網(wǎng)絡(luò)改造設(shè)計(jì)方案.doc

精品文檔2011年4月13日網(wǎng)絡(luò)改造設(shè)計(jì)方案XXXXXX項(xiàng)目文檔更新記錄版本號(hào)更新時(shí)間撰寫(xiě)/修訂審 核修 改 說(shuō) 明1.02011-04-13XXX初始版本目錄1. 用戶(hù)系統(tǒng)現(xiàn)狀11.1 原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)11.2 原網(wǎng)絡(luò)分析12. 系統(tǒng)建設(shè)需求22.1 網(wǎng)絡(luò)要求22.2 設(shè)備要求23. 解決方案33.1 網(wǎng)絡(luò)系統(tǒng)改造設(shè)計(jì)33.2 改造后網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)54. 設(shè)備選型64.1 設(shè)備清單一覽表64.2 設(shè)備產(chǎn)品資料64.2.1 Quidway S5300系列全千兆運(yùn)營(yíng)級(jí)交換機(jī)產(chǎn)品說(shuō)明64.2.2 天融信入侵防御系統(tǒng)TopIDP產(chǎn)品說(shuō)明114.3.3 天融信防火墻系統(tǒng)TopGuard-NGFW4000系列產(chǎn)品說(shuō)明143歡迎下載。精品文檔1. 用戶(hù)系統(tǒng)現(xiàn)狀1.1 原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)1.2 原網(wǎng)絡(luò)分析現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)相對(duì)簡(jiǎn)單，直接從政務(wù)外網(wǎng)接入核心交換機(jī)，無(wú)法保障內(nèi)網(wǎng)安全；核心采用了非網(wǎng)管交換機(jī)，對(duì)網(wǎng)絡(luò)的管理造成不便；接入采用百兆交換機(jī)，無(wú)法滿(mǎn)足高速發(fā)展的網(wǎng)絡(luò)時(shí)代帶來(lái)的巨大信息量的傳輸；三樓只接入了一臺(tái)8口交換機(jī)，無(wú)法滿(mǎn)足20個(gè)信息點(diǎn)的接入。2. 系統(tǒng)建設(shè)需求2.1 網(wǎng)絡(luò)要求為各類(lèi)應(yīng)用系統(tǒng)提供方便、快捷的信息通路；具有良好的性能，能夠支持大容量和實(shí)時(shí)性的各類(lèi)應(yīng)用；能夠可靠運(yùn)行，具有較低的故障率和維護(hù)要求。提供網(wǎng)絡(luò)安全機(jī)制，滿(mǎn)足信息安全的要求，未來(lái)升級(jí)擴(kuò)展容易。 整個(gè)網(wǎng)絡(luò)系統(tǒng)采用千兆以太網(wǎng)1000M交換，網(wǎng)絡(luò)協(xié)議采用TCP/IP協(xié)議，交換機(jī)要求采用主流、成熟、信譽(yù)和售后服務(wù)均佳的產(chǎn)品，核心交換機(jī)支持VLAN等功能，能較好解決突發(fā)數(shù)據(jù)量和密集服務(wù)請(qǐng)求的實(shí)時(shí)響應(yīng)問(wèn)題，在內(nèi)部用戶(hù)終端進(jìn)行數(shù)據(jù)交換時(shí)交換引擎不會(huì)出現(xiàn)過(guò)載現(xiàn)象和數(shù)據(jù)包碰撞、丟失的現(xiàn)象，還要考慮預(yù)防瓶頸出現(xiàn)和補(bǔ)救的相應(yīng)措施。2.2 設(shè)備要求根據(jù)網(wǎng)絡(luò)功能需求情況，樓層接入設(shè)備需要選擇同一型號(hào)的設(shè)備；網(wǎng)絡(luò)設(shè)備必須在技術(shù)上具有先進(jìn)性、通用性，必須便于管理、維護(hù)，應(yīng)該滿(mǎn)足現(xiàn)有計(jì)算機(jī)設(shè)備的高速接入，應(yīng)該具備良好的可擴(kuò)展性、可升級(jí)性。網(wǎng)絡(luò)設(shè)備在滿(mǎn)足功能與性能的基礎(chǔ)上必須具有良好的性?xún)r(jià)比。網(wǎng)絡(luò)設(shè)備應(yīng)該選擇擁有足夠?qū)嵙褪袌?chǎng)份額的廠商的主流產(chǎn)品，同時(shí)設(shè)備廠商必須要有良好的市場(chǎng)形象與售后技術(shù)支持。3. 解決方案3.1 網(wǎng)絡(luò)系統(tǒng)改造設(shè)計(jì)針對(duì)原網(wǎng)絡(luò)的不足及用戶(hù)需求，現(xiàn)對(duì)原網(wǎng)絡(luò)設(shè)計(jì)方案進(jìn)行升級(jí)改造，改造后網(wǎng)絡(luò)系統(tǒng)采用二層結(jié)構(gòu)：核心部分核心采用了一臺(tái)三層可管理交換機(jī)(華為5328C-EI-24S)，該交換機(jī)具有24個(gè)100/1000Base-X,4個(gè)10/100/1000Base-T千兆Combo口，解決了網(wǎng)絡(luò)管理不便的問(wèn)題并支持未來(lái)子網(wǎng)的擴(kuò)展，轉(zhuǎn)發(fā)性能96M，端口交換容量128G，板交換容量達(dá)到了256G，保證了巨大信息量的可靠傳輸及交換。接入部分整個(gè)網(wǎng)絡(luò)系統(tǒng)共有110個(gè)信息點(diǎn)，四樓使用兩臺(tái)華為5352C-SI千兆交換機(jī)直接接入核心交換機(jī)，該交換機(jī)具有48個(gè)10/100/1000Base-T端口，滿(mǎn)足用戶(hù)終端90個(gè)信息點(diǎn)接入需求的同時(shí)也保證了各個(gè)信息點(diǎn)數(shù)據(jù)的高速傳輸，三樓將原來(lái)的8口交換機(jī)改為24口交換機(jī)（華為5328C-SI），也保證了剩下20個(gè)信息點(diǎn)的接入，解決了原來(lái)三樓接入端口不足的問(wèn)題。由于整個(gè)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)比較簡(jiǎn)單，傳輸距離較短，所有交換機(jī)具有1000base-T端口，所以可采用超5類(lèi)或6類(lèi)雙絞線(xiàn)連接整個(gè)網(wǎng)絡(luò)，以節(jié)約網(wǎng)絡(luò)系統(tǒng)改造成本。安全方面，在政務(wù)外網(wǎng)與核心交換機(jī)之間接入防火墻（天融信NGFW4000系列的TG-4514）及入侵防御系統(tǒng)（天融信TopIDP2000系列的TI-2230-IDP），該防火墻集成了多種安全引擎，不但有內(nèi)置的攻擊檢測(cè)能力，還可以和IPS產(chǎn)品實(shí)現(xiàn)聯(lián)動(dòng)。這不僅提高了安全性，還保證了高性能，是國(guó)內(nèi)安全功能最豐富的防火墻產(chǎn)品。入侵防御系統(tǒng)TI-2230-IDP可分析網(wǎng)絡(luò)攻擊的組合行為特征來(lái)準(zhǔn)確識(shí)別各種攻擊，可以智能地識(shí)別出多種攻擊隱藏手段及變種攻擊。通過(guò)智能化檢測(cè)引擎，能夠識(shí)別出多種高危網(wǎng)絡(luò)行為，并可以將此類(lèi)行為以告警方式通知管理員，達(dá)到防患于未然的目的。同時(shí)具有強(qiáng)大的木馬檢測(cè)與識(shí)別能力，完善的應(yīng)用攻擊檢測(cè)與防護(hù)能力，豐富的網(wǎng)絡(luò)應(yīng)用控制能力和及時(shí)的應(yīng)急響應(yīng)能力，使得內(nèi)網(wǎng)安全性大大提高。而且，兩者都具有硬件Bypass功能，即使安全設(shè)備出現(xiàn)故障，也不影響整個(gè)網(wǎng)絡(luò)的連通性。改造后網(wǎng)絡(luò)結(jié)構(gòu)不僅滿(mǎn)足用戶(hù)現(xiàn)有需求，同時(shí)對(duì)未來(lái)網(wǎng)絡(luò)結(jié)構(gòu)做好擴(kuò)展準(zhǔn)備。改造后的網(wǎng)絡(luò)系統(tǒng)具有如下特性：1.先進(jìn)性：系統(tǒng)具有高速傳輸?shù)哪芰?。系統(tǒng)傳輸速率達(dá)到1000Mb/s, 同時(shí)具有較高的帶寬，滿(mǎn)足現(xiàn)在和未來(lái)數(shù)據(jù)信息傳輸?shù)男枨螅?2.靈活性：系統(tǒng)具有較高的適應(yīng)變化的能力。當(dāng)用戶(hù)的物理位置發(fā)生變化時(shí)可以在非常簡(jiǎn)便的調(diào)整下重新連接； 3.實(shí)用性：系統(tǒng)具有低成本、使用方便、簡(jiǎn)單、易擴(kuò)展的特點(diǎn)。4.安全性：在核心機(jī)與政務(wù)外網(wǎng)間接入防火墻和入侵防御系統(tǒng)，大大提高了整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性。 3.2 改造后網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)4. 設(shè)備選型4.1 設(shè)備清單一覽表樓層設(shè)備類(lèi)型名稱(chēng)數(shù)量設(shè)備配置信息四樓交換機(jī)華為5328C-EI-24S1端口描述：24個(gè)100/1000Base-X，4個(gè)10/100/1000Base-T千兆Combo口；轉(zhuǎn)發(fā)性能96M，端口交換容量128G，板交換容量256G；華為5352C-SI2端口描述：48個(gè)10/100/1000Base-T，上行支持210GE XFP、41000Base-X SFP、210GE SFP或者410GE SFP插卡，雙電源，可插拔；轉(zhuǎn)發(fā)性能132M，端口交換容量176G，板交換容量256G；IPSTopIDP2000 TI-2230-IDP11U機(jī)架式結(jié)構(gòu)；最大配置為26個(gè)接口，默認(rèn)包括2個(gè)可插拔的擴(kuò)展槽和10個(gè)10/100/1000BASE-T接口，（作為HA口和管理口）；默認(rèn)含1年特征庫(kù)升級(jí)吞吐量2.6G；最大并發(fā)連接數(shù)60W；IPS性能600M；具有硬件Bypass功能防火墻NGFW4000 TG-4514 11U機(jī)架式結(jié)構(gòu)；最大配置為12個(gè)接口，包括4個(gè)10/100/1000BASE-T接口和1個(gè)擴(kuò)展槽吞吐量1G最大并發(fā)連接數(shù)160W三樓交換機(jī)華為5328C-SI1端口描述:24個(gè)10/100/1000Base-T，4個(gè)100/1000Base-X 千兆Combo口，上行支持210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡,雙電源，可插拔，支持USB口；轉(zhuǎn)發(fā)性能96M，端口交換容量128G，板交換容量256G；4.2 設(shè)備產(chǎn)品資料4.2.1 Quidway S5300系列全千兆運(yùn)營(yíng)級(jí)交換機(jī)產(chǎn)品說(shuō)明產(chǎn)品概述Quidway S5300系列全千兆交換機(jī)（以下簡(jiǎn)稱(chēng)S5300），是華為公司為滿(mǎn)足大帶寬接入和以太網(wǎng)多業(yè)務(wù)匯聚而推出的新一代全千兆高性能以太網(wǎng)交換機(jī)，可為客戶(hù)提供強(qiáng)大的以太網(wǎng)功能服務(wù)。S5300基于新一代高性能硬件和華為公司統(tǒng)一的VRP（Versatile Routing Platform）軟件，具備大容量、高密度千兆端口，可提供萬(wàn)兆上行，充分滿(mǎn)足客戶(hù)對(duì)高密度千兆和萬(wàn)兆上行設(shè)備的需求。S5300可滿(mǎn)足運(yùn)營(yíng)商園區(qū)網(wǎng)匯聚、企業(yè)網(wǎng)匯聚、IDC千兆接入以及企業(yè)千兆到桌面等多種場(chǎng)合的需求。產(chǎn)品外觀S5328C-EI-24S：24個(gè)100/1000Base-X，4個(gè)10/100/1000Base-T千兆Combo口，上行支持210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡，雙電源，可插拔；S5352C-SI：48個(gè)10/100/1000Base-T，上行支持210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡，雙電源，可插拔, 支持USB口；S5328C-SI：24個(gè)10/100/1000Base-T，4個(gè)100/1000 Base-X 千兆Combo口， 上行支持210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡，雙電源，可插拔，支持USB口；產(chǎn)品特點(diǎn)強(qiáng)大的多業(yè)務(wù)支持能力 S5300支持增強(qiáng)型靈活QinQ功能，確保靈活的外層VLAN標(biāo)簽功能的同時(shí)不占用ACL資源。S5300能將內(nèi)層VLAN的CoS值映射到外層VLAN，或者修改外層VLAN的CoS值，可根據(jù)業(yè)務(wù)需要靈活標(biāo)記QoS等級(jí)，滿(mǎn)足多業(yè)務(wù)承載的要求。 S5300支持IGMP Snooping/ IGMP v3 snooping/Filter/Fast Leave/Proxy等協(xié)議。S5300支持線(xiàn)速的跨VLAN組播復(fù)制功能，支持捆綁端口的組播負(fù)載分擔(dān)，支持可控組播，可以充分滿(mǎn)足IPTV和其他組播業(yè)務(wù)的需求。 S5300支持MCE 功能，實(shí)現(xiàn)了不同VPN用戶(hù)在同一臺(tái)設(shè)備的隔離，有效解決用戶(hù)數(shù)據(jù)安全問(wèn)題，同時(shí)降低用戶(hù)投資成本。 免維護(hù)易部署 S5300采用“一次進(jìn)站”方案， 支持自動(dòng)配置、即插即用、USB開(kāi)局、自動(dòng)批量遠(yuǎn)程升級(jí)功能，便于部署升級(jí)和業(yè)務(wù)發(fā)放，簡(jiǎn)化后續(xù)的管理和維護(hù)性能。從而大大降低了維護(hù)成本。S5300支持SNMP V1/V2/V3， CLI命令行、Web網(wǎng)管、TELNET、HGMP集群管理等多樣化的管理和維護(hù)方式，設(shè)備管理更加靈活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主機(jī)、基于端口的流量統(tǒng)計(jì)，支持NQA網(wǎng)絡(luò)質(zhì)量分析，有利于進(jìn)一步作好網(wǎng)絡(luò)規(guī)劃和改造。良好的可擴(kuò)展性 S5300系列交換機(jī)支持智能堆疊 iStack功能，完全即插即用，插好堆疊線(xiàn)纜即可自動(dòng)組建堆疊虛擬框式架構(gòu)。堆疊成員分為主、備、從三種角色。新增備交換機(jī)之后減少了主交換機(jī)故障引起的業(yè)務(wù)中斷時(shí)間。支持智能升級(jí)，排除用戶(hù)給堆疊擴(kuò)容時(shí)為新加入交換機(jī)更換軟件版本的煩惱。堆疊技術(shù)允許交換機(jī)利用互聯(lián)電纜實(shí)現(xiàn)多臺(tái)設(shè)備的擴(kuò)展，單一IP管理，大大降低系統(tǒng)擴(kuò)展以及運(yùn)維的成本。與傳統(tǒng)組網(wǎng)技術(shù)相比，在擴(kuò)展性、可靠性、整體架構(gòu)等性能方面均具有強(qiáng)大的優(yōu)勢(shì)。 簡(jiǎn)單的可管理特性 S5300支持GVRP實(shí)現(xiàn)動(dòng)態(tài)分發(fā)、注冊(cè)和傳播VLAN屬性，從而達(dá)到減少網(wǎng)絡(luò)管理員的手工配置量及保證VLAN配置正確的目的。GVRP是一種VLAN的動(dòng)態(tài)配置技術(shù)，在復(fù)雜的組網(wǎng)環(huán)境中應(yīng)用GVRP，能夠簡(jiǎn)化VLAN配置管理，減少因?yàn)榕渲貌灰恢露鴮?dǎo)致的網(wǎng)絡(luò)互通問(wèn)題。 S5300支持MUX VLAN功能。MUX VLAN提供了一種在VLAN的端口間進(jìn)行二層流量隔離的機(jī)制。采用兩層VLAN隔離技術(shù)，只有上層VLAN全局可見(jiàn)，下層VLAN相互隔離。MUX VLAN通常用于企業(yè)內(nèi)部網(wǎng)，客戶(hù)端口可以同服務(wù)器端口通訊，但客戶(hù)端口之間不能通訊。用來(lái)防止連接到某些接口或接口組的網(wǎng)絡(luò)設(shè)備之間的相互通信，但卻允許與默認(rèn)網(wǎng)關(guān)進(jìn)行通信。產(chǎn)品規(guī)格4.2.2 天融信入侵防御系統(tǒng)TopIDP產(chǎn)品說(shuō)明產(chǎn)品概述天融信公司的“網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng) TopIDP”是基于新一代并行處理技術(shù)，它通過(guò)設(shè)置檢測(cè)與阻斷策略對(duì)流經(jīng)TopIDP的網(wǎng)絡(luò)流量進(jìn)行分析過(guò)濾，并對(duì)異常及可疑流量進(jìn)行積極阻斷，同時(shí)向管理員通報(bào)攻擊信息，從而提供對(duì)網(wǎng)絡(luò)系統(tǒng)內(nèi)部IT資源的安全保護(hù)。TopIDP能夠阻斷各種非法攻擊行為，比如利用薄弱點(diǎn)進(jìn)行的直接攻擊和增加網(wǎng)絡(luò)流量負(fù)荷造成網(wǎng)絡(luò)環(huán)境惡化的DoS攻擊等，安全地保護(hù)內(nèi)部IT資源。TopIDP采用多核處理器硬件平臺(tái)，將并行處理技術(shù)融入到天融信自主研發(fā)的安全操作系統(tǒng)TOS中，保證了TopIDP產(chǎn)品可以做到更高性能地網(wǎng)絡(luò)入侵的防護(hù)。公司內(nèi)攻防實(shí)驗(yàn)室會(huì)跟蹤分析最新的漏洞和導(dǎo)致的攻擊行為，及時(shí)更新入侵防御設(shè)備的規(guī)則庫(kù)，保證該設(shè)備的及時(shí)有效的檢測(cè)能力。TopIDP是集訪(fǎng)問(wèn)控制、透明代理、數(shù)據(jù)包深度過(guò)濾、漏洞攻擊防御、郵件病毒過(guò)濾、報(bào)文完整性分析為一體的網(wǎng)絡(luò)安全設(shè)備，為用戶(hù)提供完整的立體式網(wǎng)絡(luò)安全防護(hù)。與現(xiàn)在市場(chǎng)上的入侵防御系統(tǒng)相比，TopIDP系列入侵防御系統(tǒng)具有更高的性能、更細(xì)的安全控制粒度、更完善的內(nèi)容攻擊防御、更大的功能擴(kuò)展空間、更豐富的服務(wù)和協(xié)議支持，代表了最新的網(wǎng)絡(luò)安全設(shè)備和解決方案發(fā)展方向，堪稱(chēng)網(wǎng)絡(luò)入侵檢測(cè)和防御系統(tǒng)的典范。 產(chǎn)品功能詳細(xì)功能如下：功能類(lèi)別功能項(xiàng)功能描述工作模式網(wǎng)絡(luò)接入透明、路由、混合、監(jiān)聽(tīng)、直連 入侵防御引擎支持路由、交換、混合、直連、監(jiān)聽(tīng)五種模式支持基于源、目的、規(guī)則集、動(dòng)作的入侵檢測(cè)規(guī)則支持時(shí)間對(duì)象支持策略改變引擎自動(dòng)重起DDOS防御非法報(bào)文攻擊：land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof等；統(tǒng)計(jì)型報(bào)文攻擊：Synflood、Icmpflood、Udpflood、Portscan、ipsweep等；支持主機(jī)連接數(shù)和半連接數(shù)的限制。動(dòng)作支持阻斷drop，檢測(cè)到策略中設(shè)置的數(shù)據(jù)后，丟棄報(bào)文；支持報(bào)警Alert， 檢測(cè)到策略中設(shè)置的數(shù)據(jù)后，進(jìn)行報(bào)警；支持TCP Reset，向攻擊者發(fā)TCP Reset包；支持日志Log，檢測(cè)到攻擊事件后記錄日志；支持記錄報(bào)文，檢測(cè)到攻擊事件后將原始報(bào)文完整記錄下來(lái)；支持防火墻聯(lián)動(dòng)，與防火墻聯(lián)動(dòng)，僅限IDS模式運(yùn)行；支持自定義組合，可以將以上操作的組合做為一個(gè)新的動(dòng)作。報(bào)表Webui支持實(shí)時(shí)顯示按發(fā)生次數(shù)累計(jì)的攻擊事件排名；支持Top10攻擊者、Top10被攻擊者、Top10事件統(tǒng)計(jì)報(bào)表；支持按時(shí)間統(tǒng)計(jì)的IPS流量報(bào)表；支持選定時(shí)間、網(wǎng)絡(luò)攻擊分類(lèi)的統(tǒng)計(jì)報(bào)表；支持日?qǐng)?bào)、周報(bào)、月報(bào)、季報(bào)等統(tǒng)計(jì)報(bào)表；支持報(bào)表輸出，輸出格式可以為PDF、DOC、HTML格式。規(guī)則庫(kù)維護(hù)支持自定義規(guī)則庫(kù)導(dǎo)入、導(dǎo)出；支持系統(tǒng)規(guī)則庫(kù)手動(dòng)、自動(dòng)升級(jí)。系統(tǒng)規(guī)則預(yù)置系統(tǒng)規(guī)則集包含認(rèn)證類(lèi)、木馬類(lèi)、拒絕服務(wù)類(lèi)、即時(shí)通訊類(lèi)、p2p類(lèi)、溢出攻擊類(lèi)、掃描類(lèi)、系統(tǒng)漏洞類(lèi)、webcgi類(lèi)、蠕蟲(chóng)類(lèi)、游戲類(lèi)、HTTP攻擊類(lèi)、RPC攻擊類(lèi)、高風(fēng)險(xiǎn)類(lèi)、中風(fēng)險(xiǎn)類(lèi)、低風(fēng)險(xiǎn)類(lèi)和所有事件等。自定義規(guī)則支持自定義規(guī)則；支持自定義規(guī)則集。網(wǎng)絡(luò)適應(yīng)性路由支持靜態(tài)路由；支持基于源/目的地址、接口、Metric的策略路由；支持Vlan路由，能夠在不同的VLAN虛接口間實(shí)現(xiàn)路由功能。VLAN支持802.1Q，能進(jìn)行封裝和解封。在同一個(gè)Vlan內(nèi)能進(jìn)行二層交換。ARP支持ARP代理、ARP學(xué)習(xí)?？稍O(shè)置靜態(tài)ARP。高可用性雙機(jī)熱備*支持雙機(jī)熱備（Active-Active模式）。（注：高端IDP產(chǎn)品只支持AS方式）支持連接同步Bypass提供專(zhuān)業(yè)的硬件ByPass功能，保證網(wǎng)絡(luò)通暢負(fù)載均衡支持輪詢(xún)、加權(quán)輪叫、最少連接、加權(quán)最少鏈接等多種服務(wù)器負(fù)載均衡算法。備份系統(tǒng)支持備份系統(tǒng)，主系統(tǒng)破壞后可以通過(guò)備份系統(tǒng)啟動(dòng)運(yùn)行。系統(tǒng)管理管理方式支持WEB圖形配置、命令行配置；支持本地配置、遠(yuǎn)程配置；支持基于SSH、SSL的安全配置。SNMP支持SNMP 的v1 、v2 、v2c 、v3 版本；與當(dāng)前通用的網(wǎng)絡(luò)管理平臺(tái)兼容，如HP Openview 等；豐富的私有MIB系統(tǒng)信息。監(jiān)控和報(bào)警支持網(wǎng)絡(luò)接口、CPU利用率、內(nèi)存使用率等；內(nèi)置了“管理”、“系統(tǒng)”、“安全”、“策略”、“通信”、“硬件”、“容錯(cuò)”、“測(cè)試”等多種觸發(fā)報(bào)警的事件類(lèi)；支持郵件、SNMP、控制臺(tái)等多種組合報(bào)警方式。日志支持Welf、Syslog等多種日志格式的輸出；支持通過(guò)第三方軟件來(lái)查看日志；支持日志分級(jí)；支持對(duì)接收到的日志進(jìn)行緩沖存儲(chǔ)。其它系統(tǒng)升級(jí)，支持遠(yuǎn)程維護(hù)和系統(tǒng)升級(jí)；系統(tǒng)升級(jí)，支持TFTP、FTP、HTTP方式升級(jí)；配置恢復(fù)，可進(jìn)行配置文件的備份、下載、刪除、恢復(fù)和上載；時(shí)鐘調(diào)整，支持網(wǎng)絡(luò)時(shí)鐘協(xié)議NTP，可自動(dòng)根據(jù)NTP服務(wù)器時(shí)鐘調(diào)整本機(jī)時(shí)間。4.3.3 天融信防火墻系統(tǒng)TopGuard-NGFW4000系列產(chǎn)品說(shuō)明產(chǎn)品概述十幾年來(lái)，天融信專(zhuān)注于信息安全，第一家開(kāi)發(fā)出自主防火墻系統(tǒng)，第一家提出TOPSEC聯(lián)動(dòng)技術(shù)體系。網(wǎng)絡(luò)衛(wèi)士防火墻歷經(jīng)了包過(guò)濾、應(yīng)用代理、核檢測(cè)等技術(shù)階段，目前已進(jìn)入以自主安全操作系統(tǒng)TOS（Topsec Operating System）為基礎(chǔ)，以完全內(nèi)容檢測(cè)為標(biāo)志的技術(shù)階段，集成了防火墻、VPN、帶寬管理、防病毒、入侵防御、內(nèi)容過(guò)濾等多種安全功能。網(wǎng)絡(luò)衛(wèi)士防火墻系列在政府、銀行、電力、軍工、電信、稅務(wù)、教育、能源、交通等行業(yè)中廣泛應(yīng)用，全國(guó)20,000多網(wǎng)絡(luò)和業(yè)務(wù)在其保護(hù)下平穩(wěn)運(yùn)行。天融信基于多年的技術(shù)積累和用戶(hù)信賴(lài)，連續(xù)多年蟬聯(lián)國(guó)內(nèi)第一防火墻品牌。網(wǎng)絡(luò)衛(wèi)士防火系列市場(chǎng)占有量巨大，它保護(hù)的網(wǎng)絡(luò)遍布在祖國(guó)大江南北，并已走出國(guó)門(mén)在一些全球性的業(yè)務(wù)網(wǎng)絡(luò)上成功實(shí)施，為廣大用戶(hù)的信息安全建設(shè)立下了汗馬功勞。NGFW4000 (TG-4514)產(chǎn)品功能類(lèi)別功能詳細(xì)描述工作模式 支持透明、路由、混合、直連（虛擬線(xiàn)）模式網(wǎng)絡(luò)安全性?xún)?nèi)容過(guò)濾 采用完全內(nèi)容檢測(cè)（Complete Content Inspection）技術(shù)。 支持基于流、數(shù)據(jù)包、透明代理的過(guò)濾方式。 支持對(duì)HTTP、SMTP、POP3、IMAP、FTP等協(xié)議的深度內(nèi)容過(guò)濾。 支持URL過(guò)濾。 支持DNS過(guò)濾。 支持web重定向。 支持HTTP URL長(zhǎng)度限制。 支持偽裝http連接識(shí)別。 支持DNS過(guò)濾。 支持RSH命令過(guò)濾。 支持telnet命令過(guò)濾。 支持對(duì)移動(dòng)代碼如Java applet、Active-X、VBScript、Java script的過(guò)濾。 支持對(duì)郵件的收發(fā)郵件地址、文件名、文件類(lèi)型過(guò)濾。 支持對(duì)郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等關(guān)鍵字匹配過(guò)濾。 支持反垃圾郵件功能（用戶(hù)配置黑白名單） 支持MSN，QQ，Skype等Instant Messenger通信，并可以對(duì)于這些應(yīng)用進(jìn)行登陸限制和帳號(hào)過(guò)濾。 可限制BT，eMule，eDonkey，迅雷等P2P應(yīng)用。 可屏蔽受保護(hù)主機(jī)/服務(wù)器系統(tǒng)信息，如替換服務(wù)器（FTP、SMTP、POP3、telnet,HTTP）的BANNER信息。網(wǎng)絡(luò)安全性訪(fǎng)問(wèn)控制 基于狀態(tài)檢測(cè)的動(dòng)態(tài)包過(guò)濾。 基于源/目的IP地址、MAC地址、端口和協(xié)議、時(shí)間、用戶(hù)的訪(fǎng)問(wèn)控制。 支持基于用戶(hù)的PPTP的訪(fǎng)問(wèn)控制。 支持報(bào)文合法性檢查。 動(dòng)態(tài)端口支持協(xié)議：H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP。 可實(shí)現(xiàn)IP/MAC綁定。 會(huì)話(huà)收集整理，由收集數(shù)據(jù)生成訪(fǎng)問(wèn)控制策略。 訪(fǎng)問(wèn)控制策略分組管理。 地址對(duì)象源目的發(fā)起連接數(shù)控制，支持全網(wǎng)段地址。 支持大數(shù)量級(jí)的策略匹配加速算法。 支持對(duì)于策略重復(fù)和策略沖突的檢查。安全管理用戶(hù)認(rèn)證 支持使用一次性口令認(rèn)證（OTP）、本地認(rèn)證、雙因子認(rèn)證（SecurID）以及數(shù)字證書(shū)（CA）等常用的安全認(rèn)證方式。 支持使用第三方認(rèn)證，如RADIUS、TACACS/TACACS+、LDAP、域認(rèn)證等安全認(rèn)證方式。 支持Session認(rèn)證、HTTP會(huì)話(huà)認(rèn)證。 支持認(rèn)證保活功能。 可將認(rèn)證用戶(hù)信息加密存放在本地?cái)?shù)據(jù)庫(kù)。日志 支持Welf、Syslog日志格式的輸出。 支持日志分級(jí)和按類(lèi)型輸出。 支持通過(guò)第三方軟件來(lái)查看日志。 可對(duì)日志進(jìn)行加密傳輸。 支持安全審計(jì)系統(tǒng)（TA-L），獲得更詳盡的日志分析和審計(jì)功能。 TA-L除接受防火墻日志外還能接受交換機(jī)、路由器、操作系統(tǒng)、應(yīng)用系統(tǒng)和其他安全產(chǎn)品的日志進(jìn)行聯(lián)合分析。監(jiān)控 支持網(wǎng)絡(luò)接口、CPU利用率、內(nèi)存使用率、操作系統(tǒng)狀況、網(wǎng)絡(luò)狀況、硬件系統(tǒng)、進(jìn)程、進(jìn)程內(nèi)存、加密卡狀況的監(jiān)測(cè)。 可根據(jù)配置文件進(jìn)行錯(cuò)誤恢復(fù)。報(bào)警 內(nèi)置了“管理”、“系統(tǒng)”、“安全”、“策略”、“通信”、“硬件”、“容錯(cuò)”、“測(cè)試”等多種觸發(fā)報(bào)警的事件類(lèi)。 支持郵件、NETBIOS、聲音、SNMP、控制臺(tái)等多種組合報(bào)警方式。流量統(tǒng)計(jì) 支持基于IP對(duì)session數(shù)