免疫網(wǎng)絡(luò)解決方案

中國(guó)誠(chéng)通集團(tuán)免疫網(wǎng)絡(luò)解決方案第10頁(yè)免疫網(wǎng)絡(luò)解決方案方案提供：北京欣全向科技有限公司

目錄前言 2第一章 現(xiàn)狀與需求分析 3第二章 方案設(shè)計(jì)原理 4一、實(shí)用性與先進(jìn)性 4二、開(kāi)放性與標(biāo)準(zhǔn)化 5三、可靠性與安全性 5四、經(jīng)濟(jì)性和擴(kuò)充性 5第三章 方案說(shuō)明 5一、 方案選型 5二、 方案拓?fù)浣Y(jié)構(gòu) 6三、 免疫網(wǎng)絡(luò)解決方案的組成 6四、 方案詳細(xì)描述 74.1方案部署描述 74.2方案實(shí)施后對(duì)現(xiàn)有網(wǎng)絡(luò)的改善 74.3方案實(shí)施后對(duì)企業(yè)的價(jià)值體現(xiàn) 9第四章方案報(bào)價(jià)和售后服務(wù)前言二十世紀(jì)末，“信息革命”引發(fā)全球范圍內(nèi)科學(xué)技術(shù)的日常生活的深刻變革。隨著網(wǎng)絡(luò)技術(shù)的突飛猛進(jìn)，電腦和互聯(lián)網(wǎng)的廣泛應(yīng)用，單位內(nèi)部網(wǎng)絡(luò)規(guī)模日益龐大，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)日趨復(fù)雜，網(wǎng)絡(luò)安全性要求也變得越來(lái)越高，這使得網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全問(wèn)題開(kāi)始逐漸重要起來(lái)，日益引起網(wǎng)絡(luò)管理人員、單位領(lǐng)導(dǎo)、甚至政府的高度重視。怎樣保證網(wǎng)絡(luò)的安全和業(yè)務(wù)安全呢？首先要有一個(gè)可靠的網(wǎng)絡(luò)，其次就是要有強(qiáng)有力的網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全手段。目前許多網(wǎng)絡(luò)管理員憑借自己的學(xué)識(shí)和經(jīng)驗(yàn)進(jìn)行網(wǎng)絡(luò)和安全和管理，但隨著單位網(wǎng)絡(luò)規(guī)模的日益壯大，這種管理方法已經(jīng)不能適應(yīng)當(dāng)前的需求。因此，我們必須借助一些完整的技術(shù)方案對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行安全管理。網(wǎng)絡(luò)無(wú)處不在，并且隨著科技的發(fā)展、建設(shè)投入的加大，越來(lái)越深入到每一個(gè)人的生活、工作、學(xué)習(xí)、娛樂(lè)等活動(dòng)中。網(wǎng)絡(luò)如同一把雙刃劍，給我們提供各種便利和幫助的同時(shí)，也給我們自身的網(wǎng)絡(luò)安全帶來(lái)挑戰(zhàn)。用得好將大大方便于我們的各種需求，用得不好，也可能給自己帶來(lái)安全的隱患。我們需要在充分利用網(wǎng)絡(luò)便利性的同時(shí)，又要保證自身的網(wǎng)絡(luò)和信息安全。在討論網(wǎng)絡(luò)安全管理時(shí)，我們將網(wǎng)絡(luò)分為內(nèi)網(wǎng)和外網(wǎng)兩個(gè)部分，其中外網(wǎng)又包括國(guó)際互聯(lián)網(wǎng)和與本單位相聯(lián)的外單位相聯(lián)的外單位網(wǎng)絡(luò)。通常情況下，在各網(wǎng)絡(luò)之間，我們通常采用諸如firewall過(guò)濾、CA認(rèn)證、VPN加密或隔離卡物理隔離等安全技術(shù)措施來(lái)防范“黑客”的攻擊。而內(nèi)網(wǎng)的安全性問(wèn)題，較上述內(nèi)外網(wǎng)間的安全性問(wèn)題，更為復(fù)雜棘手。IT象一把銳利的武器，運(yùn)用得當(dāng)使使用者獲利，運(yùn)用不當(dāng)會(huì)讓使用者業(yè)務(wù)流失。而IT應(yīng)用管理中的“效率”與“效益”仍是永遠(yuǎn)的主題，也只有抓住這個(gè)核心，才能在管理思想層出不窮的今天實(shí)現(xiàn)形式和內(nèi)容的完美結(jié)合。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，所應(yīng)用服務(wù)的日益增多，以及對(duì)Internet應(yīng)用需求的與日俱增，在網(wǎng)絡(luò)信息化安全管理方面，針對(duì)交換網(wǎng)絡(luò)的安全管理提出了更多的實(shí)在而迫切的要求。在目前復(fù)雜的網(wǎng)絡(luò)環(huán)境中，由老三樣（防火墻、入侵監(jiān)測(cè)和病毒防范）為主要構(gòu)成的傳統(tǒng)信息安全系統(tǒng)，是以防外為重點(diǎn)，而與目前信息安全主要“威脅”源自內(nèi)部的實(shí)際狀況不相符合。內(nèi)部容易產(chǎn)生問(wèn)題的根本就是交換網(wǎng)絡(luò)不可管不可控，那么真正可以實(shí)現(xiàn)企業(yè)信息化建設(shè)前提就是讓交換網(wǎng)絡(luò)變的可管可控。現(xiàn)狀與需求分析公司的大部分業(yè)務(wù)都依賴于網(wǎng)絡(luò)，所以一直非常重視網(wǎng)絡(luò)信息的安全管理與運(yùn)作。但是在信息化應(yīng)用多樣化的現(xiàn)階段，對(duì)網(wǎng)絡(luò)依賴非常高的一個(gè)信息網(wǎng)絡(luò)，網(wǎng)絡(luò)安全存在一塊很大的空白，就是針對(duì)交換網(wǎng)絡(luò)的安全和管理。由于目前沒(méi)有在交換網(wǎng)絡(luò)上去做安全管控，因此對(duì)企業(yè)產(chǎn)生了一些“致命”的安全隱患隱患：缺乏完整的內(nèi)部安全防護(hù)體系。一個(gè)大型計(jì)算機(jī)網(wǎng)絡(luò)的整體安全體系包括網(wǎng)絡(luò)邊界安全、網(wǎng)絡(luò)內(nèi)部安全和人為因素等多個(gè)方面，通過(guò)在網(wǎng)絡(luò)邊界部署接入控制、入侵檢測(cè)等系統(tǒng)可以有效地將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔絕。但是對(duì)內(nèi)而言還處于基本不設(shè)防的狀況，內(nèi)部安全管理工作缺乏有效的技術(shù)手段。內(nèi)網(wǎng)基層設(shè)施齊全，但是缺少統(tǒng)一管理機(jī)制和實(shí)現(xiàn)統(tǒng)一管理的方案，不能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的問(wèn)題，更不能監(jiān)控到網(wǎng)絡(luò)的使用情況，帶寬的使用情況。在出現(xiàn)帶寬堵塞的情況下，（如：病毒爆發(fā)或其中的一臺(tái)終端機(jī)中毒，發(fā)出大量的TCP和UDP的數(shù)據(jù)包），大量的異常網(wǎng)絡(luò)流量全部會(huì)聚到核心層交換機(jī)，但因地理位置等原因管理人員無(wú)法即時(shí)控制病毒的蔓延，從而導(dǎo)致網(wǎng)絡(luò)工程師們?cè)诔霈F(xiàn)問(wèn)題時(shí)來(lái)不及補(bǔ)救，使整個(gè)網(wǎng)絡(luò)系統(tǒng)成癱瘓狀態(tài)。導(dǎo)致公司的重要業(yè)務(wù)平臺(tái)無(wú)法使用，造成重大的經(jīng)濟(jì)損失！網(wǎng)絡(luò)安全管理的基礎(chǔ)工作較薄弱，各類網(wǎng)絡(luò)基礎(chǔ)信息采集不全。大型計(jì)算機(jī)網(wǎng)絡(luò)的管理應(yīng)該以基礎(chǔ)網(wǎng)絡(luò)的管理為核心，信息管理中心如果對(duì)所管轄網(wǎng)絡(luò)的用戶狀況難以掌握的話，對(duì)整個(gè)網(wǎng)絡(luò)的管理工作也就無(wú)從談起，在發(fā)生網(wǎng)絡(luò)違規(guī)事件時(shí)也很難及時(shí)將問(wèn)題定位到具體的用戶。依靠IP地址作為網(wǎng)絡(luò)上的身份標(biāo)識(shí)，很容易造成混亂。IP地址是網(wǎng)絡(luò)連接協(xié)議TCP/IP的基礎(chǔ)，是一個(gè)邏輯地址，可以任意更改。如果身份相同導(dǎo)致了沖突的現(xiàn)象，造成無(wú)法正常使用網(wǎng)絡(luò)連接，就會(huì)影響正常業(yè)務(wù)工作的開(kāi)展。難以監(jiān)控外來(lái)用戶的計(jì)算機(jī)接入內(nèi)網(wǎng)。內(nèi)網(wǎng)的計(jì)算機(jī)，應(yīng)該是專門用于完成業(yè)務(wù)工作且經(jīng)過(guò)認(rèn)可的計(jì)算機(jī)。但是存在著用戶利用這些計(jì)算機(jī)設(shè)備進(jìn)行其他活動(dòng)，或使用未經(jīng)確認(rèn)許可的計(jì)算機(jī)接入內(nèi)網(wǎng)的可能性，管理人員對(duì)這些情況難以進(jìn)行監(jiān)視和控制。網(wǎng)管人員缺少利器，出現(xiàn)問(wèn)題很多情況下都需要利用傳統(tǒng)手段去排查，即使查到又缺乏技術(shù)手段去控制，所以效率和業(yè)績(jī)都會(huì)大打折扣依賴共享的局域網(wǎng)，毫無(wú)隱私可談，企業(yè)聊天、網(wǎng)銀交易、郵件收發(fā)、等內(nèi)容，在局域網(wǎng)里可以被任意一個(gè)終端所嗅探竊取，企業(yè)利益將受重創(chuàng)。上述隱患的存在，可能會(huì)造成機(jī)密信息外泄、影響正常業(yè)務(wù)進(jìn)行等多種嚴(yán)重的后果。究其根本原因，是交換網(wǎng)絡(luò)的不可管不可控。因此，建立一整完整的交換網(wǎng)絡(luò)安全管理手段，對(duì)于提高全網(wǎng)的安全性和穩(wěn)定可靠性具有重要意義。需求：對(duì)以太網(wǎng)通信協(xié)議進(jìn)行深入管理：發(fā)生在以太網(wǎng)2、3層的協(xié)議攻擊，大量消耗網(wǎng)絡(luò)設(shè)備資源，甚至導(dǎo)致網(wǎng)絡(luò)設(shè)備癱瘓。無(wú)論多高性能的以太網(wǎng)設(shè)備，都不可能有效應(yīng)付。所以首先要保證對(duì)協(xié)議進(jìn)行深入管理防止被攻擊導(dǎo)致設(shè)備癱瘓。對(duì)網(wǎng)絡(luò)成員進(jìn)行嚴(yán)格身份控制：以IP、MAC為基礎(chǔ)的網(wǎng)絡(luò)身份，能夠被輕易偽造和篡改，對(duì)網(wǎng)絡(luò)安全和管理形成危害。所以要求有基因式的管理確定身份的唯一性，才可以保證網(wǎng)絡(luò)穩(wěn)定全網(wǎng)數(shù)據(jù)流量和流向的帶寬管理：以太網(wǎng)是基于共享的網(wǎng)絡(luò)，對(duì)數(shù)據(jù)通信的流量和流向沒(méi)有做嚴(yán)格管理，網(wǎng)絡(luò)的安全穩(wěn)定不可控制?，F(xiàn)有的帶寬管理設(shè)備，多數(shù)是針對(duì)IP的帶寬管理，而且部署在緊靠接入的位置，無(wú)法實(shí)現(xiàn)在交換網(wǎng)絡(luò)內(nèi)部，各終端和各節(jié)點(diǎn)之間精細(xì)的帶寬管理。因此，交換網(wǎng)絡(luò)內(nèi)部依然充斥大量無(wú)效數(shù)據(jù)，降低網(wǎng)絡(luò)通信效能。所以技術(shù)要求對(duì)每一臺(tái)終端、服務(wù)器、交換機(jī)級(jí)聯(lián)口、子網(wǎng)連接、接入網(wǎng)關(guān)、關(guān)鍵訪問(wèn)節(jié)點(diǎn)等進(jìn)行帶寬的管理，對(duì)他們之間的數(shù)據(jù)流量流向做設(shè)定。從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)傳輸全面化、精細(xì)化、智能化的管理，構(gòu)造純凈的交換網(wǎng)絡(luò)環(huán)境。全網(wǎng)實(shí)時(shí)中心監(jiān)控：可以監(jiān)控底層協(xié)議、終端身份、實(shí)時(shí)流量等網(wǎng)絡(luò)信息并且能做到故障點(diǎn)精準(zhǔn)定位，靈活的安全策略定制與分發(fā)：2、3層協(xié)議的管控力度、終端流量流向的設(shè)定、干預(yù)條件、執(zhí)行方式等等，都可以按需進(jìn)行設(shè)定和組合。全面的網(wǎng)絡(luò)審計(jì)、統(tǒng)計(jì)和分析功能：對(duì)流量歷史、訪問(wèn)記錄、帶寬使用效率、故障事件直至每一個(gè)IP的訪問(wèn)痕跡等，都進(jìn)行完整的記錄統(tǒng)計(jì)。調(diào)閱分析記錄，可以幫助管理員對(duì)網(wǎng)絡(luò)規(guī)劃作出判斷，作出合理有效的調(diào)整。保證企業(yè)重要業(yè)務(wù)平臺(tái)能正常運(yùn)行。禁止或只允許瀏覽的指定網(wǎng)站方案設(shè)計(jì)原理一、實(shí)用性與先進(jìn)性在網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)中，首先要考慮的是實(shí)用性和易于操作性、易于管理和維護(hù)，易于操作人員掌握和學(xué)習(xí)使用。采用技術(shù)成熟的網(wǎng)絡(luò)、通信技術(shù)和設(shè)備，同時(shí)要考慮對(duì)現(xiàn)有設(shè)備和資源的充分利用，保護(hù)原有投資。當(dāng)前計(jì)算機(jī)技術(shù)發(fā)展迅速，新的設(shè)備不斷涌現(xiàn)并趨于成熟，在滿足實(shí)用性的基礎(chǔ)上，起點(diǎn)要高，應(yīng)盡量選用先進(jìn)的技術(shù)及設(shè)備，將網(wǎng)絡(luò)安全系統(tǒng)的技術(shù)水平定位在一個(gè)較高的層次上，以適應(yīng)新世紀(jì)的需要。二、開(kāi)放性與標(biāo)準(zhǔn)化在總體設(shè)計(jì)中，應(yīng)采用開(kāi)放式的結(jié)構(gòu)，使網(wǎng)絡(luò)易于擴(kuò)充。使相對(duì)獨(dú)立的分系統(tǒng)易于組合調(diào)整。當(dāng)外界環(huán)境改變時(shí)，系統(tǒng)可不作修改或小量修改就能在新的環(huán)境下運(yùn)行。選用的通信協(xié)議和設(shè)備要符合國(guó)際標(biāo)準(zhǔn)或工業(yè)標(biāo)準(zhǔn)，使網(wǎng)絡(luò)的硬件環(huán)境、通訊環(huán)境、軟件環(huán)境、操作平臺(tái)之間的依賴減至最小，同時(shí)，要保證網(wǎng)絡(luò)的互聯(lián)，為信息的互通和應(yīng)用創(chuàng)造有利的條件。三、可靠性與安全性系統(tǒng)安全可靠是整個(gè)系統(tǒng)建設(shè)的基礎(chǔ)。整個(gè)系統(tǒng)要求有較高的可靠性，各級(jí)子系統(tǒng)應(yīng)有相應(yīng)的監(jiān)督和管理能力，要適當(dāng)考慮關(guān)鍵設(shè)備和線路的冗余，能夠進(jìn)行在線修復(fù)、更換和擴(kuò)充。要確保系統(tǒng)和數(shù)據(jù)傳輸?shù)恼_性，以及異常情況所必須的保護(hù)性設(shè)施。四、經(jīng)濟(jì)性和擴(kuò)充性IT信息中心系統(tǒng)的建設(shè)，要從經(jīng)濟(jì)性著眼，在完成系統(tǒng)目標(biāo)的基礎(chǔ)上，力爭(zhēng)用最少的錢辦最多的事。建成的系統(tǒng)必須具有良好的可擴(kuò)充性和升級(jí)能力，為整個(gè)系統(tǒng)以后的發(fā)展打好基礎(chǔ)。方案說(shuō)明方案選型結(jié)合公司的網(wǎng)絡(luò)情況，由于交換網(wǎng)絡(luò)的不可管不可控，導(dǎo)致的網(wǎng)絡(luò)問(wèn)題只有免疫墻技術(shù)可以解決，此方案是唯一可以做到利用免疫墻技術(shù)把交換網(wǎng)絡(luò)實(shí)現(xiàn)可管可控的最佳方案，是保障企業(yè)網(wǎng)絡(luò)信息化建設(shè)穩(wěn)定發(fā)展的有力技術(shù)后盾。方案拓?fù)浣Y(jié)構(gòu)免疫網(wǎng)絡(luò)解決方案的組成免疫網(wǎng)絡(luò)解決方案不是一個(gè)單獨(dú)的產(chǎn)品，而是一套由軟硬件、內(nèi)網(wǎng)安全協(xié)議、安全策略構(gòu)成的完整組件。主要組件包括：終端驅(qū)動(dòng)：中間層驅(qū)動(dòng)和CWALL，他負(fù)責(zé)為欲發(fā)送的數(shù)據(jù)包加入免疫標(biāo)記，并計(jì)算校驗(yàn)和，重新封裝；負(fù)責(zé)抓取本終端真實(shí)的物理信息，申告到運(yùn)營(yíng)中心；負(fù)責(zé)對(duì)網(wǎng)內(nèi)的關(guān)鍵身份進(jìn)行基因式綁定；負(fù)責(zé)免疫策略的執(zhí)行；負(fù)責(zé)免疫通信協(xié)議的應(yīng)答和策略接受，等等工作。接入網(wǎng)關(guān)：在接入和轉(zhuǎn)發(fā)過(guò)程中，要核查每一個(gè)請(qǐng)求的發(fā)起者的免疫身份，并按照免疫策略的要求進(jìn)行動(dòng)作。在數(shù)據(jù)的收發(fā)過(guò)程中，要對(duì)發(fā)起和回復(fù)做數(shù)據(jù)請(qǐng)求和身份的一一核對(duì)，實(shí)現(xiàn)先天免疫。要與免疫墻服務(wù)器實(shí)時(shí)數(shù)據(jù)交互，對(duì)免疫策略做出反應(yīng)。免疫墻服務(wù)器：免疫墻服務(wù)器由運(yùn)行服務(wù)器、配置中心、監(jiān)控中心、WEB服務(wù)器等組成。WEB服務(wù)器為非免疫身份成員提供免疫驅(qū)動(dòng)下載安裝，發(fā)送公告；配置中心維護(hù)安全策略并分發(fā)給各免疫單元；監(jiān)控中心進(jìn)行全網(wǎng)監(jiān)控、顯示、告警和允許人工干預(yù)，并形成日志審計(jì)和記錄；運(yùn)營(yíng)中心24小時(shí)不間斷統(tǒng)籌全網(wǎng)，指揮調(diào)度。免疫通信協(xié)議：由基于SSH的連接協(xié)議、基于TCP\UDP的心跳握手協(xié)議、數(shù)據(jù)接口協(xié)議等一整套協(xié)議組成。免疫通信協(xié)議是一個(gè)加密的協(xié)議，命令格式、內(nèi)容、協(xié)議過(guò)程等都是不開(kāi)放的，屬于私有的協(xié)議。這是出自安全的需要。方案詳細(xì)描述4.1方案部署描述部署方式極為靈活，無(wú)需改變公司的網(wǎng)絡(luò)結(jié)構(gòu)，在原有的網(wǎng)絡(luò)結(jié)構(gòu)上可以直接部署，首先接入層部署免疫墻網(wǎng)關(guān)，免疫墻網(wǎng)關(guān)支持nat、路由、橋、旁路等模式，內(nèi)網(wǎng)的pc機(jī)和服務(wù)器可以執(zhí)行強(qiáng)制自動(dòng)安裝免疫上網(wǎng)驅(qū)動(dòng)，也可以根據(jù)特殊需求手動(dòng)安裝免疫上網(wǎng)驅(qū)動(dòng)，控制方式可以直接通過(guò)web界面去管控，極為簡(jiǎn)單，完全人性化的操作界面，操作幾遍就可以靈活掌握，便于網(wǎng)絡(luò)管理人員管理。4.2方案實(shí)施后對(duì)現(xiàn)有網(wǎng)絡(luò)的改善1、網(wǎng)絡(luò)擴(kuò)展性強(qiáng)，未來(lái)增加外線可以實(shí)現(xiàn)接入帶寬匯聚，線路備援；采用第四代多WAN技術(shù)和身份綁定技術(shù)，全面進(jìn)行接入部分的多線帶寬匯聚，一臺(tái)電腦上網(wǎng)同時(shí)使用多條接入線路帶寬，互聯(lián)網(wǎng)應(yīng)用訪問(wèn)速度大幅提高。多條接入線路的策略使用使得當(dāng)某一條線路出現(xiàn)問(wèn)題時(shí)，能及時(shí)選擇其它正常線路進(jìn)行網(wǎng)絡(luò)訪問(wèn)，網(wǎng)絡(luò)帶寬有了多條安全備援，接入穩(wěn)定性大幅提高。2、全網(wǎng)終端（業(yè)務(wù)訪問(wèn)終端和公網(wǎng)訪問(wèn)終端）網(wǎng)絡(luò)攻擊防御和攔截（ITP）；對(duì)已知攻擊驗(yàn)證有效的種類：ARP欺騙、ARP洪水、骷髏頭、CAM攻擊、IP欺騙、虛假IP、虛假M(fèi)AC、IP分片、DDoS攻擊、超大Ping包、格式錯(cuò)誤數(shù)據(jù)、發(fā)包頻率超標(biāo)等等。3、全網(wǎng)終端免疫安全策略（IASP）執(zhí)行，全面的深度防御做到源頭抑制（DDSC）；基于二層、三層及四層的現(xiàn)有策略組合，能夠根據(jù)協(xié)議行為的規(guī)范以及與接入網(wǎng)關(guān)、運(yùn)營(yíng)中心的聯(lián)動(dòng)，應(yīng)付未知攻擊或攻擊組合，具有主動(dòng)防御能力。通過(guò)對(duì)免疫四、安全策略的調(diào)整定制，還能夠有效針應(yīng)對(duì)未來(lái)的攻擊；4、策略可靈活定制便于網(wǎng)管人員靈活管理：免疫安全策略、行為管理策略、訪問(wèn)控制策略、上網(wǎng)時(shí)間策略、流量管理策略、內(nèi)網(wǎng)防火墻策略。網(wǎng)絡(luò)接入部分、網(wǎng)絡(luò)傳輸過(guò)程、終端電腦通過(guò)免疫安全協(xié)議全網(wǎng)設(shè)備安全聯(lián)動(dòng)（APC）；欣全向?qū)Ｓ械膬?nèi)網(wǎng)安全協(xié)議，能夠使接入網(wǎng)關(guān)、終端群、運(yùn)營(yíng)中心、監(jiān)控中心等各種安全部件緊密配合，策略制定和策略下發(fā)、運(yùn)行監(jiān)控、異常通報(bào)、策略執(zhí)行、人機(jī)互動(dòng)等安全聯(lián)動(dòng)功能保證應(yīng)對(duì)各種網(wǎng)絡(luò)突發(fā)事件。5、網(wǎng)關(guān)接入部分ARP先天免疫(IIAA)，杜絕ARP攻擊對(duì)網(wǎng)絡(luò)接入設(shè)備的影響；

在網(wǎng)關(guān)NAT過(guò)程中融合ARP先天免疫，無(wú)需綁定IP-MAC，確保網(wǎng)絡(luò)正常通信數(shù)據(jù)不受任何ARP欺騙攻擊干擾破壞。這是欣全向接入網(wǎng)關(guān)的獨(dú)有專利技術(shù)。終端ARP看守式綁定(HAAB)，保證了公網(wǎng)應(yīng)用和業(yè)務(wù)電腦HIS系統(tǒng)等的穩(wěn)定連通；

終端免疫驅(qū)動(dòng)攔截ARP欺騙信息，從運(yùn)營(yíng)服務(wù)器獲取正確的網(wǎng)關(guān)信息并執(zhí)行看守式綁定，鎖定真實(shí)網(wǎng)關(guān)。與網(wǎng)關(guān)配合能夠探測(cè)并防范7種ARP攻擊。6、基因式終端身份管理(RHIC)，杜絕內(nèi)網(wǎng)身份偽造，保障公網(wǎng)和業(yè)務(wù)的身份可信；

通過(guò)對(duì)終端真實(shí)IP、物理MAC以及免疫封裝，對(duì)每一臺(tái)終端進(jìn)行嚴(yán)格的基因式身份管理。有效解決私改IP上網(wǎng)、二級(jí)路由下的終端偵測(cè)和管理、IP-MAC完全克隆，對(duì)終端身份控制從系統(tǒng)到封包等其他方案解決不了或解決不徹底的問(wèn)題。強(qiáng)制安裝免疫驅(qū)動(dòng)(IDIE)，公網(wǎng)訪問(wèn)強(qiáng)制安全驅(qū)動(dòng)安裝，保障終端安全；

終端除非被列入豁免名單，否則不安裝免疫驅(qū)動(dòng)就不能上網(wǎng)。驅(qū)動(dòng)的安裝過(guò)程完全自動(dòng)化，免疫服務(wù)器提供下載，由終端用戶一鍵完成。它是一套對(duì)系統(tǒng)安全的驅(qū)動(dòng)，有微軟認(rèn)證和數(shù)字簽名。7、分組策略(GP)，基于不同的分組進(jìn)行安全策略和帶寬策略的管理；

對(duì)全網(wǎng)終端實(shí)施分組管理，允許創(chuàng)建10個(gè)分組，可分別賦予不同的控制策略。策略實(shí)時(shí)調(diào)整、即時(shí)生效。8、全網(wǎng)監(jiān)測(cè)評(píng)估(WNSM)，隨時(shí)掌握公司網(wǎng)絡(luò)狀態(tài)、運(yùn)行狀況；

全網(wǎng)工作狀況一目了然、盡收眼底。實(shí)時(shí)圖表直觀顯示帶寬的使用情況、終端詳細(xì)信息、終端網(wǎng)絡(luò)流量、網(wǎng)絡(luò)異常報(bào)警信息、網(wǎng)關(guān)運(yùn)行日志等。9、攻擊源定位（取證）(NAD)，實(shí)時(shí)監(jiān)控報(bào)警和歷史日志記錄相結(jié)合；

通過(guò)實(shí)時(shí)流量、報(bào)警信息、運(yùn)行日志及各終端運(yùn)行狀態(tài)信息，實(shí)時(shí)了解網(wǎng)絡(luò)異常原因，準(zhǔn)確定位攻擊源。10、內(nèi)網(wǎng)終端集中控制(IHM)，細(xì)化到每一個(gè)終端的策略和網(wǎng)絡(luò)訪問(wèn)管控；

網(wǎng)絡(luò)維護(hù)人員可在監(jiān)控中心的控制臺(tái)靈活調(diào)整每臺(tái)終端的安全策略，對(duì)異常終端可封鎖其網(wǎng)卡通信。11、全網(wǎng)終端（業(yè)務(wù)訪問(wèn)終端和公網(wǎng)訪問(wèn)終端）流量控制和統(tǒng)計(jì)；可對(duì)內(nèi)、外網(wǎng)的上、下載帶