吉林钢铁网络安全方案

《吉林钢铁网络安全方案》由会员分享，可在线阅读，更多相关《吉林钢铁网络安全方案（33页珍藏版）》请在装配图网上搜索。

1、 .钢铁网络安全方案一、网络安全整体设计：网络的安全是保障网络系统稳定运行的前提。网络安全也是网络部信息泄漏的主要原因之一。在钢铁厂网络中，包括了生产、办公、财务等众多重要部门，并且提供专网访问与互联网访问。现有的安全设备只有防火墙,为确保各部门信息数据的安全性 和性,现有的这些安全设备还远远不够,还需要增加相应的安全产品，保证网络在受到攻击时网络设备的稳定性，从而提高整个网络的稳定可靠性。基于以上要求提出本方案。钢铁网络整体安全方案根据网络中不同服务功能模块、不同安全级别与管理需求进行划分。共分未4个区块。分别是： 互联网外联区块：负责连接互联网。是对外的出口。并且会放置公共服务器，比如EM

2、AIL、WWW服务器。此区块是安全的重点防护区。根据方案设计，未来的互联网双出口，分别接入到不同的ISP。ISP接入直接连接到防火墙上，防火墙提供SSLVPN功能和正常的安全保护。 骨干网区块： 网管、安全区块： 企业专线区块： 网络终端安全1.1、外联区块： Firewall+IPS+SSLVPN在安全体系中，设计采用双互联网接入方式。在外联区使用Firewall+IPS+SSLVPN、防毒墙、流量控制系统提供整体流量管控、防病毒和防攻击架构。来自外部网络的数据流量，首先经过带有入侵防御功能的防火墙。传统的防火墙只能根据配置的策略来对数据包是否能通过进行判断。具体是根据在数据包中的源IP地址

3、、目的IP地址、协议类型、源端口、目的端口这5个。假设出现了一种新的恶意流量，这种新流量没有在防火墙上部署过，那么防火墙对其没有识别和检测的能力。 因此，防火墙属于被动的安全方式。当事件产生后，通过对防火墙进行设置来解决问题。注意，问题发生后才能发现问题解决问题，已经造成了实际的损失了。 IPS（入侵保护系统）是一种主动安全产品。在IPS中存放了很多攻击签名库，签名就是某种类型攻击的特征码。当有新的攻击信息是，与时更新签名库。这样就可以识别最新的攻击信息并且对恶意流量做出动作。IPS的签名库是根据某种攻击行为的特征码和攻击行为做出响应。如果某种攻击行为使用动态端口，那么在防火墙上使用传统的封锁

4、端口方法没有效果。IPS就可以根据数据包行为的相关性识别出攻击行为，并且做出反映。VPN叫做虚拟专用网络。通过在源端和VPN接入网关之间建立虚拟的点对点的隧道，并且对隧道中的数据流进行高强度加密实现了安全的远程接入。使用3DESAES等加密方式对数据进行高响度加密，就算数据流在传输途中被截获也无法读取具体的数据容。同时使用MD5SHA-1等单向散列算法，在数据传输过程中，密钥对并不进行传输，在接收端，根据密钥算法对数据进散列运算对比其运算结果，来判断数据是否被修改过。如果数据被修改过，拒收数据。这样就算数据被修改过，也能识别出来。散列算法的特点是在发起端和接入网关端对数据都是进行正向算法，所以

5、不可破解。是最安全的算法。SSLVPN是现在最流行的VPN接入方式，其特点是不需要安装任何客户端。只要能够使用浏览器，不管在什么位置都可以通过VPN访问公司网。 DMZ策略：同时在防火墙DMZ区域放置公共服务器。对DMZ中的流量进行严格的权限设定。安全级别的设定规定部接口安全级别最高，DMZ接口的安全级别中等，外部接口的安全级别最低。根据信任关系，级别低的接口信任级别高的接口，级别高的接口不信任级别低的接口。这样，部到外部的数据都是允许的，外部到DMZ和部的数据不被信任。其结果是：1、由部或DMZ发起到外部的数据总是允许。2、外部发起的到部的数据总是被阻止。3、外部发起到DMZ的某些数据被允许

6、，因为在DMZ中放置的是对外的公共服务器。4、由部或DMZ发起的到外部的数据流，其返回包被允许从外部接口进入，外部不能发起到部或DMZ的请求。4、由部发起到DMZ的数据流其返回包可以进入部，由DMZ发起到部的信息被拦截。这样设计是因为外部可以访问DMZ。如果DMZ中的服务器被外来的黑客攻占，也只能破坏公共服务器本身系统，不能通过DMZ中的主机跳转到部。绝对保证网的安全。 防毒墙：众所周之，没有任何杀毒软件能完全阻止病毒的进入，并且现在有很多免杀工具可以欺骗杀毒软件或者杀掉杀毒软件的进程。如果遇到这样的病毒或者木马，计算机上的杀毒软件就没有用武之地了。硬件防毒网关的好处是直接在出口上对数据进行过

7、滤，有安全威胁的数据在网络层面被直接丢弃，不会转发到部。只有防毒网关不能识别的极少数病毒才能进入部。这些病毒又会遇到杀毒软件的再次查杀。这样整个网络的防毒体系就更加强壮。从多个方面保证免受病毒的入侵。需要强调的是，计算机的杀毒软件和防毒网关应该选用不同的产品。因为不同的产品有不同的病毒特征库，而不同的特征库可以互补，强化了病毒防护的等级。 流控网关：现在互联网中P2P的流量占据了绝大部分的流量。P2P的特征是多个客户之间彼此进行资源共享，直接从对等的客户之间获取数据，并且现在众多的P2P软件都使用动态端口。所以不能用传统的拦截端口、IP地址的方法来封锁。要对P2P流量进行限制，就只能通过应用特

8、征识别的方式来实现。现在国外很多厂商都推出了专用的流量控制网关。根据P2P协议的特征码来识别并进行阻断或限速。并且此类产品还能够识别游戏、在线视频、股票等各种非工作流量，保证在工作时间只能通过与工作相关的流量。并根据业务的重要程度对数据流进行分类，保证关键业务和视频会议这样的对延迟敏感的数据得到足够的服务。 专用的网络基础设施：因为外联区块是企业网和外部网络的接口，所以这个区域的安全策略一定要非常严格。所以此区块的设备不能直接接入到部的骨干交换机。采用2台专用的外联交换机连接所有的外联设备。这2台交换机要支持比较多的安全策略。并且在相连接的骨干交换机的端口进行严格的安全策略限制。 外联区综述：

9、结合上述的部署，在外联区采用了FW+IPS+SSLVPN+防毒墙+流控墙+专用的路由器防火墙的连接方式。不同的安全设备专注不同的安全领域。同时又遵从统一的安全策略设计。通过这样的设计，来自与外部的数据的安全性得到了保证。防止病毒也攻击流量“并从口入”。1.2、网络核心：在H3C9500主交换上，使用旁路模式连接IPS系统，采集全网流量信息，分析整个网络的网络攻击信息。钢铁设计使用10G骨干，若IPS采用inline模式，就得选用支持10G的IPS产品，价格非常昂贵。根基整体方案设计，在专线、互联网处都使用了防火墙、防毒墙、流控墙等产品，在终端部署EAD对终端进行准入控制，并限制终端电脑上运行的

10、软件，因此网的流量相对比较安全。所以采用bypass方式的IPS，只对网络中的流量进行分析检测，如果发现入侵信息，采取的措施是与其他安全设备联动，或者发送信息给网络管理人员，与时做出策略。并且使用H3C A1000安全管理器，对IPS提交的信息进行智能分类、分析，形成攻击报告，并提供安全隐患处理手段报告。IPS采集的信息量非常庞大，并且不能对各种信息进行分类。这就产生了一个问题：网络管理人员面对IPS发来的数万条的log信息很难一一查看，并且要在其中找出事件的相关信息也如同大海捞针。SecPath A1000安全分析产品可以对IPS发来的信息进行分析、归类、并且进行过滤。首先从数以万计的信息中

11、排除误报等情况，筛选出来有价值的信息。接着基事件的攻击特点和影响程度分成不同的安全级别不同的攻击类型。然后记录该事件，并且找出事件的相关性。例如A登陆到B上攻击了C，这样的攻击路径也会被记载，提交到网络管理中心，并且还会提出排除问题的方法。1.3、服务器、网管区块服务器区块和网管中心区块使用10GE连接到主交换上。这两个区块是整个网络安全重要保护点，要绝对保证这部分网络服务的持续性和安全性。但是10G的防火墙价格与其昂贵，因此建议在H3C S9500主交换上使用防火墙模块来对网流量进行全面的安全管理。重点在于保护服务器区块免受攻击，保护网络安全管理中心免受攻击。（此模块在H3C整体网络方案中没

12、有提供，建议合同变更时添加此模块）。1.4 企业专线从到明城、的专线，使用H3C UTM（统一威胁管理，包含杀毒、防火墙、入侵检测功能）来防止恶意流量通过企业部专线在、明城之间传播。保证网流量纯净。或明城都有安全体系，并且都属于部网络，相对来讲属于信任区域。但是也要防止或病毒爆发或者客户机中毒发动攻击等情况对钢铁网的威胁。UTM相当于把防火墙、IPS、防毒网关集成到一个设备上。与单独的防火墙、IPS、防毒墙相比，UTM只是性能较若。但是网的流量不是很大，并且流量类型相对外网比不复杂。所以整体方案中选择了H3C的UTM产品。1.5 终端安全端点准入：网安全问题近来日益成为网络安全的重点防护对象。

13、有了防火墙、防毒墙、IPS等产品在出口把守，一般来自于外部的攻击流量不容易流入。而网中中毒的计算机可能带来更多的威胁。因此终端准入系统发挥着越来越重要的作用。终端准入系统可以根基终端计算机的健康状态，来决定是否准许用户接入到网络中。可以检查的信息包括：用户是否安装了指定的杀毒软件、杀毒软件的版本是否更新到最新、操作系统是否已经打了最新的补丁、计算机是否安装了不被允许的软件。如果发现用户有违反健康状态的情况，那么交换机等网络设备会自动把用户放置到隔离区，并且帮助终端计算机更新各种补丁升级包。当终端计算机恢复健康状态，就可以重新接入到网络。这样，避免了一台终端出现问题之后波与到其他的地方。隔离区就

14、相当于重病看护病房。出现健康问题的计算机只能在这里互相传染。并且这种隔离的行为都是自动的。目前我们选择的是H3C EAD终端准入系统。此系统具有软件黑白管理功能。通过这一功能，如果发现用户终端计算机上安装了禁止使用的软件，比如迅雷、BT、股票软件，用户的计算机会自动断网。如果用户的杀毒软件被恶意程序破坏，或者没有更新重要补丁，也会被自动断网。 防毒软件：终端防毒体系对于企业的计算机网络稳定运行意义重大。在大型企业部署中，应该使用网络版杀毒。设计思想要以防毒为主。防毒软件和防毒网关要使用不同病毒库的产品，这样可以有双重的保障。同时要能够和端点准入系统良好的联动，保证终端计算机处于健康的状态。 软

15、件分发、补丁管理：SCCM，微软系统管理中心。可以支持定义策略的补丁管理。并且具有软件分发能力。所有安装SCCM客户端的终端机都，如果需要批量安装、卸载某软件，都可以通过SCCM来实施。这样可以保证整个公司终端机使用的软件统一。 并且具有资产管理功能，可以收集终端计算机的软件、硬件列表，实现计算机资产管理功能，并能跟踪终端计算机的软硬件变更。同时可以形成终端计算机软件使用率分析报告，据此我们可以分析用户最常用的软件是什么。二、网络安全现状介：2.1、目前运行情况钢铁目前已经初具规模，然而安全建设一直没有做过投入。随着用户数量的增多，对网络安全和网络管理提出了更高的要求。目前网络设备极度匮乏已经

16、造成了很多问题，包括病毒爆发，木马横行。因此急需网络安全设备，来保证钢铁网络的良好运行。2.2、设备现状和需求网络整体设计方案中已经包含了H3C的IDS（入侵检测系统）、UTM（统一威胁管理）、H3C IMC（认证管理系统纯软件）、FW SSLVPN、H3C EAD（端点接入检测）部分。根据整体安全架构，仍然缺少终端防毒系统、硬件防毒网关、流量控制系统、补丁管理系统、用户认证网关。这些部分目前需求迫切。其中H3C SSLVPN防火墙虽然在网络整体设计方案中，但是此产品目前已经投入使用，需要购买。序号种类功能H3C方案是否包含是否建议采购1外网防火墙全网保护YY2SSLVPN提供SSLVPN接入

17、YY3认证软件用户数据库YN4UTM企业专线防护YN5端点管控EAD终端接入网络控制YN6IDS/IPS主动入侵检测、保护YN7监控分析响应智能攻击分析系统YN8S9500防火墙模块主交换上的防火墙模块YN9防毒墙硬件防毒网关NY10杀毒软件网络版防毒软件NY11补丁管理所有用户补丁升级管理NY12流量控制限制互联网流量NY13服务器硬件防毒、认证、端点准入硬件平台NY14认证网关互联网认证网关NY另外，H3C已经提供了EAD软件包，但是由于没有H3C交换机，因此没有成规模的测试EAD的使用效果以与其性能。因此，建议采购少数几台H3C交换机，在真正上线之前，在实际环境中测试EAD的使用效果。因

18、为如果有问题，正式上线后才发现影响就太严重了。以上建议采购的产品列表是根据钢铁目前环境，并结合最终系统上线的情况分析，给出的建议。请领导批示。三、曾作过的测试与结果3.1、流量控制系统 城市热点：2008年5月-2008年10月测试。经过测试，发现能够识别大部分常用的网络流量。操作界面简洁。当时公司共有300多台PC，都可以访问互联网。使用后效果很明显。产品型号：DR P2P-1000M产品规格：2个千兆以太网电口，最大吞吐量1G, 产品特点： 基于用户的P2P限流；区别于单纯的限制一个通道中各种流量，能够针对每个用户的P2P业务流量进行带宽控制 升级容易；P2P应用层出不穷，而对P2P的包的

19、识别是基于应用层的，没有固定的规律，城市热点的接入服务器可以随时通过升级核来处理影响流量的P2P应用，将来可以采用类似升级病毒库的方式来升级P2P的描述库。 易于扩展；接入服务器的网络位置比较合理：每台处理的用户数一般在1000-8000个水平，100M1G的网络带宽，扩容只需要增加接入服务器，实现横向升级，如果放在接入层交换机，升级的数量较大，放在核心层交换机，升级的成本过高，放在出口路由，单台处理能力无法满足。所以，将P2P限流功能放在接入服务器是性价比最高的方式。这当然也是要接入服务器的性能作为保障。 防BT协议端口：Dr 的BT协议控制，包含针对BT通用端口的限制，用户如果无须完全杜绝

20、BT下载，而只需要屏蔽大部分BT通用端口 限制BT下载的TCP/UDP会话数：Dr 的BT协议控制，可以通过限制每个用户的TCP/UDP会话数，用户如果无须完全杜绝BT下载，那限制TCP/UDP会话数，从而在一定程度上限制每个用户的BT软件的连接数。 限制P2P流量控制（BT）下载的上下行带宽： Dr 的P2P流量控制，可以根据不同的组用户和不同的时间段，分别限制每个用户的上下行带宽，用户如果无须完全杜绝BT下载，那限制上下行带宽，从而限制每个用户的P2P流量控制下载的速率。 网康：2008年10月-2008年11月测试。识别率和管控率对比城市热点效果差一些。操作界面简洁，支持常见非法URL过

21、滤。对网页访问速度不能提供很好的保证。网络接近峰值运行。 产品型号：NS15000 产品规格：4个千兆以太网电接口，最大吞吐量1G 产品特点： 采用融合的深度包检测和动态流识别（DPI+DFI）技术，通过协议特征、流量特征以与行为模式识别技术，精确识别网络应用，包括各种加密协议 协议特征库，超过240种应用，全面覆盖电子、P2P下载、即时消息、VoIP、网络视频、网络游戏等流行应用。 流量监管与整形技术，实现流量控制精度1kbps 采用“多维非线性策略管理”引擎，提高策略匹配的效率与灵活性，支持2万条策略规则。 基于用户、应用、时间、数据流向（上传/下载）等条件，设置灵活的策略组合，实现按照每

22、用户/每部门、每应用设置差异化的流量控制策略 提供应用封堵、流量整形、流量限额、连接限制等多种手段，实现流量控制的多种效果 支持带宽借用/还贷机制，并根据用户数量的变化动态调整带宽分配，保障带宽资源高效与公平利用 硬件设备支持断电物理直通，避免电源失效导致的网络中断 一键式旁路切换技术，主动调整网络负载 软件死锁与高负载自动跳转技术，根据预设阈值自动分流高负载流量 系统软件热备，当主控制系统发生异常后，备份系统可保持系统继续运转 H3C ACG：2008年12月初-至今在测试使用。识别率和管控率很好。产品设计专业。配合PFC（无电源连接器）可以实现硬件级故障bypass。功能丰富，操作界面清晰

23、明确。产品型号：ACG2000-M产品规格：6个千兆以太网电接口，最大吞吐量2G产品特点： 通过的状态机检测技术，能精确检测BitTorrent、Thunder（迅雷）、eMule、eDonkey、MSN、PPLive等近百种P2P/IM应用。同时，可基于时间、用户、区域、应用协议，对P2P/IM应用进行告警、限速、干扰或阻断。 可对各种P2P/IM、网络游戏、网络多媒体、文件共享、收发、数据传输等各种上网行为提供全方面的行为监控和记录；同时，通过综合分析、检测用户网络流量与流向趋势，事后对历史数据进行分析。 通过自定义IP地址、主机名、正则表达式等方式设置URL特征库，支持根据不同的URL策

24、略设置不同的响应方式，支持根据时间表对不同的URL策略设置不同的响应动作，避免信息的外泄，免受非法信息的干扰。 提供业务流量趋势图、流量分布图、Top N用户列表、Top N应用协议列表等报表，并支持按照用户名/用户组、使用频度、使用时段、应用分类、应用协议、流量大小等进行多维度组合定制报表，使用户能全面掌握网络中的流量、应用和业务分布。 支持对Skype、H.323、SIP、中桥、UUCall等近百种协议或网关的呼叫识别、阻断或干扰。 采用业界流行的ID轨迹检测技术、时钟偏移检测技术，结合多种应用层特征检测技术如应用特征检测、流量/连接数统计、TTL检测、MAC地址检测等，能实时准确的识别出

25、以NAT、Proxy方式进行共享接入的用户以与准确的PC数量，并实施告警、阻断等控制措施。 采用先进的技术分析手段，全面分析网络应用的流量类型和流量流向趋势，统计网络热点，发掘业务增长点；分析用户行为。 同时，能对网络多媒体、网络游戏、炒股等应用进行识别与控制，通过URL过滤、关键字过滤、容过滤等多种Internet访问控制策略，规网用户上网行为。 基于新一代多核CPU+FPGA硬件架构，业务与转发相分离，实现了千兆级线速业务处理能力；通过双电源冗余、掉电保护、二层回退等高可靠性设计，保证SecPath ACG在断电、软硬件故障或链路故障的情况下，网络链路仍然畅通。 对应用协议特征库与时更新；

26、支持在线自动/手动升级方式，升级过程无需重启系统，不影响系统业务运行。从测试效果来看，H3C ACG的效果较好。3.2、防毒墙 趋势IWSA：使用趋势病毒库。识别率和拦截率不错，能够支持恶意URL拦截，对网络性能没有影响。已完成测试报告。产品型号：IWSA-2500-L产品规格：2个千兆以太网电口，使用趋势科技病毒库产品特点： 提供零日攻击防护 无需本地更新 连接层阻止，节省带宽 针对 和FTP流量中的各种新型威胁进行防护 拦截间谍软件的回拨 (Phone-home) 企图，阻止间谍软件下载 阻止恶意程序通过即时通信程序进行扩散 阻止访问与间谍软件或网络钓鱼有关的 发现网络节点有Web威胁相关

27、的活动时自动启动远程损害清除服务 凭借灵活的策略和完整的间谍软件数据库实施URL过滤 采用Web信誉技术（WRT）对网页进行实时分类，实现安全访问 通过分析和验证ActiveX&Java Applet中含有的威胁来阻止插件安装式攻击 控制员工对不适当的访问。 即插即防 优化的操作系统降低安全风险 控管中心TMCM集中管理 状态一览提供详细连接、资源占用状况 可实时或定时生成日志报表 支持SNMP、LDAP和Active Directory，实现紧密集成，降低拥有成本 CPsecure：采用卡巴斯基和CPSECURE双扫描引擎和病毒库。先后测试了2款产品，第一款由于性能不足，导致网络运行缓慢。后

28、联系厂家协调，更换了性能更好的产品，使用中没有再出现问题，病毒识别率拦截率好。已完成测试报告。CPsecure公司已经被收购。产品后续升级存在问题。产品型号：CP Secure CSG-1000+产品规格：2个千兆以太网电口，采用卡巴斯基和CPSECURE双扫描引擎和病毒库产品特点： CP Secure的容安全网关采用了与传统的随机存取算法(Batch-based Scanning)不同的扫描技术:串流扫描算法(Stream-based Scanning),该算法可以在获得很高的吞吐率的同时大大减少网络延迟和超时的问题 CSG安全网关拦截和扫描 ，FTP，SMTP，POP3，IMAP4和 S等

29、六大通讯协议以检测恶意软件。管理员可以开启或关闭对每种协议的扫描 对于 和FTP信息的扫描，可阻止恶意容不到达用户处 CSG安全网关也可以检测出对网络性能影响严重的蠕虫攻击行为。CSG通过监听蠕虫传播常用的端口以外，还可通过用户自定义端口进行监听，这样CSG就可以拦截蠕虫传播的途径，这样不仅可以保护网络中个人PC/服务器的安全，也可以减少网络中不必要的流量 CSG的Anti-Spam功能由五部分组成:白，黑，RBL,灰，启发式扫描 天融信：使用卡巴斯基病毒库，病毒识别率拦截率好。使用后对网络性能没有不良影响。已完成测试报告。产品型号：TF-8423-Virus产品规格：最大配置5个接口，包括2

30、个千兆电接口，2个SFP插槽,1个百兆电接口,带硬件的BYPASS功能，采用卡巴斯基病毒库产品特点： 单或双通道的病毒过滤：在过滤网关部采用创新的技术可使用户选择单或双通道的病毒扫描通道。当配置成双通道，两条通道之间相互隔离，增加了产品的可扩展性； 流扫瞄技术：运用流扫瞄技术的实时扫瞄优势，充分发挥网络效能，可抵御病毒(Virus)、蠕虫(Worm)、垃圾(Spam)、广告软件(Adware)、间谍软件(Spyware)、木马程序与其他恶意程序的入侵； 全面的协议保护：过滤网关对SMTP、POP3、IMAP、 和FTP等应用协议进行病毒扫描和过滤，有效地防止可能的病毒威胁； 嵌的容过滤功能：过

31、滤网关支持对数据容进行检查，可以采用关键字过滤，URL过滤等方式来阻止非法数据进入企业网络，同时支持对Java等小程序进行过滤等，防止可能的恶意代码进入企业网络； 防垃圾功能：过滤网关采用黑技术实时检测垃圾并阻止其进入网络，节省宝贵的带宽，同时支持灰和启发式扫描的反垃圾的算法来进行垃圾防御； 防蠕虫攻击：过滤网关可以实时检测到日益泛滥的蠕虫攻击，并对其进行实时阻断，防止企业网络因遭受蠕虫攻击而陷于瘫痪； 报警功能：报警配置用于当某个病毒突然爆发时，网络卫士防病毒网关可向网络管理员发送报警信息； 网关构建在高性能的硬件平台上，实现过滤网关的高可靠性，过滤网关可以实现双机热备，完全满足关键业务的安

32、全运行需求； 监控功能：防病毒网关提供的监控功能，可以监控过滤网关系统资源、网络流量、当前会话数、当前病毒扫描信息等，极方便管理员对过滤网关进行监控；从测试效果来看，CPsecure和天融信的效果较好。3.3、互联网认证网关 城市热点认证网关：刚实施上网管控时使用此产品。能够支持客户端认证和IE触发认证。可以使用外部AAA服务器。效果较好。和CISCO认证数据库的兼容效果一般，厂家工程师解释如果购买可以提供二次开发服务。能支持单用户带宽限制产品型号：DR BMG-1000产品规格：1000并发，3个100/1000兆电口产品特点： 支持桥接方式和路由方式，地址转换（NAT）策略，可设置透明，部

33、分透明，和NAT模式； 支持外网端口映射策略地址映射策略； DHCP策略，可设置多段DHCP网段、租用时间、支持32个DHCP地址池，以与可以实时查询DHCP分配的地址状态，支持根据VLAN分配DHCP池； 目标地址的分类策略，将目标地址可以定义多个组，例如国地址组，国际地址组； 源地址控制策略，指定围的IP地址才能登录； TCP/UDP 端口控制策略； 客户端封装策略，对访问指定的目标地址不做网络标记； 网关部的用户资料的查询； 支持按地区组，计费组的管理 权限设置，管理分级授权，分为运维、营帐、超级管理员等级别，并可单独设置不同的操作权限； 支持telnet功能，可二次telnet网设备

34、支持远程管理，可使用专用软件进行远程管理 支持认证方式包括：Dr 客户端，Web，PPPoE，PPTP，802.1x等认证方式； 两种认证模式：账号密码认证和免账号认证（专线方式和直通方式）； 可实现基于用户名和密码的身份认证，可以透过三层网络绑定用户的IP、MAC、VLAN等重要网元信息； 支持最高16000个用户的部资料，单台支持最高16000个同时在线用 作为Radius Clint，外部认证支持标准Radius 和多个厂家的扩展属性，并支持基于LDAP的外部认证；并支持一主一备的外部Radius服务器，并可以实现Radius Cache的功能； 在做Radius Clint的同时，可以

35、作为Radius Server，为其它接入设备提供认证； 多台网关的之间的关联认证和同步，对于多个出口的情况，一次认证就可以通过各个网关； 支持网关与802.1x交换机的同步认证，一次认证可以同时登录网和外 支持基于Dr 客户端、802.1x客户端和PPPoE客户端的防私接功 可授予控制用户上下行带宽，精度为8kBit/S； 可授予用户不同的目标地址的访问权限和带宽，精度为8kBit/S； 基于用户组实现对P2P应用程序的带宽授权；包括TCP和UDP包的限制，精度为8kBit/S； 基于用户所在的计费组，可授予该组用户的控制策略：包括可以上网的时段，可以访问目标地址分组，可以登录的源地址，可以

36、使用的TCP/UDP 端口，是否允许使用代理，登录成功后的重定向页面； 有效防恶意用户的SYNFLOOD、DDos攻击和大量模拟WEB请求猜测密码的攻击； 高效率的纪录用户的登录和访问纪录； 在线用户资料实时显示，并可以通过客户端向用户发送信息； 支持SNMP MIBII，用于查看设备状态； 与其它的网络安全设备，例如防火墙、IDS等设备配合，实现基于用户的安全监控； 通过客户端与防病毒客户端或其它安全客户端联动，实现网络防御； 深澜认证计费系统：国著名的认证计费系统。能够支持客户端认证和IE触发认证。经与厂家咨询，和外部AAA服务器兼容性好。能支持单用户带宽限制。具有简单的流量控制功能（能管

37、控P2P流量）。产品型号：SRUN2000 产品规格：1000并发，5个100/1000兆电口产品特点： 支持多种接入认证模式：Radius（AAA认证）、WEB、DHCP+、VLAN ID、802.1x，专用客户端等;支持桥接、路由、nat地址转换等接入方式，支持集中式或分布式系统结构，支持无线网关了，可以作为AC控制器； 多出口路由：支持多路由出口接入Internet，支持目标地址路由、策略路由，接入模式可以是网关方式，也可以是网桥模式，使用非常灵活； DHCP服务：支持网dhcp服务,并且支持多路dhcp分发； 安全控制功能：全面的包过滤和状态检测防火墙。系统采用防火墙级的安全核,可以根

38、据协议,源地址,目的地址,端口,tcp 选项等进行包过滤,支持tcp,udp,icmp等协议的状态检测,可阻挡目前各种流行的攻击方式。核专有优化算法，突破传统包过滤状态防火墙用户认证效率，最高可支持同时在线人数65000； SNAT和DNAT：支持源地址（池）转换(SNAT俗称nat地址转化)、目的地址池转换(DNAT,也称地址映射).目的 端口转化（也称端口映射）。 DDOS攻击防：自身具备防止DDOS攻击的能力，会对攻击自身的ddos进行自我防，保证系统自身安全； 通过端口过滤和最大数限制可以有效的防止病毒泛滥导致网络效率下降,具备对未知网络蠕虫病毒的预先防能力； 基于用户账号的p2p(b

39、t)软件控制功能，保证网络畅通、快速； 带宽控制，可以根据用户,IP地址等分配用户网络上下行带宽 ,对于用户的FTP,BT,视频点播等暂用大量带宽的应用可以限制最高速率； 支持各种计费,支持包月或者按照时间,流量等多种计费方式,支持费用封顶,最低消费等,可以自定义公式进行计费；支持先交费后使用，同时也支持先使用后交费； 智能代理监控控制：可以智能的判断用户使用代理的情况，对于大量用户使用同一通过代理上网的行为，可智能查封、解除查封该类用户； 容智能过滤：可以对地址，网页容进行智能过滤； 用户行为管理功能：支持全面的用户访问日志记录功能,监控网用户上网行为，以备在需要的时候进行日志查询。支持任意

40、长时间的日志记录 ,适合记录大量的日志； 实时监控功能：可以实时查看当前在线的用户,以与用户当前的动作等功能,可以查看系统状态如cpu,存占用,资源占用,网络状态如:实时带宽显示、路由表、ARP表、用户连接数、连线状态等功能； 用户认证功能：同时支持web、客户端的认证，丰富用户认证习惯选择，对于不同的用户支持不同的认证方式。可以采取ip+mac+账号绑定,也支持免认证方式的计费等方式； 用户管理功能: 支持用户分组管理、具备有完备的用户管理功能.可以对需要认证的用户进行动态修改，销户，删除。并可实时断开用户的访问。支持大量用户的初始化，随机产生用户名，密码。用户与时状态显示等。 分级式管理：

41、对用户可设置多种管理级别，支持多管理员、多收费员。 用户自助服务：支持用户web查询上网时间、流量、结帐、费用等上网相关数据； 网页重定向功能：在用户尚未认证之前，可以把所有用户的网页访问请求重定向要指定的页面。也可重定向自定义认证页面； 支持802.1q协议，能适应cisco、3com、bay等各种支持802.1Q协议的交换机； 其他功能：ip-mac地址绑定功能,备份与恢复配置功能；3.4、防病毒软件 趋势OfficeScan 8.0网络版：以防为主。策略相对复杂。支持分布式部署。支持集中管控，管理功能强，通过管理控制台可对所有客户端统一部署防毒策略、统一更新病毒码、统一杀毒。并且可以统计

42、出在网络中排名前10名的病毒感染者和病毒感染源。占用系统资源较低。测试过和Cisco NAC联动。H3C官方资料EAD能和趋势联动。因为没有H3C交换机，所以H3C EAD的测试没有做。产品型号：OfficeScan 8.0（客户端防护）ServerProtect5.58（服务器防护）产品特点： 集中的Web管理界面：可以方便地通过任一浏览器随时掌握全网防毒状况，对防毒策略进行调整，对防毒日志进行审计； 安全漏洞防护：通过与CISCO NAC设备联动，对没有安装officescan客户端或者防病毒组件升级不正常的客户端，NAC设备可以阻止这些客户机进入网络。 支持病毒爆发阻止策略：有效控制病毒

43、扩散； 应用层、网络层双层防护：OfficeScan同时采用文件型病毒代码和网络型病毒代码分别基于应用层和网络层进行病毒实时清除； 集成网络版防火墙/IDS： 集成专杀工具：病毒专杀工具和客户端防病毒软件无缝集成，专杀工具的扫描引擎和病毒码可以自动更新，并且每一个病毒都有特定的专杀工具； 可抵御间谍软件和其他灰色软件的侵害； 病毒爆发监控：“病毒爆发监控”可以用来监控网络上有感染迹象的可疑活动； 严格的权限控制：对客户端的配置权限、退出权限、卸载权限进行严格限定； 可调整的扫描资源占用：为减少文件扫描对客户机 CPU 资源的需求，可手动调整扫描资源占用情况和一个文件与下一个文件之间的等待时间，

44、降低扫描行为对其它应用系统的影响； 增量更新：对于其病毒码文件与防毒墙网络版服务器上最新版本相差不超过七个版本的防毒墙网络版客户机，可以通过增量方式更新其病毒码文件，而非更新整个病毒码文件； 更新代理设置：通过设定网络中任意计算机做为病毒码更新源，将其它计算机指定到该计算机更新，以节省网络带宽； 检测为安装防病毒软件的计算机：支持网络扫描侦测尚未安装OfficeScan的用户机,杜绝防毒漏洞； 定位病毒传染源：管理控制台自动生成网络中病毒传染源排行榜，并能给传染源机器发出提示信息； 查杀和无线支持：支持对POP3和Outlook文件的直接扫描，同时支持保护PDA等无线设备； 支持多种Web S

45、erver: IIS 和 Apache 支持64位平台：防毒墙网络版支持使用 64位处理器体系结构的 Windows XP/Server 2003 计算机； 统计信息：管理控制台自动生成丰富的统计报表，如传染源排行榜、中毒客户机排行榜、病毒排行榜、病毒清除率、更新率、在线率等等病毒信息； 数据库管理：支持将纪录数据导入SQL服务器方便数据分析与管理 灵活的客户端迁移：支持在客户端可以在不同的OfficeScan服务器中转移,不需重新安装； 大版本升级：大版本升级只需在服务端运行升级程序后，每个客户端就可以迅速获得最新版本，不需要重新部署； 赛门铁克网络版：以防为主。策略相对复杂，设置过高时会影

46、响系统使用。管理功能一般，通过控制台可统一部署防毒策略、统一更新病毒码。杀毒效果还可以。可以和NAC和EAD联动。产品型号：Symantec网络版11.0产品特点： 从一个管理控制台提供高级病毒防护和监视； 实时扫描功能可以自动检测并删除企图在计算机上运行或安装的间谍软件； 通过一个控制台提供基于Web的集成图形报告和集中式管理； 间谍软件修复功能，有助于防入侵风险。 Symantec采取主动防护技术，包括“行为阻截”技术、Seeker、数字免疫技术、NAVEX、bloodHond技术等技术； 每天都进行最新病毒定义的更新； 提供易用的管理功能 ； 服务器扩展方便，不需要客户端更改服务器地址（

47、当服务器容量不够需要扩容时，只需增加服务器数量，然后将原服务器上的客户端通过拖拽的方式拖到新增服务器下即可完成客户端父服务器的切换）。 提供方便的安装方式，用户可以直接从IE上点击下载一个安装文件，然后安装程序自动运行安装； 安装在客户端的防病毒系统可以配置为后台运行，所有的防病毒操作都可以自动运行； 集成报告系统，可以使用该系统快速、轻松地查看事件和配置，并配置警报； SSL通讯和数字证书，管理平台、服务器、客户端基于通讯和数字证书认证, 客户端可以在不同的服务器间实现自动漫游； McaFee：杀毒效果和管理功能一般，系统资源占用较大。售后服务和技术支持不够理想。产品型号：McaFee AV

48、D 网络版产品特点： McAfee 防病毒扫描引擎能够拦截各种病毒和恶意代码威胁，包括“传统”病毒、电子蠕虫、Internet 蠕虫、DDoS（分布式拒绝服务）攻击、后门、远程访问木马以与 Zombies； 通过中央控制台实现集中的管理和报告功能； 针对桌面机和文件服务器提供了病毒防护功能 电子容过滤功能，能够避免用户看到带有攻击性的容和不适当的容，确保流入和流出的 SMTP 流量无毒； McAfee 能够对 Lotus Domino 和 Microsoft Exchange 服务器提供防病毒支持； McAfee能够通过实时扫描来检测并清除病毒和其它威胁，进而为 NetWare 文件服务器提供

49、保护； 自动更新功能采用请求 (pull) 技术自动检索最新的更新，确保所有的系统都处于最新状态； 卡巴斯基：以杀毒为主。相比病毒库较全面，使用率高。能够杀灭大部分病毒。系统资源占用不大。杀毒时偶尔会破坏系统文件。管理功能和防毒策略一般。和NAC能完全联动，配合EAD能检查客户端的安装情况，不能调用服务器端升级。产品型号卡巴斯基6.0产品特点 防御病毒、木马和蠕虫； 保护服务器，例如Sendmail，Qmail，Postfix 和Exim； 扫描Microsoft Exchange服务器之间传输的； 扫描Lotus Domino服务器上的、数据库和其他对象； 防御网络钓鱼和垃圾的攻击； 阻止病

50、毒爆发； 高灵活性； 集中安装和管理； 支持Cisco NAC (网络准入控制)； 主动防御最新的恶意程序； 包含IDS和IPS的个人防火墙； 在各种网络中（包括WiFi）工作时都可受到保护； 实时扫描网络传输； 修复恶意软件对系统所做的非法纂改； 执行全盘扫描时，对系统资源进行合理的再分配； 隔离被感染的和可疑的对象； 系统状态的集中报告； 自动更新威胁特征库； 建议：防毒墙和杀毒软件使用不同的病毒库，可以进一步保证识别率和拦截率。防毒软件建议在趋势、赛门铁克中选择。防毒网关使用卡巴特征码的产品。四、总结4.1 根据目前钢铁的网络现状考虑，目前急需的产品如下： 流控。 防毒网关。 防毒软件。

51、 SSLVPN（需要配合H3C SecPath F1000防火墙使用）。 互联网认证网关。4.2 建议：为了保证正式上线的流畅和稳定，以下产品建议购买并在一定规模部署测试其使用的实际效果。 补丁管理软件分发系统。 产品型号：Microsoft SCCM 2007 产品特点： 定义企业配置标准: 该功能可通过为配置和管理 IT 环境提供指导原则和实践，帮助提高操作效率并增强安全性; 构建配置知识: Configuration Manager 2007 中的基线配置知识可以来自多个来源。可以配置他们自己的配置基线，或者他们可以从 Microsoft 或第三方软件供应商导入配置包; 补救措施: 可以

52、使用期望的配置管理兼容性状态消息来构建基于查询的集合，他们可以通过部署软件、更新、脚本或任务序列从这些集合修复不兼容计算机; 测量兼容性:借助他们已经建立的配置基线，可以将这些基线应用到计算机或计算机集合并定义日程安排，客户端将按此日程安排评估和报告他们针对基线的兼容性; 报告兼容性: 通过期望的配置管理面板和通过创建基于查询的集合的能力，报告与 Configuration Manager 2007 的兼容性成为一个简化的工作; 强制遵守 : Configuration Manager中的NAP与微软的Windows网络策略服务器共同工作，以强化监管软件更新 修复不符合要求的客户端: Conf

53、iguration Manager通过软件更新功能来修复那些不符合策略要求的客户端; 灵活的OS部署: Configuration Manager 2007是一个完全自动的解决方案，它允许从一个中央单元部署与配置服务器和客户端; 支持服务器部署: Configuration Manager 2007包含的功能中支持独特需求的Windows服务器操作系统的部署; 集中监控:可以利用服务器和客户端详细全面的可视化状态报表对操作系统部署进行集中监控; 基于WSUS: Configuration Manager 2007的综合更新管理依赖于Windows Update Service（Windows更

54、新服务 WSUS）; 无缝部署更新: 使用效率化基于策略的管理，能够进行无缝部署更新; 基于Internet的客户端管理:提供的更新有基于Internal和基于Internet的两种客户端，允许无论用户的计算机是不是在部网络都能进行与时的软件更新; 网络唤醒: 这个网络唤醒功能可以在工作时间完毕后发出网络唤醒包到计算机，让它获得软件更新; 网络访问保护:客户端强制遵循软件更新策略，有助于部网络的统一性; 灵活的报表: Configuration Manager 2007提供了大量多样化的报表来展示软件更新状态; 能够基于系统分发任务顺序，配置管理他们希望得到的软件更新并减少成本;产品型号：北信

55、源补丁管理系统 产品特点： 补丁策略制定：包括补丁应用策略制定、补丁文件分发任务制定，可以根据要求按照不同的区域进行划分，可按照IP地址、部门、操作系统、用户自定义等方式进行区域划分； 补丁下载检测和增量式导入：使用增量式补丁分离技术，在外网导出补丁时，可分离出网已经安装的补丁，只导入网尚未安装的系统补丁，即仅对网的补丁进行“增量式”的升级； 补丁安全自动测试：可根据相应得策略对网络的计算机进行大面积的推送。此技术可以很好的减轻网管的测试工作量，并提高补丁安装的安全性； 补丁库自动分类：系统对存放到服务器上的计算机系统补丁能进行相应的分析，自动得出补丁属性、类型和与之相关的补丁说明，并在网页中

56、进行清晰明了的显示。可以方便管理人员根据相应的需求，高效快捷定义补丁分发策略，与时的针对不同的系统和需要分发计算机补丁； 补丁库的级联和同步：系统可以针对补丁进行级联式的分发和管理，在级联级数没有任何限制并在三级的基础上进行无缝平滑扩展； 补丁安装检测、自动分发补丁：通过本模块全面检测网络系统终端补丁的安装状况，并通过此模块，对没有安装补丁的设备进行远程补丁安装,将最新补丁升级包与时分发到终端计算机，并提示安装修补，在客户端有明显提示，通知用户打补丁； 补丁推送安装：当系统检测到有客户端未打补丁时，可对漏打的补丁进行推送式的安装； 系统补丁报表：监控程序将网络客户端补丁信息上报管理中心后写入数

57、据库，在WEB管理平台可进行补丁报表察看，统计网络客户端补丁安装状况； 补丁下载流量控制：系统能够根据网络的负载情况自动调整分发补丁时所占的网络带宽和并发连接数；根据手动设置允许的带宽或服务器并发连接数与每个连接所允许使用的带宽；系统同时支持客户端转发代理补丁下载，以减少网络带宽流量； 服务器端补丁查询：客户端软件实时监控客户端系统漏洞与补丁安装情况，服务器端补丁查询补丁可根据补丁名称、待查询IP围、操作系统、待查区域，查询时间或其它条件对区域网络围的计算机终端进行补丁安装状况查询； 客户端网页查询补丁安装信息：安装了系统客户端的计算机可以通过访问网的特定网页，对本机所缺少的计算机补丁进行查询

58、； 新（长时间关机）客户端入网先打补丁：对于新机器或长时间关机的计算机，在其进入网络时，能快速的发现并识别此类计算机，对这类计算机发送相应的提示，如提醒用户下载并安装计算机补丁，提醒补丁下载的位置和计算机用户下载并安装所需的计算机补丁 少量H3C交换机，（在崴子办公区终端做测试，测试和补丁、防毒联动效果）。 PC-server。目前的认证系统和ACG管理系统都安装到 dell PC机上，若要安装防毒服务器、补丁服务器、H3C IMC、H3C EAD，现有的PC数量和性能都不能满足需求。五、官方报价33 / 33序号产品名称厂家型号产品描述数量单位单价总价SSLVPN防火墙1H3C SecPat

59、h F1000 防火墙H3CF1000-S最大配置5个接口，包括2个10/100/1000Base-T接口，2个SFP插,1个10/100Base-TX接口,带硬件的BYPASS功能1台220,000.00220,000.002SSL VPN加密处理模块H3CF1000-SF1000-S VPN加密处理模块1块52,220.0052,220.00流量控制系统1DR P2P宽管理网关城市热点P2P-1000M2个千兆以太网电口，最大吞吐量1G1台816,000.00816,000.002网康互联网控制网关网康NS150004个千兆以太网电接口，最大吞吐量1G1台880,000.00498,000

60、.003H3C SecPath ACG2000-MH3CACG2000-M6个千兆以太网电接口，最大吞吐量2G1台903,437.50903,437.50网关防毒墙1趋势科技IWSA趋势IWSA-2500-L2个千兆以太网电口，使用趋势科技病毒库1台669,600.00669,600.002CP Secure防毒墙CP SecureCP Secure CSG-1000+2个千兆以太网电口，采用卡巴斯基和CPSECURE双扫描引擎和病毒库。1台538,000.00538,000.003天融信安全网关 TopFilter 8000天融信TF-8423-Virus最大配置5个接口，包括2个千兆电接口

61、，2个SFP插槽,1个百兆电接口,带硬件的BYPASS功能，使用卡巴斯基的病毒库1台488,000.00488,000.00互联网认证网关1城市热点认证网关城市热点BMG-10001000并发，3个100/1000兆电口1台150,000.00150,000.002深澜认证计费系统深澜科技SRUN20001000并发，5个100/1000兆电口1台180,000.00180,000.00防病毒1趋势网络版趋势OfficeScan8.0抵御病毒、间谍软件、网络钓鱼和其它灰色软件，提供集中的管理、监控、更新和部署等能力，以与可集中管理的客户端防火墙、入侵检测、病毒爆发预防服务、Web站点信誉服务、Rootkit、Cisco NAC联动等功能模块1001点190.00190,190.00趋势服务器版趋势ServerProtect5.58服务器端病毒系统20点4,988.0099,760.002赛门铁克网络版赛门铁克Symantec 11.0防病毒、防木马/间谍软件，个人防火墙、入侵防护、操