2022网络升级技术方案_网络升级实施方案.docx

《2022网络升级技术方案_网络升级实施方案.docx》由会员分享，可在线阅读，更多相关《2022网络升级技术方案_网络升级实施方案.docx（93页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2022网络升级技术方案_网络升级实施方案 网络升级技术方案由我整理，希望给你工作、学习、生活带来便利，猜你可能喜爱“网络升级实施方案”。 网络升级技术方案 12.1.1、项目背景 *高校校内网经过多年的建设和升级，已基本覆盖全校范围。目前网络为三层结构，核心层采纳两台H3C的万兆交换机S10508，汇聚层采纳了12台H3C的S5800和7503E以万兆上联至核心，接入层设备主要为H3C接入交换机和锐捷接入交换机。目前采纳的是基于802.1x的认证计费方式。学生区由于采纳的是锐捷网络的接入设备，所以运用的是锐捷网络的认证计费系统SAM，教工宿舍采纳的是H3C的接入设备，运用的是H3C的认证计费

2、系统IMC。校内网现有网络出口总带宽1.6G，分别为教化网（300M)、中国电信（400M)、中国联通（400M)、中国移动（500M)。网络出口设备为一台山石网科的S6000平安网关，由于已购置数年，随着近年学校出口带宽的不断增加，其处理性能已不能满意需求。在核心交换机和出口设备之间部署了一台神码的千兆流控设备。核心交换机和网络出口之间采纳双千兆链路捆绑连接。 传统三层或者多层架构校内网只是满意了基本的网络互联互通的需求，但缺乏相应的限制和管理手段，用户之间相互影响，类似ARP攻击、DHCP仿冒、IP仿冒等对网络的攻击现象常常发生，校内网络对于用户的审计和限制功能较弱也导致了网络的无序运用，

3、业务承载方面缺乏针对性的限制，网络带宽被大量占用，重要应用得不到带宽保障，也难以实现敏捷的基于身份、时间、位置等的用户限制。 当前不同规模和不同区域的学校在建设高校校内网时普遍遇到的问题是： 1）如何适应和满意国家政策和法律法规对于校内网用户的行为要求； 2）如何满意各类业务、各类应用和不同需求的用户的各种承载的拓展； 3）如何降低校内网的管理难度和维护工作量。 要解决这些问题必需要从网络架构和业务部署模式上面进行变革，而扁平化的架构正好切中了解决这些问题的关键。从下图可以看出扁平化网络架构将原有各层的功能在逻辑上面进行了重新界定和划分，使得各层设备各尽其能，也可以看出构建和发展扁平化网络架构

4、是一个必定趋势。 其网络拓扑结构如下图： 12.1.2、改造目标 本次网络改造，学校需实现以下目标： l 升级网络出口设备，需满意将来出口带宽扩到5G以上的需求，并且实现网络出口的链路负载均衡和各种网络平安措施，入侵防卫（IPS)、网站防护(WAF)、上网行为管理、流控、SSL VPN远程接入访问校内资源等。 l 统一全校范围内的认证计费。采纳支持多种认证方式（PPPoe、IPoe、portal）的BRAS设备，协作统一的认证计费管理软件，实现与学校一卡通系统的整合。 l 实现校内网扁平化，构建扁平化的网络架构就是将原来各个层次模糊的功能区分清楚化，不同层次之间各司其职，有利于管理和维护，这种

5、简洁化的架构使得网络有更高的效率。 l 校内网目前由教学网、学生宿舍网、教化网、一卡通专网、财务专网和科研专网等多个网络的混合体，校内网的高性能还要体现在多个网络多个业务并发的同时保证性能不下降，实现在同一个物理平台上构建出多个逻辑上完全独立的网络平台，这些网络平台和主网络平台还要具有相同的功能。所以，从学校建设一卡通系统需供应一套逻辑隔离的专用校内网网络。 l 为学校即将建设的“一卡通数字校内”数据中心服务器群供应万兆接入校内网。 l 更换和升级原有的老旧接入交换机（100台24口、5台48口全千兆接入交换机）。 12.1.3、需求分析 A、网络出口改造需求分析 目前*高校校内网络规模较大，

6、包括核心、汇聚（各科院、学生公寓、校办、图书馆等等）、接入的三层网络架构；其中服务器区域部署了对外的门户网站系统、选课系统、正在进行新增的校内一卡通系统等以及对内的OA办公系统、多媒体教学系统等多套系统平台；同时有多条运营商Internet出口链路在运行运用中。平安防护措施只在出口部署了基本的三层平安防护（防火墙）以及简洁的流控策略。 网络拓扑图如下： 通过与客户沟通沟通，以及对学校网络的分析探讨，确定湖南*高校网络目前存在以下问题： 1、*高校网络目前没有全网的入侵防护机制，尤其缺失针对应用的攻击检测和防卫。 2、出口链路资源利用不均衡，利用率低，未针对学院应用进行优化：多条运营商出口链路，

7、但未进行负载均衡以及针对不同运营商DNS智能解析和智能路由。 3、不具备完善的流量管控功能，无法依据客户不同应用进行精细化的流量识别、管控；同时没有针对公安部82号令，对可能的上网行为风险进行把控，存在危害性较大的政治风险（如校内非法的上网行为，涉黄、暴力、诽谤等等信息造成的社会影响）。 4、目前*高校网站无任何的应用级平安防护措施（只有传统的防火墙简洁防护），完全暴露在攻击环境中，存在着特别严峻的平安风险（包括DDOS攻击，木马盗链，SQL注入，网页篡改等等）。 5、*高校面对学生的选课系统存在一个域名，2个IP（即多台服务器）状况，目前实行的是轮询机制，但是该机制严峻奢侈服务器性能，并在高

8、峰期可能造成系统瘫痪，延误学校正常的教学课程。同样的问题在*高校其他系统中依旧存在。 6、*高校服务器集群区（数据中心）目前没有单独的平安防护措施（仅出口传统防火墙简洁防护），同时没有将对外系统和对内系统隔离，存在严峻的平安隐患。 7、*高校目前供应对外的学校网站DNS服务，详细解决方法是分别部署3台DNS系统，通过双网卡一端连接内网，一端分别连接电信、移动、联通外网出口，电信用户访问学校网站则返回给对应网站域名的电信IP，移动、联通同样的处理模式。这种部署方式实质上将*高校整个数据中心干脆暴露在外网环境中，时刻存在全数据中心被攻击的风险，同时3DNS系统的部署方式也奢侈了服务器资源，降低了资

9、源利用率。 通过对客户系统现状的了解分析，以及与客户的沟通沟通，确定本次平安建设需求如下： 1、整网入侵防卫系统：针对现在流行的以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击，须要在核心链路部署入侵防卫系统对整网的应用层入侵供应平安保障。 2、WEB应用平安防护：此次web系统作为对外企业门户网站系统平台，须要考虑在Internet上的平安因素，如跨站脚本攻击、网页篡改、DDOS攻击、SQL注入攻击、溢出攻击等等。而WEB应用的平安防护，须要通过主动与被动结合，事前防卫和事后弥补的多层次手段来达到防护目的。 3、链路及系统优化： a链路负载： 1、inbond：依据访问源所属

10、运营商，通过DNS智能解析将访问反馈数据发送到对应运营商链路，提高用户体验。 2、outbond：由于客户现网拥有多条出口链路，为了使客户带宽资源利用率提高，以及优化Internet访问，须要依据访问目的IP、域名DNS解析地址等等对出口链路进行负载均衡。 b服务器负载：由于*高校内外系统平台的访问频繁及高流量、高峰值的特性，所以须要对系统服务器群进行访问优化，依据每台服务器实时性能状态、资源耗用率，链路质量等等因素对业务系统进行负载均衡 4、流量限制及上网审计需求：依据公安部第82号令，以及学校自身办公效率提升诉求，须要针对网络出口不同流量进行智能分析处理，保障关键应用流量，限制无关应用，同

11、时规范师生上网行为，防止非法上网行为给学校造成不良的社会影响。 5、DNS智能解析需求：依据不同运营商访问源及目的，智能选择流量路径。 6、可对全网平安防护设备进行统一平台管理，解决网络异构管理难题。 B、统一认证系统需求分析 *高校目前运用的是基于802.1x协议的H3C公司和锐捷公司的两套不同认证计费系统。随着网络规模的扩大，网络应用的增多，采纳该协议的认证计费渐渐遇到许多问题，主要表现在： 该协议设计之初，本是为了解决无线接入认证计费问题，为了将其引入以太网进行认证计费，不同接入交换机生产厂家对其进行了相应改造，从而导致不同厂商对该协议有不同的私有化，进而存在兼容问题，客户假如要想新购设

12、备，就必需购买与认证系统同一品牌交换机，否则无法接入网络；其次，要在以太网上有效的运用该协议，就必需安装与设备厂商配套的802.1x客户端软件，而且该软件与操作系统的TCP/IP协议栈是强耦合关系，所以对应不同的操作系统（如Windows、MAC OS、Linux等）的不同版本，就有不同的客户端版本，导致软件兼容性问题，这给网络运维人员带来无尽的维护工作量；第三，目前的802.1x系统，无法根据校内/校外以及免费/收费流量进行统计，所以无法实现根据不同流量的分别计费。此外，采纳802.1X的认证计费方式无法实现统一端口下，多台终端同时上网问题（即家属区用户无法通过家用soho路由设备实现多台终

13、端上网）。然而，这种应用需求越来越剧烈。最终，家用网络电视、网络冰箱或者物联网终端，上网如何认证计费问题，也困扰着网络管理者。因此，须要对认证计费系统进行改造，建设统一的网络认证平台，实现准入和准出的限制及按流量的认证计费。准出限制系统，采纳网关型的准出限制系统，对校内用户进行准出限制。可以有效识别用户的收费/免费流量，同时通过与统一认证计费平台的协同工作，可以有效限制用户是否具有外网访问权限，进而限制用户访问外网的带宽。准入限制实现基于pppoe、ipoe及portal的准入限制。网络中不同区域敏捷选择认证策略。 统一认证计费平台的建设须要满意一下场景的需求： 1、为保障将来五年内业务量的快

14、速增长，核心网络须要具备T级别的交换容量； 2、支持有线无线一体化接入。Portal与PPPOE方式均需支持； 3、可实现对于学生访问学校内网不认证、不计费，只有在访问外网时才认证、计费； 4、学生上网行为可监管，上网记录可溯源； 5、老师在办公区办公时上网进行认证不计费，在家属区上网时进行计费。另外要求，老师在办公区上线时，也要能够支持同一账户在家属区同时上线，并且进行计费的功能。 6、对于学生和用户的账户有一个暂停计费的功能，比如学生实行包月的形式，假如1号交钱，学生5号放暑假，假如学生在自助网页上选择5号暂停服务，则系统计费的时间段应能够往下一个月自动后移； 7、计费系统应有针对用户进行

15、时间补偿的功能，应用场景：假如某一地块网络故障，则须要对该地块的上线用户赠送5天免费上网的补偿。 8、对于导师带领学生做项目和老师带领学生勤工俭学的场景，须要支持主账号和附属账号的功能，比如一个导师的主免费账号下，下挂20个附属账号也属于免费账号，并且上线时做单独的账户和密码认证。 9、主账号和附属账户的模式也须支持学校科研项目申请的方式，并支持收费。比如：学校一名老师申请了一个科研课题，拿出肯定经费申请一个项目科研主账号和多个子账号开展工作，此时对该团队的项目的上网计费仅需计费主账号，主账号一旦计费时间截止，则全部子账号也均不能再上网。 10、支持对于各个学院的专线接入开会功能，照实验室采纳

16、专线接入，则应支持对专线用户开户，开户后对专线用户的整体接入带宽和不对下面的接入用户再进行认证和计费限制； 11、对于打印机等哑终端的接入做MAC地址认证和IP绑定； 12、全网IPv4/V6双栈部署，并充分考虑向全IPv6网络的过渡； 13、考虑运营商用户接入，校方和运营商之间在用户认证计费管理运维上能实现协同； C、网络扁平化需求分析 使校内网的功能划分更清楚，核心层设备由于性能很强可以对新功能新业务能够供应良好的支持，汇聚层和接入层只须要考虑接入端口的扩充、上行带宽的增加，管理上面显得更加简洁；校内网扁平化网络并不是意味着网络物理层次的削减，而是网络逻辑层次的扁平。构建扁平化的网络架构就

17、是将原来各个层次模糊的功能区分清楚化，不同层次之间各司其职，有利于管理和维护，这种简洁化的架构使得网络有更高的效率。由三层结构变为二层结构，在这种网络架构下面可以运用高性能多业务路由器作为整个网络的核心设备替代原有架构的高端三层交换机，使更多的组播、线速转发、用户论证和审计等核心工作由功能和性能均强大的设备来完成，从而实现整个校内网的高性能。 对原有校内网架构升级改造为扁平化的网络架构后对于系统管理员和一般用户而言，其应用效果表现在： 1）一个简洁的的网络架构：也就是将原有的多达三层或更多层的校内网结构简化为了二层结构，即业务限制层（核心网络层）和宽带接入层（接入层），在逻辑意义上面实现了网络

18、结构的平滑过渡。 2）一个多业务的系统：指网络平台支持用户接入、认证、审计、计费、带宽管理、行为限制，同时也支持MPLS VPN、IPv 6、组播业务的应用和快速部署。 3）一个统一身份认证的平台：实现了有线、无线用户的随意漫游，也实现了不同系统之间用户的统一认证，避开重复地多次认证，提高用户了体验。 4）一个透亮的网络：校内网对用户仍旧是透亮的，用户无需关切网络流量如何转发，用户无论在哪里登录，都可以获得相同的访问权限和带宽保障。 D、一卡通专网需求分析 随着微电子技术、计算机技术、网络技术、通讯技术的飞速发展，“数字化校内”已经不单单是一个概念，各大高校已经陆接连续地起先对校内网进行数字化

19、建设。其中，校内“一卡通”系统以其便捷、高效、平安、环保等特点成为了数字化校内建设的重要组成部分。 校内“一卡通”以智能卡为信息载体，融合了各领域诸多高新科技，使其具有电子身份识别和电子钱包的功能。能够替代校内内日常生活所需各种证件以及完成校内内的各种支付业务，如：饭卡、医疗卡、上网卡等。最终达到教、学、考、评、住、用的全面数字化和网络化，真正实现了“一卡在手，走遍校内”。 *高校的校内主干网部分是整个校内一卡通系统的核心，消费结算中心各种数据服务器和各种自助圈存设备通过校内主干网与各终端设备和银行网络的前置机进行通信。为了保证网络系统的平安性和便于管理，一般采纳专网形式，独立于校内网。一卡通

20、网络可以采纳基于校内网的内部虚拟专用网(virtualprivatenetwork)，即在校内网络基础设施上建成的专用数据通信网络。数据通过平安的加密隧道在校内网中传输，从而保证通信的保密性。vpn与一般网络互联的关键区分在于用户的数据通过校内网中建立逻辑隧道进行传输，数据包经过加密后，按隧道协议进行封装、传送，并通过相应的认证技术来实现网络数据的专有性。 校内网一卡通主干网(高速以太网)部分，要求全部的以太网设备在vlan部分和现有的校内网设备隔离，保证现有的校内网和一卡通部分是两个网络，设备不允许相互访问。同时为了共享已有的校内网资源，所以，一卡通与校内网采纳防火墙进行单通道连接，保证一卡

21、通网络能访问校内网数据，如：信息化校内建设必不行少的对统一身份认证服务器和门户网站的访问。但校内网不能随意访问一卡通专网，这样将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，使得一卡通网络上的设备能够平安、稳定的运行。 一卡通网络结构可以分为三层。一卡通网络的中心层，是以数据库服务器为中心的局域网的分布式结构。中心层设置中心交换机，与身份认证系统，卡务管理机，结算管理机，结算中心服务器一起构成一卡通网络与结算中心，它是一卡通系统的管理平台、身份认证平台和数据库中心。通过光缆与各结点相连与一卡通网络的中心组成第一层网络结构，设置二级交换机。第三层为以第一层局域网的网络工作站作为限制主

22、机的限制各个ic卡收费终端的网络。连接到专网的串口设备子网，以及专网计算机校内网和银行金融网的接口，要同期设计建设。一卡通专网采纳tcp/ip网络协议。整个一卡通专网所用交换机，建议采纳端口mac地址绑定，使每个端口只能设置唯一的ip地址，连接特定的设备，从而保证了整个网络的平安性。 通过网络分段实现 首先是网络分段。在实际应用过程中，通常实行物理分段(即在物理层和数据链路层)上分为若干网段与逻辑分段(即把网络分成若干ip子网)相结合的方法来实现对网络系统的平安性限制。 其次，关于vlan的实现。虚拟网技术主要基于近年高速发展的局域网交换技术(atm和以太网交换)。交换技术将传统的基于广播的局

23、域网技术发展为面对连接的技术。以太网从本质上基于广播机制，但应用了交换机和vlan技术后，事实上转变为点到点通讯。如上图，不同系统在网上划分为不同的虚拟网，如“一卡通”卡务中心和消费系统划分在不同的vlan段，通过以下相应的vlan划分方法来提高网络平安。 1、基于端口的vlan，就是将交换机中的若干个端口定义为一个vlan，同一个vlan中的计算机具有相同的网络地址，不同vlan之间进行通讯须要通过三层路由协议，并协作mac地址的端口过滤，就可以防止非法入侵和ip地址的盗用问题。 2、基于mac地址的vlan，这种vlan一旦划分完成，无论节点在网络上怎样移动，由于mac地址保持不变，因此不

24、须要重新配置。但是假如新增加节点的话，须要对交换机进行困难的配置，以确定该节点属于哪一个vlan。 3、基于ip地址的vlan，新增加节点时，无须进行太多配置，交换机依据ip地址会自动将其划分到不同的vlan。这中vlan智能化最高，实现最困难。一旦离开该vlan，原ip地址将不行用，从而防止了非法用户通过修改ip地址来越权运用资源。 E、数据中心网络需求分析 数据中心交换机负责整个校内网数据中心平台上应用业务数据的高速交换。两台数据中心交换机分别与计算池、存储池、WEB应用服务器以及管理区连接，数据中心交换机与计算池、存储池、WEB应用服务器间均采纳万兆接口捆绑互联。 两台数据中心部署IRF

25、2虚拟化技术，简化路由协议运行状态与运维管理，同时大大缩短设备及链路出现故障快速切换，避开网络震荡。IRF2互联链路采纳2*10GE捆绑，保证高牢靠及横向互访高带宽。 12.1.4、方案设计 A、网络出口方案设计 通过与客户进行技术沟通，需求收集及分析，此次湖南*高校网络的整体平安改造解决方案包含系统出口入侵防卫系统、WEB应用平安防护、链路和系统服务优化及DNS智能解析（负载均衡）、流量限制及上网行为审计等六大方面。通过多层次、多纬度的防护技术和客户系统的应用交付优化措施，为客户网络完成全方位无缝隙的平安防护，以及更优的用户体验。 客户系统通过本方案的建设部署后，整体拓扑如下： 湖南师范高校

26、拓扑图备注：千兆线路万兆线路电信移动联通教化网负载均衡入侵防卫系统上网行为管理Web应用防火墙DPX8000汇聚交换机服务器区域核心2核心1汇聚层食堂体育馆图书馆网络中心试验楼学生处教学楼综合楼学生区汇聚层接入层接入层 通过我司的解决方案部署（如上图），将我司DPX8000深度业务交换网关产品替换掉原有的3层基础防火墙，通过在DPX8000扩展槽插卡多类业务板卡（如IPS、负载均衡、漏洞扫描、WAF等等），解决*高校网络L4-7层平安措施缺乏的问题，同时将*高校内外系统（数据中心）隔离，外网作为单独的DMZ区与DPX8000相连，web服务器部署我司网页防篡改产品（Webshield）协作我司

27、WAF业务板卡对*高校web业务进行主动、被动结合的平安防护，而在内部系统(数据中心)出口部署我司负载均衡，单独防护并对内网系统进行应用优化，并通过我司UMC统一管理平台进行管理，解决网络异构管理的难题，最终完成对*高校网络整体、多层次、基于不同应用平安需求的平安防护。 建设思路 针对目前的网络概况，将在本次网络中部署迪普科技深度业务交换网关DPX8000实现*高校网络多维度平安防护，通过多块业务板卡在DPX8000上的部署，实现出口入侵防卫系统、WEB应用平安防护、链路和系统服务优化及DNS智能解析（负载均衡）、流量限制及上网审计等全方位的平安和应用优化功能。 随着VoIP、高清视频、Web

28、2.0、云计算等新技术的广泛应用，网络数据传输容量出现了几何级增长，据吉尔德定律预示，将来25年，带宽每六个月将增加一倍。如此飞速增长的数据业务不仅将使网络架构变得特别困难，也将面临网络平安、应用体验性、业务持续可用等巨大挑战。传统的解决方法是运用大容量交换设备之外部署防火墙、IPS、流量限制、应用交付等深度业务处理设备，这种网络层与业务层相分别的架构初期比较敏捷，但却只能适用于小型网络，主要缘由有： l 设备的不断叠加使得网络变得越来越困难，并带来大量单点故障 l 数据报文的多次重复解析和处理，造成网络性能的衰减和延迟的增加 l 多厂商、多设备间相互兼容困难，特殊是随着网络规模和组网模式的不

29、断革新，难以实现性能、功能、接口的按需扩展 l 网络与平安技术兼容困难，如MPLS VPN、IPv 6、虚拟化等 l 各设备间物理和逻辑都是分割的，无法统一管理 很明显，这种“葫芦串”的简洁叠加模式看似合理，但已远远落后于用户业务需求的增长速度，不仅会耗费大量人力物力，造成资源的奢侈，同时也会使得网络变得异样困难，带来牢靠性、性能、扩展实力、网络兼容性、管理等大量新问题。 如何有效解决上述问题，在大容量线速无堵塞转发条件下，保证网络及业务的平安、快速、可用？随着网络标准化、虚拟化、智能化程度的不断提高，只有通过将交换、应用和业务进行深度整合，并借助虚拟化技术实现网络层和业务层的无缝融合，才能达

30、到简化网络架构、提高网络效率、在融合过程中爱护用户既有资源的目的。DPtech 正是在此背景下推出了DPX8000系列深度业务交换网关，包括DPX8000-A 3、DPX8000-A 5、DPX8000-A12三款产品。 DPX8000系列产品基于DPtech自主学问产权的ConPlat软件平台，集业务交换、网络平安、应用交付三大功能于一体。在供应IPv4/IPv 6、MPLS VPN、不间断转发、环网爱护等丰富网络特性基础上，还可以供应应用防火墙、IPS、UAG、异样流量清洗/检测、应用交付等深度业务的线速处理，是目前业界业务扩展实力最强、处理实力最高、接口密度最高的深度业务交换网关，旨在满

31、意运营商、数据中心、大型企业的高性能网络深度业务处理须要。 入侵防卫系统 通过我司入侵防卫系统IPS2000业务板块的部署，完成对*高校出口整网的入侵检测和防卫（深度内容检测技术），迪普独有的“并行流过滤引擎”技术，在保证网络高平安的同时完成数据的线速处理，保障客户体验。 随着网络的飞速发展，以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。传统的基于网络层的防护只能针对报文头进行检查和规则匹配，但目前大量应用层攻击都隐藏在正常报文中，甚至是跨越几个报文，因此仅仅分析单个报文头意义不大。IPS正是通过对报文进行深度检测，对应用层威逼进行实时防卫的平安产品。但目前大多数I

32、PS都是从原有的IDS平台改制而来，性能低、误报和漏报率高、牢靠性差，尤其是在新应用不断增多、特征库不断增长的状况下，性能压力持续增加，只能通过削减或关闭特征库来规避。这样的IPS不仅起不到平安防卫的作用，甚至会成为网络中的故障点。 如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延？很明显，传统的基于串行设计思想的硬件和软件架构，无论是X8 6、ASIC或是NP，都无法承受成千上万条且在不断更新中的漏洞库，更不用说再增加病毒库、应用协议库。迪普科技在IPS2000 N系列IPS中，创新性的采纳了并发硬件处理架构，并采纳独有的“并行流过滤引擎”技术，性能不受特征库大小、策略数大小的影响

33、，全部平安策略可以一次匹配完成，即使在特征库不断增加的状况下，也不会造成性能的下降和网络时延的增加。同时，迪普科技IPS还采纳了管理平面和数据平面相分别技术，这种的分别式双通道设计，不仅消退了管理通道与数据通道间相互耦合的影响，极大提升了系统的健壮性，并且数据通道独特的大规模并发处理机制，极大的降低了报文处理的时延，大大提升了用户体验。以IPS2000-TS-N为例，IPS2000-TS-N是全球第一款可供应万兆端口的IPS产品，即使在同时开启其内置的漏洞库、病毒库、协议库后，性能依旧可达万兆线速，目前已胜利部署于多个大型数据中心、园区出口。 漏洞库的全面性、专业性、刚好性是确定IPS能否有效

34、防卫的另一关键。迪普科技拥有专业的漏洞探讨团队，不断跟踪其它知名平安组织和厂商发布的平安公告，并持续分析、挖掘、验证各种新型威逼和漏洞。迪普科技IPS漏洞库以定期（每周）和紧急（当重大平安漏洞被发觉）两种方式发布，并且能够自动分发到用户驻地的IPS中，从而使得用户驻地的IPS在最快时间内具备防卫零时差攻击（Zero-day Attack）的实力，最大程度的爱护用户平安。目前，迪普科技已成为中国国家漏洞库的主要供应者之一。借助迪普科技专业漏洞探讨团队的持续投入和漏洞库的持续升级，不仅显著提升了IPS的可用性，并极大削减了IPS误报、漏报给用户带来的困扰。 IPS2000 N系列是目前全球唯一可供

35、应万兆线速处理实力的IPS产品，并在漏洞库的基础上，集成了卡巴斯基病毒库和应用协议库，是针对系统漏洞、协议弱点、病毒蠕虫、DDoS攻击、网页篡改、间谍软件、恶意攻击、流量异样等威逼的一体化应用层深度防卫平台。IPS2000 N系列部署简洁、即插即用，协作应用Bypa等高牢靠性设计，可满意各种困难网络环境对应用层平安防护的高性能、高牢靠和易管理的需求，是应用层平安保障的最佳选择。 IPS2000-Blade业务板技术特点 l 业界最高端IPS，万兆线速处理实力，特征库增加不会造成性能下降 l 管理平面与数据平面双通道设计，极大提升了系统健壮性 l 专业漏洞探讨团队，是中国国家漏洞库的主要供应者之

36、一 l 内置专业防病毒引擎，病毒样本十万条以上，可防卫各类病毒 l 高效丰富的DDoS攻击防护实力 l 实时的响应方式：阻断、限流、隔离、重定向、Email l 掉电爱护、应用Bypa等高牢靠性机制，确保IPS不会成为网络故障点 l 敏捷的部署模式：在线模式、监听模式、混合模式 l 支持分布式管理 功能介绍 l 一体化平安防护 DPtechIPS2000-Blade入侵防卫系统模块干脆嵌入在DPtech DPX A3/DPX A5/DPX A12系列深度业务交换网关，即可实现入侵防卫功能，不变更原网络的结构，与网络设备协作完成平安业务网关的工作，为用户供应一体化的平安爱护，降低了用户首次和后续

37、扩容的投入成本。 l 入侵防卫与检测 支持缓冲溢出攻击、蠕虫、木马、病毒、SQL注入、网页篡改、恶意代码、网络钓鱼、间谍软件、DoS/DDoS、零日攻击、流量异样等各种攻击的防卫。 l 病毒防范 内置卡巴斯基病毒库，支持10万条以上病毒库；支持防卫文件型、网络型和混合型等各类病毒；支持新一代虚拟脱壳和行为推断技术，精确查杀各种变种病毒、未知病毒。 l 流量限制 对迅雷、BT、eDonkey、eMule、网际快车、PPLive、QQLive、MSN、QQ等主流应用流量进行深度识别并进行管控。 l DDos防护 支持SYN Flood、UDP Flood、ICMP Flood、DNS Query

38、Flood、HTTP Get Flood、CC攻击等DDoS攻击防护 l 全面、刚好的攻击特征库 攻击特征库是检测引擎进行攻击检测的依据，没有完善的攻击特征库，再强大的检测引擎也无法发挥作用，就像动力强劲的发动机没有合适的、足够的燃油一样。DPtech公司多年的网络技术与平安技术积累，造就了资深的攻击特征库团队和平安服务团队，建有攻防试验室，紧跟网络技术与平安技术的发展前沿和网络攻防的最新动态，定期更新并发布攻击特征库升级包，源源不断地为强大的检测引擎注入高质量的燃油。 DPtech公司的攻击特征库具有如下特点： 1、覆盖全面，包含了主流操作系统、主流网络设备、主流数据库系统、主流应用软件系统

39、的全部漏洞特征，同时也包含了黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用特征； 2、更新刚好，常规状况下每周进行攻击特征库更新，紧急状况下24小时内供应更新的攻击特征库； 3、攻击特征库与国际权威的漏洞库CVE兼容；攻击特征库虽然兼容国际，但仍根植中国，更多关注国内特有的网络平安状况，刚好对国内特有的攻击供应防卫；攻击特征库包含了与该攻击相关的具体描述，包括攻击的目标系统信息、攻击的危害程度、攻击的解决方法等； 4、攻击特征分类合理、细致，易于查询、易于归类操作。 l 好用、强大的业务增值功能 DPtechIPS2000-Blade

40、入侵防卫系统模块除了能有效、实时地抵挡网络攻击外，还供应了丰富好用的IPS之外的其他业务增值功能，如基于应用的带宽管理、URL过滤等，可为客户带去更多的业务体验、更高的性价比，从而使客户获得更高的投资收益率。 l 基于应用的带宽管理 DPtechIPS2000-Blade入侵防卫系统模块的协议识别功能支持1000多种应用协议的识别，在这个协议识别的基础上， IPS模块可以对各种应用进行敏捷的带宽限制，限制非关键应用，并保证了客户网络上关键应用的带宽。 l 客户定制的URL过滤 DPtechIPS2000-Blade入侵防卫系统模块供应了URL过滤功能，客户可自定义URL过滤规则实现对敏感网页和

41、网页内容进行过滤，URL过滤规则支持正则表达式。 l 平安技术与网络的深度融合 DPtechIPS2000-Blade入侵防卫系统模块融合了丰富的网络特性，支持MPLS、802.1Q、QinQ、GRE、PPPoE等网络协议，可在各种困难的网络环境中实现透亮接入组网。 l 丰富的响应方式 IPS在分析报文检测到异样状况后，须要实行一个特定的响应动作。DPtechIPS2000-Blade入侵防卫系统模块供应了丰富的响应方式，包括阻断、限流、TCP Reset、抓取原始报文、隔离、Email告警、Syslog上报、记本地日志等。各响应方式可以相互组合，并且设备出厂内置了一些常用的动作组合，以便利客

42、户运用。其中DPtech公司独特设计的重定向和隔离响应方式，不但能有效防止平安威逼在网络上扩散，而且还能刚好通知有平安威逼的客户端相关的平安事务。 l 强大、敏捷的管理功能 DPtechIPS2000-Blade入侵防卫系统模块供应了强大、敏捷的管理功能，DPtech公司在设计IPS管理功能的时候既考虑了客户单台或小规模部署时的轻巧管理系统设计，又考虑了客户大规模部署时的集成管理系统设计。 1、完备、好用的单机管理 在单台或小规模部署时，为了让客户节约设备成本和管理成本，DPtechIPS2000-Blade入侵防卫系统模块供应了单机的基于Web的图形化管理系统，让客户不用单独购买、部署额外的

43、管理服务器硬件和管理软件就能实现对IPS的图形化管理。DPtechIPS2000-Blade入侵防卫系统模块的单机管理系统的功能虽然没有它的集中管理系统强大，但是全部管理功能也是完备的，包括平安策略管理（如平安策略配置、下发等）、攻击事务管理（如攻击事务查询、统计分析、报表等）、各种对象管理等。同时，DPtechIPS2000-Blade入侵防卫系统模块的单机管理系统界面友好，便利易用，客户无需安装特地的客户端软件，干脆采纳标准阅读器即可实现一目了然的图形化管理。 2、强大的集中管理 在大规模部署时，为了让客户对全网网络平安动态进行统一的监控，DPtechIPS2000-Blade入侵防卫系统

44、模块供应了强大的集中管理系统，客户通过集中管理系统可以在全网范围内制定统一的平安策略，便利地分发到各地的IPS设备上，同时各地的IPS设备上产生的攻击事务可以集中上报到集中管理中心，管理中心对全网范围内的平安事务进行集中的统计分析，并供应各种直观、具体的报表，在全景式的分析报表中，客户可以轻松地看到整网过去的平安状况和将来的平安趋势 Web应用平安防护 通过我司WEB应用防火墙WAF3000业务板块的部署，在web服务器前端的部署，完成对*高校WEB网站主动、被动相结合的平安防护。 随着市场需求以及产业的发展，互联网已迈进Web应用时代。如今，Web业务平台已经在企业信息化中得到广泛应用，许多

45、企业都将应用架设在Web平台上，在通过阅读器方式实现呈现与交互的同时，用户的业务系统所受到的威逼也随之而来，并且随着业务系统的困难化及互联网环境的改变，所受威逼也在飞速增长。Web业务的快速发展同时引起了黑客们的剧烈关注，他们将留意力从以往对传统网络服务器的攻击逐步转移到了对 Web 业务的攻击上。 近几年，国内因为Web平安漏洞引发的平安事务常有发生，从政府网站、到互动社区，都受到来自黑客的攻击，攻击事务造成的经济损失及影响极大。企业在向客户供应通过阅读器访问企业信息功能的同时，企业所面临的风险在不断增加。随着Web应用程序的增多和网络技术的发展，Web应用所带来的平安漏洞越来越多，同时，被

46、用来进行攻击的黑客攻击也越来越多，伴随而来的是在经济利益的驱动下，黑客活动主要表现在两个层面：一是随着Web应用程序的增多，这些Web应用程序所带来的平安漏洞越来越多；二是随着互联网技术的发展，被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗，组织性和经济利益驱动特别明显。 传统防火墙、入侵检测等平安类产品主要是针对链路层、网络层信息进行威逼识别，然而，从近几年网站篡改的大量案例来看，攻击过程所包含的信息内容在链路层、网络层都是合法的，问题其实主要出现在应用层面，因此传统的平安防护体系对此类攻击的防范效果不甚志向。须要应用层平安防护硬件产品解决方案来实现整体网站防护。 Web平安问题本质上

47、是软件代码质量问题。但web应用较传统的软件，具有其特性。Web应用大多须要常见的变更以满意新业务的需求，而开发人员往往只注意业务的可行性，而忽视平安性的考虑。志向的状况是软件开发人员能够根据平安的编码原则进行Web开发，但对于这些已经上线，正供应对外业务的Web应用，因整改代码代价过大而较难实行。针对这种问题，Web应用防火墙应运而生。它不同于传统的平安设备如IPS，防火墙，只针对L4层进行检测，而针对Web的攻击大多是在L7应用层发生的。Web应用防火墙通过对HTTP流量的双向分析，为WEB应用供应实时的防护。 通过应用层平安设备（迪普科技的WAF）可以实现基于网关的防护，将网络中各种威逼流量清除。同时，为避开各种干脆连接到、绕过网关防卫而到达网站服务器的攻击，则须要通过基于服务器的软件产品