企业网建设建议
1 网络系统总体设计原则
1.1 实用性原则
作为一个系统,实用性永远是放在第一位的。实用性是系统赖以生存的基础。对于企业网络这样一个系统,必须是实用的。方案设计要求主要技术和产品,具有成熟、稳定、实用的特点。并充分满足应用,技术开发及信息管理的需要,且有实用例子(而不选厂商的非主流产品,或只宣布而无实例的产品),厂商有备品,备件的支持。
1.2 先进性原则
作为一个系统,先进性是系统赖以生存发展的条件。为保证企业网络能保持在一定时期内不落后,及系统互连的方便性,我们在该系统的设计时,应尽可能采用先进开放的技术和产品。从国内外的一些系统建设的实际经验和教训来看,先进性如不能保证,则会在系统的使用阶段出现后期投资追加过大,系统维护费用加大等问题。在设计中,我们是依据先进性与成熟性并重的原则考虑的。
1.3 开放性与标准化原则
开放性与标准化原则是一个系统赖以生存发展的基础。开放的系统,才能发展,才能体现良好的低投入高产出的投资收益。只有坚持标准化的系统,才能保护用户的投资,才能发展,才能体现良好的可扩展和互操作能力,对于计算机综合管理网络这样一个系统,开放性与标准化原则是十分必要的。从国内外的一些系统建设的实际经验和教训来看,开放性与标准化原则如不能保证,则会在系统的使用阶段出现后期使用和维护的困难,系统维护费用加大,系统发展较困难甚至必须重复投资等问题。我们认为,选择的产品应当倡导开放性,并且,所选产品都遵循相应的标准。
1.4 可扩展性及升级能力
为了保证企业网络工程的有效性和实用性,同时又保证该网络在一定时期内不落后,我们在网络设计时,并不是一味追求高配置,而是在保证网络的先进性的同时,选择具有良好扩展性和升级能力的网络设备,设计出具有良好扩展性的网络拓扑,在设计中,系统结构模块化,软硬件平台可以积木式拼装,网络中的设备均可扩充,以保证整个网络系统的可扩展性及升级能力。
1.5 可管理性和可维护性原则
作为一个系统,其网络管理和维护十分重要,直接关系到整个网络是否能稳定而可靠地运行。在企业 网络工程中,除了在网络设计时采用了统一等建网模式,利用了结构清晰的网络拓扑,还将提供一整套网络测试或维护方案。另外,采用一套好的网络管理软件也是至关重要得。
1.6 可靠性原则
企业网络工程其可靠性和稳定性直接关系到应用得好坏。网络系统的故障可能直接给应用带来灾难性的损失。本网络所采用的主要产品采用可靠性设计。力求系统的安全,可靠,稳定运行。
1.7 最佳的性能价格比原则
原有设备硬件的投资,亦应加以保护,本系统在设计上寻求最佳的性能价格比。
3 网络解决方案
3.1 网络主干结构
整体企业网络采用三层结构,万兆核心,千兆骨干,百兆接入。网络中心采用两台DCRS-7608万兆路由交换机作为双核心,互为冗余备份或负载均衡,网络汇聚交换机采用双万兆链路上联至网络中心的双核心。网络接入交换机采用双千兆链路上联至网络中心的汇聚交换机。
为了保障企业网络内部数据安全,在网络中心放置一台DCNIDS入侵检测系统,通过千兆双绞线连接至核心交换机,对网络内数据流量进行安全检查。通过告警平台使网络管理人员第一时间知道网络当中的安全事件。
目前网络应用繁多,尤其是BT等P2P文件下载软件广泛使用,给网络带宽带来了巨大的压力,为了保障企业关键数据流量的正常使用,优化出口带宽的利用率,建议在网络出口放置一台DCFS2000流量整形系统,可以对各种数据流量进行优先级排序,根据各种应用分配不同的带宽,保障企业的关键应用。
在网络的总出口和服务器出口处分别部署一台统一威胁管理系统,以防止病毒和黑客的攻击,在网络中心放置一台防水墙以保证内网的安全和监控。
3.1.1 核心交换机
DCRS-7608提供了10个插槽,其中,1-4、7-10为业务板槽位,5-6为主控交换引擎槽位。DCRS-7600系列支持丰富的业务线卡类型,并且完全通用,平滑支持从百兆、千兆到万兆以太网的各种接口,支持策略路由、IPV6、MPLS、负载均衡、VPN、Firewall等业务功能,可满足客户环境灵活而复杂的不同应用需求。其管理模块、电源模块支持冗余备份,支持交流电源和直流电源两种供电方式,板卡、电源、风扇支持热插拔,可以随时监控各个部件的工作温度,提供运营商级的可靠性。
主要特性
先进的体系结构
DCRS-7600系列产品采用全分布式体系结构设计,采用功能强大的ASIC芯片进行高速路由查找,采用最长匹配、逐包转发的方式进行数据转发,从而大大提升了路由交换机的转发性能和扩充能力,能够有效地抗击 “红色代码”、“冲击波”、“震荡波”等网络病毒的攻击,更加适合大规模、多业务、复杂流量访问的网络,更加适合以太网的城域化发展。
大容量、高密度线速交换
DCRS-7600系列交换机最高可提供Tbps级的交换容量和Mbps级的包转发能力。在保持线速转发性能的基础上,支持各种高密度接口板,满足核心层设备高密度、高吞吐量的要求。
灵活的接口形式
DCRS-7608提供了10个插槽,其中,1-4、7-10为业务板槽位,5-6为主控交换引擎槽位。
强大的业务支撑能力
DCRS-7600系列交换机支持MPLS、MPLS VPN、MPLS TE;支持丰富的组播协议(IGMP、IGMP SNOOPING,PIM-SM、PIM-DM和DVMRP等);支持策略路由、IPV6、负载均衡、Firewall等业务功能,可满足客户环境灵活而复杂的不同应用需求。
先进的万兆以太网支持
万兆以太网是以太网在速度和距离方面的进步,采用全双工技术,不需要应用低速的、半双工的CSMA/CD协议。另外,万兆以太网保留了初期以太网模型的精髓,因而可以和现有以太网环境无缝融合,支持客户已有应用,提供更丰富的带宽和更强大的处理能力,为城域和广域的应用提供了针对性的解决措施,可以简化网络结构、降低网络建设成本。
强大的ACL功能
DCRS-7600系列交换机支持标准和扩展ACL,支持IP ACL、MAC ACL、IP-MAC ACL,支持基于源/目的IP、三层IP协议号、TCP/UDP四层端口号、IP优先级、ToS、时间范围对数据进行过滤。
丰富的QoS策略
DCRS-7600系列交换机为每个端口提供了8个优先级队列,可根据端口、802.1p、Tos、DSCP、TCP/UDP端口进行流量分类,并分配不同的服务级别,支持WRR、SP、SWRR等调度方式,为语音、数据、视频在同一网络中传输提供所要求的不同服务质量。
完善的网络管理
DCRS-7600系列交换机支持SNMP,支持带内和带外管理,支持CLI,支持RMON,并可采用SMTP协议自动向管理员信箱发送相关敏感信息。DCRS-7600系列交换机支持SSH协议,可以最大限度地保证交换机的配置管理的安全性。可采用神州数码集中网管系统LinkManager统一管理,方便简捷。
3.1.2 汇聚交换机
汇聚交换机采用神州数码的6800系列万兆交换机
主要特征
基于ASIC的分布式硬件IPv6转发
DCRS-6800系列支持基于ASIC的分布式硬件IPv6转发方式,可以在本地实现IPv6报文的处理,并可在接口模块内部及模块与背板间实现IPv6报文的线速转发,避免了集中式转发的瓶颈和时延问题,为IPv6真正走向大规模商用提供了有力保障。
同时,为了保护用户已有投资,DCRS-6800系列还提供ASIC代理技术,使得早期的IPv4模块也能够平滑迁移到IPv6。
先进的体系结构
DCRS-6800系列交换机采用全分布式体系结构设计,采用功能强大的ASIC芯片进行高速路由查找,采用最长匹配、逐包转发的方式进行数据转发,从而大大提升了路由交换机的转发性能和扩充能力。DCRS-6800系列交换机能够有效地抗击 “红色代码”、“冲击波”、“震荡波”等网络病毒的攻击,更加适合大规模、多业务、复杂流量访问的网络,更加适合以太网的城域化发展。
运营商级的可靠性
为了满足苛刻的运营商级网络对设备可靠性的要求,DCRS-6800系列交换机对所有关键部件都采用了冗余备份的设计方案,并且可随时监控各个部件的工作温度并在出现温度异常时自动报警。
DCRS-6800系列拥有MVTE特性 (多VLAN子网流量工程),可根据流量所属的VLAN子网,自动实现流量负载分担和冗余备份;支持HSRP和标准路由冗余协议VRRP,保证路由不间断;MVTE特性可以和VRRP或HSRP相结合,可最大限度地利用二三层网络的设备和链路,大大改变目前多层网络中的“备份有余、均衡不足”的弊端。同时支持ECMP / WCMP,特别合适多出口ISP外网接入,保证路由负载均衡和冗余备份;支持Firmware&Config双容错备份,保证自动正确引导交换机,此特性不仅适合版本繁多的网络培训实验室,而且大大提高了实际运营设备的可引导性和在线升级的便利性。
强大的ACL功能
支持标准和扩展ACL,支持IP ACL、基于IP子网的ACL、MAC ACL、IP-MAC ACL,支持基于源/目的IP、三层IP协议类型、TCP/UDP四层端口号、IP优先级、ToS,并且以上功能完全依靠硬件线速实现,不影响转发性能。
增强的安全特色
全面的受控组播方案DCSCM,可以对源和目的进行安全控制,完整实现了在接入层网络中应用了基于IGMP源端口和目的端口检查技术,可完全限制合法组播在网络中的稳定传输,有效控制组播建立的整个过程,保障了正常合法的组播应用的稳定运行;同时DCSCM可与AAA系统联动实现业务控制。面向服务质量的策略组播可以有效保障重要应用的QoS。
基于应用的业务安全管理SecAPP,在不影响交换机转发性能的前提下,实现对应用业务的准入控制和流量管理,可基于应用管理用户带宽。
支持ACL-X可基于时间段设置安全策略,安全设置随时间而动,在不同的时间段自动切换为不同的策略;智能化流量控制,可基于ACL进行流量分类,比起传统的基于交换机端口、ToS、DCSP、CoS、802.1P的分类方式,ACL-X更加精细和贴近业务分类;而安全策略分发更加灵活,可配置到任意端口、VLAN、VLAN接口,极为灵活。
“交换引擎CPU核心保护”:可有效防止各类非法协议攻击导致核心设备交换引擎瘫痪;
“关键协议绿色通道” 功能:可保障正常、合法、速度合理的关键控制报文(STP、MSTP、RIP、OSFP、BGP、组播协议、双引擎板间心跳等)在大流量业务下不被淹没,快速处理不中断;
先进的LPM技术:可抵抗“冲击波”病毒、“zero day”病毒、“SQL slammer warm”病毒等;
端口信任模式:则可检测非法DHCP Server、非法Radius Server等,只在信任端口才能接入这些设备,从而保障网络的安全。
丰富灵活的QoS
DCRS-6800系列交换机为每个端口提供了8个优先级队列,完全硬件实现,不影响性能。每端口8个队列,支持基于802.1p、ToS、端口、DiffServ进行流量分类
还可以根据ACL-X的80个字节高层内容进行流量分类,同时支持WRR、SP、SWRR、WFQ、CBWFQ、PQ、WRED,为语音/数据/视频在同一网络中传输提供所要求的不同服务质量。
便捷安全的网络管理
优秀的网络设备除强大的性能和功能外还应具备完善的管理功能。DCRS-6800系列具有丰富的监测网管功能,可实现任务异常、内存异常、交换芯片异常、CPU利用率、堆栈异常等方面的监测,而SYSLOG功能可方便地记录事件,可支持记录到NVRAM、FLASH、RAM、Telnet、SSH Console、Syslog服务器等。
DCRS-6800系列具备便捷安全的配置管理手段,其独特的Profile情景模式,可设定情景模式,多种配置间切换变得轻松自如,非常适合网络实验室;客户化便捷命令行功能可为每种特殊病毒或者业务定制命令,简单易行;支持标准SSH、用户权限分级管理、SNMP v1/2/3;Security IP功能可拒绝非法配置员,Web网管、Telnet等各种管理方式均支持Security IP,只有从合法的IP才能对交换机进行配置管理,防止非法用户登陆交换机。
DCRS-6800系列产品支持SNMP,支持带内和带外管理,支持CLI,支持RMON,并可采用SMTP协议自动向管理员信箱发送相关敏感信息。支持SSH协议,可以最大限度地保证交换机的配置管理的安全性。可采用神州数码集中网管系统LinkManager统一管理,方便简捷。
3.1.3 入侵检测系统
神州数码DCNIDS-1800入侵检测系统是一种动态的入侵检测与响应系统。它能够实时监控网络传输,自动检测可疑行为,及时发现来自网络外部或内部的攻击,并可以实时响应,切断攻击方的连接。神州数码DCNIDS-1800入侵检测系统可以与防火墙紧密结合,弥补了传统防火墙的访问控制不严密的问题。并且,在内部网络控制方面,神州数码DCNIDS-1800入侵检测系统可以与DCBI审计管理中心及802.X交换机以及终端客户进行联动,全面解决内网安全问题。
神州数码DCNIDS-1800入侵检测系统是网络型入侵检测系统。主要用于实时监控网络关键路径的信息。它采用旁路方式全面侦听网上信息流,动态监视网络上流过的所有数据包,通过检测和实时分析,及时甚至提前发现非法或异常行为,并进行响应。通过采取告警、阻断和在线帮助等事件响应方式,以最快的速度阻止入侵事件的发生。
3.1.3.1 产品部署原理
在共享式网络中部署非常简单,监听网卡连接到需检测的网段中即可,网卡收集网络中的所有数据包进行分析和处理,其优点是不影响网络结构和正常通信。
在交换式网络中情况比较复杂,通常有三种收集数据的方式。一种方式是网络接口卡与交互设备的监控端口连接,通过交换设备的Span/Mirror功能将流向各端口的数据包复制一份给监控端口,入侵检测传感器从监控端口获取数据包进行分析和处理。第二种方式是在网络中增加一台集线器改变网络拓扑结构,通过集线器(共享式监听方式)获取数据包。例如,如果一个交换机端口连接到一个连接在Internet的路由器上,就可以在路由器和交换机之间插入一个小集线器。第三种方式是入侵检测传感器通过一种TAP(分路器)设备对交换式网络中的数据包进行分析和处理。
传感器可以被放置在企业网络中的任何可能存在安全隐患的网段。在这些网段中,根据网络流量和监控数据的需要来决定部署不同型号的传感器。
3.1.3.2 入侵检测系统工作流程
通常入侵检测系统为了分析、判断特定行为或者事件是否为违反安全策略的异常行为或者攻击行为,需要经过下列四个过程。
数据采集阶段
网络入侵检测系统(NIDS)或者主机入侵检测系统(HIDS) 都需要采集必要的数据用于入侵分析。
(2)数据过滤及缩略根据预定义的设置,进行必要的数据过滤及缩略,从而提高检测、分析的效率。
(3)检测/分析
根据定义的安全策略,进行检测/分析。
(4)报警及响应
一旦检测到违反安全策略的行为或者事件,进行报警及响应。
入侵检测流程图
3.1.3.3 产品介绍
体系结构
神州数码DCNIDS-1800入侵检测系统是三层分布式结构,由控制台(console)、事件收集器(EC)、传感器(sensor)组成。有以下两种部署方式:
简单部署
控制台和事件收集器同时安装在一台机器上,而传感器单独安装。
分布式部署
由控制台、事件收集器、传感器组成,分别安装的不同的机器上,其中事件收集器是分布式部署的关键。
控制台
控制台是一个基于Windows的应用程序,可以安装在任何Windows主机上。控制台提供图形界面来进行数据查询、查看警报并配置传感器。一个控制台可以管理多个传感器。控制台有很好的访问控制机制,不同的管理员被授予不同级别的访问权限,允许或禁止查询、警报及配置等访问。控制台、事件收集器和传感器之间的所有通信都进行了安全加密。
1. 强大事件分析和显示窗口
2. 灵活的策略配置和参数调整
3. 直观的资产控制
事件收集器
一个大型分布式应用中,用户希望能够通过单个控制台完全管理多个传感器,允许从一个中央点分发安全策略,或者把多个传感器上的数据合并到一个报告中去。用户可以通过安装一个事件收集器来实现集中管理,事件收集器实际上负责管理传感器及其数据。
远程传感器可以有同样配置,如同样的策略和警报。每个传感器也可以被独立进行配置,从而在需要的时候激活不同的策略。例如,既可以在所有传感器上邮件策略包内激活“邮件信息名单”策略,也可以只在部分传感器上激活该策略。
传感器上一些配置是独有的,例如用于监控的网络接口、系统级变量、以及访问控制信息。例如,如果每个传感器都在监控一个不同的网络,每个传感器的配置在事件收集器上设定。
在一个多层应用中,通常用管理员界面来访问策略,但其实是由事件收集器来进行实际管理的,并从传感器上收集数据集中处理。不同组件之间的所有通信都进行了安全加密。
传感器
传感器的基本功能是捕获网络数据包,并利用策略及签名对数据进一步分析和判断,当发现可疑的事件时触发传感器发送警报。
操作系统和IDS程序存储在可引导的CD-ROM中来确保它抗篡改,传感器设备包含一个大硬盘作为事件数据的存储空间,如存储所有的证据数据和警报。
管理员可使用控制台来查询数据,生成报告,或查看传感器的状态。传感器上另外有一些后台程序负责管理数据和系统。例如,空间管理程序管理磁盘空间,而访问控制程序管理对数据、警报和配置进行的访问。
分析器
分析器结合了应用层协议分析和基于签名的分析,数据流和单个数据包都被检查,破碎的数据包被重组,并对会话进行记录以便进行进一步检查。这保证了能够有效探测出分散到多个包中的攻击。
正如IDS工业增长的趋势一样,神州数码DCNIDS-1800入侵检测系统签名并不仅仅依赖于简单的模式匹配——它们同时还维护许多基于网络协议的协议状态。这种方式极大的降低了误报率,减少了受迷惑技术攻击威胁的机会,并提供了异常检测的要素。
例如,在很多情况下,基于事先未知漏洞的攻击可以被异常检测技术成功发现。基于状态的结构还可以通过配置,使其只对产生重要威胁的事件发出警报(例如,一个IIS攻击发向一台Apache服务器时,便不需产生警报),从而提高了正确性和性能。
可以提供多种签名,并由神州数码的快速响应团队对其不断进行充实。新的签名将会被尽快放置到神州数码的安全站点上,客户可以通过邮件来了解攻击的细节以及相关信息。一个安全的下载程序允许管理员通过事件收集器快速获得签名,并向网络中所有的传感器分发新的签名。如果没有安装事件收集器,新的签名必须从控制台分别发送到每个传感器上。
注意:由于安全事件是使用行为描述代码来定义的,用户和管理员可以在需要时修改内置的“签名”或创建新的签名。这使得神州数码DCNIDS-1800入侵检测系统成为市场上最具扩展性的入侵检测系统。
策略
攻击签名被存储在称为策略的逻辑组中。例如,传感器中的“拒绝服务探测策略”包含多个签名策略,来观察拒绝网络服务的不同方法。签名还可以共享行为描述代码,这样在多个签名需要处理同种数据时,便可帮助消除冗余处理过程。每个策略都包括几个不同的部件:签名、共享行为描述代码和配置文件
行为描述代码
神州数码DCNIDS-1800入侵检测系统使用一种独特、高效的“行为描述代码”创建签名,“行为描述代码”触发传感器开始收集事件的数据。例如,如果一个数据包有一个UDP包头,UDP策略的行为描述代码便开始收集数据。行为描述代码同时还告诉传感器该如何处理数据,行为描述代码中提供的功能告诉传感器记录什么类型的数据,并将该数据传递到记录器上。例如,Pingflood策略告诉传感器来追踪源和目的IP地址、所发送的包数,及最后一个包之后总共的时间。所有的这些信息都发送到记录器上去。
行为描述代码的其他功能告诉传感器什么数据可作为警报发送。例如,Pingflood策略包含行为描述代码,并告诉传感器引擎:在某时间,如果向某特定IP地址发送了超过一定量的ping包,便需向管理员发送警报。
报告
神州数码DCNIDS-1800入侵检测系统记录的除了基本的警报信息,还包括连接细节、URL请求、FTP请求、邮件信息等等。这允许管理员:
查看单个事件或寻找统计趋势
检查某些可能是误用网络服务的主机上的信息流
通过搜索信息流类型的变化,来搜索导致网络瓶颈的可能原因
检查单个连接的细节
使用神州数码DCNIDS-1800入侵检测系统管理员界面,可根据某个签名搜集的任何数据对查询进行过滤,如数据类型、IP地址、端口和时间。可保存查询详述以便再次使用。查询提供对传感器系统所搜集数据进行实时查看——一旦信息写入传感器的磁盘上,便可供查询。控制台为查询结果提供几种不同类型的格式,从基于文本的列表到条形图和饼图。
同时能够提供所报告的漏洞的细节,包括该如何进行调整的信息。
3.1.3.4 产品特点及优势
神州数码DCNIDS-1800入侵检测系统的技术核心是新一代的协议分析技术。该技术结合了高速信息包捕捉、协议分析、及行为描述代码来探测攻击。这种技术是神州数码DCNIDS-1800入侵检测系统所有解决方案的基础,它显著地提高了入侵检测系统的性能-并带来单平台千兆IDS的时代。
神州数码DCNIDS-1800入侵检测系统使用了所有最先进的入侵检测技术,见下图:
神州数码DCNIDS-1800入侵检测系统所使用的新一代入侵检测技术带来许多基本的好处:
显著地提高性能:协议分析技术充分利用通信协议结构,与模式匹配系统使用简单匹配相比,可以更快更有效的处理数据包和连接。
提高准确度:协议分析技术比一个非智能模式匹配IDS系统有少得多的错误倾向和误诊断。神州数码DCNIDS-1800入侵检测系统将命令解析(语法分析)技术与协议分析技术相结合,来模拟一个命令串的执行,从而在通信流到达操作系统或应用之前决定该通信流是否是恶意的。
基于状态的分析:当协议分析引擎评估一个信息包时,它考虑信息包的前后关系,前面有什么、下一步可能发生什么,而模式匹配系统只能独立的看待每一个信息包。
灵活高效的行为描述代码:允许用户根据自己的需要自创建几乎任意的新的特征签名,配置为最适合自己的入侵检测系统。
反躲避:由于协议分析引擎能够判断一个通信会话实际内容及含义,它们不太容易受到黑客IDS躲避技术的影响,这些技术包括URL编码、干扰、及IP或TCP碎片。
资源消耗:协议分析技术的高效性使网络传感器系统资源消耗极低,模式匹配技术则是非常消耗资源的。
神州数码DCNIDS-1800入侵检测系统的核心检测技术是新一代的协议分析技术。该技术结合了硬件加速信息包捕捉技术、基于状态的应用层协议分析技术和开放的行为描述代码描述技术来探测攻击。这三大技术构成了神州数码DCNIDS-1800入侵检测系统所有解决方案的基础,它显著地提高了入侵检测系统的性能,能够适应高速的千兆网络环境。
3.1.3.5 神州数码DCNIDS-1800产品特点
神州数码DCNIDS-1800入侵检测系统采用基于状态的协议分析技术,结合模式匹配、异常统计来检测网络误用行为和异常活动。采用专门定制的硬件平台,能够在高负载的千兆网络上提供高水平的性能;同时使用专用的操作系统,配合刻录在CD-ROM上的传感器程序进行引导,从而提供了最大可能的自身安全。
神州数码DCNIDS-1800入侵检测系统所使用的新一代入侵检测技术有诸多的特点,为客户带来更大的技术保障,包括:
世界领先的技术
神州数码DCNIDS-1800入侵检测系统以智能的状态协议分析技术为主,结合模式匹配技术。状态协议分析技术基于对已知协议结构的了解,通过分析数据包的结构和连接状态,检测可疑连接和事件,极大地提高了检测效率和准确性。不仅能准确识别所有的已知攻击,还可以识别未知攻击,并使采用IDS躲避技术的攻击手段彻底失效。
分布式架构
采用先进的多层分布式体系结构,包括控制台、事件收集器、传感器,这种结构能够更好地保证整个系统的可扩展性和可靠性,也带来了更多灵活性和更可伸缩性,适应各种规模的企业网络的安全和管理需要。
全面检测
强大的漏洞库进行支撑识别。同时神州数码公司也不断为用户提供扩充攻击特征库,用户可通过神州数码网站随时更新。
高性能
采用高效的入侵检测引擎,综合使用虚机解释器、多进程、多线程技术,配合专门设计的高性能的硬件专用平台,能处理高达两千兆的网络流量。
高可靠性
神州数码DCNIDS-1800入侵检测系统是软件与硬件紧密结合的一体化专用硬件设备,神州数码公司专门设计了安全、可靠、高效的硬件运行平台。硬件平台采用严格的设计和工艺标准,保证了高可靠性;独特的硬件体系结构大大提升了处理能力;操作系统经过优化和安全处理,保证系统的安全性和抗毁性。
高可用性
神州数码DCNIDS-1800入侵检测系统的所有组件都支持HA冗余配置,保证不漏掉任何的攻击。
高安全性
运行在经优化和加固的嵌入式操作系统上,操作系统上不需要的服务、进程和驱动等都被裁减以保证安全和性能,软件和系统存放在CD-ROM上防止篡改。系统内各组件通过加密的安全通道进行通讯防止窃听。
低误报率
神州数码DCNIDS-1800入侵检测系统采用状态协议分析技术,同时允许用户灵活地调节签名的参数和创建新的签名,大大降低了误报率,提高了检测的准确性。
核心技术优秀
以智能的状态协议分析技术为主,结合模式匹配技术。状态协议分析技术基于对已知协议结构的了解,通过分析数据包的结构和连接状态,检测可疑连接和事件,极大地提高了检测效率和准确性。不仅能准确识别所有的已知攻击,还可以识别未知攻击,并使采用IDS躲避技术的攻击手段彻底失效。
行为描述代码
用户可以非常方便地使用神州数码提供的“行为描述代码”自创建新的特征签名,扩展攻击签名库,扩大检测范围,个性化入侵检测系统。
分片报文重组
不仅能对IP分片进行重组分析而且能够进行TCP数据流的重组,从而提高产品的检测准确度。
灵活响应
神州数码DCNIDS-1800入侵检测系统提供了丰富的响应方式,如:向控制台发出警告,发提示性的电子邮件,向网络管理平台发出SNMP消息,自动终止攻击,重新配置防火墙,执行一个用户自定义响应程序等。
简单易用
神州数码DCNIDS-1800入侵检测系统安装简单,升级方便,查询灵活,并能生成适合各级管理任意需要的多种格式的报告。
探测灵活
产品可以按网段检测,方便实施和部署
隐藏式监听
采用旁路方式监听,对入侵者和业务网络透明存在
零资源占用
设备不占用网络带宽资源和其它业务主机的系统资源
安全联动
系统可以实现和防火墙、DCBI管理中心及其他安全设备进行的紧密联动配合。
3.1.4 统一威胁管理系统DCFW-1800E-G-UTM
随着信息化建设的深入,传统网络大部分用户部署了防火墙、入侵检测、VPN等设备,主要侧重于网络层的攻击检测和防护。而近年来随着网络规模的不断扩张,应用的不断增多,连续爆发的CodeRed、Nimda等蠕虫病毒,频繁而出的垃圾邮件,已成为网络当中最令管理员头疼的问题,用户也对网关安全防护过滤设备提出了更高的管理要求。除了对传统安全网络层的攻击检测和防护之外,如何防御及解决这些应用层问题逐渐成为整个安全业界和用户的关注重心。
神州数码网络有限公司作为国内知名的网络设备供应商,始终关注网络安全的发展并率先提出了为用户“构建智能、安全的企业网络”。在努力提高网络设备安全性的同时,神州数码网络有限公司依托多年网络产品的研发经验,整合神州数码集团的资源优势,投入到网络安全领域并取得了重大技术突破,尤其是防火墙、入侵检测、身份认证、抗拒绝服务攻击、防垃圾邮件、安全管理等技术领域。2006年神州数码推出了全新的UTM统一威胁管理系统, UTM(Unified Threat Management)是英文统一威胁管理的缩写,国际咨询机构IDC将其定义为硬件、软件和网络技术组成的具有专门用途的设备。从实现的功能来讲,它可以将多重安全功能集成为一个硬件设备,构成用户网络中统一的安全风险控制平台。
神州数码DCFW-1800S/E-UTM集合了防火墙、防病毒网关、IPS/IDS入侵防御、防垃圾邮件网关、VPN网关、流量整形网关、Anti-Dos网关、用户身份认证网关、审计网关、BT控制网关+IM控制网关+应用提升网关(网游 VOIP 流媒体支持) ,十二大功能为一体。采用专门设计的硬件平台和专用的安全操作系统,采用硬件独立总线架构并采用病毒检测专用模块,在提升产品功能的同时保证了产品在千兆环境下的高性能。
DCFW-1800S/E-UTM产品分为DCFW-1800S-UTM (标准型) 及DCFW-1800E-UTM(增强型),DCFW-1800S/E-UTM内置4个10/100M自适应以太网电口,适合多种复杂网络链路下的接入需求。 DCFW-1800E-G-UTM为千兆运营商级产品,具有4个10/100/1000M以太网接口并具有4个SFP插槽。用户可以根据网络需求拥有更多选择。 DCFW-1800S/E-UTM适合于各种用户的安全需求,在未部署安全边界产品的网络中提供全面的安全防护,而在已有FW/IDS/IPS的网络中提供更为强大的病毒防护、垃圾邮件防护、流量整形、BT控制、VPN等应用功能。
状态检测包过滤技术
DCFW-1800S/E-UTM统一威胁管理系统采用了基于状态检测的包过滤技术,实现了基于源/目的安全域或功能域、源/目的IP地址对象、服务对象、流量对象、多种处理动作、用户和时间对象的细粒度访问控制。系统根据安全访问控制策略授权相关的网络连接、并将相关连接信息存储在连接表中,对该连接的后续数据包,只要符合连接表就可以快速通过。这种方式的好处在于不需要对每个数据包进行规则检查,而是通过连接表来跟踪后续数据包,从而较大提升系统吞吐性能。
基于多种域的访问控制
DCFW-1800S/E-UTM统一威胁管理系统基于多种域进行访问控制,将从接口的访问控制上升到基于域的访问控制。DCFW-1800S/E-UTM统一威胁管理系统从体系结构上抛弃了传统防火墙的内外概念,各个域间的默认安全级别是一样的,之间的安全差异由用户来定制,具有极大的灵活性。DCFW-1800S/E-UTM统一威胁管理系统可以根据企业的安全需求将不同接口(物理接口或虚拟接口)或功能划分成独立的域,通过在这些域间加载独立的访问控制策略来限制不同信任度网络之间的相互访问,也就是说,DCFW-1800S/E-UTM统一威胁管理系统提供了更加细粒度的安全控制,这样即使某个低安全等级的区域出现了安全裂缝,但由于受到DCFW-1800S/E-UTM统一威胁管理系统的控制,其它域也不会受其影响。目前DCFW-1800S/E-UTM统一威胁管理系统已经提供安全域、功能域及IDS域,同时提供了用户自定义域接口,方便根据不同需求灵活定制。
基于地址对象的访问控制
为了改善DCFW-1800S/E-UTM统一威胁管理系统的可管理性,我们抽象出了地址对象这一概念。地址对象涵盖的范围包括一个Mac地址、一个子网网段或者是一个地址范围,地址对象组是以上几种地址对象集合,这为安全对象的细粒度识别创造了灵活的表达方式。
基于时间的访问控制
为了能够更细致地进行访问控制,我们提供了时间对象,它主要定义两个时间约束,一个是工作日的约束,另一个是时间段的约束。
流量整形
带宽管理模块提供了对带宽资源分配的控制能力,通过对网络流量划分优先级以保证关键任务的服务质量,从而确保有限的带宽资源不会因为非关键应用的过度占用而影响关键任务的服务质量。带宽管理策略可以基于域、地址对象、服务对象、接口、方向、优先级等对流量进行控制以满足企业不同层面的需求。
对众多协议支持
基于状态的DCFW-1800S/E-UTM统一威胁管理系统在跟踪连接状态时,可对单会话多连接应用进行正常处理。DCFW-1800S/E-UTM统一威胁管理系统能够支持FTP、TFTP、IRC、MMS、H.323、ORACLE等众多应用层协议。通过预定义应用名称和相应端口的方式,方便用户选择和使用。
垃圾邮件防护
DCFW-1800S/E-UTM 支持对SMTP,POP3,IMAP协议的垃圾邮件检测能力。系统采用了垃圾邮件特征库和用户自定义过滤规则结合的方式来处理垃圾邮件,二者即可单独工作也可组合工作。
系统默认处理垃圾邮件的统一基本动作有放行,阻塞,隔离,并可选支持向邮件头部添加FLAG(可自定义),向邮件标题添加TAG(可自定义),向管理员发邮件,向用户发通知邮件,在原始邮件后面添加免责声明,删除附件,记录日志等动作。
系统提供了丰富的自定义检测规则项目,可对邮件大小,邮件附件大小,收件人数量,收/发件人关键字,主题关键字,附件名称关键字,文本附件后缀名,文本附件关键字,正文关键字进行过滤。对于可信邮件服务器来说可设置收/发件人白名单过滤,对于已知滥发邮件地址也可通过设置邮件地址黑名单进行过滤。
对于SMTP来说,除了可和病毒防护共同工作外,用户可根据需要来调整邮件的扫描顺序和处理动作,还可通过路径检查来识别虚假路由并予以防范,对于错误配置或者默认开启了openrelay功能的smtp 来说,DCFW-1800S/E-UTM 提供了openrelay检测和防范功能,可避免openrelay的不恰当开启导致SMTP主机成为邮件滥发源。
对于POP3和IMAP协议来说,除了上边的统一的垃圾邮件处理和POP3病毒防护涉及环节外,还可自定义服务器和客户端白名单地址,有效减少内容检测开销。
VOIP、流媒体过滤支持
支持对SKYPE,SIP,H.323,teamspeak,ventrilo的过滤,支持对RTSP,RTSP over HTTP,live365,shoutcast的识别和过滤,可有效降低企业内网中用户对视频,音频的滥用,减少带宽消耗。
支持IM(即时通讯软件)控制
支持对MSN,QQ,Yahoo,IRC,AIM的识别和过滤,可有效降低企业网中上班时间用户私聊。
网络游戏支持
可提供对Battlefield 1942和Battlefield 2,半条命(Half-Life 1、2),反恐精英(Counterstrike),Quake 1,DOOM3,Subspace,魔兽世界(World of Warcraft),XBox Live等的支持。
P2P协议控制
支持对100bao,applejuice,ares,bittorrent,directconnect,edonkey,fasttrack,freenet,gnucleuslan,gnutella,goboogy,hotline,imesh,kugoo,mute,napster,openft,poco,soribada,soulseek,tesla,thecircle,xunlei的识别和阻断,并可配合流量整形进行带宽管理,有效降低网络带宽的资源滥用。
多种网络协议支持
可支持对bgp,dhcp,dns,ident,nbns,ncp,netbios,smb,snmp,socks,ssdp,whois,zmaap,IMAP,POP3,SMTP的协议真实性识别,这个对于协议误用检测来说有着重要意义。
文件过滤
支持文件扩展名识别,对比简单的靠文件扩展名来标识文件类别的方式,文件类别的真实性检测可满足用户对采用更改文件扩展名来逃避内容过滤的规避手段检测,该方式可有效避免有害文件进入网络,目前可支持的文件类型有:exe,flash,gif,html,jpeg,ogg,pdf,perl,postscript,rar,rpm,rtf,tar,zip等。
入侵防护
DCFW-1800S/E-UTM统一威胁管理系统的协议栈能够自动屏蔽掉分片包攻击,如Ping of Death,Tear Drop等,它同时也能够检测并防御Winnuke、Land、ICMP Flood、UDP Flood、Port Scan、Address Sweep等多种攻击,而且提供攻击计数器和日志。DCFW-1800S/E-UTM统一威胁管理系统使用内置的SYN-Proxy机制提供了对SYN Flood攻击的全方位防护。
提供透明方式的接入
当DCFW-1800S/E-UTM统一威胁管理系统处于透明模式时相当于一个二层交换机。这种特性使DCFW-1800S/E-UTM统一威胁管理系统具有了极佳的环境适应能力,使许多用户无需改变原有网络拓扑就可以实现全方位的安全解决方案,降低因为增加网络安全设备而导致的管理开销。
支持IEEE 802.1Q的VLAN
DCFW-1800S/E-UTM统一威胁管理系统提供对IEEE 802.1Q的支持,它可与三层网络设备配合无缝接入,这使其在网络部署中更具灵活性。DCFW-1800S/E-UTM统一威胁管理系统还提供对透明模式下的IEEE 802.1Q数据报文的透明处理。
支持路由模式、透明模式、NAT模式及混合模式
在很多用户网络中,网络基础设施的建设是先于网络安全建设进行的,当用户打算进行网络安全建设时,往往会发现由于初期的网络设计不周全而导致一些关键应用是依赖于网络拓扑的,因此在对这些关键应用进行安全防护时,安全设备必须采用透明模式接入,而对另外一些应用可能就要采用路由模式接入,这样在同一个网关设备上就需要透明模式和路由模式共存,如果这两种工作模式不能混合在一起同时工作,那用户网络将会出现由于被割裂而无法实施安全设备接入的困局。DCFW-1800S/E-UTM统一威胁管理系统提供混合模式,可以保证不会因为引入安全需求而破坏用户现有网络的完整性。
支持策略路由
在大型网络中,接入往往不只是由一个ISP提供的,很可能存在多个ISP提供接入的情况。DCFW-1800S/E-UTM统一威胁管理系统提供了策略路由支持,使其能够同时处理多达6个ISP接入的情况,极大地拓展了其适应能力。
提供对IPSEC、PPTP和L2TP等多种VPN连接的完整支持
基于IPSec协议的DCFW-1800S/E-UTM统一威胁管理系统 VPN完全兼容并符合IPSec标准定义,从而保证了和其它支持IPSec的系统和设备的互联互通。它支持手工密钥和自动密钥(Preshare key/X.509 CA证书)两种密钥管理方式,并支持DES、3DES、AES、Blowfish、Twofish、Serpent等多种加密算法和MD5、SHA1、SHA2_256、SHA2_512多种认证算法。
DCFW-1800S/E-UTM统一威胁管理系统的IPSec VPN支持NAT穿越、星型部署、动态对等方等多种方式灵活部署,极大地拓展了DCFW-1800S/E-UTM统一威胁管理系统的应用范围,DCFW-1800S/E-UTM统一威胁管理系统特有的透明模式下的VPN部署使其更具有极佳的灵活性。
基于PPTP的DCFW-1800S/E-UTM统一威胁管理系统 VPN严格遵循相关的RFC标准要求,以保证与其它系统或设备的互联互通。其PPTP支持MS-CHAP和MS-CHAP V2身份认证协议,同时支持MPPE 40、MPPE128位加密算法。
基于L2TP的DCFW-1800S/E-UTM统一威胁管理系统 VPN同样遵循通用技术标准要求,确保与其它系统或设备的互联互通。其L2TP支持CHAP、MS-CHAP和MS-CHAP V2身份认证协议,同时还可与IPSec配合实现L2TP over IPSec,极大地保证了L2TP的私密性。
提供基于HTTP、SMTP、POP3、FTP、IMAP协议的病毒检测
DCFW-1800S/E-UTM统一威胁管理系统具有业界领先的病毒检测引擎,通过Patten Matching、Heuristics、Emulation等多种模式检测病毒,目前能够扫描出10万多种病毒,支持包括zip、gzip、rar、arp、pklite等多种压缩格式文件病毒检测,它支持病毒库的自动更新以提供对最新病毒的防御。同时根据不同的性能需求,DCFW-1800S/E-UTM统一威胁管理系统还提供基于硬件的病毒检测辅助芯片,以提升系统的性能。
基于HTTP协议的病毒检测方案具有良好的并发能力,这使得因引入病毒检测功能后对系统性能产生的影响降到了最低。为了提供良好的可管理性,DCFW-1800S/E-UTM统一威胁管理系统可以定制对某些指定扩展名或某些MIME类型的数据流不进行检测病毒,以提高检测病毒性能;它支持对Java、JavaScript和ActiveX等脚本和控件的内容过滤;对于针对HTTP协议而存在的DOS攻击来说,HTTP-AV进行了特别处理,它可对POST数据最大长度,HTTP请求头部最大长度,缓存区最小空置比,缓存文件大小上限进行限制,最小话降低DoS威胁的影响;除了原有的可对HTTP协议中的脚本,控件内容进行过滤外,对于各种通过HTTP端口进行通讯的协议来说,DCFW-1800S/E-UTM 扩展了原有的MIME和EXT检查能力,不但包括原有的MIME和EXT例外检查外,还可通过检查HTTP封装协议的MIME和EXT内容,对已知和未知(通过自定义)的over http的应用协议(如P2P和IM)进行检测和阻断,有效控制端口误用和潜在的HTTP隧道。系统支持用户自定义的HTTP服务器的URL地址(如:QQ,MSN,AIM,Yahoo等)过滤设定黑白名单,并允许用户导入导出该列表,系统也支持对HTTP客户端IP进行黑白名单定义过滤。DCFW-1800S/E-UTM统一威胁管理系统的HTTP病毒防护解决方案还提供病毒通知功能,所有的病毒感染事件都会自动会触发审计事件,以利于管理员了解病毒的爆发情况。
基于POP3协议的病毒检测方案能支持多种编码和解码格式,例如MIME/1.0和UUEncode,支持多层EML邮件识别和解包。为了避免用户的邮件丢失,DCFW-1800S/E-UTM统一威胁管理系统提供了可疑邮件的隔离策略,可对所有感染病毒的邮件保留副本,以降低数据丢失的风险。具有POP3病毒防护中对DOS攻击的抵抗能力,通过设置缓存文件大小上限,缓存区最小空置比,客户端最大并发连接数,客户端TCP连接最大频率来降低DOS攻击的对系统的影响程度;除了原有的病毒扫描白名单外,DCFW-1800S/E-UTM 扩展了对服务器黑名单和客户端黑名单的支持。除了病毒过滤外,DCFW-1800S/E-UTM 也支持对POP3协议的垃圾邮件检测能力。DCFW-1800S/E-UTM统一威胁管理系统的POP3病毒防护解决方案提供了病毒通知邮件和病毒事件日志两种审计方式。
基于SMTP协议的病毒检测方案能支持多种编解码格式,例如MIME/1.0和UUEncode,支持多种SMTP AUTH以提高系统的可扩展性。具有对SMTP病毒防护中的应用协议层面内容过滤和控制,可对SMTP协议中的命令(如:HELO,EHLO)进行过滤。对于面向SMTP的DOS攻击来说,可通过对缓存区最小空置比,客户端最大并发连接数,客户端邮件发送最大频率,客户端TCP连接最大频率进行有效限制。除了原有的AV 扫描的SMTP 服务器黑白名单外,又增加了客户端黑名单设置,可更有效的控制AV扫描的粒度。除了病毒过滤外,DCFW-1800S/E-UTM 也支持对SMTP协议的垃圾邮件检测能力。DCFW-1800S/E-UTM统一威胁管理系统的SMTP病毒防护解决方案提供了病毒通知邮件和病毒事件日志两种审计方式。
可灵活对FTP的上传和下载方向上的文件内容进行病毒检测过滤,在发现病毒的时候,可选择“放行”或者“阻塞” 动作,并可根据系统管理员预先设置来发送通知邮件并记录日志。
对于不需要FTP病毒检测的可信的文件扩展名来说,系统预先提供了例外扩展名项目,对在该列表中的文件扩展名不进行病毒扫描,同时也支持用户自定义例外文件扩展名。
支持用户自定义的FTP客户和服务器的黑白名单;可细粒度控制FTP协议参数,允许用户自定义FTP Banner并可对缓存文件大小上限,缓存区最小空置比,可对GET/PUT/POST/CONNECT进行过滤,客户端最大并发连接数进行设置和调整,以便满足用户不同环境使用要求。
支持对IMAP邮件内容的病毒检测,垃圾邮件进行识别和过滤,并可同时对IMAP协议(如Fetch,Append命令)进行控制,用户可根据需要选择病毒扫描和垃圾邮件扫描的顺序和优先响应动作。
对于IMAP病毒和垃圾邮件来说,系统采用统一的“放行”,“阻塞”或者“隔离”操作设置,并可辅以其它相关操作,如:向邮件头部添加FLAG,向邮件标题添加TAG,向管理员发邮件,向用户发邮件,在原始邮件后面添加免责声明,删除附件,记录日志等。支持用户自定义的客户和服务器的黑白名单,除此之外,用户可细粒度控制IMAP协议参数,允许用户对IMAP Banner,缓存文件大小上限,缓存区最小空置比,客户端最大并发连接数,客户端邮件发送最大频率,客户端连接最大频率进行设置和调整,以便满足用户不同环境使用要求。
功能强大的NAT
在IP v4地址短缺的今天,NAT成了网络设备必不可少的一项功能。DCFW-1800S/E-UTM统一威胁管理系统提供丰富的NAT支持,支持1:1的地址映射、N:M方式的地址转换、PAT方式的地址转换和基于Round Robin方式的服务器负载均衡。
高可用性
DCFW-1800S/E-UTM统一威胁管理系统 通过支持VRRP协议提供设备的高可用性,具体包括:支持Active-Standby方式的HA;极低的切换时间;检测链路故障和系统故障;支持手工强制切换。
丰富的管理方式
DCFW-1800S/E-UTM统一威胁管理系统的权限分级满足GB/T 18336-2001管理权限分级要求,提供了安全管理员、审计管理员、系统管理员三个管理员角色和guest临时访问角色。在管理手段方面提供基于SSH、Telnet和Console的命令行管理方式,以及基于SSL的Web Browser的图形化管理方式并兼容SNMP V2网管协议的管理方式,同时还提供了GSM统一安全管理平台系统管理。
统一的特征库升级
认证和授权
DCFW-1800S/E-UTM统一威胁管理系统本身包含一个内置的数据库,用户提供本地认证功能的同时它也支持外挂的认证数据库。目前支持的认证协议为Radius。
丰富的调试工具
DCFW-1800S/E-UTM统一威胁管理系统提供了多种调试手段和测试工具,主要包括ping、traceroute、telnet和数据报文分析工具。
强大的系统监控能力
DCFW-1800S/E-UTM统一威胁管理系统可实时监控系统的CPU和内存利用率、各个物理接口的使用情况和链路情况,能够监控系统中的所有并发连接,某条策略授权下的所有连接创建时间、持续时间、上行/下行流量、网络层信息等。
丰富的接入能力
由于对DHCP Relay、DHCP Server、PPPoE等技术提供全面支持,这使DCFW-1800S/E-UTM统一威胁管理系统充分满足SOHO用户对网络安全的一体化需求,可极大地降低成本开销。
丰富的日志和审计方式
DCFW-1800S/E-UTM统一威胁管理系统将日志细分为配置日志、事件日志和流量日志三种,便于用户进行日志分析,并支持根据用户需求将日志信息发送到共享内存、控制台、终端或远程主机。DCFW-1800S/E-UTM统一威胁管理系统提供的流量日志符合NetIQ WebTrends标准格式,可以通过NetIQ WebTrends来对流量进行方便的日志分析。
强大的安全风险事件关联分析
针对安全风险的多种多样,安全事件之间的关联分析成为困扰管理员的头疼问题。DCFW-1800S/E-UTM 提供了超过200项细粒度指标来对系统状态,应用层协议处理状态等给出分析结果,用户可自己选择感兴趣的条目进行灵活的组合分析,可以针对每个数据项进行历史数据统计和实时数据进行监控和图表显示,也可选择同一个协议的哪些数据以什么样的顺序并列对比呈现,或者指定多个数据项在一张折线图里叠加显示,而对于具有三项值的某些数据(最小值,平均值,方差值),由用户选择哪些显示等。
该功能已经不是传统意义上的统计范畴概念,而是将用户更多引入了其处理过程中,并给用户极大的自由选择度,在对已有数据进行深度挖掘基础上可再灵活组合分析,通过自定义的组合条件生成图文并茂的分析结果,以此达到动态预测网络风险趋势和变化的目的
3.1.5 网络流量整形
神州数码网络是国内网络安全和网络管理领域的开拓者,我们致力于解决网络的管理问题和安全问题。针对目前困扰用户的网络问题,推出了神州数码DCFS- 2000系列产品,率先采用深层内容分析(Deep Inspection)、深层速率控制(Deeper Rate Control)和智能会话管理等一系列业内领先技术,为这些问题的解决带来曙光。与传统技术相比,神州数码DCFS-2000系列产品所使用的几项专有技术有几个显著的特点:
深层内容分析技术 — 网络安全发展的趋势
基于内容进行会话识别:可以通过高速的深层协议分析,识别每一个网络会话所属的应用,针对某种协议进行控制或者制定相应的带宽分配策略,拦截那些具有攻击意图的会话和连接,而传统的路由器和防火墙等网络设备只能根据端口进行最初级的识别;
支持传统的识别技术:可以识别二到四层的网络数据特征,这些特征也可以同时配合内容分析技术一并使用。
深层速率控制技术 — 网络管理的未来之路
智能的带宽调节功能:可以根据网络负载智能调节网内的终端带宽分配方式,例如:如果目前网络负载较重则自动限制那些流量较大的终端,保证多数用户的网络应用能够正常、快速的得到响应;当网络负载较轻时,则采用宽松的带宽处理策略,以便网络的带宽能得到充分的利用;
基于终端的资源控制:仅需设定一条规则,即可限定每台终端的带宽使用上限,同时系统可以根据当前网络资源的使用状况动态的调整分配给每个用户的带宽资源,保证带宽分配的公平性与合理性,另外系统还可以设定每台终端的会话数量,防止由于病毒等原因造成的网络资源耗尽;
弹性灵活的资源管理机制:由于神州数码DCFS-2000能看懂网络从第二到第七的协议层乃至会话间的关联,它能自动地分辨各种不同的协议、服务和应用。深层速率控制技术(Deeper Rate Control)根据IP地址、子网、服务器地点、协议、应用端口、应用类型等基本特点及应用的关联性分析将这个信息流和其它信息流区分开来,再根据不同的需要给予适当或应有的带宽级别(Privilege)和带宽政策(Policy)。带宽级别和带宽政策可以按区间划分,实施方式是硬性或弹性的,根据不同的灵活实施,可以确保广域网有限资源的按需动态分配。
DOS/DDoS攻击防范 — 网络安全的基本保障
采用 SYN Cookie 防范的机制:在TCP 确认数据包中插入一个ID号来鉴别SYN请求。保证合法的请求发送到服务器,同时终止全部 SYN flood 攻击,防止 SYN flood 攻击蔓延到服务器或 神州数码DCFS-2000 自身;
智能的流量识别技术:采用取样机制和基准流量行为监测来识别异常流量,一旦达到了某个潜在攻击的激活阈值,保护措施将自动启用,拦截那些具有攻击性质的访问,保障服务系统的正常运行。
多层实时监控体系 — 保证网络的可管理性
细致周到的监控功能:宏观上,神州数码DCFS-2000系统提供接口、通道、应用、主机、会话等多个层次的实时监控功能,随时掌握网络各个方面的运行状态;微观层面上,系统可以观察到流量、报文数量、会话数量等一系列特性参数;
全面完善的日志机制:通过专用的日志服务器,神州数码DCFS-2000的数据可以汇总到日志服务器内,以供管理员查询和统计,同时可以生成报表帮助管理员分析网络运行状况,管理者还可以通过日志服务系统监测多台神州数码DCFS-2000的运行状况。
功能介绍
神州数码DCFS-2000系列产品可以实现:
网络资源监控:监控各类网络流量,生成监控图表;
流量监控图表
支持多种网络接口和协议:支持10/100M以太接口以及1000M以太和光纤接口,支持DHCP、PPP、PPPoE和802.1Q等网络协议;
提供深度应用分析功能:基于会话层的应用分析,实现针对应用层的处理和流量管理功能,高速高效的分析算法,可以在千兆环境下线速工作;
应用带宽分配策略
支持动态的带宽分配,可以根据用户数对每个用户的上限带宽进行动态的调整,可以达到充分利用带宽资源和保障多数用户正常使用的最优状态;
TCP速率控制技术,神州数码DCFS-2000部署在两个通讯者之间,可以获取并且修改TCP连接握手时的缓冲尺寸,在数据一发生就控制了带宽,从数据的源头起做控制,基于接入用户的速率控制技术可以有效的控制那些占用带宽资源较多的接入用户;
可以部署在各种网络环境下:支持路由、透明桥接、VLAN Trunck及路由桥接混合工作模式,部署简便,同时提供多出口负载均衡功能,同样适用于复杂的网络环境;
详细的数据分析功能:专用的数据分析系统可以对各种流量数据进行详细的分析和统计,同时集中式处理的功能可以对多台神州数码DCFS-2000设备的状态进行监控并对流量数据进行分析;
如下图所示:
统一威胁管理系统DCFW-1800E-G-UTM
随着信息化建设的深入,传统网络大部分用户部署了防火墙、入侵检测、VPN等设备,主要侧重于网络层的攻击检测和防护。而近年来随着网络规模的不断扩张,应用的不断增多,连续爆发的CodeRed、Nimda等蠕虫病毒,频繁而出的垃圾邮件,已成为网络当中最令管理员头疼的问题,用户也对网关安全防护过滤设备提出了更高的管理要求。除了对传统安全网络层的攻击检测和防护之外,如何防御及解决这些应用层问题逐渐成为整个安全业界和用户的关注重心。
3.1.6 防水墙(DCSM内网安全及管理系统)
一、DCSM内网安全及管理系统的布属方法:
对于用户的原有网络,不必考虑用户原来使用什么品牌的交换机、什么功能的交换机。通过布置“DCSM管理中心”和“DCSM-Agent”,就可以达到用户准入控制和用户终端管理的功能。
例如:用户的原有网络拓扑结构如下图所示:
通过实现下面两点,就可以成功布属DCSM管理方案:
1) 通过在网络任意位置(最好是核心区)通过旁路方式布属一台“DCSM管理中心”(DCSM-100、DCSM-500、DCSM-2000、DCSM-3000);
2) 将DCSM-Agent的每个网口分别接入到每个VLAN内的交换机上的任意一个网口上。(要求DCMS-Agent与DCSM-管理中心的网络是可通的)
3) 根据内网管理的不同需求,可选择让内网用户安装或不安装Client。
如下图如示:
二、为什么需求使用DCSM-Agent?以及几种方案的对比
DCSM-Agent的功能主要是以下三点:
1) 通过主动探测和被动侦听的方式,收集各个VLAN内的上线主机的信息。
2) 通过ARP欺骗的方式,将不符合安全策略的主机隔离到网络之外,即:不允许非法主机接入进内网中来。
3) 向内网主机下发安全策略。
一些其它厂家的终端管理方案,可能宣传说不需求使用我们这种Agent的方式,他们的解决方案通常有两种:
1) 要求每个内网用户必须安装client,通过这个Client来实现DCSM-Agent的功能。
2) 在组网时,在出口处加一个认证网关,对于不符合安全策略的用户不允许访问外网。
3) 通过与接入层交换机进行联动,对于内网用户通过SNMP网管手段打开或关闭该用户所连的交换机端口,达到上网控制的目的。
4) 不对内网用户进行安全准入控制。
下面我们分别针对上面的几种情况的优缺点进行一下分析:
1、 针对“要求每个内网用户必须安装client,通过这个Client来实现DCSM-Agent的功能。”的情况:
a) 优点:
i. 布置起来不必再加专用的Agent设备,方便且为用户节省成本。
b) 缺点:
i. 如果用户要求采用无client的方式,则这种方式一点都达不到要求。
ii. 如果内网中所有安装了Client的主机都关机了,则对没有安装Client的主机就达不到准入控制的目的了,会给内网的安全造成极大的漏洞。外来主机可以容易地接入到内网中来。
iii. 只能通过“行政命令”的方式要求安装client,而在技术手段上无法严格控制。
c) 综合结论:内网安全管理的漏洞极大
2、 针对“在组网时,在出口处加一个认证网关,对于不符合安全策略的用户不允许访问外网。”的情况:
a) 优点:
i. 不必布属很多Agent,只需要在出口处用一台即可。
b) 缺点:
i. 因为用于准入控制的网关放在出口处,实现不了网络内部的准入管理,例如:一个VLAN内部的各个主机之间在仍然可以通信、传播病毒。
ii. 对于非法外来人员接入到网口上,仍可以接入内网。只能实现对外网的“准出”控制,而不是“准入”控制。
iii. 如果某用户不想出外网,而不安装client,也一样可访问内网。
c) 综合结论:内网控制粒度粗,可对访问外网进行控制。
3、 针对“通过与接入层交换机进行联动,对于内网用户通过SNMP网管手段打开或关闭该用户所连的交换机端口,达到上网控制的目的。”的情况:
a) 优点:
i. 达到了在接入层准入控制的目的,完全没有上面二种方式的缺点。
b) 缺点:
i. 针对不同品牌的交换机要求有较多的兼容性,难于真正很完美的实现。基本上会是每个项目都要单独的定制开发。
ii. 因为兼容性引起的一些原因,好多准入控制、Client与后台之间的通信功能实现不了。
iii. 要求用户原有的接入层交换机必须是可网管的交换机。
c) 综合结论:在有统一标准接口之前,实现起来比较困难。
4、 针对“不对内网用户进行安全准入控制。”的情况:
a) 优点:
i. 无。
b) 缺点:
i. 不能进行准入控制,无内网安全可言。
c) 综合结论:不是内网安全方面的产品。
针对上面对比的几种情况,DCSM管理中心和DCSM-Agent在准入控制上更加严格,实现了真正意义上的不依赖于外部环境的内网安全管理。
三、布属DCSM后实现的内网安全方面的功能:
该方案主要提供以下功能:
IP地址管理
网络接入安全管理
外围设备使用控制
软件进程监控
外联监控
操作系统补丁管理
文件审计
资产信息收集与查询
四、DCSM功能特点
1、IP/MAC地址管理 及 内网用户的准入控制
IP地址管理子系统专注于网络接入安全,解决了内网中计算机设备非法接入、IP地址违规变更的问题,提高网络的可用性和可靠性。具体功能有:
实时扫描与分析在线计算机的IP、MAC地址信息;
IP地址、MAC地址的合法性判定, 支持IP-MAC绑定、DHCP-MAC绑定和特权MAC配置三种合法性管理方式;
警告或阻断非法接入的设备;
统计分析非法IP地址使用的历史情况;
支持主动探测和被动侦听等多种扫描方式,采用特定算法对扫描过程进行控制,对网络不造成明显负荷;
灵活的部署方式,可以适应不同网络环境的需要,通过在各网段部署IPA,使IP管理目标和成本达到最优比例;
灵活的配置,可以图形化方式配置每一台代理装置的监控参数,并查询各个网络接口的扫描结果;
对于监视到的违规信息,调用报警模块向管理员进行报警。
2、客户端安全管理(桌面安全)
客户端安全管理子系统专注于客户端安全,共有七大功能模块:资产信息管理模块、软件进程监控模块、外设与端口监控模块、非法外联监控模块、系统补丁管理模块、文件审计模块、打印控制模块,各功能模块为客户端安全提供了综合管理方案,提高了客户端的安全等级。
3、资产信息管理模块
按组织结构管理,实现设备信息的注册和审批;自动扫描未安装客户端的终端;
自动收集终端的系统、硬件、软件信息;信息变更时,自动记录,并可根据策略向管理员发送报警;信息可搜索查询,可导出excel报表;
客户端程序收集的系统信息包括:操作系统类型、操作系统版本号、IE浏览器代理服务器设置情况、当前登录用户、当前登录域、客户端程序的版本号、操作系统补丁信息等;
客户端程序收集的硬件信息包括:CPU型号、CPU主频、内存大小、硬盘序列号、磁盘容量、磁盘剩余空间、网卡型号、网卡物理地址、显卡型号、声卡型号、键盘型号、鼠标型号等;
查询及报表统计:可根据上述收集的各种信息,包括用户信息、硬件设备信息、系统信息和软件信息进行组合查询搜索,以查找出满足条件的计算机,并生成相应的统计报表。
4、软件进程监控模块
管理人员可在中央控制器指定各计算机必须运行(白名单)和禁止运行(黑名单)的进程;
本机客户端程序将实时检查进程运行的情况,发现本机未运行白名单进程,客户端将向中央控制器发送违规情况,并向管理人员发送报警;
一旦发现本机正在运行黑名单的进程,客户端则自动结束该进程,同时向中央控制器发送违规通知与报警。
通过这一功能,可实现与防病毒软件的联动、监控功能。
5、外设与端口监控模块
管理人员可在中央控制器设定启用或禁用各终端计算机的外设和端口;
外设与端口包括软驱、光驱、U盘、MODEM、串口、并口、红外接口、1394口等外围设备和接口;
客户端将根据中央控制器下发的配置启用或禁用,即使断开内网,客户端程序照样具有控制作用。
6、非法外联监控模块
非法外联行为的监视
客户端程序定周期检测该计算机的网络连接情况,及时发现终端连接其他外部网络的行为,记录下其违规外联的信息并向中央控制器发送违规记录和报警。即使断开内网发生外联,客户端程序也可检测到。
非法外联行为的控制
对于发生非法外联行为的计算机,客户端可自动断开其各种网络连接,包括网卡连接、拨号连接、无线连接等。管理人员可在中央控制器配置自动恢复或确认恢复两种方式以恢复终端的内网连接。
免检范围配置
对无须进行外联监控的计算机,可在中央控制器配置免检范围,免检范围内的计算机将允许连接其他外部网络,在连接外部网络时客户端不会断开其网络连接。
7、系统补丁管理模块
软件更新服务 (SUS) 是 Microsoft 的补丁管理解决方案,DCSM系统补丁管理模块集成了SUS服务,通过内网SUS服务器提供一个集中的补丁分发点,在网内计算机上实现系统补丁的更新管理。系统补丁管理功能的实现依靠三方面的协同工作:SUS监控端、DCSM中央控制器和DCSM客户端。
SUS监控端安装于内网SUS服务器上,实时检测最新的补丁信息,并将信息传送到DCSM中央控制器DCSM中央控制器。
在中央控制器上可设置补丁管理功能的各项工作方式和管理策略,并查看和查询各补丁的安装信息。
DCSM客户端自动将终端系统的升级链接定向到内网SUS服务器,搜索本机补丁安装情况,并向DCSM中央控制器汇总相关信息。
8、文件审计模块
文件审计主要记录从本机拷贝文件到其他存储设备或网络上设备的操作。
审计内容主要包括:写软驱、光驱、U盘的操作,向远程共享目录写文件,他人从本机的共享目录拷贝文件,以及使用其他端口程序如FTP客户端对本地文件进行的操作。
记录的内容包括:“主机名”“操作者姓名”“程序名”“进程名”“文件名”“设备名”“操作类型”“文件大小”以及“操作时间”。
记录查看:客户端程序将所监视到的信息发往服务器,可在文件审计子菜单中按组织机构察看,具备分页显示、按主机名查询等功能,还可以将记录导出至Excel文件中。
9、系统管理功能
系统管理功能是DCSM中央控制器的公共部分,内含用户管理、报警管理、日志管理、系统配置四大模块。注:用户指拥有DCSM系统管理权限的人员,而非客户端用户。
10、用户管理模块
系统管理员可创建和删除用户,并分发管理权限,被创建成功的用户可自己修改个人信息;
系统管理员可进行组织机构管理:可在系统中维护该组织的机构层次结构图,在管理中可按照组织机构层次进行导航,方便查找和管理;
系统管理员可进行用户群组管理:系统内置IP地址管理群组、客户端管理群组、报警管理群组、日志管理群组和系统配置群组等多个群组,将指定用户加入到某个群组中,该用户即可获得该群组所拥有的操作权限,从而达到对用户进行权限管理的目的。
11、报警管理模块
报警方案和策略配置:系统预先定义了系统内各种可能发生的报警事件,管理人员可为每一类报警事件指定相应的报警接收人员,以此形成报警的方案和策略;
支持多种报警方式:系统支持手机短信报警(此方式需要手机短信专用硬件模块支持)、桌面精灵报警等多种报警通知方式。
报警日志的记录与查询:系统在每次发送报警通知的同时,将在中央控制器记录下该次报警的相关信息,方便日后进行查询。
12、日志管理模块
支持日志浏览:可以列出所有当前和历史的日志记录。日志分为系统日志和操作日志两种类型,系统日志主要记录该系统工作的情况,操作日志则记录用户所进行的各种非浏览操作;
支持日志查询:可以对某一特定的日志表进行查询,可以对日志记录的各个字段进行分类查询,如系统日志可按日期、功能模块、日志信息等级、日志标题、具体描述等查询,操作日志可按日期、用户等查询。
支持日志归档:为了防止日志记录在一张表中无限制膨胀,系统会定期对当前日志进行归档,系统自动生成一张新表。这样既能有效地管理日志,又能达到保护日志记录的目的。对归档的日志记录,可以定时自动清理。
13、系统配置
修改DCSM自身的网络参数,包括IP地址、网络掩码、主机名、网关等信息设置;
提供界面供用户下载最近三天的系统备份文件,用于发生系统灾难事件时进行恢复;
提供系统升级功能;
提供DCSM相关管理工具的下载;
提供安全关机和安全重启的功能。
3.2 方案特点
神州数码第三代服务型网络是实现客户价值的保证;该方案具有安全、稳定、智能业务融合和易管理的特点。
方案特点 特点分析
稳定 设备稳定 ISO9001:2000研发生产体系:确保5万小时MTBF时间;
硬件冗余设计:核心交换设备均支持背板、电源冗余设计;
NEBS支持:确保核心99.999%的稳定性;
网络稳定 双核心之间支持HSRP、VRRP切换:在连接线路出现问题时,通过VRRP+802.1w协议保证亚秒级稳定性;
核心与接入交换间支持802.1w加快收敛:通过802.1S+802.1W协议保证交换机之间线路稳定,同时,还起到负载均衡提高带宽功能;
服务稳定 基于硬件的负载均衡:核心交换机支持SLB功能保证关键服务不会宕机;同时,不会造成任何额外延迟;
安全 设备安全 DCRS-7600系列交换机支持标准和扩展ACL,支持IP ACL、MAC ACL、IP-MAC ACL,支持基于源/目的IP、三层IP协议号、TCP/UDP四层端口号、IP优先级、ToS、时间范围对数据进行过滤。
支持AAA认证,802.1x用户接入认证
安全联动 UTM统一威胁管理系统抵御来自网络外部的攻击;
IDS负责保证网络局域网内网络安全;
先进性与可扩展性 先进性 所选用的核心交换机支持万兆以太网标准
可扩展性 核心交换机支持万兆模块扩展,将来只需购买相应模块即可实现万兆网络
智能业务
融合 硬件智能 出口流量整形设备实现L2-L7基于硬件的流分类
高交换容量线速交换
软件智能 模块化操作系统设计:软件易升级,功能易实现;
端到端QoS技术:可保证视频服务这种流量大,实时性强,对延迟敏感等特点应用的流畅运行
端到端ACL技术
易管理 客户端
软件(需配置DCBI安全认证系统 Push分发模型
自动配置,自我恢复机制
管理平台 统一LinkManager网络管理平台
3.3 网络VLAN规划
部署在的网络设备的VLAN,一般分为两种情况,一种是基于IEEE802.1Q/p,我们称之为标准的VLAN(包头带tag),再就是,不是基于IEEE802.1Q/p只是能端口隔离的(包头不带tag),我们称之为非标准VLAN。
应该说VLAN的出现,给在整个网络安全带来了生机,它有效减小了广播域,降低了网络广播造成的带宽问题,给用户和商带来的种种好处,通过划分虚网用户的端口隔离解决网络的安全问题。
根据网络管理经验,一般建议在网络当中部署用户VLAN和管理VLAN。管理VLAN用于网络管理人员对网络设备的维护管理。网络业务则运行于用户VLAN。各VLAN ID需全局唯一。
3.4 IP地址规划
IP地址的合理规划是企业网网络设计中的重要一环,大型计算机网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。
IP地址分配原则
IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则:
唯一性:一个IP网络中不能有两个主机采用相同的IP地址;
简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表项
连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率
可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性
灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。
主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。
当企业网以私网地址分配或采用混合网络地址接入时,要求企业网提供地址变换功能,过滤掉私网地址。
IP地址规划方案
通过地址标识可以清楚地区分出IP地址地来源,便于路由汇聚和访问控制。通过我们的规划,我们能从IP地址分析出IP地址的来源、用途等,这将为网络的维护带来方便。
具体的IP地址定义将结合实际情况确定。
1)内部私网IP地址的分配
对于相对固定不变的教学区采用静态分配IP地址,为防止地址盗用,采用IP地址与MAC地址绑定,对于流动性大、用户人数多、用户增长快的学生区采用动态分配IP地址,采用By Port的Vlan,小范围地限制地址盗用问题。
对上网用户的管理,是基于用户名、密码的代理认证WEB认证过程进行,企业网内的网络资源不需认证就可访问,但访问校外的资源就必须经过认证, 用户开机时,从DHCP服务器获得IP地址,并可以直接访问企业网。
2)中心交换机支持静态或动态的IP地址分配,并支持动态 IP 地址分配方式下DHCP-Relay功能,DHCP SERVER可安放在园区内部。
3)对于固定IP地址用户,需要针对标识符(MAC地址)设定保留IP地址。
3.5 组播应用
随着对视频、多媒体应用带宽需求的急剧增加,以及各种新兴应用的不断开展,传统的数据传送方式已经不能适应应用发展的需要。例如在一个网络上有200个用户需要接收相同的信息时,传统的解决方案要么把这一信息分别发送200次,以便确保需要数据的用户能够得到所需的数据;要么采用广播的方式,在整个网络范围内传送数据,需要这些数据的用户可直接在网络上获取。这些方式都浪费了大量宝贵的带宽资源,特别是网络上只有少数用户需要数据时,这种浪费更加明显。IP组播就是为了解决这个棘手问题而开发出来的。IP组播采用了组地址的概念,把需要数据的用户编入用户组,并利用一些高级的网络协议来确保最经济地利用带宽,把数据通过用户组传递给真正需要的用户。IP组播还能减轻服务器的负担,提高办公和教学的效率,从而革命性地改变网络的性能,节省大量的经费,并能带来更多新的服务。在本方案中,要求所有交换设备都必须对多种组播协议进行支持。
IP组播技术已经出现了很久,但这仅仅是IP组播时代的开始,并且可以肯定IP组播是从WWW技术推广后出现的最激动人心的网络技术之一。
随着骨干网带宽的增加使因特网视/音频成为可能,随着小区网络中视/音频应用的不断丰富,以及种种依赖于组播技术才能实现的应用出现,对组播技术的支持成为网络建设的一个重要内容。
作为一个新建网络,在应用中也要充分考虑到新技术的应用及应用的发展,先需要考虑的是整个组播方案的伸缩性问题。IP组播路由与IP单播路由有一个本质的区别就是,IP单播路由是根据网络的拓扑结构而不是实际的会话来建立路径,而IP组播路由则是根据网络的会话来动态地建立投递路径;因此,IP组播路由比IP单播路由更具有动态性。目前可用的组播路由模型有两种:稠密分布模型和稀疏分布模型。稠密分布模型假定组播成员在网络中稠密分布,并且它们之间的网络带宽资源往往随时可用;而稀疏分布模型假定组播成员在网络中稀疏分布,而且它们之间带宽资源往往比较紧张。很显然,对于企业内部网络来说,应该采用稠密分布模型,目前经常被采用的稠密分布模型的域内组播路由协议是PIM,因此,我方建议采用PIM作为域内组播路由协议。
PIM协议的全称是“协议无关组播路由协议”,它主要应用于路由器中。在高端的多层交换机中也有广泛应用。它不受网络规模限制,应用非常灵活。
IP组播技术的提出是基于对业务通信结构进行优化的思想。在某些业务中,常常有一定数量的用户在接收一些完全相同数据流,如果采用IP单播技术来为这些用户服务,需要发送者为每个用户单独建立一个数据流,这些数据流重复地发送完全相同的数据;这样,采用IP单播技术将大大加重发送主机和通信网络的负载,同时也比较难以保证对不同接收者的服务的公平性(可能由于发送主机或通信网络的负载过重,而有些接收者被拒绝服务;或者,由于发送主机对多个接收者的服务中,各个服务需要竞争不同的资源,造成一定的串行化效果,从而,不同的接收者接受到服务的时间不同)。而组播技术只要求发送者为同一数据发送一个数据流,通过网络来选择合适的通信设备,为不同的用户复制同一数据流来实现降低主机服务负载、网络通信负载和服务的公平性。
- 相关文章
- 最新文章
- 城域网整体安全保护体系方案[04-28]
- 局域网受到ARP欺骗攻击的解决办法[04-28]
- 会议室设计方案[04-28]
- 视频会议解决方案[03-22]
- 办公信息化解决方案[03-22]
- 电子政务网络安全解决方案[03-22]
