孚日集團(tuán)改造方案書

1、編號(hào) 密級(jí)孚日集團(tuán)股份有限公司網(wǎng)絡(luò)改造方案編 寫 青島友訊通用數(shù)碼有限公司審 核 目 錄一、公司介紹3二、公司現(xiàn)狀31信息安全42網(wǎng)絡(luò)狀態(tài)和上網(wǎng)行為管理43服務(wù)器升級(jí)4三、改造與建議31信息化安全改造411 方案設(shè)計(jì)1912 產(chǎn)品介紹192上網(wǎng)行為管理和流量負(fù)載均衡421 方案設(shè)計(jì)1922 產(chǎn)品介紹193服務(wù)器升級(jí)431 方案設(shè)計(jì)1932 產(chǎn)品介紹19一、公司介紹孚日集團(tuán)股份有限公司是以家用紡織品為主兼營(yíng)農(nóng)藥化工、熱電、光伏等多元化產(chǎn)業(yè)的大型企業(yè)集團(tuán)，是中國(guó)規(guī)模最大、出口金額最多的專業(yè)從事中高檔巾被系列產(chǎn)品、床上用品、裝飾布系列產(chǎn)品生產(chǎn)和銷售的現(xiàn)代化家用紡織品生產(chǎn)廠商。公司股票于2006年11

2、月在深交所上市。 公司現(xiàn)擁有全球一流水平的染色、織造、印花及整理包裝等各類生產(chǎn)設(shè)備，已形成棉紡加工、家用紡織產(chǎn)品制造、國(guó)內(nèi)外銷售一體化的完備產(chǎn)業(yè)鏈，產(chǎn)品通過質(zhì)量、環(huán)境、安全健康等系列國(guó)際認(rèn)證，主要銷往日本、美國(guó)、歐洲等十幾個(gè)國(guó)家和地區(qū)，自1999年以來，公司出口數(shù)量和出口金額一直名列全國(guó)同行業(yè)第一位。公司曾先后榮獲 “全國(guó)出口商品質(zhì)量穩(wěn)定企業(yè)”、“全國(guó)守合同重信用企業(yè)”、“山東省質(zhì)量管理獎(jiǎng)”、“山東省先進(jìn)民營(yíng)企業(yè)”、“山東省高新技術(shù)企業(yè)”等榮譽(yù)。是北京年奧運(yùn)會(huì)家紡類產(chǎn)品的特許生產(chǎn)和零售商。“孚日”商標(biāo)為中國(guó)馳名商標(biāo)；“孚日”牌毛巾系列、裝飾布藝系列產(chǎn)品榮獲“中國(guó)名牌”，并雙雙獲得“國(guó)家質(zhì)量免檢

3、”稱號(hào)；“孚日”牌毛巾系列產(chǎn)品被商務(wù)部評(píng)為“重點(diǎn)培育和發(fā)展的中國(guó)出口名牌”。二、公司現(xiàn)狀1、 信息安全對(duì)電腦用戶權(quán)限未作控制，所有用戶都使用本機(jī)管理員登陸電腦，很多重要文件都是開放式共享，無法制定統(tǒng)一的集團(tuán)管理策略，無法有效管控一些信息敏感部門的機(jī)密資料，員工可以輕易將機(jī)密資料以郵件或者物理拷貝的形式將資料帶出，用于非法用途，使公司蒙受巨大損失。2、 網(wǎng)絡(luò)狀態(tài)和上網(wǎng)行為管理公司內(nèi)部網(wǎng)絡(luò)全部百兆共享到桌面，公司間千兆光纖直連，網(wǎng)絡(luò)比較暢通，但是出口為網(wǎng)通百兆共享，百兆無法滿足公司近千臺(tái)電腦的帶寬需求，造成網(wǎng)絡(luò)緩慢、時(shí)斷時(shí)續(xù)的現(xiàn)象；同時(shí)存在著一些員工上班期間看電影、玩游戲、炒股及瀏覽與工作無關(guān)的網(wǎng)

4、站，造成不良影響；當(dāng)前公司內(nèi)部的網(wǎng)絡(luò)接入無任何限制，任何外來人員都可接入公司網(wǎng)絡(luò)，訪問公司程序，對(duì)公司的數(shù)據(jù)安全造成隱患。3、 服務(wù)器升級(jí)目前公司擁有財(cái)務(wù)物流、人事、銷售、海關(guān)報(bào)關(guān)等10余套應(yīng)用系統(tǒng)，其對(duì)應(yīng)的服務(wù)器都是采購(gòu)04年左右，由于使用站點(diǎn)數(shù)和功能的增加，已不能滿足運(yùn)行要求，如物流系統(tǒng)出現(xiàn)了做一張單據(jù)需要等待10分鐘左右的情況，造成工作效率低下。4、 當(dāng)前公司網(wǎng)絡(luò)使用制度還不完善，出現(xiàn)一些使用和管理上的混亂；部分公司或部門獨(dú)立實(shí)施應(yīng)用系統(tǒng)或增加網(wǎng)絡(luò)設(shè)備，造成系統(tǒng)繁多，不統(tǒng)一。三、建議與改造1. 信息安全改造1.1 方案設(shè)計(jì)1.2 產(chǎn)品介紹2. 上網(wǎng)行為管理和流量負(fù)載均衡2.1 方案設(shè)計(jì)第

5、一， 合理利用VLAN技術(shù);管理好網(wǎng)絡(luò)設(shè)備集團(tuán)總部與工業(yè)園區(qū)之間采用千兆光纖互連，保障了集團(tuán)內(nèi)部網(wǎng)絡(luò)暢通，他們之間通過TRUNK的方式或者直接采用三層路由的方式，就能夠確保數(shù)據(jù)的安全有效傳輸。在局域網(wǎng)中按部門劃分VLAN，就是不同的部門具有不同的訪問權(quán)限，減少不必要的流量充斥在網(wǎng)絡(luò)中，規(guī)避某些部門VLAN，限定他們只能訪問指定的部門VLAN數(shù)據(jù)，或者禁止其連接互連網(wǎng)，這樣做就能夠有效地提高網(wǎng)絡(luò)使用效率，減少數(shù)據(jù)被竊取的機(jī)會(huì)，不僅如此，這樣能夠減少減輕病毒及ARP攻擊的范圍和程度。在對(duì)網(wǎng)絡(luò)進(jìn)行規(guī)劃的過程中，我們一定要考慮到一點(diǎn)，那就是網(wǎng)絡(luò)設(shè)備的可管理和易管理性，由于孚日集團(tuán)擁200臺(tái)左右的網(wǎng)絡(luò)交

6、換設(shè)備，如此之多的網(wǎng)絡(luò)設(shè)置勢(shì)必在管理起來顯得力不從心，基于此，我們?cè)诤笃谶x擇設(shè)備時(shí)應(yīng)該盡量選擇可管理交換機(jī)，比如支持SNMP 管理方式，結(jié)合孚日集團(tuán)實(shí)際情況，實(shí)現(xiàn)核心與匯聚設(shè)備高可管理性，接入設(shè)備由不可管理逐步向可管理逐步更新過度。第二， 加強(qiáng)網(wǎng)絡(luò)行為管理；保障出口帶寬合理使用孚日集團(tuán)網(wǎng)絡(luò)采用的是單一出口結(jié)構(gòu)，即同一臺(tái)設(shè)備連接到一個(gè)ISP供應(yīng)商，所租用線路帶寬是100M光纖線路，使用中不可避免遇到帶寬不夠，網(wǎng)絡(luò)數(shù)據(jù)傳輸延遲大等狀況。一方面（因此）我們要對(duì)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行有效的行為管理，限制某些工作之外的流量通過網(wǎng)絡(luò)，比如：在工作時(shí)間進(jìn)行BT下載，觀看電影，玩網(wǎng)絡(luò)游戲等等，這些行為都能占用大量的

7、網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)堵塞，同時(shí)下載的電影或軟件又可能被病毒所感染，進(jìn)而更加劇了網(wǎng)絡(luò)性能的惡化，造成上網(wǎng)瀏覽網(wǎng)頁速度慢，局域網(wǎng)數(shù)據(jù)傳輸慢等狀況。采用H3C行為管理軟件，能夠有效的監(jiān)控好網(wǎng)絡(luò)，管理好網(wǎng)絡(luò)，將網(wǎng)絡(luò)控制在合理的使用范圍內(nèi)，通過強(qiáng)制性措施就能夠限制用戶使用大部分軟件，對(duì)當(dāng)前大多數(shù)的軟件都具有良好可管理性。另一方面，為了提高網(wǎng)絡(luò)整體帶寬，在原來網(wǎng)絡(luò)的基礎(chǔ)上要再增加一條100M光纖線路，使孚日集團(tuán)有兩條對(duì)外連接的線路，這樣的好處是非常明顯的，增加100M光纖線路不僅能提高內(nèi)部上網(wǎng)的訪問速度，通過結(jié)合9500上的負(fù)載均衡模塊，實(shí)現(xiàn)雙線路負(fù)載均衡的功效，比如：網(wǎng)通線路與電信線路并存，通過負(fù)載均衡模

8、塊，我們就能夠?qū)崿F(xiàn)從網(wǎng)通進(jìn)入的數(shù)據(jù)返回時(shí)還是選擇網(wǎng)通線路，而不是走電信。2.2 產(chǎn)品介紹對(duì)于要接入安全網(wǎng)絡(luò)的用戶，EAD解決方案首先要對(duì)其進(jìn)行身份認(rèn)證，通過身份認(rèn)證的用戶進(jìn)行終端的安全認(rèn)證，根據(jù)網(wǎng)絡(luò)管理員定制的安全策略進(jìn)行包括病毒庫(kù)更新情況、系統(tǒng)補(bǔ)丁安裝情況、軟件的黑白名單、U盤外設(shè)使用情況、軟硬件資產(chǎn)信息等內(nèi)容的安全檢查，根據(jù)檢查的結(jié)果，EAD對(duì)用戶網(wǎng)絡(luò)準(zhǔn)入進(jìn)行授權(quán)和控制。通過安全認(rèn)證后，用戶可以正常使用網(wǎng)絡(luò)，與此同時(shí)，EAD可以對(duì)用戶終端運(yùn)行情況和網(wǎng)絡(luò)使用情況進(jìn)行審計(jì)和監(jiān)控。EAD解決方案對(duì)用戶網(wǎng)絡(luò)準(zhǔn)入的整體認(rèn)證過程如下圖所示：組網(wǎng)模型如下圖所示，EAD組網(wǎng)模型圖中包括智能客戶端、聯(lián)動(dòng)設(shè)備

9、、EAD安全策略服務(wù)器和第三方服務(wù)器。智能客戶端：是指安裝了H3C iNode智能客戶端的用戶接入終端，負(fù)責(zé)身份認(rèn)證的發(fā)起和安全策略的檢查。聯(lián)動(dòng)設(shè)備：是指用戶網(wǎng)絡(luò)中的交換機(jī)、路由器、VPN網(wǎng)關(guān)等設(shè)備。EAD提供了靈活多樣的組網(wǎng)方案，聯(lián)動(dòng)設(shè)備可以根據(jù)需要靈活部署在各層比如網(wǎng)絡(luò)接入層和匯聚層。EAD安全策略服務(wù)器：它要求和聯(lián)動(dòng)設(shè)備路由可達(dá)。負(fù)責(zé)給客戶端下發(fā)安全策略、接收客戶端安全策略檢查結(jié)果并進(jìn)行審核，向聯(lián)動(dòng)設(shè)備發(fā)送網(wǎng)絡(luò)訪問的授權(quán)指令。第三方服務(wù)器：是指補(bǔ)丁服務(wù)器、病毒服務(wù)器和安全代理服務(wù)器等，被部署在隔離區(qū)中。當(dāng)用戶通過身份認(rèn)證但安全認(rèn)證失敗時(shí)，將被隔離到隔離區(qū)，此時(shí)用戶能且僅能訪問隔離區(qū)中的服

10、務(wù)器，通過第三方服務(wù)器進(jìn)行自身安全修復(fù)，直到滿足安全策略要求。終端準(zhǔn)入控制(行為管理)解決方案（EAD）目前，在企業(yè)網(wǎng)絡(luò)中，用戶的終端計(jì)算機(jī)不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁和病毒庫(kù)、私設(shè)代理服務(wù)器、私自訪問外部網(wǎng)絡(luò)、濫用企業(yè)禁用軟件的行為比比皆是，脆弱的用戶終端一旦接入網(wǎng)絡(luò)，就等于給潛在的安全威脅敞開了大門，使安全威脅在更大范圍內(nèi)快速擴(kuò)散，進(jìn)而導(dǎo)致網(wǎng)絡(luò)使用行為的“失控”。保證用戶終端的安全、阻止威脅入侵網(wǎng)絡(luò)，對(duì)用戶的網(wǎng)絡(luò)訪問行為進(jìn)行有效的控制，是保證企業(yè)網(wǎng)絡(luò)安全運(yùn)行的前提，也是目前企業(yè)急需解決的問題。網(wǎng)絡(luò)安全從本質(zhì)上講是管理問題。H3C終端準(zhǔn)入控制（EAD，End user Admission Domina

11、tion）解決方案從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過智能客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，有效地加強(qiáng)了用戶終端的主動(dòng)防御能力，為企業(yè)網(wǎng)絡(luò)管理人員提供了有效、易用的管理工具和手段。EAD特點(diǎn)：全方位準(zhǔn)入控制EAD解決方案提供完善的接入控制，可以支持局域網(wǎng)、廣域網(wǎng)、VPN、無線各種接入方式，支持包括HUB在內(nèi)的各種復(fù)雜網(wǎng)絡(luò)、思科等異構(gòu)網(wǎng)絡(luò)環(huán)境下的部署，保證從任何地點(diǎn)、任何方式下的接入安全。嚴(yán)格的身份認(rèn)證除基于用戶名和密碼的身份認(rèn)證外，EAD還支持支持智能卡、數(shù)字證書

12、認(rèn)證，增強(qiáng)身份認(rèn)證的安全性。同時(shí)，EAD支持多元素綁定，如帳號(hào)、MAC地址、IP地址、所在VLAN、接入設(shè)備IP、接入設(shè)備端口、無線SSID、QinQ等。 完備的安全狀態(tài)評(píng)估根據(jù)管理員配置的安全策略，用戶可以進(jìn)行的安全認(rèn)證檢查包括終端病毒庫(kù)版本檢查、終端補(bǔ)丁檢查、終端安裝的應(yīng)用軟件檢查、代理及撥號(hào)配置、多網(wǎng)卡檢查、注冊(cè)表管理、操作系統(tǒng)密碼管理等； EAD客戶端支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等國(guó)內(nèi)外主流病毒廠商聯(lián)動(dòng)，同時(shí)為了更好的滿足客戶的需求，也支持與微軟SMS、LANDesk、BigFix等業(yè)界高端的桌面安全產(chǎn)品的配合使用。

13、例如已經(jīng)購(gòu)買微軟的桌面管理工具SMS的用戶，EAD可以與SMS配合，由EAD實(shí)現(xiàn)終端用戶的準(zhǔn)入控制，由SMS實(shí)現(xiàn)各種Windows環(huán)境下用戶的桌面管理需求：資產(chǎn)管理、補(bǔ)丁管理、軟件分發(fā)和安裝等?；谟脩舻臏?zhǔn)入控制在用戶終端通過病毒、補(bǔ)丁等安全信息檢查后，EAD可基于用戶的角色，向聯(lián)動(dòng)設(shè)備下發(fā)事先配置的接入控制策略，按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為。終端用戶的所屬VLAN、ACL訪問策略等安全措施均可由管理員統(tǒng)一配置實(shí)施，即使是在HUB環(huán)境，也可區(qū)分不同的用戶并執(zhí)行不同的控制。靈活方便的執(zhí)行模式EAD按照網(wǎng)絡(luò)管理員配置的安全策略區(qū)別對(duì)待不同身份的用戶，定制不同的安全檢查和處理模式，包括監(jiān)控

14、模式、提醒模式、隔離模式和下線模式。用戶可以根據(jù)自己的實(shí)際需要，為VIP客戶、內(nèi)部員工、外來訪客等不同人群，定義不同的安全策略執(zhí)行方式。全面的ARP攻擊防御EAD解決方案通過ARP網(wǎng)關(guān)地址自動(dòng)下發(fā)、自動(dòng)綁定的功能，使終端用戶免受ARP欺騙攻擊的影響，同時(shí)提供了ARP攻擊報(bào)文過濾、ARP異常流量檢測(cè)等控制措施，杜絕惡意用戶的ARP攻擊行為。桌面資產(chǎn)管理EAD解決方案實(shí)現(xiàn)了對(duì)終端資產(chǎn)全方位的監(jiān)控和管理，可以對(duì)終端軟硬件使用情況、變更情況進(jìn)行監(jiān)控，同時(shí)還支持終端資產(chǎn)的配置管理和軟件的統(tǒng)一分發(fā)、遠(yuǎn)程協(xié)助、桌面防火墻管理，幫助客戶更有效地管理企業(yè)的桌面資產(chǎn)。U盤審計(jì)及外設(shè)管理EAD解決方案可以對(duì)U盤和外

15、設(shè)的訪問過程進(jìn)行監(jiān)控，可以查看重要文件通過U盤拷貝時(shí)，有無存在不當(dāng)使用行為。EAD還提供了對(duì)U盤和其他外設(shè)的管理功能，可以對(duì)終端用戶的各種外設(shè)進(jìn)行控制，有效防止重要信息的泄密，而且在離線狀態(tài)下依然生效。易于部署的無客戶端EAD解決方案提供了免安裝的易用部署方式，用戶事先不需要安裝客戶端，上網(wǎng)時(shí)EAD系統(tǒng)會(huì)自動(dòng)載入客戶端，對(duì)用戶身份和終端安全狀態(tài)進(jìn)行檢查，用戶不需要改變上網(wǎng)習(xí)慣的同時(shí)，可以享受EAD帶來的安全保障。多種層次的高可用性EAD解決方案提供了雙機(jī)冷備和雙機(jī)熱備功能，可以避免單臺(tái)EAD服務(wù)器當(dāng)機(jī)引起的認(rèn)證中斷，同時(shí)還支持單機(jī)故障的逃生方案，臨時(shí)允許客戶端不用認(rèn)證就可以使用網(wǎng)絡(luò)，保證了經(jīng)濟(jì)

16、敏感用戶的利益。擴(kuò)展開放的解決方案EAD解決方案為客戶提供了一個(gè)擴(kuò)展、開放的結(jié)構(gòu)框架，最大限度的保護(hù)了用戶已有的投資。EAD廣泛、深入的和國(guó)內(nèi)外防病毒、操作系統(tǒng)、桌面安全等廠商展開合作，融合各家所長(zhǎng)；EAD與第三方認(rèn)證服務(wù)器、聯(lián)動(dòng)設(shè)備等之間的交互基于標(biāo)準(zhǔn)、開放的協(xié)議架構(gòu)和規(guī)范，易于互聯(lián)互通。9500負(fù)載均衡卡： 負(fù)載均衡業(yè)務(wù)模塊外觀產(chǎn)品特點(diǎn)：業(yè)務(wù)模塊強(qiáng)大的硬件平臺(tái)SecBlade LB/SSL VPN/FW/IPS/ACG等業(yè)務(wù)模塊均采用先進(jìn)的多核硬件架構(gòu)，并利用快轉(zhuǎn)技術(shù)，做到一次運(yùn)算多次轉(zhuǎn)發(fā)，實(shí)現(xiàn)了高性能的負(fù)載均衡、安全功能。在高速處理應(yīng)用請(qǐng)求的同時(shí)，交換機(jī)的原有業(yè)務(wù)處理不會(huì)受到任何影響。高

17、效的健康檢測(cè)算法SecBlade LB業(yè)務(wù)模塊支持豐富的健康檢測(cè)算法，可從網(wǎng)絡(luò)層、應(yīng)用層全方位的探測(cè)、檢查服務(wù)器和防火墻的運(yùn)行狀態(tài)。在進(jìn)行健康檢測(cè)時(shí)，采用H3C公司專利NQA（Network Quality Analyzer，網(wǎng)絡(luò)質(zhì)量分析）技術(shù)，確保健康檢測(cè)占用最小的系統(tǒng)資源開銷，從而保證負(fù)載均衡業(yè)務(wù)的性能。健康檢查算法適用于4-7層負(fù)載均衡、鏈路負(fù)載均衡、全局負(fù)載均衡。豐富的負(fù)載均衡調(diào)度算法SecBlade LB業(yè)務(wù)模塊支持豐富的負(fù)載均衡調(diào)度算法，可根據(jù)具體的應(yīng)用場(chǎng)景，采用不同的算法。支持的算法包括：輪詢、加權(quán)輪詢、最少連接、加權(quán)最少連接、隨機(jī)、加權(quán)隨機(jī)、源地址HASH等算法。以上負(fù)載均衡算

18、法適用于4-7層負(fù)載均衡、鏈路負(fù)載均衡和全局負(fù)載均衡。7層負(fù)載均衡還支持特有的HTTP內(nèi)容、RTSP URL算法。4-7層負(fù)載均衡支持豐富的4-7層負(fù)載均衡特性。4層負(fù)載均衡：基于TCP，UDP的各種業(yè)務(wù)應(yīng)用，如HTTP、FTP、POP3、SMTP等業(yè)務(wù)進(jìn)行負(fù)載均衡。7層負(fù)載均衡支持基于HTTP Request-URI、HTTP Host、HTTP User-Agent、HTTP Accept-Language、HTTP Accept-Encoding、HTTP Cookie的分析。支持多種持續(xù)性保持算法：包括HTTP URL、HTTP Coockie、SSLID，并且支持TCP長(zhǎng)連接，確保用

19、戶在處理業(yè)務(wù)時(shí)的連續(xù)性，提高訪問效率。全局負(fù)載均衡支持高效的全局負(fù)載均衡特性。通過各個(gè)負(fù)載均衡交換機(jī)之間的動(dòng)態(tài)協(xié)商以及對(duì)各個(gè)站點(diǎn)服務(wù)器健康狀態(tài)的檢測(cè)，智能的為每個(gè)用戶選擇最優(yōu)的訪問站點(diǎn)，大大提高數(shù)據(jù)傳輸?shù)男?。鏈路?fù)載均衡支持多出口情況下，實(shí)現(xiàn)多鏈路的路由智能選擇。保證企業(yè)網(wǎng)內(nèi)部用戶，選擇最優(yōu)線路訪問Internet。通過對(duì)鏈路狀態(tài)實(shí)時(shí)精確的檢測(cè)，來選擇最適合的調(diào)度算法，包括輪詢、加權(quán)輪詢、最小連接、加權(quán)最小連接、隨機(jī)、加權(quán)隨機(jī)、源地址HASH、目的地址HASH、源地址端口HASH等，確保數(shù)據(jù)流量在各條鏈路上的均衡分配。支持3DNS功能，在多運(yùn)營(yíng)商接入的情況下，為Internet用戶智能選路，

20、通過最優(yōu)線路訪問企業(yè)內(nèi)部服務(wù)器。通過KeepLastHop技術(shù)實(shí)現(xiàn)源地址保持，確保用戶在處理業(yè)務(wù)時(shí)的連續(xù)性，提高訪問的效率。支持豐富的SSL算法支持RSA數(shù)字簽名算法，支持MD5、SHA1摘要算法以及RC4、DES、3DES、AES等加密算法，實(shí)現(xiàn)了對(duì)端到端傳輸數(shù)據(jù)的安全加密。通過SSL加速功能，大大降低了服務(wù)器的處理負(fù)荷，提高整體數(shù)據(jù)訪問速度。全面的安全防護(hù)支持對(duì)DoS/DDoS攻擊、ARP欺騙攻擊、TCP報(bào)文標(biāo)志位不合法攻擊、超大ICMP報(bào)文攻擊、地址/端口掃描、ICMP重定向或不可達(dá)攻擊、Tracert攻擊、帶路由記錄選項(xiàng)IP報(bào)文、Java/ActiveX Blocking和SQL注入攻擊等威脅的防范；可以有效的識(shí)別和控制網(wǎng)絡(luò)中的各種P2P應(yīng)用；支持靜態(tài)和動(dòng)態(tài)黑名單、MAC綁定、安全區(qū)域控制、系統(tǒng)統(tǒng)計(jì)等安全功能。強(qiáng)大的入侵防御能力