实战网络升级改造
2014-03-03 未知 / 孙浩峰

 

 

 

 

 

 

网络改造方案建议书

 

 

 

 

 

 

 

 

 

 

 

 

 

南京普惠数码科技有限公司

 

日期:二零壹零年六月

 

 

 

   

一.  网络状态分析………………………………………….3

 

二.  网络建设目标…………………………………………..4

 

三.  网络改造总体设计……………………………………..5

 

四.  设备选用介绍…………………………………………..9

 

五.  售后服务与培训………………………………………24

 

六.  公司简介和成功案例…………………………………27

 

 

 

 

 

一、网络状况分析

当今时代,企业信息化与企业的生命力息息相关。企业的各种业务数据应用、每一台服务器、每一台计算机不仅创造着企业的竞争力,也记录着公司的核心价值。企业的不断成长和发展也需要企业信息建设的不断健全和完善。

贵公司大致网络状况如下:

1、企业总部约有150信息点,外部各售楼中心关键信息点不超过50个。

2、在总部大楼设有一中心机房,为企业数据交汇传输存储的唯一节点,总部副楼设有2个小型机房,作为楼宇间数据交换使用。

3、现有一条10M动态电线线路,负责公司总部员工用于外联公网。贵公司计划2010年7月前上主营业务ERP软件,并同时增加一条8M左右固态IP电信电路为此软件应用服务。

4、公司目前正常上网速度较慢,并且缺乏专业安全防护。

5、后台数据应用服务器为IBM3950服务器一台,并在本机做了RADE5。 缺少业务数据备份。

6、由于缺少专业人员维护和管理,机房内部线路连接混乱、标识缺失,故障时难于查询统计。原先配置的UPS设备未能正常使用,一旦发生意外造成设备损坏,会给企业造成无法估量的损失。

 

应用软件流量分析(日期2010年5月19日——2010年5月24日)

协议类别

内对外(上传)(GB)

外对内(下载)(GB)

内对内(内网)(GB)

总流量(GB)

P2P_XUNLEI

26.17

18.23

0

44.4

P2P_BT

7.49

3.5

0

10.99

HTTP

2.03

8.65

0.02

10.7

P2P_PPStream

4.8

5.57

0

10.37

SKYPE

3.8

1.86

0

5.66

P2P_PPLive

1.64

2.15

0

3.79

P2P_EDONKEY

1.95

1.5

0

3.45

SMB

0

0

2.4

2.4

RTMPT

0.04

1.81

0

1.85

RTSP

0.02

0.86

0

0.88

P2P_QQLive

0.4

0.41

0

0.81

QQ

0.11

0.14

0.16

0.41

MMSH

0.01

0.33

0

0.34

HTTPS

0.04

0.23

0

0.27

STOCK

0.03

0.08

0

0.11

POP3

0

0.01

0

0.01

48.55

45.31

2.57

96.43

 

2010-05-19至2010-05-24应用软件流量饼状图

 

 

根据流量统计报表以及饼状图清晰显示,迅雷、BT、电驴等P2P下载软件以及PPstream等在线视频电影消耗了大量的有效网络带宽,造成出口拥塞,网络访问异常,影响了正常的工作。

通过有效的网络带宽管理、有区别的网络行为限制,加强对外网的使用监管,规范上网行为,保障网络畅通,确保关键应用。

二、网络建设目标

根据实际考察和相互交流,本次网络设计的目标为:

 

A)   尽量保留用户现有网络中的设备,在确保用户正常业务使用的前提下减少用户投资。

B)   企业各计算机等终端设备之间良好的连通性是需要满足的基本条件,网络环境就是提供需要通信的计算机设备之间互通的环境,以实现丰富多彩的网络应用。

C)   许多现有网络在初始建设时不仅要考虑到如何实现数据传输,还要充分考虑网络的冗余与可靠,否则一旦运行过程网络发生故障,系统又不能很快恢复工作,所带来的后果便是企业的经济损失,影响企业的声誉和形象。

D)   在商品竞争日益激烈的今天,企业对网络的安全性有非常高的要求。在很多企业在局域网和广域网络中传递的数据都是相当重要的信息,因此一定要保证数据安全保密,防止非法窃听和恶意破坏,在网络建设的开始就考虑采用严密的网络安全措施。

E)   随着网络规模的日益扩大,网络设备的数据和种类日益增加,网络应用日益多样化,网络管理也日益重要。良好的网络管理要重视网络管理人力和财力的事先投入,主动控制网络,不仅能够进行定性管理,而且还能够定量分析网络流量,了解网络健康状况。有预见性地发现网络上的问题,并将其消灭于萌芽状态,降低网络故障所带来的损失,使网络管理的投入达到事半功倍的效果。

F)   网络建设为未来的发展提供良好的扩展接口是非常理智的选择。随着企业规模的扩大、业务的增长,网络的扩展和升级是不可避免的问题。思科通过模块化的网络结构设计和模块化的网络产品,能为用户的网络提供很强的扩展和升级能力。

G)   由于视频会议、视频点播、IP电话等多媒体技术的日趋成熟,网络传输的数据已不再是单一数据了,多媒体网络传输成为世界网络技术的趋势。企业着眼于未来,对网络的多媒体支持是有很多需求的。同时,在网络带宽非常宝贵的情况下,丰富的QoS机制,如:IP优先、排队、组内广播和链路压缩等优化技术能使实时的多媒体和关键业务得到有效的保障。

 

三、网络改造总体设计

1.机房改造

检查设备安装场地是否符合电气和环境标准。

输入电压允许范围:100V~240V AC 50/60Hz 或 –40V~-60V DC

工作温度:0C~40C

储存温度:-30C~60C

相对湿度:5~95% 无凝结

配线架内外网段及接口标识清晰,线路整理顺畅。

将服务器、交换机等设备合理放置到机柜上,便利操作;

UPS等设备安装到位,进行断电测试。

 

 

2.网络改造建议拓扑图

全网设计说明

 

选用SonicWall NSA2400防火墙作为出口网关设备双线路链接至Internet ,10M动态IP线路提供给内部用户访问Internet使用,8M静态IP线路用于业务软件访问使用。NSA2400同时开启网络防毒功能模块,对于流量可以进行实时扫描,针对间谍软件、恶意网页病毒等可有效防护,保证业务系统以及内部用户的网络安全。

现有网络中的SonicWall防火墙设备作为冷备份,一旦新设备出现故障问题,原有设备可临时替换使用,保证用户的网络应用的不间断。

 

核心交换机选用LS-5500-28C-SI为全千兆3层设备,提供强大的网络交换功能,满足公司内部网络交换需求。将原有2路连接分支大楼机房以及1路链接至董事长办公室的光纤线路全部迁移到LS-5500-28C-SI设备上,原有H3900-52P交换机和NETCORE交换机作为接入层交换机使用千兆铜缆网线连接至核心LS-5500-28C-SI交换机。

基于提升网络试用效率的考虑,采用SoftNext公司的CSQR200上网行为管理设备,审核网络应用,优化网络带宽。可针对内网用户采用不同分组制定访问策略,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。同时丰富的日志报告功能,对于上网记录进行审核,利于发现网络的潜在威胁。

 

 

考虑到公司业务系统的重要性,建议配置一台高性能高数据存储PC,作为现有业务系统数据备份设备使用。保障业务系统数据的安全,降低因为数据丢失或损坏所带来的不必要的损失。我公司可免费帮助用户在服务器和PC之间做好备份准备。

 

网络安全防火墙设备选择:

安全是最大的网络安全隐患。网络安全防火墙设备选择需要考虑:

非法入侵:攻击者通过系统漏洞、木马、窃听等手段获得相应权限,从而窃取数据和破坏系统。

病毒攻击:目前绝大多数蠕虫、病毒均可通过互联网进行传播,蠕虫、病毒一旦爆发,就会侵占网络资源,最终可导致网络瘫痪。

拒绝服务攻击:通过拒绝服务攻击,可导致服务器当机和网络拥堵,最终造成服务中断。

网络安全防火墙设备:

网络安全设备采用SonicWall防火墙。

NSA系列采用新一代统一威胁管理(UTM)技术抵抗各种攻击,兼备入侵防御、防病毒及反间谍软件功能和SonicWALL应用防火墙的应用层控制功能。NSA系列利用先进的路由、全状态同步高可用性以及高速VPN技术让您的分支机构、中央区域及分布式中小型企业网络倍添安全性、可靠性、功能性及生产力,同时还将成本及复杂程度降到最低。

 

核心层设备选择:

公司现有网络分层中并无核心交换机,考虑到使网络拓扑更加合理、今后更好的拓展性、有利于查出问题故障症结,建议配置一台核心交换机。

核心交换层是网络的核心交换节点,它将多个边缘汇聚层连接起来,提供穿透服务,进行数据的高速转发,同时实现与骨干网络的互联,提供高速IP数据出口。用户数据流可通过汇聚层上行到核心网络,通过核心网获取所需业务。

核心交换机:

根据需求我们选用H3C LS-5500-28C-SI交换机作为网络的核心设备。

H3C LS-5500-28C-SI交换机是一款部署于企业核心的高性能交换机,在核心网络中网络的性能、IP服务、冗余性和故障弹性十分重要。H3C S5500-SI系列交换机是H3C公司自主开发的全千兆三层以太网交换机产品,具备丰富的业务特性,提供IPv6转发功能以及最多4个10GE扩展接口。通过H3C特有的集群管理功能,用户能够简化对网络的管理。S5500-SI系列千兆以太网交换机定位为企业网和城域网的汇聚或接入,同时还可以用于数据中心服务器群的连接。

上网行为管理设备选择:

上网行为管理是一种约束和规范企业员工遵守工作纪律,提高工作效率的工具,是行政管理的电子化辅助手段。上网行为管理设备无疑对企业网络访问的制度化管理起到了良好的辅助作用。

上网行为管理设备:

上网行为管理设备选用SoftNext公司的CSQR200设备。

CONTENT SQR是一款多功能的网络信息安全管理审计系统。可详细记录网内受控人员,各种常用网络应用的使用情况,传送或接收的信息内容。并可配合网络管理或公司策略,对常用网络应用的使用情况与内容,进行记录备案以及弹性的策略管控。同时提供了详尽的统计分析功能,透过图表分析,使管理者对各种应用的使用情况,及对网络所造成的影响,尽在掌握。

CONTENT SQR 是全方位的网络内容安全解决方案,具有EMAIL、WEBMAIL、WEB、IM、P2P、FTP 及延伸VOIP..等应用层(LAYER 7)延伸服务的内容管理与使用分析,过滤分析技术能涵盖网络层到应用层,以提供网络内容安全的纵衡防御服务。CONTENT SQR 包含不当信息拦截防护、策略管理、统计报表、流量控管...等多种管理功能,特别有助于WEB MAIL 的使用控管。本产品方便管理,不影响网络运作,是企业进行多通讯端口的安全防护,及内容资产管理的最佳工具。CONTENT SQR 能协助企业进行网络有效管理,提升网络资源的使用效益!

 

网络改造补充说明

 

根据贵公司工程师所提出的网络改造关键点,对于网络的优化改造补充说明如下:

1、防病毒软件

计算机病毒的预防技术

计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。实际上这是一种动态判定技术,即一种行为规则判定技术。也就是说,计算机病毒的预防是采用对病毒的规则进行分类处理,而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作,尤其是写操作。

预防病毒技术包括:磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。例如,大家所熟悉的防病毒卡,其主要功能是对磁盘提供写保护,监视在计算机和驱动器之间产生的信号。以及可能造成危害的写命令,并且判断磁盘当前所处的状态:哪一个磁盘将要进行写操作,是否正在进行写操作,磁盘是否处于写保护等,来确定病毒是否将要发作。计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。目前,对已知病毒的预防可以采用特征判定技术或静态判定技术,而对未知病毒的预防则是一种行为规则的判定技术,即动态判定技术。

检测病毒技术

计算机病毒的检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。它有两种:一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术。另一种是不针对具体病毒程序的自身校验技术。即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地以保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段完整性已遭到破坏,感染上了病毒,从而检测到病毒的存在。

清除病毒技术

计算机病毒的清除技术是计算机病毒检测技术发展的必然结果,是计算机病毒传染程序的一种逆过程。目前,清除病毒大都是在某种病毒出现后,通过对其进行分析研究而研制出来的具有相应解毒功能的软件。这类软件技术发展往往是被动的,带有滞后性。而且由于计算机软件所要求的精确性,解毒软件有其局限性,对有些变种病毒的清除无能为力。

有了企业版防病毒软件,结合贵公司现有的桌面管理软件,可以实现全面的身份验证和企业用户安全管理。在防火墙之类的安全网关的防护下,企业内部网络可以大大提高抗攻击、防病毒的能力,最大限度的保证用户的信息安全。

2.SSL VPN设备

随着贵公司ERP项目的上马,固态IP线路及专有后台服务器的使用。可以预见,随着公司业务的不断繁忙,公司规模的不断壮大,相关业务专业软件(比如OA)将会越来越多的被使用。贵公司业务人员很多时间将会需要在外网直接连接本公司的业务系统,那么公司核心业务数据在公网上传输完全没有保障。企业对网络的依赖日益加深,面对层出不穷的各种网络安全威胁,如何提供安全可靠、低成本、高可用性的远程访问服务直接关系到企业运作的经济效益。SSL VPN设备可以帮助企业用户在这些方面解决很多直接面对的问题。SSL VPN是近年来新兴的一种应用级VPN,是目前解决远程用户访问最简单最安全的VPN技术。它正成为企业应用、无线接入、Web服务安全远程管理的关键产品。SSL协议是无所不在(任何浏览器都支持SSL)的,各浏览器支持的SSL高度互相兼容,而且更为重要的是SSL可生存于任何网络环境,穿透任何防火墙,这种无所不在,无所不兼容,无所不达的特性为任何其他安全协议所不具备。任何安装浏览器的机器都可以使用SSL VPN,它不需要像传统IPSec VPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器(包括家用机,工作机和客户机等等)需要与公司内网相连接的用户至关重要。

SSL VPN提供智能的安全管理功能。与传统VPN不同,SSL VPN提供安全、可代理连接,只有经认证的用户才能对资源进行访问。SSL VPN是应用级VPN,能对加密隧道进行细分,从而使得终端用户能够同时接入Internet和访问内部企业网资源。另外,SSL VPN还能细化接入控制功能,易于将不同访问权限赋予不同用户,实现伸缩性访问。

有了SSL VPN设备外网访问公司内部的核心数据可以大大提高安全性,大大减少公司核心业务数据被窃取、恶意破坏的可能性,增加企业的竞争力。

3.机房防静电地板的铺设 

考虑到未来时间企业信息数据量的增加,贵公司现有的机柜和服务器甚至存储很有可能需要扩容。目前贵公司机房实际铺设防静电地板的面积,为可使用面积的一半左右。我们建议用户在本次机房线路整理的同时,可以考虑将现有的一半木地板和隔断拆除,铺设防静电地板,为将来的扩容做好充分的准备。

四、设备选用介绍

1.SonicWall NSA2400防火墙

 

 

 

各种规模的企业都通过企业网络来访问内部和外部关键业务应用。一方面,网络优势不断为企业带来巨大利益,另一方面,他们受到攻击的挑战也日益巨增,这些攻击纷繁复杂,以经济利益为目的,是专门为了扰乱通信、降低性能和盗取数据而设计的。

恶意攻击通过利用更高的网络层穿透过时的状态包检测防火墙。单一功能产品能够增加安全级别,但整体成本更大且难以管理,同时,不易控制网络误用,并在抵御多方位攻击时也差强人意。SonicWALL®网络安全设备(NSA)系列则引发了网络安全革命,采用了突破性多核设计以及具有专利的免重组深度包检测(RFDPITM)技术*,让您无需牺牲网络性能即可获得全方位的安全保护。SonicWALL E-ClassNSA 系列首次采用了该平台,如今该平台也适用于中型企业。NSA 系列克服了现有安全解决方案的各种局限性,它能实时地对每一个数据包执行整体扫描,以检测当前出现的内部及外部威胁。依靠高速多核处理平台,NSA 系列能执行深度包检测功能,同时不会影响关键网络及应用的性能。

NSA  系列采用了新一代统一威胁管理(UTM)技术来抵御各种攻击,同时具有入侵防御、防病毒及反间谍软件功能以及 SonicWALL应用智能服务的应用层控制功能。NSA 系列利用先进的路由、全状态高可用性以及高速 IPSec 和 SSL VPN 技术让您的分支机构、中央区域及分布式中小型企业网络倍添安全性、可靠性、功能性及生产力,同时还将成本及复杂程度降到最低。

 

特性及优点                                  

SonicWALL新一代安全产品结合了更高层次的UTM 技术,集成了入侵防御、网关防病毒及反间谍软件以及应用智能服务(ApplicationIntelligence Service)可配置工具套件,以防止数据泄漏以及提供细粒度应用控制。

 

可扩展多核硬件及免重组深度包检测扫描并清除任意大小文件中的威胁,对并发连接没有限制而且网速不减。网络管理员可使用主级或次级调制解调器或3G无线接口来配置NSA 240,确保产品的高度扩展能力可以满足未来的需求。

 

SonicOS 增强版 5.0 具有的全状态高可用性及负载均衡功能可充分利用网络带宽,保证最大的网络正常运行时间,让您随时能访问关键业务资源,并且确保 VPN 隧道及其它网络流量在故障切换时不会中断。

 

高性能及更低的总拥有成本(TCO)通过同时使用多核处理能力而实现,极大地增加了吞吐量和并行检测能力,同时降低了功耗。

 

先进的路由服务及网络功能结合了先进的网络安全技术,包括 802.1q VLAN、WAN/WAN容错功能、基于域和对象的管理、负载均衡、先进的 NAT 模式及更多技术,为您提供灵活的细粒度配置及全面的安全防护能力。

 

标准 VoIP功能为 VoIP 基础架构的每一个单元,从通信设备到适用于 VoIP 的设备,如 SIP Proxies 、 H.323 Gatekeepers 以 及   CallServer,提供最高级别的安全保护。

 

安全的分布式无线 LAN服务让设备能够起到安全无线交换机及控制器的作用,它能够自动

侦别并配置 SonicPointsTM,SonicWALL 无线访问点保障了分布式网络环境中的远程访问安全。

 

联网服务质量(QoS)特性利用行业标准的802.1p 及差异化服务编码点(DSCP)服务类别(CoS)指示符提供强大灵活的带宽管理,这对    VoIP、多媒体内容及关键业务应用起到至关重要的作用。

 

同级别最佳的保护

SonicWALL 深度包检测保护能抵御网络风险,如病毒、蠕虫、木马、间谍软件﹑钓鱼式攻击、新出现的威胁及 Internet 误用。应用智能服务能提供额外的高可配置性控制以防止应用层上的数据泄漏及带宽管理。

 

SonicWALL 免重组深度包检测(RFDPI)技术利用 SonicWALL   公司的多核架构对数据包进行实时检测,而无需将信息流量缓存在内存中。该功能可以扫描并清除任意大小文件中的威胁,对并发连接没有限制。

 

NSA  网络安全设备系列通过连续自动的安全更新提供动态的网络保护,对新出现的及不断演变的病毒进行清除而无需请求管理员干预。

 

统一威胁管理负载均衡包含了多种保护技术的单处理器设计受到单个中央处理器的严格限制。SonicWALL UTM负载均衡技术将高速深度包检测及流量分类引擎应用到多个安全内核上,并行扫描应用程序和文件,而不会对网络性能或可扩展性产生显著影响。这就使在承载带宽密集和延时敏感的应用和业务的网络上扫描和控制安全威胁成为可能。

 

SonicWALL Clean VPNT

NSA 网络安全设备系列包括了极富创造性的 SonicWALL Clean VPNTM技术,该技术让远程移动用户及分支机构的信息进入企业网络之前,就对其漏洞利用及恶意代码进行清除,而无需用户干预。

集中化策略管理

可利用 SonicWALL 全球管理系统(GMS)对NSA 网络安全设备系列进行管理,该系统提供

了强大、灵活、直观的管理工具,可对各种配置执行集中管理,实时查看监控数据并将策略与合规性报告结合在一起。

 

SonicWALL NSA 网络安全设备解决方案都采用了突破性多核硬件设计以及具有专利的免重组深度包检测(RFDPITM)技术,针对各种内部和外部网络保护,提供新一代统一威胁管理保护,而无需牺牲网络性能。每一款 NSA 系列产品都融合了高速入侵防御、文档和内容检测、强大的应用智能服务控制以及众多先进的、具有高度灵活性的网络和配置功能。NSA 系列所采用的平台不仅易用性强,而且价格合理,便于在各种类型的企业、分支机构和分布式网络环境中部署和管理。

 

 
   

 

 

网关防病毒、反间谍软件、入侵防御服务及应用智能服务提供智能实时的网络安全保护,以抵御复杂的应用层以及基于内容的攻击,包括病毒、蠕虫、木马、间谍软件及软件漏洞利用(如缓存溢出)。应用智能服务能提供一整套可配置的管理工具,这些工具是专为防止数据泄漏并且提供细粒度应用层控制而设计的。

 

 

强制客户端和服务器防病毒及反间谍软件利用一个单一的集成客户端为笔记本电脑、台式机及服务器提供全面的病毒及间谍软件防护,同时还能提供网络范围内的防病毒及反间谍软件策略、定义及软件更新的自动强制。

 

 

内容过滤服务通过采用创新性的评级架构,利用动态数据库阻止 56 类令人讨厌的 Web 内容,从而实现保护及生产力策略的强制。

 

 

 

ViewPoint报告提供易用的、基于 Web 的各种功能,这些功能让系统管理员能立即获得网络性能及安全的综合性了解。ViewPoint 采用 Dashboard 和详细总结的方式为各种机构提供一系列历史报告,从而帮助他们进行 Internet 使用追踪,满足合规性要求并对其网络的安全状态进行监控。

 

 

SonicWALL  虚拟辅助服务(SonicWALL® Virtual Assist)是一项远程技术支持工具。采用此工具,技术人员可控制用户PC 或笔记本电脑,从而进行远程技术援助。经用户许可后,技术人员可通过Web浏览器及时访问用户计算机,更轻松地进行远程诊断和问题修复,而无需预装“肥”客户端。

 

动态技术支持服务可根据用户的需要选择5×8或 7×24 小时技术支持服务。该服务包括世界级的技术支持、关键的固件升级、扩展性电子工具的使用以及即时的硬件更换,从而帮助企业获得最大的 SonicWALL 投资收益。

 

 

全球VPN  客户端升级采用了可直接安装在基于Windows 的计算机上的软件客户端,让远程用户可安全访问电子邮件、文件、内联网和应用,从而提高了员工的工作效率。升级许可证适用于各种规模的用户群,因此,企业可根据自身的发展进行扩展。

 

SSL VPN远程访问升级为基于 PC、Mac 和 Linux的系统提供了无客户端远程网络访问。由于采用了集成式 SSL VPN 技术,SonicWALL UTM 设备让用户可通过 NetExtender(一种可推送到用户设备的轻量级客户端软件)无缝、安全地访问来自各种客户端平台的电子邮件、文件、内联网和应用。NetExtender 的安装和配置都是自动的,用户无需介入。

 

SonicWALL综合反垃圾邮件服务可在网关阻止垃圾邮件、钓鱼邮件以及带病毒的电子邮件。只要轻轻一点,就可马上激活此服务,及时阻止垃圾邮件,节省宝贵的网络带宽,无需重定向 MX 记录或向另一提供商发送电子邮件。

 

 

 

 

规格

防火墙

NSA 2400

SonicOS版本

?SonicOS增强版5.6(或更高)

全状态吞吐量1

775 Mbps

GAV性能2

160 Mbps

IPS性能2

275 Mbps

UTM性能2

150 Mbps

IMIX性能2

235 Mbps

最大连接数3

225,000

最大UTM连接数

125,000

每秒新建连接

4,000

支持的节点

无限制

拒绝服务攻击保护

22类DoS、DDoS和扫描攻击

支持的Sonic点(最多)

32

VPN

NSA 2400

3DES/AES吞吐量5

300 Mbps

点对点VPN隧道

75

捆绑式全局VPN远程访问的客户
端许可证(最多)

10(250)

捆绑的SSLVPN

许可证(最多)?

10(250)

捆绑的虚拟辅助服务(最多)

2(25)

捆绑的虚拟辅助服务(最多)

1(5)

加密/认证/DH Group

DES、3DES、AES(128位、192位、256位)、MD5、SHA-1/DH Groups 1, 2, 5, 14

密钥交换

密钥交换IKE、IKEv2、手动键、PKI(X.509)、L2TPover IPSec

基于路由的VPN?

支持(OSPF、RIP)

证书支持

Verisign、Thawte、Cybertrust、RSA Keon、Entrust和Microsoft CA for SonicWALL-to-SonicWALL VPN、SCEP

失效对端检测(DPD)

支持

DHCP over VPN

支持

IPSec NAT穿越

支持

冗余VPN网关

支持

支持的全局VPN客
户端平台

Microsoft?Windows 2000、Windows XP、
Microsoft?Vista 32位/64位、Windows 7

支持的SSLVPN平台

Microsoft? Windows 2000 / XP / Vista 32/位/ Windows 7、
Mac 10.4+、Linux FC 3+ / Ubuntu 7+ / OpenSUSE

安全服务

NSA 2400

深度包检测服务

网关防病毒、反间谍软件、入侵防御和应用智能服务

内容过滤服务Premium版

(CFS)? HTTP URL、HTTPS IP、关键字和内容扫描 ActiveX、Java Applet及Cookie封堵

网关强制的客户端
防病毒及反间谍软件?

HTTP/S、SMTP、POP3、IMAP及FTP,强制的McAfeeTM客户端电子邮件附件封堵

综合反垃圾邮件服务

支持

应用智能

提供应用层强制及带宽控制、网页流量管理、电子邮件、电子邮件附件 及文件转发,通过关键字和短语进行文件文档扫描和限制

DPI-SSL6 6

可透明解密HTTPS流量,并使用SonicWALL深度包检测技术(GAV/AS/IPS/应用智能服务/CFS)对流量进行扫描,以查找威胁,如果未发现任何威胁或漏洞,随后将重新加密流量, 并将其发送到目标地址。该功能既适用于客户端也适用于服务器。

网络

NSA 2400

IP地址分配

静态、(DHCP、PPPoE、L2TP及PPTP客户端)、内部DHCP服务器、DHCP中继

NAT

模式1:1﹑1:多﹑多:1﹑多:多、灵活的NAT(重复的IP)、PAT、透明模式

VLAN接口(802.1q)

25

路由

OSPF、RIPv1/v2、静态路由、基于策略的路由、组播

QoS

带宽优先级、最大带宽、保证带宽、DSCP标记、802.1p

IPv6

适用于IPv6

认证

XAUTH/RADIUS、活动目录、SSO、LDAP、内部用户数据库

内部数据库/单点登录用户

252/250名用户

VoIP

全H.323v1-5、SIP、Gatekeeper支持、出站带宽管理、
VoIP over WLAN、深度安全检测、大多数VoIP
网关及通信
设备之间的全面互通性

系统

NSA 2400

区域安全

支持

时间表

一次,定期的

基于对象/基于组的管理

支持

动态域名

支持

管理及监控

Web GUI(HTTP、HTTPS)、命令行(SSH、控制台)、
SNMPv2:SonicWALL GMS的全球管理系统

日志及报告

ViewPoint?、本地日志、Syslog、Solera Networks

高可用性

可选主动
/被动
状态同步

内部数据库/单点登录用户

可选

负载均衡

是,(出方向的流量基于百分比、轮循及带宽溢出)(进入方向的轮循、随机分布、静态IP、网段重新影射
以及对称重新影射)

标准

TCP/IP, UDP, ICMP, HTTP, HTTPS, IPSec,
ISAKMP/IKE, SNMP, DHCP, PPPoE, L2TP, PPTP,
RADIUS, IEEE 802.3

无线标准

802.11 a/b/g/n, WPA2, WPA, TKIP, 802.1x,
EAP-PEAP, EAP-TTLS

硬件

NSA 2400

 

(6个)10/100/1000铜缆千兆端口,
1个控制台接口,2个USB(备用)

内存(RAM)

512MB

闪存32MBCom-pactFlash

512MB Compact Flash

3G无线/调制解调器7*

带3GUSB适配器/调制解调器

电源

单个180W ATX电源

风扇

无2个风扇

输入功率

100-240Vac, 60-50Hz

最大功耗

42W

总散热量

144BTU

认证

VPNC、ICSA防火墙4.1

待定认证

EAL-4+、FIPS 140-2

-

外观及尺寸

1U机架式/17×10.25×1.75英寸/43.18×26×4.44厘米

重量

8.05镑/3.65千克

WEEE重量克

8.05镑/3.65千克

主要要求

FCC A级、CES A级、CE、C-Tick、VCCI、Compliance MIC、UL、cUL、TUV/GS、CB、NOM、RoHS、WEEE

运行环境

40-105°F,5-40℃

MTBF

16.0年

湿度

10-90%,非冷凝

2.H3C LS-5500-28C-SI交换机

产品概述

H3C S5500-SI系列交换机是H3C公司自主开发的全千兆三层以太网交换机产品,具备丰富的业务特性,提供IPv6转发功能以及最多4个10GE扩展接口。通过H3C特有的集群管理功能,用户能够简化对网络的管理。S5500-SI系列千兆以太网交换机定位为企业网和城域网的汇聚或接入,同时还可以用于数据中心服务器群的连接。

 

支持特性

S5500-28C-SI

交换容量

(全双工)

192Gbps

包转发率(整机)

96Mpps

外形尺寸(长×宽×高)

(单位:mm)

440×300×43.6

重量

4kg

管理端口

1个Console口

业务端口描述

24个10/100/1000Base-T以太网端口

4个复用的1000Base-X千兆SFP端口

扩展插槽

2个扩展插槽

可选接口模块

单端口10GE XFP接口模块

两端口10GE XFP接口模块

两端口10GE CX4接口模块

两端口GE SFP接口模块

两端口10GE SFP+接口模块

以太网供电PoE

不支持

端口聚合

支持LACP

支持手工聚合

支持最多12/24个聚合组,每组支持最多8个GE或2个10GE端口(10GE机型)

端口特性

支持IEEE802.3x 流量控制(全双工)

支持基于端口速率百分比的风暴抑制

支持基于PPS的风暴抑制

MAC地址

支持16K MAC

支持黑洞MAC

支持设置端口MAC地址学习最大个数

堆叠

支持IRF LITE堆叠技术

最大支持16台堆叠

VLAN

支持基于端口的VLAN(4K个)

支持基于MAC的VLAN

基于协议的VLAN

支持QinQ,灵活QinQ

支持VLAN Mapping

支持Voice VLAN

支持GVRP

DHCP

支持DHCP Client

支持DHCP Snooping

支持DHCP Relay

支持DHCP Snooping option82/DHCP Snooping option82

IP路由

支持静态路由

支持RIP/RIPng

组播

支持IGMP Snooping /MLD Snooping

支持组播VLAN

支持未知组播丢弃

二层环网协议

支持STP/RSTP/MSTP

支持RRPP

镜像

支持N:4端口镜像

支持流镜像

ACL

支持L2(Layer 2)~L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口、协议类型、VLAN的流分类

支持时间段(Time Range)ACL

支持基于VLAN下发ACL

QoS

支持对端口接收报文的速率和发送报文的速率进行限制

支持报文重定向

支持CAR(Committed Access Rate)功能

每个端口支持8个输出队列

支持端口队列调度(SP、WRR、SP+WRR)

支持报文的802.1p和DSCP优先级重新标记

安全特性

支持用户分级管理和口令保护

支持802.1X认证/集中式MAC地址认证

支持Guest VLAN

支持RADIUS认证

支持SSH 2.0

支持端口隔离

支持端口安全

支持EAD

管理与维护

支持XModem/FTP/TFTP加载升级

支持命令行接口(CLI),Telnet,Console口进行配置

支持SNMPv1/v2/v3,WEB网管

支持RMON (Remote Monitoring)告警、事件、历史记录

支持iMC智能管理中心

支持系统日志,分级告警,调试信息输出

支持HGMPv2

支持NTP

支持电源的告警功能,风扇、温度告警

支持Ping、Tracert

支持VCT(Virtual Cable Test)电缆检测功能

支持DLDP(Device Link Detection Protocol)单向链路检测协议

支持Loopback-detection 端口环回检测

输入电压

交流

额定电压范围:100V~240V AC,50/60Hz

最大电压范围:90V~264V AC,47/63Hz

直流

额定电压范围:

10.8V~13.2V DC(RPS专用)

功耗(满负荷时)

80W

工作环境温度

0℃~45℃

工作环境相对湿度(非凝露)

10%~90%

 

 

 

 

3.CSQR300上网行为管理设备

功能特点

适用各种网络环境,轻松部署

Ø   支持串接、旁路双模式,适用任何复杂环境

Ø   支持PPPOE用户网络环境

Ø   支持PROXY网络环境

Ø   支持ISA防火墙等用户网络环境

Ø   支持VLAN网络环境的透传

Ø   支持PPPOE+VLAN的混合模式,适用于集团PPPOE用户环境

稳定、可靠、安全

Ø   专用操作系统内核设计,零拷贝技术性能卓越

Ø   软件及硬件BYPASS设计,无单点故障

Ø   基于HTTP/HTTPS安全的WEB管理方式,支持单点登录

Ø   拥有电信级骨干网应用解决方案

强大的身份认证及帐号管理功能

Ø   支持IP+MAC绑定支持本地WEB认证

Ø   支持AD域认证、LDAP认证、POP3认证

Ø   支持网内用户身份信息自动关联采集分类

科学、便捷的UI用户界面

Ø   系统分为报告、帐号、策略管理、信息、系统设置五大中心

Ø   采用树形菜单结构,操作便捷灵活

丰富的报告统计功能

Ø   提供连接统计、阻挡统计、群组排名、人员排名、分类统计、传档统计等多种报告报表

Ø   支持实时/日/周/月等多种报表类型

Ø   支持报表自定义(PRE-DEFINED),实现一键式报表生成

Ø   支持报表EMAIL订阅

 

最全面的信息内容审计与监控

Ø   支持包括SMTP/POP3/IMAP/WEBMAIL/IM/BBS等各种方式的信息收发内容记录、关键字过滤及报警

Ø   支持包括HTTP/SMTP/POP3/IMAP/WEBMAIL/IM/FTP等各种方式的文件传档管控

Ø   支持邮件透明网关功能

最全面的网络应用特征识别

Ø   300余种常用网络应用协议特征库

Ø   采用特征(PATTERN)匹配技术彻底封堵变端口应用

Ø   支持国内最多种类的WEBMAIL,彻底弥补邮件管理漏洞

Ø   支持最多种类的IM、网络游戏、网络炒股、P2P软件

Ø   网络应用特征库定期升级更新

 

最全面的网页分类过滤数据库

Ø   涵盖60种URL分类,全球1100多万条网址URL

Ø   智能网页搜索及分类技术,人工精准审核校验

Ø   自动更新保证时效性

 

主要功能

标 准 功 能

说 明

网络使用分析

可依据IP、PORT、流量、传输方向进行交互查询与比对,排序出组织内部所有网络层流量与带宽使用状况。

应用程序使用分析

特定网络应用(例如P2P、IM..等)会使用变动式的穿透联机技术,CONTENT SQR运用封包特征比对之技术,能对这些应用服务进行流量及占用带宽的分析。

流量警示

可对组织内部主机的网络使用状况,根据IP、PORT、流量、传输方向来设置警示条件,若出现流量异常会实时通知管理者。

即时通信软件交谈信息记录

支持目前最常用的多种即时通信软件之使用状态与内文记录,包括MSN、YMSG、AIM/ICQ、QQ、GOOGLE TALK、SKEPE..等,并有方便的查询功能,可快速的依据IP、使用者账号、信息内文关键词,检索出须被查核的内容。

即时通信软件使用管理

可根据组织策略来设置即时通信软件使用方式(如根据群组或账号决定是否开放或阻绝特定即时通信软件),并进行内容信息关键词过滤。

即时通信软件传文件管制

可根据不同群组的管理需求,进行透过即时通信服务来传收外部文件的限制或透过文件名关键词来设置过滤条件。

即时通信软件加密信息管制

可授权特定使用者是否能使用MSN交谈信息的加密软件,并追踪违规使用的情形。

即时通信信息路由管理

对于使用群组或账号与开放沟通的对象间进行传输信息之相关管理(如是否可交换信息、传输文件..等策略性管制)。

即时通信管理警示

若使用者登入限制的即时通信软件或违反管理策略时,会立即警示使用者。

完整邮件备份

提供SMTP、POP3、IMAP及WEBMAIL的邮件传输备份,为组织提供完整的邮件备份与审计机制。

WEBMAIL 通讯记录

管理涵盖面最广,包含大中华区常用的WEBMAIL(如HOTMAIL、YAHOO、中华电信HINET、263、网易163…等数十种),可完整记录所收发的邮件内文与附件,协助组织落实全面性的电子邮件管理与审计。

WEBMAIL附件管控

可依据文件名关键词来防止内部使用者透过WEBMAIL传送特定文件至公司外部。

网页浏览记录

可详细记录内部使用者的网页浏览行为,包括时间、服务器IP、浏览网址。

网址关键词过滤

可依据网址关键词设置开放或禁止使用者浏览的网页页面。

网址分类数据库

提供针对不当网站内容的分类网址数据库,同时允许管理者增加自定之网址或类别,方便进行策略管理与报表统计。

网址类别过滤

可利用预设或自订的网址分类数据库,设置禁止浏览的过滤条件。

P2P使用管控

可辨识并管制BT、EMULE/EDONKEY、FOXY、EZPEER等P2P软件的使用。

TUNNEL软件使用管制

可辨识并管制SOFTETHER、VNN、HTTP-TUNNEL、HOPSTER、REALTUNNEL等TUNNEL软件的使用。

传档管制

可监测并管制透过HTTP 下载文件与FTP 上下传文件的行为。

WEB 影音串流管理

可监测并管制使用MMS、MMSH、RTSP、RTMPT协议的影音串流行为。

HTTP POST 管理

支持对HTTP协议中,使用POST 方法上传信息到网站的行为做记录与管制。

FTP信息记录

完整记录FTP过程中所有指令动作,以及备份所上传或下载的文件。

TELNET 信息记录

完整记录TELNET 过程的所传递的信息内容。

网络使用认证管理

使用者需先通过指定认证(如SMTP、POP3、AD、LDAP…),才能在符合规定下使用相关的网络服务。

时间策略管理

进行内容过滤条件时,可设置启用或关闭该条件过滤的时间。方便管理者依据上下班不同时段,设置不同的管理策略。

群组管理

可整合多种应用服务所使用的不同账号,包括电子邮件、WEBMAIL、即时通信软件。

多语系支持

支持繁中、简中、英、日..等多国语言版本的信息记录,并可于WEB界面上直接切换繁简体语言版本管理界面。

系统支持SNIFFER

/INLINE MODE

可根据实际网络架构的不同,弹性选择不同运作模式。可快速与现有之网络环境整合,且对现有网络不会造成影响。

LAN BYPASS 机制

实施INLINE MODE 的运作架构时,提供软硬件BY-PASS自动旁路机制。无论发生系统或硬件的任何意外状况,都能保持网络及业务不中断。

 

 

 

 

 

 

 

 

 

 

 

 

 

五、售后服务与培训

1.现场培训

根据用户系统实际环境的情况,在现场设备安装调试过程中和结束后以及在每次的系统巡检时,针对一段时间内用户在系统维护过程中遇到的问题,进行现场讲解,弥补前期培训的不足,针对设备配置、日常维护、故障解决等方面内容进行完全针对性的技术培训,可以使用户具备自操作、自学习、自维护的基本工作能力。

培训地点:用户现场;

培训时间:项目实施及系统巡检过程中;

培训人数:用户自定义;

培训内容:产品的基本使用、配置、维护等;

 

2.售后服务及承诺

(1)质量保证和服务承诺书

我方提供的所有货物保证是全新,未使用过的正宗原装合格正品,保证进口产品全部通过正规合法渠道。

 

 

(2)保修,包换措施,设备升级

质保期内的服务:所有设备及配件均提供一年软硬件质保

㈠ 保修期内的产品硬件质量问题我方负责对其提供的设备进行上门维修,不收取额外的费用;

㈡ 每半个月定期回访保养维护,提供7*24小时我公司客户服务中心技术支持热线服务,工作日内出现质量问题时或故障时,自接到用户电话后两个小时内到达现场解决故障。

 

 

 

 

 

 

(3)质保期外的服务方案

我公司对保修期满后继续提供技术服务的承诺:

其维护服务是以有偿方式提供,具体价格参见下表:

级别

基本维护服务

备件提速维护服务

 

维护

 

服务

 

承诺

 

 

 

(1)7*24小时我公司客户服务中心技术支持部提供热线技术支持

(2)对于用户设备维护请求我公司客户服务中心技术支持部在两小时内予以应答

(3)如果需要,我公司客户服务中心技术支持工程师在24小时内抵达故障现场发。故障排除后,我方会出具体详细的书面诊断报告供招标方备案

(4)提供操作系统软件升级服务

(5)完好备件在三日内运抵设备故障现场,备用设备提供不少于36个月的质保

(1)7*24小时我公司客户服务中心技术支持部提供热线技术支持

(2)对于用户设备维护请求我公司客户服务中心技术支持部在一小时内予以应答

(3)如果需要,我公司客户服务中心技术支持工程师在8小时内抵达故障现场发。故障排除后,我方会出具体详细的书面诊断报告供招标方备案

(4)提供操作系统软件升级服务

(5)完好备件在一日内运抵设备故障现场,备用设备提供不少于36个月的质保

维护

服务

费率

维护费只收产品维修成本费,根据当时市场情况确定价格,低于市场价格。

维护费只收产品维修成本费,根据当时市场情况确定价格,低于市场价格。

 

定期服务

服务期开始时本公司将提出每月、每季、每半年及每年的定期服务计划,说明定期服务的工作项目、服务方式和服务人员组织,请客户确认后定期执行服务工作。定期主动服务项目包括:

⑴   全面技术支持服务管理

您的指定服务项目经理负责管理您的网络技术支持服务,确保信息在用户和本公司的各个技术支持部门之间的有效传递。服务项目经理负责收集您的网络系统信息,提供网络运行日志,技术故障报告等等,同时针对网络和系统结构及应用提前设计故障恢复方案,确保在故障发生时在最短时间内恢复系统运行。

 

⑵ 硬件设备维护

l  外观检查

l  连接器紧密度检查

l  通讯功能检查

l  操作状况检查

l  巡检,包括硬件的维护、网络性能检测、服务器操作维护、日志清理等

⑶ 网络性能分析与优化

网络优化服务旨在协助用户提高网络系统的稳定性,性能及网络管理能力。通过进行网络系统的规划,监控,系统性能调整,网络容量规划,网络性能优化等等,不断的提高网络应用系统的整体性能以及可靠性。

⑷ 网络操作系统配置方案

服务小组提供软件版本的推荐配置方案,协助您选择符合特定需求的网络操作系统软件版本。同时提供网络设备软件版本的特性分析,版本升级方案等。

⑸ 提出系统升级建议

维护服务期满前,我方将提供系统相关的最新版本的代码和可运行程序、文档。并会总结和分析维护期发现的错误和问题,提交“系统维护升级报告” 给客户提出系统升级建议。

◆     故障响应维护

故障响应服务指系统发生突发性故障后,追查故障原因,并予排除修改的工作。如有故障发生,本公司应在接获通知后的规定响应时间内,调配有关技术人员远程解决或到现场进行维护,以使系统正常运行。

提供快速,完整的网络故障分析及解决方案。本公司服务组织的数据库系统中将您的网络系统的详尽信息存档,包含网络结构,设备清单,协议及参数配置文件等,此外还记录以往发生的技术问题及其解决方法。利用这些资源,服务小组能够有效的对于技术问题进行分析并找到快速的解决方案,从而缩短问题解决的时间,增加网络的连续运行时间。

 

 

 

 

 

 

 

 

 

相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换