網(wǎng)絡(luò)安全防護(hù)解決方案

內(nèi)外網(wǎng)安全系統(tǒng)升級建設(shè)方案西安園林綠化總公司2016年8月TOC\o"1-5"\h\z\o"CurrentDocument"第一章項目概述3**項目背景3**需求分析3\o"CurrentDocument"第二章解決方案5**方案15**方案27\o"CurrentDocument"第三章產(chǎn)品概述10**H3C下一代安全防火墻10**ACG應(yīng)用控制網(wǎng)關(guān)18第一章項目概述**項目背景隨著網(wǎng)絡(luò)與信息化建設(shè)的飛速發(fā)展，人們的工作、生活方式發(fā)生了巨大變化。網(wǎng)上行政審批、網(wǎng)上報稅、網(wǎng)上銀行、網(wǎng)上文件提交等等網(wǎng)絡(luò)應(yīng)用不僅為使用者帶來了便利，而且大大提高了服務(wù)提供者的工作效率。但在享受網(wǎng)絡(luò)帶來便利的同時，我們也不得不面對來自網(wǎng)絡(luò)內(nèi)外的各種安全問題。不斷發(fā)現(xiàn)的網(wǎng)絡(luò)漏洞，以及在各種利益驅(qū)動下形成的地下黑色產(chǎn)業(yè)鏈，讓網(wǎng)絡(luò)隨時可能遭受到來自外部的各種攻擊。而網(wǎng)絡(luò)內(nèi)部的P2P下載、流媒體、IM即時消息、網(wǎng)絡(luò)游戲等互聯(lián)網(wǎng)應(yīng)用不僅嚴(yán)重占用網(wǎng)絡(luò)資源、降低企業(yè)工作效率，同時也成為蠕蟲病毒、木馬、后門傳播的主要途徑。公司目前信息網(wǎng)絡(luò)邊界防護(hù)比較薄弱，只在PC端自行安裝360殺毒軟件進(jìn)行防御，但是，隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，簡單的PC端防御無法滿足公司網(wǎng)絡(luò)安全需要，需要部署防火墻的安全保障體系并進(jìn)一步完善。**需求分析防火墻最基本的功能就是控制在計算機網(wǎng)絡(luò)中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流。例如互聯(lián)網(wǎng)是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡(luò)是高度信任的區(qū)域。以避免安全策略中禁止的一些通信，與建筑中的防火墻功能相似。它有控制信息基本的任務(wù)在不同信任的區(qū)域。典型信任的區(qū)域包括互聯(lián)網(wǎng)（一個沒有信任的區(qū)域）和一個內(nèi)部網(wǎng)絡(luò)（一個高信任的區(qū)域）。最終目標(biāo)是提供受控連通性在不同水平的信任區(qū)域通過安全政策的運行和連通性模型之間根據(jù)最少特權(quán)原則。

第二章解決方案原網(wǎng)絡(luò)架構(gòu)分析原有網(wǎng)絡(luò)為六套物理分割的相互獨立局域網(wǎng)絡(luò)，各個用戶走各用戶的網(wǎng)絡(luò)出口線路。此次要在此網(wǎng)絡(luò)基礎(chǔ)上進(jìn)行網(wǎng)絡(luò)安全防御以及流量管控，且后期建立自己局域網(wǎng)內(nèi)部網(wǎng)絡(luò)存儲，便于內(nèi)部資料交流與存儲。以目前此種情況，為此項目推薦2個可執(zhí)行性方案，方案1進(jìn)行全面防御，從進(jìn)出網(wǎng)絡(luò)流量的分析防御，到各個終端的安全防御，外來文件（U盤拷貝文件和下載文件）的殺毒等，方案2則進(jìn)行基礎(chǔ)防御，僅對進(jìn)出網(wǎng)絡(luò)流量的分析防御，終端繼續(xù)用原有的360殺毒進(jìn)行簡單基礎(chǔ)防御。**方案1出入內(nèi)外網(wǎng)流量的防御改造（基礎(chǔ)改造）

新增設(shè)備型號產(chǎn)品描述數(shù)量S5500-28C-EI核心交換機，用于將原有網(wǎng)絡(luò)用戶流量進(jìn)行匯總進(jìn)行統(tǒng)一防御流量分析管理1F100-A-G2防火墻，從用戶、應(yīng)用、時間、五元組等多個維度，對出入流量展開IPS、AV、DLP等一體化安全訪問控制，有效的保證網(wǎng)絡(luò)的安全1新增一臺核心交換機，將原有六路網(wǎng)絡(luò)用戶進(jìn)行流量匯總，便于防火墻進(jìn)行統(tǒng)一流量防御，也同時方便內(nèi)網(wǎng)用戶文件的交流。防火墻F100-A-G2進(jìn)行多維一體化安全防護(hù)，從用戶、應(yīng)用、時間、五元組等多個維度，對流量展開IPS、AV、DLP等一體化安全訪問控制，有效的保證網(wǎng)絡(luò)的安全；支持豐富的攻擊防范，包括IP分片報文，ARP欺騙、ARP主動反向查詢，地址掃描、端口掃描等攻擊防范，并且針對常見DDOS攻擊的檢測防御；支持安全日志，流量監(jiān)

控統(tǒng)計和管理，實時病毒防護(hù)，全面及時的安全特征庫等。支持多種VPN業(yè)務(wù)，與智能終端對接實現(xiàn)移動辦公；提供豐富的路由能力，支持RIP/OSPF/BGP/路由策略及基于應(yīng)用與URL的策略路由；支持IPv4/IPv6雙協(xié)議棧同時，實現(xiàn)針對IPV6的狀態(tài)防護(hù)和攻擊防范。防火墻對出入內(nèi)外網(wǎng)的流量分析防護(hù)后，同時分流到各個外網(wǎng)路由上，實現(xiàn)各區(qū)域用戶流量走各區(qū)域外網(wǎng)，不影響用戶外網(wǎng)的訪問。**方案2出入內(nèi)外網(wǎng)流量的防御改造和流量的管控限制以及用戶主機的安全防御（全面改造）

S5500-28C-EI核心交換機，用于將原有網(wǎng)絡(luò)用戶流量進(jìn)行匯總進(jìn)行統(tǒng)一防御流量分析管理1F100-A-G2防火墻，從用戶、應(yīng)用、時間、五元組等多個維度，對出入流量展開IPS、AV、DLP等一體化安全訪問控制，有效的保證網(wǎng)絡(luò)的安全1ACG應(yīng)用控制對網(wǎng)絡(luò)中的P2P/IM帶寬濫用、網(wǎng)絡(luò)游戲、炒股、網(wǎng)絡(luò)多媒體、非法網(wǎng)站訪問等行為進(jìn)行精細(xì)化識別和控制。提供業(yè)界最全面、完善的上網(wǎng)行為管理解決方案。保障網(wǎng)絡(luò)關(guān)鍵應(yīng)用和服務(wù)的帶寬，對網(wǎng)絡(luò)流量、用戶上網(wǎng)行為進(jìn)行深入分析與全面的審計，為用戶全面了解網(wǎng)絡(luò)應(yīng)用模型和流量趨勢，優(yōu)化其帶寬資源，開展各項業(yè)務(wù)提供有力的支撐。1PC終端安全軟件瑞星殺毒企業(yè)版或其他（待定）。對PC機的安全殺毒防御，外來U盤病毒文件的查殺等。網(wǎng)絡(luò)存儲設(shè)備后期增加網(wǎng)絡(luò)存儲設(shè)備，方便內(nèi)網(wǎng)用戶資源傳閱分享存儲等（待定）1在方案一基礎(chǔ)上附加了ACG應(yīng)用控制設(shè)備和PC終端安全管控軟件。ACG應(yīng)用控制設(shè)備對網(wǎng)絡(luò)中的網(wǎng)絡(luò)社區(qū)、P2P/IM帶寬濫用、網(wǎng)絡(luò)游戲、炒股、網(wǎng)絡(luò)多媒體、非法網(wǎng)站訪問等行為進(jìn)行精細(xì)化識別和控制。利用智能流控、智能阻斷、智能路由等技術(shù)，配合創(chuàng)新的社交網(wǎng)絡(luò)行為管理功能、清晰易管理日志等功能，提供業(yè)界最全面、完善的上網(wǎng)行為管理解決方案。從而保障網(wǎng)絡(luò)關(guān)鍵應(yīng)用和服務(wù)的帶寬，對網(wǎng)絡(luò)流量、用戶上網(wǎng)行為進(jìn)行深入分析與全面的審計，為用戶全面了解網(wǎng)絡(luò)應(yīng)用模型和流量趨勢，優(yōu)化其帶寬資源，開展各項業(yè)務(wù)提供有力的支撐。PC終端裝企業(yè)版殺毒軟件，對PC機本身的病毒進(jìn)行查殺防御，對外來文件（如U盤文件、E-mail文件等）進(jìn)行查殺防御，阻止病毒內(nèi)網(wǎng)傳播。

后期增加網(wǎng)絡(luò)存儲一套，方便內(nèi)網(wǎng)用戶進(jìn)行文件資源存儲與共享等，給予不同用戶不同的空間，自行管理，文件上傳備份，文件一鍵分享，等信息化一體化辦公體驗。第三章產(chǎn)品概述**H3C下一代安全防火墻H3CSecPathF100-A-G2防火墻是杭州華三通信技術(shù)有限公司（以下簡稱H3C公司）伴隨Web2.0時代的到來并結(jié)合當(dāng)前安全與網(wǎng)絡(luò)深入融合的技術(shù)趨勢，針對中小型企業(yè)、園區(qū)網(wǎng)互聯(lián)網(wǎng)出口以及廣域網(wǎng)分支市場推出的下一代高性能防火墻產(chǎn)品。H3CSecPathF100-A-G2防火墻支持多維一體化安全防護(hù)，可從用戶、應(yīng)用、時間、五元組等多個維度，對流量展開IPS、AV、DLP等一體化安全訪問控制，能夠有效的保證網(wǎng)絡(luò)的安全;支持多種VPN業(yè)務(wù)，如L2TPVPN、GREVPN、IPSecVPN和SSLVPN等，與智能終端對接實現(xiàn)移動辦公；提供豐富的路由能力，支持RIP/OSPF/BGP/路由策略及基于應(yīng)用與URL的策略路由；支持IPv4/IPv6雙協(xié)議棧同時，可實現(xiàn)針對IPV6的狀態(tài)防護(hù)和攻擊防范。產(chǎn)品特點高性能的軟硬件處理平臺H3CSecPathF100-X-G2采用了先進(jìn)的最新64位多核高性能處理器和高速存儲器。電信級設(shè)備高可靠性?采用H3C公司擁有自主知識產(chǎn)權(quán)的軟、硬件平臺。產(chǎn)品應(yīng)用從電信運營商到中小企業(yè)用戶，經(jīng)歷了多年的市場考驗。?支持H3CIRF虛擬化技術(shù)，可將多臺設(shè)備虛擬化為一臺邏輯設(shè)備，對外呈現(xiàn)為一個網(wǎng)絡(luò)節(jié)點，資源統(tǒng)一管理，完成業(yè)務(wù)備份同時提高系統(tǒng)整體性能。強大的安全防護(hù)功能?支持豐富的攻擊防范功能。包括：Land、Smurf、Fraggle、PingofDeath、TearDrop、IPSpoofing、IP分片報文、ARP欺騙、ARP主動反向查詢、TCP報文標(biāo)志位不合法、超大ICMP報文、地址掃描、端口掃描等攻擊防范，還包括針對SYNFlood、UPDFlood、ICMPFlood、DNSFlood等常見DDoS攻擊的檢測防御。?最新支持SOP1:N完全虛擬化?？稍贖3CSecPathF100-X-G2設(shè)備上劃分多個邏輯的虛擬防火墻，基于容器化的虛擬化技術(shù)使得虛擬系統(tǒng)與實際物理系統(tǒng)特性一致，并且可以基于虛擬系統(tǒng)進(jìn)行吞吐、并發(fā)、新建、策略等性能分配。?支持安全區(qū)域管理?？苫诮涌?、VLAN劃分安全區(qū)域。?支持包過濾。通過在安全區(qū)域間使用標(biāo)準(zhǔn)或擴展訪問控制規(guī)貝IJ，借助報文中UDP或TCP端口等信息實現(xiàn)對數(shù)據(jù)包的過濾。此外卜，還可以按照時間段進(jìn)行過濾。?支持基于應(yīng)用、用戶的訪問控制，將應(yīng)用與用戶作為安全策略

的基本元素，并結(jié)合深度防御實現(xiàn)下一代的訪問控制功能。?支持應(yīng)用層狀態(tài)包過濾（ASPF）功能。通過檢查應(yīng)用層協(xié)議信息（如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP協(xié)議的應(yīng)用層協(xié)議），并監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)，動態(tài)的決定數(shù)據(jù)包是被允許通過防火墻或者是被丟棄。?支持驗證、授權(quán)和計帳（AAA）服務(wù)。包括：基于RADIUS/HWTACACS+、CHAP、PAP等的認(rèn)證。?支持靜態(tài)和動態(tài)黑名單.?支持NAT和NAT多實例。?支持VPN功能。包括：支持L2TP、IPSec/IKE、GRE、SSL等，并實現(xiàn)與智能終端對接。?支持豐富的路由協(xié)議。支持靜態(tài)路由、策略路由，以及RIP、OSPF等動態(tài)路由協(xié)議。?支持安全日志。?支持流量監(jiān)控統(tǒng)計、管理。靈活可擴展的一體化DPI深度安全?與基礎(chǔ)安全防護(hù)高度集成的一體化安全業(yè)務(wù)處理平臺。?全面的應(yīng)用層流量識別與管理：通過H3C長期積累的狀態(tài)機檢測、流量交互檢測技術(shù)，能精確檢測Thunder/WebThunder?（迅雷/Web迅雷）、BitTorrent、eMule（電騾）/eDonkey（電驢）、QQ、MSN、PPLive等P2P/IM/網(wǎng)絡(luò)游戲/炒股/網(wǎng)絡(luò)視頻/網(wǎng)絡(luò)多媒體等應(yīng)用；支持P2P流量控制功能，通過對流

量采用深度檢測的方法，即通過將網(wǎng)絡(luò)報文與P2P協(xié)議報文特征?進(jìn)行匹配，可以精確的識別P2P流量，以達(dá)到對P2P流量進(jìn)行管理的目的，同時可提供不同的控制策略，實現(xiàn)靈活的P2P流量控制。?高精度、高效率的入侵檢測引擎。采用H3C公司自主知識產(chǎn)權(quán)的FIRST（FullInspectionwithRigorousStateTest基于精確狀態(tài)的全面檢測）引擎。FIRST引擎集成了多項檢測技術(shù)，實現(xiàn)了基于精確狀態(tài)的全面檢測，具有極高的入侵檢測精度；同時，F(xiàn)IRST引擎采用了并行檢測技術(shù)，軟、硬件可靈活適配，大大提高了入侵檢測的效率。?實時的病毒防護(hù)：采用Kaspersky公司的流引擎查毒技術(shù)，從而迅速、準(zhǔn)確查殺網(wǎng)絡(luò)流量中的病毒等惡意代碼。?迅捷的URL分類過濾：提供基礎(chǔ)的URL黑白名單過濾同時，可以配置URL分類過濾服務(wù)器在線查詢。?全面、及時的安全特征庫。通過多年經(jīng)營與積累，H3C公司擁有業(yè)界資深的攻擊特征庫團(tuán)隊，同時配備有專業(yè)的攻防實驗室，緊跟網(wǎng)絡(luò)安全領(lǐng)域的最新動態(tài)，從而保證特征庫的及時準(zhǔn)確更新。業(yè)界領(lǐng)先的IPv6?支持IPv6狀態(tài)防火墻，真正意義上實現(xiàn)IPv6條件下的防火墻功能，同時完成IPv6的攻擊防范。

?支持IPv4/IPv6雙協(xié)議棧，并支持IPv6數(shù)據(jù)報文轉(zhuǎn)發(fā)、靜態(tài)路由、動態(tài)路由及組播路由等功能。?支持IPv6各種過渡技術(shù)，包括NAT-PT、IPv6OverIPv4GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自動隧道、ISATAP隧道、NAT444、DS-Lite等。?支持IPv6ACL、Radius等安全技術(shù)。下一代多業(yè)務(wù)特性?集成鏈路負(fù)載均衡特性，通過鏈路狀態(tài)檢測、鏈路繁忙保護(hù)等技術(shù)，有效實現(xiàn)企業(yè)互聯(lián)網(wǎng)出口的多鏈路自動均衡和自動切換。一體化集成SSLVPN特性，滿足移動辦公、員工出差的安全訪問需求，不僅可結(jié)合USB-Key、短信進(jìn)行移動用戶的身份認(rèn)證，還可與企業(yè)原有認(rèn)證系統(tǒng)相結(jié)合、實現(xiàn)一體化的認(rèn)證接入。DLP基礎(chǔ)功能支持，支持郵件過濾，提供SMTP郵件地址、標(biāo)題、附件和內(nèi)容過濾；支持網(wǎng)頁過濾，提供HTTPURL和內(nèi)容過濾；支持網(wǎng)絡(luò)傳輸協(xié)議的文件過濾；支持應(yīng)用層過濾，提供Java/ActiveXBlocking和SQL注入攻擊防范。專業(yè)的智能管理?支持智能安全策略：實現(xiàn)策略冗余檢測、策略匹配優(yōu)化建議、動態(tài)檢測內(nèi)網(wǎng)業(yè)務(wù)動態(tài)生成安全策略并推薦。?支持標(biāo)準(zhǔn)網(wǎng)管SNMPv3，并且兼容SNMPv1和v2。

?提供圖形化界面，簡單易用的Web管理。?可通過命令行界面進(jìn)行設(shè)備管理與防火墻功能配置，滿足專業(yè)管理和大批量配置需求。?通過H3CIMCSSM安全管理中心實現(xiàn)統(tǒng)一管理，集安全信息與事件收集、分析、響應(yīng)等功能為一體，解決了網(wǎng)絡(luò)與安全設(shè)?備相互孤立、網(wǎng)絡(luò)安全狀況不直觀、安全事件響應(yīng)慢、網(wǎng)絡(luò)故障定位困難等問題，使IT及安全管理員脫離繁瑣的管理工作，極大提高工作效率，能夠集中精力關(guān)注核心業(yè)務(wù)。?基于先進(jìn)的深度挖掘及分析技術(shù)，采用主動收集、被動接收等方式，為用戶提供集中化的日志管理功能，并對不同類型格式?（Syslog、二進(jìn)制流日志等）的日志進(jìn)行歸一化處理。同時，采用高聚合壓縮技術(shù)對海量事件進(jìn)行存儲，并可通過自動壓縮、加密和保存日志文件到DAS、NAS或SAN等外部存儲系統(tǒng)，避免重要安全事件的丟失。?提供豐富的報表，主要包括基于應(yīng)用的報表、基于網(wǎng)流的分析報表等。?支持以PDF、HTML、WORD和TXT等多種格式輸出。?可通過Web界面進(jìn)行報告定制，定制內(nèi)容包括數(shù)據(jù)的時間范圍、數(shù)據(jù)的來源設(shè)備、生成周期以及輸出類型等。

產(chǎn)品規(guī)格型號F100-A-G2/F100-A-EI接口16GE+8SFP擴展槽位1擴展板卡類型4千兆PFC接口模塊存儲介質(zhì)**inch500GB/1TBSATA硬盤、2.5inch480GSSD硬盤環(huán)境溫度工作：0?45°C非工作：運行模式-4°?路由模式、透明模式、混雜模式AAA服務(wù)Portal認(rèn)證、RADIUS認(rèn)證、HWTACACS認(rèn)證、PKI/CA（X.509格式）認(rèn)證、域認(rèn)證、CHAP驗證、PAP驗證防火墻SOP虛擬防火墻技術(shù)，支持CPU、內(nèi)存、存儲等硬件資源劃分的完全虛擬化安全區(qū)域劃分可以防御Land、Smurf、Fraggle、PingofDeathTearDrop.IPSpoofing.IP分片報文、ARP欺騙、ARP主動反向查詢、TCP報文標(biāo)志位不合法超為CMP報文、地址掃描、端口掃描、SYNFlood、UPDFlood、ICMPFlood、DNSFlood等多種惡意攻擊基礎(chǔ)和擴展的訪問控制列表基于時間段的訪問控制列表基于用戶、應(yīng)用的訪問控制列表ASPF應(yīng)用層報文過濾靜態(tài)和動態(tài)黑名單功能病毒防護(hù)基于病毒特征進(jìn)行檢測支持病毒庫手動和自動升級報文流處理模式支持HTTRFTP、SMTRPOP3協(xié)議支持的病毒類型:Backdoor.Email-Worm.IM-Worm>P2P-Worm.Trojan、AdWare、Virus等深度入侵防御支持對黑客攻擊、蠕蟲/病毒、木馬、惡意代碼、間諜軟件/廣告軟件、DoS/DDoS等常見的攻擊防御支持緩沖區(qū)溢出、SQL注入、IDS/IPS逃逸等攻擊的防御支持攻擊特征庫的分類（根據(jù)攻擊類型、目標(biāo)機系統(tǒng)進(jìn)行分類）、分級（分高、中、低、提示四級）支持攻擊特征庫的手動和自動升級TFTP和HTTP）支持對BT等P2P/IM識別和控制

郵件/網(wǎng)頁/應(yīng)用層過濾郵件過濾SMTP郵件地址過濾郵件標(biāo)題過濾郵件內(nèi)容過濾郵件附件過濾網(wǎng)頁過濾HTTPURI過濾HTTP內(nèi)容過濾應(yīng)用層過濾JavaBlockingActiveXBlockingSQL注入攻擊防范NAT支持多個內(nèi)部地址映射到同一個公網(wǎng)地址支持多個內(nèi)部地址映射到多個公網(wǎng)地址支持內(nèi)部地址到公網(wǎng)地址一一映射支持源地址和目的地址同時轉(zhuǎn)換支持外部網(wǎng)絡(luò)主機訪問內(nèi)部服務(wù)器支持內(nèi)部地址直接映射到接口公網(wǎng)IP地址支持DNS映射功能可配置支持地址轉(zhuǎn)換的有效時間支持多種NATALG包括DNS、FTP、H.32&ILS、MSN、NBT、PPTP、SIP等\/PK|L2TPVPNIPSecVPNGREVPNSSLVPNVPNIPv6基于IPv6的狀態(tài)防火墻及攻擊防范IPv6協(xié)議：IPv6轉(zhuǎn)發(fā)、ICMPv6PMTUPing6DNS6TraceRT6Telnet6DHCPv6ClientDHCPv6Relay等支持IRF2:1虛擬化(F100-C-G2F100-C-EIF100-S-G2F100-M-G2不支持)支持雙機狀態(tài)熱備（Active/Active和Active/Backup兩種工作模高可靠性式）支持雙機配置同步支持基于命令行的配置管理支持Web方式進(jìn)行遠(yuǎn)程配置管理易維護(hù)性支持H3CSSM安全管理中心進(jìn)行設(shè)備管理支環(huán)保與認(rèn)證支持歐洲嚴(yán)格的RoHS環(huán)保與認(rèn)證支持歐洲嚴(yán)格的RoHS環(huán)保認(rèn)證**ACG應(yīng)用控制網(wǎng)關(guān)H3CSecPathACG1000是H3C公司新一代應(yīng)用控制網(wǎng)關(guān)，ACG1000引入了全方位上網(wǎng)行為管理要素，是面向客戶業(yè)務(wù)而量身定制的全業(yè)務(wù)網(wǎng)關(guān)產(chǎn)品。H3CSecPathACG1000能對網(wǎng)絡(luò)中的網(wǎng)絡(luò)社區(qū)、P2P/IM帶寬濫用、網(wǎng)絡(luò)游戲、炒股、網(wǎng)絡(luò)多媒體、非法網(wǎng)站訪問等行為進(jìn)行精細(xì)化識別和控制。利用智能流控、智能阻斷、智能路由等技術(shù)，配合創(chuàng)新的社交網(wǎng)絡(luò)行為管理功能、清晰易管理日志等功能，可以提供業(yè)界最全面、完善的上網(wǎng)行為管理解決方案。從而保障網(wǎng)絡(luò)關(guān)鍵應(yīng)用和服務(wù)的帶寬，對網(wǎng)絡(luò)流量、用戶上網(wǎng)行為進(jìn)行深入分析與全面的審計，為用戶全面了解網(wǎng)絡(luò)應(yīng)用模型和流量趨勢，優(yōu)化其帶寬資源，開展各項業(yè)務(wù)提供有力的支撐。產(chǎn)品特點最全面的應(yīng)用識別能力通過H3C長期積累的狀態(tài)機檢測、流量交互檢測技術(shù)，能精確檢測115網(wǎng)盤、電信通、盛大網(wǎng)盤、百度網(wǎng)盤、360云盤、Thunder/WebThunder（迅雷/Web迅雷）、BitTorrent、eMule（電騾）/eDonkey（電驢）、QQ、MSN、新浪UC、阿里旺旺、新浪微博、騰訊微博、天涯論壇、貓撲論壇、微信等P2P/IM/網(wǎng)絡(luò)游戲/炒股/網(wǎng)絡(luò)視頻/網(wǎng)絡(luò)多媒體等多種主流網(wǎng)絡(luò)應(yīng)用，為應(yīng)用控制及審計提供有力支撐。精細(xì)化的流量管理功能

SecPathACG支持超過4級通道帶寬嵌套，滿足大型網(wǎng)絡(luò)管理要求，支持基于地址、用戶、服務(wù)、應(yīng)用、時間等新五元組一體化策略的上下行帶寬及多優(yōu)先級控制，流量管理無死角。SecPathACG設(shè)備的智能流控技術(shù)將出口物理線路帶寬劃分為邏輯虛擬線路，在父線路內(nèi)支持二次劃分，即將線路劃分為通道，從而達(dá)到多級流控。根據(jù)流量特征，智能識別應(yīng)用和服務(wù)，之后根據(jù)流量特性，識別出配置的虛擬線路和流控管道，計算出管道的帶寬使用率，是否需要向父節(jié)點借用帶寬等信息。在轉(zhuǎn)發(fā)過程中，支持流量整形，在接口上緩存報文，并以比較均勻的速度發(fā)送出去，避免網(wǎng)絡(luò)出現(xiàn)burst，導(dǎo)致丟包。SecPathACG產(chǎn)品整機提供32個虛擬線路、1024個帶寬通道、4級流控，徹底告別陳舊的流控技術(shù)，讓帶寬管理做到最精細(xì)！智能阻斷技術(shù)相比傳統(tǒng)的QoS丟包技術(shù)，SecPathACG提供的智能阻斷技術(shù)拋棄了“允許所有流量轉(zhuǎn)發(fā)到接口，在接口上區(qū)分流量優(yōu)先級，并在接口上進(jìn)行緩存和丟包”的技術(shù)實現(xiàn)方式，而采用更加優(yōu)化的阻斷方式：一旦流控模塊識別出用戶設(shè)定的垃圾流量，立刻在設(shè)備上刪除所有與該垃圾應(yīng)用相關(guān)的數(shù)據(jù)連接，所以垃圾流量從一開始就不會產(chǎn)生，所以寶貴的帶寬資源無需被吞噬；而同時，設(shè)備可以免于接口隊列調(diào)度丟包，節(jié)省大量資源，幫助客戶節(jié)省帶寬和設(shè)備資源。

精細(xì)化的應(yīng)用控制功能SecPathACG采用了DPI/DFI融合識別技術(shù)，相對于傳統(tǒng)的流控產(chǎn)品，控制力度更精細(xì)，控制層面不再局限在主程序，更能深入識別應(yīng)用程序的子功能。例如對新浪微博的控制力度不僅僅是登錄動作，更是深入識別到注銷、發(fā)表、評論、轉(zhuǎn)發(fā)、關(guān)注、搜索等子功能，支持單應(yīng)用高達(dá)12種行為動作控制、超過八百種主流應(yīng)用類別識別、近60種分類URL審計過濾、桌面及移動終端均可審計控制，提供最精細(xì)的控制功能。極速上線當(dāng)企業(yè)存在多個分支機架需要互聯(lián)，如何實現(xiàn)業(yè)務(wù)的快速部署，如何實現(xiàn)業(yè)務(wù)的統(tǒng)一管理，一直是網(wǎng)絡(luò)運維最頭疼問題。配合H3CSecPathACG1000日志分析與管理平臺，可實現(xiàn)業(yè)務(wù)的快速部署，分支機構(gòu)的ACG1000只需要接上網(wǎng)線，確保外網(wǎng)連通便可自動從中心端的日志分析與管理平臺下載配置，整套加載流程大概1分鐘完成，無需專業(yè)人員到場，大幅節(jié)約總分型客戶部署成本，網(wǎng)絡(luò)就緒時間更短，業(yè)務(wù)開展更快。智能選路隨著帶寬成本的下降及業(yè)務(wù)需求，企業(yè)通常存在兩個或兩個以上的網(wǎng)絡(luò)出口，對于多出口的業(yè)務(wù)分配，目前還是采用策略路由方式居多，但是策略路由只能解決多個出口的基本可用問題，沒法實現(xiàn)多出口的精細(xì)化利用。ACG1000提供智能選路功能，可根據(jù)訪問的目的地址，自動選擇

所屬運營商，提高訪問速度和穩(wěn)定性，還可以根據(jù)不同應(yīng)用和用戶組選擇不同的出口，將非關(guān)鍵應(yīng)用分流到低成本鏈路，保障各出口鏈路達(dá)到最優(yōu)利用率。豐富的報表提供實時的業(yè)務(wù)流量趨勢圖、流量分布圖、TopN用戶列表、TopN應(yīng)用協(xié)議列表等報表，并支持按照用戶名/用戶組、使用時段、應(yīng)用分類、應(yīng)用協(xié)議、流量大小、安全事件等進(jìn)行多維度組合定制報表，使用戶能全面掌握網(wǎng)絡(luò)中的流量、應(yīng)用和業(yè)務(wù)分布，為合理規(guī)劃網(wǎng)絡(luò)、制定流量控制策略提供依據(jù)。完善的安全審計系統(tǒng)可對各種網(wǎng)絡(luò)社區(qū)、P2P/IM、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)多媒體、文件共享、郵件收發(fā)、數(shù)據(jù)傳輸、數(shù)據(jù)庫應(yīng)用等各種上網(wǎng)行為提供全方面的行為監(jiān)控和記錄；同時，通過綜合分析、檢測用戶網(wǎng)絡(luò)流量與流向趨勢，對歷史數(shù)據(jù)進(jìn)行分析，為用戶提供細(xì)粒度的網(wǎng)絡(luò)應(yīng)用審計管理系統(tǒng)。高性能、高可靠性采用最新的基于MIPS64的多核SoC(SystemonChip)處理器，控制與轉(zhuǎn)發(fā)相分離，實現(xiàn)了千兆級線速業(yè)務(wù)處理能力，僅有微秒級時延；通過Bypass、雙電源冗余等高可靠性設(shè)計，保證SecPathACG在斷電、軟硬件故障或鏈路故障、流量過載的情況下，網(wǎng)絡(luò)鏈路仍然暢通。及時的特征庫更新H3C專業(yè)特征庫團(tuán)隊密切跟蹤應(yīng)用變化，并對應(yīng)用協(xié)議特征庫及

時更新；支持對協(xié)議特征庫的在線自動/手動升級、本地升級，且升級過程無需重啟系統(tǒng)，不影響系統(tǒng)業(yè)務(wù)運行。創(chuàng)新的微信營銷模式針對各企業(yè)為用戶組建免費WIF的大趨勢并結(jié)合移動互聯(lián)網(wǎng)營銷需求，H3CACG1000產(chǎn)品為用戶提供創(chuàng)新的微信推廣方案，用戶只需關(guān)注企業(yè)公眾號后簡單操作即可獲得上網(wǎng)權(quán)限。產(chǎn)品規(guī)格硬件規(guī)格謫曰SecPathACG1040項目管理接口任一業(yè)務(wù)接口業(yè)務(wù)接口2GE(Combo)+10GE(電)擴展槽無接口模塊尺寸（長x高x深/mm）4無0*44*400額定功率40W電源100~240VAC可靠性2100,000小時重量**軟件規(guī)格流量管理支持虛擬線路和分級帶寬管理，可支持4級通道嵌套支持基于用戶/應(yīng)用/服務(wù)/IP/時間的帶寬限制支持每IP限速、帶寬保障和多優(yōu)先級管理支持針對網(wǎng)絡(luò)社區(qū)/P2P/文件傳輸/電子商務(wù)/IM/炒股/網(wǎng)絡(luò)多媒體/網(wǎng)絡(luò)游戲/遠(yuǎn)程控制等進(jìn)行控制上網(wǎng)行為管理

應(yīng)用過濾和審計支持針對應(yīng)用類/單個應(yīng)用的應(yīng)用審計支持對應(yīng)用的行為動作審計支持對應(yīng)用的行為內(nèi)容的審計支持網(wǎng)站、郵件、論壇發(fā)貼、搜索關(guān)鍵字過濾和審計審計日志級別（緊急、告警、嚴(yán)重、錯誤、警示、通知、信息）URL過濾內(nèi)置URL分類庫，可針對廣告/成人/藝術(shù)/在線音樂/BBS/博彩/商業(yè)/犯罪/教育支持惡意URL和自定義URL過濾用用戶支持批量導(dǎo)入導(dǎo)出用戶或用戶組用戶屬性支持本地用戶、Radius用戶、LDAP用戶、靜態(tài)綁定地址用戶在線用戶在線用戶狀態(tài)顯示（用戶名、所屬組、登錄地址、認(rèn)證方式、登錄時/凍結(jié)時間、狀態(tài)、在線時長）在線用戶操作：非認(rèn)證賬號可以凍結(jié)/解凍，認(rèn)證用戶可以注銷、凍結(jié)/解n戶管理J管理認(rèn)證服務(wù)器管理凍支持Radius\LD