醫(yī)院網(wǎng)絡安全建議和方案

網(wǎng)絡安全建議方案書和縣中醫(yī)院信息科第一部分技術方案目錄1 前言 41.1 醫(yī)院網(wǎng)絡安全建設的指導思想 41.2 醫(yī)院網(wǎng)絡安全建設的目標 42 醫(yī)院網(wǎng)絡安全建設的必要性 43 防火墻系統(tǒng)安全方案 53.1 設計目標 53.2 方案拓樸圖 53.3 配置建議 53.4 防火墻介紹 73.4.1 強大的處理性能，用戶網(wǎng)絡更順暢 73.4.2 99.99%的系統(tǒng)高穩(wěn)定性，用戶業(yè)務永不宕機 73.4.3 深度內(nèi)容安全，用戶業(yè)務安全無憂 73.4.4 貼心的安全助手，用戶使用更方便 83.4.5 強大的網(wǎng)絡拓撲自適應性 83.4.6 智能便捷的配置向?qū)Ш凸芾矸绞?84 上網(wǎng)行為管理審計系統(tǒng) 94.1 企業(yè)單位經(jīng)常會碰到這樣的問題 94.2 法律與法規(guī) 94.3 方案特點 104.3.1 部署簡單 104.3.2 強大的互聯(lián)網(wǎng)審計、控制、分析功能 104.3.3 多種可選操作模式和認證方式 124.3.4 獨立的報表系統(tǒng) 124.4 價值和優(yōu)勢 124.5 功能列表 134.5.1 報表系統(tǒng) 134.5.2 審計系統(tǒng) 135 配置清單 15

前言醫(yī)院網(wǎng)絡安全建設的指導思想醫(yī)院網(wǎng)絡安全的建設、應用和管理涉及到醫(yī)院的方方面面。醫(yī)院網(wǎng)絡安全不僅僅是醫(yī)院重要的基礎設施，更重要的還是一個重要的信息源泉，網(wǎng)絡上承載著醫(yī)療信息、科研信息、管理信息等，這些信息通過計算機網(wǎng)絡的傳輸和處理，就能夠為提高工作效率、掌握科研和醫(yī)療發(fā)展動態(tài)提供強有力的支撐。醫(yī)院信息網(wǎng)絡安全必須成為醫(yī)院日常業(yè)務工作的有效可靠工具。使得各項業(yè)務的操作更加科學化規(guī)范化，提高數(shù)據(jù)的準確性和安全性，減少人為因素造成的差錯。同時極大地減輕業(yè)務人員的勞動強度。在此基礎上成為醫(yī)院領導進行管理、分析的工具，為領導的管理和決策提供及時、安全準確的數(shù)據(jù)依據(jù)。這是醫(yī)院網(wǎng)絡安全建設的最根本的指導思想。醫(yī)院網(wǎng)絡安全建設的目標確定醫(yī)院網(wǎng)絡安全建設的目標，不僅要考慮技術方面，更要考慮環(huán)境、應用和管理等，從某種意義上講，醫(yī)院網(wǎng)絡安全的建設不僅僅是涉及到技術問題，而是會引起更深層次的變革，也就是醫(yī)院網(wǎng)絡安全的建設將改變醫(yī)院傳統(tǒng)的管理運作模式，因此醫(yī)院網(wǎng)絡的建設必須與醫(yī)院各方面的改革、建設相結(jié)合，與醫(yī)院長遠發(fā)展相結(jié)合，科學論證和決策。醫(yī)院網(wǎng)絡安全建設的必要性醫(yī)院核心數(shù)據(jù)系統(tǒng)數(shù)據(jù)保護，防止本地用戶和其它各下級節(jié)點對醫(yī)院核心數(shù)據(jù)系統(tǒng)（如HIS系統(tǒng)）進行非授權訪問和惡意攻擊，防止本地網(wǎng)絡病毒的危害和傳播。加強對其它各下級和內(nèi)部用戶的身份鑒別、權限控制、角色管理和訪問控制管理，防止對應用系統(tǒng)的數(shù)據(jù)庫服務器、郵件服務器及文檔服務器的非法存取、刪改和破壞。外聯(lián)單位接入安全，衛(wèi)生管理部門需要采集醫(yī)院的相關信息，因此必須提供對系統(tǒng)的訪問控制，允許從外部訪問某些主機，同時禁止訪問另外的主機，保護醫(yī)院內(nèi)部系統(tǒng)的安全。互聯(lián)網(wǎng)接入安全，通過設定策略與Internet進行有效隔離，控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡的信息流，過濾不安全的外部數(shù)據(jù)，提高網(wǎng)絡安全和減少子網(wǎng)中主機的受攻擊風險，增加用戶的訪問控制，阻止攻擊者獲得攻擊網(wǎng)絡系統(tǒng)的有用信息。防火墻系統(tǒng)安全方案設計目標防范針對重要網(wǎng)絡資源的網(wǎng)絡攻擊行為，可解決醫(yī)院網(wǎng)絡的部分網(wǎng)絡安全、應用系統(tǒng)安全和網(wǎng)絡管理安全的隱患。具體描述如下：將醫(yī)院網(wǎng)絡內(nèi)部網(wǎng)與其它外部網(wǎng)絡安全隔離，拒絕非法訪問，惡意攻擊，保護醫(yī)院內(nèi)風網(wǎng)絡的安全。抵擋木馬攻擊、蠕蟲攻擊、后門攻擊、利用漏洞攻擊和拒絕服務攻擊。強化對網(wǎng)絡的控制，確保關鍵業(yè)務的網(wǎng)絡帶寬。方案拓樸圖配置建議建議在醫(yī)院安裝1臺網(wǎng)御神州SECGATE3600-F防火墻，以實現(xiàn)內(nèi)網(wǎng)與外網(wǎng)之間的安全隔離；將網(wǎng)站服務器及其資源服務器直接與防火墻的DMZ區(qū)相連，提高服務器在內(nèi)外網(wǎng)的運行安全性。通過對防火墻進行詳盡的策略設置，實現(xiàn)防黑（黑客攻擊）、防白（政治敏感內(nèi)容）、防黃（黃色網(wǎng)站）的效果，具體分述如下：通過防火墻的監(jiān)控功能，實現(xiàn)內(nèi)網(wǎng)實時監(jiān)控統(tǒng)計功能，以內(nèi)網(wǎng)IP為對象，實時地監(jiān)視統(tǒng)計內(nèi)網(wǎng)連主機連接數(shù)量和流量；實現(xiàn)外網(wǎng)實時監(jiān)控統(tǒng)計功能，實時地監(jiān)視統(tǒng)計內(nèi)網(wǎng)訪問外網(wǎng)的地址的連接數(shù)量和流量；實現(xiàn)DMZ實時監(jiān)控統(tǒng)計功能，實時地監(jiān)視統(tǒng)計DMZ區(qū)內(nèi)主機被訪問的連接數(shù)量和流量；實時監(jiān)控內(nèi)網(wǎng)訪問指定外網(wǎng)主機的連接數(shù)量和流量；通過時間控制功能實現(xiàn)支持安全規(guī)則時間調(diào)度，根據(jù)用戶的具體要求實現(xiàn)上班時間、下班時間對網(wǎng)絡的應用控制；內(nèi)網(wǎng)文件服務器僅對內(nèi)提供數(shù)據(jù)服務，不對外網(wǎng)提供服務，有效阻斷外網(wǎng)對內(nèi)網(wǎng)的非授權訪問；將WWW服務器的IP地址通過NAT轉(zhuǎn)換為公網(wǎng)地址，對外提供服務。外網(wǎng)無法得到WWW服務器的IP地址，這樣就有效地保證了內(nèi)部網(wǎng)絡安全。對內(nèi)網(wǎng)IP地址、Mac地址的綁定，有效控制內(nèi)網(wǎng)終端對外網(wǎng)的訪問。嵌有VPN模塊，如需要，可直接開通防火墻VPN功能，通過給防火墻定義詳盡的策略，只有授權的客戶端用戶可以登陸到內(nèi)部服務器。對拒絕服務攻擊的防范。防范syn_flood、pingflood、udpflood、teardrop、sweep、land、pingofdeath、smurf、碎片攻擊、WINNUKE、圣誕樹攻擊等。實現(xiàn)內(nèi)容過濾，對HTTP，對網(wǎng)頁中java、javascrip、activeX進行過濾；針對SMTP、POP3，基于發(fā)信人地址、收信人地址、收信人數(shù)、文件大小、郵件主題、正文內(nèi)容、發(fā)件人姓名、收件人姓名、附件文件名、附件內(nèi)容等進行關鍵字匹配過濾。通過網(wǎng)絡帶寬管理功能保證關鍵部門網(wǎng)絡的帶寬，使得領導核心的決策、指令的上傳下達得到保障；通過策略設置，有效防止內(nèi)網(wǎng)用戶使用的BT,電驢等P2P軟件的下載及在工作時間使用QQ,MSN,SKYPE等IM軟件，有效保證網(wǎng)絡的帶寬和合理利用醫(yī)院工作資源；通過防火墻的IPS和抗攻擊設置,可以有效防護內(nèi)部網(wǎng)絡不受外部的非法入侵行為；通過安全設置,防火墻可以抵御外部蠕蟲病毒攻擊。防火墻介紹網(wǎng)神SecGate3600防火墻、是網(wǎng)御神州經(jīng)過多年研發(fā)，基于高性能、高穩(wěn)定性的多核處理器架構(gòu)硬件平臺和多核并行操作系統(tǒng)新一代SecOS推出的全線多核下一代防火墻產(chǎn)品，是專門面向大中型企業(yè)、政府、軍隊、高校等用戶開發(fā)的新一代專業(yè)防火墻設備，支持外部攻擊防范、內(nèi)網(wǎng)安全、網(wǎng)絡訪問權限控制、網(wǎng)絡流量監(jiān)控和帶寬管理、動態(tài)路由、網(wǎng)頁內(nèi)容過濾、郵件內(nèi)容過濾、入侵檢測、病毒過濾、IP沖突檢測等功能，能夠有效地保證網(wǎng)絡的安全；產(chǎn)品提供靈活的網(wǎng)絡路由/橋接能力，支持策略路由，多出口鏈路聚合；提供多種智能分析和管理手段，支持郵件告警，支持日志審計，提供全面的網(wǎng)絡管理監(jiān)控，協(xié)助網(wǎng)絡管理員完成網(wǎng)絡的安全管理。強大的處理性能，用戶網(wǎng)絡更順暢基于多核架構(gòu)和多核并行操作系統(tǒng)新一代SecOS的完美匹配；性能大幅提升；雙核架構(gòu)相比單核，吞吐量同比提高30%-70%；完全自主知識產(chǎn)權的SecOS實現(xiàn)防火墻的控制層和數(shù)據(jù)轉(zhuǎn)發(fā)層分離，全模塊化設計，實現(xiàn)獨立的安全協(xié)議棧，消除了因操作系統(tǒng)漏洞帶來的安全性問題，以及操作系統(tǒng)升級、維護對防火墻功能的影響。同時也減少了因為硬件平臺的更換帶來的重復開發(fā)問題。由于采用先進的設計理念，使該SecOS具有更高的安全性、開放性、擴展性和可移植性。99.99%的系統(tǒng)高穩(wěn)定性，用戶業(yè)務永不宕機多核架構(gòu)實現(xiàn)安全任務的物理分離，確保核心處理不受干擾；多核間監(jiān)控備份機制，確保核心處理任務的更加穩(wěn)定運行；采用獨創(chuàng)的分段直接尋址搜索算法MSDAL（Multi-StageDirectAddressingLookupAlgorithm），解決了傳統(tǒng)防火墻隨著安全策略數(shù)的增加其性能逐漸下降的問題，確保您在大量安全策略數(shù)目情況下仍能獲取最高的網(wǎng)絡性能！深度內(nèi)容安全，用戶業(yè)務安全無憂多核間相互分工協(xié)作，一部分核進行高速數(shù)據(jù)轉(zhuǎn)發(fā)，完成對HTTP/等13種應用協(xié)議的預處理；另外一部分核實現(xiàn)快速數(shù)據(jù)包重組還原內(nèi)容，進行深度安全檢測?？蓪崿F(xiàn)大流量下的深度內(nèi)容檢測，完成P2P/IM協(xié)議識別與限制、入侵防護、病毒防護等深度安全功能；貼心的安全助手，用戶使用更方便全面的連接狀態(tài)監(jiān)控，讓您及時掌握網(wǎng)絡運行狀態(tài)，配合豐富的連接限制，方便您對迅雷/BT/電驢等P2P應用的控制，以及對感染網(wǎng)絡蠕蟲病毒的主機進行快速定位和實時阻斷！系統(tǒng)集成強大的安全助手，能夠根據(jù)需要對內(nèi)網(wǎng)主機、服務、端口、系統(tǒng)及版本進行探測，實時獲取內(nèi)網(wǎng)狀況，并可以根據(jù)掃描結(jié)果輕松設置對象及安全策略，大大降低了配置、維護的復雜度強大的網(wǎng)絡拓撲自適應性適應于各種復雜網(wǎng)絡拓撲，包括透明橋接、路由以及橋和路由完全自適應識別模式。支持透明橋接、路由以及橋和路由自適應識別模式，支持多條路由負載均衡，支持基于應用（ARP/PING/TCP/ HTTP）和鏈路質(zhì)量的鏈路探測，支持多條ADSL撥號及自動負載均衡，支持多純透明橋與接口聯(lián)動，支持基于路由的雙VPN隧道備份。智能便捷的配置向?qū)Ш凸芾矸绞綖榘踩芾韱T提供智能便捷的配置向?qū)?，讓您輕松完成復雜的安全配置！并提供豐富的管理方式，包括本地Console，撥號PPP接入，基于Web（HTTPS）瀏覽器，遠程SSH登錄，以及強大的SecFox集中安全管理方式。上網(wǎng)行為管理審計系統(tǒng)企業(yè)單位經(jīng)常會碰到這樣的問題隨著人們對互聯(lián)網(wǎng)的使用越來越普及，互聯(lián)網(wǎng)給我們帶來許多方便的同時，也帶來了許多風險和挑戰(zhàn)。政府和企事業(yè)單位管理者希望對員工上網(wǎng)進行合理的控制，而網(wǎng)管無法找到一個可以實現(xiàn)該功能的專用工具。因為現(xiàn)有的網(wǎng)絡設備，網(wǎng)管軟件都不能靈活分配員工可獲得的上網(wǎng)資源，透視員工的上網(wǎng)行為。政府和企事業(yè)單位內(nèi)部人員通過網(wǎng)絡泄漏敏感資料的事件時有報道，員工因私上網(wǎng)影響工作的問題日益明顯，網(wǎng)管對限制員工私自下載危險文檔的需求越來越迫切。政府和企事業(yè)單位的計算機應用和上網(wǎng)條件越來越好了，但同時產(chǎn)生出來的問題也越來越多了。很有可能，您的員工正在如此“工作”：兩個人正在下載MP3,電影，消耗大量帶寬三個人在下載和分發(fā)不良的信息和圖片兩個人在玩在線游戲兩個人正在用QQ和無關的人聊天兩個人一邊工作一邊炒股還有一個人在傳送秘密的資料給競爭對手這些威脅和挑戰(zhàn)事件多數(shù)是來自于內(nèi)部合法用戶的“合法”操作引起的，僅靠某些安全產(chǎn)品如防火墻等的日志和控制功能并不能很好的滿足對這些互聯(lián)網(wǎng)安全事件的審計要求，網(wǎng)絡行為和內(nèi)容審計系統(tǒng)應運而生。法律與法規(guī)2005年底，公安部頒布《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》，明文規(guī)定網(wǎng)絡使用單位要有一定的管理制度。其中第七條，第三款指出，要有記錄并存儲用戶登錄和退出時間、主叫號碼、賬號、互聯(lián)網(wǎng)地址或域名、系統(tǒng)維護日志的技術措施。第十條指出使用網(wǎng)絡的企事業(yè)單位要具有一定的安全保護技術措施，其中包括：記錄并儲存用戶注冊信息；在公共信息服務中發(fā)現(xiàn)、停止傳輸違法信息，并保留相關記錄；能夠記錄并儲存用戶使用的互聯(lián)網(wǎng)絡地址和內(nèi)部網(wǎng)絡地址對應關系。第十三條規(guī)定了記錄儲存技術應當具有至少保存六十天記錄備份的功能。這些法律法規(guī)也要求對用戶互聯(lián)網(wǎng)行為進行必要的安全審計。方案特點為了應對政府和企事業(yè)單位用戶上網(wǎng)行為監(jiān)控與審計的需要，以及國家相關法律法規(guī)的要求，網(wǎng)御神州推出了SecFox-NBA（NetworkBehaviorAnalysisforInternetAduit）網(wǎng)絡行為審計系統(tǒng)（上網(wǎng)審計型）。該產(chǎn)品具有以下特點：部署簡單通過旁路偵聽的方式對內(nèi)部網(wǎng)絡連接到互聯(lián)網(wǎng)（Internet）的數(shù)據(jù)流進行采集、分析和識別，不影響網(wǎng)絡結(jié)構(gòu)。B/S結(jié)構(gòu)，可在內(nèi)網(wǎng)中任意臺機器上（可進行安全限制），通過IE瀏覽器對其進行訪問，無需安裝任何客戶端程序及插件。支持大型網(wǎng)絡級聯(lián)部署強大的互聯(lián)網(wǎng)審計、控制、分析功能基于應用層協(xié)議還原的行為和內(nèi)容審計網(wǎng)頁瀏覽（HTTP協(xié)議）審計，記錄機器IP、訪問網(wǎng)址等信息網(wǎng)絡聊天審計：騰訊QQ、WindowsLiveMessenger、ICQ、YAHOOMessenger、網(wǎng)易泡泡、淘寶阿里旺旺、新浪UC、QQ聊天室等聊天軟件,可記錄聊天賬號，聊天工具，未加密的聊天內(nèi)容等信息收發(fā)郵件（POP3、SMTP、WEBMAIL、LOTUS、EXCHANGE），可對郵件賬號、標題、內(nèi)容、附件進行審計P2P協(xié)議審計股票審計：審計大智慧、同花順、錢龍等股票軟件搜索關鍵詞審計，baidu、google等常見搜索網(wǎng)站遠程登錄（TELNET協(xié)議）審計文件傳輸（FTP協(xié)議）審計音視頻審計網(wǎng)絡游戲?qū)徲嫞郝?lián)眾、邊鋒、QQ游戲、大型網(wǎng)游，等等細致的控制策略可對一周內(nèi)任意時間段（最小精確到半小時）進行訪問控制可對端口、網(wǎng)頁訪問、郵件、聊天、文件傳輸、遠程登錄、BT下載進行細粒度控制內(nèi)外網(wǎng)黑白名單，可設置VIP機器、限制指定IP或空閑IP進行網(wǎng)絡訪問內(nèi)置URL分類過濾庫包含百萬個站點以上的記錄，含有超過一億以上的網(wǎng)頁。豐富多樣的分析和統(tǒng)計功能實時流量：以圖表的形式實時顯示機器/機器組的流量變化軌跡實時觀察：以列表的形式實時的顯示所選機器的一切上網(wǎng)行為數(shù)據(jù)包流量：以列表的形式顯示所選機器的數(shù)據(jù)包流量和流速統(tǒng)計報表：提供豐富的報表管理功能；根據(jù)時間、數(shù)據(jù)類型等生成報表，提供打印、導出等服務，可以保存為html格式；直觀地為管理員提供決策和分析的數(shù)據(jù)基礎，幫助管理員掌握網(wǎng)絡使用狀況流量排名、搜索關鍵字排名、網(wǎng)站排名、BBS訪問排名、網(wǎng)址類型排名流量統(tǒng)計、協(xié)議流量分析、帶寬統(tǒng)計、上網(wǎng)時長統(tǒng)計多種可選操作模式和認證方式提供兩種操作模式，以滿足不同用戶操作習慣和不同操作目的的需求：面向功能的操作模式面向?qū)徲媽ο蟮牟僮髂Ｊ剑ò▋煞N：面向被監(jiān)控機器、面向上網(wǎng)用戶賬號）提供認證管理功能，目前支持以下三種方式LDAP認證方式WINDOWS域一次認證方式本地認證獨立的報表系統(tǒng)面對大量的審計數(shù)據(jù)，許多客戶更加關心所有網(wǎng)絡數(shù)據(jù)的詳細分類統(tǒng)計、網(wǎng)絡使用情況、員工上網(wǎng)分析等。因此，SecFox-NBA（上網(wǎng)審計型）還專門獨立出上網(wǎng)行為評估報表系統(tǒng)。上網(wǎng)行為評估報表系統(tǒng)將在審計的網(wǎng)絡行為數(shù)據(jù)統(tǒng)計分析后，按照時間段生成詳細的網(wǎng)絡應用表，并且報表系統(tǒng)提供個性化策略設置，企事業(yè)單位可以按照自身需求設置方便自身的策略。上網(wǎng)行為評估報表對數(shù)據(jù)統(tǒng)計時，從工作效率、可疑行為、網(wǎng)絡管理3個方面進行了統(tǒng)計，給管理人員提供了一個方便的網(wǎng)絡管理平臺。上網(wǎng)行為評估報表可幫助企事業(yè)單位在網(wǎng)絡管理、預防信息泄密、了解員工需求方面取得更高成效。并且擁有了獨立的報表系統(tǒng)后，一方面，使各級管理人員能夠盡可能詳盡的了解自己所管轄的人員及其網(wǎng)絡使用情況，另一方面，又可保證每個人網(wǎng)絡上面的個人信息及隱私、無損企業(yè)利益的機密信息不會因?qū)徲嬒到y(tǒng)而泄露給其他人員，包括該產(chǎn)品的管理人員。實現(xiàn)了真正的人性化管理。價值和優(yōu)勢審計和控制上網(wǎng)行為，實時追蹤記錄審計和控制員工外發(fā)數(shù)據(jù)內(nèi)容，防止公司資料泄密減少員工因互聯(lián)網(wǎng)活動所帶來的法律責任風險優(yōu)化使用IT資源，包括帶寬和計算機資源實施因特網(wǎng)和應用程序使用策略通過配置合理的策略，禁止網(wǎng)絡濫用，提高員工工作效率人性化管理，在進行網(wǎng)絡審計的同時，注重保護個人隱私功能列表報表系統(tǒng)功能點說明綜合統(tǒng)計報表主要提供按部門統(tǒng)計各部門的綜合數(shù)據(jù)，如：網(wǎng)頁訪問總次數(shù)，總流量，平均流量，可疑行為，游戲時間，聊天時間，炒股時間等，并提供統(tǒng)計數(shù)據(jù)的明細列表和數(shù)據(jù)的詳情查看。行為排名報表對上網(wǎng)數(shù)據(jù)按照不同的網(wǎng)絡行為分類，對分類中的數(shù)據(jù)按照數(shù)據(jù)訪問量排名，逐次顯示被統(tǒng)計部門的上網(wǎng)人員數(shù)據(jù)訪問情況，如：網(wǎng)頁訪問排名，聊天排名，游戲排名，炒股排名等。行為趨勢報表分類統(tǒng)計數(shù)據(jù)，形成數(shù)據(jù)趨勢變化圖。周報表和月報表中，在同一圖形中呈現(xiàn)被統(tǒng)計周（或者月）和對應的上周(或者上個月)數(shù)據(jù)的趨勢變化。通過圖形直觀顯示網(wǎng)絡數(shù)據(jù)量的變化，并通過數(shù)據(jù)比較改時間段和上個時間段的流量升降度，根據(jù)這些對比數(shù)據(jù)，可以了解公司網(wǎng)絡不同時期的使用情況，上網(wǎng)人員網(wǎng)絡行為變化情況。網(wǎng)絡管理報表網(wǎng)絡管理報表為網(wǎng)絡管理人員提供方便掌握內(nèi)網(wǎng)使用情況的總結(jié)報表。網(wǎng)管人員通該功能及時了解網(wǎng)絡中哪些機器可能中毒、內(nèi)網(wǎng)中最受關注網(wǎng)站，網(wǎng)絡流量、各種網(wǎng)絡協(xié)議的流量比例分配。審計系統(tǒng)功能點說明行為審計能夠?qū)贖TTP（WEB，POST）、、郵件（SMTP，POP3，WEBMAIL）、聊天（ICQ、QQ、MSN、WEBMSN、網(wǎng)易泡泡、YAHOOMESSENGER、UC、淘寶）、聊天室（QQ、163、263聊天室）、TELNET、游戲、音視頻、自定義協(xié)議等的行為進行記錄；能夠?qū)徲婤TComet、BitTorrent、比特精靈、TurboBT、電騾、VNN、PPlive、PPStream等P2P協(xié)議；能夠?qū)徲嬐ㄟ^GOOGLE、百度、淘寶、MSN、天網(wǎng)、雅虎等搜索引擎搜索的關鍵字內(nèi)容審計可進行SMTP、POP3、原文和附件（包括ZIP、RAR文件）審計，MSN、WEBMSN、ICQ、YahooMessenger、UC、QQ聊天室、163聊天室、263聊天室、BBS等網(wǎng)上通訊內(nèi)容審計，F(xiàn)TP數(shù)據(jù)上傳審計等策略管理可定制控制策略、系統(tǒng)策略、內(nèi)網(wǎng)黑白名單、允許/禁止端口等，支持當前互聯(lián)網(wǎng)流行的大多數(shù)應用以及協(xié)議分析，包括HTTP、網(wǎng)絡層協(xié)議、文件訪問協(xié)議、郵件、FTP等多種協(xié)議，還可以對QQ、MSN、ICQ、YahooMassenger等應用進行封堵實時觀察系統(tǒng)可實時顯示最新的網(wǎng)絡活動的日志信息；包括：上網(wǎng)賬號、機器名、分組、上網(wǎng)活動、訪問時間；所有實時數(shù)據(jù)分析的數(shù)據(jù)圖表支持自動刷新流量分析實時流量審計：各主機所產(chǎn)生的內(nèi)外網(wǎng)流量統(tǒng)計；TOP10地址內(nèi)網(wǎng)流量統(tǒng)計、并以圖標形式顯示；單主機的內(nèi)外網(wǎng)各種協(xié)議流量統(tǒng)計。歷史流量審計：可以按地址范圍、數(shù)據(jù)流向、時間范圍、排名的名次數(shù)等用戶定義的內(nèi)容生成流量統(tǒng)計報表地址分類庫管理內(nèi)置URL分類過濾庫包含百萬個站點以上的記錄，含有超過一億以上的網(wǎng)址，支持用戶根據(jù)企業(yè)內(nèi)部的網(wǎng)絡應用特點自行定義網(wǎng)站分類和網(wǎng)站站點，系統(tǒng)可以對自定義的網(wǎng)站進行按管理策略進行封堵或放行等監(jiān)控報警管理將所有的報警記錄按使用者、上網(wǎng)賬號、機器名稱、機器IP、時間、外網(wǎng)IP、外網(wǎng)端口、協(xié)議種類、備注等信息列表顯示，對告警信息進行分析和統(tǒng)計。產(chǎn)生的告警信息能夠通過短信報警、郵件方式通知管理人員報表管理提供豐富的報表管理功能；根據(jù)時間、數(shù)據(jù)類型等生成報表，提供打印、導出服務；直觀地為管理員提供決策和分析的數(shù)據(jù)基礎，幫助管理員掌握網(wǎng)絡及業(yè)務系統(tǒng)的狀況。報表可以保存為html格式認證管理不改變用戶網(wǎng)絡結(jié)構(gòu)的情況下，系統(tǒng)以機器IP管理或賬號管理方式管理監(jiān)控范圍內(nèi)的機器，可以對機器或賬號實施各種不同的策略。賬號控制模式實現(xiàn)了網(wǎng)絡實名制管理，同時支持多種第三方認證方式，比如本地認證、Window域服務器、LDAP機器管理自動發(fā)現(xiàn)企業(yè)的內(nèi)網(wǎng)中的機器，將被監(jiān)控主機的IP地址按照子網(wǎng)分類，便于查看，方便管理員的管理工作；可設定空閑IP，限制非法機器連接網(wǎng)絡權限管理采用基于角色的權限管理機制，通過角色定義支持多用戶訪問。角色能夠從設備和功能兩個維度進行定義，從而達到控制誰可以對什么設備進行什么操作的控制粒度系統(tǒng)配置完成對NBA系統(tǒng)自身的各項配置工作系統(tǒng)安全性用戶登陸時，采用了加密的通訊協(xié)議，確保了登陸賬號、密碼及審計數(shù)據(jù)的保密性；審計數(shù)據(jù)加密存儲性能抓包速率最低配置下50000pps（數(shù)據(jù)包每秒），峰值達到120000pps事件存儲性能事件存儲量僅取決于系統(tǒng)所用存儲空間大小，標配情況下最少60天平均無故障運行時間（MBTF）不少于60000小時

配置清單設備名稱設備參數(shù)備注防火墻網(wǎng)御神州SecGate3600-F3百兆，1U機架式；吞吐量≥300Mbps，并發(fā)連接數(shù)≥40萬，配置3個獨立網(wǎng)口和8個交換口，共計11個10/100M自適應電口；集成IPSec、SSLVPN功能，資質(zhì)：必須提供公安部銷售許可證、中國信息安全技術產(chǎn)品安全測評證書，中國國家信息安全產(chǎn)品認證證書（CCC認證）、商用密碼產(chǎn)品生產(chǎn)定點單位證書、商用密碼產(chǎn)品銷售許可證；為保證售后服務，必須提供原廠商授權原件。部署于醫(yī)院網(wǎng)絡出口，安全接入Internet，同時對醫(yī)保網(wǎng)絡的訪問進行控制，禁止未經(jīng)授權的非法訪問上網(wǎng)行為管理系統(tǒng)網(wǎng)御神州SecFox-NBA-F1、性能:標準機架式設備，產(chǎn)品標配4個10/100/1000M自適應以太網(wǎng)口，抓包率:不低于50000pps（數(shù)據(jù)包每秒），峰值可達到120000pps,數(shù)據(jù)保存時間≥60天；2、采用自主開發(fā)的SecOS網(wǎng)關安全操作系統(tǒng)；3、采用B/S結(jié)構(gòu)，無需安裝任何插件，采用旁路偵聽方式接入，在不改變網(wǎng)絡結(jié)構(gòu)的情況下精確監(jiān)控，不會對網(wǎng)絡內(nèi)部的流量與數(shù)據(jù)信息造成任何瓶頸；4、上網(wǎng)行為審計：能夠記錄用戶網(wǎng)頁瀏覽的時間、URL地址、標題、源目的IP地址、源MAC地址、源目的端口、網(wǎng)址分類信息、機器名稱、使用者信息，并且支持對指定的發(fā)起網(wǎng)頁瀏覽的IP進行還原。并可實時顯示；記錄用戶炒股用的大智慧、同花順、錢龍等股票工具的使用時間、源IP地址、源MAC地址、軟件名稱、機器名稱、使用者。并可實時顯示。能夠?qū)徲嬐ㄟ^GOOGLE、百度、淘寶、MSN、天網(wǎng)、雅虎等搜索引擎搜索的關鍵字；5、上網(wǎng)內(nèi)容審計：記錄通過MSN、ICQ、YAHOOMESSENGER、QQ聊天室私聊的內(nèi)容和通過聊天工具傳輸?shù)奈募２⒖蓪崟r顯示；6、上網(wǎng)行為控制：控制每一種上網(wǎng)行為在從周一到周日任意的時間段（基數(shù)為半小時），在允許的時間段內(nèi)對應的上網(wǎng)行為可以正常進行，在禁止的時間段系統(tǒng)對對應的上網(wǎng)行為采用封堵策略；可結(jié)合windowsAD認證和LADP認證；提供本地認證；7、上網(wǎng)行為分析：系統(tǒng)實時顯示最新的網(wǎng)絡活動的日志信息；包括：上網(wǎng)帳號、機器名、分組、上網(wǎng)活動、訪問時間；所有實時數(shù)據(jù)分析的數(shù)據(jù)圖表支持自動刷新，且刷新時間不大于30秒；8、資質(zhì)：公安部銷售許可證、軍用信息安全產(chǎn)品認證證書,中國信息安全技術產(chǎn)品安全測評證書，中國國家信息安全產(chǎn)品認證證書（CCC認證）、國家保密局證書，為了保證產(chǎn)品服務需提供原廠授權及原廠服務承諾函原件。審計和控制上網(wǎng)行為，實時追蹤記錄審計和控制員工外發(fā)數(shù)據(jù)內(nèi)容，防止公司資料泄密減少員工因互聯(lián)網(wǎng)活動所帶來的法律責任風險優(yōu)化使用IT資源，包括帶寬和計算機資源實施因特網(wǎng)和應用程序使用策略防火墻硬件服務7*24小時，三年維護服務，硬件備機支持，軟件終身升級原廠服務第二部分網(wǎng)神SecGate3600防火墻介紹目錄1 概述 202 網(wǎng)神SecGate3600防火墻企業(yè)級主要功能列表 203 網(wǎng)神SecGate3600防火墻企業(yè)級六大特色 223.1 獨立的SecOS安全協(xié)議棧 223.2 獨創(chuàng)的智能高效搜索算法 233.3 深度的網(wǎng)絡行為關聯(lián)分析 233.4 全面的連接狀態(tài)監(jiān)控和實時阻斷 233.5 強大的網(wǎng)絡拓撲自適應性 233.6 智能便捷的配置向?qū)Ш凸芾矸绞?234 網(wǎng)神SecGate3600防火墻企業(yè)級主要功能介紹 244.1 自適應的網(wǎng)絡接入模式 244.2 完善的智能包過濾 244.3 強大的抗攻擊能力 244.4 全面的NAT地址轉(zhuǎn)換 254.5 豐富的預定義代理和自定義代理 264.6 獨創(chuàng)的高效安全規(guī)則搜索算法 264.7 全面靈活的連接限制 264.8 策略路由和鏈路聚合 274.9 動態(tài)路由支持 274.10 深度內(nèi)容過濾 274.11 深度動態(tài)協(xié)議分析 274.12 全面的VLAN支持 284.13 用戶認證 284.14 IP/MAC地址綁定 284.15 靈活的時間調(diào)度 284.16 與IDS聯(lián)動 294.17 入侵檢測IPS 294.18 病毒過濾 304.19 流量整形和帶寬管理 304.20 完善的DHCP支持 304.21 雙機熱備和高可用性HA 314.22 全面的系統(tǒng)監(jiān)控 314.23 便捷的配置向?qū)?314.24 對象名稱定義和引用 314.25 豐富、安全的管理方式 324.26 分級權限的安全管理 324.27 與SecFox集中遠程管理無縫集成 324.28 完善的系統(tǒng)升級 324.29 系統(tǒng)配置的導入導出 324.30 貼心的安全助手 334.31 全面的日志審計和日志服務器 335 網(wǎng)神SecGate3600防火墻企業(yè)級的典型應用環(huán)境 335.1 拓撲一：多出口鏈路聚合 335.2 拓撲二：全冗余的高可用性 341概述網(wǎng)神SecGate3600防火墻企業(yè)級是基于狀態(tài)檢測包過濾和應用級代理的復合型硬件防火墻，是專門面向大中型企業(yè)、政府、軍隊、高校等用戶開發(fā)的新一代專業(yè)防火墻設備，支持外部攻擊防范、內(nèi)網(wǎng)安全、網(wǎng)絡訪問權限控制、網(wǎng)絡流量監(jiān)控和帶寬管理、動態(tài)路由、網(wǎng)頁內(nèi)容過濾、郵件內(nèi)容過濾、入侵檢測、病毒過濾、IP沖突檢測等功能，能夠有效地保證網(wǎng)絡的安全；產(chǎn)品提供靈活的網(wǎng)絡路由/橋接能力，支持策略路由，多出口鏈路聚合；提供多種智能分析和管理手段，支持郵件告警，支持日志審計，提供全面的網(wǎng)絡管理監(jiān)控，協(xié)助網(wǎng)絡管理員完成網(wǎng)絡的安全管理。2網(wǎng)神SecGate3600防火墻企業(yè)級主要功能列表安全防御能力提供基于狀態(tài)檢測的智能包過濾支持SIP/H.323/H.323網(wǎng)守/等動態(tài)協(xié)議支持802.1QVLAN協(xié)議支持雙向NAT，支持源地址轉(zhuǎn)換、端口映射、IP映射三種類型的NAT支持靜態(tài)橋轉(zhuǎn)發(fā)表支持多純透明子橋和接口聯(lián)動支持IP/MAC地址綁定和自動探測支持新建連接/并發(fā)連接限制提供透明網(wǎng)關式應用代理提供HTTP/自定義代理等提供與應用服務無關的用戶認證提供基于Web/Portal的無客戶端認證有效抵御各種DoS/DDoS攻擊提供實時網(wǎng)絡連接監(jiān)控和實時中斷提供全面的內(nèi)外網(wǎng)連接監(jiān)控VPN支持標準IPSecVPN能夠與使用標準IPSec的網(wǎng)關或客戶端互聯(lián)互通支持基于策略的VPN應用支持基于路由的VPN應用（特別適用于大型縱向網(wǎng)絡環(huán)境）支持基于路由的雙VPN隧道備份支持VPN的星型、網(wǎng)狀等多種接入方式支持VPN的NAT穿越支持DHCPoverIPSecVPN支持VPN遠端狀態(tài)探測DPD支持遵守VPN客戶端提案方式支持PPTP/L2TP撥號VPN支持X-AUTH擴展認證支持本地和RADIUS認證支持LDAP證書獲取方式支持VPN證書一次導入導出支持SSLVPN網(wǎng)絡適應能力支持透明/橋接/路由/混合模式可適應多種網(wǎng)絡拓撲結(jié)構(gòu)和VLANTrunk環(huán)境支持策略路由支持基于服務的策略路由支持動態(tài)路由RIPv1/v2和OSPF提供目的地址路由、源地址路由和路由負載均衡支持基于應用探測和鏈路質(zhì)量探測的多出口路由備份切換支持PPPOE協(xié)議，提供ADSL接入方式支持多條ADSL撥號和自動負載均衡提供QoS帶寬管理支持DHCP服務器/中繼/客戶端支持DNS中繼支持PPTP的NAT穿越支持數(shù)據(jù)包分片重組功能深度內(nèi)容檢測支持對URL進行過濾、網(wǎng)頁內(nèi)容過濾、黑名單、白名單、可對允許訪問的URL和禁止訪問的URL進行日志記錄、支持關鍵字導入支持BT/eDonkey/Kazaa/apple/ares/dc/gnu/soul/winux/thunder等P2P軟件的禁止支持BT/eDonkey/Kazaa/apple/ares/dc/gnu/soul/winux等P2P軟件的禁止帶寬限制支持對迅雷客戶端軟件和WEB迅雷進行有效的禁止支持對即時通信軟件（MSN、QQ、Skype）限制支持新建/并發(fā)連接限制，包括保護主機、保護服務、限制主機、限制服務防MAC欺騙和IP盜用可對SMTP協(xié)議進行病毒過濾可對POP3協(xié)議進行病毒過濾可限制文件最大容量、附件數(shù)量，可設置文件夾最大壓縮層數(shù)支持病毒庫升級可對多種常見網(wǎng)絡蠕蟲進行過濾支持多家IDS聯(lián)動支持Web應用協(xié)議實時入侵防御阻斷支持IPS特征庫升級高可用性能力支持防火墻雙機熱備支持防火墻多機負載均衡支持端口鏈路備份和負載均衡支持服務器負載均衡管理審計能力支持SecGateManager防火墻集中管理系統(tǒng)提供靈活的軟件升級方式提供強大的日志管理和日志審計管理員身份認證支持電子鑰匙認證或證書認證內(nèi)置安全助手功能，方便管理員了解內(nèi)網(wǎng)情況支持活動主機探測，并能根據(jù)探測結(jié)果自動生成資源對象和安全策略支持開放服務探測，并能根據(jù)探測結(jié)果自動生成資源對象和安全策略支持內(nèi)網(wǎng)開放服務版本探測支持內(nèi)網(wǎng)主機操作系統(tǒng)版本探測支持防火墻系統(tǒng)的實時監(jiān)控支持實時連接狀態(tài)監(jiān)控支持TCP狀態(tài)統(tǒng)計，能夠詳細統(tǒng)計出TCP連接總數(shù)和ESTABLISHED、LISTEN、SYN-SENT、SYN-RECV、FIN-WAIT、CLOSING、TIME-WAIT、CLOSE-WAIT、LAST-ACK、CLOSED10種狀態(tài)的連接數(shù)數(shù)量及占總TCP連接數(shù)的比例支持實時路由表查看支持當前配置查看支持IP地址沖突檢測支持橋轉(zhuǎn)發(fā)表查看支持中文對象名支持管理員分級管理支持配置向?qū)еС窒到y(tǒng)導入導出配置支持Web界面導出調(diào)試信息功能3網(wǎng)神SecGate3600防火墻企業(yè)級六大特色3.1獨立的SecOS安全協(xié)議棧完全自主知識產(chǎn)權的SecOS實現(xiàn)防火墻的控制層和數(shù)據(jù)轉(zhuǎn)發(fā)層分離，全模塊化設計，實現(xiàn)獨立的安全協(xié)議棧，消除了因操作系統(tǒng)漏洞帶來的安全性問題，以及操作系統(tǒng)升級、維護對防火墻功能的影響。同時也減少了因為硬件平臺的更換帶來的重復開發(fā)問題。由于采用先進的設計理念，使該SecOS具有更高的安全性、開放性、擴展性和可移植性。硬件抽象層硬件抽象層SecOS安全協(xié)議?？刂平涌谂渲霉芾響密浖D3.1網(wǎng)神SecGate3600防火墻企業(yè)級體系架構(gòu)圖3.2獨創(chuàng)的智能高效搜索算法采用獨創(chuàng)的分段直接尋址搜索算法MSDAL（Multi-StageDirectAddressingLookupAlgorithm），解決了傳統(tǒng)防火墻隨著安全策略數(shù)的增加其性能逐漸下降的問題，確保您在大量安全策略數(shù)目情況下仍能獲取最高的網(wǎng)絡性能！3.3深度的網(wǎng)絡行為關聯(lián)分析采用數(shù)據(jù)包內(nèi)容的深度網(wǎng)絡行為關聯(lián)分析技術，讓您不再為各種專有動態(tài)協(xié)議如H.323、等的控制“愁眉不展”！并且增強了您的網(wǎng)絡對于各種DDoS攻擊的防范能力！3.4全面的連接狀態(tài)監(jiān)控和實時阻斷全面的連接狀態(tài)監(jiān)控，讓您及時掌握網(wǎng)絡運行狀態(tài)，配合豐富的連接限制，方便您對迅雷/BT/電驢等P2P應用的控制，以及對感染網(wǎng)絡蠕蟲病毒的主機進行快速定位和實時阻斷！3.5強大的網(wǎng)絡拓撲自適應性適應于各種復雜網(wǎng)絡拓撲，包括透明橋接、路由以及橋和路由完全自適應識別模式。支持VLAN和VLANTRUNK處理；支持多網(wǎng)絡出口的鏈路聚合和策略路由；支持生成樹和每VLAN生成樹協(xié)議（STP/PVST+）和虛擬路由冗余協(xié)議（VRRP），提供全面可靠的二層鏈路備份和三層路由備份。3.6智能便捷的配置向?qū)Ш凸芾矸绞綖榘踩芾韱T提供智能便捷的配置向?qū)?，讓您輕松完成復雜的安全配置！并提供豐富的管理方式，包括本地Console，撥號PPP接入，基于Web（HTTPS）瀏覽器，遠程SSH登錄，以及強大的SecFox集中安全管理方式。4網(wǎng)神SecGate3600防火墻企業(yè)級主要功能介紹4.1自適應的網(wǎng)絡接入模式網(wǎng)神SecGate3600防火墻企業(yè)級支持透明橋接、路由、混合（同時存在透明、路由的自適應接入）接入模式。當工作在透明模式時，網(wǎng)神SecGate3600防火墻企業(yè)級類似于一個網(wǎng)橋，不需要用戶對網(wǎng)絡的拓撲做出任何調(diào)整；當工作在路由模式時，網(wǎng)神SecGate3600防火墻企業(yè)級類似于一個路由器，可以提供策略路由功能；網(wǎng)神SecGate3600防火墻企業(yè)級還可以工作在自適應的混合模式下，即防火墻的不同端口有的在同一網(wǎng)段上（透明），有的在不同網(wǎng)段上（路由），這樣更方便用戶在各種網(wǎng)絡環(huán)境的接入。4.2完善的智能包過濾網(wǎng)神SecGate3600防火墻企業(yè)級根據(jù)數(shù)據(jù)包的源地址、目標地址、協(xié)議類型、源端口、目標端口以及網(wǎng)絡接口等對數(shù)據(jù)包進行訪問控制，而且能夠記錄通過防火墻的連接狀態(tài)，直接對分組里的數(shù)據(jù)進行處理；具有完備的狀態(tài)檢測表追蹤連接會話狀態(tài)，并且結(jié)合前后分組里的關系進行綜合判斷決定是否允許該數(shù)據(jù)包通過，通過連接狀態(tài)進行更迅速更安全的過濾。支持復雜動態(tài)協(xié)議的狀態(tài)包過濾，通過對協(xié)議內(nèi)容的實時分析，動態(tài)開放所需的端口，傳輸結(jié)束后實時關閉端口，確保內(nèi)網(wǎng)安全。4.3強大的抗攻擊能力完全自主開發(fā)的SecOS安全協(xié)議棧，支持對常見攻擊的檢測和阻斷，并可以實現(xiàn)針對ICMP、UDP、TCP的Flood攻擊提交頻度檢查與閾值分析，如針對ICMPFlood完成過濾類型與代碼、頻度、包長檢查，針對UDPFlood完成頻度、包長檢查，針對Synflood完成頻度檢查。針對最常見的SynFlood攻擊，設置了SYNproxy以保護內(nèi)部網(wǎng)絡和防火墻本身免受此類的拒絕服務攻擊，提供高安全性和高可用性。支持對以下攻擊的檢測：TCP端口掃描UDP端口掃描SynFlood攻擊ICMPFlood攻擊UDPFlood攻擊Pingofdeath攻擊Pingsweep攻擊IPspoofingLand攻擊Teardrop攻擊FilterIPsourcerouteoptionWinNuke攻擊Synfragments攻擊SynandFinbitset攻擊NoflagsinTCP攻擊FINwithnoACK攻擊ICMPfragment攻擊LargeICMPIPsourcerouteIPrecordrouteIPsecurityoptionsIPtimestampIPstreamIPbadoptionsUnknownprotocols4.4全面的NAT地址轉(zhuǎn)換支持動態(tài)地址轉(zhuǎn)換，支持地址池，即一對一，一對多，多對多支持靜態(tài)地址轉(zhuǎn)換支持端口轉(zhuǎn)換，支持動態(tài)服務的映射，允許用戶內(nèi)部服務對外開放支持反向IP映射，允許用戶內(nèi)部IP主機對外開放支持雙向地址轉(zhuǎn)換（一般應用于兩邊權限對等網(wǎng)絡中），即源地址和目的地址的同時轉(zhuǎn)換支持基于策略（基于協(xié)議、目的地址）的地址轉(zhuǎn)換4.5豐富的預定義代理和自定義代理網(wǎng)神SecGate3600防火墻企業(yè)級提供豐富的代理功能。預定義代理包括：HTTP代理能夠?qū)ava、JavaScript、ActiveX進行過濾FTP代理能夠?qū)Χ嗑€程、put和get命令過濾SMTP代理能夠?qū)︵]件大小、接收人數(shù)限制，并按關鍵字對郵件主題、郵件正文和附件內(nèi)容、附件名過濾POP3代理能夠?qū)︵]件大小限制，并按關鍵字對郵件主題、附件名過濾支持基于TCP協(xié)議的用戶自定義代理，方便管理員使用4.6獨創(chuàng)的高效安全規(guī)則搜索算法網(wǎng)神SecGate3600防火墻企業(yè)級采用自主設計的分段直接尋址安全規(guī)則搜索算法MSDAL（Multi-StageDirectAddressingLookupAlgorithm），解決了傳統(tǒng)防火墻隨著安全規(guī)則數(shù)的增加，其搜索速率呈線性遞減的問題，確保在大規(guī)則數(shù)情況下以最短的時間匹配到安全規(guī)則。4.7全面靈活的連接限制網(wǎng)神SecGate3600防火墻企業(yè)級提供了四種連接限制：保護主機、保護服務、限制主機、限制服務。連接限制可以保護服務器或服務器上提供的某項服務，限制對服務器過于頻繁的訪問。在規(guī)定的時間內(nèi)，如果某臺主機訪問服務器超過了所限制的次數(shù)，則會對該主機實行阻斷，在阻斷時間段內(nèi)，拒絕其對服務器的所有訪問。也可以應用此功能對使用迅雷/BT/電驢等連接數(shù)目過大嚴重影響網(wǎng)絡流量的用戶加以限制。4.8策略路由和鏈路聚合網(wǎng)神SecGate3600防火墻企業(yè)級除常規(guī)的按目的IP方式的路由功能外，還支持按源IP方式的路由功能和路由負載均衡，支持多出口時鏈路聚合。按源IP方式是根據(jù)源IP地址來決定下一跳地址。路由負載均衡指按照下一跳的權值來自動選擇路由，從而充分利用用戶的帶寬資源，保護用戶投資。另外，還可以支持基于協(xié)議和端口進行源路由選擇。4.9動態(tài)路由支持網(wǎng)神SecGate3600防火墻企業(yè)級具備動態(tài)路由的功能，可以和路由器或路由交換機進行動態(tài)路由互連，甚至替代部分路由器，極大的簡化用戶組網(wǎng)和節(jié)省用戶的整體組網(wǎng)投入支持RIPV1/V2協(xié)議支持OSPF協(xié)議支持路由協(xié)議明文/MD5驗證支持區(qū)域內(nèi)，區(qū)域間路由4.10深度內(nèi)容過濾網(wǎng)神SecGate3600防火墻企業(yè)級具備HTTP、、POP3協(xié)議的內(nèi)容過濾功能，保護終端用戶合法有效地使用各種網(wǎng)絡資源支持對網(wǎng)頁中的java、javascrip、activeX等小程序的過濾支持對郵件的發(fā)收信人地址、人數(shù)、文件大小過濾，及對郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等的關鍵字匹配過濾支持URL過濾，并支持黑/白名單過濾策略4.11深度動態(tài)協(xié)議分析網(wǎng)神SecGate3600防火墻企業(yè)級支持對網(wǎng)絡動態(tài)協(xié)議的深度分析，全面支持H.323、等動態(tài)協(xié)議的過濾。4.12全面的VLAN支持網(wǎng)神SecGate3600防火墻企業(yè)級能夠支持802.1Q封裝協(xié)議；支持VLANTrunk協(xié)議，并可以對Trunk口中的VLANID進行過濾；支持VTP鏈路聚合協(xié)議；支持生成樹協(xié)議STP和每VLAN的生成樹協(xié)議PVST+；在路由模式和橋模塊下均支持VLAN間路由，方便用戶在旁路方式下的接入。4.13用戶認證網(wǎng)神SecGate3600防火墻企業(yè)級提供協(xié)議層用戶認證系統(tǒng)，突破認證的服務種類限制，為包過濾、雙向NAT、代理等訪問控制提供用戶認證功能支持用戶和組管理，支持用戶策略（源IP綁定、可訪問目的IP和服務），支持對用戶帳號的流量控制和時間控制提供與標準的radius服務器（PAP）聯(lián)動的用戶認證提供本地認證庫：提供基于角色的用戶策略，并與安全規(guī)則策略配合完成強訪問控制，支持對用戶帳號的流量控制和時間控制，客戶端可以修改密碼，服務器端檢查用戶在線狀態(tài)，支持PAP和S/Key認證協(xié)議4.14IP/MAC地址綁定網(wǎng)神SecGate3600防火墻企業(yè)級提供IP/MAC地址綁定檢查功能，防止IP地址盜用，可以設置綁定的默認策略，提供IP/MAC對的唯一性檢查。此外還提供地址對與網(wǎng)口的綁定功能，可以及時定位盜用合法IP/MAC地址對的非法用戶。網(wǎng)神SecGate3600防火墻企業(yè)級提供IP/MAC自動探測功能，可以大大減輕管理員手工收集IP/MAC對的工作量。4.15靈活的時間調(diào)度網(wǎng)神SecGate3600防火墻企業(yè)級可設定一次性或周期性的調(diào)度規(guī)則，對安全規(guī)則、用戶安全策略等進行調(diào)度，給安全管理帶來方便。網(wǎng)神SecGate3600防火墻企業(yè)級的系統(tǒng)時間可以設置為與時鐘服務器的時間同步，也可以設置為與管理主機的時間同步。4.16與IDS聯(lián)動網(wǎng)神SecGate3600防火墻企業(yè)級支持與目前市場上大部分主流IDS產(chǎn)品的聯(lián)動。當IDS聯(lián)動產(chǎn)品發(fā)現(xiàn)入侵攻擊行為時，會通知防火墻。如果防火墻相應網(wǎng)口啟用了IDS自動阻斷功能，則防火墻會按IDS通知的阻斷方式、阻斷時間和入侵主機的相關信息，對入侵主機進行阻斷。網(wǎng)神SecGate3600防火墻企業(yè)級阻斷方式包括：對“源IP地址”阻斷對“源IP地址、目的IP地址、目的端口、協(xié)議”阻斷對“源IP地址、目的IP地址、協(xié)議、方向（單向、雙向、反向）”阻斷防火墻阻斷協(xié)議包括：TCP/UDP/ICMP和所有協(xié)議（any）4.17入侵檢測IPS網(wǎng)神SecGate3600防火墻企業(yè)級采用最新的監(jiān)測引擎，高效快速分析算法?？梢约皶r有效的發(fā)現(xiàn)入侵行為并予以阻止；同時提供在線升級功能，提供最新的入侵特征。網(wǎng)神SecGate3600防火墻企業(yè)級可以檢測以下常見入侵類型：AtkrespBackdoorInfoMultimediap2ppornscanviruswebcgiwebcfwebclientwebfpwebiiswebphpwebmisc4.18病毒過濾網(wǎng)神SecGate3600防火墻企業(yè)級采用最新的病毒過濾引擎，有效保護用戶的網(wǎng)絡安全提供16萬種常見病毒庫提供在線升級，實時更新病毒庫可以對：SMTP、POP3進行病毒檢測和過濾4.19流量整形和帶寬管理網(wǎng)神SecGate3600防火墻企業(yè)級采用先進的擁塞控制算法、流量調(diào)度算法以及優(yōu)先級排隊機制，根據(jù)用戶定義的帶寬策略（最大峰值帶寬，最小保證帶寬和優(yōu)先級），動態(tài)實現(xiàn)帶寬分配的實時控制。具有以下特點：最大限制帶寬可以對用戶IP地址、服務等通過防火墻的帶寬進行限制，例如：限制某個用戶對外訪問最大帶寬，或者訪問某種服務的最大帶寬。最小保證帶寬保證網(wǎng)絡中重要服務或者重要用戶的帶寬不被其他服務或者用戶占用，從而保證了重要數(shù)據(jù)優(yōu)先通過網(wǎng)絡。優(yōu)先級控制防火墻可以設定4個優(yōu)先級（0-3），在擁塞情況下，可以進行更加細致的流量控制。4.20完善的DHCP支持支持DHCP客戶端防火墻支持動態(tài)IP，其接口可以動態(tài)地獲得IP地址，方便靈活地接入用戶的網(wǎng)絡環(huán)境。支持DHCPserver防火墻自身可以作為DHCPServer，為網(wǎng)絡中計算機動態(tài)的分配IP地址，從而為企業(yè)的網(wǎng)絡建設節(jié)約投資，同時方便網(wǎng)絡的應用和IP地址的管理。支持DHCPRelay防火墻支持DHCPRelay。放置于DHCPServer和DHCPClient之間，既有效的保護DHCPServer同時便于用戶網(wǎng)絡的部署。4.21雙機熱備和高可用性HA為了保證網(wǎng)絡的高可用性與高可靠性，針對電信級的要求，網(wǎng)神SecGate3600防火墻企業(yè)級提供了雙機熱備份功能，當一臺防火墻發(fā)生意外宕機、網(wǎng)絡故障、硬件故障等情況時，另一臺防火墻自動切換到工作狀態(tài)，從而保證了網(wǎng)絡的正常使用。切換過程不需要人為操作和其他系統(tǒng)的參與，當發(fā)生切換時防火墻上的連接可以透明地、完整地遷移到另一臺防火墻上，用戶不會覺察到。4.22全面的系統(tǒng)監(jiān)控網(wǎng)神SecGate3600防火墻企業(yè)級提供全面