(完整word版)网闸技术白皮书

40088-57597一、IT管理现状 (3)二、网管软件发展史 (4)三、产品定位 (5)四、系统架构 (6)五、功能模块 (6)1、整体 (6)2、我的 (7)3、一览 (8)4、视图 (9)5、故障 (9)6、分析 (10)7、工具 (11)8、增值 (12)六、技术特色和优点 (12)1、管理视角 (12)（1）自定义页面 (12)（2）结构化数据（一览） (13)（3）CMDB (14)（4）快照 (15)（5）知识库联动 (15)（6）报表与分析 (16)2、架构先进 (19)（1）智能轮询和指标系统 (19)（2）自定义指标 (19)（3）自定义通用指标 (20)（4）业务和健康度模型（可选功能） (21)（5）异常/故障管理 (22)（6）模板管理 (24)3、人机交互 (27)（1）Flex拓扑图 (27)（2）系统运行一目了然（整体） (29)（3）页面轮换和拓扑轮换 (30)（4）大屏幕展示（可选功能） (31)（5）多种告警方法 (31)4、增值模块（可选功能） (33)（1）IP- MAC绑定（可选功能） (33)（2）配置管理（可选功能） (34)（3）运维管理（可选功能） (35)（4）机房管理（可选功能） (36)一、IT管理现状随着计算机技术和互联网的发展以及我国信息化的普及与应用，各行各业开始大规模的建立网络来推动电子商务和政务的发展，不论是政府、金融、教育、医疗等单位都逐渐将核心业务移植到电子和网络上。

而这些行业用户比以前任何时候都更加依赖于网络、IT基础设施以及应用系统来满足其核心业务需要。

企业IT部门的职责也在潜移默化中转变：由关注建设到关注规划、由关注技术到关注应用、由被动实现业务需求到主动参与业务流程的制定等等。

一言以蔽之，企业正在经历面向业务，优化服务的转变。

而在这个背景下，IT部门却正面临着三个挑战与一个矛盾：●挑战一：客户满意度如今通过网络应用后，工作虽方便了，但对网络应用也越来越挑剔，要求也越来越高，要做到让所有人都满意却是越来越困难。

360网络安全准入系统技术白皮书奇虎360科技有限公司二O一四年十一月360网络安全准入系统技术白皮书目录第一章前言 .......................................................................................................................................第二章产品概述.....................................................................................................................................2.1产品构成 ............................................................................................................................................2.2设计依据 ............................................................................................................................................第三章功能简介.....................................................................................................................................3.1 网络准入 ...........................................................................................................................................3.2认证管理 ............................................................................................................................................3.2.1保护服务器管理 .............................................................................................................................3.2.2 例外终端管理 ................................................................................................................................3.2.3重定向设置......................................................................................................................................3.2.3 认证服务器配置 ............................................................................................................................3.2.4 入网流程管理 ................................................................................................................................3.2.5 访问控制列表 ................................................................................................................................3.2.6 ARP准入 .........................................................................................................................................3.2.7 802.1x...............................................................................................................................................3.2.8 设备管理.........................................................................................................................................3.3用户管理 ............................................................................................................................................3.3.1认证用户管理 .................................................................................................................................3.3.2注册用户管理 .................................................................................................................................3.3.3在线用户管理 .................................................................................................................................3.3.4用户终端扫描 .................................................................................................................................新3.4 策略管理 ......................................................................................................................................3.4.1 策略配置.........................................................................................................................................3.5系统管理 ............................................................................................................................................3.5.1系统配置..........................................................................................................................................3.5.2接口管理..........................................................................................................................................3.5.3 路由管理.........................................................................................................................................3.5.4 服务管理.........................................................................................................................................3.5.5 软件升级.........................................................................................................................................3.5.6 天擎联动.........................................................................................................................................3.6系统日志 ............................................................................................................................................3.6.1违规访问..........................................................................................................................................3.6.2心跳日志..........................................................................................................................................3.6.3 认证日志.........................................................................................................................................3.6.4 802.1x认证日志 ............................................................................................................................. 第四章产品优势与特点 ........................................................................................................................ 第五章产品性能指标 ............................................................................................................................5.1测试简介.............................................................................................................................................5.2被测设备硬件配置 ............................................................................................................................5.3 360NAC抓包性能指标 .................................................................................................................... 第六章产品应用部署 ............................................................................................................................6.1 360NAC解决方案.............................................................................................................................6.1.1部署拓扑..........................................................................................................................................6.2.基本原理...........................................................................................................................................6.2.1 360NAC工作流程图 .....................................................................................................................6.2.2 360NAC工作流程图详述 ............................................................................................................. 流程一部署............................................................................................................................................... 流程二部署............................................................................................................................................... 流程三部署...............................................................................................................................................第一章前言网络信息化的飞速发展为用户内网管理带来新的问题和挑战，主要体现在以下几方面：1)外来终端随意地访问网络，不设防；2)内网中的用户可以随意地访问核心网络，下载核心文件；3)不合规终端也可以接入到公司核心服务，对整个网络安全带来隐患；针对以上问题以及诸多安全隐患，360互联网安全中心凭借多年信息安全领域的技术积淀，推出了基于终端应用的准入系统（简称360NAC）。

基于802.1X的可信网络连接技术技术白皮书神州数码网络2010-5-51.概述网络安全伴随网络技术发展是网络管理非常关注的课题，网络安全技术从最简单的访问控制列表发展到包括防火墙、入侵检测、入侵防御、主机杀毒、主机防火墙等一系列产品和技术，这些产品和技术构成功能单一的网络安全防护系统。

终端准入控制技术是网络安全蓬勃发展的另一个技术潮流，例如802.1X、VPN等技术，这些技术通过身份管理解决了网络安全—网络准入的问题。

将终端准入与终端安全融合一起，以终端安全为基础配合其它产品和技术来实现网络安全，在此技术思路下业内出现了一种新的网络准入控制解决方案，该方案配合网络设备例如交换机、路由器、防火墙、VPN网关等等对接入终端实施安全策略检查，在终端身份可信基础之上继续检查终端的安全状态，在确保终端安全状态可信基础之上才允许终端接入网络，实现可信网络连接。

思科提出了网络准入控制技术NAC（Network Admission Control），通过终端软件与与网络接入设备（通常是交换机，也可以是防火墙）协同工作实现网络访问控制。

NAC 是构建在思科系统公司领导的行业计划之上的一系列技术和解决方案。

NAC 使用网络基础设施对试图访问网络计算资源的所有设备执行安全策略检查，从而限制病毒、蠕虫和间谍软件等新兴安全威胁损害网络安全性。

实施NAC 的客户能够仅允许遵守安全策略的可信终端设备(PC、服务器及PDA等)访问网络，并控制不符合策略或不可管理的设备访问网络。

微软的网络准入保护技术NAP（Network Access Protection），用于执行计算机运行状况策略验证，确保始终符合运行状况策略，并有选择地限制运行状况不正常的计算机只有在恢复正常后才能进行访问。

网络访问保护包括客户端体系结构和服务器体系结构。

管理员可根据其网络需要配置DHCP 隔离、VPN 隔离、802.1X 隔离、IPsec 隔离，或所有这四项。

珠海伟思隔离网闸技术白皮书目录一、概述 (2)一、 .......................................................................................................................................... 网络安全现状 2二、 ................................................................................................................................. 现有网络安全技术 23、现有网络安全技术（防火墙技术）的缺点 (3)4、GAP技术简介 (3)二、ViGap介绍 (6)一、ViGap产品简介 (6)2、ViGap产品原理 (6)三、ViGap功能 (7)一、ViGap产品定位 (7)2、ViGap产品功能 (8)四、ViGap产品性能 (9)一、ViGap产品技术指标 (9)ViGap 100-150 (10)ViGap 100-350 (10)2、ViGap产品硬件和软件包 (10)五、ViGap产品应用 (11)一、通用解决方案 (11)二、重要网络数据资源保护 (12)3、电子政务安全岛 (12)ViGap技术白皮书一、概述1、网络安全现状运算机网络的普遍应用是现今信息社会的一场革命。

电子商务和电子政务等网络应用的进展和普及不仅给咱们的生活带来了专门大的便利，而且正在创造着庞大的财富，以Internet 为代表的全世界性信息化浪潮日趋深刻，信息网络技术的应用正日趋普及和普遍，应用层次不断深切，应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。

与此同时，运算机网络也正面临着日趋剧增的安全要挟。

广为网络用户所知的黑客行为和解决活动正以每一年10倍的速度增加，网页被修改、非法进入主机、发送冒充电子邮件、进入银行系统盗取和转移资金、窃取信息等网络解决事件此起彼伏。

BFD技术白皮书本文档介绍了双向转发检测（BFD）技术的原理及应用，BFD是一套用来快速检测的国际标准协议，提供了一种轻负荷，短周期的故障检测。

迈普公司已在高端网络产品上实现了BFD技术，可以为用户提供完整的解决方案，从而能够大幅提高网络的服务质量。

目录1概述 (3)2 技术简介 (3)2.1BFD技术原理 (3)2.2 术语 (4)3 关键技术 (4)3.1 报文格式 (4)3.2 协议状态机 (6)3.3工作模式 (7)3.4会话的建立 (8)4 典型应用 (11)4.1 BFD加快路由协议收敛 (11)4.2 BFD加快VRRP协议收敛 (12)1概述众所周知，IP网络并不具备秒级以下的间歇性故障修复功能，而传统路由架构在对实时应用(如语音)进行准确故障检测方面能力有限。

随着VoIP应用的激增，实现快速网络故障检测和修复越发显得必要。

网络设备的一个日益重要的特色就是可以迅速的检测到临近系统之间的通信故障，以便更快的建立或切换到备用路径。

在某些环境中由于数据链路硬件的作用可以使故障检测相当的迅速(例如SDH)。

但是很多媒介并没有提供这种能力(例如以太)，还有一些无法实现端到端的路径检测。

如果硬件不能够对故障检测提供帮助时，网络中将使用缓慢的Hello机制来进行故障检测，这一般是由路由协议来提供。

而目前存在的路由协议所能够提供的可以检测到网络故障的最快时间基本都是秒级的，这对于某些应用来说实在是太长了，并且当网络业务达到吉比特时，秒级的故障检测速度将会导致大量数据的丢失。

此外，路由协议所提供的Hello机制只有当该路由协议被使用时才有效，并且路由协议所提供的检测含义略有不同——它们检测的是两个路由协议引擎之间路径上的故障。

双向转发检测(Bidirectional Forwarding Detection ,BFD)能大大提高网络的故障检测速度。

IETF草案标准BFD提供了一种简单、轻量和抽象的方法，对网络链接能力和系统通信转发功能进行检测。

科博安全隔离与信息交换系统（CopGap200）技术白皮书中铁信安（北京）信息安全技术有限公司2011年4月目录1.产品研制背景 (4)2.产品介绍 (5)2.1.概述 (5)2.2.体系结构 (5)2.3.功能性能指标 (6)2.3.1.功能指标 (6)2.3.2.性能指标 (7)3.产品功能描述 (9)3.1.信息交换功能 (9)3.1.1.文件交换功能 (9)3.1.2.Web交换功能 (9)3.1.3.数据库交换功能 (10)3.1.4.邮件交换功能 (10)3.1.5.定制应用数据交换 (11)3.2.安全控制功能 (11)3.2.1.访问控制功能 (11)3.2.2.数据内容审查功能 (12)3.2.3.病毒防护功能 (12)3.2.4.文件深度检查功能 (12)3.2.5.入侵检测与防御功能 (13)3.2.6.身份认证功能 (13)3.2.7.虚拟专网（VPN）功能 (13)3.2.8.流量控制功能 (14)3.3.系统监控与审计功能 (14)3.3.1.系统监控功能 (14)3.3.2.日志审计功能 (14)3.3.3.报表管理功能 (15)3.4.高可用性功能 (15)3.4.1.双机热备功能 (15)3.4.2.负载均衡功能 (16)4.产品使用方式 (16)4.1.部署方式 (16)4.2.管理方式 (17)5.产品应用范围 (18)5.1.核心数据库的访问 (18)5.2.核心服务器保护 (19)5.3.内外网络之间的数据同步 (20)1.产品研制背景传统的安全防御体系是以防火墙为核心的防御体系，通过纵深防御、系统联动达到协同保护网络安全的目的。

尽管防火墙在安全防御中作为一种核心的访问控制手段，起到了不可替代的作用，但以防火墙为核心的防御体系已经不能满足网络安全的真正需求。

分析防火墙的发展历程其实一直在追求安全性和系统性能的平衡点。

防火墙工作层次愈低，其性能愈高，安全性就愈差；工作层次愈高，其性能愈差，但安全性愈高。

技术白皮书目录第一部分公司简介 (4)第二部分网络安全的背景 (4)第一章网络安全的定义 (4)第二章产生网络安全问题的几个方面 (5)2．1 信息安全特性概述 (5)2. 2 信息网络安全技术的发展滞后于信息网络技术。

(5)2．3TCP/IP协议未考虑安全性 (5)2．4操作系统本身的安全性 (6)2．5未能对来自Internet的邮件夹带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制 (6)2．6忽略了来自内部网用户的安全威胁 (6)2．7缺乏有效的手段监视、评估网络系统的安全性 (6)2．8使用者缺乏安全意识，许多应用服务系统在访问控制及安全通信方面考虑较少，并且，如果系统设置错误，很容易造成损失 (6)第三章网络与信息安全防范体系模型以及对安全的应对措施 (7)3.1信息与网络系统的安全管理模型 (7)3.2 网络与信息安全防范体系设计 (7)3.2.1 网络与信息安全防范体系模型 (7)3.2.1.1 安全管理 (8)3.2.1.2 预警 (8)3.2.1.3 攻击防范 (8)3.2.1.4 攻击检测 (8)3.2.1.5 应急响应 (9)3.2.1.6 恢复 (9)3.2.2 网络与信息安全防范体系模型流程 (9)3.2.3 网络与信息安全防范体系模型各子部分介绍 (11)3.2.3.1 安全服务器 (11)3.2.3.2 预警 (11)3.2.3.3 网络防火墙 (11)3.2.3.4 系统漏洞检测与安全评估软件 (12)3.2.3.5 病毒防范 (12)3.2.3.6 VPN (13)3.2.3.7 PKI (13)3.2.3.8 入侵检测 (13)3.2.3.9 日志取证系统 (14)3.2.3.10 应急响应与事故恢复 (14)3.2.4 各子部分之间的关系及接口 (14)第三部分相关网络安全产品和功能 (16)第一章防火墙 (16)1.1防火墙的概念及作用 (16)1.2防火墙的任务 (17)1.3防火墙术语 (18)1.4用户在选购防火墙的会注意的问题： (20)1.5防火墙的一些参数指标 (22)1.6防火墙功能指标详解 (22)1.7防火墙的局限性 (26)1.8防火墙技术发展方向 (26)第二章防病毒软件 (30)2．1病毒是什么 (30)2．2病毒的特征 (31)2．3病毒术语 (32)2．4病毒的发展的趋势 (34)2．5病毒入侵渠道 (35)2．6防病毒软件的重要指标 (36)2．7防病毒软件的选购 (37)第三章入侵检测系统（IDS） (38)3.1入侵检测含义 (38)3.2入侵检测的处理步骤 (39)3.3入侵检测功能 (42)3.4入侵检测系统分类 (43)3.5入侵检测系统技术发展经历了四个阶段 (44)3.6入侵检测系统的缺点和发展方向 (44)第四章 VPN（虚拟专用网）系统 (44)4.1 VPN基本概念 (44)4.2 VPN产生的背景 (45)4.3 VPN的优点和缺点 (45)第五章安全审计系统 (46)5.1、安全审计的概念 (46)5.2：安全审计的重要性 (46)5.3、审计系统的功能特点 (46)第六章漏洞扫描系统 (47)第七章身份认证系统 (PKI 系统) (48)第一部分公司简介第二部分网络安全的背景第一章网络安全的定义国际标准化组织（ISO）将计算机安全定义为“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。

试析税务内外网在物理隔离下的数据交换技术及其安全解决方案随着信息化的不断深入，各级税务机关均建成了自己的内部网络系统，实现了部门内部的信息交换和共享。

为了进一步提高信息化水平，实现电子政务的要求，税务机关需要与因特网上的社会用户交换信息，同时政府机关各部门之间也需要进行信息交换和共享，这就涉及到内外网互通的安全与防范问题，为此，中共中央办公厅在[2002]17号文件中明确规定：“电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。

”本文，我们就如何通过网闸技术解决税务内外网有效物理隔离问题进行以下探讨。

一、税务内外网互通需要进行物理隔离目前，税务部门的网络系统主要划分为两部分：税务内网信息系统和税务外网信息系统。

在税务内网中运行多个涉及税务内部业务和办公的应用系统，包括电子申报处理系统、证书申请处理/审核系统、征管系统以及各种数据库系统等，是税务系统的重要业务网络，属于核心保密级网络，需要进行高安全的防范；同时该网还需要与各业务专网相连，例如商业银行专网，通过“银税联网”，方便纳税人直接通过银行处理税务相关业务。

而税务外网运行涉及多个税务外部业务，属于普通保密级网络，并通过互联网提供网上报税、便民服务，该网络是税务业务系统的外延，是对外服务的窗口，包括电子申报受理系统、证书申请WEB服务器，四小票接受系统等等。

税务系统的对外业务服务必须要通过互联网来完成，例如税务信息公布、企业初始数据的采集、网上报税等，但对于这些数据的审核往往需要由处于内网中的税务人员来完成。

另外对于税务系统而言，所有初始数据和审批过程都需要备份，存入税务内网的数据库中。

因此，需要建立税务网络安全整体防护体系，提高税务网络的安全保障能力。

通常的做法是，在各网络边界大量部署防火墙、在网络内部部署防病毒、漏洞扫描，以至入侵检测等安全设备，来防止和减少外界威胁，这些技术都可在一定程度上提供安全保护。