某某大型集團(tuán)信息化建設(shè)項(xiàng)目-技術(shù)方案剖析

某某大型集團(tuán)信息化建設(shè)技術(shù)方案某某大型集團(tuán)信息化建設(shè)項(xiàng)目技術(shù)方案承建單位：河南某某信息技術(shù)有限公司二〇一四年五月1某某大型集團(tuán)信息化建設(shè)技術(shù)方案目錄1某某大型集團(tuán)網(wǎng)絡(luò)現(xiàn)狀..................................................................................................31.1某某大型集團(tuán)網(wǎng)絡(luò)現(xiàn)狀.....................................................................................................31.2某某大型集團(tuán)安全現(xiàn)狀....................................................................................................41.2.1網(wǎng)絡(luò)安全評(píng)估........................................................................................................41.2.2網(wǎng)絡(luò)病毒的防范....................................................................................................41.2.3網(wǎng)絡(luò)安全隔離........................................................................................................51.2.4網(wǎng)絡(luò)監(jiān)控措施........................................................................................................51.2.5上網(wǎng)行為管理措施................................................................................................51.2.6VPN加密傳輸措施................................................................................................62網(wǎng)絡(luò)安全整體規(guī)劃.....................................................................................................................62.1網(wǎng)絡(luò)安全目標(biāo)...................................................................................................................62.2安全方案設(shè)計(jì)原則...........................................................................................................62.2.1綜合性、整體性...................................................................................................62.3網(wǎng)絡(luò)安全體系劃分...........................................................................................................72.3.1網(wǎng)絡(luò)安全評(píng)估.......................................................................................................72.3.2網(wǎng)絡(luò)防病毒...........................................................................................................72.3.3防火墻隔離...........................................................................................................82.3.4監(jiān)控入侵行為.......................................................................................................82.3.5上網(wǎng)行為管控.......................................................................................................82.3.6網(wǎng)絡(luò)安全服務(wù)體系................................................................................................93某某大型集團(tuán)網(wǎng)絡(luò)安全方案.......................................................................................................93.1網(wǎng)絡(luò)冗余技術(shù)方案............................................................................................................93.1.1VRRP的基本概念................................................................................................103.1.2VRRP工作原理....................................................................................................103.1.3VRRP快速切換....................................................................................................113.2網(wǎng)絡(luò)安全方案..................................................................................................................113.2.1某某大型集團(tuán)網(wǎng)絡(luò)安全評(píng)估方案......................................................................113.2.2方案設(shè)計(jì)說明......................................................................................................123.3防火墻隔離方案..............................................................................................................143.3.1方案設(shè)計(jì)說明.......................................................................................................143.3.2防火墻設(shè)置原則...................................................................................................143.4網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)..........................................................................................................163.4.1方案設(shè)計(jì)說明......................................................................................................163.4.2綠盟入侵檢測(cè)主要功能......................................................................................163.5上網(wǎng)行為管理系統(tǒng)..........................................................................................................173.5.1方案設(shè)計(jì)說明......................................................................................................173.5.2上網(wǎng)行為管理的主要功能..................................................................................173.6SSLVPN系統(tǒng)....................................................................................................................193.6.1方案設(shè)計(jì)說明......................................................................................................193.6.2SSLVPN的主要功能..........................................................................................192某某大型集團(tuán)信息化建設(shè)技術(shù)方案3.7鏈路負(fù)載均衡 203.7.1方案設(shè)計(jì)說明 203.7.2鏈路負(fù)載均衡的主要功能 213.8網(wǎng)絡(luò)安全服務(wù)體系方案 223.8.1 網(wǎng)絡(luò)安全脆弱性修復(fù)服務(wù) 223.8.2 網(wǎng)絡(luò)安全跟蹤服務(wù) 223.8.3 網(wǎng)絡(luò)安全信息服務(wù) 233.8.2 網(wǎng)絡(luò)安全培訓(xùn)服務(wù) 23某某大型集團(tuán)網(wǎng)絡(luò)現(xiàn)狀1.1某某大型集團(tuán)網(wǎng)絡(luò)現(xiàn)狀某某大型集團(tuán)網(wǎng)絡(luò)建設(shè)于2008年，用戶信息點(diǎn)在1000個(gè)以下。地理分布范圍在多個(gè)區(qū)域，主要利用因特網(wǎng)進(jìn)行外部業(yè)務(wù)活動(dòng)。主要的信息點(diǎn)有東區(qū)辦公樓、調(diào)度樓、體育廠、學(xué)生公寓、西區(qū)服務(wù)樓、西區(qū)大院、西區(qū)學(xué)生公寓及各生產(chǎn)車間。各信息點(diǎn)線路基本全部到位。距離較遠(yuǎn)的以光纖接入，樓層內(nèi)以超五類布線，實(shí)現(xiàn)了百兆到桌面的網(wǎng)絡(luò)部署。中心機(jī)房核心交換機(jī)為華為 5700；核心路由器華為AR2220作為整個(gè)網(wǎng)絡(luò)的出口；網(wǎng)絡(luò)接入層交換機(jī)為H3C的S3100，大部分不能遠(yuǎn)程管理。隨著集團(tuán)規(guī)模的增加，需要網(wǎng)絡(luò)辦公的人數(shù)越來越多，現(xiàn)在的網(wǎng)絡(luò)設(shè)備性能已不能滿足正常的辦公需要及ERP系統(tǒng)的正常使用。辦公區(qū)沒有實(shí)現(xiàn)無線覆蓋，大多數(shù)為個(gè)人私接無線路由器。隨著無線終端辦公用戶的增多，現(xiàn)在的無線網(wǎng)絡(luò)已遠(yuǎn)遠(yuǎn)不能滿足正常的辦公需要，并且容易給辦公網(wǎng)絡(luò)造成安全隱患。3某某大型集團(tuán)信息化建設(shè)技術(shù)方案1.2 某某大型集團(tuán)安全現(xiàn)狀目前集團(tuán)內(nèi)網(wǎng)絡(luò)安全設(shè)備僅有一臺(tái)金山防火墻給西區(qū)學(xué)生公寓使用，集團(tuán)沒有做相關(guān)的安全保護(hù)措施，存在很大安全隱患，主要包括病毒泛濫、來自網(wǎng)絡(luò)內(nèi)部的黑客攻擊、信息丟失、服務(wù)被拒絕等等，一旦發(fā)生網(wǎng)絡(luò)病毒或攻擊事件對(duì)整個(gè)集團(tuán)企業(yè)網(wǎng)絡(luò)而言都是致命性的。針對(duì)集團(tuán)企業(yè)的結(jié)構(gòu)及特點(diǎn)確定以下幾個(gè)必須考慮的安全防護(hù)要點(diǎn)：1.2.1 網(wǎng)絡(luò)安全評(píng)估網(wǎng)絡(luò)在給我們帶來巨大的經(jīng)濟(jì)效益和社會(huì)效益的同時(shí)，由于網(wǎng)絡(luò)協(xié)議本身存在的缺陷和軟件設(shè)計(jì)編制上的瑕疵，以及網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)上的缺陷，使得網(wǎng)絡(luò)系統(tǒng)、計(jì)算機(jī)系統(tǒng)中存在著種種的脆弱點(diǎn)，這些脆弱點(diǎn)為病毒及非法訪問提供了方便之門，并且隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，新的脆弱點(diǎn)不斷產(chǎn)生，因此有必要時(shí)刻監(jiān)視網(wǎng)絡(luò)及計(jì)算機(jī)系統(tǒng)，評(píng)估網(wǎng)絡(luò)的安全性，以便對(duì)網(wǎng)絡(luò)的安全性做到心中有數(shù)，提高信息網(wǎng)絡(luò)抗風(fēng)險(xiǎn)能力。1.2.2 網(wǎng)絡(luò)病毒的防范在網(wǎng)絡(luò)中，病毒已從傳統(tǒng)的存儲(chǔ)介質(zhì)（軟、硬、光盤）感染方式發(fā)展為以網(wǎng)4某某大型集團(tuán)信息化建設(shè)技術(shù)方案絡(luò)通訊和電子郵件為主要傳播途徑的感染方式。其傳播速度極快、破壞力更強(qiáng)，據(jù)統(tǒng)計(jì)一個(gè)新病毒從一臺(tái)計(jì)算機(jī)發(fā)出僅六個(gè)小時(shí)就能感染全球互聯(lián)網(wǎng)機(jī)器，而且每天都有十幾種新病毒出現(xiàn)，全世界每個(gè)月有將近四百五十種新的病毒出現(xiàn)。網(wǎng)絡(luò)一旦被病毒侵入并發(fā)作，將會(huì)對(duì)重要數(shù)據(jù)的保密性、完整性、可用性以及網(wǎng)絡(luò)環(huán)境的正常運(yùn)行帶來嚴(yán)重的危害。所以病毒防范是計(jì)算機(jī)網(wǎng)絡(luò)安全工作的重要環(huán)節(jié)之一。1.2.3 網(wǎng)絡(luò)安全隔離目前隨著網(wǎng)絡(luò)的廣泛應(yīng)用，某某大型集團(tuán)需要通過網(wǎng)絡(luò)進(jìn)行信息交流、信息共享等工作。然而，任何事物都具有兩面性，信息網(wǎng)絡(luò)在給我們帶來巨大便利的同時(shí)，也存在著安全隱患。因此，一旦被非法人員控制某某大型集團(tuán)的管理權(quán)限，所造成的影響和損失是可想而知的。所以在某某大型集團(tuán)與外部網(wǎng)絡(luò)之間以及某某大型集團(tuán)內(nèi)部重要網(wǎng)絡(luò)之間通過防火墻進(jìn)行有效的安全隔離是必要的。1.2.4 網(wǎng)絡(luò)監(jiān)控措施防火墻隔離只能起到網(wǎng)絡(luò)邊界的保護(hù)作用， 但是，防火墻無法防備來自集團(tuán)內(nèi)部網(wǎng)絡(luò)的攻擊行為。然而，來自內(nèi)部網(wǎng)絡(luò)的攻擊、破壞比來自外部網(wǎng)絡(luò)的攻擊、破壞更具有致命性。因此，在不影響網(wǎng)絡(luò)正常運(yùn)行的情況下， 增加對(duì)網(wǎng)絡(luò)的監(jiān)控機(jī)制可以做到最大限度的網(wǎng)絡(luò)資源保護(hù)， 規(guī)范網(wǎng)絡(luò)訪問行為，從網(wǎng)絡(luò)監(jiān)控中得到統(tǒng)計(jì)信息進(jìn)一步完善網(wǎng)絡(luò)安全策略，降低安全風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)安全防御能力。1.2.5 上網(wǎng)行為管理措施在使用電腦辦公和互聯(lián)網(wǎng)帶來的便捷同時(shí)，員工非工作上網(wǎng)現(xiàn)象越來越突出，企業(yè)普遍存在著電腦和互聯(lián)網(wǎng)絡(luò)濫用的嚴(yán)重問題。網(wǎng)上購物、在線聊天、在線欣賞音樂和電影、P2P工具下載等與工作無關(guān)的行為占用了有限的帶寬，嚴(yán)重影響了正常的工作效率。目前企業(yè)上網(wǎng)行為管理，需要的不僅僅是網(wǎng)絡(luò)管理員，企業(yè)管理層也需要通過它來實(shí)現(xiàn)實(shí)時(shí)管控的行為， 幫助企業(yè)管理者能夠直觀而又直接地對(duì)員工進(jìn)行規(guī)范與管理。因此有必要配置一套行之有效的上網(wǎng)行為管理系統(tǒng)。5某某大型集團(tuán)信息化建設(shè)技術(shù)方案1.2.6VPN加密傳輸措施通過安裝部署 VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程 LAN的安全連接。外聯(lián)單位通過互聯(lián)網(wǎng)訪問 ERP時(shí)，采用SSLVPN加密技術(shù)，使用 VPN分配的用戶名密碼認(rèn)證方式，并且設(shè)置為初次登錄必須修改初始密碼。在帳戶信息傳遞過程中，采用 MD5數(shù)據(jù)加密認(rèn)證方式。這樣可以保證數(shù)據(jù)的安全性、保密性、完整性等需要。網(wǎng)絡(luò)安全整體規(guī)劃2.1網(wǎng)絡(luò)安全目標(biāo)安全，防止病毒、黑客對(duì)網(wǎng)絡(luò)系統(tǒng)的破壞；可靠，保證網(wǎng)絡(luò)數(shù)據(jù)的安全性，將網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)降到最低；穩(wěn)定，在異常訪問情況下，保證系統(tǒng)正常運(yùn)行；保密，在網(wǎng)絡(luò)管理傳輸時(shí)數(shù)據(jù)不被修改和不被竊?。粚?shí)時(shí)監(jiān)控，規(guī)范網(wǎng)絡(luò)訪問行為，正確確定安全策略及科學(xué)的安全風(fēng)險(xiǎn)評(píng)估；良好的可擴(kuò)展性，保證系統(tǒng)滿足提供其他增值服務(wù)的需要。優(yōu)質(zhì)服務(wù)，為客戶不間斷（ 7*24）全天候、多方位的滿意服務(wù)。2.2安全方案設(shè)計(jì)原則2.2.1綜合性、整體性從某某大型集團(tuán)網(wǎng)絡(luò)系統(tǒng)的整體角度考慮安全項(xiàng)目， 制定有效、可行的安全措施，建立完整的網(wǎng)絡(luò)安全防范體系。一致性提供的安全解決方案應(yīng)與某某大型集團(tuán)網(wǎng)絡(luò)的安全需求相一致， 并適當(dāng)提出有利某某大型集團(tuán)網(wǎng)絡(luò)發(fā)展的安全建設(shè)建議。6某某大型集團(tuán)信息化建設(shè)技術(shù)方案易用性某某大型集團(tuán)網(wǎng)絡(luò)安全解決方案應(yīng)該避免造成網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜， 避免操作與維護(hù)的復(fù)雜。提供的安全管理工具具有友好的圖形化 (GUI)管理界面?？尚行浴⒖煽啃?、安全性采用安全系統(tǒng)以后，不會(huì)對(duì)原有的網(wǎng)絡(luò)和應(yīng)用系統(tǒng)有大的影響。 在網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運(yùn)行的前提下，提高某某大型集團(tuán)網(wǎng)絡(luò)系統(tǒng)的安全性。2.3網(wǎng)絡(luò)安全體系劃分從安全方案涉及到的每一系統(tǒng)單元，考慮每一層次提供的安全功能，考慮系統(tǒng)單元之間的邏輯關(guān)系，劃分網(wǎng)絡(luò)安全子體系，分別對(duì)應(yīng)的相應(yīng)的安全解決方案，最終形成網(wǎng)絡(luò)安全整體解決方案。根據(jù)上面的網(wǎng)絡(luò)安全框架，把網(wǎng)絡(luò)安全方案分以下幾個(gè)子方案：網(wǎng)絡(luò)安全評(píng)估、網(wǎng)絡(luò)防病毒、防火墻隔離、入侵檢測(cè)監(jiān)控、上網(wǎng)行為管理、網(wǎng)絡(luò)安全服務(wù)體系。2.3.1 網(wǎng)絡(luò)安全評(píng)估針對(duì)某某大型集團(tuán)目前的網(wǎng)絡(luò)環(huán)境、 網(wǎng)絡(luò)結(jié)構(gòu)和計(jì)算機(jī)系統(tǒng)分布，實(shí)施全面的網(wǎng)絡(luò)安全評(píng)估服務(wù)。通過漏洞掃描、系統(tǒng)評(píng)估等技術(shù)定期對(duì)硬件設(shè)施、 軟件平臺(tái)、網(wǎng)絡(luò)數(shù)據(jù)、網(wǎng)絡(luò)通信、網(wǎng)絡(luò)管理等五個(gè)層次進(jìn)行全面的安全隱患和脆弱性分析，提供詳細(xì)的分析報(bào)告及安全整改建議。 使某某大型集團(tuán)對(duì)整體安全狀況有全面具體的了解，從而為信息安全決策和管理提供依據(jù)。2.3.2 網(wǎng)絡(luò)防病毒網(wǎng)絡(luò)防病毒主要對(duì)某某大型集團(tuán)網(wǎng)絡(luò)內(nèi)所有計(jì)算機(jī)系統(tǒng)做防病毒保障，保證網(wǎng)絡(luò)數(shù)據(jù)的完整性和保密性。近年來，病毒的傳播速度越來越快，病毒的破壞力和隱蔽性也越來越強(qiáng)，可以說無孔不入。對(duì)于網(wǎng)絡(luò)狀態(tài)下的防病毒，只防范局部而沒有全局意識(shí)是很危險(xiǎn)的（例如只對(duì)服務(wù)器進(jìn)行防護(hù)而忽視了網(wǎng)絡(luò)中其它客戶端）。網(wǎng)絡(luò)中的安全防護(hù)能力遵循“木桶原理”，整個(gè)網(wǎng)絡(luò)的安全防護(hù)能力取決于網(wǎng)絡(luò)中防范能力最差的節(jié)點(diǎn)。如果網(wǎng)絡(luò)中有一臺(tái)計(jì)算機(jī)感染病毒，就會(huì)給網(wǎng)絡(luò)中其他計(jì)算機(jī)形成嚴(yán)重的威脅。因此，利用有效的網(wǎng)絡(luò)防病毒工具，建立整體防范7某某大型集團(tuán)信息化建設(shè)技術(shù)方案意識(shí)，從病毒的形成、病毒的傳播形式、病毒的傳播途徑、病毒發(fā)作方式著手，對(duì)整個(gè)網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng)進(jìn)行“武裝”。通過對(duì)整個(gè)某某大型集團(tuán)網(wǎng)絡(luò)進(jìn)行統(tǒng)一的防病毒管理維護(hù)，確保某某大型集團(tuán)網(wǎng)絡(luò)具有牢固的防病毒系統(tǒng)， 保證網(wǎng)絡(luò)的正常運(yùn)行。同時(shí)，通過防病毒系統(tǒng)可以有效地監(jiān)控、 阻止網(wǎng)絡(luò)內(nèi)部利用木馬等工具進(jìn)行的內(nèi)部遠(yuǎn)程控制攻擊，彌補(bǔ)防火墻不能阻止內(nèi)部主機(jī)對(duì)內(nèi)部主機(jī)的攻擊。郵件已經(jīng)成為病毒傳播的主要載體， 因此，對(duì)郵件服務(wù)器內(nèi)各個(gè)郵箱的監(jiān)控是控制病毒泛濫和傳播的最有效手段， 建立郵件服務(wù)器病毒監(jiān)控成為某某大型集團(tuán)網(wǎng)絡(luò)病毒防護(hù)中不可分割部分。2.3.3 防火墻隔離在某某大型集團(tuán)網(wǎng)絡(luò)與 Internet網(wǎng)絡(luò)之間，通過防火墻實(shí)現(xiàn)物理隔離，有效抵抗來自外部網(wǎng)絡(luò)的非法訪問。對(duì)來自外部網(wǎng)絡(luò)的用戶實(shí)施安全訪問控制策略，提供可用性和可靠性服務(wù)。由此形成安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)， 有機(jī)結(jié)合入侵檢測(cè)系統(tǒng)提供科學(xué)合理的安全策略。 同時(shí)，通過與網(wǎng)絡(luò)防病毒系統(tǒng)有機(jī)結(jié)合， 阻斷染毒主機(jī)通過防火墻對(duì)其他網(wǎng)絡(luò)的病毒感染。2.3.4 監(jiān)控入侵行為盡管防火墻能夠通過強(qiáng)化網(wǎng)絡(luò)安全策略抵御來自外部網(wǎng)絡(luò)的非法訪問，但對(duì)網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊無能為力。依靠基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)，動(dòng)態(tài)監(jiān)測(cè)來自于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的所有訪問行為并做出及時(shí)的響應(yīng)。監(jiān)控內(nèi)外網(wǎng)絡(luò)數(shù)據(jù)流，從中檢測(cè)出攻擊行為并給予相應(yīng)的響應(yīng)和處理。尤其是來自內(nèi)外網(wǎng)絡(luò)針對(duì)或通過防火墻的攻擊行為，通過實(shí)施入侵檢測(cè)技術(shù)，當(dāng)檢測(cè)到攻擊行為時(shí)，入侵檢測(cè)通知防火墻實(shí)時(shí)阻斷攻擊源，進(jìn)一步提高抗攻擊能力，更有效地保護(hù)網(wǎng)絡(luò)資源，規(guī)范網(wǎng)絡(luò)訪問行為。與網(wǎng)絡(luò)防病毒結(jié)合更能查找網(wǎng)絡(luò)內(nèi)病毒的發(fā)源地。2.3.5 上網(wǎng)行為管控對(duì)各個(gè)上網(wǎng)用戶進(jìn)行帶寬管理、保證正常業(yè)務(wù)帶寬，對(duì)P2P流媒體進(jìn)行帶寬的限制。對(duì)員工上網(wǎng)瀏覽網(wǎng)頁、郵件、IM、外發(fā)等進(jìn)行審計(jì)，防止機(jī)密數(shù)據(jù)的外泄。防止來自外網(wǎng)的DOS,DDOS攻擊等。組織單位面對(duì)來自帶寬效率、 工作效率、泄密、法律和網(wǎng)絡(luò)安全五大風(fēng)險(xiǎn)問8某某大型集團(tuán)信息化建設(shè)技術(shù)方案題時(shí)，往往需要一套完善的可靠的上網(wǎng)行為管理解決方案。深信服上網(wǎng)行為管理從身份認(rèn)證、訪問控制、帶寬分配、監(jiān)控審計(jì)、安全強(qiáng)化五個(gè)方面，為用戶解決上網(wǎng)行為管理的問題，提供專業(yè)的解決方案和服務(wù)。2.3.6 網(wǎng)絡(luò)安全服務(wù)體系完善的服務(wù)體系是網(wǎng)絡(luò)安全不可或缺的重要環(huán)節(jié)。 安全技術(shù)和安全設(shè)備并不能從根本上永久性的保證網(wǎng)絡(luò)的安全。 那么，通過不斷地改進(jìn)安全技術(shù)、 提高安全設(shè)備的可靠性；不斷建立并完善安全管理機(jī)制， 降低人為造成的漏洞；通過培訓(xùn)不斷提高每個(gè)人的安全防范意識(shí)， 建立整體性的安全防范體系，保證某某大型集團(tuán)網(wǎng)絡(luò)的安全。根據(jù)某某大型集團(tuán)的具體網(wǎng)絡(luò)狀況，我司建立如下的安全服務(wù)體系：網(wǎng)絡(luò)安全脆弱性修復(fù)服務(wù)通過定期的網(wǎng)絡(luò)安全評(píng)估，彌補(bǔ)網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用漏洞，提高網(wǎng)絡(luò)整體防范能力。網(wǎng)絡(luò)安全跟蹤服務(wù)通過網(wǎng)絡(luò)安全實(shí)施公司提供的完善的售后服務(wù)， 不斷完善產(chǎn)品技術(shù)，提高設(shè)備的可靠性，不斷提高網(wǎng)絡(luò)的防范能力。網(wǎng)絡(luò)安全信息服務(wù)通過網(wǎng)絡(luò)安全實(shí)施公司定期提供的網(wǎng)絡(luò)安全動(dòng)態(tài)、 技術(shù)動(dòng)態(tài)，及時(shí)了解網(wǎng)絡(luò)安全發(fā)展方向，以新的技術(shù)和新的防范意識(shí)提高網(wǎng)絡(luò)的防范能力。網(wǎng)絡(luò)安全培訓(xùn)服務(wù)通過網(wǎng)絡(luò)安全實(shí)施專業(yè)的技術(shù)培訓(xùn)工程師對(duì)安全管理人員和一般使用人員進(jìn)行系統(tǒng)的技術(shù)培訓(xùn)，提高每個(gè)員工的安全技術(shù)和安全防范意識(shí)， 實(shí)現(xiàn)網(wǎng)絡(luò)的整體防范體系。某某大型集團(tuán)網(wǎng)絡(luò)安全方案3.1網(wǎng)絡(luò)冗余技術(shù)方案本次方案中，針對(duì)核心層是整個(gè)網(wǎng)絡(luò)數(shù)據(jù)的匯總轉(zhuǎn)發(fā)區(qū)域，通過配置雙核心交換機(jī)、雙防火墻來實(shí)現(xiàn)熱備冗余。交換機(jī)采用VRRP+Channel技術(shù)，即虛擬冗余路由協(xié)議和鏈路通道技術(shù)。虛擬路由冗余協(xié)議是在2臺(tái)核心交換機(jī)之間虛擬出9某某大型集團(tuán)信息化建設(shè)技術(shù)方案一臺(tái)邏輯交換機(jī)，用戶計(jì)算機(jī)網(wǎng)關(guān)均指向虛擬交換機(jī)， 這樣在一臺(tái)核心設(shè)備宕機(jī)或鏈路出現(xiàn)問題時(shí)，在很短的時(shí)間內(nèi)（ 5-20秒），備用交換機(jī)就會(huì)自動(dòng)啟動(dòng)，接管服務(wù)成為主用設(shè)備，用戶基本感覺不到切換。Channel技術(shù)，是在接入交換機(jī)，例如西區(qū)辦公區(qū)，東區(qū)辦公區(qū)，每個(gè)交換機(jī)使用4條鏈路與2臺(tái)核心交換機(jī)連接，每?jī)蓷l鏈路使用Channel技術(shù)進(jìn)行鏈路捆綁，在核心交換機(jī)看來只是一條線路， 在一條鏈路斷掉時(shí)，對(duì)網(wǎng)絡(luò)沒有一點(diǎn)影響，因此大大增加了整體網(wǎng)絡(luò)的可靠性能。3.1.1VRRP的基本概念通常情況下，內(nèi)部網(wǎng)絡(luò)中的所有主機(jī)都設(shè)置一條相同的缺省路由， 指向出口網(wǎng)關(guān)（即圖中的主用核心交換機(jī)），實(shí)現(xiàn)主機(jī)與外部網(wǎng)絡(luò)的通信。當(dāng)出口網(wǎng)關(guān)發(fā)生故障時(shí)，主機(jī)與外部網(wǎng)絡(luò)的通信就會(huì)中斷。3.1.2VRRP工作原理vrrp只定義了一種報(bào)文——vrrp報(bào)文，這是一種組播報(bào)文，由主三層交換機(jī)定時(shí)發(fā)出來通告他的存在。使用這些報(bào)文可以檢測(cè)虛擬三層交換機(jī)各種參數(shù)，還可以用于主三層交換機(jī)的選舉。VRRP中定義了三種狀態(tài)模型，初始狀態(tài) Initialize ，活動(dòng)狀態(tài) Master和備份狀態(tài) Backup，其中只有活動(dòng)狀態(tài)的交換機(jī)可以為到虛擬 IP地址的的轉(zhuǎn)發(fā)請(qǐng)求提供服務(wù)。VRRP報(bào)文是封裝在 IP報(bào)文上的，支持各種上層協(xié)議，同時(shí) VRRP還支持將真實(shí)接口 IP地址設(shè)置為虛擬 IP地址。那么如何從備份組的多臺(tái)交換機(jī)中選舉 Master？這項(xiàng)工作由我們?cè)趥浞萁M內(nèi)每臺(tái)交換機(jī)上配置的相同 IP地址的虛擬交換機(jī)完成。虛擬交換機(jī)根據(jù)配置的優(yōu)先級(jí)的大小選擇主交換機(jī)，優(yōu)先級(jí)最大的作為主交換機(jī)，狀態(tài)為 Master，若優(yōu)先級(jí)相同（如果交換機(jī)沒有配置優(yōu)先級(jí)，就采用默認(rèn)值 100），則比較接口的主 IP地址，主IP地址大的就成為主交換機(jī)，由它提供實(shí)際的路由服務(wù)。其他交換機(jī)作為備份交換機(jī)，隨時(shí)監(jiān)測(cè)主交換機(jī)的狀態(tài)。當(dāng)主交換機(jī)正常工作時(shí)， 它會(huì)每隔一段時(shí)間發(fā)送一個(gè) VRRP組播報(bào)文，以通知組內(nèi)的備份交換機(jī)，主交換機(jī)除正常工作狀態(tài)。如果組內(nèi)的備份交換機(jī)長(zhǎng)時(shí)間沒有接收到來自主交換機(jī)，則將自己狀態(tài)轉(zhuǎn)換為Master。當(dāng)組內(nèi)有多臺(tái)備份交換機(jī)，將有可能產(chǎn)生多個(gè)主交換機(jī)。這時(shí)每10某某大型集團(tuán)信息化建設(shè)技術(shù)方案一個(gè)主交換機(jī)就會(huì)比較 VRRP報(bào)文中的優(yōu)先級(jí)和自己本地的優(yōu)先級(jí)，如果本地的優(yōu)先級(jí)小于 VRRP中的優(yōu)先級(jí)，則將自己的狀態(tài)轉(zhuǎn)換為 Backup，否則保持自己的狀態(tài)不變。通過這樣一個(gè)過程，就會(huì)將優(yōu)先級(jí)最大的交換機(jī)選成新的主交換機(jī)，完成 VRRP的備份功能。3.1.3VRRP快速切換S9306實(shí)現(xiàn)雙向轉(zhuǎn)發(fā)檢測(cè) BFD（BidirectionalForwardingDetection ）機(jī)制，能夠快速檢測(cè)、監(jiān)控網(wǎng)絡(luò)中鏈路或者 IP路由的連通狀況，VRRP通過監(jiān)視BFD會(huì)話狀態(tài)實(shí)現(xiàn)主備快速切換，可以配置 8個(gè)BFDSession，主備切換的時(shí)間控制在1秒以內(nèi)。結(jié)合使用 BFD會(huì)話的檢測(cè)結(jié)果，可以加快 VRRP主備倒換的速度。3.2網(wǎng)絡(luò)安全方案3.2.1 某某大型集團(tuán)網(wǎng)絡(luò)安全評(píng)估方案針對(duì)某某大型集團(tuán)目前的網(wǎng)絡(luò)結(jié)構(gòu)和計(jì)算機(jī)系統(tǒng)分布，實(shí)施全面的網(wǎng)絡(luò)安全評(píng)估服務(wù)。我司將網(wǎng)絡(luò)安全從以下五個(gè)層次逐層進(jìn)行安全評(píng)估：通過漏洞掃描、系統(tǒng)評(píng)估等技術(shù)定期對(duì)上述硬件設(shè)施、軟件平臺(tái)、網(wǎng)絡(luò)數(shù)據(jù)、網(wǎng)絡(luò)通信、網(wǎng)絡(luò)管理等五個(gè)層次進(jìn)行全面的安全隱患和脆弱性分析，提供詳細(xì)的分析報(bào)告及安全性整改建議。對(duì)整體安全狀況有全面具體的了解，從而為進(jìn)行信息安全決策和管理提供依據(jù)。對(duì)網(wǎng)絡(luò)硬件設(shè)施評(píng)估11某某大型集團(tuán)信息化建設(shè)技術(shù)方案機(jī)房環(huán)境的安全性網(wǎng)絡(luò)線路的安全性對(duì)網(wǎng)絡(luò)軟件平臺(tái)評(píng)估操作系統(tǒng)的脆弱性網(wǎng)絡(luò)協(xié)議的安全性網(wǎng)絡(luò)服務(wù)的可靠性應(yīng)用程序的安全性應(yīng)用程序的可靠性訪問控制的安全性對(duì)網(wǎng)絡(luò)數(shù)據(jù)評(píng)估系統(tǒng)數(shù)據(jù)的完整性系統(tǒng)數(shù)據(jù)的機(jī)密性系統(tǒng)數(shù)據(jù)的可靠性系統(tǒng)數(shù)據(jù)的可用性備份與恢復(fù)對(duì)網(wǎng)絡(luò)通信評(píng)估數(shù)據(jù)通信的安全性對(duì)網(wǎng)絡(luò)管理評(píng)估對(duì)人員、操作、文檔、設(shè)備、運(yùn)行等進(jìn)行安全管理機(jī)制的審核，并提出建設(shè)性意見。通過對(duì)上述各個(gè)層次進(jìn)行系統(tǒng)性的評(píng)估，全面給出每個(gè)層次的安全隱患和脆弱性報(bào)告，以及安全性整改建議。使某某大型集團(tuán)對(duì)信息安全各個(gè)層次的安全性狀況和整體安全狀況有全面具體的了解，為信息安全決策和管理提供依據(jù)。3.2.2 方案設(shè)計(jì)說明根據(jù)某某大型集團(tuán)網(wǎng)絡(luò)現(xiàn)狀，充分考慮可行性的基礎(chǔ)上，我們采用防病毒產(chǎn)品的分級(jí)管理、多重防護(hù)體系作為某某大型集團(tuán)網(wǎng)絡(luò)的防病毒管理架構(gòu)。 在整個(gè)網(wǎng)絡(luò)內(nèi)只要有可能感染和傳播病毒的地方都采取相應(yīng)的防病毒手段， 同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系， 充分使用網(wǎng)絡(luò)安全產(chǎn)品所擁有的12某某大型集團(tuán)信息化建設(shè)技術(shù)方案多種功能，為某某大型集團(tuán)網(wǎng)絡(luò)建立起一個(gè)完善的防病毒體系。 實(shí)施方案說明如下：示意如下圖：13某某大型集團(tuán)信息化建設(shè)技術(shù)方案3.3防火墻隔離方案3.3.1方案設(shè)計(jì)說明從安全的整體解決方案考慮，綠盟提供的企業(yè)級(jí)防火墻正是某某大型集團(tuán)網(wǎng)絡(luò)安全邊界防護(hù)的首選設(shè)備。從安全性、成本等角度合理設(shè)計(jì)防火墻機(jī)制，以求防火墻發(fā)揮最大的安全效用。根據(jù)某某大型集團(tuán)的具體網(wǎng)絡(luò)結(jié)構(gòu)，建議在某某大型集團(tuán)與Internet網(wǎng)絡(luò)之間安裝綠盟企業(yè)級(jí)防火墻，并且采用防火墻的雙機(jī)熱備技術(shù)。保證在當(dāng)一臺(tái)防火墻冗機(jī)的時(shí)，另一臺(tái)防火墻可以在不間斷的情況下繼續(xù)工作。方案中充分發(fā)揮綠盟企業(yè)級(jí)防火墻的狀態(tài)包過濾技術(shù)和應(yīng)用代理技術(shù)，為某某大型集團(tuán)網(wǎng)絡(luò)提供不同層級(jí)的安全防護(hù)。并通過與網(wǎng)絡(luò)防病毒系統(tǒng)和入侵檢測(cè)系統(tǒng)的有機(jī)結(jié)合，實(shí)現(xiàn)實(shí)時(shí)阻斷入侵行為和病毒對(duì)外部網(wǎng)絡(luò)的影響。示意圖如下：3.3.2防火墻設(shè)置原則建立合理有效的安全過濾原則對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議、端口、源 /目的地址、流向進(jìn)行審核，嚴(yán)格控制外網(wǎng)用戶非法訪問。防火墻只打開某某大型集團(tuán)網(wǎng)絡(luò)必要的服務(wù)，對(duì)安全級(jí)別要求高的服務(wù)，提供應(yīng)用代理。防范外部來的攻擊。對(duì)某某大型集團(tuán)用戶實(shí)施時(shí)間訪問控制策略， 控制某某大型集團(tuán)內(nèi)用戶訪問14某某大型集團(tuán)信息化建設(shè)技術(shù)方案外網(wǎng)時(shí)間。防火墻設(shè)置IP地址MAC地址綁定，防目的 IP地址欺騙。定期查看、備份、分析防火墻訪問日志，以便提高訪問控制策略的嚴(yán)謹(jǐn)性。對(duì)防火墻的管理員權(quán)限嚴(yán)格控制。15某某大型集團(tuán)信息化建設(shè)技術(shù)方案3.4網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)3.4.1 方案設(shè)計(jì)說明入侵檢測(cè)機(jī)制能夠?qū)W(wǎng)絡(luò)系統(tǒng)各主要運(yùn)營(yíng)環(huán)節(jié)進(jìn)行實(shí)時(shí)入侵檢測(cè)， 以便能夠及時(shí)發(fā)現(xiàn)或識(shí)別攻擊者的企圖或系統(tǒng)資源被誤用、 濫用的行為。當(dāng)實(shí)時(shí)入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)異常時(shí)，網(wǎng)絡(luò)系統(tǒng)及時(shí)做出適當(dāng)?shù)捻憫?yīng)， 通知網(wǎng)絡(luò)管理員、通知被害主機(jī)。本方案中在某某大型集團(tuán)網(wǎng)絡(luò)與 Internet 網(wǎng)絡(luò)之間設(shè)置了 1臺(tái)綠盟入侵檢測(cè)系統(tǒng)，它與防火墻并行接入網(wǎng)絡(luò)中，監(jiān)測(cè)來自 INTERNET、某某大型集團(tuán)網(wǎng)絡(luò)內(nèi)部的攻擊行為。當(dāng)有入侵行為時(shí)，主動(dòng)通知防火墻阻斷攻擊源。3.4.2 綠盟入侵檢測(cè)主要功能網(wǎng)絡(luò)監(jiān)控和統(tǒng)計(jì)功能：實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)連接狀況統(tǒng)計(jì)網(wǎng)絡(luò)狀態(tài)；入侵檢測(cè)和報(bào)警：實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)行為，對(duì)入侵行為報(bào)警；檢測(cè)模式：將基于特征的檢測(cè)法和基于行為的統(tǒng)計(jì)分析法有機(jī)地結(jié)合，能實(shí)時(shí)檢測(cè) 5大類1300多種已知攻擊；帶狀態(tài)的檢測(cè)方法：對(duì)網(wǎng)絡(luò)攻擊識(shí)別準(zhǔn)確，效率高對(duì)協(xié)議的分析檢測(cè)：提高了系統(tǒng)對(duì)未知攻擊的分析能力；遠(yuǎn)程GUI配置管理：簡(jiǎn)便靈活，雙因子認(rèn)證 +加密傳輸，保證管理安全；模塊化設(shè)計(jì)結(jié)構(gòu)：易于升級(jí)和維護(hù)；分布式檢測(cè)、集中式管理；具有強(qiáng)大的自身保護(hù)能力。16某某大型集團(tuán)信息化建設(shè)技術(shù)方案3.5上網(wǎng)行為管理系統(tǒng)3.5.1 方案設(shè)計(jì)說明如圖將SANGFORAC設(shè)備以網(wǎng)橋模式部署在路由器與出口設(shè)備之間，對(duì)網(wǎng)絡(luò)的改動(dòng)很小，網(wǎng)橋模式將SANGFORAC等同于一根連接在網(wǎng)關(guān)和交換機(jī)之間的“智能網(wǎng)線”，可以對(duì)所有流經(jīng)AC的數(shù)據(jù)流進(jìn)行審計(jì)、管理和控制。AC以串聯(lián)的方式接在路由設(shè)備和出口設(shè)備之間，不做 NAT和選路，但對(duì)所有經(jīng)過的應(yīng)用流量都具有控制功能，完美展現(xiàn)AC的所有功能。AC具有開機(jī)BYPASS、軟件BYPASS和硬件BYPASS功能，當(dāng)AC出現(xiàn)策略或者設(shè)備故障問題時(shí)，AC將成為一條透明的網(wǎng)線，放行所有的數(shù)據(jù)，不影響組織的正常上網(wǎng)。3.5.2 上網(wǎng)行為管理的主要功能P2P軟件的控制P2P行為對(duì)帶寬的吞噬能力眾所周知， 而傳統(tǒng)的只能封堵“昨天的BT軟件”是不夠的。AC憑借P2P智能識(shí)別專利技術(shù)(專利號(hào)：200610156977.8），不僅能識(shí)別和管控常用P2P軟件及版本，對(duì)不常見的和未來將出現(xiàn)的P2P亦能管控。而AC為您提供的P2P流控技術(shù)，將限制指定用戶開啟P2P后占用的帶寬。既允許用戶使用P2P，又不會(huì)濫用帶寬。17某某大型集團(tuán)信息化建設(shè)技術(shù)方案帶寬統(tǒng)計(jì)和管理AC數(shù)據(jù)中心對(duì)內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為進(jìn)行審計(jì)、統(tǒng)計(jì)及趨勢(shì)、報(bào)表等。借助圖形化報(bào)表、曲線和統(tǒng)計(jì)結(jié)果，可以幫助IT管理者輕松掌控網(wǎng)絡(luò)行為分布和帶寬資源使用等情況。AC基于用戶(組)、應(yīng)用類型、網(wǎng)站類型、文件類型、目標(biāo) IP等的智能流控，細(xì)致劃分與分配帶寬資源，如保障領(lǐng)導(dǎo)的視頻會(huì)議、市場(chǎng)部訪問行業(yè)網(wǎng)站、設(shè)計(jì)部傳輸CAD文件等行為得到帶寬保障，提升整個(gè)機(jī)構(gòu)的帶寬使用效率。提升工作效率上班時(shí)間無關(guān)網(wǎng)頁瀏覽、QQ聊天、在線炒股、網(wǎng)絡(luò)游戲等降低了機(jī)構(gòu)的生產(chǎn)效率，如何在上班時(shí)間對(duì)內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)行為進(jìn)行管理和引導(dǎo)？網(wǎng)頁過濾策略上班時(shí)間從事私人活動(dòng)，管理者卻難以阻止，如上班時(shí)間瀏覽新聞網(wǎng)站、論壇發(fā)帖等。AC能針對(duì)不同用戶(組)提供基于角色的管理方法，讓管理者實(shí)現(xiàn)指定用戶和部門在工作時(shí)間只能訪問特定的網(wǎng)站，例如行業(yè)信息網(wǎng)站、公司門戶網(wǎng)站等，而其他未經(jīng)允許的網(wǎng)頁瀏覽都將被拒絕。IM（即時(shí)通訊）聊天軟件的管理上班時(shí)間使用QQ、MSN等私人聊天，不僅影響工作效率，還可能因 IM傳文件而引入病毒和向外泄密。面對(duì) Skype、YahooMessenger、飛信等眾多IM軟件，IT管理員使用現(xiàn)有防火墻等傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備，通過封堵端口和服務(wù)器 IP的方式，不僅費(fèi)時(shí)費(fèi)力且無法根治。 AC通過檢測(cè)應(yīng)用數(shù)據(jù)包的特征字段，實(shí)現(xiàn)對(duì)IM聊天軟件、在線影音、炒股、網(wǎng)絡(luò)游戲、下載等諸多應(yīng)用的管控。各種行為的管理網(wǎng)頁過濾、IM聊天等管控只是內(nèi)網(wǎng)行為管理的一部分。面對(duì)用戶上班即下載未看完的電視劇，搜索最新網(wǎng)絡(luò)新聞、圖片、視頻，上班時(shí)間更新博客、上傳圖片、下載電影、程序等問題，AC通過限制用戶搜索指定關(guān)鍵字，過濾用戶上傳下載的指定文件，將內(nèi)網(wǎng)用戶精力更多聚焦在工作上。18某某大型集團(tuán)信息化建設(shè)技術(shù)方案上網(wǎng)時(shí)間管理每個(gè)機(jī)構(gòu)都有其工作時(shí)間安排，所以，根據(jù)不同時(shí)間段為用戶分配網(wǎng)絡(luò)訪問權(quán)限，是專業(yè)上網(wǎng)行為管理設(shè)備必須考慮的問題之一。AC通過為不同部門、不同用戶，基于時(shí)間段進(jìn)行權(quán)限分配，也可以限制用戶一天內(nèi)總的上網(wǎng)時(shí)間，實(shí)現(xiàn)人性化管理。支持設(shè)定一定的上網(wǎng)時(shí)間值，當(dāng)用戶超過這個(gè)閥值時(shí)，AC會(huì)自動(dòng)彈出提醒頁面，提醒員工上班時(shí)間注意提高工作效率，不要從事與工作無關(guān)的網(wǎng)絡(luò)活動(dòng)。3.6SSLVPN系統(tǒng)3.6.1 方案設(shè)計(jì)說明在總部網(wǎng)絡(luò)中SANGFORSSLVPN以單臂模式進(jìn)行部署，各分公司員工及出差領(lǐng)導(dǎo)、員工等通過 SSLVPN授權(quán)，使用瀏覽器接入總部。對(duì)于擁有比較高的應(yīng)用權(quán)限、安全性要求比較高的分公司領(lǐng)導(dǎo)，關(guān)系到公司重要數(shù)據(jù)的財(cái)務(wù)部門，以及出差的領(lǐng)導(dǎo)員工等，使用 DKEY認(rèn)證接入總部。3.6.2SSLVPN的主要功能1.數(shù)據(jù)強(qiáng)加密：SANGFORSSLVPN設(shè)備使用基于應(yīng)用層的 SSLVPN協(xié)議進(jìn)行數(shù)據(jù)加密處理，在客戶終端與SSL設(shè)備之間構(gòu)建一條旁人無法破譯的專有通道， 保證數(shù)據(jù)在傳輸中的絕對(duì)安全性。2.安全發(fā)布應(yīng)用，訪問便利：使用SSLVPN對(duì)內(nèi)網(wǎng)應(yīng)用進(jìn)行發(fā)布，并根據(jù)組織原有的 Internet線路通過瀏覽器內(nèi)置的SSL協(xié)議構(gòu)建在單點(diǎn)接入用戶和內(nèi)部的應(yīng)用系統(tǒng)之間架設(shè)一條安全的通道。無需安裝任何客戶端軟件， 實(shí)現(xiàn)分公司和移動(dòng)辦公人員的安全、 方便的遠(yuǎn)程接入。3.細(xì)致權(quán)限劃分：SANGFORSSLVPN通過“角色”的設(shè)置，進(jìn)行用戶、用戶組、應(yīng)用資源的綁定，并可通過基于時(shí)間的客戶端檢查授權(quán)規(guī)則賦予用戶、 用戶組不同時(shí)間的不用應(yīng)用的訪問權(quán)限，實(shí)現(xiàn)基于用戶、用戶組、時(shí)間、應(yīng)用的細(xì)致權(quán)限劃分。19某某大型集團(tuán)信息化建設(shè)技術(shù)方案4.安全桌面技術(shù)：可指定部分或全部對(duì)數(shù)據(jù)安全性要求較高的應(yīng)用必須置于安全桌面中訪問。當(dāng)客戶端登錄SSLVPN后，該應(yīng)用將置于通過虛擬技術(shù)在客戶端生成的一個(gè)封閉式安全桌面使用，應(yīng)用在與服務(wù)器所交互數(shù)據(jù)將被強(qiáng)加密處理。在使用時(shí)該安全桌面中的數(shù)據(jù)不可拷貝到默認(rèn)桌面中， 不可通過網(wǎng)絡(luò)與局域網(wǎng)主機(jī)或外網(wǎng)進(jìn)行通訊，不可通過USB等外設(shè)拷貝出去。當(dāng)用戶退出SSLVPN中，所有安全桌面中數(shù)據(jù)將一并銷毀， 將通過SSLVPN訪問應(yīng)用的各種數(shù)據(jù)徹底清理出本機(jī)，保證了應(yīng)用訪問過程中與 SSLVPN退出后數(shù)據(jù)的安全性。5.融合多種加速技術(shù)：SANGFORSSLVPN結(jié)合了多種加速技術(shù)，分別從數(shù)據(jù)壓縮、線路優(yōu)化、傳輸提速三方面全面的提升數(shù)據(jù)傳輸速度。通過 B/S、C/S壓縮將削減冗余數(shù)據(jù)，通過HTP快速傳輸協(xié)議針對(duì)丟包延時(shí)現(xiàn)象進(jìn)行線路優(yōu)化，通過基于碼流特征的數(shù)據(jù)優(yōu)化技術(shù)在保證數(shù)據(jù)實(shí)時(shí)性和完整性的前提下大幅降低數(shù)據(jù)傳輸量、提升傳輸速度，使用多線路技術(shù)、Web優(yōu)化、WebCache、資源負(fù)載均衡、IP服務(wù)加速進(jìn)行數(shù)據(jù)傳輸?shù)奶崴伲蛟臁白羁焖佟钡腟SLVPN應(yīng)用訪問。6.多種認(rèn)證方式相結(jié)合：針對(duì)單一用戶名/密碼認(rèn)證的安全強(qiáng)度不足的問題， SANGFORSSLVPN支持多種認(rèn)證方式“與”、“或”方式相結(jié)合，包括短信認(rèn)證、CA認(rèn)證、LDAP、RADIUS、動(dòng)態(tài)令牌卡的多種方式，加強(qiáng)了認(rèn)證的安全性。3.7鏈路負(fù)載均衡3.7.1方案設(shè)計(jì)說明本方案設(shè)計(jì)采用深信服 AD應(yīng)用交付設(shè)備來實(shí)現(xiàn)網(wǎng)絡(luò)中兩條鏈路入站（從Internet發(fā)起對(duì)內(nèi)部服務(wù)器的訪問）和出站（內(nèi)部客戶端發(fā)起對(duì) Internet的訪問）方向負(fù)載均衡；整個(gè)系統(tǒng)采用全冗余網(wǎng)絡(luò)連接方式設(shè)計(jì)，來保證系統(tǒng)的高可用性和高可靠性。方案具體實(shí)現(xiàn)方式如下：1.對(duì)于出站流量，AD接收到流量以后，可以智能的將訪問ISP1的資源的出站流量分配到ISP1的接口，并做源地址的NAT，（可以指定某一合法IP地址進(jìn)行20某某大型集團(tuán)信息化建設(shè)技術(shù)方案源地址的NAT，也可以用AD的接口地址自動(dòng)映射），保證數(shù)據(jù)包返回時(shí)能夠正確接收，其他的流量走 ISP2的線路。2.對(duì)于入站流量，AD分別綁定兩個(gè) ISP服務(wù)商的公網(wǎng)地址，解析來自兩個(gè)ISP服務(wù)商的DNS解析請(qǐng)求。ISP1的用戶訪問通過 ISP1的線路訪問內(nèi)部，其他的用戶訪問通過ISP2的線路來訪問內(nèi)部。AD不僅可以根據(jù)服務(wù)器的健康狀況和響應(yīng)速度回應(yīng)LDNS相應(yīng)的IP地址，還可以通過兩條鏈路分別與LDNS建立連接，根據(jù)RTT時(shí)間判斷鏈路的好壞，并且綜合以上兩個(gè)