2021年版网络信息安全建设解决方案.docx

xxxx网络安全解决方案2021年8月15日目录!项目综述72XXXX需求分析82. 1项目背景82. 1. 1项目的必要性82.2 需求分析102.2. 1面临的安全威胁问题102.2.2生产网外联区122. 2. 3移动办公区132.2.4互联网接入区132.3 结论153 解决方案163. 1方案设计原则163.2Xxxx NSP整体解决方案173.2. 1 XXX部署方案173. 2. 1. 1 XX数据中心部署设备方案173.2. 1.2研发中心部署设备方案193.2. 1.3分支机构部署设备方案203.2.2分布式部署和集中管理平台213. 2. 2. 1分布式部署架构213. 2. 2. 2总部管理服务平台的高可用设计213. 2. 2. 3集中管理平台233. 2. 2. 4攻击签名库更新升级方案244 Xxxx方案的设备型号及管理平台254.2方案中Xxxx NSP设备型号介绍274. 2. 1NS-9x00产品规格错误!未定义书签。5. 2. 2NS-7x50 产品规格286. 2(。NS-5x00 nn 297. 2.4NS-3x00 产品规格302. 3XX数据中心NSM服务器配置建议314. 4统管理服务器CentralManager配置建议315 Xxxx NSP 介绍325. 1Xxxx NSP 设备325. 2统一管理平台(CentralManager)介绍355.3NSP的优势361.1.1 1 公司实361.1.2 3. 2 非特征检测方式361.1.3 与XXXX现有终端管理平台EPO集成371.1.4 NGIPS 新技术385.3.6 群集和扩展能力395.3.7 3.7全面支持IPv6396 XxxxNSP功能介绍436. 1检测及防御功能436. 1. 1 网络攻击特征检测436. 1. 3DoS/DDoS 攻击防御456.1.4入侵防护功能466. 1. 5实时过滤蠕虫病毒和Spyware间谍程序476.1. 6虚拟 IPS486. 1.7灵活的部署方式496. 1. 8具备风险识别的入侵防御516. 1.9内置Web安全保护526. 1. 10SSL加密攻击检测526. 1. 11领先的虚拟内部防火墙536. 1. 12流量控制536.1. 13僵尸网络流量监控546. 2第三方测评566. 2. 1Gartner 测评566.2.2NSSLab 评测报告577服务承诺587.1 硬件和软件的售后技术支持和软件服务587. 1. 1服务的期限587. 1.2服务的支持方式587.1.2. 1电话技术支持587.1.2.2在线支持587.1.2.3白金企业支持597. 1.3产品和软件的服务的内容617. 1.3.2软件产品更新升级617. 1. 3. 3 产 评估617.1.3.4分析和警报627.1.3.5其他白金服务内容（参见服务管理）627. 1.4产品和服务的响应627. 1.4. 1硬件产品更换的响应规则627.1.4.2问题上报和回复的时间627. 2Xxxx原厂!DS/IPS白金企业服务管理637. 2. 1IDS/IPS项目白金企业服务管理定义637. 2.2服务保障团队和角色637. 2. 2. 1技术服务经理SAM637. 2. 2. 2产品专员647. 2. 2. 3现场技术支持工程师647. 2. 2. 4全球技术支持中心647. 2.3服务流程简介658. 2.4现场技术支持服务659. 2.5重大变更现场支持服务6510. 2. 6应急服务6611. 2.7季度巡检667.3 培训服务677. 3. 1 原厂提供的专业课程培训678. 3.2项目培训677.4 原厂提供的专家咨询和专业化服务677.5 项目集成商的人员驻点服务687. 5. 1现场服务及驻点服务描述687. 5. 2月艮务目标687. 5.3服务工作内容描述687. 5.4 派驻现场的驻点工程师资质697.6 项目集成商的项目实施和部署及后期维护的服务697.7 附相关资料和文档698. 1目标708.2阶段性目标和分阶段实施718.2.1 项目实施计划718. 2.2分阶段实施说明718. 2. 2.1阶段项目准备718. 2. 2. 2阶段二试点安装运行738. 2. 2. 3阶段三 全公司推广安装运行748. 2. 2. 4阶段四维护和验收748. 3实施团队761. 3.1项目参与方768. 3.2实施小组769. 3.3项目组织架构778.4 人员培训798.5 日常维护建议848. 5.1升级周期建议848.5.2 故障检查排除848. 5.3 出现攻击时应急方案898. 5. 3. 1大量攻击898. 5. 3. 2 DoS 攻击908. 5.3.3传感器操作908. 5. 3. 4响应管理918. 5. 3. 5通过SPAN监控内网911项目综述本方案根据XXXX目前的信息安全建设状况,借助Xxxx在信息安全领域的技术和解决方 案,以动态安全风险管理为基础,提出了较完整的IDS/IPS解决方案及实施步骤。其最大的特点是:以全面的量化安全风险为基础，在系统和网络层面构建全面的安全威 胁防御体系,完善健全安全措施,当安全风险等级变化时，风险管理管理系统提供详细的安 全风险变化原因和补救措施，同时,调整系统和网络层面的防御策略,真正的做到全面防御， 有的放矢。风险管理的过程中,如何有效地消除威胁、降低风险是关键。我们建议通过一系列建设 实现全面的系统和网络防御体系。目前,XXXX已经建立了一套比较系统的终端安全防御措 施，而Xxxx提供的IDS/IPS网络入侵防护产品和解决方案，可以帮助XXXX对抗未知的和将 来出现的安全威胁。通过XxxxNSP （即!DS/IPS）构建完善的XXXX安全边界防御体系，在 网络边界实时准确的检测和阻断各类网络攻击行为、DoS/DDoS攻击及未知的攻击流量，并 对P2P、IM等应用流量进行管理，完善整个网络安全建设。2 XXXX需求分析2. 1项目背景根据XXXX等外部监管要求,参考同业情况,结合XXXX当前的实际情况,为全面提 高网络安全防护能力,XXXX计划全公司统实施网络入侵检测和防护（以下简称IDS/ IPS）体系建设。2. 1. 1项目的必要性1、确保全行网络运行安全,提升防护水平网络入侵检测防御技术是一种主动保护自己免受攻击的网络安全技术。1DS/IPS系 统能够帮助应用系统及时发现来自网络的系统层面攻击，增强系统管理员的安全管理能 力,提高了信息安全保障系统整体架构的完整性。随着网络技术和网络规模的快速发展,针对网络系统的攻击越来越普遍,蠕虫泛滥、 垃圾邮件、病毒传播以及拒绝服务等各类网络攻击手法日趋复杂,网络入侵检测防御技 术和产品也得到了快速发展。Xxxx Labs在2017年第3季度收集的统计数据。其中数量最多的是新恶意软件， 达到5760万个新样本的史上最高记录,比第2季度增长了 10% Xxxx Labs样本数据 库中的总数量现在已超过7.8亿。本季度的新勒索软件数量增长了 36%,主要源自 Android锁屏恶意软件的大面积爆发。可以轻松获得的漏洞利用工具包和黑市Web源 加快了新恶意软件的繁殖速度。恶意软件总数量900,000,000750,000,000600,000,000450,000,000300,000,000150,000,0000600iiillllNI2015 年2016 年2017 年2016-2017年前十大攻击向（公开的件&） M* W.23 H SS trnnaBDOoS Mas奈0B3点H豊=: McAfee Ubs. 2017 *. N«« McAfwUtK.2O17«,随着xxxx各项业务的快速发展,信息系统的建设也处于加速发展中。网络规模、 数据流量在未来3-5年内将有较大的增长。这对网络系统的安全防护在监控部署规模、 数据处理能力、入侵检测防御能力等各个方面提出了更高的要求。为满足业务信息系统 的发展需要,有必要对公司现有!DS/IPS系统进行全面的升级改造。2,符合有关监管要求公安部、国家保密局等四部委于2007年联合发布的信息安全等级保护管理办法 要求信息安全等级2级及以上级别的系统应在网络边界处部署IDS / IPS设备监视攻击 行为并在发生严重入侵事件时报警。人民银行与银监会的相关规定均明确要求网络区域,特别是重要业务网段应部署入 侵检测系统/入侵防护系统,对网络异常流量进行监控，监视并记录攻击行为，保证在 第一时间检测到攻击的发生,以及是对攻击行为采取阻断措施。2 0 0 9年开始，银监 会同时要求各股份制商业银行每季度通过信息科技非现场监管报表上报IDS / IPS部署 信息情况，并作为评价个商业银行信息科技风险管理水平的依据要素之一。Mebroot Drive-byMebroot C&CDownload ServerServer2.2需求分析随着XXX信息系统的不断发展壮大,网络的规模和节点数量也在不断增加。在网络的发 展过程中,XXX一直非常重视信息安全系统的规划和建设。目前在实现了安全区域的初步划 分，并且采用网络防火墙进行了隔离,防止跨越安全边界的非授权访问行为。但随着外部 环境的变化和网络安全的威胁不断增长,已无法满足现在的安全要求。已有的IDS设备 又存在两个严重的问题:第一、部署体系和区域不够完整,防护效果有限未能满足监管 要求:第二、原有IDS设备维保中断，无法保证后续使用,防护功能失效,存在较大隐 患。2. 2. 1面临的安全威胁问题随着互联网的发展和网络服务的拓展,越来越多的新型安全威胁在危害着我们的网络， 与此同时,客户已经建设的安全防护系统也存在着一些漏洞和不足,下边我们就论述一下客 户面临的安全威胁及存在的问题。如下图所示，目前的恶意攻击行为主要以窃取机密数据，并获取金钱为目的。入侵的手 段千奇百怪，但是都是以隐蔽和低调的方式进行。恶意软件潜伏在用户主机中，不断渗透入 侵内部用户的其他主机，从桌面系统和服务器上窃取机密信息。Torpid C&CServerVictim ClientA Torpid DLLs Injected I into IE, Frefox,oConfiguration FiteContaining BankDomans New C&CServers 300 Domainsfor Target FIs©Phishmg HTML j _ Injection Server典型的攻击过程通常是通过诱惑用户访问某些恶意网站或资源，诱惑安装恶意软件,从 而成功入侵某些用户的桌面电脑，进而通过各种途径入侵其他同事的电脑,甚至管理员的电脑,进而可能入侵公司的服务器系统。并且不断更新下载其他恶意软件,进行更深度的入侵。IPS作为网络的监控和防护系统,可以在任何上述阶段检测到恶意行为,管理员能够及 时发现内部的恶意主机,并清除。防止恶意程序的扩散和信息偷窃行为发生。I,面临的外部安全威胁如下图所示,当前的网络安全面临多种安全威胁。1）黑客的攻击入侵,造成信息泄露，或者破坏网络、应用和服务器系统，可能造成网 络、应用和服务器系统瘫痪;2）蠕虫病毒通过网络、Email和网络文件共享等多种方式传播，植入0A网络计算机后 为黑客攻击留下后门，同时造成网络拥塞，甚至中断:3）蠕虫、恶意程序利用操作系统、应用、Web服务器和邮件系统的弱点进行传播，植 入计算机系统后为黑客攻击留下后门,同样,在传播过程中，产生大量的TCP、UDP 或ICMP垃圾信息,造成网络拥塞，如Sql Slammer、Ni集成商a、“冲击波”和Nachi 蠕虫病毒:4）面临DOS/DDOS攻击,造成网络服务中断;5） P2P、IM等特殊应用缺乏管理和阻断的手段;6）越来越多的新型应用,如VoIP、SSL加密数据、IPv6等没有相应的防护手段;7）来自Internet各类安全威胁,没有有效的手段进行评估,并通过高效的措施将其 阻断。II.面临的内部安全威胁包括:据第三方组织的评测，40%的安全威胁都源自于内部，常见的有:1）系统管理员离职前或者离职后恶意的破坏,如恶意的数据删除，数据修改:2）恶意的窃取更高权限口令，常见的是每天进行口令猜测，同时又不触发报警;3）恶意的扫描,用来发现开放的端口、网络和系统中的漏洞;4）恶意的针对漏洞的攻击。5）客户目前的内部网络也存在如上的安全威胁。2. 2. 2生产网外联区外联网络接入区出口用于连接其他与XXXX有业务往来的外部网络。外联接入区存 在如下潜在的安全风险和安全威胁:通过外联网络接入区接入的外部网络相对比较独立,自成一体,计算机的安全管理 程度参差不齐,些客户机由于管理比较弱,比较容易遭受零日攻击,很容易变成傀儡 主机,成为病毒，蠕虫和恶意程序传播的攻击跳板。根据Xxxx的统计，超过85%的垃圾 邮件和将近100%的蠕虫及恶意程序都是由这类僵尸计算机传播的。一旦XXXX内部网络 主机遭到恶意程序感染，可能带来更多的其他问题,比如恶意程序可能造成计算终端的 性能下降甚至中断,感染了恶意程序的主机又会成为新的傀儡主机,进步攻击XXXX 内部其它网段的业务主机。另外,此类由外部网络内傀儡主机发起的攻击以及病毒蠕虫 及恶意程序的传播会造成大量的网络异常流量，占用宝贵的带宽，不但影响正常的业务 交互性能,同时造成企业带宽投资的浪费。而IT管理团队需要花费大量的时间和精力 处理由此引发的各类安全问题。综上所述,目前外联网络接入区面临的安全隐患如下;1 .缺乏对来自外联网络的傀儡主机发起的网络恶意攻击行为（包括病毒，蠕虫,恶意程序传播等）的第一时间的监控,告警能力。2 .由于问题主机不在生产网络内,缺乏有效响应手段。通过防火墙只能实现访问控制保护功能，但是不能检测基于特定应用协议和安全漏 洞的恶意攻击行为和恶意程序（比如Conficker蠕虫就是利用了微软的远程服务的漏洞 而发起的零日攻击）;由于防火墙无法封闭此类攻击的高段应用端口,极易为木马后 门程序所利用。3 .2.3移动办公区XXXX移动办公区人员较为复杂，除内部人员外，还包括外部运维人员、访客等,一 旦不安全的计算机接入内部网络，可能带来不安全因素。该区域存在如下潜在的安全风 险和安全威胁:1 .不安全的计算机接入内部网络,带来不安全因素;比如外部人员利用私接的个 人笔记本电脑通过内部网络发起的目标主机嗅探,口令猜测,目标端口攻击, 造成信息泄露。2 .外部人员私接的个人笔记本电脑没有安装必要的系统安全补丁或者没有安装 防病毒软件或将私接笔记本电脑带到外面，感染病毒后又接回开发中心网络导 致蠕虫病毒通过内部网络传播，造成网络拥塞，甚至中断;3 .蠕虫及恶意程序利用操作系统、应用系统的弱点进行传播，植入计算机系统后 为黑客攻击留下后门,被恶意程序控制的计算终端可能存放有各类企业核心的 信息及文档,一旦泄露,后果不堪设想；4 .2.4互联网接入区XXXX互联网接入区用于与Internet连接进行数据交换，而Internet则是各种最新 病毒、零日攻击、APT威胁的传播源头。虽然,XXXX会在接入区出口部署防火墙，但防 火墙只能基于规则,控制进出的端口、协议，无法分析分析网络数据中是否存在恶意威 胁。另外,内部用户终端上虽然会部署防病毒系统,但随着恶意威胁的数量呈几何级增 长，零日攻击的传播快速，APT威胁的难以发现，传统防病毒的黑名单技术已难以应对 最新的威胁。而且终端用户安全意识薄弱,客户机比较容易遭受基于零日攻击的病毒木 马的侵袭,上网不注意带来的间谍木马软件等问题非常普遍。一旦变成傀儡主机,就可 能成为潜在的安全威胁节点。2. 3结论根据以上的安全威胁分析,相关的安全需求可以归纳为以下几方面:(1)加强网络边界的安全防护手段,准确的检测入侵行为,并能够实时阻断攻击;(2)能够检测出已知或未知的各种攻击形式，并实时阻断黑客攻击;(3)能够探测出已知和未知的蠕虫、病毒及恶意代码,准确定位传染源,并能够阻 断蠕虫通过网络进行传播;(4)能够检测异常网络流量,有效阻断DoS/DDoS攻击;(5)能够检测针对网络的加密攻击;(6)能够对整个客户网络进行实时、准确、全面的入侵防护;(7)通过整套IDS/IPS系统体系，及时识别网络中的安全弱点，并且获得具体的安 全弱点的修补建议;(8)发现新的弱点和新的威胁时，能够有手段在!nternet入口及网络边界阻止这 些威胁,实时保护内部网络的安全;(9)需要依照全行的安全策略和管理策略,部署先进高效的网络入侵检测防护产品, 并从安全风险管理的角度出发,真正有的放矢地解决网络安全问题;(10)在规划目标上建立一个信息安全管理体系，通过一定的基本原则和管理流程，整合好目前己经部署和使用的安全产品，真正做到对安全风险的有效管理。根据合规和安全上的需求，XXXX现今需要对现有IDS/IPS系统进行升级改造,建立 起统一的区域化部署、集中式管理的IDS/IPS系统架构，具备以!0千兆以太网为骨干 的网络流量处理能力，安全防护覆盖数据中心新、旧机房，满足总行未来3-5年的网络 安全防护需求。最终实现减低网络安全风险、提升数据中心可用性，满足持续不断的监 管合规要求。3解决方案针对XXXX的安全需求,Xxxx建议分别在XX数据中心、XX数据中心、研发中心、 各级部署Xxxx的NSP系统,对网络进行监控和防护,并通过集中管理平台进行策略管 理和安全监控。3. 1方案设计原则本次方案兼顾整体的安全性能,和整体安全体系建设、设备、系统的可靠性和可用 性。方案设计依据以下原则:(1)方案设计始终考虑业务安全需求和投资的平衡;(2)方案设施后不影响现有网络的安全性,不会降低现有系统的可靠性和可用 性，不影响现有的系统和网络性能;(3)入侵检测和防护设备及各类安全设备探测准确,最大限度减少错报和误报;(4)方案实施后,不影响现有的网络和计算机性能；(5)在不增加现有工作量的基础上,能够提升安全管理工作的效率。3.2 Xxxx NSP整体解决方案3. 2. 1 XXX部署方案3.2. 1.1 xx数据中心部署设备方案XXXX数据中心包括生产网外联区、移动办公区、互联网接入区,我们建议分别部署 2台NS-7X00系统对3个区域的网络进行监控和保护。1台NS-7X00部署在生产网外联区,对进出流量进行监控。此处补充网络拓扑图通过在生产外联区部署网络入侵检测系统,可以为xxxx带来如下好处: 保护高风险应用,抵御来自内部终端的攻击，利用NSP系统监控和防御高风险 攻击以及注入攻击行为。 检测所有从服务器向外的恶意行为，提前发现服务器的异常通讯（恶意通讯）。 密切关注生产区内部安全情况，检测数据中心网络通讯,及时发现恶意流量。 利用IPS/IDS多点监控,可以及时发现数据中心的异常恶意流量，及时控制和 清除肉机,避免服务器被大规模入侵，避免从内部引发大规模的DoS攻击（如 ARP攻击）。1台NS-7X00部署在移动办公区和互联网接入区此处补充网络拓扑图通过在办公区和互联网出口部署网络入侵检测系统,可以为XXXX带来如下好处: 办公区的终端比较容易遭受基于零日攻击的病毒木马的侵袭,比如办公终端上网 不注意带来的间谍软件、木马软件、恶意插件等等问题非常普遍。一旦变成傀儡 主机,就可能成为潜在的安全威胁节点。通过部署NSP系统可以及时发现异常行 为办公的终端,例如恶意扫描网络;攻击本地终端和服务器行为;频繁猜测 AD密码;消耗广域网带宽;快速定位中病毒终端;发现僵尸网络流量。及时发 现和处理有异常行为。 互联网是高风险区域,通过部署NSP系统，可以保护内部的重要应用:抵御来 自互联网的攻击；监控并防御高风险攻击以及注入攻击行为；检测所有从服务 器向外的恶意行为，提前发现服务器的异常通讯（恶意通讯）。对于研发中心,我们建议部署1台NS-5X00系统,通过SPAN方式用来监控来自内 部网络的网络入侵和恶意代码的传播。此处补充网络拓扑图研发中心人员较为复杂,除内部开发人员外,也包括外部运维人员,一旦不安全的 计算机接入内部网络,可能带来不安全因素。通过在研发区部署NSP系统可以为XXXX 带来如下好处: 密切关注研发区内部安全情况,检测网络通讯，及时发现恶意流量。利用 IPS/IDS多点监控,可以及时发现研发的异常恶意流量，及时控制和清除肉机， 避免服务器被大规模入侵,避免从内部引发大规模的DoS攻击（如ARP攻击）。 研发区的终端比较混杂，可能受到零日攻击的病毒木马的侵袭,一旦变成傀儡主 机,就可能成为潜在的安全威胁节点。通过部署NSP系统可以及时发现异常行为 的终端,例如恶意扫描网络;攻击本地终端和服务器行为;频繁猜测AD密码; 消耗广域网带宽;快速定位中病毒终端;发现僵尸网络流量。及时发现和处理 有异常行为。3.2. 1.3分支机构部署设备方案对于各级分支机构,我们建议通过一台NS-5X00设备监控办公区、互联网接入区和 生产外联区。此处补充网络拓扑图 保护生产区的重要应用,抵御来自内部终端的攻击,监控和防御高风险攻击以 及注入攻击行为;检测生产区服务器的向外的恶意行为,提前发现服务器的异 常通讯（恶意通讯）;密切关注生产区内部安全情况，检测数据中心网络通讯, 及时发现恶意流量,及时发现数据中心的异常恶意流量,及时控制和清除肉机, 避免服务器被大规模入侵,避免从内部引发大规模的DoS攻击（如ARP攻击）。 办公区的终端比较容易遭受基于零日攻击的病毒木马的侵袭，比如办公终端上 网不注意带来的间谍软件、木马软件、恶意插件等等问题非常普遍。一旦变成 傀儡主机,就可能成为潜在的安全威胁节点。通过部署NSP系统可以及时发现 异常行为办公的终端,例如恶意扫描网络;攻击本地终端和服务器行为;频 繁猜测AD密码;消耗广域网带宽:快速定位中病毒终端;发现僵尸网络流量。 及时发现和处理有异常行为。 互联网是高风险区域,通过部署NSP系统，可以保护内部的重要应用:抵御来 自互联网的攻击;监控并防御高风险攻击以及注入攻击行为;检测所有从服务 器向外的恶意行为,提前发现服务器的异常通讯（恶意通讯）。3.2.2分布式部署和集中管理平台3.2.2. 1分布式部署架构XXXX总部和各分支机构部署NSP设备。目前总部和分支之间的网络带宽是X Mbps 左右,管理服务器如集中部署在总部,则NSP和NSM之间的网络通讯会影响生产网络带 宽。因此方案在总部部署2台NSM管理服务器（主备模式）,而各分支机构部署独立的 NSM管理服务器。设计的分布式部署架构有如下优势:1、系统维护管理的权限下发给了各级分支机构的管理员,管理员可以第一时间 响应处理网络中出现的安全威胁，；2、网络监控Sensor与管理服务器处于同一网路中，不会对专线生产网有任何带宽 方面的影响。此处补充网络拓扑图3. 2. 2. 2总部管理服务平台的高可用设计总部数据中心（XX或XX）,我们建议部署2台NSM管理服务器（主备方式）以实现 高可用性和高可靠性。（l）NSP安全管理系统（NSM）通过Active/Standby主备管理服务器技术提供了 连续的，高可用性的管理平台;（2）自动失效故障切换和故障恢复技术允许在关键配置数据出现失效事件时可获 得灾难恢复;甚至在发生灾难或系统失效时，也能确保关键网络保护的连续性支持共同灾难恢复策略,允许HA部署在备选数据中心Sensors in the deployment3. 2. 2. 3集中管理平台此外,根据XXXX在该项目的管理规划目标,确保总行的网络管理员能够通过个 集中监控的管理平台,有效监控各级分支机构的网络安全现状,全方位掌控和管理全行 安全威胁、,方案将在XX数据中心部署1台专用的NSM统管理平台即中央管控平台 (Central Management)服务器，用以收集各级分支机构IDS设备的网络安全日志、做 相应的日志分析和关联分析,以及全行的安全策略的部署和调整。此处补充网络拓扑图3. 2. 2. 4攻击签名库更新升级方案Xxxx的NSP针对网络攻击检测有多种技术,其中签名库需要定期升级,为了保障签 名库升级后系统的稳定运行,我们建议采用试点升级然后全行推广的方式,具体步骤如 下: XX数据中心管理运维人员确认最新签名库的版本，与Xxxx售后人员确认并获 取升级建议。 XX数据中心管理运维人员手工下载最新签名库,并在试点设备上升级。建议选 择XX数据中心监控办公网的NS-7X00和研发中心的NS-5X00,如果二级分支机 构部署有NS-5X00,则选择一家二级分支机构。 待升级签名库试运行正常后，在全行推广签名库的升级。此处补充网络拓扑图4 Xxxx方案的设备型号及管理平台4.1 推荐型号在本方案中,部署在XX数据中心、XX数据中心、成都数据中心的设备型号是XxxxNSP M-7X00i部署在研发中心、各分支机构的设备型号是NS-XXXX。设备型号及配置的数量统计表位置说明模块数量XX数据中心设备型号NS-XXXXX交流冗余电源MFE Net Sec Redundant PwrSupplyX千兆电模块1000BTX miniGB Intrfc Conv(SFP) CopperX万兆光口模块Optional XFP Gbic (850nm)Optional XFP Gbic (1310nm)Optional Long-range XFP Gbic (1550nm)XXX数据中心管理服务器NSMX统一管理平台Central Manager1设备型号NS-7X00X交流冗余电源MFE Net Sec Redundant PwrSupplyX千兆电模块1000BTX miniGB Intrfc Conv(SFP) CopperX万兆光口模块Optional XFP Gbic (850nm)Optional XFP Gbic (1310nm)Optional Long-range XFP Gbic (1550nm)X研发中心管理服务器NSM1设备型号NS-5x00X交流冗余电源MFE Net Sec Redundant PwrSupplyX分支机构管理服务器NSMX设备型号NS-5x00X交流冗余电源MFE Net Sec Redundant PwrSupplyX4. 2方案中Xxxx NSP设备型号介绍Network Security Platform SpecificationsSensor Hardware ComponentsNS73S0NS72S0NS7150SB总体性能SGbps3 Gbps13Gbps大S«1(UDP 1512 字可达 15GbptBliSIOGbpi 可注 5Gb<»大丼行iMCt1000000050000003000000陟連»22S000200000135000HTTP135000128000115000ssl a 型吞吐，(于 ion ssl w5 Gbps3 Gbps1.5 Gbps大SSL漬计故500000400000250000.人的 SSL BRB102410241024望团8少100psH lOOpS行 IQOpSdin ips Kttnna100010001000大DoS髭文件»500050005000ACLI1HB500030003000或千兆值以大 线口（内0胃第）8aBX 10G叩 1 3E0P”伊“动 !UB *KC#9M)2221a的40 Gb以太网222RM t/OH>»(AHBN)410 G«E/1 G«f SR XH 50 «* (，笑 flt 齐).4 0 10 GtgEn G«E SR XH 62 5 。*(发 f!弁 tt).4 I0G«£/1 GtgESXfH笑H开.8 (SFP»/SFP) 10 GR1 GigE.6(划45) 1 GigE (，内关H开放)4(电45) 10 Gig£/1 GgE/18 Mbps(1B内关K开放)10 Gb«Qi818考达18可iS140 Gb IXAR »。 (RMS)1 (1 GbpVIOO MbpVIO Mbps)1(1 Gbps/100 MbpV10 Mbps)1(1 Gbps/100 Mbps/10 Mbps) (RM5)1(1 GbpVIOO Mbpt/10 Mbps)1 (1 Gbps/100 MbpVIO Mbps)1(1 Gbps/100 Mbps/10 Mbps), (RMS)1(1 Gbpt/100 Mbpi/10 Mbps)1(1 GbpWlOO Mbpt/10 Mbpl)1(1 Gbpi/100 Mbps/10 Mbps)WS外双尺寸1RU机基安式17.5英寸UDx 1 69襄寸（1RU机紫瓷式17 5英寸0D>i 1.69貝寸（W1RU机安!式175黄寸0D» 1.69寸5）x2&9英寸（却x2B9英寸GI）*2&9豊寸国 31 a31 a29a儡S 160 GBS 160 GBt 160G8大功央35OW35OW2S0W可證可逸切逸冗余电!再逸可逸用套电100-240 VAC (5CV6OH/)(TC C 35*C(XfW-«rC 1 70*C(»If»)Tf»W：10«l90« T0：S1kM95«BiasOMIOOOOftR户a含宣金队UI 60950-1 (ABD ；CSA 22.1.No 60950-1 (10,大)；EN 60950-1 (BID ；CNS 14336*1 停Blt!闻:KN32 KN35 (KB) ；GB 4943-1 ID G8 17625 1(<MD IEC 60950-1 («) a所!！闲ABlt的 CB Scheme；lC 60825 «l 21CFR1040EMI UiiFCC PE 15 Subpan B ClMS A(|) ;CAN OS-3 Ctess A(fl大)；EN 55022. EN 55032. EN 55024. EN 61000-1-2.EN 61000-1-3 (ITjMICBK) VCC1 CiaiS A(B«) ；AS/N2S CISPR 32(S大X歪 WC!空)；CNS 13438(中面;G8 9254*2008(中)Rons台法住dG用的寤念第含城& （BM<中0L牛湾1D母）pLJi i'传件幽件NS52OONS5100住晶体性燈1 Gbps6O0MbpS大吐 （UDP 1512字节貌包）可达 3 Gbps育可达1 5 Gbps大井行靂报1350000750000妙连搔04500040000HTTP達接03000025000SSL 在呑吐，(MT 10* SSL Ml)1 Gbps6O0Mbps大SSL鹿计7500040000导入的SSL MB10241024AfiBiS少于loops少loops幅的（跳的e，1000100大DoS配文件敏5000300ACLWWB20002000«定千兆位以太阿級（内敏莞路）88国定 1GisE(SFP) 1212RS 10 G«E/1 G«E （SFP） «（卦部" 功式故1I脅毫件支拘）22用定的40 Gb以太同一网络!/0M网络I/O 10 8以太网一一40 Gb以太网 皮 345)1 (1G/100M)1 (1G/100M) 理 (RJ45)1 (1G/100M)1 (1G/100M)>«»«« (RJ45)1 (1G/100M)1 (1G/100M)理约观尺寸1RU机架安裳式1726英寸（寞）X 1.75英寸（«） X 24.625 英寸（X）1RU机渠安装式1725英寸（貢）X 1.75英寸（K） X 24625英寸（県）11229.22 9.存偉同80 GB固80 GB大功先225W225W貪流