医院网络安全建议和方案

网络安全建议方案书和县中医院信息科第一部分技术方案目录1 前言 41.1 医院网络安全建设的指导思想 41.2 医院网络安全建设的目标 42 医院网络安全建设的必要性 43 防火墙系统安全方案 53.1 设计目标 53.2 方案拓朴图 53.3 配置建议 53.4 防火墙介绍 73.4.1 强大的处理性能，用户网络更顺畅 73.4.2 99.99%的系统高稳定性，用户业务永不宕机 73.4.3 深度内容安全，用户业务安全无忧 73.4.4 贴心的安全助手，用户使用更方便 83.4.5 强大的网络拓扑自适应性 83.4.6 智能便捷的配置向导和管理方式 84 上网行为管理审计系统 94.1 企业单位经常会碰到这样的问题 94.2 法律与法规 94.3 方案特点 104.3.1 部署简单 104.3.2 强大的互联网审计、控制、分析功能 104.3.3 多种可选操作模式和认证方式 124.3.4 独立的报表系统 124.4 价值和优势 124.5 功能列表 134.5.1 报表系统 134.5.2 审计系统 135 配置清单 15

前言医院网络安全建设的指导思想医院网络安全的建设、应用和管理涉及到医院的方方面面。医院网络安全不仅仅是医院重要的基础设施，更重要的还是一个重要的信息源泉，网络上承载着医疗信息、科研信息、管理信息等，这些信息通过计算机网络的传输和处理，就能够为提高工作效率、掌握科研和医疗发展动态提供强有力的支撑。医院信息网络安全必须成为医院日常业务工作的有效可靠工具。使得各项业务的操作更加科学化规范化，提高数据的准确性和安全性，减少人为因素造成的差错。同时极大地减轻业务人员的劳动强度。在此基础上成为医院领导进行管理、分析的工具，为领导的管理和决策提供及时、安全准确的数据依据。这是医院网络安全建设的最根本的指导思想。医院网络安全建设的目标确定医院网络安全建设的目标，不仅要考虑技术方面，更要考虑环境、应用和管理等，从某种意义上讲，医院网络安全的建设不仅仅是涉及到技术问题，而是会引起更深层次的变革，也就是医院网络安全的建设将改变医院传统的管理运作模式，因此医院网络的建设必须与医院各方面的改革、建设相结合，与医院长远发展相结合，科学论证和决策。医院网络安全建设的必要性医院核心数据系统数据保护，防止本地用户和其它各下级节点对医院核心数据系统（如HIS系统）进行非授权访问和恶意攻击，防止本地网络病毒的危害和传播。加强对其它各下级和内部用户的身份鉴别、权限控制、角色管理和访问控制管理，防止对应用系统的数据库服务器、邮件服务器及文档服务器的非法存取、删改和破坏。外联单位接入安全，卫生管理部门需要采集医院的相关信息，因此必须提供对系统的访问控制，允许从外部访问某些主机，同时禁止访问另外的主机，保护医院内部系统的安全。互联网接入安全，通过设定策略与Internet进行有效隔离，控制（允许、拒绝、监测）出入网络的信息流，过滤不安全的外部数据，提高网络安全和减少子网中主机的受攻击风险，增加用户的访问控制，阻止攻击者获得攻击网络系统的有用信息。防火墙系统安全方案设计目标防范针对重要网络资源的网络攻击行为，可解决医院网络的部分网络安全、应用系统安全和网络管理安全的隐患。具体描述如下：将医院网络内部网与其它外部网络安全隔离，拒绝非法访问，恶意攻击，保护医院内风网络的安全。抵挡木马攻击、蠕虫攻击、后门攻击、利用漏洞攻击和拒绝服务攻击。强化对网络的控制，确保关键业务的网络带宽。方案拓朴图配置建议建议在医院安装1台网御神州SECGATE3600-F防火墙，以实现内网与外网之间的安全隔离；将网站服务器及其资源服务器直接与防火墙的DMZ区相连，提高服务器在内外网的运行安全性。通过对防火墙进行详尽的策略设置，实现防黑（黑客攻击）、防白（政治敏感内容）、防黄（黄色网站）的效果，具体分述如下：通过防火墙的监控功能，实现内网实时监控统计功能，以内网IP为对象，实时地监视统计内网连主机连接数量和流量；实现外网实时监控统计功能，实时地监视统计内网访问外网的地址的连接数量和流量；实现DMZ实时监控统计功能，实时地监视统计DMZ区内主机被访问的连接数量和流量；实时监控内网访问指定外网主机的连接数量和流量；通过时间控制功能实现支持安全规则时间调度，根据用户的具体要求实现上班时间、下班时间对网络的应用控制；内网文件服务器仅对内提供数据服务，不对外网提供服务，有效阻断外网对内网的非授权访问；将WWW服务器的IP地址通过NAT转换为公网地址，对外提供服务。外网无法得到WWW服务器的IP地址，这样就有效地保证了内部网络安全。对内网IP地址、Mac地址的绑定，有效控制内网终端对外网的访问。嵌有VPN模块，如需要，可直接开通防火墙VPN功能，通过给防火墙定义详尽的策略，只有授权的客户端用户可以登陆到内部服务器。对拒绝服务攻击的防范。防范syn_flood、pingflood、udpflood、teardrop、sweep、land、pingofdeath、smurf、碎片攻击、WINNUKE、圣诞树攻击等。实现内容过滤，对HTTP，对网页中java、javascrip、activeX进行过滤；针对SMTP、POP3，基于发信人地址、收信人地址、收信人数、文件大小、邮件主题、正文内容、发件人姓名、收件人姓名、附件文件名、附件内容等进行关键字匹配过滤。通过网络带宽管理功能保证关键部门网络的带宽，使得领导核心的决策、指令的上传下达得到保障；通过策略设置，有效防止内网用户使用的BT,电驴等P2P软件的下载及在工作时间使用QQ,MSN,SKYPE等IM软件，有效保证网络的带宽和合理利用医院工作资源；通过防火墙的IPS和抗攻击设置,可以有效防护内部网络不受外部的非法入侵行为；通过安全设置,防火墙可以抵御外部蠕虫病毒攻击。防火墙介绍网神SecGate3600防火墙、是网御神州经过多年研发，基于高性能、高稳定性的多核处理器架构硬件平台和多核并行操作系统新一代SecOS推出的全线多核下一代防火墙产品，是专门面向大中型企业、政府、军队、高校等用户开发的新一代专业防火墙设备，支持外部攻击防范、内网安全、网络访问权限控制、网络流量监控和带宽管理、动态路由、网页内容过滤、邮件内容过滤、入侵检测、病毒过滤、IP冲突检测等功能，能够有效地保证网络的安全；产品提供灵活的网络路由/桥接能力，支持策略路由，多出口链路聚合；提供多种智能分析和管理手段，支持邮件告警，支持日志审计，提供全面的网络管理监控，协助网络管理员完成网络的安全管理。强大的处理性能，用户网络更顺畅基于多核架构和多核并行操作系统新一代SecOS的完美匹配；性能大幅提升；双核架构相比单核，吞吐量同比提高30%-70%；完全自主知识产权的SecOS实现防火墙的控制层和数据转发层分离，全模块化设计，实现独立的安全协议栈，消除了因操作系统漏洞带来的安全性问题，以及操作系统升级、维护对防火墙功能的影响。同时也减少了因为硬件平台的更换带来的重复开发问题。由于采用先进的设计理念，使该SecOS具有更高的安全性、开放性、扩展性和可移植性。99.99%的系统高稳定性，用户业务永不宕机多核架构实现安全任务的物理分离，确保核心处理不受干扰；多核间监控备份机制，确保核心处理任务的更加稳定运行；采用独创的分段直接寻址搜索算法MSDAL（Multi-StageDirectAddressingLookupAlgorithm），解决了传统防火墙随着安全策略数的增加其性能逐渐下降的问题，确保您在大量安全策略数目情况下仍能获取最高的网络性能！深度内容安全，用户业务安全无忧多核间相互分工协作，一部分核进行高速数据转发，完成对HTTP/等13种应用协议的预处理；另外一部分核实现快速数据包重组还原内容，进行深度安全检测。可实现大流量下的深度内容检测，完成P2P/IM协议识别与限制、入侵防护、病毒防护等深度安全功能；贴心的安全助手，用户使用更方便全面的连接状态监控，让您及时掌握网络运行状态，配合丰富的连接限制，方便您对迅雷/BT/电驴等P2P应用的控制，以及对感染网络蠕虫病毒的主机进行快速定位和实时阻断！系统集成强大的安全助手，能够根据需要对内网主机、服务、端口、系统及版本进行探测，实时获取内网状况，并可以根据扫描结果轻松设置对象及安全策略，大大降低了配置、维护的复杂度强大的网络拓扑自适应性适应于各种复杂网络拓扑，包括透明桥接、路由以及桥和路由完全自适应识别模式。支持透明桥接、路由以及桥和路由自适应识别模式，支持多条路由负载均衡，支持基于应用（ARP/PING/TCP/ HTTP）和链路质量的链路探测，支持多条ADSL拨号及自动负载均衡，支持多纯透明桥与接口联动，支持基于路由的双VPN隧道备份。智能便捷的配置向导和管理方式为安全管理员提供智能便捷的配置向导，让您轻松完成复杂的安全配置！并提供丰富的管理方式，包括本地Console，拨号PPP接入，基于Web（HTTPS）浏览器，远程SSH登录，以及强大的SecFox集中安全管理方式。上网行为管理审计系统企业单位经常会碰到这样的问题随着人们对互联网的使用越来越普及，互联网给我们带来许多方便的同时，也带来了许多风险和挑战。政府和企事业单位管理者希望对员工上网进行合理的控制，而网管无法找到一个可以实现该功能的专用工具。因为现有的网络设备，网管软件都不能灵活分配员工可获得的上网资源，透视员工的上网行为。政府和企事业单位内部人员通过网络泄漏敏感资料的事件时有报道，员工因私上网影响工作的问题日益明显，网管对限制员工私自下载危险文档的需求越来越迫切。政府和企事业单位的计算机应用和上网条件越来越好了，但同时产生出来的问题也越来越多了。很有可能，您的员工正在如此“工作”：两个人正在下载MP3,电影，消耗大量带宽三个人在下载和分发不良的信息和图片两个人在玩在线游戏两个人正在用QQ和无关的人聊天两个人一边工作一边炒股还有一个人在传送秘密的资料给竞争对手这些威胁和挑战事件多数是来自于内部合法用户的“合法”操作引起的，仅靠某些安全产品如防火墙等的日志和控制功能并不能很好的满足对这些互联网安全事件的审计要求，网络行为和内容审计系统应运而生。法律与法规2005年底，公安部颁布《互联网安全保护技术措施规定》，明文规定网络使用单位要有一定的管理制度。其中第七条，第三款指出，要有记录并存储用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施。第十条指出使用网络的企事业单位要具有一定的安全保护技术措施，其中包括：记录并储存用户注册信息；在公共信息服务中发现、停止传输违法信息，并保留相关记录；能够记录并储存用户使用的互联网络地址和内部网络地址对应关系。第十三条规定了记录储存技术应当具有至少保存六十天记录备份的功能。这些法律法规也要求对用户互联网行为进行必要的安全审计。方案特点为了应对政府和企事业单位用户上网行为监控与审计的需要，以及国家相关法律法规的要求，网御神州推出了SecFox-NBA（NetworkBehaviorAnalysisforInternetAduit）网络行为审计系统（上网审计型）。该产品具有以下特点：部署简单通过旁路侦听的方式对内部网络连接到互联网（Internet）的数据流进行采集、分析和识别，不影响网络结构。B/S结构，可在内网中任意台机器上（可进行安全限制），通过IE浏览器对其进行访问，无需安装任何客户端程序及插件。支持大型网络级联部署强大的互联网审计、控制、分析功能基于应用层协议还原的行为和内容审计网页浏览（HTTP协议）审计，记录机器IP、访问网址等信息网络聊天审计：腾讯QQ、WindowsLiveMessenger、ICQ、YAHOOMessenger、网易泡泡、淘宝阿里旺旺、新浪UC、QQ聊天室等聊天软件,可记录聊天账号，聊天工具，未加密的聊天内容等信息收发邮件（POP3、SMTP、WEBMAIL、LOTUS、EXCHANGE），可对邮件账号、标题、内容、附件进行审计P2P协议审计股票审计：审计大智慧、同花顺、钱龙等股票软件搜索关键词审计，baidu、google等常见搜索网站远程登录（TELNET协议）审计文件传输（FTP协议）审计音视频审计网络游戏审计：联众、边锋、QQ游戏、大型网游，等等细致的控制策略可对一周内任意时间段（最小精确到半小时）进行访问控制可对端口、网页访问、邮件、聊天、文件传输、远程登录、BT下载进行细粒度控制内外网黑白名单，可设置VIP机器、限制指定IP或空闲IP进行网络访问内置URL分类过滤库包含百万个站点以上的记录，含有超过一亿以上的网页。丰富多样的分析和统计功能实时流量：以图表的形式实时显示机器/机器组的流量变化轨迹实时观察：以列表的形式实时的显示所选机器的一切上网行为数据包流量：以列表的形式显示所选机器的数据包流量和流速统计报表：提供丰富的报表管理功能；根据时间、数据类型等生成报表，提供打印、导出等服务，可以保存为html格式；直观地为管理员提供决策和分析的数据基础，帮助管理员掌握网络使用状况流量排名、搜索关键字排名、网站排名、BBS访问排名、网址类型排名流量统计、协议流量分析、带宽统计、上网时长统计多种可选操作模式和认证方式提供两种操作模式，以满足不同用户操作习惯和不同操作目的的需求：面向功能的操作模式面向审计对象的操作模式（包括两种：面向被监控机器、面向上网用户账号）提供认证管理功能，目前支持以下三种方式LDAP认证方式WINDOWS域一次认证方式本地认证独立的报表系统面对大量的审计数据，许多客户更加关心所有网络数据的详细分类统计、网络使用情况、员工上网分析等。因此，SecFox-NBA（上网审计型）还专门独立出上网行为评估报表系统。上网行为评估报表系统将在审计的网络行为数据统计分析后，按照时间段生成详细的网络应用表，并且报表系统提供个性化策略设置，企事业单位可以按照自身需求设置方便自身的策略。上网行为评估报表对数据统计时，从工作效率、可疑行为、网络管理3个方面进行了统计，给管理人员提供了一个方便的网络管理平台。上网行为评估报表可帮助企事业单位在网络管理、预防信息泄密、了解员工需求方面取得更高成效。并且拥有了独立的报表系统后，一方面，使各级管理人员能够尽可能详尽的了解自己所管辖的人员及其网络使用情况，另一方面，又可保证每个人网络上面的个人信息及隐私、无损企业利益的机密信息不会因审计系统而泄露给其他人员，包括该产品的管理人员。实现了真正的人性化管理。价值和优势审计和控制上网行为，实时追踪记录审计和控制员工外发数据内容，防止公司资料泄密减少员工因互联网活动所带来的法律责任风险优化使用IT资源，包括带宽和计算机资源实施因特网和应用程序使用策略通过配置合理的策略，禁止网络滥用，提高员工工作效率人性化管理，在进行网络审计的同时，注重保护个人隐私功能列表报表系统功能点说明综合统计报表主要提供按部门统计各部门的综合数据，如：网页访问总次数，总流量，平均流量，可疑行为，游戏时间，聊天时间，炒股时间等，并提供统计数据的明细列表和数据的详情查看。行为排名报表对上网数据按照不同的网络行为分类，对分类中的数据按照数据访问量排名，逐次显示被统计部门的上网人员数据访问情况，如：网页访问排名，聊天排名，游戏排名，炒股排名等。行为趋势报表分类统计数据，形成数据趋势变化图。周报表和月报表中，在同一图形中呈现被统计周（或者月）和对应的上周(或者上个月)数据的趋势变化。通过图形直观显示网络数据量的变化，并通过数据比较改时间段和上个时间段的流量升降度，根据这些对比数据，可以了解公司网络不同时期的使用情况，上网人员网络行为变化情况。网络管理报表网络管理报表为网络管理人员提供方便掌握内网使用情况的总结报表。网管人员通该功能及时了解网络中哪些机器可能中毒、内网中最受关注网站，网络流量、各种网络协议的流量比例分配。审计系统功能点说明行为审计能够对基于HTTP（WEB，POST）、、邮件（SMTP，POP3，WEBMAIL）、聊天（ICQ、QQ、MSN、WEBMSN、网易泡泡、YAHOOMESSENGER、UC、淘宝）、聊天室（QQ、163、263聊天室）、TELNET、游戏、音视频、自定义协议等的行为进行记录；能够审计BTComet、BitTorrent、比特精灵、TurboBT、电骡、VNN、PPlive、PPStream等P2P协议；能够审计通过GOOGLE、百度、淘宝、MSN、天网、雅虎等搜索引擎搜索的关键字内容审计可进行SMTP、POP3、原文和附件（包括ZIP、RAR文件）审计，MSN、WEBMSN、ICQ、YahooMessenger、UC、QQ聊天室、163聊天室、263聊天室、BBS等网上通讯内容审计，FTP数据上传审计等策略管理可定制控制策略、系统策略、内网黑白名单、允许/禁止端口等，支持当前互联网流行的大多数应用以及协议分析，包括HTTP、网络层协议、文件访问协议、邮件、FTP等多种协议，还可以对QQ、MSN、ICQ、YahooMassenger等应用进行封堵实时观察系统可实时显示最新的网络活动的日志信息；包括：上网账号、机器名、分组、上网活动、访问时间；所有实时数据分析的数据图表支持自动刷新流量分析实时流量审计：各主机所产生的内外网流量统计；TOP10地址内网流量统计、并以图标形式显示；单主机的内外网各种协议流量统计。历史流量审计：可以按地址范围、数据流向、时间范围、排名的名次数等用户定义的内容生成流量统计报表地址分类库管理内置URL分类过滤库包含百万个站点以上的记录，含有超过一亿以上的网址，支持用户根据企业内部的网络应用特点自行定义网站分类和网站站点，系统可以对自定义的网站进行按管理策略进行封堵或放行等监控报警管理将所有的报警记录按使用者、上网账号、机器名称、机器IP、时间、外网IP、外网端口、协议种类、备注等信息列表显示，对告警信息进行分析和统计。产生的告警信息能够通过短信报警、邮件方式通知管理人员报表管理提供丰富的报表管理功能；根据时间、数据类型等生成报表，提供打印、导出服务；直观地为管理员提供决策和分析的数据基础，帮助管理员掌握网络及业务系统的状况。报表可以保存为html格式认证管理不改变用户网络结构的情况下，系统以机器IP管理或账号管理方式管理监控范围内的机器，可以对机器或账号实施各种不同的策略。账号控制模式实现了网络实名制管理，同时支持多种第三方认证方式，比如本地认证、Window域服务器、LDAP机器管理自动发现企业的内网中的机器，将被监控主机的IP地址按照子网分类，便于查看，方便管理员的管理工作；可设定空闲IP，限制非法机器连接网络权限管理采用基于角色的权限管理机制，通过角色定义支持多用户访问。角色能够从设备和功能两个维度进行定义，从而达到控制谁可以对什么设备进行什么操作的控制粒度系统配置完成对NBA系统自身的各项配置工作系统安全性用户登陆时，采用了加密的通讯协议，确保了登陆账号、密码及审计数据的保密性；审计数据加密存储性能抓包速率最低配置下50000pps（数据包每秒），峰值达到120000pps事件存储性能事件存储量仅取决于系统所用存储空间大小，标配情况下最少60天平均无故障运行时间（MBTF）不少于60000小时

配置清单设备名称设备参数备注防火墙网御神州SecGate3600-F3百兆，1U机架式；吞吐量≥300Mbps，并发连接数≥40万，配置3个独立网口和8个交换口，共计11个10/100M自适应电口；集成IPSec、SSLVPN功能，资质：必须提供公安部销售许可证、中国信息安全技术产品安全测评证书，中国国家信息安全产品认证证书（CCC认证）、商用密码产品生产定点单位证书、商用密码产品销售许可证；为保证售后服务，必须提供原厂商授权原件。部署于医院网络出口，安全接入Internet，同时对医保网络的访问进行控制，禁止未经授权的非法访问上网行为管理系统网御神州SecFox-NBA-F1、性能:标准机架式设备，产品标配4个10/100/1000M自适应以太网口，抓包率:不低于50000pps（数据包每秒），峰值可达到120000pps,数据保存时间≥60天；2、采用自主开发的SecOS网关安全操作系统；3、采用B/S结构，无需安装任何插件，采用旁路侦听方式接入，在不改变网络结构的情况下精确监控，不会对网络内部的流量与数据信息造成任何瓶颈；4、上网行为审计：能够记录用户网页浏览的时间、URL地址、标题、源目的IP地址、源MAC地址、源目的端口、网址分类信息、机器名称、使用者信息，并且支持对指定的发起网页浏览的IP进行还原。并可实时显示；记录用户炒股用的大智慧、同花顺、钱龙等股票工具的使用时间、源IP地址、源MAC地址、软件名称、机器名称、使用者。并可实时显示。能够审计通过GOOGLE、百度、淘宝、MSN、天网、雅虎等搜索引擎搜索的关键字；5、上网内容审计：记录通过MSN、ICQ、YAHOOMESSENGER、QQ聊天室私聊的内容和通过聊天工具传输的文件。并可实时显示；6、上网行为控制：控制每一种上网行为在从周一到周日任意的时间段（基数为半小时），在允许的时间段内对应的上网行为可以正常进行，在禁止的时间段系统对对应的上网行为采用封堵策略；可结合windowsAD认证和LADP认证；提供本地认证；7、上网行为分析：系统实时显示最新的网络活动的日志信息；包括：上网帐号、机器名、分组、上网活动、访问时间；所有实时数据分析的数据图表支持自动刷新，且刷新时间不大于30秒；8、资质：公安部销售许可证、军用信息安全产品认证证书,中国信息安全技术产品安全测评证书，中国国家信息安全产品认证证书（CCC认证）、国家保密局证书，为了保证产品服务需提供原厂授权及原厂服务承诺函原件。审计和控制上网行为，实时追踪记录审计和控制员工外发数据内容，防止公司资料泄密减少员工因互联网活动所带来的法律责任风险优化使用IT资源，包括带宽和计算机资源实施因特网和应用程序使用策略防火墙硬件服务7*24小时，三年维护服务，硬件备机支持，软件终身升级原厂服务第二部分网神SecGate3600防火墙介绍目录1 概述 202 网神SecGate3600防火墙企业级主要功能列表 203 网神SecGate3600防火墙企业级六大特色 223.1 独立的SecOS安全协议栈 223.2 独创的智能高效搜索算法 233.3 深度的网络行为关联分析 233.4 全面的连接状态监控和实时阻断 233.5 强大的网络拓扑自适应性 233.6 智能便捷的配置向导和管理方式 234 网神SecGate3600防火墙企业级主要功能介绍 244.1 自适应的网络接入模式 244.2 完善的智能包过滤 244.3 强大的抗攻击能力 244.4 全面的NAT地址转换 254.5 丰富的预定义代理和自定义代理 264.6 独创的高效安全规则搜索算法 264.7 全面灵活的连接限制 264.8 策略路由和链路聚合 274.9 动态路由支持 274.10 深度内容过滤 274.11 深度动态协议分析 274.12 全面的VLAN支持 284.13 用户认证 284.14 IP/MAC地址绑定 284.15 灵活的时间调度 284.16 与IDS联动 294.17 入侵检测IPS 294.18 病毒过滤 304.19 流量整形和带宽管理 304.20 完善的DHCP支持 304.21 双机热备和高可用性HA 314.22 全面的系统监控 314.23 便捷的配置向导 314.24 对象名称定义和引用 314.25 丰富、安全的管理方式 324.26 分级权限的安全管理 324.27 与SecFox集中远程管理无缝集成 324.28 完善的系统升级 324.29 系统配置的导入导出 324.30 贴心的安全助手 334.31 全面的日志审计和日志服务器 335 网神SecGate3600防火墙企业级的典型应用环境 335.1 拓扑一：多出口链路聚合 335.2 拓扑二：全冗余的高可用性 341概述网神SecGate3600防火墙企业级是基于状态检测包过滤和应用级代理的复合型硬件防火墙，是专门面向大中型企业、政府、军队、高校等用户开发的新一代专业防火墙设备，支持外部攻击防范、内网安全、网络访问权限控制、网络流量监控和带宽管理、动态路由、网页内容过滤、邮件内容过滤、入侵检测、病毒过滤、IP冲突检测等功能，能够有效地保证网络的安全；产品提供灵活的网络路由/桥接能力，支持策略路由，多出口链路聚合；提供多种智能分析和管理手段，支持邮件告警，支持日志审计，提供全面的网络管理监控，协助网络管理员完成网络的安全管理。2网神SecGate3600防火墙企业级主要功能列表安全防御能力提供基于状态检测的智能包过滤支持SIP/H.323/H.323网守/等动态协议支持802.1QVLAN协议支持双向NAT，支持源地址转换、端口映射、IP映射三种类型的NAT支持静态桥转发表支持多纯透明子桥和接口联动支持IP/MAC地址绑定和自动探测支持新建连接/并发连接限制提供透明网关式应用代理提供HTTP/自定义代理等提供与应用服务无关的用户认证提供基于Web/Portal的无客户端认证有效抵御各种DoS/DDoS攻击提供实时网络连接监控和实时中断提供全面的内外网连接监控VPN支持标准IPSecVPN能够与使用标准IPSec的网关或客户端互联互通支持基于策略的VPN应用支持基于路由的VPN应用（特别适用于大型纵向网络环境）支持基于路由的双VPN隧道备份支持VPN的星型、网状等多种接入方式支持VPN的NAT穿越支持DHCPoverIPSecVPN支持VPN远端状态探测DPD支持遵守VPN客户端提案方式支持PPTP/L2TP拨号VPN支持X-AUTH扩展认证支持本地和RADIUS认证支持LDAP证书获取方式支持VPN证书一次导入导出支持SSLVPN网络适应能力支持透明/桥接/路由/混合模式可适应多种网络拓扑结构和VLANTrunk环境支持策略路由支持基于服务的策略路由支持动态路由RIPv1/v2和OSPF提供目的地址路由、源地址路由和路由负载均衡支持基于应用探测和链路质量探测的多出口路由备份切换支持PPPOE协议，提供ADSL接入方式支持多条ADSL拨号和自动负载均衡提供QoS带宽管理支持DHCP服务器/中继/客户端支持DNS中继支持PPTP的NAT穿越支持数据包分片重组功能深度内容检测支持对URL进行过滤、网页内容过滤、黑名单、白名单、可对允许访问的URL和禁止访问的URL进行日志记录、支持关键字导入支持BT/eDonkey/Kazaa/apple/ares/dc/gnu/soul/winux/thunder等P2P软件的禁止支持BT/eDonkey/Kazaa/apple/ares/dc/gnu/soul/winux等P2P软件的禁止带宽限制支持对迅雷客户端软件和WEB迅雷进行有效的禁止支持对即时通信软件（MSN、QQ、Skype）限制支持新建/并发连接限制，包括保护主机、保护服务、限制主机、限制服务防MAC欺骗和IP盗用可对SMTP协议进行病毒过滤可对POP3协议进行病毒过滤可限制文件最大容量、附件数量，可设置文件夹最大压缩层数支持病毒库升级可对多种常见网络蠕虫进行过滤支持多家IDS联动支持Web应用协议实时入侵防御阻断支持IPS特征库升级高可用性能力支持防火墙双机热备支持防火墙多机负载均衡支持端口链路备份和负载均衡支持服务器负载均衡管理审计能力支持SecGateManager防火墙集中管理系统提供灵活的软件升级方式提供强大的日志管理和日志审计管理员身份认证支持电子钥匙认证或证书认证内置安全助手功能，方便管理员了解内网情况支持活动主机探测，并能根据探测结果自动生成资源对象和安全策略支持开放服务探测，并能根据探测结果自动生成资源对象和安全策略支持内网开放服务版本探测支持内网主机操作系统版本探测支持防火墙系统的实时监控支持实时连接状态监控支持TCP状态统计，能够详细统计出TCP连接总数和ESTABLISHED、LISTEN、SYN-SENT、SYN-RECV、FIN-WAIT、CLOSING、TIME-WAIT、CLOSE-WAIT、LAST-ACK、CLOSED10种状态的连接数数量及占总TCP连接数的比例支持实时路由表查看支持当前配置查看支持IP地址冲突检测支持桥转发表查看支持中文对象名支持管理员分级管理支持配置向导支持系统导入导出配置支持Web界面导出调试信息功能3网神SecGate3600防火墙企业级六大特色3.1独立的SecOS安全协议栈完全自主知识产权的SecOS实现防火墙的控制层和数据转发层分离，全模块化设计，实现独立的安全协议栈，消除了因操作系统漏洞带来的安全性问题，以及操作系统升级、维护对防火墙功能的影响。同时也减少了因为硬件平台的更换带来的重复开发问题。由于采用先进的设计理念，使该SecOS具有更高的安全性、开放性、扩展性和可移植性。硬件抽象层硬件抽象层SecOS安全协议栈控制接口配置管理应用软件图3.1网神SecGate3600防火墙企业级体系架构图3.2独创的智能高效搜索算法采用独创的分段直接寻址搜索算法MSDAL（Multi-StageDirectAddressingLookupAlgorithm），解决了传统防火墙随着安全策略数的增加其性能逐渐下降的问题，确保您在大量安全策略数目情况下仍能获取最高的网络性能！3.3深度的网络行为关联分析采用数据包内容的深度网络行为关联分析技术，让您不再为各种专有动态协议如H.323、等的控制“愁眉不展”！并且增强了您的网络对于各种DDoS攻击的防范能力！3.4全面的连接状态监控和实时阻断全面的连接状态监控，让您及时掌握网络运行状态，配合丰富的连接限制，方便您对迅雷/BT/电驴等P2P应用的控制，以及对感染网络蠕虫病毒的主机进行快速定位和实时阻断！3.5强大的网络拓扑自适应性适应于各种复杂网络拓扑，包括透明桥接、路由以及桥和路由完全自适应识别模式。支持VLAN和VLANTRUNK处理；支持多网络出口的链路聚合和策略路由；支持生成树和每VLAN生成树协议（STP/PVST+）和虚拟路由冗余协议（VRRP），提供全面可靠的二层链路备份和三层路由备份。3.6智能便捷的配置向导和管理方式为安全管理员提供智能便捷的配置向导，让您轻松完成复杂的安全配置！并提供丰富的管理方式，包括本地Console，拨号PPP接入，基于Web（HTTPS）浏览器，远程SSH登录，以及强大的SecFox集中安全管理方式。4网神SecGate3600防火墙企业级主要功能介绍4.1自适应的网络接入模式网神SecGate3600防火墙企业级支持透明桥接、路由、混合（同时存在透明、路由的自适应接入）接入模式。当工作在透明模式时，网神SecGate3600防火墙企业级类似于一个网桥，不需要用户对网络的拓扑做出任何调整；当工作在路由模式时，网神SecGate3600防火墙企业级类似于一个路由器，可以提供策略路由功能；网神SecGate3600防火墙企业级还可以工作在自适应的混合模式下，即防火墙的不同端口有的在同一网段上（透明），有的在不同网段上（路由），这样更方便用户在各种网络环境的接入。4.2完善的智能包过滤网神SecGate3600防火墙企业级根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络接口等对数据包进行访问控制，而且能够记录通过防火墙的连接状态，直接对分组里的数据进行处理；具有完备的状态检测表追踪连接会话状态，并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过，通过连接状态进行更迅速更安全的过滤。支持复杂动态协议的状态包过滤，通过对协议内容的实时分析，动态开放所需的端口，传输结束后实时关闭端口，确保内网安全。4.3强大的抗攻击能力完全自主开发的SecOS安全协议栈，支持对常见攻击的检测和阻断，并可以实现针对ICMP、UDP、TCP的Flood攻击提交频度检查与阈值分析，如针对ICMPFlood完成过滤类型与代码、频度、包长检查，针对UDPFlood完成频度、包长检查，针对Synflood完成频度检查。针对最常见的SynFlood攻击，设置了SYNproxy以保护内部网络和防火墙本身免受此类的拒绝服务攻击，提供高安全性和高可用性。支持对以下攻击的检测：TCP端口扫描UDP端口扫描SynFlood攻击ICMPFlood攻击UDPFlood攻击Pingofdeath攻击Pingsweep攻击IPspoofingLand攻击Teardrop攻击FilterIPsourcerouteoptionWinNuke攻击Synfragments攻击SynandFinbitset攻击NoflagsinTCP攻击FINwithnoACK攻击ICMPfragment攻击LargeICMPIPsourcerouteIPrecordrouteIPsecurityoptionsIPtimestampIPstreamIPbadoptionsUnknownprotocols4.4全面的NAT地址转换支持动态地址转换，支持地址池，即一对一，一对多，多对多支持静态地址转换支持端口转换，支持动态服务的映射，允许用户内部服务对外开放支持反向IP映射，允许用户内部IP主机对外开放支持双向地址转换（一般应用于两边权限对等网络中），即源地址和目的地址的同时转换支持基于策略（基于协议、目的地址）的地址转换4.5丰富的预定义代理和自定义代理网神SecGate3600防火墙企业级提供丰富的代理功能。预定义代理包括：HTTP代理能够对Java、JavaScript、ActiveX进行过滤FTP代理能够对多线程、put和get命令过滤SMTP代理能够对邮件大小、接收人数限制，并按关键字对邮件主题、邮件正文和附件内容、附件名过滤POP3代理能够对邮件大小限制，并按关键字对邮件主题、附件名过滤支持基于TCP协议的用户自定义代理，方便管理员使用4.6独创的高效安全规则搜索算法网神SecGate3600防火墙企业级采用自主设计的分段直接寻址安全规则搜索算法MSDAL（Multi-StageDirectAddressingLookupAlgorithm），解决了传统防火墙随着安全规则数的增加，其搜索速率呈线性递减的问题，确保在大规则数情况下以最短的时间匹配到安全规则。4.7全面灵活的连接限制网神SecGate3600防火墙企业级提供了四种连接限制：保护主机、保护服务、限制主机、限制服务。连接限制可以保护服务器或服务器上提供的某项服务，限制对服务器过于频繁的访问。在规定的时间内，如果某台主机访问服务器超过了所限制的次数，则会对该主机实行阻断，在阻断时间段内，拒绝其对服务器的所有访问。也可以应用此功能对使用迅雷/BT/电驴等连接数目过大严重影响网络流量的用户加以限制。4.8策略路由和链路聚合网神SecGate3600防火墙企业级除常规的按目的IP方式的路由功能外，还支持按源IP方式的路由功能和路由负载均衡，支持多出口时链路聚合。按源IP方式是根据源IP地址来决定下一跳地址。路由负载均衡指按照下一跳的权值来自动选择路由，从而充分利用用户的带宽资源，保护用户投资。另外，还可以支持基于协议和端口进行源路由选择。4.9动态路由支持网神SecGate3600防火墙企业级具备动态路由的功能，可以和路由器或路由交换机进行动态路由互连，甚至替代部分路由器，极大的简化用户组网和节省用户的整体组网投入支持RIPV1/V2协议支持OSPF协议支持路由协议明文/MD5验证支持区域内，区域间路由4.10深度内容过滤网神SecGate3600防火墙企业级具备HTTP、、POP3协议的内容过滤功能，保护终端用户合法有效地使用各种网络资源支持对网页中的java、javascrip、activeX等小程序的过滤支持对邮件的发收信人地址、人数、文件大小过滤，及对邮件主题、正文、收发件人、附件名、附件内容等的关键字匹配过滤支持URL过滤，并支持黑/白名单过滤策略4.11深度动态协议分析网神SecGate3600防火墙企业级支持对网络动态协议的深度分析，全面支持H.323、等动态协议的过滤。4.12全面的VLAN支持网神SecGate3600防火墙企业级能够支持802.1Q封装协议；支持VLANTrunk协议，并可以对Trunk口中的VLANID进行过滤；支持VTP链路聚合协议；支持生成树协议STP和每VLAN的生成树协议PVST+；在路由模式和桥模块下均支持VLAN间路由，方便用户在旁路方式下的接入。4.13用户认证网神SecGate3600防火墙企业级提供协议层用户认证系统，突破认证的服务种类限制，为包过滤、双向NAT、代理等访问控制提供用户认证功能支持用户和组管理，支持用户策略（源IP绑定、可访问目的IP和服务），支持对用户帐号的流量控制和时间控制提供与标准的radius服务器（PAP）联动的用户认证提供本地认证库：提供基于角色的用户策略，并与安全规则策略配合完成强访问控制，支持对用户帐号的流量控制和时间控制，客户端可以修改密码，服务器端检查用户在线状态，支持PAP和S/Key认证协议4.14IP/MAC地址绑定网神SecGate3600防火墙企业级提供IP/MAC地址绑定检查功能，防止IP地址盗用，可以设置绑定的默认策略，提供IP/MAC对的唯一性检查。此外还提供地址对与网口的绑定功能，可以及时定位盗用合法IP/MAC地址对的非法用户。网神SecGate3600防火墙企业级提供IP/MAC自动探测功能，可以大大减轻管理员手工收集IP/MAC对的工作量。4.15灵活的时间调度网神SecGate3600防火墙企业级可设定一次性或周期性的调度规则，对安全规则、用户安全策略等进行调度，给安全管理带来方便。网神SecGate3600防火墙企业级的系统时间可以设置为与时钟服务器的时间同步，也可以设置为与管理主机的时间同步。4.16与IDS联动网神SecGate3600防火墙企业级支持与目前市场上大部分主流IDS产品的联动。当IDS联动产品发现入侵攻击行为时，会通知防火墙。如果防火墙相应网口启用了IDS自动阻断功能，则防火墙会按IDS通知的阻断方式、阻断时间和入侵主机的相关信息，对入侵主机进行阻断。网神SecGate3600防火墙企业级阻断方式包括：对“源IP地址”阻断对“源IP地址、目的IP地址、目的端口、协议”阻断对“源IP地址、目的IP地址、协议、方向（单向、双向、反向）”阻断防火墙阻断协议包括：TCP/UDP/ICMP和所有协议（any）4.17入侵检测IPS网神SecGate3600防火墙企业级采用最新的监测引擎，高效快速分析算法。可以及时有效的发现入侵行为并予以阻止；同时提供在线升级功能，提供最新的入侵特征。网神SecGate3600防火墙企业级可以检测以下常见入侵类型：AtkrespBackdoorInfoMultimediap2ppornscanviruswebcgiwebcfwebclientwebfpwebiiswebphpwebmisc4.18病毒过滤网神SecGate3600防火墙企业级采用最新的病毒过滤引擎，有效保护用户的网络安全提供16万种常见病毒库提供在线升级，实时更新病毒库可以对：SMTP、POP3进行病毒检测和过滤4.19流量整形和带宽管理网神SecGate3600防火墙企业级采用先进的拥塞控制算法、流量调度算法以及优先级排队机制，根据用户定义的带宽策略（最大峰值带宽，最小保证带宽和优先级），动态实现带宽分配的实时控制。具有以下特点：最大限制带宽可以对用户IP地址、服务等通过防火墙的带宽进行限制，例如：限制某个用户对外访问最大带宽，或者访问某种服务的最大带宽。最小保证带宽保证网络中重要服务或者重要用户的带宽不被其他服务或者用户占用，从而保证了重要数据优先通过网络。优先级控制防火墙可以设定4个优先级（0-3），在拥塞情况下，可以进行更加细致的流量控制。4.20完善的DHCP支持支持DHCP客户端防火墙支持动态IP，其接口可以动态地获得IP地址，方便灵活地接入用户的网络环境。支持DHCPser