2022年防火墙+IPS解决方案 .pdf

《2022年防火墙+IPS解决方案 .pdf》由会员分享，可在线阅读，更多相关《2022年防火墙+IPS解决方案 .pdf（17页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XX 客户网络出口安全建议书2007-4-7名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 17 页 - - - - - - - - - XX 客户 网络出口安全建议书杭州华三通信技术有限公司http:/www.huawei- 第 2 页XX 客户网络现状及建议1. XX 客户 网络出口现状XX 客户 网络拓扑如下图所示：xx 客户 网络平台已经搭建完毕，内部终端通过Internet 出口连接外部网络，实时获取外部信息，企业业务通过网络出口进行，因此保证网络出口的安全至关

2、重要，而现在网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性，决定了网络安全威胁的客观存在。目前安全设施的空缺导致网络缺乏足够的安全防护。2. XX 客户 网络出口安全建议建立公网出口完善的网络安全层次：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 17 页 - - - - - - - - - XX 客户 网络出口安全建议书杭州华三通信技术有限公司http:/www.huawei- 第 3 页图 INTERNET出口完善的安全层次根据国际标准化组织ISO

3、 的 OSI 模型，网络通讯过程被分为7 各层次，如果希望完善网络出口的安全层次，必须要对OSI 网络通信模型的每一层进行覆盖，目前部署的防火墙其软硬件设计为工作在OSI 模型的 2-4 层，为了完善网络出口安全层次，还需要部署入侵防御系统覆盖OSI 网络通信模型的4-7 层。防火墙防火墙的作用是防止外部网络上的非授权用户访问内部网络，多数防火墙都可以有选择地保护一个或多个周边网络（也称为非军管区，DMZ ）。防火墙对访问外部网络的限制最低，对访问周边网络非军管区的限制次之，对访问内部网络的限制最高，可提供三个不同层次的安全组网模式。只有有效充分的利用防火墙和安全政策才能保证受保护网络（信任网

4、络）和非保护网络（不可信任网络）之间所有流量的安全有效控制，这样防火墙在抵御外部网络对内部网络的攻击窃取的同时， 还可控制内部网络用户是否可以合法的访问外部Internet，以及怎样借助防火墙提供的特性实施安全政策等。防火墙保护网络的方法如下图所示，这种方法允许实施带外连接并安全接入互联网。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 17 页 - - - - - - - - - XX 客户 网络出口安全建议书杭州华三通信技术有限公司http:/www.huawei-

5、第 4 页内部网络外部网络WWW入侵检测服务器互联网互联网受保护服务器受保护客户机可信任区不可信任区周边网络DMZ区服务器MAIL 服务器漏洞扫描服务器接入服务器连接路由器对外连接正常无法直接向内连接防火墙Internet网络中的防火墙应用在这种体系结构中，防火墙将形成受保护网络和不受保护网络之间的边界。受保护网络和不受保护网络之间的所有流量都通过防火墙实现安全性。防火墙允许用户在受保护网络内确定服务器的位置，例如用于WWW接入、 SNMP、电子邮件（ SMTP）的服务器，然后控制外部的哪些用户可以访问这些服务器，这些对服务器系统的访问可以由防火墙进行控制和监视。防火墙一方面用于阻止来自Int

6、ernet 的对受保护网络的未授权或未验证的访问，另一方面允许内部网络用户对Internet 在授权范围内的访问，如WWW 服务、 E-mail 服务。现代的许多防火墙还具有其他的一些特性，包括身份鉴别、信息安全处理等。IP 层的包过滤通常使用到IP 报文的源、目的地址、协议域及相应的源、目的端口、标志域等属性进行组合形成不同的包过滤规则，对 IP 报文进行过滤， 从而决定某类报文能否被转发（通过防火墙）或被丢弃。同样，在Novell IPX 和 Apple AppleTalk 协议中，也可相应地设置各自的包过滤规则。 H3C 系列防火墙提供了基于接口的包过滤，即可以在一个接口的进出两个方向上

7、对报文进行过滤。同时还提供了基于时间段的包过滤，可以规定过滤规则发生作用的时间范围，比如可设置每周一的8:00 至 20:00 允许 FTP 报文进入以完成必要的服务，而其余时间则禁止FTP连接。在时间段的设置上，可以采用绝对时间段和周期时间段以及连续时间段和离散时间段配合使用，在应用上具有极大的灵活性。并且这样的时间段可以方便地提供给其他的功能模块使用，如地址转换、IPSec等。地址转换，用来实现私有网络地址与公有网络地址之间的转换。地址转换的优点在于屏蔽了内部网络的实际地址；外部网络基本上不可能穿过地址代理来直接访问内部网络。名师资料总结 - - -精品资料欢迎下载 - - - - - -

8、 - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 17 页 - - - - - - - - - XX 客户 网络出口安全建议书杭州华三通信技术有限公司http:/www.huawei- 第 5 页H3C 系列防火墙实现的地址转换能够将网内用户发出的报文的源地址全部映射成一个接口的地址，与按需拨号相结合，使局域网内用户通过一台路由器即可轻松上网。H3C 系列防火墙支持带访问控制列表的地址转换。通过配置，用户可以指定能够通过地址转换的主机，以有效地控制内部网络对外部网络的访问。结合地址池， 还可以支持多对多的地址转换，更有效地利用用户的合法

9、 IP 地址资源。H3C 系列防火墙提供基于报文内容的访问控制，即智能防火墙，能够对应用层的一部分攻击加以检测和防范，包括对于SMTP 命令的检测、SYN flooding 、Packet Injection 的检测。智能防火墙不但对报文的网络层的信息进行检测，还对应用层的协议信息（如FTP）进行检测。当报文通过路由器时，智能防火墙将报文与指定的访问规则进行比较，如果规则允许，报文将接受检查，否则报文直接被丢弃。如果该报文是用于打开一个新的控制或数据连接，智能防火墙将动态的修改或创建规则，同时更新状态表以保存不能由访问列表规则保存的重要的状态信息，从而允许与新创建的连接相关的报文。对于回来的报

10、文只有是属于一个已经存在的有效的连接，才会被允许通过防火墙。在处理回来的报文时，状态表也需要更新。当一个连接被关闭或超时后，该连接对应的状态表将被删除。动态生成的规则不会被存储到FLASH 或 NVRAM中，确保未经授权的报文不能随便透过防火墙。智能防火墙还提供了增强的跟踪审计功能。可以对所有的连接进行记录，包括：记录连接的时间、源地址、目的地址、使用的端口和传输的字节数。入侵防御系统（ IPS）虽然， 网络中已部署了防火墙，但是， 在很多企业网络的运行维护中，其 IT 部门仍然发现网络的带宽利用率居高不下、而应用系统的响应速度越来越慢，只好提升带宽并升级服务器，可过不了多久问题再次出现。而实

11、际上，业务增长速度并没有这样快，业务流量占用带宽不会达到这样的数量，这是目前各大公司网络都可能存在的问题。并不是当初网络设计不周，而是自2003年以来，蠕虫、入侵技术日益滋长并演变到应用层面（L7）的结果，而这些有害代码总是伪装成客户正常业务进行传播，目前部署的防火墙其软硬件设计当初仅按照其工作在L2-L4 时的情况考虑，不具有对数据流进行综合、深度监测的能力，自然就无法有效识别伪装成正常业务的非法流量，结果蠕虫、攻击、间谍软件等非法流量轻而易举地通过防火墙开放的端口进出网络，如下图所示：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - -

12、- - 名师精心整理 - - - - - - - 第 5 页，共 17 页 - - - - - - - - - XX 客户 网络出口安全建议书杭州华三通信技术有限公司http:/www.huawei- 第 6 页这就是为何用户在部署了防火墙后，仍然遭受入侵以及蠕虫、病毒、拒绝服务攻击的困扰。事实上， 员工的 PC 都既需要访问Internet 又必须访问公司的业务系统，所以存在被病毒感染和黑客控制的可能，蠕虫可以穿透防火墙并迅速传播，导致主机瘫痪，吞噬宝贵网络带宽，对公司业务系统的危害极大。因此需要专门针对网络4-7 层进行分析并实时防御的入侵防御系统，填补防火墙安全层次的不足，完善网络传输过

13、程中的安全层次，阻挡黑客攻击、蠕虫病毒的传播、保护内部主机的漏洞不受到影响，提高企业生产效率。H3C 公司的IPS 系列主动入侵防御系统（IPS）是业界的领先产品和解决方案，具有如下特点：高性能IPS 采用业界独有威胁抑制引擎（TSE） ， 其集成了网络处理器（NP） 、专用集成电路 （ASIC ）、现场可编程逻辑阵列（FPGA）的强大功能和处理能力，是能够实现所有入侵防御功能的线速处理引擎。其处理能力高达5G 并能够保证处理延迟小于125 微妙，完全满足IP 话音，关键交易等时延敏感应用的要求。即使有上万条过滤器同时工作，系统的性能也不会降低。高可靠性由于 IPS 部署在数据传输的路径中，所

14、以其必须具有极高的可靠性，否则成为业务的阻断点（自我拒绝服务攻击）。 IPS 提供真正的HA 功能，两台以上设备完全同步并可以同时工作（Active - Active ）模式或热备模式（Active - Standby ）。即使发生最坏的情况，系统自动恢复时，IPS 仍可以工作在交换模式，不会成为业务的阻断点。全面的防御功能IPS 支持应用保护、网络架构保护和性能保护，彻底防护各种网络攻击行为：病毒、间谍软件/木马、蠕虫、DOS 和 DDOS、以及各种入侵行为。IPS 运用三个独立且互补的入侵防御机制，即弱点过滤器、流量异常过滤器和攻击特征过滤器，这些过滤器功能强大，如弱点过滤器能重组第七层信

15、息以完整检测应用层流量，还可以指定检测条件为应用程序流程（侦测缓冲区溢出攻击对应用程序的异常调用）和通信协议规程（IETF RFC 异常攻击侦测）。此外，这些过滤器全部由ASIC 和 FPGA 实现，从而保证了系统的高吞吐量和低时延。专业的安全团队服务名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 17 页 - - - - - - - - - XX 客户 网络出口安全建议书杭州华三通信技术有限公司http:/www.huawei- 第 7 页提供数字疫苗（Digital

16、Vaccine ）更新服务，H3C 安全专家举世公认，全球超过25 万安全管理员订阅了由Tipping Point 安全专家主编的SANrisk 的安全漏洞分析报告，同时这些研究成果已用于数字疫苗的开发和生成。数字疫苗被持续地自动发布到每台IPS 上并完成更新。针对漏洞的数字疫苗起到了虚拟软件补丁的作用，极大地方便了客户对安全漏洞的攻击的防护，而且为用户在真正的服务器上打补丁并测试其对已有补丁和应用的影响争取了时间并为服务器下线维护提供了灵活性，保证客户业务的不间断运营。物超所值除完备的入侵防御功能外，IPS 还支持对P2P、IM （如 MSN ）、 VOIP （SIP, H.323, MGC

17、P ）应用的流量管理功能，可以按照客户的要求完全阻断或限制P2P、IM 的带宽；解析VOIP 协议，保证媒体流的所需的带宽，同时保证IP 电话系统的高安全性。总之， 为用户提供了丰富的增值应用保护功能。高扩展性安全管理系统安全管理系统（SMS）能够管理和控制多达1000 台 IPS. SMS 监视、控制、诊断每个IPS，支持丰富的日志、分析报告功能。能够产生趋势分析报告、支持事件交叉分析、生成实时流量统计表、过滤的攻击种类、网络主机和服务以及IPS 网络位置和健康状态。获得权威认证金奖NSS 是公正的业界权威网络和安全评测机构，在2004 年一月发布的IPS 评测报告中， H3C的 IPS 从

18、众多参加测试的厂商(CISCO, ISS, Juniper/Netscreen, McAfee, TopLayer)中脱颖而出， 荣获NSS 颁发的唯一金奖。 请参考 http:/www.H3C.com/resources_nss.html 和 http:/www.nss.co.uk/ips 。3. 网络安全部署模式以及设备选型综上所述根据河北省检察院办公网现有网络情况，建议未来网络安全部署模式如下：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 17 页 - - - -

19、 - - - - - XX 客户 网络出口安全建议书杭州华三通信技术有限公司http:/www.huawei- 第 8 页1.根据 XX 客户 网络出口带宽 ？ M50M ， 我们建议选择H3C SECPATH F100-S 和 H3C IPS 50产品组合完善XX 客户 的网络出口安全层次：SECPATH F100-S 硬 件 及性 能 要求体系架构：专用硬件平台；非X86 架构端口数： 4 个 10/100M 以太网端口VPN要求VPN 技术 : 支持 L2TP VPN ，GRE VPN ，IPSec VPN，DVPN 等多种 VPN协议网 络 层防 范 功能状态报文过滤：支持 FTP、H

20、TTP 、SMTP 、RTSP、H323 协议簇的状态报文过滤，支持时间段安全策略设置。攻击防范包括多种DoS/DDoS攻击防范、 ARP 欺骗攻击的防范、提供ARP 主动反向查询、TCP 报文标志位不合法攻击防范、超大ICMP 报文攻击防范、地址/端口扫描的防范、ICMP 重定向或不可达报文控制功能、Tracert 报文控制功能、带路由记录选项IP 报文控制功能；静态和动态黑名单功能；MAC 和 IP 绑定功能；支持智能防范蠕虫病毒技术。应 用 层防 范 功应用层过滤：支持 HTTP URL 和内容过滤 , 必须支持 SMTP 邮件内容过滤、主题过滤、关键字过滤、附件名过滤, 必须支持Jav

21、a Blocking、名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 17 页 - - - - - - - - - XX 客户 网络出口安全建议书杭州华三通信技术有限公司http:/www.huawei- 第 9 页能ActiveX Blocking 、SQL 注入攻击防范。P2P 流量限流可以识别网络中的BT、Edonkey、Emule 等各种 P2P模式的应用，并且对这些应用采取限流的控制措施，同时支持以下三个功能：禁止 P2P 应用、限制任意指定用户的P2P 流量、

22、限制 P2P总带宽。H3C IPS 50 类交换机性能50 Mbps 攻击过滤2 个 10/100/1000自适应电口，可以保护1 个网段客 户 机 和 服 务 器 保护抵御针对应用和操作系统漏洞的攻击摒弃代价昂贵的应急补丁工作阻止多种模式攻击网络基础设施保护保护 DNS 和其他网络基础设施保护流量异常、DoS、SYN 泛洪、进程表泛洪等各种攻击访问控制列表流量正规化提高网络带宽和路由器性能正规化非法网络流量优化网络性能应用性能保护提高带宽和服务器性能阻止或者限速无关流量P2P流量或者IM 流量Digital Vaccine 实时接种抵御零天攻击最新疫苗的自动发布2.根据 XX 客户 网络出口

23、带宽 ？ M=1 个VPN要求VPN 技术 : 支持 L2TP VPN ，GRE VPN ，IPSec VPN，DVPN 等多种 VPN协议网 络 层防 范 功能状态报文过滤：支持 FTP、HTTP 、SMTP 、RTSP、H323 协议簇的状态报文过滤，支持时间段安全策略设置。攻击防范包括多种DoS/DDoS攻击防范、 ARP 欺骗攻击的防范、提供ARP 主动反向查询、TCP 报文标志位不合法攻击防范、超大ICMP 报文攻击防范、地址/端口扫描的防范、ICMP 重定向或不可达报文控制功能、Tracert 报文控制功能、带路由记录选项IP 报文控制功能；静态和动态黑名单功能；MAC 和 IP

24、绑定功能；支持智能防范蠕虫病毒技术。应 用 层防 范 功能应用层过滤：支持 HTTP URL 和内容过滤 , 必须支持 SMTP 邮件内容过滤、主题过滤、关键字过滤、附件名过滤, 必须支持Java Blocking、ActiveX Blocking 、SQL 注入攻击防范。P2P 流量限流可以识别网络中的BT、Edonkey、Emule 等各种 P2P模式的应用，并且对这些应用采取限流的控制措施，同时支持以下三个功能：禁止 P2P 应用、限制任意指定用户的P2P 流量、限制 P2P总带宽。病毒防护功能：支持防病毒插卡，可以对HTTP 、FTP、POP3、SMTP 进行病毒查杀。H3C IPS

25、50 类交换机性能50 Mbps 攻击过滤2 个 10/100/1000自适应电口，可以保护1 个网段客 户 机 和 服 务 器 保护抵御针对应用和操作系统漏洞的攻击摒弃代价昂贵的应急补丁工作阻止多种模式攻击网络基础设施保护保护 DNS 和其他网络基础设施保护流量异常、DoS、SYN 泛洪、进程表泛洪等各种攻击访问控制列表流量正规化提高网络带宽和路由器性能正规化非法网络流量优化网络性能名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 17 页 - - - - - - -

26、- - XX 客户 网络出口安全建议书杭州华三通信技术有限公司http:/www.huawei- 第 11 页应用性能保护提高带宽和服务器性能阻止或者限速无关流量P2P流量或者IM 流量Digital Vaccine 实时接种抵御零天攻击最新疫苗的自动发布3.根据 XX 客户 网络出口带宽 ？ M=1 个VPN要求VPN 技术 : 支持 L2TP VPN ，GRE VPN ，IPSec VPN，DVPN 等多种 VPN协议网 络 层防 范 功能状态报文过滤：支持 FTP、HTTP 、SMTP 、RTSP、H323 协议簇的状态报文过滤，支持时间段安全策略设置。攻击防范包括多种DoS/DDoS攻

27、击防范、 ARP 欺骗攻击的防范、提供ARP 主动反向查询、TCP 报文标志位不合法攻击防范、超大ICMP 报文攻击防范、地址/端口扫描的防范、ICMP 重定向或不可达报文控制功能、Tracert 报文控制功能、带路由记录选项IP 报文控制功能；静态和动态黑名单功能；MAC 和 IP 绑定功能；支持智能防范蠕虫病毒技术。应 用 层防 范 功能应用层过滤：支持 HTTP URL 和内容过滤 , 必须支持 SMTP 邮件内容过滤、主题过滤、关键字过滤、附件名过滤, 必须支持Java Blocking、ActiveX Blocking 、SQL 注入攻击防范。P2P 流量限流可以识别网络中的BT、E

28、donkey、Emule 等各种 P2P模式的应用，并且对这些应用采取限流的控制措施，同时支持以下三个功能：禁止 P2P 应用、限制任意指定用户的P2P 流量、限制 P2P总带宽。H3C IPS 50 类交换机性能50 Mbps 攻击过滤2 个 10/100/1000自适应电口，可以保护1 个网段客 户 机 和 服 务 器 保抵御针对应用和操作系统漏洞的攻击名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 17 页 - - - - - - - - - XX 客户 网络出口

29、安全建议书杭州华三通信技术有限公司http:/www.huawei- 第 12 页护摒弃代价昂贵的应急补丁工作阻止多种模式攻击网络基础设施保护保护 DNS 和其他网络基础设施保护流量异常、DoS、SYN 泛洪、进程表泛洪等各种攻击访问控制列表流量正规化提高网络带宽和路由器性能正规化非法网络流量优化网络性能应用性能保护提高带宽和服务器性能阻止或者限速无关流量P2P流量或者IM 流量Digital Vaccine 实时接种抵御零天攻击最新疫苗的自动发布4.根据 XX 客户 网络出口带宽 ？ M=1 个VPN要求VPN 技术 : 支持 L2TP VPN ，GRE VPN ，IPSec VPN，DVP

30、N 等多种 VPN协议网 络 层防 范 功能状态报文过滤：支持 FTP、HTTP 、SMTP 、RTSP、H323 协议簇的状态报文过滤，支持时间段安全策略设置。攻击防范包括多种DoS/DDoS攻击防范、 ARP 欺骗攻击的防范、提供ARP 主动反向查询、TCP 报文标志位不合法攻击防范、超大ICMP 报文攻击防范、地址/端口扫描的防范、ICMP 重定向或不可达报文控制功能、Tracert 报文控制功能、带路由记录选项IP 报文控制功能；静态和动态黑名单功能；MAC 和 IP 绑定功能；支持智能防范蠕虫病毒技术。应 用 层防 范 功能应用层过滤：支持 HTTP URL 和内容过滤 , 必须支持

31、 SMTP 邮件内容过滤、主题过滤、关键字过滤、附件名过滤, 必须支持Java Blocking、ActiveX Blocking 、SQL 注入攻击防范。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 17 页 - - - - - - - - - XX 客户 网络出口安全建议书杭州华三通信技术有限公司http:/www.huawei- 第 13 页P2P 流量限流可以识别网络中的BT、Edonkey、Emule 等各种 P2P模式的应用，并且对这些应用采取限流的控制措

32、施，同时支持以下三个功能：禁止 P2P 应用、限制任意指定用户的P2P 流量、限制 P2P总带宽。病毒防护功能：支持防病毒插卡，可以对HTTP 、FTP、POP3、SMTP 进行病毒查杀。H3C IPS 200E 类交换机性能200E Mbps 攻击过滤时延 150 微秒4 个自适应电口（业务口），可以保护2 个网段客 户 机 和 服 务 器 保护抵御针对应用和操作系统漏洞的攻击摒弃代价昂贵的应急补丁工作阻止多种模式攻击网络基础设施保护保护 DNS 和其他网络基础设施保护流量异常、DoS、SYN 泛洪、进程表泛洪等各种攻击访问控制列表流量正规化提高网络带宽和路由器性能正规化非法网络流量优化网络

33、性能应用性能保护提高带宽和服务器性能阻止或者限速无关流量P2P流量或者IM 流量Digital Vaccine 实时接种抵御零天攻击最新疫苗的自动发布5.根据 XX 客户 网络出口带宽 ？ M=1 个VPN要求VPN 技术 : 支持 L2TP VPN ，GRE VPN ，IPSec VPN，DVPN 等多种 VPN协议网 络 层防 范 功能状态报文过滤：支持 FTP、HTTP 、SMTP 、RTSP、H323 协议簇的状态报文过滤，支持时间段安全策略设置。攻击防范包括多种DoS/DDoS攻击防范、 ARP 欺骗攻击的防范、提供ARP 主动反向查询、TCP 报文标志位不合法攻击防范、超大ICMP

34、 报文攻击防范、地址/端口扫描的防范、ICMP 重定向或不可达报文控制功能、Tracert 报文控制功能、带路由记录选项IP 报文控制功能；静态和动态黑名单功能；MAC 和 IP 绑定功能；支持智能防范蠕虫病毒技术。应 用 层防 范 功能应用层过滤：支持 HTTP URL 和内容过滤 , 必须支持 SMTP 邮件内容过滤、主题过滤、关键字过滤、附件名过滤, 必须支持Java Blocking、ActiveX Blocking 、SQL 注入攻击防范。P2P 流量限流可以识别网络中的BT、Edonkey、Emule 等各种 P2P模式的应用，并且对这些应用采取限流的控制措施，同时支持以下三个功能

35、：禁止 P2P 应用、限制任意指定用户的P2P 流量、限制 P2P总带宽。H3C IPS 200E 类交换机性能200E Mbps 攻击过滤时延 150 微秒4 个自适应电口（业务口），可以保护2 个网段客 户 机 和 服 务 器 保护抵御针对应用和操作系统漏洞的攻击摒弃代价昂贵的应急补丁工作阻止多种模式攻击网络基础设施保护保护 DNS 和其他网络基础设施保护流量异常、DoS、SYN 泛洪、进程表泛洪等各种攻击访问控制列表流量正规化提高网络带宽和路由器性能正规化非法网络流量优化网络性能应用性能保护提高带宽和服务器性能阻止或者限速无关流量P2P流量或者IM 流量名师资料总结 - - -精品资料欢

36、迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 17 页 - - - - - - - - - XX 客户 网络出口安全建议书杭州华三通信技术有限公司http:/www.huawei- 第 15 页Digital Vaccine 实时接种抵御零天攻击最新疫苗的自动发布6.根据 XX 客户 网络出口带宽 ？ M=2 个VPN要求VPN 技术 : 支持 L2TP VPN ，GRE VPN ，IPSec VPN，DVPN 等多种 VPN协议网 络 层防 范 功能状态报文过滤：支持 FTP、HTTP 、SMTP

37、、RTSP、H323 协议簇的状态报文过滤，支持时间段安全策略设置。攻击防范包括多种DoS/DDoS攻击防范、 ARP 欺骗攻击的防范、提供ARP 主动反向查询、TCP 报文标志位不合法攻击防范、超大ICMP 报文攻击防范、地址/端口扫描的防范、ICMP 重定向或不可达报文控制功能、Tracert 报文控制功能、带路由记录选项IP 报文控制功能；静态和动态黑名单功能；MAC 和 IP 绑定功能；支持智能防范蠕虫病毒技术。应 用 层防 范 功能应用层过滤：支持 HTTP URL 和内容过滤 , 必须支持 SMTP 邮件内容过滤、主题过滤、关键字过滤、附件名过滤, 必须支持Java Blockin

38、g、ActiveX Blocking 、SQL 注入攻击防范。P2P 流量限流可以识别网络中的BT、Edonkey、Emule 等各种 P2P模式的应用，并且对这些应用采取限流的控制措施，同时支持以下三个功能：禁止 P2P 应用、限制任意指定用户的P2P 流量、限制 P2P总带宽。病毒防护功能：支持防病毒插卡，可以对HTTP 、FTP、POP3、SMTP 进行病毒查杀。H3C IPS 200E 类交换机性能200E Mbps 攻击过滤时延 150 微秒4 个自适应电口（业务口），可以保护2 个网段客 户 机 和 服 务 器 保护抵御针对应用和操作系统漏洞的攻击摒弃代价昂贵的应急补丁工作阻止多种

39、模式攻击名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 17 页 - - - - - - - - - XX 客户 网络出口安全建议书杭州华三通信技术有限公司http:/www.huawei- 第 16 页网络基础设施保护保护 DNS 和其他网络基础设施保护流量异常、DoS、SYN 泛洪、进程表泛洪等各种攻击访问控制列表流量正规化提高网络带宽和路由器性能正规化非法网络流量优化网络性能应用性能保护提高带宽和服务器性能阻止或者限速无关流量P2P流量或者IM 流量Digital

40、 Vaccine 实时接种抵御零天攻击最新疫苗的自动发布7.根据 XX 客户 网络出口带宽 ？ M=1 个VPN要求VPN 技术 : 支持 L2TP VPN ，GRE VPN ，IPSec VPN，DVPN 等多种 VPN协议网 络 层防 范 功能状态报文过滤：支持 FTP、HTTP 、SMTP 、RTSP、H323 协议簇的状态报文过滤，支持时间段安全策略设置。攻击防范包括多种DoS/DDoS攻击防范、 ARP 欺骗攻击的防范、提供ARP 主动反向查询、TCP 报文标志位不合法攻击防范、超大ICMP 报文攻击防范、地址/端口扫描的防范、ICMP 重定向或不可达报文控制功能、Tracert 报

41、文控制功能、带路由记录选项IP 报文控制功能；静态和动态黑名单功能；MAC 和 IP 绑定功能；支持智能防范蠕虫病毒技术。应 用 层防 范 功能应用层过滤：支持 HTTP URL 和内容过滤 , 必须支持 SMTP 邮件内容过滤、主题过滤、关键字过滤、附件名过滤, 必须支持Java Blocking、ActiveX Blocking 、SQL 注入攻击防范。P2P 流量限流可以识别网络中的BT、Edonkey、Emule 等各种 P2P模式的应用，并且对这些应用采取限流的控制措施，同时支持以下三个名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - -

42、- - - - 名师精心整理 - - - - - - - 第 16 页，共 17 页 - - - - - - - - - XX 客户 网络出口安全建议书杭州华三通信技术有限公司http:/www.huawei- 第 17 页功能：禁止 P2P 应用、限制任意指定用户的P2P 流量、限制 P2P总带宽。病毒防护功能：支持防病毒插卡，可以对HTTP 、FTP、POP3、SMTP 进行病毒查杀。H3C IPS 200E 类交换机性能200E Mbps 攻击过滤时延 150 微秒4 个自适应电口（业务口），可以保护2 个网段客 户 机 和 服 务 器 保护抵御针对应用和操作系统漏洞的攻击摒弃代价昂贵的应急补丁工作阻止多种模式攻击网络基础设施保护保护 DNS 和其他网络基础设施保护流量异常、DoS、SYN 泛洪、进程表泛洪等各种攻击访问控制列表流量正规化提高网络带宽和路由器性能正规化非法网络流量优化网络性能应用性能保护提高带宽和服务器性能阻止或者限速无关流量P2P流量或者IM 流量Digital Vaccine 实时接种抵御零天攻击最新疫苗的自动发布名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 17 页 - - - - - - - - -