株洲兴隆新材料股份有限公司云桌面技术方案

株洲兴隆新材料股份有限公司云桌面技术方案二零一六年九月1、项目背景1. 项目概述作为一家高科技研发型企业，株洲兴隆新材料股份有限公司面临着巨大的信息安全挑战，对于终端的信息安全控制亟待加强；同时，随着研发中心规模的不断扩大，桌面管理、应用软件部署推广、用户远程接入、移动办公等问题和需求也在持续增加。因此，期望借助桌面虚拟化技术的引进，解决通过终端的信息泄露隐患问题，同时能支持研发中心的快速发展；大幅提升用户的桌面体验，满足办公和生产的需求，提高IT对于桌面的运维能力。计划对现有的用户桌面进行逐步改造，建立企业私有虚拟桌面云。要求可以保证敏感数据的安全、集中化管理用户的桌面环境，同时尽量保证用户的桌面使用习惯和使用体验。2. 项目建设意义为了在业务不断发展的过程中，不断提升IT的敏捷度，实现数据的集中管理，提高安全性，降低运营成本，兴隆新材料提出了通过建设统一的桌面虚拟化平台来逐步集中用户的桌面环境和应用访问，逐步从面对终端用户的分散的IT部署管理运维方式转化到集中的统一的用户环境管理和交付，实现数据从分散保存在终端用户PC上的存放模式转化到集中存储在数据中心的集中管控方式，在实现数据集中存储、安全管控的同时，实现终端用户环境标准化的管理，提升IT管理的效率。体现在如下的几个方面： 研发文档的集中管控在株洲兴隆新材料股份有限公司中拥有大量的桌面PC用于研发人员的日常工作，传统的管理方式，很难从根本上完全保障设计文档和数据的安全以及设计生产环境的集中化交付。如何实现设计生产环境的集中管理，消除信息泄露的安全隐患，避免各种信息安全和管理的风险，涉及整体的安全，成为设计生产环境建设中的关键问题。 用户环境的标准化传统的IT管理模式对终端用户环境的管理采用分散的管理模式，多数用户采用PC作为用户终端，PC上的桌面环境多采用Windows操作系统，但操作系统的配置、应用程序的部署配置、用户配置文件的管理、企业数据的访问管理很难做到统一、标准化。这种分散管理的模式给IT的支撑运维带来很大的难度，一方面需要分散的支持力度来处理用户端不断产生的问题，另一方面，需要在用户端采用更多的技术手段应对管理和安全的风险，另外，数据的安全保护也存在着巨大的风险，大量的企业内部数据分散在用户的终端上，数据的泄漏风险极难避免。因此，用户环境的标准化、办公和生产终端的标准化必然提到议事日程之上。通过统一的交付管理平台，实现用户环境的集中化管理，减少管理和防护面，简化用户终端的复杂度，实现数据的集中策略化管理，有助于提升IT系统的整体的安全性和稳定性。 应用和桌面的安全便捷访问随着业务的不断扩展和IT系统的不断建设，用户需要在越来越多的场景中实现对业务和办公系统的访问和维护。一方面，需要解决访问的便捷性，无论用户处于较可靠的局域网环境，还是网络质量受限的广域网环境，甚至互联网访问环境都需要提供一致的安全的便捷的访问体验。受限于严格的应用访问安全策略和业务数据的敏感性，传统的方式很难实现既便捷又安全的访问，往往牺牲用户访问体验来降低安全风险。因此，如何在安全的前提下随时随地访问所需的应用和桌面环境成为办公和业务人员的共同目标， 业务连续性和动态化管理监控统一桌面和应用管理平台的集中化建立，必然涉及到集中运算资源的管理和运维，在逐步上收用户环境交付的过程中，如何能可靠的支撑大量用户的访问需求，如何智能的适应用户环境需求的变化，如何满足审计合规的要求，如何动态管理和监控用户的访问体验，如何构建动态化的可调配的运算资源，势必成为平台集中交付用户环境成功的关键。一方面，平台的建设需要满足业务不断扩展和业务连续性的需求，能够便捷的动态化的进行运行与管理的扩展，保障系统的可靠性和稳定性；另一方面，需要积极应对各种应急事件，做到快速的快速的应急响应和自适应的调整，做到快速的用户环境提供和恢复，避免业务中断。此外，为了满足监管和合规的要求，平台需要提供相应的技术手段，实现审计避免风险。3. 项目建设目标项目建成后，应提供安全的桌面工作环境。技术上选择采用桌面虚拟化的方式，实现新的集中的桌面管理构架。通过桌面虚拟化的改造，项目可达到以下目标:桌面及应用全部运行在数据中心，保证研发文档等涉密数据的安全性；通过策略及其它技术手段，可以严格禁止数据下载或保存到本地的客户端设备。桌面集中托管于数据中心，在数据中心进行集中的部署、维护和管理；可以迅速地部署最新的操作系统和应用软件；降低维护桌面以及软件的费用；前端桌面使用瘦客户端，减少终端维护量，增强终端安全性；提供接近于本地应用的最终客户体验、并且最大限度保持原有的用户使用习惯；能良好兼容现有应用软件、并且对未来的可能的应用及安全构架有良好的兼容性；构架设计遵循开放、灵活的原则，以适应系统扩充以及日后的需求变更；提供尽可能灵活地部署方式，以适应不同类型用户的需求，如设计用户和普通办公用户，涉密终端和非涉密终端等；方案的可扩展性强，在未来业务规模增大时，可快速扩容部署，总体造价合理；未来可以从分支机构或任何节点远程访问集中托管的普通办公桌面。2、H3Cloud 云桌面解决方案1.项目背景随着云计算相关技术的发展与成熟，云业务应用在高科技行业中越来越普及，云桌面是一种目前被广泛接受的云业务应用。使用虚拟化技术，一台服务器可同时满足数十人的办公需求，从而将学校内部办公环境从“分散的 PC”变为“集中的办公数据中心”。这不仅可以减少学校对于办公硬件采购、维护等多方面的投入，还可以实现办公环境的集中化管理，大大提升了企业内部 IT 管理的效率。H3Cloud 云桌面解决方案是为高科技行业内量身定做的稳定、易用的云桌面解决方案。与服务器虚拟化管理平台一体化的架构设计，使云桌面具有成熟、领先的虚拟化基础架构，保障了用户使用时的可靠性、稳定性；多种应需而生的管理设计，可以大大提高运维过程中的工作效率、简化 IT 环境复杂度。2.方案简介1) 云桌面方案概述H3Cloud 云桌面方案采用了目前业界主流的 VDI 虚拟桌面技术架构，以虚拟化技术为基础，使用高效的标准化远程连接协议，为用户统一提供稳定、高效、可管理的云桌面。通过 CAS 云计算管理平台，管理员可以实现对所有云桌面资源进行可视化的便捷管理，快速地批量部署云桌面满足大量用户的需求等操作。用户可以通过 PC、瘦客户机等多种终端使用自己的云桌面，方便地完成日常办公、教学、管理等任务，还可通过自助服务平台灵活地申请新的云桌面资源。分层分组的体系架构，使得云桌面的部署更符合单位内部的组织架构。H3Cloud 云桌面方案示意图：2) 云桌面方案部署H3C CAS 云计算管理平台为云桌面管理设计了分层分级管理的组织架构。在同一个云资源池内，可以给不同部门分配不同的云桌面资源池，以便与各部门对云桌面的独立管理、维护。 第一步：创建云桌面资源池 第二步：指定云桌面资源池相关的资源 第三步：配置云桌面资源池外设映射规则 第四步：完成云桌面资源池部署3) 云桌面申请/审批H3Cloud 云计算解决方案包含了一站式的云桌面交付服务，用户/管理员可直接在管理平台上申请/审批云桌面。统一的管理入口，使企业对云桌面的应用更加便捷。 第一步：用户发起云桌面申请 第二步：管理员审批云桌面申请3.方案特点1) 高可靠的云桌面环境H3Cloud 云桌面方案基于 H3Cloud 虚拟化环境，可以为用户提供 HA、DRS 等多重可靠性保障，有效保证云桌面的稳定性。2) 快速的部署方式H3Cloud 云桌面方案简化了部署流程，可让管理员快速部署云桌面，满足用户需求，批量部署方式更能大大降低部署复杂度，提升管理效率。3) 优化的结构化管理H3Cloud 云桌面方案可实现云桌面资源的分级分组管理，可根据单位组织架构进行自由调整，更符合用户的管理习惯。4) 便捷的交付手段H3Cloud 云桌面方案提供了灵活的自助服务平台，通过标准化的流程，能快速、灵活地将云桌面交付给用户使用。5) 优异的融合特性H3Cloud 云桌面方案不是孤立的解决方案，可与 H3Cloud UIS、零存储等方案有效融合，提供更稳定、高效的基础架构，以及平滑扩容的优异特性。3、产品选型1.桌面虚拟化服务器桌面虚拟化服务器建议使用 UIS-Cell-R390G2 服务器。H3C UIS 统一基础架构系统是 H3C 面向 IaaS（Infrastructure as a Service ，基础架构即服务）推出的云计算整体解决方案，它将传统 IT 系统中网络、计算、存储以及统一管理进行有效的整合，带给用户集成度最高，性能最优以及业务部署时间最快的直观体验，在大规模数据中心基础架构部署过程中效率提升 50%。H3C UIS 包含有 UIS Manager 统一管理软件、UIS 8000 刀箱、 UIS B 系列刀片式服务器、UIS R 系列机架式服务器、UIS Cell 云业务单元和 UIS Pack 云业务系统等组件。UIS Manager 作为 UIS 统一基础架构系统中的核心组件，可以根据数据中心规模，灵活的部署于刀片式交换机或机架式交换机中。H3C UIS R390 G2 机架式服务器以高可靠性和易维护性为设计出发点，充分保护您的云业务运营和投资。这款多功能、机架优化的服务器可最大限度平衡效率和性能，并让管理变得简便有效。H3C UIS R390 G2 服务器可为您带来：更多的处理器内核、更大的内存容量和内部存储器容量；采用先进的嵌入式智能阵列技术提高可管理性；采用 PCIe 转接卡解决方案、Smart Socket 指南和精巧的布线增强可维护性；业内领先的 iLO（Integrated Lights-Out）管理引擎提供嵌入式配置工具、主动健康监测和系统维护功能。无论是企业级的数据中心，还是着眼于未来发展的中小型企业，H3C UIS R390 G2 服务器都提供了多种配置选择与扩展，可有效地满足不断增长的服务器需求。高性能、高耐用性和更大的存储容量内置 Intel Xeon E5-2600v3 处理器家族，包括英特尔快速通道互联技术、集成内存控制器、睿频加速技术、智能电源技术以及可信执行技术，提供更高的性能、更优的能效和更强的适应能力。支持最新的 DDR4 内存，采用 SmartMemory 技术，创造更大的内存带宽、DIMM 数量和停机时间更少的全新内存健康计划；新的内存插槽最大可支持 1.5TB 内存。采用嵌入式智能阵列 RAID 控制器、可移动的闪存支持写高速缓存（FBWC ），提供更高的写入速率和全面的数据保护。支持 Dynamic Smart 技术：支持备盘预先激活、ADM 、逻辑盘高级迁移、阵列修复、在线分割等功能；高效的通用插槽电源（550W、800W、1400W 白金版热插拔电源）与智能配电单元进行通信，以便于将冗余的电源接入到冗余的配电单元（PDU）中，电源转换效率94%。采用全新的通用、免工具滑轨迅速进行安装。快速分离杆便于迅速地拆卸服务器。更高的应用、存储和 I/O 性能支持 RDIMM 和 LRDIMM 两种内存，最高容量 1.5TB，最高频率 2133MHz。全新的嵌入式智能阵列 RAID 控制器，加上 SmartStorage 技术的支持，包括 PCIe 3.0、SmartDrive，以及 FBWC 写高速缓存（容量高达 4GB），支持RAID0/1/5/10/50/6/60。能够定制当前的服务器网络并满足将来的需求。带宽可在 GE 到 10GE 之间选择，并能在出现新技术时升级到 20G 和 40G。支持局域网唤醒（WOL）功能，并提供了一个共享的iLO 端口以便使用。直观、可配置的管理系统电源线和以太网电缆与服务器连接的瞬间即开始工作。通过 Agentless Management（运行于 iLO 4 芯片组上），无代理硬件监控和告警功能被内置于服务器中。通过 Active Health System 提供 24x7 不间断健康监测服务，该系统能够记录 100%的配置变动并通过 H3C 服务和支持加快对问题的分析。支持被 H3C UISM 管理矩阵统一管理，该管理矩阵支持对下联的所有刀片式服务器、机架服务器、接入式交换机、虚拟机、机柜等进行统一管理，支持对以上物理设备和软件设备的故障检测定位、状态监控、资源利用率的统计，支持对服务器的远程 KVM、批量装OS，支持装机流程的模拟、应用的一键部署等功能，支持管理软件的用户权限管理服务器面板状态显示功能，对于服务器内部部件状态故障可以提供直观的查看支持预装 H3C CAS 虚拟化管理平台卓越的服务器体验自动能源优化（AEO）增强了服务器分析和响应服务器内 3D 海洋传感器所生成数据的能力，可帮助优化整个数据中心的工作负载。精准控制服务器风扇，以实现直接制冷，并通过创新的温度传感器 3D 阵列降低不必要的风扇功率。动态工作负载加速，为不断扩展的硬盘容量提供了更智能的数据保护能力，同时支持实时工作负载分析以调整和帮助优化存储性能。便捷运维的特性SmartDrive 支架、SmartSocket 指南、“扣合式”导轨、扁平电缆设计和轻松的免工具访问可支持您预测需求，并帮助消除了所有可能导致客户可维修部件发生停机的常见问题。2.应用/管理服务器应用/管理服务器建议使用 UIS-Cell-R190 服务器。H3C UIS 统一基础架构系统是 H3C 面向 IaaS（Infrastructure as a Service ，基础架构即服务）推出的云计算整体解决方案，它将传统 IT 系统中网络、计算、存储以及统一管理进行有效的整合，带给用户集成度最高，性能最优以及业务部署时间最快的直观体验，在大规模数据中心基础架构部署过程中效率提升 50%。H3C UIS 包含有 UIS Manager 统一管理软件、UIS 8000 刀箱、 UIS B 系列刀片式服务器、UIS R 系列机架式服务器、UIS Cell 云业务单元和 UIS Pack 云业务系统等组件。UIS Manager 作为 UIS 统一基础架构系统中的核心组件，可以根据数据中心规模，灵活的部署于刀片式交换机或机架式交换机中。R100 系列机架式服务器作为 UIS 解决方案中重要的一环，以高可靠性和易维护性等为设计出发点，可以充分保护企业云业务的运营和投资。这款多功能机架务器可最大限度地平衡效率和性能，让管理变得简便有效。H3C UIS R100 系列服务器拥有可以简化 IT 基础设施管理的标准管理套件、支持最新的 DDR4 的内存、可灵活选配的硬盘盘控制器以及 2 个标准网卡端口（支持 NCSI 协议），可以提供最为理想的优化功能集，满足中小企业的日常业务需求。同时，H3C UIS R100 系列服务器内置的虚拟化功能，可以让服务器和存储的利用率都得到提高，IT 基础设施可以更低成本高效运行。H3C UIS R100 系列机架式服务器可为您带来：最高性价比虚拟化承载平台：入门级产品的价格，企业级产品的性能。H3C R100 服务器是 H3C 针对中小企业客户搭建云计算基础架构而量身打造的一系列产品，先进的硬件架构，有效保障了服务器主机的可靠性和可用性；同时，H3C 团队针对主机同虚拟化的配置，进行了专业的软件设计、兼容测试、性能优化等大量工作，最大限度优化业务自动部署、动态迁移、资源弹性扩展等虚拟化性能，提供业界最具性价比的虚拟化承载平台。丰富的云网融合特性：支持 vXlan、SR-IOV、NCSI 等丰富的网络特性，针对云计算应用场景下多租户以及安全等需求，为用户提供专享的虚拟网络环境，简化管理、保障业务安全性、增强体验感，提供业界最优的云网融合解决方案。UIS 整体解决方案：借助 H3C UIS R100 系列服务器， H3C UIS Manager 可提供跨服务器、存储、网络以及虚拟化的全融合管理，简化部署安装，优化运维管理对于不断发展的中小型企业，H3C UIS R100 系列服务器可以提供多种配置供选择和扩展，极高的性价比可以满足企业不断增长的服务器需求，文件打印服务器Mail 服务器WEB 前端应用服务器Cache 服务器VPN 服务器IT 基础架构建设SMB 应用场景高密应用场景虚拟化应用场景高性能、高耐用性内置 Intel Haswell-EP E5-2600v3 处理器，支持英特尔快速通道互联技术、集成内存控制器、睿频加速技术、智能电源技术以及可信执行技术，可将服务器性能提升 70%采用 DDR4 技术，创造更大的内存带宽、DIMM 数量和停机时间更少的内存健康计划采用智能阵列 RAID 控制器、可移动的闪存支持写高速缓存，提供更高的写入速率和全面的数据保护。高效的通用插槽电源（550W、900W）与智能配电单元进行通信，以便于将冗余的电源接入到冗余的配电单元（PDU）中，可实现 94%的能效。更高的应用、存储和 I/O 性能支持全新的 DDR4 内存,单根最大支持 32GB，最高频率 2133MHz。全新的智能阵列 RAID 控制器，支持 Smart Storage 技术以及高速缓存（容量最大可达4GB）。支持 vXlan 特性，降低网络负荷、简化配置部署，针对云计算应用场景下多租户以及安全等需求提供业界最优的解决方案支持 SR-IOV 特性，通过虚拟化技术，为用户提供独享的网络设备，简化管理、保障业务安全性、增强体验感载网口支持 NCSI 协议，支持管理功能，实现虚拟介质、远程控制台、虚拟 KVM 功能、支持集成系统软件及驱动在主板上，无需启动光盘即可直接部署安装服务器直观、可配置的管理系统电源线和以太网电缆与服务器连接的瞬间即开始工作。通过 Agentless Management（运行于 iLO 4 芯片组上），无代理硬件监控和告警功能被内置于服务器中。通过 Active Health System 提供 24x7 不间断健康监测服务，该系统能够记录 100%的配置变动并通过 H3C 服务和支持加快对问题的分析。服务器面板状态显示功能，对于服务器内部部件状态以及故障问题，可以提供更加直观的查看方式。主板集成的 iLO 芯片内置的设备驱动，可实现服务器的无盘安装部署，同时设备驱动可实现在线升级。板载网口支持 NCSI 协议，实现管理和业务网融合，简化布线。卓越的服务器体验自动能源优化（AEO）增强了服务器分析和响应服务器内 3D 感器所生成数据的能力，可帮助优化整个数据中心的工作负载。精准控制服务器风扇，以实现直接制冷，并通过创新的温度传感器 3D 阵列降低不必要的风扇功率。动态工作负载加速，为不断扩展的硬盘容量提供了更智能的数据保护能力，同时支持实时工作负载分析以调整和帮助优化存储性能。iLO 芯片支持多人同时进行远程控制，以协同工作。3.入侵防御系统建议使用 H3C SecPath T1030 入侵防御系统H3C SecPath T1000 系列产品是华三公司开发的业界领先的 IPS 产品。H3C SecPath T1030系列 IPS 产品部署在客户网络的关键路径上，通过对流经该关键路径上的网络数据流进行2 到 7 层的深度分析，能精确、实时地识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用，同时，H3C SecPath T1000 系列产品还具有强大、实用的带宽管理和 URL 过滤功能。在安全功能方面，SecPath T1000 系列还一体化地集成了 IPS、AVC、防病毒、应用控制、URL 分类及自定义过滤等深度安全防御的功能，实现了基于用户、应用、时间、安全状态等多维度的策略控制功能。在虚拟化和可靠性方面，基于 H3C 领先的 ComwareV7 平台，支持多设备集群及 1:N 虚拟化。更好地适应云计算的要求的弹性扩展能力。高性能的软硬件处理平台SecPath T100 系列采用了专用的 64 位多核高性能处理器和高速存储器，SecPath T1000 系列可以提供 10G 以下的千兆安全业务处理性能。SecPath T1000 系列采用 CPU+Switch 架构，CPU 进行安全业务处理，Switch 实现多业务端口的扩展。T1030 标配 16 千兆电口及 8 千兆光口。业界最完善的虚拟化解决方案支持 N:1,1:N,N:1:M 虚拟化，满足云计算资源池需求。最多支持 8 台设备集群部署。单台设备支持 256 个虚拟防火墙，集群扩展后支持 2048 虚拟防火墙。全面的网络安全防护能力集成入侵防御与检测、病毒防护、带宽管理和 URL 过滤等功能，是业界综合防护技术最领先的入侵防御/检测系统。通过深入到 7 层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为，实现对网络应用、网络基础设施和网络性能的全面保护。丰富的攻击防范技术。同时支持 IPv4 和 IPv6。除提供普通的状态防火墙安全隔离技术外，针对异常报文攻击如 Land、smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、TCP 报文标志位不合法，地址欺骗攻击如 IP spoofing，扫描攻击如 IP 地址攻击、端口攻击，异常流量攻击如 Ack Flood、DNS Flood、Fin Flood、HTTP Flood、ICMP Flood、ICMPV6 Flood、Reset Flood 、SYNACK Flood 、SYN Flood、UDP Flood 等均能够提供有效防护。全面、及时的攻击特征库H3C 专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告，经过分析、验证所有这些威胁，生成保护操作系统、应用系统以及数据库漏洞的特征库。特征库覆盖全面，包含了主流操作系统、主流网络设备、主流数据库系统、主流应用软件系统的全部漏洞特征，同时也包含了黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用特征。H3C 通过了微软的 MAPP (Microsoft Active Protections Program)认证，可以提前获得微软的漏洞信息。攻击特征库通过了国际权威组织 CVE（Common Vulnerabilities & Exposures，通用漏洞披露）的兼容性认证，在系统漏洞研究和攻击防御方面达到了业界顶尖水平。并关注国内特有的网络安全状况，及时对国内特有的攻击提供防御。通过部署于全球的蜜罐系统，实时掌握最新的攻击技术和趋势，以定期（每周）和紧急（当重大安全漏洞被发现）两种方式发布，并自动或手动地分发到 IPS 设备中，使用户的IPS 设备在漏洞被公布的同时立刻具备防御零时差攻击的能力。丰富的响应方式针对报文检测结果提供了丰富的响应方式，包括阻断、丢弃、允许、限流、TCP Reset、抓取原始报文、重定向、记录日志、告警等。各响应方式可以相互组合，并且设备出厂内置了一些常用的动作组合，以方便客户使用。完善的 IPv6 解决方案所有特性全面支持 IPv6。支持 IPv6 网络部署，支持 IPv6 管理、日志及审计。电信级业务高可靠性支持状态 1:1 热备功能，支持 Active/Active 和 Active/Passive 两种工作模式，实现负载分担和业务备份。支持状态 N:N 热备功能，实现负载分担和业务备份，大幅提高系统可靠性。支持 SCF（安全集群系统），支持多框集群和异构集群，实现灵活管理和弹性扩展。故障隔离：软件模块化技术使软件的各个部分做到故障隔离。Comware V7 的模块化设计，保证一个进程的异常不会影响其他进程以及内核的正常运行。软件的故障也可以通过自行恢复，不影响硬件的运行全面的管理监控手段支持通过 Web-GUI、CLI、SSH 等多种手段管理设备。基于角色的功能授权机制，可以实现到功能、命令行、菜单级的权限控制。统一的 SSM 管理平台，可以实现设备的配置管理、性能监控、日志审计。丰富的 MIB 节点便于外部设备进行性能监控。开放的系统接口开放接口：传统的网络操作系统为封闭的系统，有专用的系统概念和处理流程，缺乏开放性。而 Comware V7 使用通用的 Linux 操作系统，回归了主流的软件实现方式。提供开放的标准编程接口，可供用户利用 Comware V7 提供的基础功能，实现自己的专用功能，目前主要基于 Netconf 接口。TCL 脚本：Comware V7 内嵌了 TCL 脚本执行功能，用户可以利用 TCL 脚本语言直接编写脚本，利用 Comware V7 提供的命令行、SNMP Get、SET 操作，以及 Comware V7 公开的编程接口等实现所需功能。EAA：可以在系统发生变化时执行预定义动作。在提高系统可维护性的同时，满足用户一些个性化需求。4.高性能防火墙建议使用 H3C SecPath F1020 防火墙H3C SecPath F10X0 系列防火墙是杭州华三通信技术有限公司伴随 Web2.0 时代的到来并结合当前安全与网络深入融合的技术趋势，针对中小型企业、园区网互联网出口以及广域网分支市场推出的下一代高性能防火墙产品。H3C SecPath F10X0 系列防火墙支持多维一体化安全防护，可从用户、应用、时间、五元组等多个维度，对流量展开 IPS、AV、DLP 等一体化安全访问控制，能够有效的保证网络的安全；支持多种 VPN 业务，如 L2TP VPN、GRE VPN 、IPSec VPN 和 SSL VPN 等，与智能终端对接实现移动办公；提供丰富的路由能力，支持 RIP/OSPF/BGP/路由策略及基于应用与 URL 的策略路由；支持 IPv4/IPv6 双协议栈同时，可实现针对 IPV6 的状态防护和攻击防范。H3C SecPath F10X0 系列防火墙采用互为冗余备份的双电源（11 备份），同时支持双机集群化部署的 SCF 技术，充分满足高性能网络的可靠性要求；同时 F10X0 产品在 1U 高的设备上可提供最大 24 个千兆接口、2 个万兆的固定接口。高性能的软硬件处理平台H3C SecPath F10X0 采用了先进的最新 64 位多核高性能处理器和高速存储器。电信级设备高可靠性采用 H3C 公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户，经历了多年的市场考验。支持 H3C SCF 虚拟化技术，可将多台设备虚拟化为一台逻辑设备，对外呈现为一个网络节点，资源统一管理，完成业务备份同时提高系统整体性能。强大的安全防护功能支持丰富的攻击防范功能。包括：Land 、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP 分片报文、 ARP 欺骗、ARP 主动反向查询、 TCP 报文标志位不合法、超大ICMP 报文、地址扫描、端口扫描等攻击防范，还包括针对 SYN Flood、UPD Flood、ICMP Flood、DNS Flood 等常见 DDoS 攻击的检测防御。最新支持 SOP 1:N 完全虚拟化。可在 H3C SecPath F10X0 设备上划分多个逻辑的虚拟防火墙，基于容器化的虚拟化技术使得虚拟系统与实际物理系统特性一致，并且可以基于虚拟系统进行吞吐、并发、新建、策略等性能分配。支持安全区域管理。可基于接口、VLAN 划分安全区域。支持包过滤。通过在安全区域间使用标准或扩展访问控制规则，借助报文中 UDP 或 TCP端口等信息实现对数据包的过滤。此外，还可以按照时间段进行过滤。支持基于应用、用户的访问控制，将应用与用户作为安全策略的基本元素，并结合深度防御实现下一代的访问控制功能。支持应用层状态包过滤（ASPF）功能。通过检查应用层协议信息（如FTP、HTTP 、SMTP、RTSP 及其它基于 TCP/UDP 协议的应用层协议），并监控基于连接的应用层协议状态，动态的决定数据包是被允许通过防火墙或者是被丢弃。支持验证、授权和计帐（AAA）服务。包括：基于RADIUS/HWTACACS+、CHAP、PAP 等的认证。支持静态和动态黑名单。支持 NAT 和 NAT 多实例。支持 VPN 功能。包括：支持 L2TP、IPSec/IKE、GRE、 SSL 等，并实现与智能终端对接。支持丰富的路由协议。支持静态路由、策略路由，以及 RIP、OSPF 等动态路由协议。支持安全日志。支持流量监控统计、管理。灵活可扩展的一体化 DPI 深度安全与基础安全防护高度集成的一体化安全业务处理平台。全面的应用层流量识别与管理：通过 H3C 长期积累的状态机检测、流量交互检测技术，能精确检测 Thunder/Web Thunder（迅雷/Web 迅雷）、BitTorrent、eMule （电骡）/eDonkey（电驴）、QQ、MSN、PPLive 等 P2P/IM/网络游戏/炒股/网络视频/ 网络多媒体等应用；支持 P2P 流量控制功能，通过对流量采用深度检测的方法，即通过将网络报文与P2P 协议报文特征进行匹配，可以精确的识别 P2P 流量，以达到对 P2P 流量进行管理的目的，同时可提供不同的控制策略，实现灵活的 P2P 流量控制。高精度、高效率的入侵检测引擎。采用 H3C 公司自主知识产权的 FIRST（Full Inspection with Rigorous State Test，基于精确状态的全面检测）引擎。FIRST 引