很好的監(jiān)視和控制，可以進(jìn)行遠(yuǎn)程管理和故障診斷。政府網(wǎng)絡(luò)安全及VPN解決方案全文共6頁，當(dāng)前為第6頁。先進(jìn)性原則系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)、配置、管理方式，應(yīng)采用成熟的先進(jìn)技術(shù)，延長系統(tǒng)的生命周期。開放兼容性原則系統(tǒng)要求開放性好、標(biāo)準(zhǔn)化程度高，系統(tǒng)建設(shè)應(yīng)與現(xiàn)有的一些單位局域網(wǎng)系統(tǒng)平臺兼容。系統(tǒng)建立符合國家和各省關(guān)于電子政務(wù)及信息化建設(shè)有關(guān)標(biāo)準(zhǔn)?？蓴U(kuò)展性原則系統(tǒng)設(shè)備不但滿足當(dāng)前需要，并在擴(kuò)充模塊后滿足發(fā)展的需要；保證系統(tǒng)平臺升級時(shí)能保護(hù)現(xiàn)有投資。先易后難、階段實(shí)施的原則將容易實(shí)現(xiàn)的重點(diǎn)業(yè)務(wù)作為突破口，堅(jiān)持分階段實(shí)施，立足于小步快走，步步見效，滾動(dòng)發(fā)展，最大限度的減少投資風(fēng)險(xiǎn)，提高系統(tǒng)利用率。保護(hù)現(xiàn)有投資原則充分利用現(xiàn)有系統(tǒng)，整合已開發(fā)信息資源，發(fā)揮現(xiàn)有投資的效能。技術(shù)成熟性原則在系統(tǒng)軟硬件方面，充分考慮采用國內(nèi)通用的，成熟的軟硬件產(chǎn)品進(jìn)行開發(fā)，保證系統(tǒng)功能的高效穩(wěn)定。政務(wù)外網(wǎng)VPN建設(shè)方案網(wǎng)絡(luò)總體結(jié)構(gòu)政府網(wǎng)絡(luò)安全及VPN解決方案全文共7頁，當(dāng)前為第7頁。根據(jù)網(wǎng)絡(luò)建設(shè)目標(biāo)和需求，政務(wù)外網(wǎng)VPN建設(shè)網(wǎng)絡(luò)組成如下圖：政府網(wǎng)絡(luò)安全及VPN解決方案全文共7頁，當(dāng)前為第7頁。圖中省干政務(wù)外網(wǎng)VPN與Internet相連，各市(地)、縣城域網(wǎng)與Internet相連，之間通過VPN網(wǎng)關(guān)在Internet上建立安全VPN連接。為使政務(wù)外網(wǎng)VPN網(wǎng)絡(luò)構(gòu)建及維護(hù)簡單、層次清晰，其層次結(jié)構(gòu)分為：省干政務(wù)外網(wǎng)VPN網(wǎng)關(guān)接入部分：主要各廳局部委局域網(wǎng)經(jīng)互連網(wǎng)通過VPN接入電子政務(wù)外網(wǎng)，特點(diǎn)是地理位置相對固定，對業(yè)務(wù)保障要求高，用戶終端方面不用改造，操作習(xí)慣不會發(fā)生變化。省干政務(wù)外網(wǎng)VPN移動(dòng)用戶部分：隨HOMEOffice辦公的需求的旺盛，移動(dòng)用戶通過VPN辦公的數(shù)量越來越多，移動(dòng)辦公用戶對性能相對要求較低，對安全接入等方面要求較高。政務(wù)外網(wǎng)VPN網(wǎng)關(guān)接入方案根據(jù)電子政務(wù)外網(wǎng)的需求，國干MPLSVPN終結(jié)在省PE上，在省PE側(cè)由VPNServer與PE通過GE口連接，通過VPNServer提供的VCE功能導(dǎo)入對應(yīng)VPN。在不具備專線條件的省廳部委辦部署FW/VPN設(shè)備，并通過Internet與VPNServer建立IPSECVPN隧道傳輸數(shù)據(jù)。各省廳部委辦縱向互聯(lián)由各廳部委辦FW/VPN之間直接建立隧道完成橫向互通，減少核心網(wǎng)數(shù)據(jù)流量負(fù)擔(dān)。省間的廳部委辦間互通由國干網(wǎng)統(tǒng)一管理。省內(nèi)VPN通過省級VPN統(tǒng)一管理平臺平臺管理?？赏ㄟ^VCE或VPE兩種方案實(shí)現(xiàn)IPSECVPN與國干MPLSVPN對接：政府網(wǎng)絡(luò)安全及VPN解決方案全文共8頁，當(dāng)前為第8頁。（1）VCE方案政府網(wǎng)絡(luò)安全及VPN解決方案全文共8頁，當(dāng)前為第8頁。方案特點(diǎn)：VPNServer通過虛擬防火墻、地址轉(zhuǎn)換多實(shí)例、multi-VRF等VPN隔離技術(shù)，做為一個(gè)MPLSVPN網(wǎng)絡(luò)統(tǒng)一訪問Internet的出口設(shè)備，在MPLS網(wǎng)絡(luò)之外承擔(dān)VCE（Virtual－CE）的功能。在VPNServer的出入接口劃分不同的VLAN或邏輯子接口，將不同的分支機(jī)構(gòu)或不同的業(yè)務(wù)通過進(jìn)出不同的VLAN或子接口進(jìn)入不同的虛擬防火墻VPN實(shí)例，從而達(dá)到了隔離的目的，為MPLSVPN統(tǒng)一提供Internet訪問。用戶認(rèn)證通過IKE來提供，可以提供基于證書的方式，也可以采用per-sharedkey的方式，通過IKE認(rèn)證就可以知道該IPSEC隧道應(yīng)該接入到哪個(gè)MPLSVPN中。VPNServer支持業(yè)務(wù)多實(shí)例特性，資源獨(dú)立存放，可以很好的解決私網(wǎng)地址重疊的問題。政府網(wǎng)絡(luò)安全及VPN解決方案全文共9頁，當(dāng)前為第9頁。（2）VPE方案政府網(wǎng)絡(luò)安全及VPN解決方案全文共9頁，當(dāng)前為第9頁。VPN網(wǎng)關(guān)采用IPSec方式接入VPE，移動(dòng)辦公用戶采用L2TP或者L2TP+IPSEC方式接入VPE，在VPE上實(shí)現(xiàn)IPVPN隧道和MPLSLSP隧道的融合與銜接。（3）VCE和VPE方案比較與VPE方案相比，VCE方案具有明顯的優(yōu)勢：在組網(wǎng)靈活性方面：VCE方案不需要修改現(xiàn)網(wǎng)，直接通過internet接口進(jìn)行VPN連接；而VPE方案則需要修改現(xiàn)網(wǎng)，增加PE設(shè)備，同時(shí)與各省PE連接起來；在設(shè)備選擇方面：VCE方案中的VPNServer設(shè)備可以靈活選擇，接入用戶多的可以選擇性能高的，接入用戶少的可以選擇性能低的；而VPE方案中的VPNServer必須支持MPLS功能，MPLS對設(shè)備要求很高，因此不管接入用戶多少，VPNServer必須選擇高端設(shè)備；在穩(wěn)定性方面：VCE方案中的VPNServer功能獨(dú)立，專門負(fù)責(zé)IPSEC接入，更能保證功能長時(shí)間穩(wěn)定運(yùn)行；而VPE方案中的VPNServer同時(shí)負(fù)責(zé)IPSEC接入與MPLS轉(zhuǎn)發(fā)，設(shè)備負(fù)荷較大，設(shè)備穩(wěn)定性較難控制。VPE方案的優(yōu)勢在于將PE設(shè)備和VPNServer的功能集成在一個(gè)設(shè)備中實(shí)現(xiàn)，在某些尚未部署PE設(shè)備的場景下，可節(jié)省用戶投資。政府網(wǎng)絡(luò)安全及VPN解決方案全文共10頁，當(dāng)前為第10頁。綜上所述，我們建議政務(wù)外網(wǎng)VPN網(wǎng)關(guān)建設(shè)拓?fù)鋱D如下：政府網(wǎng)絡(luò)安全及VPN解決方案全文共10頁，當(dāng)前為第10頁。組網(wǎng)設(shè)計(jì)說明：在大多數(shù)已經(jīng)部署PE設(shè)備的省份（區(qū)域），核心VPNServer采用兩臺USG2000/5000熱備組網(wǎng)，USG2000/5000提供最大4000隧道的擴(kuò)展，加解密性能達(dá)到1Gbps，能夠滿足省廳局委辦的VPN接入需求。核心VPNServer與省RD通過GE接口相連，與Internet通過ISP100Mbp或1Gbps鏈路連接。如下圖：政府網(wǎng)絡(luò)安全及VPN解決方案全文共11頁，當(dāng)前為第11頁。政府網(wǎng)絡(luò)安全及VPN解決方案全文共11頁，當(dāng)前為第11頁。作為核心VPNServer的USG2000/5000采用VCE技術(shù)，通過子接口與PE對接VPN，確保不同的IPSECVPN導(dǎo)入各自的MPLSVPN，IPSECVPN業(yè)務(wù)間的互通由PE進(jìn)行統(tǒng)一部署與控制；個(gè)別尚未部署PE設(shè)備的省份（區(qū)域），核心VPNServer采用一臺USG3040組網(wǎng)，在VPE上實(shí)現(xiàn)IPVPN隧道和MPLSLSP隧道的融合與銜接；VPNAVPNA站點(diǎn)1廳部委辦內(nèi)網(wǎng)BVPNB站點(diǎn)2廳部委辦內(nèi)網(wǎng)APPPE國家部B國家部AVPE各廳局委辦根據(jù)自身業(yè)務(wù)需求選擇VPNGateway接入設(shè)備?？紤]未來網(wǎng)絡(luò)擴(kuò)展性及業(yè)務(wù)開展需要，可選如下設(shè)備；在省干部署VPNManager管理系統(tǒng)，對省內(nèi)VPN業(yè)務(wù)進(jìn)行可視化管理，提升管理效率；VPN的流量由USG2000/5000鏡像至NIP1000（入侵檢測系統(tǒng)），實(shí)施USG2000/5000與NIP1000的聯(lián)動(dòng)，通過NIP1000動(dòng)態(tài)監(jiān)測數(shù)據(jù)流，提升業(yè)務(wù)系統(tǒng)的安全性。省各廳局委辦通過VPN互通方案政府網(wǎng)絡(luò)安全及VPN解決方案全文共12頁，當(dāng)前為第12頁。在廳局委內(nèi)網(wǎng)A和廳局委內(nèi)網(wǎng)B的網(wǎng)絡(luò)出口部署IPSecVPNGateway，在兩個(gè)IPSecVPNGateway之間建立IPSec隧道，穿越internet，實(shí)現(xiàn)IPSecVPN用戶之間的橫向互訪并保證數(shù)據(jù)報(bào)在網(wǎng)絡(luò)上傳輸時(shí)的私有性、完整性、真實(shí)性和防重放。政府網(wǎng)絡(luò)安全及VPN解決方案全文共12頁，當(dāng)前為第12頁。政務(wù)外網(wǎng)VPN移動(dòng)用戶接入方案政務(wù)外網(wǎng)VPN將為移動(dòng)用戶提供便捷的VPN接入方案,滿足省內(nèi)用戶出差及非辦公區(qū)辦公時(shí)的安全訪問政務(wù)外網(wǎng)的需求，網(wǎng)絡(luò)拓?fù)淙缦拢阂苿?dòng)辦公用戶通過VPNClient接入VPNServer網(wǎng)關(guān)，業(yè)務(wù)流程如下：移動(dòng)辦公用戶終端接入Internet。在終端上運(yùn)行VPNClient軟件，選擇或輸入要接入的VPNServer的IP地址。政府網(wǎng)絡(luò)安全及VPN解決方案全文共13頁，當(dāng)前為第13頁。輸入用戶名密碼點(diǎn)擊連接（對于不同的用戶可在VPNServer上部署不同的安全策略，如需要接入VPN、認(rèn)證方式等）；推薦采用CA＋USBKEY方式顯著提高安全性。政府網(wǎng)絡(luò)安全及VPN解決方案全文共13頁，當(dāng)前為第13頁。完成認(rèn)證后，VPNClient提示接入VPN網(wǎng)絡(luò)，移動(dòng)辦公用戶進(jìn)行需要的數(shù)據(jù)訪問。移動(dòng)辦公用戶訪問MPLS的數(shù)據(jù)將導(dǎo)入NIP1000入侵檢測系統(tǒng)，進(jìn)行入侵檢測，后續(xù)可考慮部署防病毒網(wǎng)關(guān)或其他安全檢測設(shè)備，提高訪問的安全性。華賽VPN接入解決方案特點(diǎn)全面的VPN業(yè)務(wù)支撐能力華賽VPN整體解決方案能夠提供L2TP、GRE、IPSec、SSLVPN、MPLSVPN等多種VPN接入方式，并支持DES、3DES、AES等多種加密算法，結(jié)合華賽公司全系列的VPN設(shè)備，提供完整的VPN解決能力。USG2000/5000防火墻可支持高達(dá)1Gbps的3DES處理能力，提供高性能的LNS服務(wù)。支持從Internet安全接入到MPLSVPN網(wǎng)絡(luò)，通過一臺USG防火墻的一個(gè)物理接口就可以為Internet上的許多VPN分支機(jī)構(gòu)接入到MPLSVPN提供服務(wù)。用戶認(rèn)證通過IKE來提供，可以提供基于證書的方式，也可以采用per-sharedkey的方式。通過IKE認(rèn)證就可以知道該IPSec隧道應(yīng)該接入到哪個(gè)MPLSVPN中。USG系列防火墻對每個(gè)VPN保持了獨(dú)立的轉(zhuǎn)發(fā)資源，從源頭上就可以控制不同VPN用戶之間無法互訪。支持Multi-VRF特性，可以為多個(gè)VPN保存獨(dú)立的轉(zhuǎn)發(fā)表項(xiàng)，這樣可以從轉(zhuǎn)發(fā)層面保證了業(yè)務(wù)隔離。通過這種Multi-VRF技術(shù)可以在提供VPN業(yè)務(wù)的時(shí)候，支持私網(wǎng)地址重疊功能。支持根驗(yàn)證功能：USG防火墻的根系統(tǒng)可以驗(yàn)證隧道對端，利用IKE進(jìn)行身份驗(yàn)證、密鑰協(xié)商，建立起IPSec隧道之后，就給這個(gè)IPSec隧道標(biāo)定了一個(gè)VPN。然后將IPSec隧道的流量引入到對應(yīng)的虛擬防火墻處理。這種方式的處理，可以給Internet的分支機(jī)構(gòu)接入到VPN提供了技術(shù)保證，可以使得Internet上的分支機(jī)構(gòu)訪問特定VPN。政府網(wǎng)絡(luò)安全及VPN解決方案全文共14頁，當(dāng)前為第14頁。支持多個(gè)虛系統(tǒng)；USG防火墻的一個(gè)虛系統(tǒng)連接一個(gè)分支機(jī)構(gòu)，由這個(gè)虛系統(tǒng)來驗(yàn)證隧道對端，利用IKE進(jìn)行身份驗(yàn)證、密鑰協(xié)商，建立的IPSec隧道只能限定在這個(gè)虛系統(tǒng)內(nèi)部。這種方式可以給VPN用戶提供加密接入到骨干網(wǎng)提供了技術(shù)保證，可以使得分支機(jī)構(gòu)在骨干網(wǎng)邊緣通過加密方式接入到VPN，提供高可靠的VPN接入服務(wù)。政府網(wǎng)絡(luò)安全及VPN解決方案全文共14頁，當(dāng)前為第14頁。接入控制權(quán)限嚴(yán)格，USG防火墻可以根據(jù)用戶名、密碼來控制訪問VPN的接入權(quán)限，這樣可以使得出差員工，超級用戶（需要訪問不同VPN資源）等不同的用戶。支持采用Radius協(xié)議統(tǒng)一管理用戶，可以提供雙因子驗(yàn)證方式，采用令牌＋固定口令的方式提供高可靠的接入服務(wù)。領(lǐng)先的業(yè)務(wù)性能及高可靠的硬件體系USG系列防火墻采用新一代電信級的硬件高速狀態(tài)防火墻，強(qiáng)大的攻擊防范能力，提供靜態(tài)和動(dòng)態(tài)黑名單過濾等特性，可提供豐富的統(tǒng)計(jì)分析功能和日志。USG防火墻具有一個(gè)完整的安全方案技術(shù)體系，可以為用戶提供綜合的安全解決方案。USG2000/5000防火墻采用NP（網(wǎng)絡(luò)處理器）的硬件結(jié)構(gòu)，可以支持10K以上的并發(fā)用戶，提供1G吞吐量的VPN服務(wù)。USG系列防火墻支持雙機(jī)備份組網(wǎng)方式，雙機(jī)模式支持IPSec/L2TP業(yè)務(wù)，可以通過雙機(jī)提供更可靠安全的接入模式。在做VPN網(wǎng)關(guān)的同時(shí)，可以為整個(gè)企業(yè)網(wǎng)提供安全可靠的運(yùn)行環(huán)境，保證整個(gè)企業(yè)網(wǎng)的安全。USG防火墻產(chǎn)品根據(jù)數(shù)據(jù)報(bào)文的特征，以及Dos攻擊的不同手段，可以針對ICMPFlood、SYNFlood、UDPFlood等各種Dos攻擊手段進(jìn)行Dos攻擊的防御。同時(shí)，USG防火墻可以主動(dòng)識別出數(shù)十種常見的攻擊種類，很多種攻擊種類造成的后果就是Dos形式的攻擊，USG防火墻可以主動(dòng)發(fā)現(xiàn)并隔斷這些非法攻擊，消除了內(nèi)部網(wǎng)絡(luò)遭受攻擊的可能。通過對各種攻擊的防御手段，利用USG防火墻可以組建一個(gè)安全的防御體系，保證網(wǎng)絡(luò)不遭受Dos攻擊的侵害。USG系列防火墻支持使用TCP代理方式來防止SYNFlood類的Dos攻擊，通過精確的驗(yàn)證可以準(zhǔn)確的發(fā)現(xiàn)攻擊報(bào)文，對正常報(bào)文依然可以通過允許這些報(bào)文訪問防火墻資源，而攻擊報(bào)文則被USG防火墻丟棄。圖形化的便捷管理政務(wù)外網(wǎng)VPN管理子系統(tǒng)由華賽VPNManager系統(tǒng)構(gòu)成；其主要功能是簡化VPN業(yè)務(wù)的管理，增強(qiáng)了IPVPN的管理、維護(hù)和運(yùn)營手段。主要有以下特點(diǎn)：所見即所得的業(yè)務(wù)預(yù)部署政府網(wǎng)絡(luò)安全及VPN解決方案全文共15頁，當(dāng)前為第15頁。在網(wǎng)管上進(jìn)行離線的業(yè)務(wù)定義，直到確認(rèn)無錯(cuò)后再下發(fā)的設(shè)備上使得業(yè)務(wù)生效，對運(yùn)營商非常重要。VPNManager可以離線地進(jìn)行所有的業(yè)務(wù)定義，并且通過各種拓?fù)湟晥D達(dá)到所見即所得的效果。政府網(wǎng)絡(luò)安全及VPN解決方案全文共15頁，當(dāng)前為第15頁。配置變更監(jiān)控功能VPNManager提供配置審計(jì)功能，自動(dòng)定期地檢查出網(wǎng)絡(luò)業(yè)務(wù)管理系統(tǒng)和設(shè)備上當(dāng)前配置的不一致性，發(fā)送告警給運(yùn)維人員，并能提供配置變更的詳細(xì)信息?，F(xiàn)網(wǎng)業(yè)務(wù)的自動(dòng)發(fā)現(xiàn)與還原如果在安裝SecospaceVPNManager之前，網(wǎng)絡(luò)設(shè)備上已經(jīng)部署了IPSecVPN業(yè)務(wù)。VPNManager可以讀取設(shè)備上的配置文件等數(shù)據(jù)，自動(dòng)在VPNManager上還原出IPSecVPN業(yè)務(wù)，從而避免部署后續(xù)業(yè)務(wù)時(shí)發(fā)生資源沖突，使得新老業(yè)務(wù)可以統(tǒng)一管理。方便的性能統(tǒng)計(jì)功能VPNManager提供實(shí)時(shí)性能數(shù)據(jù)查看功能，可對VPN業(yè)務(wù)的流量、帶寬利用率、時(shí)延、丟包、抖動(dòng)等實(shí)時(shí)性能進(jìn)行監(jiān)控，并提供歷史性能數(shù)據(jù)分析功能。有助于用戶了解當(dāng)前網(wǎng)絡(luò)運(yùn)行的基本情況和性能狀態(tài)，預(yù)防網(wǎng)絡(luò)事故發(fā)生，預(yù)測網(wǎng)絡(luò)運(yùn)行狀態(tài)。支持跨平臺特性VPNManager基于華賽公司統(tǒng)一的VSM綜合管理應(yīng)用平臺，既可以運(yùn)行在Solaris操作系統(tǒng)下，也可以運(yùn)行在Windows操作系統(tǒng)下。既可提供規(guī)模網(wǎng)絡(luò)的高端解決方案，也可適應(yīng)低成本的解決方案簡單快捷的系統(tǒng)安裝提供圖形化、向?qū)降陌惭b和升級方式，系統(tǒng)自動(dòng)設(shè)置靜態(tài)參數(shù)和初始化數(shù)據(jù)。安裝程序?qū)崿F(xiàn)按需定制組件的功能。友好的人機(jī)界面充分考慮用戶的操作習(xí)慣，提供統(tǒng)一風(fēng)格的告警、拓?fù)浜蜆I(yè)務(wù)配置管理界面，保持一致的視覺效果，提供批量化的操作手段，簡化用戶日常操作。部分產(chǎn)品介紹華賽USG2000/5000簡介USG2000/5000是華賽公司推出的具有防火墻功能的統(tǒng)一安全網(wǎng)關(guān)。政府網(wǎng)絡(luò)安全及VPN解決方案全文共16頁，當(dāng)前為第16頁。USG2000/5000基于華賽專業(yè)的多核硬件平臺以及強(qiáng)大的VRP軟件平臺，不僅具備優(yōu)異的攻擊防范處理能力，而且能夠提供完備的地址轉(zhuǎn)換(NAT)功能。為了更好地滿足網(wǎng)吧的實(shí)際需要，USG2000/5000還支持豐富的多媒體協(xié)議和路由協(xié)議，組網(wǎng)方式靈活多樣，是大中網(wǎng)吧理想的網(wǎng)絡(luò)安全防護(hù)設(shè)備。政府網(wǎng)絡(luò)安全及VPN解決方案全文共16頁，當(dāng)前為第16頁。華賽USG2000/5000功能特點(diǎn)安全區(qū)域管理基于安全區(qū)域的隔離華賽USG2000/5000統(tǒng)一安全網(wǎng)關(guān)的安全隔離是基于安全區(qū)域，這樣的設(shè)計(jì)模型為用戶在實(shí)際使用統(tǒng)一安全網(wǎng)關(guān)的時(shí)候提供了十分良好的管理模型。華賽統(tǒng)一安全網(wǎng)關(guān)提供了基于安全區(qū)域的隔離模型，每個(gè)安全區(qū)域可以按照網(wǎng)絡(luò)的實(shí)際組網(wǎng)加入任意的接口，因此統(tǒng)一安全網(wǎng)關(guān)的安全管理模型是不會受到網(wǎng)絡(luò)拓?fù)涞挠绊?。可管理的安全區(qū)域業(yè)界很多防火墻一般都提供受信安全區(qū)域（trust）、非受信安全區(qū)域（untrust）、非軍事化區(qū)域（DMZ）三個(gè)獨(dú)立的安全區(qū)域，這樣的保護(hù)模型可以適應(yīng)大部分的組網(wǎng)要求，但是在一些安全策略要求較高的場合，這樣的保護(hù)模型還是不能滿足要求。華賽統(tǒng)一安全網(wǎng)關(guān)默認(rèn)提供四個(gè)安全區(qū)域：trust、untrust、DMZ、local，在提供三個(gè)最常用的安全邏輯區(qū)域的基礎(chǔ)上還新增加了本地邏輯安全區(qū)域，本地安全區(qū)域可以定義到統(tǒng)一安全網(wǎng)關(guān)本身的報(bào)文，保證了統(tǒng)一安全網(wǎng)關(guān)本身的安全防護(hù)。例如，通過對本地安全區(qū)域的報(bào)文控制，可以很容易的防止不安全區(qū)域?qū)y(tǒng)一安全網(wǎng)關(guān)本身的Telnet、ftp等訪問。華賽統(tǒng)一安全網(wǎng)關(guān)還提供自定義安全區(qū)域，可以最大定義16個(gè)安全區(qū)域，每個(gè)安全區(qū)域都可以加入獨(dú)立的接口。基于安全區(qū)域的策略控制華賽統(tǒng)一安全網(wǎng)關(guān)支持根據(jù)不同的安全區(qū)域之間的訪問設(shè)計(jì)不同的安全策略組（ACL訪問控制列表），每條安全策略組支持若干個(gè)獨(dú)立的規(guī)則。這樣的規(guī)則體系使得統(tǒng)一安全網(wǎng)關(guān)的策略十分容易管理，方便用戶對各種邏輯安全區(qū)域的獨(dú)立管理。政府網(wǎng)絡(luò)安全及VPN解決方案全文共17頁，當(dāng)前為第17頁?；诎踩珔^(qū)域的策略控制模型，可以清晰的分別定義從trust到untrust、從DMZ到untrust之間的各種訪問，這樣的策略控制模型使得華賽統(tǒng)一安全網(wǎng)關(guān)的網(wǎng)絡(luò)隔離功能具有很好的管理能力。政府網(wǎng)絡(luò)安全及VPN解決方案全文共17頁，當(dāng)前為第17頁。安全策略控制靈活的規(guī)則設(shè)定華賽統(tǒng)一安全網(wǎng)關(guān)可以支持靈活的規(guī)則設(shè)定，可以根據(jù)報(bào)文的特點(diǎn)方便的設(shè)定各種規(guī)則?？梢砸罁?jù)報(bào)文的協(xié)議號設(shè)定規(guī)則可以依據(jù)報(bào)文的源地址、目的地址設(shè)定規(guī)則可以使用通配符設(shè)定地址的范圍，用來指定某個(gè)地址段的主機(jī)針對UDP和TCP還可以指定源端口、目的端口針對目的端口、源端口可以采用大于、等于、介入、不等于等方式設(shè)定端口的范圍針對ICMP協(xié)議，可以自由的指定ICMP報(bào)文的類型和Code號，可以通過規(guī)則針對任何一種ICMP報(bào)文可以針對IP報(bào)文中的TOS域設(shè)定靈活的規(guī)則可以將多個(gè)報(bào)文的地址形成一個(gè)組，作為地址本，在定義規(guī)則時(shí)可以按組來設(shè)定規(guī)則，這樣規(guī)則的配置靈活方便高速策略匹配通常，防火墻的安全策略都是由很多規(guī)則構(gòu)成的，因此在進(jìn)行策略匹配的時(shí)候會影響防火墻的轉(zhuǎn)發(fā)效率。華賽統(tǒng)一安全網(wǎng)關(guān)采用了ACL匹配的專門算法，這樣就保證了在很多規(guī)則的情況下，統(tǒng)一安全網(wǎng)關(guān)依然可以保持高效的轉(zhuǎn)發(fā)效率，系統(tǒng)在進(jìn)行上萬條ACL規(guī)則的查找時(shí)，性能基本不受影響，處理速度保持不變，從而確保了ACL查找的高速度，提高了系統(tǒng)整體性能。MAC地址和IP地址綁定華賽統(tǒng)一安全網(wǎng)關(guān)根據(jù)用戶配置，將MAC和IP地址進(jìn)行綁定從而形成關(guān)聯(lián)關(guān)系。對于從該IP地址發(fā)來的報(bào)文，如果MAC地址不匹配則被丟棄；對于發(fā)往該IP地址的報(bào)文都被強(qiáng)制發(fā)送到指定的MAC地址處，從而有效避免IP地址假冒的攻擊行為。動(dòng)態(tài)策略管理－黑名單技術(shù)華賽統(tǒng)一安全網(wǎng)關(guān)可以將某些可疑報(bào)文的源IP地址記錄在黑名單列表中，系統(tǒng)通過丟棄黑名單用戶的所有報(bào)文，從而有效避免某些惡意主機(jī)的攻擊行為。政府網(wǎng)絡(luò)安全及VPN解決方案全文共18頁，當(dāng)前為第18頁。統(tǒng)一安全網(wǎng)關(guān)提供如下幾種黑名單列表維護(hù)方式：政府網(wǎng)絡(luò)安全及VPN解決方案全文共18頁，當(dāng)前為第18頁。手工添加黑名單記錄，實(shí)現(xiàn)主動(dòng)防御與攻擊防范結(jié)合自動(dòng)添加黑名單記錄，起到智能保護(hù)可以根據(jù)具體情況設(shè)定"白名單"，使得即使存在黑名單中的主機(jī)，依然可以使用部分的網(wǎng)絡(luò)資源。例如，即使某臺主機(jī)被加入到了黑名單，但是依然可以允許這個(gè)用戶上網(wǎng)。黑名單技術(shù)是一種動(dòng)態(tài)策略技術(shù)，屬于響應(yīng)體系。統(tǒng)一安全網(wǎng)關(guān)在動(dòng)態(tài)運(yùn)行的過程中，會發(fā)現(xiàn)一些攻擊行為，通過黑名單動(dòng)態(tài)響應(yīng)系統(tǒng)，可以抑制這些非法用戶的部分流量，起到保護(hù)整個(gè)系統(tǒng)的作用。豐富的接入方式USG接口類型豐富，接口密度大。固定、移動(dòng)、無線統(tǒng)一接入，家庭、企業(yè)、熱點(diǎn)統(tǒng)一接入最大程度滿足了用戶多種接入需求。支持WIFI、3G，同時(shí)滿足用戶WLAN/WWAN無線網(wǎng)絡(luò)需求：WiFi（WirelessFidelity）基于無線局域網(wǎng)（WLAN）IEEE802.11標(biāo)準(zhǔn)，提供戶內(nèi)、辦公室或熱點(diǎn)地區(qū)的無線網(wǎng)絡(luò)接入功能。支持802.11b、802.11g及混合制式，通過WiFi天線，可提供1Mbps～54Mbps速率的無線WLAN接入。3G（TheThirdGeneration）是第三代移動(dòng)通信系統(tǒng)，相對于第一代模擬制式系統(tǒng)（1G）和第二代GSM、TDMA等數(shù)字系統(tǒng)（2G），是指將無線通信與因特網(wǎng)等多媒體通信結(jié)合的新一代移動(dòng)通信系統(tǒng)。ITU（InternationalTelecommunicationUnion）已經(jīng)將W-CDMA、CDMA2000和TD-SCDMA確定為三大主流無線接口標(biāo)準(zhǔn)。USG可以插入多種3G數(shù)據(jù)卡，局域網(wǎng)用戶可以通過3G數(shù)據(jù)卡上行接入網(wǎng)絡(luò)。通過插入不同的3G數(shù)據(jù)卡，可支持WCDMA、CDMA2000和TD-SCDMA三種制式。USG2100提供了如下接口和槽位。帶W的機(jī)型還提供了WLAN功能，可提供靈活、可擴(kuò)展的無線接入。9個(gè)固定FE接口1個(gè)USB槽位，可安裝3G接口卡1個(gè)Express槽位，可安裝3G接口卡政府網(wǎng)絡(luò)安全及VPN解決方案全文共19頁，當(dāng)前為第19頁。1個(gè)MIC擴(kuò)展槽位和2個(gè)MIC擴(kuò)展槽位政府網(wǎng)絡(luò)安全及VPN解決方案全文共19頁，當(dāng)前為第19頁。USG2200提供了如下接口和槽位。安裝MIC-WIFI接口卡后可提供靈活、可擴(kuò)展的無線接入。2個(gè)固定的GECombo口，提供了2個(gè)千兆光口和2個(gè)千兆電口2個(gè)USB槽位4個(gè)MIC擴(kuò)展槽位、2個(gè)FIC擴(kuò)展槽位。上下相鄰的兩個(gè)MIC槽位可擴(kuò)展為1個(gè)DMIC槽位、兩個(gè)FIC槽位可擴(kuò)展為1個(gè)DFIC槽位。USG5100提供了如下接口和槽位。安裝MIC-WIFI接口卡后可提供靈活、可擴(kuò)展的無線接入。USG5120提供2個(gè)固定的GECombo口；USG5150提供4個(gè)固定的GECombo口USG5120提供2個(gè)固定的GE電接口2個(gè)USB槽位USG5120/5150還提供了4個(gè)MIC擴(kuò)展槽位、4/6個(gè)FIC槽位。上下相鄰的MIC可擴(kuò)展為DMIC槽位、相鄰的FIC可擴(kuò)展為DFIC槽位。USG的擴(kuò)展槽位可選配FE/GE/E1/cE1/ADSL2+/G.SHDSL/SA/3G/WIFI等多種接口。同時(shí)，USG還支持將多個(gè)以太網(wǎng)接口捆綁成一個(gè)Eth-Trunk邏輯接口，起到增加帶寬、提高可靠性、負(fù)載分擔(dān)的作用。PPPoE、L2TP等鏈路層協(xié)議配合AAA、IPSec協(xié)議，為用戶的認(rèn)證、授權(quán)、計(jì)費(fèi)及安全訪問提供整套的解決方案。卓越的路由交換特性USG支持多種路由交換協(xié)議，可滿足中小型企業(yè)、大中型企業(yè)的分支機(jī)構(gòu)、行業(yè)網(wǎng)的分支機(jī)構(gòu)以及部分電信網(wǎng)絡(luò)的需求。VLAN：VLAN可以隔離廣播域，抑制廣播報(bào)文；分隔用戶，提高網(wǎng)絡(luò)安全性；提供虛擬工作組，超越傳統(tǒng)網(wǎng)絡(luò)的工作方式。MSTP：可應(yīng)用于環(huán)路網(wǎng)絡(luò)，通過一定的算法實(shí)現(xiàn)路徑冗余，同時(shí)將環(huán)路網(wǎng)絡(luò)修剪成無環(huán)路的樹型網(wǎng)絡(luò)，從而避免報(bào)文在環(huán)路網(wǎng)絡(luò)中的增生和無限循環(huán)。政府網(wǎng)絡(luò)安全及VPN解決方案全文共20頁，當(dāng)前為第20頁。靜態(tài)路由：當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)比較簡單時(shí)，只配置靜態(tài)路由就可以使網(wǎng)絡(luò)正常工作。設(shè)置和使用靜態(tài)路由可以改進(jìn)網(wǎng)絡(luò)的性能，并可為重要的應(yīng)用保證帶寬。政府網(wǎng)絡(luò)安全及VPN解決方案全文共20頁，當(dāng)前為第20頁。RIP/RIPng：RIP是一種較為簡單的內(nèi)部網(wǎng)關(guān)協(xié)議，基于距離矢量算法，通過UDP報(bào)文進(jìn)行路由信息的交換，使用的端口號為520。并支持下一代支持IPv6的RIP協(xié)議：RIPng。OSPF/OSPFv3：OSPF是一種應(yīng)用廣泛的IGP協(xié)議，承載于IP包內(nèi)。收斂快、無環(huán)路、分層的網(wǎng)絡(luò)劃分等特點(diǎn)決定了這種路由協(xié)議更適用于大中型網(wǎng)絡(luò)。OSPFv3提供了對IPv6的支持。ISIS：ISIS最初是國際標(biāo)準(zhǔn)化組織ISO為它的無連接網(wǎng)絡(luò)協(xié)議CLNP設(shè)計(jì)的一種動(dòng)態(tài)路由協(xié)議。為了提供對IP的路由支持，IETF在RFC1195中對IS-IS進(jìn)行了擴(kuò)充和修改，使它能夠同時(shí)應(yīng)用在TCP/IP和OSI環(huán)境中，稱為集成化IS-IS（IntegratedIS-IS或DualIS-IS）。BGP/BGP4+：BGP（BorderGatewayProtocol）是一種用于自治系統(tǒng)AS（AutonomousSystem）之間的動(dòng)態(tài)路由協(xié)議。其著眼點(diǎn)不在于發(fā)現(xiàn)和計(jì)算路由，而在于控制路由的傳播和選擇最佳路由。為了提供對IPv6等多種網(wǎng)絡(luò)層協(xié)議的支持，IETF對BGP4進(jìn)行了擴(kuò)展，形成BGP4+。路由策略：路由策略是為了改變網(wǎng)絡(luò)流量所經(jīng)過的途徑而修改路由信息的技術(shù)，主要通過改變路由屬性（包括可達(dá)性）來實(shí)現(xiàn)。提供了多種過濾器可靈活控制路由。單播策略路由：策略路由PBR與單純依照IP報(bào)文的目的地址查找FIB表進(jìn)行轉(zhuǎn)發(fā)不同，是一種依據(jù)用戶制定的策略而進(jìn)行路由選擇的機(jī)制。PBR支持基于到達(dá)報(bào)文的源地址、報(bào)文長度等信息，依據(jù)用戶制定的策略進(jìn)行路由選擇，可應(yīng)用于安全、負(fù)載分擔(dān)等目的。IGMP：作為因特網(wǎng)組管理協(xié)議，是TCP/IP協(xié)議族中負(fù)責(zé)IP組播成員管理的協(xié)議，它用來在IP主機(jī)和與其直接相鄰的組播路由器之間建立、維護(hù)組播組成員關(guān)系。PIM-DM：PIM-DM（ProtocolIndependentMulticastDenseMode）稱為協(xié)議無關(guān)組播－密集模式，屬于密集模式的組播路由協(xié)議，適用于組成員分布相對密集的小型網(wǎng)絡(luò)。PIM-SM：-SM（ProtocolIndependentMulticast-SparseMode）稱為協(xié)議無關(guān)組播－稀疏模式，屬于稀疏模式的組播路由協(xié)議，適用于組成員分布相對分散、范圍較廣、大規(guī)模的網(wǎng)絡(luò)。政府網(wǎng)絡(luò)安全及VPN解決方案全文共21頁，當(dāng)前為第21頁。MSDP：MSDP是MulticastSourceDiscoveryProtocol（組播源發(fā)現(xiàn)協(xié)議）的簡稱，是為了解決多個(gè)PIM-SM（ProtocolIndependentMulticastSparseMode，協(xié)議無關(guān)組播—稀疏模式）域之間的互連而開發(fā)的一種域間組播解決方案，用來發(fā)現(xiàn)其它PIM-SM域內(nèi)的組播源信息。政府網(wǎng)絡(luò)安全及VPN解決方案全文共21頁，當(dāng)前為第21頁。黑名單過濾惡意主機(jī)USG可以提供丟棄黑名單用戶的所有報(bào)文來為用戶提供安全保證。當(dāng)USG根據(jù)報(bào)文的行為特征察覺到特定IP地址的用戶的攻擊企圖后，主動(dòng)將其加入黑名單表項(xiàng)，過濾從該IP地址發(fā)送的報(bào)文，從而保障網(wǎng)絡(luò)安全。USG可以手工添加黑名單，可以動(dòng)態(tài)地添加或刪除黑名單，還可以將黑名單與ACL關(guān)聯(lián)，即報(bào)文命中黑名單后，查找黑名單關(guān)聯(lián)的ACL策略，如果命中ACL策略并且策略允許通過，則報(bào)文可以通過，否則報(bào)文被過濾丟棄。同基于ACL的包過濾功能相比，由于黑名單僅對IP地址進(jìn)行匹配，可以以很高的速度實(shí)現(xiàn)黑名單表項(xiàng)匹配，從而快速有效地屏蔽特定IP地址的用戶。IP和MAC地址綁定USG可以配置MAC（MediaAccessControl）和IP地址綁定，根據(jù)用戶的配置，USG在IP地址和MAC地址之間形成關(guān)聯(lián)關(guān)系：對于聲稱源地址為這個(gè)IP地址的報(bào)文，如果其MAC地址不是指定關(guān)系對中的MAC地址，將予以丟棄。目的地址為這個(gè)IP地址的報(bào)文，在通過USG時(shí)將被強(qiáng)制發(fā)送到MAC-IP地址關(guān)聯(lián)關(guān)系中，該IP地址對應(yīng)的MAC地址，從而對用戶形成有效的保護(hù)。MAC和IP地址綁定是避免IP地址假冒攻擊的一種有效手段。強(qiáng)大的攻擊防范能力防范蠕蟲病毒：USG根據(jù)蠕蟲病毒的特點(diǎn)，設(shè)計(jì)了增強(qiáng)的流量監(jiān)控/檢測功能、增強(qiáng)的用戶連接數(shù)檢測功能、增強(qiáng)的防IP地址掃描、防端口掃描功能及增強(qiáng)的黑名單功能?？梢栽O(shè)定是否允許染毒用戶繼續(xù)通過，還是封閉該用戶一段時(shí)間。配合黑名單功能，可以提取出可疑的用戶列表名單。政府網(wǎng)絡(luò)安全及VPN解決方案全文共22頁，當(dāng)前為第22頁。防范多種DDoS攻擊：USG可以有效地檢測出這些類攻擊報(bào)文，通過丟棄這些報(bào)文等處理措施避免攻擊行為，同時(shí)將這些攻擊行為記錄在日志中。目前，USG可以防范多種DDoS攻擊，主要包括：SYNFlood攻擊、ICMPFlood、UDPFlood攻擊、DNSFlood、TCPFlood、Land攻擊、Smurf攻擊、Fraggle攻擊、WinNuke攻擊、ICMP重定向或不可達(dá)報(bào)文、TCP報(bào)文標(biāo)志位（如ACK、SYN、FIN等）不合法、PingofDeath攻擊、TearDrop攻擊等。政府網(wǎng)絡(luò)安全及VPN解決方案全文共22頁，當(dāng)前為第22頁。防范掃描窺探攻擊：攻擊者通過掃描窺探就能大致了解目標(biāo)系統(tǒng)提供的服務(wù)種類和潛在的安全漏洞，為進(jìn)一步侵入系統(tǒng)做好準(zhǔn)備。USG通過比較分析，可以靈活高效地檢測出這類掃描窺探報(bào)文，從而預(yù)先避免后續(xù)的攻擊行為。防范其它攻擊：USG除了可以有效防范多種DDoS攻擊和掃描窺探外，還可以有效防范IPSpoofing攻擊、帶源路由選項(xiàng)的IP報(bào)文攻擊、帶路由記錄選項(xiàng)的IP報(bào)文攻擊、利用tracert工具窺探網(wǎng)絡(luò)結(jié)構(gòu)等其他攻擊，確保系統(tǒng)訪問權(quán)的安全。VPN特性支持USG為用戶提供了L2TP、GRE、IPSec、L3VPN等多種VPN組網(wǎng)技術(shù)，為用戶提供了更多的選擇。憑借強(qiáng)大的技術(shù)實(shí)力，USG的產(chǎn)品加密性能在業(yè)界同類產(chǎn)品中處于領(lǐng)先位置，并且支持DES、3DES、AES、RSA等多種加密算法，能夠?yàn)橛脩籼峁└邚?qiáng)度的加密傳輸保障；同時(shí)，結(jié)合全系列的網(wǎng)絡(luò)安全產(chǎn)品，可以為用戶提供完整的VPN解決方案。靈活的擴(kuò)展能力USG采用自主研發(fā)的軟件平臺和具有自主知識產(chǎn)權(quán)的安全操作系統(tǒng)。數(shù)據(jù)平面和管理平面完全分離，這種無依賴性提高了系統(tǒng)安全性。具有很強(qiáng)的可伸縮性、可配置性，并且接口開放，是一個(gè)可不斷豐富和持續(xù)發(fā)展的系統(tǒng)平臺。USB、FLASH、SD卡等多種新型存儲介質(zhì)的應(yīng)用提供了對設(shè)備存儲介質(zhì)的擴(kuò)展能力。USG系列提供豐富的接口種類，包括FE、GE、Console、USB、3G、WLAN、Flash卡接口和可選配的MIC、DMIC、FIC和DFIC擴(kuò)展插槽，部分型號還額外支持一個(gè)Express接口專門用于擴(kuò)展3G接口。模塊化的設(shè)計(jì)保證了用戶投入的擴(kuò)展能力，極強(qiáng)的硬件可擴(kuò)展性為用戶以多種方式接入和日后的網(wǎng)絡(luò)升級提供最大程度的投資保護(hù)。USG支持安裝X86開放業(yè)務(wù)平臺，該平臺提供了獨(dú)立的硬件基礎(chǔ)，配合不同的軟件實(shí)現(xiàn)業(yè)務(wù)的無限擴(kuò)展能力。良好的管理維護(hù)功能USG充分考慮了用戶對網(wǎng)絡(luò)管理的需求，可以實(shí)現(xiàn)統(tǒng)計(jì)、管理、定位功能。還可以遠(yuǎn)程通過網(wǎng)管配置和維護(hù)設(shè)備，極大的降低了運(yùn)營和管理成本。政府網(wǎng)絡(luò)安全及VPN解決方案全文共23頁，當(dāng)前為第23頁。支持如下多種設(shè)備管理和維護(hù)功能：政府網(wǎng)絡(luò)安全及VPN解決方案全文共23頁，當(dāng)前為第23頁。支持通過Console口進(jìn)行本地配置和維護(hù)。支持通過Telnet方式進(jìn)行本地或遠(yuǎn)程維護(hù)。支持SSH（SecureShell）維護(hù)管理方式，實(shí)現(xiàn)在不能保證安全的網(wǎng)絡(luò)上提供安全信息保障和強(qiáng)大認(rèn)證功能，以避免受到IP地址欺詐、明文密碼截取等攻擊。支持SNMP（SimpleNetworkManagementProtocol）（v1/v2c/v3）協(xié)議和Client/Server體系結(jié)構(gòu)，接受NMS（NetworkManagementSystem）網(wǎng)管站的管理，如接受華為公司網(wǎng)管平臺iManagerN2000的管理。提供基于GUI（GraphicUserInterface）的Web管理界面，為用戶提供友好的配置和管理界面。USG系列支持通過HTTP（HyperTextTransferProtocol）和HTTPS（SecureHyperTextTransferProtocol）協(xié)議訪問Web管理界面?？梢酝ㄟ^CWMP（TR069）協(xié)議對設(shè)備進(jìn)行遠(yuǎn)程批量配置和升級，并提供相應(yīng)管理的缺省配置模板。通過U盤自動(dòng)升級，實(shí)現(xiàn)方便的版本升級、配置。支持一鍵恢復(fù)，通過面板上的Reset鍵完成對設(shè)備一鍵恢復(fù)到設(shè)備的出廠缺省配置。增強(qiáng)的日志管理功能，為用戶提供了記錄、審計(jì)的依據(jù)：兩種日志輸出方式：不僅能通過文本方式輸出SYSLOG日志，而且還針對流經(jīng)設(shè)備的數(shù)據(jù)流量大和日志信息豐富等特點(diǎn)，創(chuàng)建基于流狀態(tài)的信息表，并通過二進(jìn)制方式輸出高速流日志。完整統(tǒng)一的日志信息：提供攻擊防范日志、流量監(jiān)控日志、黑名單日志、統(tǒng)計(jì)信息日志。與Elog聯(lián)動(dòng)：eLog日志管理系統(tǒng)是設(shè)備的日志管理系統(tǒng)。通過高效地采集設(shè)備的日志，用戶能及時(shí)了解設(shè)備的運(yùn)行情況，跟蹤網(wǎng)絡(luò)用戶的行為，迅速識別并消除安全威脅。通過與elog聯(lián)動(dòng)實(shí)現(xiàn)日志信息的海量存儲與快捷查詢，有效幫助用戶定位網(wǎng)絡(luò)問題和設(shè)備運(yùn)行的歷史信息。完備的IPv4/IPv6解決方案USG全面支持IPv4和IPv6雙協(xié)議棧工作方式，提供完整的IPv6特性和IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)平滑遷移的解決方案。支持常見應(yīng)用層協(xié)議的NAT-PT和NAT-PTALG。政府網(wǎng)絡(luò)安全及VPN解決方案全文共24頁，當(dāng)前為第24頁。支持多種IPv6overIPv4隧道和IPv4overIPv6隧道。政府網(wǎng)絡(luò)安全及VPN解決方案全文共24頁，當(dāng)前為第24頁。支持豐富的IPv6路由協(xié)議特性。領(lǐng)先的UTM技術(shù)USG系列產(chǎn)品基于領(lǐng)先的應(yīng)用層分析成果，集成了IPS、防病毒、URL過濾等多種應(yīng)用層防護(hù)功能，更好的滿足用戶同時(shí)應(yīng)對多種網(wǎng)絡(luò)安全威脅的需求。華為賽門鐵克擁有強(qiáng)大的協(xié)議分析團(tuán)隊(duì)，支持對多達(dá)500多種網(wǎng)絡(luò)協(xié)議以及數(shù)千種威脅特征的深度分析。USG系列產(chǎn)品能夠有效的識別各種網(wǎng)絡(luò)應(yīng)用中存在威脅與漏洞，用戶不必再擔(dān)心含有惡意代碼的網(wǎng)站、攜帶病毒的郵件、木馬、后門、內(nèi)部員工訪問非法網(wǎng)站等問題，對用戶機(jī)構(gòu)中面臨的各種網(wǎng)絡(luò)安全威脅實(shí)現(xiàn)有效的保護(hù)。反病毒：AV（Anti-Virus）功能支持對使用HTTP、SMTP、POP3協(xié)議傳輸?shù)奈募M(jìn)行病毒掃描，并根據(jù)AV策略對帶病毒文件進(jìn)行處理，達(dá)到反病毒的效果。入侵防御：IPS（IntrusionPreventionSystem）能夠有效防御應(yīng)用層攻擊，如：蠕蟲、病毒、木馬程序、DoS（DenialofService）攻擊、代碼攻擊等。IPS支持對入侵事件進(jìn)行日志記錄，丟包以及阻斷等響應(yīng)方式，通過及時(shí)有效的響應(yīng)來阻止網(wǎng)絡(luò)入侵行為，最大限度的保證受保護(hù)網(wǎng)段的服務(wù)安全及信息安全。同時(shí)通過記錄及有效存儲相關(guān)的日志信息為日后的安全審計(jì)提供有效的依據(jù)，也為安全管理人員制定及調(diào)整安全策略提供了參考。協(xié)議檢測：通過對應(yīng)用層協(xié)議的檢測，可以發(fā)現(xiàn)基于協(xié)議異常的溢出攻擊等攻擊，同時(shí)，通過對這些協(xié)議的詳細(xì)解析可以提高對病毒、蠕蟲、木馬等有害數(shù)據(jù)的檢測速度及準(zhǔn)確度。郵件過濾：垃圾郵件不僅會浪費(fèi)網(wǎng)絡(luò)資源，還會對企業(yè)的郵件服務(wù)器和個(gè)人電腦的系統(tǒng)安全構(gòu)成威脅。USG通過RBL過濾有效減少垃圾郵件，保護(hù)企業(yè)內(nèi)部服務(wù)器。URL過濾：員工隨意不受控地訪問非法網(wǎng)站，不僅嚴(yán)重影響工作效率而且威脅企業(yè)網(wǎng)絡(luò)安全。URL過濾對用戶的URL請求進(jìn)行訪問控制，允許或禁止用戶訪問某些網(wǎng)絡(luò)資源，可以達(dá)到規(guī)范上網(wǎng)行為的目的。政府網(wǎng)絡(luò)安全及VPN解決方案全文共25頁，當(dāng)前為第25頁。UTM特征庫支持全球網(wǎng)站自動(dòng)升級，保證企業(yè)不受最新網(wǎng)絡(luò)漏洞、蠕蟲、垃圾郵件的侵害；支持IPS1000+特征庫，支持5大常用協(xié)議：HTTP,SMTP,POP3,IMAP4,FTP協(xié)議識別；功能強(qiáng)大的P2P功能支持包括BT/迅雷/電驢/pplive等幾十種協(xié)議的阻斷和限流；支持游戲/股票軟件的識別和控制；支持QQ/MSN多種版本根據(jù)時(shí)間/IP地址的控制。政府網(wǎng)絡(luò)安全及VPN解決方案全文共25頁，當(dāng)前為第25頁。全面的語音方案USG2100/USG5100系列支持語音業(yè)務(wù)、IPPBX業(yè)務(wù)、傳真業(yè)務(wù)和Modem業(yè)務(wù)等基本業(yè)務(wù)，三方通話、呼叫等待、呼叫轉(zhuǎn)移、主叫號碼顯示、主叫號碼限制等補(bǔ)充業(yè)務(wù)?；緲I(yè)務(wù)：提供基于H.248和SIP協(xié)議的語音接入、提供IPPBX接入，實(shí)現(xiàn)公共電路交換網(wǎng)與IP網(wǎng)絡(luò)、IMS網(wǎng)絡(luò)的互通，同時(shí)提供IPPBX服務(wù)；為傳真機(jī)/MODEM提供數(shù)據(jù)承載功能和業(yè)務(wù)管理功能。補(bǔ)充業(yè)務(wù)：基于IPPBX，提供主叫線識別、呼叫保持務(wù)、呼叫控制和個(gè)性類業(yè)務(wù)，實(shí)現(xiàn)語音業(yè)務(wù)的增值服務(wù)需求。完善的QoS機(jī)制USG可以為集成數(shù)據(jù)、語音、視頻等多種業(yè)務(wù)的網(wǎng)絡(luò)提供完善的QoS機(jī)制。包括：流量監(jiān)管，通過設(shè)置特定數(shù)據(jù)流的規(guī)格，對超出監(jiān)管流量的數(shù)據(jù)包進(jìn)行丟棄，防止突發(fā)大量數(shù)據(jù)流引發(fā)網(wǎng)絡(luò)擁塞。流量整形，通過設(shè)置特定數(shù)據(jù)流的規(guī)格，對超出限制流量的數(shù)據(jù)包進(jìn)行緩存，使這一流量的報(bào)文以比較均勻的速度向外發(fā)送。避免下游設(shè)備因?yàn)檗D(zhuǎn)發(fā)能力較差造成數(shù)據(jù)包丟失。流量標(biāo)記，根據(jù)預(yù)定義的策略，修改特定數(shù)據(jù)流的DSCP、EXP、802.1p、IP優(yōu)先級，以達(dá)到提升或降低數(shù)據(jù)流優(yōu)先級的目的。擁塞避免，支持通過尾丟棄或WRED丟棄算法丟棄隊(duì)列中的報(bào)文，防止隊(duì)列溢出。擁塞管理，提供FIFO、CQ、PQ、WFQ等隊(duì)列調(diào)度算法，即可以保證調(diào)度的公平，又能確保高優(yōu)先級的業(yè)務(wù)能夠優(yōu)先得到服務(wù),可以滿足多種業(yè)務(wù)組合的需求。完善的QoS機(jī)制滿足未來對區(qū)分服務(wù)的建設(shè)要求。對不同的業(yè)務(wù)保證不同的延遲、抖動(dòng)、帶寬和丟包率，保證數(shù)據(jù)、語音等多種業(yè)務(wù)的開展，適應(yīng)多業(yè)務(wù)承載IP網(wǎng)的發(fā)展要求。在設(shè)備可以檢測數(shù)據(jù)包通過的會話的基礎(chǔ)上，還提供了IP-CAR功能?？梢詫?shí)現(xiàn)：IP連接數(shù)限制：對指定IP地址發(fā)起的連接數(shù)量或接收的連接數(shù)量進(jìn)行限制。IP帶寬限制：對指定IP地址的會話帶寬進(jìn)行限制。政府網(wǎng)絡(luò)安全及VPN解決方案全文共26頁，當(dāng)前為第26頁。連接數(shù)限制能起到控制用戶對外發(fā)起攻擊、保護(hù)指定用戶不受攻擊的作用，帶寬限制能起到優(yōu)化網(wǎng)絡(luò)流量、保證用戶的正常訪問速率、輔助防范網(wǎng)絡(luò)攻擊的作用。USG上的帶寬和連接數(shù)的限制均有8個(gè)級別，用戶可在指定范圍內(nèi)配置連接數(shù)/帶寬的限制等級，并結(jié)合ACL配置需要限制哪些用戶的連接數(shù)/帶寬。政府網(wǎng)絡(luò)安全及VPN解決方案全文共26頁，當(dāng)前為第26頁。高度的可靠性保證高性價(jià)比的產(chǎn)品設(shè)計(jì)支持電壓檢測、溫度監(jiān)控、出廠配置恢復(fù)、BootROM冗余設(shè)計(jì)和故障管理等，保證了設(shè)備運(yùn)行的高穩(wěn)定性和故障處理能力。路由信息1+1備份支持VRRP（VirtualRouterRedundancyProtocol）協(xié)議，基于虛擬IP地址形成備份組，網(wǎng)絡(luò)內(nèi)的主機(jī)把這個(gè)虛擬IP地址作為網(wǎng)關(guān)地址與其它網(wǎng)絡(luò)進(jìn)行通信。在網(wǎng)管故障后可以順利切換到備用的設(shè)備上進(jìn)行路由轉(zhuǎn)發(fā)。雙機(jī)熱備份支持HRP，此時(shí)一個(gè)備份組內(nèi)包括一個(gè)主用設(shè)備和一個(gè)備用設(shè)備。HRP協(xié)議負(fù)責(zé)在主/備設(shè)備之間備份關(guān)鍵配置命令和會話表狀態(tài)信息，從而確保主用設(shè)備出現(xiàn)故障時(shí)能由備份設(shè)備平滑地接替工作。不會丟失路由表、會話表等關(guān)鍵轉(zhuǎn)發(fā)信息，從而保證了現(xiàn)有業(yè)務(wù)不中斷。負(fù)載均衡當(dāng)一臺服務(wù)器無法處理多個(gè)用戶