单位网络改造方案样本

疾控中心网络改造方案8月目录TOC\o"1-4"\h\z\u一、概述 1二、需求分析 1三、方案设计 21 系统设计原则 22 网络基本设计 32.1总体架构设计拓扑图 32.2总体网络架构设计思路 3四、设备选用简介 6五、服务承诺 18六、费用预算 20一、概述我中心网络是由140各种信息点构成中小型网络,当前通过一条10兆广域网线路为本部提供互联网接入服务。二、需求分析当前我中心在内网方面有如下几种方面需要解决。设备更新①互换机、路由器、防火墙等设备升级更换；②办公楼一楼房间网络线路与36个信息点铺设安装；③1-7楼无线网络设施设备安装。

方案设计系统设计原则系统性：站在整个信息安全系统体系高度，统一规划，建立完善框架体系，形成相应规范原则，实现统一系统管理；实用性：以采用最小化建设原则为主线宗旨，以较小资源使用量建设安全系统，使得建成后体系可以充分发挥作用；专业性：提供了与信息服务有关各模型，丰富完善知识库和安全事件管理预案；经济性：在信息服务系统正常运转前提下，综合考虑建设成本、运营成本和维护成本；可伸缩能力：满足将来所支持应用和顾客将有非常大增长，良好伸缩能力不但意味着系统持续性和稳定性，并且也是满足将来服务、应用增长需要必备条件；高可靠性与可用性：对于核心性应用，如果网络发生故障或主机发生宕机现象，会导致严重后果。RAS（可靠、可用、可维护）特性，是系统选型考虑重点；高性能：服务响应速度是保证顾客服务质量和满意限度重要方面。系统高性能保证为顾客提供优质服务，使顾客得到良好响应时间。网络基本设计2.1总体架构设计拓扑图2.2总体网络架构设计思路网络设计上规定高带宽、高可靠性、高可扩展性。本次设计遵循网络拓朴构造层次化总体设计，网络拓朴构造重要由核心层和接入层构成。各层面设备规定能提供各种网络控制，详细是：一、构建各种虚拟网络单位网络按部门被虚拟成各种虚拟网络，并可依照需求增长新虚拟网络。不同虚拟网络之间是不可以直接访问，一种虚拟网络必要通过中心互换机才可以访问其她虚拟网络电脑。二、网络资源访问控制在中心互换机上，可以依照需要开通相应访问权限。三、上网行为管理优化上网行为，提高上网安全。以上设计长处重要有：(1)可扩展性，网络可模块化增长而不会遇到问题；(2)简朴性，通过将网络提成许多虚拟网，减少了网络整体复杂性，使故障排除更容易，能隔离广播风暴传播、防止路由循环等潜在问题；(3)设计灵活性，使网络容易升级到最新技术，升级任意层次网络不会对其她层次导致影响，无需变化整个环境；(4)可管理性，层次构造使单个设备配备复杂性大大减少，更易管理。2.3设备选取考虑到使网络更加合理、此后更好地拓展、有助于查出故障症结，建议配备一台核心互换机。核心互换层是网络核心互换节点，它将各种边沿汇聚层连接起来，进行数据高速转发。顾客数据通过汇聚层上行到核心层，通过核心网获取所需业务。核心互换机：依照需求咱们选用H3CLS-5120-24P-EI互换机作为网络核心设备，背板带宽192Gbps，包转发率：42Mpps。它是一款布置于公司核心高新能互换机，在核心网络中性能、IP服务，冗余性和故障弹性十分重要。H3CLS-5120-24P-EI是H3C公司自主开发千兆三层以太网互换机，具备丰富业务特性，通过H3C特有集群管理管理功能，支持WEB网管，顾客可以简化对网络管理。汇聚层互换机：依照需求咱们选用H3CS3100-26TP-SI互换机作为网络汇聚层设备，背板带宽19.2Gbps，包转发率6.55Mpps。POE供电互换机：POE互换机负责给AP供电，直接关系到无线AP使用，因而咱们推荐使用H3C3100-26TP-PWR-EI，H3C3100-26TP-PWR-EI以太网端口可觉得连接到该端口设备进行远程PoE供电，产品支持VLAN划分、端口限速、RMON1，2，3，9组MIB、IP+MAC+端口三元素绑定、防ARP欺骗、ACL、VLAN-ACL、STP／RSTP、静态LACP等功能，可以通过Telnet、命令行、Web界面、SNMP等各种方式进行管理。支持PoE（PoweroverEthernet）技术，通过以太网对所连接设备（如WirelessAP、IPCamera、IPPhone等）进行远程供电，从而使得不必在使用现场为设备布置单独电源系统，可以极大地减少布置终端设备布线和管理成本。上网行为管理设备：上网行为管理设备选用sangfor公司设备。它是一款多功能网络信息安全管理审计系统。可详细记录网内受控人员，各种惯用网络应用使用状况，传送或接受信息内容。并可配合网络管理或公司方略，对惯用网络应用使用状况与内容，进行记录备案以及弹性方略管控。同步提供了详尽记录分析功能，透过图表分析，使管理者对各种应用使用状况，及对网络所导致影响，尽在掌握。本产品是全方位网络内容安全解决方案，具备WEB、IM、P2P、FTP等应用层(LAYER7)延伸服务内容管理与使用分析，过滤分析技术能涵盖网络层到应用层，以提供网络内容安全纵衡防御服务。它可以对不当信息拦截防护、方略管理、记录报表、流量控管...等各种管理功能，特别有助于对网络使用控管。本产品以便管理，不影响网络运作，是公司进行多通讯端口安全防护。它能协助公司进行网络有效管理，提高网络资源使用效益！设备选型简介H3CLS-5120-24P-EI互换机重要参数产品类型智能互换机应用层级三层传播速率1000Mbps互换方式存储-转发背板带宽192Gbps包转发率42Mpps端口参数端口构造非模块化端口数量28个端口描述24个10/100/1000Base-T以太网端口控制端口1个Console口传播模式支持全双工功能特性VLAN支持基于端口VLAN（4K个）QOS支持IEEE802.1p/DSCP优先级

支持优先级映射

支持端口信任模式

支持端口信任模式

支持端口队列调度（SP/WRR/SP+WRR）组播管理支持IGMPSnoopingv1/v2/v3

MLDSnooping

支持组播VLAN网络管理支持XModem/FTP/TFTP加载升级

支持命令行接口（CLI），Telnet，Console口进行配备

支持SNMP，WEB网管

支持RMON（RemoteMonitoring）

支持iMC智能管理中心

支持系统日记，分级告警，调试信息输出

支持HGMPv2

支持Modem远端拨号

支持NTP

支持Ping，Tracert

支持Telnet远程维护

支持VCT（VirtualCableTest）电缆检测功能

支持Loopback-detection端口环回检测安全管理支持顾客分级管理和口令保护支持Radius认证支持SSH2.0支持802.1X，集中式MAC地址认证支持GuestVLAN支持端口隔离支持端口安全支持MAC地址学习数目限制支持IP源地址保护支持ARP入侵检测功能支持IP+MAC+端口绑定支持EAD支持Triple认证其他参数电源电压AC100-240V，50-60Hz产品尺寸440×160×43.6mm产品重量<3kg环境原则工作温度：0-45℃保修信息保修政策全国联保，享有三包服务质保时间1年质保备注1年免费保修客服电话400-810-0504电话备注24小时电话服务详细内容H3C软件、硬件保修期均指自保修期开始日期起，若干天以内。硬件保修期为1年，在产品阐明书所述正常使用条件下，保修期内硬件浮现工艺或质量问题，H3C接到申请后提供返厂维修服务，周期为H3C收到设备后30天。H3C有权决定对故障件进行维修或更换解决，若更换，更换件也许是新设备或为具备同等类别、功能、质量修复品，更换下来故障件归H3C所有。H3CS3100-26TP-SI互换机重要参数产品类型智能互换机应用层级二层传播速率10/100/1000Mbps互换方式存储-转发背板带宽19.2Gbps包转发率6.55MppsMAC地址表8K端口参数端口构造非模块化端口数量28个端口描述24个10/100Base-T以太网端口，2个10/100/1000Base-T以太网端口，2个1000Base-XSFP千兆以太网端口控制端口1个Console口传播模式全双工/半双工自适应功能特性堆叠功能可堆叠VLAN最多支持4K个符合IEEE802.1Q原则VLANQOS每个端口支持4个输出队列

支持802.1p优先级、DSCP优先级、ip-precedence优先级

支持WRR、HQ+WRR队列调度算法

支持端口发送和接受方向双向端口限速组播管理IGMPv1/v2/v3Snooping网络管理支持命令行接口（CLI），Telnet，Console口配备

支持SNMP

支持iMC网管系统

支持WEB网管

支持系统日记安全管理顾客分级管理和口令保护

支持端口安全，支持端口＋MAC绑定

支持GuestVLAN

支持IEEE802.1X认证

支持集中MAC地址认证

支持SSH2.0其他参数电源电压AC100-240V，50-60Hz电源功率16W产品尺寸440×160×43.6mm产品重量≤3kg环境原则工作温度：0-45℃保修信息保修政策全国联保，享有三包服务质保时间1年质保备注1年免费保修客服电话400-810-0504电话备注24小时电话服务详细内容H3C软件、硬件保修期均指自保修期开始日期起，若干天以内。硬件保修期为1年，在产品阐明书所述正常使用条件下，保修期内硬件浮现工艺或质量问题，H3C接到申请后提供返厂维修服务，周期为H3C收到设备后30天。H3C有权决定对故障件进行维修或更换解决，若更换，更换件也许是新设备或为具备同等类别、功能、质量修复品，更换下来故障件归H3C所有。H3C3100-26TP-PWR-EI互换机重要参数产品类型智能互换机应用层级二层传播速率10/100/1000Mbps互换方式存储-转发背板带宽19.2Gbps包转发率6.6MppsMAC地址表8K端口参数端口构造非模块化端口数量30个端口描述24个10/100Base-TX以太网端口（PoE），2个10/100/1000Base-T以太网端口，2个复用100/1000Base-XSFP端口控制端口1个Console口传播模式支持全双工功能特性堆叠功能可堆叠VLAN支持基于端口VLAN（4K个）

支持基于合同VLAN

支持VoiceVLAN

支持GVRP

支持VLANVPN（QinQ），灵活QinQ

支持基于端口和全局VLANMappingQOS每个端口支持4个输出队列

支持802.1p/DSCP优先级

支持端口队列调度（SP、WRR、SP+WRR）

支持基于流包过滤

支持基于流流量记录

支持基于流重定向

支持基于流优先级标记

支持基于流限速

支持流量整形组播管理IGMPSnoopingv1/v2/v3

组播VLAN网络管理支持XModem/FTP/TFTP加载升级

支持命令行接口（CLI），Telnet，Console口进行配备

支持HGMPv2集群管理

支持SNMPv1/v2/v3，WEB网管

支持RMON1，2，3，9组MIB

支持H3CiMC智能管理中心

支持系统日记，分级告警

支持PING、Traceroute，MulticastTraceroute

支持Telnet远程维护

支持VCT（VirtualCableTest）电缆检测功能

支持DLDP（DeviceLinkDetectionProtocol）单向链路检测合同

支持Loopback-detection端口环回检测

支持IPv6host网络管理特性族安全管理顾客分级管理和口令保护

支持GuestVLAN

支持IEEE802.1X认证/集中MAC地址认证

支持AAA&RADIUS&HWTACACS认证

支持MAC地址学习数目限制

支持MAC地址黑洞

支持SSH2.0

支持EAD（终端准入控制）

支持IP源地址保护

支持ARP入侵检测功能

支持ARP报文限速功能

支持端口隔离

支持IP＋端口绑定

支持IP+MAC绑定

支持端口＋MAC绑定

支持IP+MAC+端口绑定其他参数电源电压AC100-240V，50-60Hz

DC-46--60V电源功率整机最大功耗465W，PoE最大输出功率370W产品尺寸440×420×43.6mm产品重量<6.5kg环境原则工作温度：0-45℃保修信息保修政策全国联保，享有三包服务质保时间1年质保备注1年免费保修客服电话400-810-0504电话备注24小时电话服务详细内容H3C软件、硬件保修期均指自保修期开始日期起，若干天以内。硬件保修期为1年，在产品阐明书所述正常使用条件下，保修期内硬件浮现工艺或质量问题，H3C接到申请后提供返厂维修服务，周期为H3C收到设备后30天。H3C有权决定对故障件进行维修或更换解决，若更换，更换件也许是新设备或为具备同等类别、功能、质量修复品，更换下来故障件归H3C所有。上网行为管理1)、sangforAC-1250-L1安全网关：SANGFORAC-1250-L1多功能安全网关产品规格防火墙基本功能防火墙功能基于状态检测防火墙，防火墙规则可基于时间段生效或失效（时间段可由顾客定制，能精准到半小时）。路由功能支持以源IP地址、目的IP地址、合同、源端口、目的端口为条件方略路由功能，支持PPPOEInternet多线路支持支持多条Internet线路，Internet线路之间可互为备份、负载均衡。NAT功能支持SNAT、DNAT、PNAT。防火墙QOS功能支持智能防火墙QOS功能，可依照源IP地址、目的IP地址、合同、端口对不同业务数据分优先级投递，保证重要业务。布置模式支持路由模式、透明模式、网桥模式、旁路模式等布置方式入侵防御功能入侵检测与防御具有各种袭击特性及脆弱性特性码数据库，以提供对最新威胁防护；与内部防火墙联动以及时阻断袭击。袭击种类可提供对特洛伊木马、蠕虫、病毒、DoS/DDoS袭击及混合威胁（甚至涉及复杂多形态袭击）最大防护。DOS类病毒发现系统通过智能记录网络流量和特性数据流量(如SYN)来发现异常行为，从而发现并阻断内网感染病毒主机。网络准入规则采用网络准入规则，保证只有安装了指定防毒软件和系统补丁主机才干使用Internet，大大减少主机被植入钓鱼软件和木马风险。VPNVPN支持IPSECVPN防DOS袭击功能防DOS袭击可防止来自内、外网DOS袭击行为，侦测出内部发起袭击终端。网关杀毒功能网关防毒功能集成杀毒引擎；可支持HTTP、POP3、SMTP、FTP等合同网络防毒功能。顾客认证功能顾客认证功能支持基于IP-MAC和触发式WEB认证。顾客认证方式支持基于LDAP、Radius、和本地顾客密码认证方式（在WEB认证时应支持某些IP范畴顾客可不通过WEB认证）。顾客认证管理可提供WEB界面，查看WEB认证后来顾客列表和当前在线顾客列表。网页控制功能URL（网址）过滤支持URL分类，基于时间段URL过滤、时间段可定制。核心字过滤可限制通过网页搜索某些核心字（核心字可定义），可限制顾客通过BBS、Webmail、Blog等方式发送带有敏感字样言论。文献类型限制可限制顾客通过HTTP、FTP下载、上传指定类型文献。邮件控制功能邮件地址限制可限制指定后缀邮件地址通过SMTP发送邮件。邮件控制功能可控制那些顾客可以使用那些邮箱发送邮件或控制那些顾客把邮件发送至某个信箱，可控制顾客发送邮件附件及附件类型等。邮件监控功能可监控所有通过Outlook、Foxmail发送，接受邮件；可监控所有通过WEB页面上传邮件。核心字过滤可限制发送具有核心字邮件。附件类型限制可限制发送带有指定类型邮件。邮件延迟审计功能可以对外发邮件进行延迟缓存，审计后才干发出，保证信息资产不外泄。垃圾邮件过滤功能可对接受邮件进行垃圾邮件过滤，具备不少于三种过滤控制办法。上网控制功能上网控制可分组、分时段、分顾客控制顾客可以使用网络服务。代理辨认可以辨认并禁止使用HTTP、Socks代理。IM控制可封堵所有聊天软件，涉及国产聊天软件，如：QQ、网易泡泡等。P2P控制可分组、分顾客、分时段控制顾客使用BT、电驴、迅雷等P2P软件。监控功能访问网站监控可分组、分顾客监控顾客访问所有网址。网络言论监控可分组、分顾客监控顾客通过BBS、WEBMail、BLog等发送网络言论。邮件监控可监控顾客发送、接受所有邮件包括附件。IM软件监控可监控顾客MSN聊天记录、监控QQ聊天记录、监控ICQ行为、监控YahooMsg行为。FTP监控可监控顾客通过FTP上传文献（内容）和FTP上传下载行为Telnet监控可监控顾客Telnet行为。其他网络行为监控可监控顾客其他所有网络行为。数据报表中心功能日记服务器规定可以使用独立日记服务器，容量无限制；支持自动定期备份；支持转换日记为原则TXT文献，便于导入到MSSQL或ORACLE数据库进行二次开发和分析；可用独立数据中心进行详细分析。数据报表中心方式支持独立于网关网络监控数据报表中心，可在一种报表中心以WEB方式查看多台网关设备监控数据。报表分析规定支持对各种网络监控数据进行报表分析及图形化分析，涉及柱状图、饼状图等。监控查询简朴查询：可定义对顾客、组、IP、指定端口、相应动作进行查询复杂查询：除了简朴查询条件以外，可对目的对象按照目的地址、目的端口等条件进行查询，并可对访问目的包括哪些核心字、访问网站进行查询，并可对发生动作、时间段等组合条件进行详细检索。监控趋势可对指定顾客、组在相应时间段内活动趋势用曲线图表达，并用列表详细表达出详细动作如：访问网站、FTP、MSN、QQ等在某个时间段总记录。监控排行可按照组、顾客、服务、URL、动作分布进行排名，管理员可充分理解每个内网顾客使用Internet资源详细状况。监控记录摘要显示指定期间内网络监控记录总数、目的网站总数、目的IP地址总数、包括附件监控记录，同步列出被监控顾客数和组数目。并对网络活动最活跃访问控制组和顾客进行分类显示。流量控制功能流量控制可分组、分顾客控制顾客使用Internet流量。P2P流量控制可分组、分顾客限制顾客P2P应用流量。客户端安全功能客户端安全准入规则可禁止缺少安全保护办法顾客终端使用互联网。可禁止内网顾客使用代理软件代理她人上网。最大支持移动顾客数量1500防火墙吞吐速度100M杀毒速度30Mbps病毒邮件扫描速度50封/秒垃圾邮件扫描速度50封/秒转发时延0.3-0.5ms并发会话数目500000最大防火墙规则数目65535最大时间规则数目1024最大URL匹配数目1024最大QOS规则数目1024网络接口原则接口局域网接口：1000BASE-T(RJ-45)*2广域网接口：1000BASE-T(RJ-45)*2串口RS232*1物理指标电源180-240V尺寸(cm)1U顾客数负载满足顾客数200-250人以内，互联网带宽在20M以内2)、sangforAF-1320-L1项目详细功能性能及配备网络接口4个10/100/1000Base-T千兆电口一种串口并发顾客数*≥400Bypass功能*支持故障时Bypass功能尺寸原则1U机架尺寸布置方式网关模式*支持网关模式，支持NAT、路由转发、DHCP等功能；网桥模式支持网桥模式，以透明方式串接在网络中；混杂模式同步启动支持网关和网桥模式网关管理管理界面支持SSL加密WEB方式管理设备；分级管理*不同顾客组管理权限支持分派给不同管理员；告警管理*支持袭击、病毒、服务器入侵、访问行为记录、内容过滤事件、系统日记告警等；排障工具*提供图形化排障工具，便于管理员排查方略错误等故障；实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线顾客数、系统时间、网络接口等信息；流量状态*实时提供顾客流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息；安全状态*实时显示当天安全状况，最后发生安全事件时间、类型、总次数、源对象，协助管理员解决安全事件；防火墙功能包过滤与状态检测*可以提供静态包过滤和动态包过滤功能。支持应用层报文过滤，涉及：应用层合同：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245，RTP/RTCP）、SQLNET、MMS、PPTP、L2TP等；传播层合同：TCP、UDP抗袭击特性*支持防御Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing、CC、SYNFlood、ICMPFlood、UDPFlood、DNSQueryFlood、ARP欺骗袭击防范、ARP积极反向查询、TCP报文标志位不合法袭击防范、支持IPSYN速度限制、超大ICMP报文袭击防范、地址/端口扫描防范、DoS/DDoS袭击防范、ICMP重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能、MAC和IP绑定功能。NAT功能支持各种内部地址映射到同一种公网地址、各种内部地址映射到各种公网地址、内部地址到公网地址一一映射、源地址和目地址同步转换、外部网络主机访问内部服务器、支持DNS映射功能可配备支持地址转换有效时间支持各种NATALG，涉及DNS、FTP、H.323、SIP等IPSecVPN功能支持AH、ESP合同、手工或通过IKE自动建立安全联盟、ESP支持DES、3DES、AES、国密办算法各种加密算法支持MD5及SHA-1验证算法支持IKE主模式及野蛮模式支持NAT穿越支持使用LZO高速压缩算法应用访问控制方略应用辨认*支持对600种以上应用、顾客名进行辨认,可以辨认P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等合同；支持https(ssl）合同和sangforvpn（即公共平台VPN，不涉及SSLVPN）数据辨认；支持自定义规则;应用访问方略*可以提供基于应用辨认类型、顾客名、接口、安全域、IP地址、端口、时间进行应用访问控制列表制定威胁检测机制威胁检测引擎*支持基于特性匹配、合同异常检测、智能应用辨认等方式针对已知威胁进行检测；*支持基于威胁关联分析检测机制，针对未知威胁进行分析检测IPS漏洞防护防护袭击类型涉及蠕虫/木马/后门/DoS/DDoS袭击探测/扫描/间谍软件/运用漏洞袭击/缓冲区溢出袭击/合同异常/IPS逃逸袭击等防护对象分类*漏洞分为保护服务器和保护客户端两大类，同步具备安全界别分类：如“高”、“中”、“低”等。漏洞描述漏洞详细信息显示：漏洞ID、漏洞名称、漏洞描述、袭击对象、危险级别、参照信息、地址等内容，便于维护方略制定可依照源区域、目区域、目IP组，目IP组支持多选进行IPS方略配备特性库数量*袭击特性库：2200+，并且可以自动或者手动升级防躲避*支持TCP合同乱序重传、TCP分包解决动作*支持自动拦截、记录日记、上传灰度威胁到“云端”服务器防护Web袭击防护*保护服务器免受基于Web应用袭击，如SQL注入防护、XSS袭击防护、CSRF袭击防护、支持依照网站登录途径保护口令暴力破解Web服务隐藏*支持Web网站隐藏，涉及HTTP响应报文头和HTTP出错页面过滤，web响应报文头可自定义方略制定配备选项:可设立源、目区域、目IP和端标语，端标语支持设立Web应用、FTP、mysql、telnet、ssh服务端标语其她应用防护支持FTP隐藏、ftp弱口令防护、telnet弱口令防护访问权限控制支持文献上传服务器过滤、支持指定URL黑名单、加入排除URL目录功能病毒防护病毒引擎*基于流引擎查毒技术，可以针对HTTP、FTP、SMTP、POP3等合同进行查杀防护类型*能实时查杀大量文献型、网络型和混合型等各类病毒；并采用新一代虚拟脱壳和行为判断技术，精确查杀各种变种病毒、未知病毒。病毒库数量*支持10万条以上病毒库，并且可以自动或者手动升级解决动作*检测到病毒后操作：支持记录日记、阻断连接WEB安全防护URL过滤*对顾客web行为进行过滤，保护顾客免受袭击；支持只过滤HTTPGET、HTTPPOST、HTTPS等应用行为；并进行阻断和记录日记文献类型过滤支持针对上传、下载等操作进行文献过滤；支持自定义文献类型进行过滤；支持基于时间表方略制定；支持解决动作涉及：阻断和记录日记ActiveX过滤*支持基于签名证书ActiveX过滤；支持添加白名单和合法网站列表；支持基于应用类型ActiveX过滤，如视频、在线杀毒、娱乐等；脚本过滤*支持基于操作类型脚本过滤，如注册表读写、文献读写、变形脚本、威胁对象调用、恶意图片等*流量管理多线路技术*网关能同步连接多条外网线路，且支持多线路复用和智能选路技术虚拟多线路支持将多条外网线路虚拟映射到设备上，实现对多线路分别流控；父子通道支持流量父子通道技术，且至少支持三级父子通道；应用流控*支持基于应用类型划分与分派带宽网站流控支持基于网站类型划分与分派带宽；文献流控*支持基于文献类型划分与分派带宽；时间控制支持基于时间段带宽划分与分派方略；目的IP流控支持基于访问行为目的IP实现带宽划分与分派；流量配额支持对单个顾客\顾客组设立日流量、月流量配额功能；顾客管理本地认证支持触发式WEB认证，静态顾客名密码认证等；第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证；双因素认证支持以USB-Key方式实现双因素身份认证；IP、MAC认证支持IP认证、MAC认证，及IP/MAC绑定认证等；新顾客认证*依照新顾客源IP网段实现：1、新顾客差别化账户创立规则；2、新顾客差别化自动分组规则；3、新顾客差别化认证规则；4、新顾客差别化IP、MAC绑定规则；公用账户*支持多人使用同一帐号登录，且支持重复登陆检测机制；账户有效期*指定账户支持有效期限制，并支持自动过期；单点登录*支持AD、POP3、Proxy单点登录，简化顾客操作；*可强制指定顾客、指定IP段顾客使用单点登录；强制AD认证*指定顾客用AD域账户登录操作系统，否则禁止上网；认证失败*支持为认证失败顾客提供基本网络访问权限机制；页面跳转*认证成功顾客支持页面跳转：1、跳转到顾客原本输入URL地址；2、跳转到管理员指定URL地址；3、跳转到该顾客上网信息排行页面；4、跳转到注销页面;认证后公示*支持向认证通过顾客显示指定网页；帐户导入*支持从本地导入和扫描导入，支持以文本导入帐户/分组/IP/MAC/描述/密码等信息；*支持从LDAP服务器导入账户及分组信息；组织构造*顾客分组支持树形构造，支持父组、子组、组内套组等；顾客状态查询支持顾客登录注销历史查询，涉及显示上网流量网络合同IP服务ARP、域名解析、IPUNNUMBERED、DHCP中继、DHCP服务器、DHCP客户端路由服务支持静态路由、RIPv1/2、OSPF、方略路由*独立数据中心内置MySQL，无需单独安装其她数据库；日记分级审查*管理员登录数据中心只能审计指定顾客组日记；记录报表*支持自定义记录指定IP/顾客组/顾客/应用在指定期间段内服务器安全风险、终端安全风险、上网行为、网络流量等内容，并形成报表；趋势报表*支持自定义记录指定IP/顾客组/顾客/应用在指定期间段内服务器安全风险、终端安全风险、上网行为、网络流量等内容形成报表；汇总报表*支持将指定期间段、指定应用流量、行为、顾客访问分布等汇总并输出报表；汇总对比报表*支持将所有顾客/顾客组/IP所有安全风险记录/流量/趋势等与前一天/前一周/前一月对比并输出报表；指定对比报表*支持将指定顾客/顾客组/IP指定安全风险记录/流量/趋势等与前一天/前一周/前一月对比并输出报表；IPS\服务器防护记录支持将应用受袭击对象进行记录排行和报表输出，支持按照行为次数和应用排行记录各袭击类型名称；支持各种袭击类型报表输出和记录；病毒信息记录*支持将内网也许中毒顾客进行记录排行和报表输出，支持按照行为次数和顾客数排行记录各新增病毒名称，支持依照病毒、恶意脚本、恶意插件信息记录新增恶意URL排行；危险行为报表*支持对终端发生危险行为(木马、间谍软件、垃圾邮件发送)进行记录和报表输出；风险智能报表*能依照管理者自定义风险行为特性自动挖掘并输出风险行为智能报表；流速趋势报表*支持将指定期间段内、指定顾客组/顾客/应用网络流量以条带叠加图形式直观显示；报表订阅*支持将记录/趋势/查询等报表自动发送到指定邮箱；报表导出支持导出记录/趋势/查询等报表，涉及Excel、PDF等格式；

服务承诺远程技术支持服务：

验收合格1年内，我方为需求方免费提供远程技术支持服务，即：浮现网络故障，通过电话支持无法解决状况下，可通过远程调试技术支持服务予