XX體育中心網(wǎng)絡(luò)安全系統(tǒng)

1、目 錄第一章系統(tǒng)概述.31.1概述31.2設(shè)計(jì)要求3第二章設(shè)計(jì)原則及設(shè)備選型依據(jù)42.1總體設(shè)計(jì)原則4第三章設(shè)計(jì)方案53.1網(wǎng)絡(luò)設(shè)計(jì)原則53.2組網(wǎng)方案63.3方案特點(diǎn)83.4IP地址規(guī)劃說(shuō)明93.5VLAN規(guī)劃10第四章網(wǎng)絡(luò)安全方案建議124.1網(wǎng)絡(luò)安全技術(shù)概述134.2防火墻解決方案144.3深度安全的防范設(shè)計(jì)184.3.1部署方案184.3.2應(yīng)用程序防護(hù)194.3.3網(wǎng)絡(luò)架構(gòu)防護(hù)194.3.4性能保護(hù)194.3.5數(shù)字疫苗在線更新機(jī)制19第五章課程設(shè)計(jì)總結(jié).20第一章系統(tǒng)概述1.1概述某市體育中心是主管本市體育工作的市政府直屬機(jī)構(gòu)。主要職責(zé)是：貫徹國(guó)家體育工作的方針、政策和法規(guī)，研究擬

2、訂本市體育工作的法規(guī)、政策和發(fā)展規(guī)劃，并組織實(shí)施；負(fù)責(zé)本市體育體制改革，制訂本市體育發(fā)展戰(zhàn)略，編制中長(zhǎng)期發(fā)展規(guī)劃，并組織實(shí)施；組織、指導(dǎo)各部門(mén)、各行業(yè)開(kāi)展群眾體育活動(dòng)，推動(dòng)體育社會(huì)化，組織實(shí)施全民健身計(jì)劃；統(tǒng)籌規(guī)劃本市競(jìng)技運(yùn)動(dòng)項(xiàng)目的布局，指導(dǎo)優(yōu)秀運(yùn)動(dòng)隊(duì)的建設(shè)及業(yè)余訓(xùn)練工作；制訂體育競(jìng)賽計(jì)劃，管理、指導(dǎo)全市性體育競(jìng)賽；指導(dǎo)體育科研工作，加強(qiáng)科研攻關(guān)和科研成果的推廣；組織開(kāi)展反興奮劑工作；開(kāi)發(fā)體育人才資源等工作職能。某市體育局歷來(lái)十分重視信息安全的發(fā)展動(dòng)向，尤其是在體育場(chǎng)所信息管理系統(tǒng)方面，部署力量，保障信息網(wǎng)絡(luò)的安全。1.2設(shè)計(jì)要求XX體育中心計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)及計(jì)算機(jī)管理應(yīng)用系統(tǒng)的建設(shè)應(yīng)達(dá)到以下建

3、設(shè)目標(biāo)：1. 滿足運(yùn)動(dòng)會(huì)舉辦期間，對(duì)各比賽、訓(xùn)練場(chǎng)館的基本信息化需求。2. 體育中心計(jì)算機(jī)管理應(yīng)用系統(tǒng)總體結(jié)構(gòu)歸納為“一個(gè)門(mén)戶、三個(gè)體系和五個(gè)層次”；（總體結(jié)構(gòu)適用于軟件解決方案中辦公自動(dòng)化平臺(tái)、財(cái)務(wù)管理平臺(tái)、綜合應(yīng)用平臺(tái)）3. 適應(yīng)信息技術(shù)的發(fā)展，滿足XX體育中心業(yè)務(wù)和辦公中不斷增加的對(duì)于信息資源共享的需求；4. 提高辦公效率，實(shí)現(xiàn)電子化辦公、無(wú)紙辦公，同時(shí)大幅提高工作人員的信息化水平； 5. 滿足日益發(fā)展的群眾體育運(yùn)動(dòng)發(fā)展的需求，為廣大群眾的體育鍛煉，提供良好的服務(wù)；6. 滿足XX體育中心的經(jīng)營(yíng)管理需求；7. 建立代表本單位的Web服務(wù)器，對(duì)內(nèi)方便內(nèi)部工作人員信息的獲取和基于Web的溝通，

4、對(duì)外樹(shù)立本單位在因特網(wǎng)上的形象，也使網(wǎng)絡(luò)成為服務(wù)社會(huì)的“窗口”；第二章.設(shè)計(jì)原則及設(shè)備選型依據(jù)考慮到本工程網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)的靈活性和可擴(kuò)展性，要求網(wǎng)絡(luò)廠商具有從骨干萬(wàn)兆以太網(wǎng)交換機(jī)、工作組千兆以太網(wǎng)交換機(jī)、全系列路由器、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理等全系列產(chǎn)品，與其他廠家的產(chǎn)品互連性好，有良好的服務(wù)和技術(shù)支持?？紤]到網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性和可靠性，要求所采用的網(wǎng)絡(luò)產(chǎn)品必須是經(jīng)受過(guò)大量網(wǎng)上實(shí)際應(yīng)用的考驗(yàn)，要具備高安全性、高穩(wěn)定性和高可靠性，保障系統(tǒng)的不間斷運(yùn)行。同時(shí)由于世界上網(wǎng)絡(luò)產(chǎn)品供應(yīng)商之間的激烈競(jìng)爭(zhēng)，收購(gòu)和兼并頻繁發(fā)生。如果選用較小的供應(yīng)商的產(chǎn)品，一旦發(fā)生收購(gòu)或兼并，常常導(dǎo)致整個(gè)產(chǎn)品系列的停產(chǎn)，使售后服務(wù)和產(chǎn)品

5、升級(jí)都面臨很大困難。因此，在網(wǎng)絡(luò)產(chǎn)品的選型中，必須選擇產(chǎn)品售后服務(wù)和支持好的網(wǎng)絡(luò)產(chǎn)品供應(yīng)商。2.1 總體設(shè)計(jì)原則結(jié)合XX體育中心局域網(wǎng)的實(shí)際應(yīng)用和發(fā)展要求，在進(jìn)行本次網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)時(shí)，主要應(yīng)遵循以下原則：實(shí)用性原則：以現(xiàn)行需求為基礎(chǔ)，充分考慮發(fā)展的需要來(lái)確定系統(tǒng)規(guī)模。安全性原則：本次工程項(xiàng)目服務(wù)于XX體育中心局域網(wǎng)的需要，對(duì)安全級(jí)別要求很高。系統(tǒng)應(yīng)能提供網(wǎng)絡(luò)層的安全手段防止系統(tǒng)外部成員的非法侵入以及操作人員的越級(jí)操作，保護(hù)網(wǎng)絡(luò)建設(shè)者的合法利益?？煽啃栽瓌t：系統(tǒng)設(shè)計(jì)能有效的避免單點(diǎn)失敗，在設(shè)備的選擇和關(guān)鍵設(shè)備的互聯(lián)時(shí)，應(yīng)提供充分的冗余備份，一方面最大限度地減少故障的可能性，另一方面要保證網(wǎng)絡(luò)能在最

6、短時(shí)間內(nèi)修復(fù)。成熟和先進(jìn)性原則：系統(tǒng)結(jié)構(gòu)設(shè)計(jì)、系統(tǒng)配置、系統(tǒng)管理方式等方面采用國(guó)際上先進(jìn)同時(shí)又是成熟、實(shí)用的技術(shù)。設(shè)備廠商和投標(biāo)商應(yīng)有相關(guān)領(lǐng)域的豐富經(jīng)驗(yàn)。規(guī)范性原則：系統(tǒng)設(shè)計(jì)所采用的技術(shù)和設(shè)備應(yīng)符合國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)和業(yè)界標(biāo)準(zhǔn)，為系統(tǒng)的擴(kuò)展升級(jí)、與其他系統(tǒng)的互聯(lián)提供良好的基礎(chǔ)。開(kāi)放性和標(biāo)準(zhǔn)化原則：在設(shè)計(jì)時(shí)，要求提供開(kāi)放性好、標(biāo)準(zhǔn)化程度高的技術(shù)方案；設(shè)備的各種接口滿足開(kāi)放和標(biāo)準(zhǔn)化原則?？蓴U(kuò)充和擴(kuò)展化原則：所有系統(tǒng)設(shè)備不但滿足當(dāng)前需要，并在擴(kuò)充模塊后滿足可預(yù)見(jiàn)將來(lái)需求，如帶寬和設(shè)備的擴(kuò)展，應(yīng)用的擴(kuò)展和辦公地點(diǎn)的擴(kuò)展等。保證建設(shè)完成后的系統(tǒng)在向新的技術(shù)升級(jí)時(shí)，能保護(hù)現(xiàn)有的投資?？晒芾硇栽瓌t：整個(gè)系統(tǒng)

7、的設(shè)備應(yīng)易于管理，易于維護(hù)，操作簡(jiǎn)單，易學(xué)，易用，便于進(jìn)行系統(tǒng)配置，在設(shè)備、安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和控制，并可以進(jìn)行遠(yuǎn)程管理和故障診斷。第三章.設(shè)計(jì)方案3.1網(wǎng)絡(luò)設(shè)計(jì)原則根據(jù)以上要求，結(jié)合體育中心局域網(wǎng)的實(shí)際應(yīng)用和發(fā)展要求，在進(jìn)行本次網(wǎng)絡(luò)系統(tǒng)改造設(shè)計(jì)時(shí)，主要應(yīng)遵循以下原則：1）高性能：網(wǎng)絡(luò)要求具有數(shù)據(jù)、圖像、語(yǔ)音等多媒體實(shí)時(shí)通訊能力。主干網(wǎng)應(yīng)提供可保證的服務(wù)質(zhì)量和充足的帶寬。采用最新科技，以適應(yīng)大量數(shù)據(jù)傳輸以及多媒體信息的傳輸。整個(gè)系統(tǒng)在國(guó)內(nèi)三到五年內(nèi)保持領(lǐng)先的水平，并具有長(zhǎng)足的發(fā)展能力，以適應(yīng)未來(lái)網(wǎng)絡(luò)技術(shù)的發(fā)展。2）高可靠性：網(wǎng)絡(luò)系統(tǒng)是日常業(yè)務(wù)和各種應(yīng)用系統(tǒng)的基礎(chǔ)設(shè)施，應(yīng)

8、保證工作日和重點(diǎn)時(shí)期不間斷運(yùn)行。整個(gè)網(wǎng)絡(luò)應(yīng)有足夠的冗余，設(shè)備在發(fā)生故障時(shí)能以熱插拔的方式在最短時(shí)間內(nèi)加以修復(fù)。可靠性還應(yīng)充分考慮網(wǎng)絡(luò)系統(tǒng)的性價(jià)比，使整個(gè)網(wǎng)絡(luò)具有一定的容錯(cuò)能力，減少單點(diǎn)故障。3）標(biāo)準(zhǔn)化：所有網(wǎng)絡(luò)設(shè)備都應(yīng)符合有關(guān)國(guó)際標(biāo)準(zhǔn)以保證不同廠家網(wǎng)絡(luò)設(shè)備之間的互操作性和網(wǎng)絡(luò)系統(tǒng)的開(kāi)放性。4）可擴(kuò)充性和可擴(kuò)展性：所有網(wǎng)絡(luò)設(shè)備不但滿足當(dāng)前需要，并在擴(kuò)充模塊后，滿足可預(yù)見(jiàn)將來(lái)需求。網(wǎng)絡(luò)設(shè)計(jì)要考慮本期網(wǎng)絡(luò)系統(tǒng)應(yīng)用和今后網(wǎng)絡(luò)的發(fā)展，便于向更新技術(shù)的升級(jí)與銜接。要留有擴(kuò)充余量，包括端口數(shù)量和帶寬的升級(jí)能力。5）易管理性：網(wǎng)絡(luò)設(shè)備應(yīng)易于管理，易于維護(hù)，操作簡(jiǎn)單，易學(xué)，易用，便于進(jìn)行網(wǎng)絡(luò)配置，發(fā)現(xiàn)故障。6）

9、支持多媒體：支持文本、語(yǔ)音、圖形、圖像及音頻、視頻等多種媒體信息的傳輸、查詢服務(wù)，具有多種基于優(yōu)先級(jí)隊(duì)列的QoS保證，多媒體應(yīng)用對(duì)服務(wù)質(zhì)量有很高的要求，如帶寬，延遲，延遲的變化等，需要網(wǎng)絡(luò)對(duì)服務(wù)質(zhì)量(QoS)有很好的支持。7） 安全性：網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)和文件多數(shù)要求具有高度的安全性，因此，網(wǎng)絡(luò)系統(tǒng)本身要有較高的安全性，對(duì)使用的信息進(jìn)行嚴(yán)格的權(quán)限管理，在技術(shù)上提供先進(jìn)的、可靠的、全面的安全方案和應(yīng)急措施，確保系統(tǒng)萬(wàn)無(wú)一失。同時(shí)符合國(guó)家關(guān)于網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和管理?xiàng)l例。8）實(shí)用性：系統(tǒng)建設(shè)首先要從系統(tǒng)的實(shí)用性角度出發(fā)，未來(lái)企業(yè)內(nèi)部的信息傳輸都將依賴于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，所以系統(tǒng)設(shè)計(jì)必須具有很強(qiáng)的實(shí)用性，滿足不

10、同用戶信息服務(wù)的實(shí)際需要，具有很高的性能價(jià)格比，能為多種應(yīng)用系統(tǒng)提供強(qiáng)有力的支持平臺(tái)；同時(shí)應(yīng)很好地利用現(xiàn)有設(shè)備資源，保護(hù)用戶的已有投資。3.2組網(wǎng)方案XX體育中心局域網(wǎng)主要是搭建網(wǎng)絡(luò)框架，建立一套獨(dú)立的通信平臺(tái)，為各種用戶的需要提供基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，以適應(yīng)今后對(duì)網(wǎng)絡(luò)的不斷需求。由于整體網(wǎng)絡(luò)的性質(zhì)，對(duì)網(wǎng)絡(luò)設(shè)備有很高的要求，至少滿足5-10年的發(fā)展需要，同時(shí)考慮今后的發(fā)展，應(yīng)用逐漸增多，給網(wǎng)絡(luò)帶來(lái)的壓力。因此需要核心設(shè)備具有高性能和豐富的業(yè)務(wù)功能，在提供高速的轉(zhuǎn)發(fā)的同時(shí)，可以靈活設(shè)置策略，保障高端用戶能夠得到優(yōu)質(zhì)的服務(wù)。根據(jù)以上分析，我們組建體育中心局域網(wǎng)網(wǎng)絡(luò)，具體網(wǎng)絡(luò)拓?fù)鋱D如下：如上圖所示，核心機(jī)房

11、位于辦公樓，下聯(lián)各個(gè)不同的匯聚點(diǎn)和接入點(diǎn)，根據(jù)布線的情況和網(wǎng)絡(luò)最優(yōu)化設(shè)計(jì)，組成多級(jí)網(wǎng)絡(luò)架構(gòu)。3.21辦公樓核心區(qū)如圖所示，在辦公樓核心層配備一臺(tái)萬(wàn)兆核心交換機(jī)S9512，配置冗余引擎、冗余電源，實(shí)現(xiàn)單核心的可靠性，使故障率降到最低；下行千兆單模光纖連接個(gè)匯聚節(jié)點(diǎn)（6個(gè)）和遠(yuǎn)端接入點(diǎn)（6個(gè)），實(shí)現(xiàn)網(wǎng)絡(luò)的連通性。在服務(wù)器區(qū)，采用直接接入核心交換機(jī)的方式，在核心交換機(jī)上配置24個(gè)千兆電口模塊，通過(guò)千兆銅纜與服務(wù)器相連。在Internet出口，采用H3C MSR路由器，與運(yùn)營(yíng)商（ISP）相連，下聯(lián)安全設(shè)備H3C IPS T200-A和防火墻 SecPath F1000-S ，形成對(duì)外Internet的

12、整體安全策略，保護(hù)內(nèi)網(wǎng)不受外部的影響，從而使整個(gè)網(wǎng)絡(luò)更加安全、穩(wěn)定、可靠。3.22辦公樓匯聚區(qū)在辦公樓內(nèi)部，配置一臺(tái)匯聚交換機(jī)S5510-24F，全千兆光口交換機(jī)，上聯(lián)千兆光纖到核心交換機(jī)，下聯(lián)千兆光纖到接入交換機(jī)。實(shí)現(xiàn)辦公樓的網(wǎng)絡(luò)接入。同時(shí)與遠(yuǎn)端北、東、西入口接入交換機(jī)相連，實(shí)現(xiàn)遠(yuǎn)端接入。3.23XX中心體育場(chǎng)匯聚區(qū)在體育中心場(chǎng)匯聚點(diǎn)，配置一臺(tái)匯聚交換機(jī)S5510-24F，全千兆光口交換機(jī)，上聯(lián)千兆光纖到核心交換機(jī)，下聯(lián)千兆光纖到接入交換機(jī)。實(shí)現(xiàn)XX中心體育場(chǎng)內(nèi)部網(wǎng)絡(luò)的接入。3.24綜合體育館匯聚區(qū)在綜合體育館匯聚點(diǎn)，配置一臺(tái)匯聚交換機(jī)S5510-24F，全千兆光口交換機(jī)，上聯(lián)千兆光纖到核心

13、交換機(jī)，下聯(lián)千兆光纖到綜合體育場(chǎng)內(nèi)、手球練習(xí)館和足球聯(lián)系館接入交換機(jī)。實(shí)現(xiàn)綜合體育館匯聚區(qū)內(nèi)的網(wǎng)絡(luò)接入。3.25游泳館匯聚區(qū)在游泳館匯聚點(diǎn)，配置一臺(tái)匯聚交換機(jī)S5510-24F，全千兆光口交換機(jī)，上聯(lián)千兆光纖到核心交換機(jī)，下聯(lián)千兆光纖到游泳館內(nèi)和曲棍球比賽場(chǎng)接入交換機(jī)，網(wǎng)球場(chǎng)接入交換機(jī)在匯接到曲棍球比賽場(chǎng)，實(shí)現(xiàn)游泳館區(qū)內(nèi)的網(wǎng)絡(luò)的接入。3.26綜合訓(xùn)練館匯聚區(qū)在綜合訓(xùn)練館匯聚點(diǎn)，配置一臺(tái)匯聚交換機(jī)S5510-24F，全千兆光口交換機(jī)，上聯(lián)千兆光纖到核心交換機(jī)，下聯(lián)千兆光纖到接入交換機(jī)，實(shí)現(xiàn)綜合訓(xùn)練館內(nèi)部的網(wǎng)絡(luò)接入。同連接能源設(shè)備機(jī)房和總配電室，實(shí)現(xiàn)互聯(lián)。3.3.方案特點(diǎn)網(wǎng)絡(luò)高性能設(shè)計(jì)：XX體育中

14、心局域網(wǎng)主干采用高速的千兆以太網(wǎng)技術(shù)，百兆到終端設(shè)備。核心交換機(jī)S9512交換容量720Gbps，轉(zhuǎn)發(fā)性能423Mpps；網(wǎng)絡(luò)設(shè)備的高交換性能，為全網(wǎng)提供數(shù)據(jù)轉(zhuǎn)發(fā)的可靠保障。網(wǎng)絡(luò)高可靠設(shè)計(jì)：XX體育中心局域網(wǎng)配備了冗余引擎、冗余電源、冗余風(fēng)扇，其采用電信級(jí)的高可靠設(shè)計(jì)，支持所有模塊的熱插拔，整機(jī)可靠性高達(dá)99.9999%。網(wǎng)絡(luò)的高安全性設(shè)計(jì)：核心層設(shè)備基于最長(zhǎng)匹配的路由策略，系統(tǒng)采用逐包轉(zhuǎn)發(fā)方式，保證了所有報(bào)文均獲得相同的轉(zhuǎn)發(fā)性能，對(duì)某些針對(duì)網(wǎng)絡(luò)設(shè)備的攻擊具有天生的防御能力，有效保證了設(shè)備安全。在Internet出口處，配置了千兆防火墻和入侵防御系統(tǒng)IPS，以提高防御Internet上攻擊的能

15、力。網(wǎng)絡(luò)的可擴(kuò)展性設(shè)計(jì)：建議在部署光纖鏈路實(shí)現(xiàn)設(shè)備互聯(lián)時(shí)，能預(yù)留出冗余的光纖通道，一方面可用于鏈路備份，另一方面在將來(lái)需要骨干網(wǎng)帶寬升級(jí)時(shí)，可通過(guò)多鏈路捆綁方式實(shí)現(xiàn)帶寬擴(kuò)容。 對(duì)于設(shè)備而言，核心交換機(jī)支持引擎升級(jí)的方式實(shí)現(xiàn)性能和容量的擴(kuò)展，S9512交換機(jī)更新引擎后，設(shè)備性能可提升一倍，在支持更高密度和更高性能的業(yè)務(wù)板的同時(shí)，還能兼容使用老的業(yè)務(wù)單板，長(zhǎng)久保護(hù)國(guó)家?jiàn)W林匹克體育中心對(duì)設(shè)備的投資。網(wǎng)絡(luò)的可管理設(shè)計(jì)：XX體育中心局域網(wǎng)設(shè)備眾多，布置分散，需要一套易于使用、功能強(qiáng)大的網(wǎng)管系統(tǒng)，來(lái)縮短故障定位時(shí)間，協(xié)作維護(hù)人員迅速解決問(wèn)題，降低網(wǎng)絡(luò)維護(hù)人員的工作量，IMC智能網(wǎng)管中心除了可獨(dú)立完成網(wǎng)絡(luò)拓

16、撲結(jié)構(gòu)顯示，故障管理、性能管理、配置管理等功能以外，還針對(duì)國(guó)內(nèi)用戶的特色需求，做了很多個(gè)性化開(kāi)發(fā)。3.4 IP地址規(guī)劃說(shuō)明IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，大型計(jì)算機(jī)網(wǎng)絡(luò)必須對(duì)IP地址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。IP地址的合理分配是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。對(duì)于IP地址的分配應(yīng)該盡可能地利用申請(qǐng)到的地址空間，充分考慮到地址空間的合理使用，保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布。IP地址的分配和網(wǎng)絡(luò)組織、路由策略以及網(wǎng)絡(luò)管理等

17、都有密切的關(guān)系，具體的IP地址分配將通常在工程實(shí)施時(shí)統(tǒng)一規(guī)劃實(shí)施，這里主要描述IP地址分配的原則。主要的原則描述為：l IP地址分配要盡量給每個(gè)區(qū)域分配連續(xù)的IP地址空間，有利于路由聚合以及安全控制；l IP地址的規(guī)劃與劃分應(yīng)該考慮到用戶的發(fā)展，能夠滿足未來(lái)發(fā)展的需要；即要滿足本期工程對(duì)IP地址的需求，同時(shí)要充分考慮未來(lái)業(yè)務(wù)發(fā)展，預(yù)留相應(yīng)的地址段；l 地址分配是由業(yè)務(wù)驅(qū)動(dòng)，按照業(yè)務(wù)量的大小分配各地的地址段；l IP地址的分配必須采用VLSM(變長(zhǎng)掩碼)技術(shù)，保證IP地址的利用效率；l 采用CIDR技術(shù)，這樣可以減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大

18、小；l 在公有地址有保證的前提下，盡量使用公有地址，主要包括設(shè)備loopback地址、設(shè)備間互連地址。l 充分合理利用已申請(qǐng)的地址空間，提高地址的利用效率。IP地址規(guī)劃應(yīng)該是網(wǎng)絡(luò)整體規(guī)劃的一部分，即IP地址規(guī)劃要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來(lái)考慮。IP地址的規(guī)劃應(yīng)盡可能和網(wǎng)絡(luò)層次相對(duì)應(yīng)，應(yīng)該是自頂向下的一種規(guī)劃。3.5VLAN規(guī)劃3.51劃分VLAN的必要性VLAN是建立在各種交換技術(shù)基礎(chǔ)之上的。所謂交換實(shí)質(zhì)上只是物理網(wǎng)絡(luò)上的一個(gè)控制點(diǎn)，它由軟件進(jìn)行管理，所以允許用戶利用軟件功能靈活地配置資源，管理網(wǎng)絡(luò)。利用交換設(shè)備中的虛網(wǎng)功能，不必改變網(wǎng)絡(luò)的物理基礎(chǔ)，即可重新配置網(wǎng)絡(luò)。采用

19、虛網(wǎng)功能，網(wǎng)絡(luò)性能可以獲得較大的改善：1、虛網(wǎng)技術(shù)能對(duì)工作組業(yè)務(wù)進(jìn)行過(guò)濾，有效地分割通信量，因而能更好地利用帶寬，提高網(wǎng)絡(luò)總的吞吐量。2、采用虛網(wǎng)技術(shù)可以將不同區(qū)域的設(shè)備組成一個(gè)網(wǎng)段而不用更改布線，因?yàn)樘摼W(wǎng)技術(shù)是從邏輯角度而非物理角度來(lái)劃分子網(wǎng)的，所以采用虛網(wǎng)技術(shù)能減輕系統(tǒng)的擴(kuò)容壓力，將遷移費(fèi)用降至最小。3、采用虛網(wǎng)技術(shù)能有效隔離網(wǎng)絡(luò)設(shè)備，增加網(wǎng)絡(luò)的安全性和保密性。虛擬網(wǎng)絡(luò)的安全策略采用的主要協(xié)議為IEEE802.1Q，此協(xié)議結(jié)合有鑒別和加密技術(shù)以確保整個(gè)網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的保密性和完整性。4、虛網(wǎng)技術(shù)能對(duì)屬于同一工作組的用戶提供廣播服務(wù)，但與傳統(tǒng)的局域網(wǎng)協(xié)議所不同的是，虛擬局域網(wǎng)能限制廣播的區(qū)域，

20、從而節(jié)省網(wǎng)絡(luò)帶寬。5、虛擬局域網(wǎng)可以建立在不同的物理網(wǎng)絡(luò)上，用封裝的辦法支法支持不同的網(wǎng)絡(luò)協(xié)議絡(luò)協(xié)議，如SNMP、NMP、IPX、TCP/IP、IEEE802.33等，兼容性非常好。3.52 VLAN劃分說(shuō)明：按照體育館的業(yè)務(wù)要求，合理地對(duì)不同的業(yè)務(wù)劃分VLAN,有利于業(yè)務(wù)之間的的隔離、縮小廣播域、并對(duì)IP地址規(guī)劃和QoS、安全設(shè)計(jì)等有直接的支持作用。劃分原則：把功能（應(yīng)用）相近的設(shè)備群組（端口）劃分到同一VLAN，將不同性質(zhì)的設(shè)備（端口）劃分到不同VLAN。各VLAN成員之間不能直接訪問(wèn)，不同VLAN之間的流量必須經(jīng)過(guò)路由。在辦公網(wǎng)現(xiàn)有規(guī)劃的基礎(chǔ)上，進(jìn)行VLAN的設(shè)計(jì)及劃分，如下：賽事專網(wǎng)：

21、VLAN 10；技術(shù)部門(mén)：VLAN 11；辦公新聞官員服務(wù)：VLAN 12；第四章.網(wǎng)絡(luò)安全方案建議隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛使用和網(wǎng)絡(luò)之間信息傳輸量的急劇增長(zhǎng)，一些機(jī)構(gòu)和部門(mén)在得益于網(wǎng)絡(luò)加快業(yè)務(wù)運(yùn)作的同時(shí)，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的破壞,或被刪除或被復(fù)制或被篡改和竊取，數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重的威脅。無(wú)論是有意的攻擊，還是無(wú)意的誤操作，都將會(huì)給系統(tǒng)帶來(lái)不可估量的損失。攻擊者可以竊聽(tīng)網(wǎng)絡(luò)上的信息，竊取用戶的口令、數(shù)據(jù)庫(kù)的信息；還可以篡改數(shù)據(jù)庫(kù)內(nèi)容，偽造用戶身份，否認(rèn)自己的簽名。更有甚者，攻擊者可以刪除數(shù)據(jù)庫(kù)內(nèi)容，摧毀網(wǎng)絡(luò)節(jié)點(diǎn)，釋放計(jì)算機(jī)病毒等等。黑客的威脅見(jiàn)諸報(bào)道的已經(jīng)屢見(jiàn)不鮮，像不久

22、前的中美黑客大戰(zhàn)就曾轟動(dòng)一時(shí)。內(nèi)部工作人員的不小心甚至充當(dāng)間諜，據(jù)統(tǒng)計(jì)分析，70%的安全問(wèn)題來(lái)自于內(nèi)部。內(nèi)部工作人員能較多地接觸內(nèi)部信息，工作中的任何有意行為或者不小心都可能給信息安全帶來(lái)危險(xiǎn)。這些都使信息安全問(wèn)題越來(lái)越復(fù)雜。在國(guó)家?jiàn)W林匹克體育中心局域網(wǎng)中運(yùn)行著各種管理業(yè)務(wù)系統(tǒng)，存儲(chǔ)數(shù)據(jù)涉及核心秘密的信息，若網(wǎng)絡(luò)系統(tǒng)被非法攻擊將會(huì)直接影響地下商業(yè)的各個(gè)企業(yè)業(yè)務(wù)并造成損失，其影響是難以估量的。綜上所述，在國(guó)家?jiàn)W林匹克體育中心局域網(wǎng)必須有足夠強(qiáng)的安全措施。無(wú)論是在局域網(wǎng)還是在Internet出口處，網(wǎng)絡(luò)的安全措施都應(yīng)能全方位地應(yīng)付各種不同的安全威脅和系統(tǒng)脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性

23、和可用性。4.1網(wǎng)絡(luò)安全技術(shù)概述網(wǎng)絡(luò)安全技術(shù)包括：防火墻，身份認(rèn)證，入侵檢測(cè)和漏洞掃描，VPN安全通道，安全策略管理和防病毒。1、防火墻技術(shù)，一般用于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)交界處的安全，主要包括因特網(wǎng)出口處以及內(nèi)部單位之間的安全，Internet出口處的安全措施一般采取加防火墻的方法，實(shí)施地址轉(zhuǎn)換，隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，限制外部用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)的權(quán)限和可到達(dá)的區(qū)域等，防火墻目前包括硬件防火墻和軟件防火墻2種，由于硬件防火墻的高性能和更好的安全性，目前被更加廣泛的使用，新型的防火墻具有的透明防火墻功能更多的被用于內(nèi)部網(wǎng)絡(luò)之間進(jìn)行訪問(wèn)控制，提高網(wǎng)絡(luò)的安全性和可管理性。2、身份認(rèn)證，包括用戶身份鑒別、用戶訪

24、問(wèn)權(quán)限授權(quán)、用戶訪問(wèn)資源計(jì)帳。3、漏洞掃描，檢查安全基礎(chǔ)設(shè)施的有效性，包括新系統(tǒng)安裝檢查，發(fā)現(xiàn)惡意入侵行為的措施等。安全掃描工具主要用于主動(dòng)的發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)上所有設(shè)備存在的安全漏洞，可以提示用戶進(jìn)行相應(yīng)的措施加以解決。 4、安全通道，指數(shù)據(jù)的保密性，涉及數(shù)據(jù)在傳輸過(guò)程特別是在公網(wǎng)信道上不被竊取，保證數(shù)據(jù)的目標(biāo)用戶可以容易解讀加密的數(shù)據(jù)。包括有硬件信道加密以及二層VPN、三層VPN等技術(shù)。5、防病毒，當(dāng)今計(jì)算機(jī)電腦病毒對(duì)用戶網(wǎng)絡(luò)、計(jì)算機(jī)、重要資料造成的損害越來(lái)越大，而且傳播途徑多種多樣，必須建立網(wǎng)絡(luò)病毒檢測(cè)、預(yù)防和治理相結(jié)合的完善防病毒體系。6、安全策略，主要由用戶根據(jù)網(wǎng)絡(luò)內(nèi)部不同部分的重要性的差

25、別，以及功能差別等因素，定制處不同的安全策略，包括Internet網(wǎng)絡(luò)用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)以及內(nèi)部用戶的不同的訪問(wèn)權(quán)限等，安全策略的制定將直接影響到網(wǎng)絡(luò)的安全性能。4.2防火墻解決方案在國(guó)家?jiàn)W林匹克體育中心局域網(wǎng)系統(tǒng)中，在Internet出口處使用硬件防火墻，更好的完成對(duì)內(nèi)部網(wǎng)絡(luò)的安全防護(hù)功能。隨著Internet的越來(lái)越普及，應(yīng)用的越廣泛，病毒的危害也越來(lái)越大?？偸遣煌５挠行碌牟《境霈F(xiàn)，并造成破壞，人們特別是系統(tǒng)管理員的工作量也越來(lái)越大，因此，如何構(gòu)筑一個(gè)更加有效的防病毒體制，成為了一個(gè)企業(yè)不得不去面對(duì)的問(wèn)題。防火墻的主要功能都使用包過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)換、代理服務(wù)三個(gè)基本方法。包過(guò)濾功能拒絕接

26、受從未授權(quán)的主機(jī)發(fā)送的TCP/IP 包，并拒絕接受使用未授權(quán)服務(wù)的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換翻譯內(nèi)部主機(jī)的IP 地址而使外部監(jiān)視器無(wú)法探測(cè)它們。代理服務(wù)代表內(nèi)部主機(jī)進(jìn)行高層應(yīng)用連接，完全中斷內(nèi)部主機(jī)與外部主機(jī)的網(wǎng)絡(luò)層連接。大多數(shù)防火墻還執(zhí)行加密的身份認(rèn)證和加密通道兩個(gè)重要的安全服務(wù)。加密的身份認(rèn)證允許公共網(wǎng)絡(luò)上的用戶從外部網(wǎng)絡(luò)為獲得專用網(wǎng)絡(luò)的訪問(wèn)權(quán)證實(shí)他們的身份。通過(guò)公共網(wǎng)絡(luò)（如Internet）為兩個(gè)專用網(wǎng)絡(luò)之間建立一個(gè)安全的加密通道來(lái)進(jìn)行通信。由于內(nèi)部網(wǎng)絡(luò)要和外部網(wǎng)絡(luò)發(fā)生業(yè)務(wù)聯(lián)系，又要保證網(wǎng)絡(luò)的安全性，故在內(nèi)部網(wǎng)絡(luò)和INTERNET出口路由器之間設(shè)置華三公司的硬件防火墻H3C SecPath

27、F1000-S來(lái)保證網(wǎng)絡(luò)內(nèi)系統(tǒng)的安全。H3C SecPath F1000-S提供完善的安全特性，如包過(guò)濾防火墻、狀態(tài)防火墻、驗(yàn)證、加密等功能和完善的VPN服務(wù)。1)、NAT 特性通過(guò)防火墻的NAT/PAT則可以用來(lái)實(shí)現(xiàn)私有網(wǎng)絡(luò)地址與公有網(wǎng)絡(luò)地址之間的轉(zhuǎn)換。地址轉(zhuǎn)換的優(yōu)點(diǎn)在于屏蔽了內(nèi)部網(wǎng)絡(luò)的實(shí)際地址，外部網(wǎng)絡(luò)基本不可能穿過(guò)地址轉(zhuǎn)換層直接訪問(wèn)國(guó)家?jiàn)W林匹克體育中心局域網(wǎng)。地址轉(zhuǎn)換能夠?qū)⒕W(wǎng)內(nèi)服務(wù)器發(fā)出的報(bào)文的源地址全部映射成一個(gè)外部地址。地址轉(zhuǎn)換使網(wǎng)內(nèi)用戶通過(guò)路由器訪問(wèn)Internet的同時(shí)保證網(wǎng)絡(luò)內(nèi)部的安全性。2)、包過(guò)濾防火墻特性H3C SecPath F1000-S提供完善的包過(guò)濾防火墻特性：A

28、、 可以根據(jù)IP包的目的地址、源地址，TCP/UDP的目的端口、源端口，ICMP報(bào)文的類型、Code等信息進(jìn)行包過(guò)濾。B、可以針對(duì)分片報(bào)文指定專門(mén)的過(guò)濾規(guī)則。C、可以針對(duì)分片報(bào)文進(jìn)行精確的四層匹配。D、可以對(duì)違反規(guī)則的報(bào)文做日志。E、配置ACL安全規(guī)則的時(shí)候，可以提供自動(dòng)排序或者按照配置順序排序兩種規(guī)則排序方式，極大的方便了用戶配置安全規(guī)則。F、可以根據(jù)收到報(bào)文的接口進(jìn)行包過(guò)濾，例如可以禁止從Eth0接口進(jìn)入的報(bào)文從Eth1接口轉(zhuǎn)發(fā)。G、黑名單過(guò)濾惡意主機(jī)為了更快捷地發(fā)現(xiàn)并屏蔽某些惡意主機(jī)的攻擊行為，H3C SecPath F1000-S系列防火墻提供主動(dòng)防御措施（即動(dòng)態(tài)、手工兩種方式維護(hù)黑名

29、單列表），將某些報(bào)文源IP地址記錄在黑名單中，從而實(shí)現(xiàn)高速的報(bào)文過(guò)濾。H、防范假冒IP地址H3C SecPath F1000-S系列防火墻根據(jù)用戶配置，將MAC和IP地址的綁定并形成關(guān)聯(lián)關(guān)系，從而過(guò)濾IP地址和MAC地址不匹配的報(bào)文，從而有效避免IP地址假冒攻擊的行為。3)、應(yīng)用層狀態(tài)檢測(cè)傳統(tǒng)的包過(guò)濾技術(shù)雖然簡(jiǎn)單，但缺乏一定的靈活性，對(duì)類似于FTP這樣的多通道應(yīng)用來(lái)說(shuō)，配置包過(guò)濾是困難的；FTP應(yīng)用包含一個(gè)預(yù)知端口的TCP控制通道和一個(gè)動(dòng)態(tài)協(xié)商的TCP數(shù)據(jù)通道，配置安全策略時(shí)無(wú)法預(yù)知數(shù)據(jù)通道的端口號(hào)，因此無(wú)法確定數(shù)據(jù)通道的入口。H3C SecPath F1000-S 系列防火墻提供的ASPF（

30、Application Specific Packet Filter，基于應(yīng)用層規(guī)范的包過(guò)濾）特性可以解決這個(gè)問(wèn)題。ASPF是一種高級(jí)通信過(guò)濾，它檢測(cè)基于TCP和UDP應(yīng)用的報(bào)文應(yīng)用層信息，監(jiān)控每一個(gè)連接的應(yīng)用層協(xié)議狀態(tài)，并動(dòng)態(tài)地根據(jù)報(bào)文的內(nèi)容創(chuàng)建和刪除臨時(shí)的ACL表項(xiàng)。每一個(gè)連接狀態(tài)信息都將被ASPF維護(hù)并用于動(dòng)態(tài)地決定數(shù)據(jù)包是否被允許通過(guò)防火墻或丟棄，可以保證所有建立的連接都是合法連接，防止地址欺騙、身份偽造等惡意攻擊行為。H3C SecPath F1000-S 的ASPF特性還可以檢測(cè)基于TCP SYN的DoS攻擊；由于ASPF維護(hù)并記錄每一個(gè)TCP連接狀態(tài)，因此根據(jù)TCP SYN狀態(tài)的

31、數(shù)目及速率等方式（是否超過(guò)一個(gè)預(yù)定的閾值）來(lái)判定系統(tǒng)是否正在遭受DoS攻擊，從而可以防止DoS攻擊。目前提供如下檢測(cè)：標(biāo)準(zhǔn)TCP、UDP報(bào)文檢測(cè)分片報(bào)文檢測(cè)FTP協(xié)議數(shù)據(jù)通道和協(xié)議狀態(tài)檢測(cè)SMTP協(xié)議狀態(tài)檢測(cè)RTSP（Real Time Streaming Protocol）協(xié)議媒體通道和協(xié)議狀態(tài)檢測(cè)H.323協(xié)議多通道和協(xié)議狀態(tài)檢測(cè)HTTP協(xié)議狀態(tài)檢測(cè)Java Blocking保護(hù)和ActiveX Blocking保護(hù)Java小程序由Internet瀏覽器進(jìn)行解釋并在客戶端執(zhí)行，因此它把安全風(fēng)險(xiǎn)直接從服務(wù)器端轉(zhuǎn)移到了客戶端。H3C SecPath F1000-S系列防火墻通過(guò)在兩個(gè)區(qū)域之間對(duì)

32、較高安全級(jí)別的區(qū)域?qū)嵤㎎ava Blocking保護(hù)，確保網(wǎng)絡(luò)傳輸（通過(guò)HTTP方式傳送的Java信息）不受有害Java applets的破壞。同樣，H3C SecPath F1000-S系列防火墻也能有效實(shí)施ActiveX Blocking保護(hù)，從而避免ActiveX控件給Internet瀏覽器端造成安全威脅。端口到應(yīng)用的映射：由于所有應(yīng)用層協(xié)議都使用一些系統(tǒng)預(yù)定義的（知名）端口號(hào)通信，為了防范惡意用戶進(jìn)行端口掃描，從而攻擊系統(tǒng)，系統(tǒng)管理員可以對(duì)不同應(yīng)用在系統(tǒng)定義的端口號(hào)之外指定一組新的端口號(hào)，外界主機(jī)與這些新端口號(hào)發(fā)起連接，從而隱藏內(nèi)部知名端口，從而提供良好的安全機(jī)制。目前支持兩類映射機(jī)制

33、：通用端口映射和基于標(biāo)準(zhǔn)ACL的主機(jī)端口映射。通用端口映射將用戶自定義端口號(hào)和應(yīng)用層協(xié)議建立映射關(guān)系，這樣目的端口號(hào)就決定了該報(bào)文類別。主機(jī)端口映射利用標(biāo)準(zhǔn)ACL規(guī)則，將來(lái)自某些特定主機(jī)的報(bào)文、端口號(hào)和應(yīng)用協(xié)議之間建立映射關(guān)系。4)、防范攻擊隨著Internet的廣泛應(yīng)用，網(wǎng)絡(luò)攻擊手段越來(lái)越高明，并且越加隱蔽。按照攻擊采用的方式，網(wǎng)絡(luò)攻擊大致可以分為：DoS（Denial of Service，拒絕服務(wù)）攻擊、掃描窺探攻擊、其它攻擊。H3C SecPath F1000-S系列防火墻提供強(qiáng)大的攻擊防范機(jī)制，對(duì)設(shè)備進(jìn)行安全保護(hù)，防止非法報(bào)文對(duì)內(nèi)部網(wǎng)絡(luò)造成危害。防范多種DoS攻擊：可以有效地檢測(cè)出這

34、些類攻擊報(bào)文，避免攻擊行為，記錄日志。包括：SYN Flood攻擊、ICMP Flood、UDP Flood攻擊、Land攻擊、Smurf攻擊、Fraggle攻擊、WinNuke攻擊、ICMP重定向或不可達(dá)報(bào)文、TCP報(bào)文標(biāo)志位（如ACK、SYN、FIN等）不合法、Ping of Death攻擊、Tear Drop攻擊等等。防范掃描窺探：H3C SecPath F1000-S防火墻通過(guò)比較分析，可以靈活高效地檢測(cè)出這類掃描窺探報(bào)文，預(yù)先避免后續(xù)的攻擊行為?？煞乐沟膾呙韪Q探包括：地址掃描、端口掃描、IP源站選路選項(xiàng)、IP路由記錄選項(xiàng)、tracert窺探網(wǎng)絡(luò)結(jié)構(gòu)：Tracert利用TTL限定的IC

35、MP或UDP報(bào)文，發(fā)現(xiàn)報(bào)文到達(dá)目的地所經(jīng)過(guò)的路徑，從而窺探網(wǎng)絡(luò)結(jié)構(gòu)。防范其它攻擊：IP Spoofing 攻擊：在基于IP地址驗(yàn)證的應(yīng)用中，入侵者通常偽造報(bào)文的源地址從而獲得對(duì)系統(tǒng)的訪問(wèn)權(quán)。5)、重要數(shù)據(jù)加密H3C SecPath F1000-S系列防火墻支持IETF制訂的IPSec系列協(xié)議，通過(guò)采用自動(dòng)協(xié)商密鑰的方式，在傳輸或隧道模式下能夠單獨(dú)或組合應(yīng)用AH（Authentication Header ，確認(rèn)報(bào)頭）和ESP（Extended Services Processor，擴(kuò)展業(yè)務(wù)處理器）安全協(xié)議，對(duì)整個(gè)IP報(bào)文或數(shù)據(jù)載荷內(nèi)容進(jìn)行不同粒度級(jí)別的加密和認(rèn)證，從而提供驗(yàn)證數(shù)據(jù)源、校驗(yàn)數(shù)據(jù)完

36、整性和防止報(bào)文重放等（ESP還提供加密）功能，結(jié)合ACL訪問(wèn)控制列表共同確保數(shù)據(jù)信息在Internet上傳送的安全保密性。H3C SecPath F1000-S遵照ISAKMP（Internet Security Association and Key Management Protocol，因特網(wǎng)相關(guān)安全和密鑰管理協(xié)議）協(xié)議框架和IKE（Internet Key Exchange，因特網(wǎng)密鑰交換）協(xié)議實(shí)現(xiàn)自動(dòng)密鑰交換功能，簡(jiǎn)化了IPSec的使用和管理。4.3深度安全的防范設(shè)計(jì)由于防火墻的功能主要集中在四層以下的攻擊防范，針對(duì)上層入侵、病毒、蠕蟲(chóng)和拒絕服務(wù)攻擊的新特點(diǎn)，防火墻的處理能力相對(duì)較弱

37、，為了能更好地完成對(duì)外的防范目的，保護(hù)內(nèi)部的安全，必須采用創(chuàng)新的硬件和軟件技術(shù)來(lái)應(yīng)對(duì)主動(dòng)入侵防御系統(tǒng)。4.31部署方案主動(dòng)式入侵防御系統(tǒng)部署方案如下圖所示：在Internet出口處配置H3C SecPath T200-A IPS，網(wǎng)絡(luò)的吞吐量為200M，提供高吞吐量和低時(shí)延，幫助IT管理員完成對(duì)應(yīng)用、網(wǎng)絡(luò)架構(gòu)以及網(wǎng)絡(luò)和應(yīng)用系統(tǒng)性能保護(hù)這三個(gè)關(guān)鍵任務(wù)。H3C 提供業(yè)界最完整的入侵偵測(cè)防御功能，遠(yuǎn)遠(yuǎn)超出傳統(tǒng)IPS 的能力。 H3C定義的三大入侵偵測(cè)防御功能包括：應(yīng)用程序防護(hù)、網(wǎng)絡(luò)架構(gòu)防護(hù)與性能保護(hù)。這三大功能可提供最強(qiáng)大且最完整的保護(hù)以防御各種形式的網(wǎng)絡(luò)攻擊行為，如：病毒、Spyware、蠕蟲(chóng)、拒絕服務(wù)攻擊與非法的入侵和訪問(wèn)。4.32應(yīng)用程序防護(hù)H3C IPS提供擴(kuò)展至用戶端、服務(wù)器、及第二至第七層的網(wǎng)絡(luò)型攻擊防護(hù)，如：病毒、蠕蟲(chóng)與木馬程序。利用深層檢測(cè)應(yīng)用層數(shù)據(jù)包的技術(shù)，H3C IPS可以分辨出合法與有害的封包內(nèi)容。最新型的攻擊可以透過(guò)偽裝成合法應(yīng)用的技術(shù)，輕易的穿透防火墻。而H3C IPS運(yùn)用重組TCP 流量以檢視應(yīng)用層數(shù)