深信服全产品解决方案

深信服全产品线解决方案文档密级：公开深信服电子科技整体解决方案深信服科技（SANGFORTechnologiesCo.,Ltd,）版权所有（2015）文档中的全部内容属深信服科技所有，未经允许，不可全部或部分发表、复制、使用于任何目的。

文档名称深信服全产品线整体解决方案分发范围公开修订历史生效日期版本号版本说明作者审核2015/5/081.0草案注：版本信息记录本文档提交时的当前有效的基本控制信息，当前版本文档有效期将在新版本文档生效时自动结束。文档版本号小于1.0时，表示该版本文档为草案，仅供参考。目录1 项目背景 51.1 项目产生背景 52 现状说明 62.1 网络现状说明 62.2 业务现状说明 63 需求分析 73.1 边界安全需求 73.2 业务稳定的需求 83.3 流量监控与管理的需求 93.4 终端安全防护的需求 93.5 移动用户安全接入的需求 103.6 分支机构安全接入的需求 113.7 无线局域网的需求 123.8 漏洞扫描的需求 123.9 网络安全审计的需求 133.10 服务器虚拟化的需求 133.11 安全监控与告警的需求 144 总体方案设计 154.1 方案设计原则 154.2 总体网络拓扑图 174.3 安全区域划分 184.3.1安全域划分的依据 184.3.2安全域划分与说明 195 详细解决方案 205.1 边界防护 20边界防护设计方案 20边界安全设备选型 215.2 负载均衡 22负载均衡设计方案 22负载均衡设备选型 225.3 流量监控和管理 24流量监控和管理设计方案 24流量监控和管理设备选型 275.4 终端虚拟化 29终端虚拟化设计方案 29终端虚拟化产品选型 315.5 移动用户安全接入 32移动用户安全接入设计方案 32移动用户安全接入产品选型 335.6 分支机构安全接入 34分支机构安全接入设计方案 34分支机构安全接入产品选型 375.7 无线局域网 39无线局域网设计方案 39无线局域网产品选型 405.8 漏洞扫描 425.9 网络审计 42网络安全审计系统设计方案 42网络审计设备选型 435.10 服务器虚拟化 45服务器虚拟化设计方案 45服务器虚拟化选型 475.11 应用性能管理 48应用性能管理系统设计方案 48应用性能管理系统选型 496 设备清单 50项目背景项目产生背景（加入客户背景），示例：xx市信息中心是xx市政府的直属结构，负责xx市的电子政务外网建设和xx市的门户网站建设。政务外网横向连接党委、人大、政府、政协、法院、检察院以及市直各部门，纵向上联省电子政务外网，下延至各县市区、乡镇和社区。从根本上解决我市电子政务建设中纵向网络重复建设、部门横向互不连通，信息资源封闭、数据不能共享的问题。xx市门户网站群是以市政府门户网站为主站，横向包含100个市直单位，纵向13个县市区门户网站的站群平台。打破以往分散建设、管理、维护的模式，形成xx市政府网站的大集中模式，从管理和维护上更规范，从安全上更牢固，从信息的共享、内容保障等工作上更有效。现状说明网络现状说明具体网络拓扑如下：加入现有拓扑图业务现状说明加入现有业务现状需求分析边界安全需求建议对现有网络进行安全域划分，分域防护。采用逻辑隔离、入侵防护等手段，对XX客户的网络边界进行有效防护。网络边界防护：基于网络层的攻击是互联网上最常见的攻击，包括各种DOS攻击、端口扫描、网络层渗透等等，这种攻击行为的技术门槛较低，但攻击范围广，而门户网站群需要通过互联网对公众提供服务，这些网络安全边界很容易遭受各类攻击，而防火墙等网络边界防护设备能够阻挡这些基于网络层的攻击行为并实现细粒度的访问控制，保障门户网站的安全。应用安全防护：随着攻击技术的发展，攻击的目标重点转移到系统中的应用，而攻击的手段也从网络攻击逐步上升为应用层的攻击，如针对各种应用的缓冲区溢出攻击、应用系统渗透等等，这种攻击所造成的危害更大，将导致业务系统被破坏。尤其是通过互联网对公众提供服务的业务系统，一旦攻击者发现其应用漏洞并从事相应的破坏行为，网络层的安全防护措施很难发挥效用，必须要从应用层进行相应的安全防护。入侵防御和Web安全防护技术正是针对这里应用层攻击进行防御的安全措施，能够有效弥补防火墙等基础防护设备的不足，有效检测和防范四至七层攻击，与防火墙相互配合实现整体的安全防护。恶意代码防护：各类木马、病毒及网络蠕虫等恶意代码对IT系统的影响越来越大，变种多、扩散快、传播广等问题都会对大规模的网络造成严重影响，因此，对于门户网站群这样一个规模较大且需要逐步扩展的网络来说，安全防护的一个重要需求进行恶意代码的防护。对于互联网操作系统这样规模较大的网络，需要从网关层次及系统层次两个层面互相配合，网关防病毒系统能够在网络边界处拦截各类基于网络传播的蠕虫病毒、木马等恶意代码；而基于网络的终端防病毒系统则能够在本机侧重进行文件型恶意代码的查杀，并实现全网的统一病毒管理。通过网络层和系统层恶意代码防护的相互配合，实现“层层设防、集中控制、以防为主、防杀结合”的防毒防护策略，从而最大程度的实现恶意代码的防护。业务稳定的需求门户网站群修改是对公众提供服务的业务系统，网站的健康状况直接影响单位的形象，因此必须保障门户网站在任何时候的可用性。而从业务系统的高稳定性上来说，一般分为以下几个部分：修改链路高可用：采用多运营商互联网出口以解决南北运营商互通的问题，同时多链路部署的方式能够保障业务系统不会因为链路的中断而断线。服务器高可用：业务系统承载于服务器，服务器虽然稳定可靠但仍然存在故障的可能性。为了避免因为服务器故障引起的业务系统中断，需要采用高可靠的冗余技术，保障单台服务器发生故障时，不会影响公众对业务系统/门户网站的访问。流量监控与管理的需求对外发布的业务系统采用了多条互联网接入链路，而内部用户又包括众多的业务部门，如何分配各个业务系统及业务部门的带宽并自动选取最佳链路是保障业务系统的正常运转基本条件。因此需要一种有效的手段来帮助实现基于业务系统特性、基于业务部门重要性的流量分配机制，如：针对门户网站及生产业务系统，予以重点保障带宽，避免影响用户使用体验;而对于员工的互联网浏览等降低工作效率的流量请求则予以限制甚至是制止，以免影响工作效率。所以管理员需要一种手段来帮助实现网络流量的监控管理，提供每个业务系统足够的带宽以及提高员工的工作效率，防止员工因为使用P2P下载、观看电影等高带宽消耗应用过渡占用带宽而影响其他业务。终端安全防护的需求据统计，终端引发的安全问题占到整个网络安全问题的80%以上，其主要原因就是终端数量多、应用较为复杂且管理困难，如随意插拔移动介质等造成病毒的扩散等。随着云技术的发展，绝大多数的客户采用了终端虚拟化的方式来解决这一问题，桌面虚拟化是指将计算机的终端系统（也称作桌面）进行虚拟化，以达到桌面使用的安全性和灵活性。可以通过任何设备，在任何地点，任何时间访问通过网络访问属于我们个人的桌面系统。而通过终端虚拟化技术，往常经常造成终端风险的如：网络病毒、误操作、黑客攻击等风险都不复存在，而且这种模式不依赖于网络、网络协议、终端类型、具备文件安全防护、数据集中管理等众多优势得到了广大用户的认可。移动用户安全接入的需求网络的发展使得信息交互越来越频繁，重要的数据和信息在网络中的传输也越来越多，安全性要求也越来越重要。为了实现人们的远程办公，需要保证人员外出时可以安全访问组织内部网络进行日常操作，并同时确保数据的安全。因此必须在选择方法时，充分考虑多种接入方式以及各个接入方式的安全性。对于像XX系统，XX部门有大量的出差办公人员需要实现安全接入总部并传送数据。如何将这些移动的用户有效的连入总部，成为目前需要解决的首要问题，保障网络接入安全即可实现整网安全、高效互联要求。我们将分别从身份认证安全（访问事前控制）、终端访问及数据传输安全（访问事中检查）、权限和应用访问审计（访问事后追查），这三个方面来进行安全体系来深入考虑接入时的身份认证、接入中的权限控制、接入后的日志审计方面的安全需求。分支机构安全接入的需求由于数据本身的涉密性，在实现分支与总部之间数据交互时，需要保证数据的安全性、完整性。基于线路本身的考虑，目前可保障网络传输安全的方案主要有运营商专线、虚拟专用网两种主流方案。从两种方案的利弊方面考虑，运营商专线从线路本身的丢包、延时及传输速度而言较优，但价格非常高昂，包括网络初始的组建等费用，将导致整个网络的组建成本高昂。从性价比的角度考虑，使用专线进行组网不是最佳的解决方案。而虚拟专用网（VirtualPrivateNetwork）近年来发展较为迅猛的一种技术，从整体安全性、技术完善度等方面考虑，虚拟专用网技术都已经是非常成熟，普遍运用于政府、金融、运营商、大型企业等组网中。同时，虚拟专网用可基于普通的公网线路进行构建，可利用组织原有的网络、或可根据需要通过上网线路的扩充来支撑网络组建后新增的业务数据。从网络建设成本方面来看，虚拟专用网相比专线线路高昂的月租费用及网络初始建设费，大大减少了单纯在网络上的投入。完整的虚拟专用网构建，需要从安全性、快速性、网络可靠性、管理便利四个方面全面考虑。安全是网络组建的基础要求，必须严格控制把控信息风险。从用户的使用角度来看，使用速度和网络是否可靠是最直观的体验，直接影响到进行应用集中后的工作效率是否提高问题，以及IT建设的绩效问题。而从网络管理部门的角度考虑，此次网络建设涉及多个分支，需要采用一套机制保障整体管理的统一、方便的管理。无线局域网的需求随着业务规模的不断扩大，提高运营效率的要求也不断提升，随着WIFI技术的不断发展，使其能更加稳定高效的承载应用。很多行业都已经在有线网络的基础上扩展无线网络来进行日常业务的开展，甚至在新建办公场所时，基于建设的成本和传统网络繁琐的考虑，也希望可以通过WIFI接入技术实现他们的目的。事实上，无线应用已经深入到我们的生活和工作当中，除了日常办公之外，很多应用也正依赖于无线技术，比如访客服务，会议室，工厂车间，智能仓库等等。在智能终端普及的这个背景下，BYOD、移动办公的需求也提上日程，WIFI作为必不可少的接入手段，需求也进一步扩大。而无线网络的建设，也基本从安全性、高速性、易管理性三个方面来建设。漏洞扫描的需求系统存在弱点或漏洞是被攻击的根源，而管理员最为困扰的部分就是不知道安全风险在哪，不知道如何发现网络、应用、终端中存在的安全风险。为保证信息中心业务系统的安全，可以利用漏洞扫描等技术措施，定期检查系统内所有服务器、终端、网络设备、安全设备以及重要应用的脆弱性，在系统被攻击前发现这些薄弱环节，并根据安全加固或修复建议进行弥补，防范系统漏洞被利用而引发安全问题。网络安全审计的需求安全审计主要提供可追查性检查，审计功能的设计应与用户标识与鉴别、自主访问控制、标记、数据完整性等安全功能的设计紧密结合。要求如下：能够实现实时报警的生成和违例事件的终止以及提供自动响应功能；提供对审计事件的选择，能够产生审计数据；对潜在侵害分析和基于异常检测进行审计分析设计；满足审计查阅、有限审计查阅和可选审计查阅的要求；满足受保护的审计踪迹存储和审计数据的可用性，确保审计事件的安全保存；能够对计算机信息系统的安全性进行网络环境审计与评估。服务器虚拟化的需求不断增长的业务对IT数据中心的要求越来越高，所以数据中心需要更为快速的提供所需要的计算，网络，存储资源。如果不断购买新的服务器，又会增加采购成本和运作成本，而且还会带来更多业务供电和机房冷却的开销。同时在一般情况下，服务器工作负载一般不超过10%，这导致了大量的硬件、机柜空间以及电力的浪费。购置新的服务器是一项漫长的过程，这使得IT部门更加难以满足业务快速增长和变更的需求。例如，对于新业务系统平台的增加上线和测试平台下线删除的需求，往往就需要消耗大量宝贵的资源和时间。为解决服务器数量增加所带来的问题，提高服务器资源的使用率，降低设备采购成本，提高业务的连续性以及为将来新应用系统建设提供一个灵活的资源使用平台，建议对现有服务器进行虚拟化整合，以达到服务器资源灵活可用、高效可靠、安全易用的要求。安全监控与告警的需求信息中心内部存在大量的网络设备、安全设备、服务器、终端、业务系统以及数据库等，为全面了解这些信息，必须建立全网统一的监控和告警系统以获取各类资产的运行信息，并完成进一步的分析和统计，帮助安全管理员查询和监控系统当前状况、及时发现异常情况、定期进行总结和统计以便不断的完善系统的安全策略。总体方案设计方案设计原则本次的方案设计，将充分依据系统安全的详细技术需求，并参照国内外的相关规范、标准及经验，按照兼容性、安全性、开放性、可扩充性及易用性、先进性、合规性、成熟性以及统一性等原则，保障设计方案先进可靠、可实施性强，能够完全满足项目的实际安全需求，作为实现项目目标。兼容性原则：方案设计具有较强的兼容性，充分考虑了现有的应用系统、运行环境、以及服务器和网络设备等，体现了与现有系统的无缝链接。安全性原则：在充分考虑现有网络情况和实际需求的情况下，结合相关技术要求，提供系统化的整体解决方案。开放性原则：考虑到本项目中将要建立统一的系统运行状态集中监控平台，对各个硬件设备功能、性能和应用软件、系统软件的运行状态、网络设备、安全防护设备、系统运行参数、用户等进行统一的监管，必须要进行本地化的二次开发，因此在本方案的设计中提供了标准化的软硬件技术、资源、接口等的开放性解决方案。可扩充性原则：充分考虑了系统未来一段时间内网络、业务规模和网络安全需求的变化，能够在相当长的一段时间内保障系统的整体安全，具有较强的可扩展性，有效保护了用户的投资。综合防范原则：信息安全是一个庞大的系统工程，信息系统任何一个环节的疏漏都有可能导致安全事件的发生。因此，本方案的设计坚持综合防范原则，以保证未来各类安全措施的全面和完整。适度保护原则：在信息安全方面没有必要也不可能追求绝对的安全。一方面过度的追求安全不但将大大提高信息安全的成本，还往往会影响业务的正常开展，大大降低业务活动的灵活性；另一方面信息安全工作过于薄弱又会给业务开展留下很大的隐患。因此方案设计依据适度保护原则，目标是将信息安全风险控制在合理的、可接受的范围内。成熟性原则：本方案的设计充分借鉴国际信息安全最佳实践，采用成熟的技术和产品，规避风险，防止由于单纯追求技术领先而成为先进技术的试验品。总体网络拓扑图安全区域划分4.3.1安全域划分的依据对大型信息系统进行等级保护，不是对整个系统进行同一等级的保护，而是针对系统内部的不同业务区域进行不同等级的保护。因此，安全域划分是进行信息安全等级保护的首要步骤。安全域是具有相同或相似安全要求和策略的IT要素的集合，是同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域间具有相互信任关系，而且相同的网络安全域共享同样的安全策略。当然，安全域的划分不能单纯从安全角度考虑，而是应该以业务角度为主，辅以安全角度，并充分参照现有网络结构和管理现状，才能以较小的代价完成安全域划分和网络梳理，而又能保障其安全性。对信息系统安全域（保护对象）的划分应主要考虑如下方面因素：业务和功能特性业务系统逻辑和应用关联性业务系统对外连接：对外业务，支撑，内部管理安全特性的要求安全要求相似性：可用性、保密性和完整性的要求，如有保密性要求的资产单独划区域。威胁相似性：威胁来源、威胁方式和强度，如第三方接入区单独划区域。资产价值相近性：重要与非重要资产分离，如核心生产区和管理终端区分离。参照现有状况现有网络结构的状况：现有网络结构、地域和机房等参照现有的管理部门职权划分4.3.2安全域划分与说明根据目前的实际情况，建议将安全域划分为如下几个：门户网站域，承载市县区、市直机关的门户网站，通过互联网对公众服务，重要等级高。应用服务域，承载市县区和各市直机关日常办公系统，与互联网逻辑隔离，只允许内部员工访问，重要等级高。网路与安全管理中心域，承载应用系统监控、审计、漏洞扫描等，只允许运维人员访问，重要等级高。核心交换域，承载交换路由等，重要等级高。更换更换详细解决方案边界防护边界防护设计方案防护技术是安全保障体系中最基础的第一道门槛，能够阻挡大量初级的攻击并实现访问控制、入侵防御、恶意代码过滤和web安全防护。主要体现在以下几方面：网络边界的访问控制防护门户网站的安全要求非常高，因此，建议采用下一代防火墙设备将门户网站服务器区与互联网逻辑隔离，加强访问控制的同时还能够对网站服务器进行NAT地址转换，隐藏其IP地址，避免被攻击。此外，防火墙还将业务系统隔离开来，各个业务系统之间也最大程度的保障了逻辑隔离。网络边界的入侵防御和web防护在边界防护保障中，网络出口部署的防火墙主要工作在网络层和传输层，防范大部分基础的网络攻击，而对于整个互联网中的攻击分布，70%以上都来自应用层，这些攻击都是防火墙所无法防御的。因此，在互联网出口处启用下一代防火墙的入侵防御和web防护模块，提供主动的、实时的防护，具备对网络的线速、深度检测能力，具有网络检测、防范网络攻击、防范拒绝服务攻击、异常报警和阻断等功能。特别是web防护模块针对应用层的安全防护能力，与防火墙系统相互配合，实现2到7层立体的防护效果。网络边界的防病毒由于主要的业务系统主要通过2条接入线路与互联网相连，因此建议在这两处利用系统现有已部署的防病毒网关能够实现最佳的网关病毒防护效果，在网络层实现对病毒的查杀，与主机防病毒软件相配合，形成覆盖全面、分层防护的多级病毒过滤系统。边界安全设备选型针对系统的环境和本项目的实际需求，推荐采用深信服下一代防火墙（AF）产品。下一代防火墙（AF）深信服下一代防火墙（AF），一台设备就能实现所有安全防护要求，增强网络安全区域之间的安全防护。通过AF的部署可以实现以下效果：安全域边界进行访问控制，实现网络层和应用层的数据流向控制；实现网络层的入侵防范；实现网络层的恶意代码防范；对于web网站，有效增强业务系统的抗web攻击能力；负载均衡负载均衡设计方案有效的避免单点故障是系统运行的基本要求之一。针对信息中心的网络和业务特点，通过采用链路负载均衡和服务器负载均衡能够实现链路和业务系统的冗余部署，实现多链路的切换和智能选路，实现多服务器的负载均衡。主要体现在以下几方面：链路负载均衡门户网站的安全要求非常高，因此，必须采用链路负载均衡保证链路的可靠性，防止某一条运营商链路出现问题时影响门户网站的访问。服务器负载均衡在服务器前端部署负载均衡，实现对服务器的负载均衡，并有利于将来应用服务器的扩展。负载均衡设备选型针对系统的环境和本项目的实际需求，推荐采用深信服应用交付系统（AD）。应用交付系统（AD）多样化算法满足不同的环境深信服应用交付设备AD针对出站流量，结合AD轮询、带宽比例、加权最小流量、动态就近性等算法，实现对ISP的多样化的选择。企业可根据内部网络环境的具体需求选择合适的算法。比如动态就近性算法会在选择最佳链路时，通过综合考虑与目标网络之间的路由节点数量、数据传输的延迟和链路的实时负载，准确计算出最佳路径。从而保障用户能充分地享受到优化的服务和快速地响应。健全的链路健康检查当流量流经AD设备时，AD会通过预先设定的好策略判断每条链路的健康状况（链路健康检查），并决定将流量负载均衡到哪条链路，然后数据包的源地址转换成相应ISP网段的公网地址，再将该数据包发出。响应数据包返回到深信服AD时，深信服AD将目的地址进行转换之后将数据包发给内部的用户或服务器。链路带宽资源合理利用，解决拥塞问题深信服AD的繁忙控制技术为特定链路设定相应的阀值，再结合深信服AD全面的负载均衡算法，使得当某条链路达到阀值之后，用户的访问请求将会通过事先设定的负载算法分配到其它链路之上。深信服AD设备的DNS透明代理技术能同时对多条链路同时发起DNS请求探测，然后根据实现设定的负载策略，为用户返回相应的DNS请求结果，避免带宽资源出现闲置的情况，实现对链路带宽资源的合理利用，轻松解决拥塞问题。单边加速提升用户访问速度深信服应用交付设备AD具备的单边加速技术在不需要在用户电脑上安装任何软件和控件，对用户访问透明，而且能够可以在不升级带宽的前提下，减少应用程序的响应时间，而且在保证数据的完整性和安全性的前提下，提升用户的访问速度。深信服AD的单边加速功能是针对于所有TCP数据流优化功能，因此不管是文件、电子邮件还是网站等应用都可以通过单边加速实现加速。智能分析报表为企业提供决策依据另外深信服AD能为企业提供关于链路使用情况、服务器使用情况、用户使用偏好等全面的智能报表分析，帮助企业快速全面的了解整个应用发布系统各个元素的运行状况。为企业提供网络优化和改造的依据以及为运营计划提供商业决策的依据。流量监控和管理流量监控和管理设计方案信息中心提供面向互联网的服务，包括门户网站、互联网数据收集服务等，这些服务集中在互联网服务区安全域中。对于服务的访问流量，是我们需要保护的流量。但是，往往有一些“异常”的流量，通过部分或完全占据网络资源，使得正常的业务访问延迟或中断。可能发生在互联网服务区安全边界的异常流量，根据产生原因的不同，大致可以分为两类：攻击流量、病毒流量。攻击流量：是以拒绝服务式攻击（DDOS）为代表，他们主要来自于互联网，攻击的目标是互联网服务区安全域中的服务系统。病毒流量：病毒流量可能源自数据中心内部或互联网，主要是由蠕虫病毒所引发，一旦内部主机感染病毒，病毒会自动的在网络中寻找漏洞主机并感染。互联网中的大量蠕虫病毒，也可能通过安全边界，进入到数据中心网络中来。通过在互联网服务区安全边界最外侧部署流量管理系统，可以实时的发现并阻断异常流量，为正常的互联网访问请求提供高可靠环境。流量控制系统部署在互联网服务区安全边界最外层，直接面向互联网，阻断来自互联网的攻击，阻断病毒的自动探测和传播。流量控制系统必须具备智能的流量分析能力、特征识别能力，具备大流量入侵时足够的性能处理能力，可以为XX单位网络系统实现：全面识别网络应用流量使用协议检测、协议解码、特征签名、行为检测四种技术精确识别网络上的每个应用并对其进行分类管理。可以识别目前的主流网络应用，与应用使用的端口、协议或是否采用加密以及隐蔽机制无关。全面控制网络应用流量采用精确流量控制技术，实现带宽限制、保证带宽、带宽借用、应用优先级等一系列带宽管理功能，防止不正常应用对网络带宽资源的过度消耗，保证关键应用带宽，限制非关键应用带宽，改善和保障整体网络应用的服务质量。全面清洗网络攻击流量能够实时阻挡网络扫描、蠕虫病毒、木马后门、DDoS/DoS、Web攻击等攻击流量，给用户专业级流量净化设备的效果。如果不能够将占用或消耗网络带宽的攻击流量或者给应用流量带来巨大安全威胁的恶意流量清洗掉，关键应用流量的管理就得不到有效的保障。在有多条广域网链路存在的情况下，可以对每条广域网链路设置不同的流量净化策略。全面管理网络应用行为在应用行为管理上，可以根据不同的时间、用户群组来对IM、P2P、网络游戏、股票证券、非法隧道等下达严格的管理策略，杜绝对不良网站和危险资源的访问，防止对Internet资源的滥用，避免单位敏感信息的泄漏。全面的流量监控与报表具有强大的流量实时监控与报表分析能力。不同策略下网络应用流量的监控与分析报表包括应用流量分布、内部主机流量分布、外部主机流量分布、带宽负载分布、连接数分布、数据包大小分布、QoS流量分布等等。网络攻击流量的监控报表包括每一次异常流量攻击的发生时间、严重程度、处理方式、攻击种类、源IP、目的IP、源端口、目的端口、协议等；对网络攻击流量的分析报表包括来源、目的、种类、威胁程度等的详细分析。流量监控和管理设备选型针对系统的环境和本项目的实际需求，推荐采用深信服流量管理系统（AC）。流量管理系统（AC）网络流量分析及管理，增强网络可见性流量管理产品通过统计、控制、优化和带宽叠加等功能，协助管理者全面分析和优化广域网带宽资源。数据中心对局域网发生的所有网络行为进行记录、分析和趋势报告。借助图形化的数据和报表，用户可以直观地了解到哪些服务占用了广域网宝贵的带宽资源，网页浏览，收发邮件，还是疯狂的P2P下载。通过对网络使用情况的深入了解，管理者能够制定出最适合自身组织机构情况和的互联网访问策略关键业务应用的带宽保障传统的带宽管理设备主要是用来限制一些占用带宽的资源消耗软件，而没有对于像VoIP视频会议等在内的在特定时间段内比较重要的带宽进行保障。保障重要业务的运行，而专门的业务申请专线带宽也是比较浪费的。流量管理解决方案提供了通道式的带宽管理策略，利用一种有别于传统采用固定带宽式的流量管理技术在流量较大时确保为指定的应用提供足够带宽，一旦这些应用停止或减少使用带宽，则自动把这些空闲带宽提供给其它有需要的应用，最大限度的保证了组织的网络利用率。流量管理解决方案的带宽策略非常丰富。例如组织的总出口带宽为100Mbps，可以将其中5Mbps的带宽以固定预留的方式分配给领导办公室，即使在其他95Mbps带宽非常紧张时仍然保证总裁办公室的带宽决不会低于5Mbps，此种方式我们称之为固定预留；也可以采取动态预留方式，如为财务部动态预留5Mbps的带宽，当财务部没有流量时，原本分配给财务部的5Mbps带宽将被其他应用占用，财务部有流量时会重新取得该5Mbps带宽的使用权，从而真正提升带宽使用价值。或是在时间策略里面设置开会时间段，在这个时间段内为视频或是语音会议划出专门的带宽，以保障其高质量的进行。带宽优化和多线路策略QoS（网络服务质量）技术包括专用带宽、抖动控制和延迟、丢包率的改进以及对指定高优先级网络服务的流量保证。流量管理产品同样采用了QoS技术，对流经设备的数据进行了优先级处理，保证了重要服务的带宽质量。同时，为满足客户内网特殊物理拓扑环境，支持四路网桥模式部署，并可单独为每条物理线路手动分配带宽、执行差异化的流控策略。终端虚拟化终端虚拟化设计方案桌面云可以为企业的IT建设和运维带来巨大价值，所谓桌面云就是将用户桌面和数据集中部署在数据中心里（服务器），用户通过瘦终端或别的设备，利用虚拟交付技术去访问数据中心里的个人桌面，用现在比较流行的话来说就是“桌面云”，用云的方式随时随地交付个人桌面。在运行过程中，每台服务器被虚拟成多台虚拟机，每用户独享一台虚拟机，并通过在虚拟机中安装OS、基础软件、办公应用等来满足基本办公需求。后端服务器虚拟化平台具有在线迁移、HA、数据备份等高级特性，可保证整合后平台的稳定可靠运行。首先，桌面云的应用将极大的减少后期的运维成本。虚拟机模板技术让桌面上线时间缩短为10分钟左右，而技术人员也只需在“云端”进行软件维护，无需对每一台终端进行维护，单个IT管理员可轻松管理1000台终端或虚拟桌面以上，大大降低了维护的工作量和人力成本。与此同时，桌面云还可以帮助客户节省资金开销。一是云终端硬件高度集成，零部件极少，损坏更换的概率极低，几乎没有维修费用，无人为损坏可使用8-10年，比传统电脑长一倍，使用周期的延长，大大降低设备更新的周期和成本。相反，传统PC机零部件复杂，损坏老化概率高，更新维修费用极为昂贵。当然，由于瘦终端日常耗电量仅需10W，可以帮助客户节省大量的电力成本。最后，对于客户生产业务来说，桌面云的高效运维可以最大程度地减少用户停机维护时间，时刻保证业务正常运营。同时桌面云将所有的数据集中存储在数据中心，像笔记本、瘦终端这样的前端设备只接收图像，整个业务过程里数据是不落地的，是非常安全的，不仅可以随时随地通过各类终端访问桌面，而且集中化的部署方式也更有利于IT部门利用技术手段来保证信息资产安全。深信服桌面云产品最重要的一个特点就是“一站式”，由深信服向客户提供包含服务器虚拟化软件（VMS）、桌面云虚拟化（VDC）以及瘦终端（aDesk）在内的整体解决方案，从而可以帮助用户降低投资和运维成本，更快速的实现虚拟桌面的部署。瘦终端aDesk：外观小巧精致，采用ARM架构（A9芯片）和Android系统，性能强劲，处理速度快。相比于X86架构的瘦终端，其能耗更低、长期运行稳定性更高（无需散热）、且操作系统精简化，可实现零维护。同时，利用外设重定向技术，可兼容桌面应用中的各类外设。虚拟桌面控制器VDC：主要实现用户接入认证、细粒度策略控制、虚拟桌面及瘦终端的统一监控、管理等，以更低成本、更安全、更可靠地交付Windows桌面，支持硬件VDC和软件VDC（部署于虚拟机）两种部署模式。服务器虚拟化软件（VMS）：祼金属架构，直接安装于物理服务器上，提供性能强劲、高可靠性的虚拟化计算平台，实现虚拟机快速部署、资源管理和监控、动态在线迁移、数据备份及恢复等，可为云桌面工作负载提供先进功能，支持大规模部署且易于操作。终端虚拟化产品选型从目前的业务需求考虑，推荐采用深信服一站式桌面虚拟化解决方案（aDesk）。完善的全系列云方案：涵盖瘦终端、虚拟桌面控制器VDC、虚拟机管理软件VMS三大环节，业界方案最全面，兼容性最好，性价比最高，为IT提供了一种更加精简和安全的方法来管理用户和提供可按需访问的敏捷桌面服务。卓越的用户体验：针对各种应用场景进行性能调优，高效传输协议SRAP提升6倍以上的速度，将访问带宽降至最低，达到与传统PC一致的访问体验。并且利用瘦终端ARM架构内置的高清视频协议处理器可流畅播放1080P高清视频。更全面的安全保护机制：高达8种身份认证方式自由组合以保障用户接入安全，全方位的加密算法保障传输安全，灵活访问控制进行集中鉴权，数据存储加密保障个人数据安全，最终实现端到端桌面云安全保护。集中式WEB管理模式：整套方案的搭建仅需两大组件（VDC和VMS），相对业界其他厂商其部署组件最少，并可提供集中式、单一化的远程运维模式，提高了虚拟桌面部署的易用性和可维护性。专业的本地化服务模式：国内唯一具备自主研发整套虚拟化产品体系的厂商，在中国拥有大规模的开发团队，可快速响应用户的需求；全国40多个办事处提供本地化技术支持，售后服务体系完善。移动用户安全接入移动用户安全接入设计方案对于出差领导、员工和小型分支用户其具有工作场所不固定的特点，采用SSLVPN实现移动办公和小型分支用户的安全远程接入。SSLVPN只需要在总部部署一台设备，将设备的管理维护全部集中到总部。同时对于接入用户，无需在终端安装任何客户端软件或进行繁杂的配置，可使用浏览器访问的SSLVPN认证页面并通过相应的身份认证，即可在客户端与总部之间完成SSLVPN隧道构建，方便易用，符合用户使用习惯。同时SSLVPN支持使用智能手机、PDA等手持移动终端接入，大大方便出差领导、员工的实时办公。移动用户安全接入产品选型从移动办公的业务需求出发考虑，推荐采用深信服SSLVPN系统和EasyConnect系统。SSLVPN针对移动用户和小型分支用户普遍存在的网络状况不稳定、访问速度慢的特点，深信服SSLVPN支持多线路智能选路、HTP、WebCache、Web优化、流缓存、Web压缩、C/S压缩、IPTunnel加速等多项加速技术，从线路、传输、应用等方面全面提升移动用户的访问体验。针对移动用户和小型分支用户网络环境安全性问题，深信服SSLVPN从终端安全、用户身份安全、传输安全、权限安全、审计安全五大方面提供全面的保护。基于终端CPU、硬盘、网卡等硬件信息的硬件特征绑定码，及多因素客户端安全检查实现指定用户使用指定安全级别终端的SSLVPN接入控制；多认证方式组合认证、主从帐号绑定保证SSLVPN接入用户及其访问应用帐号的确定性；采用安全桌面（沙盒技术）功能，防止通过SSLVPN访问的重要数据在终端上的遗留和泄漏；国际主流的高安全性算法强加密及VPN专线功能保障传输数据的不可破译、防止跳板攻击；结合用户、应用资源、客户端安全检查的基于角色的细致权限设置，细粒度控制实现接入高可控；支持独立数据中心详细记录用户登录、资源访问、流量、安全、管理员、系统等日志，并支持多达16级的管理员分级管理，保证审计的安全性。EasyConnect移动用户接入业务系统时，使用远程应用发布系统（Easyconnect），实现对移动用户的身份鉴别、访问控制、行为审计，以及传输过程加密。分支机构安全接入分支机构安全接入设计方案完整的虚拟专用网构建，需要从安全性、快速性、网络可靠性、管理便利四个方面全面考虑。安全是网络组建的基础要求，必须严格控制把控信息风险。从用户的使用角度来看，使用速度和网络是否可靠是最直观的体验，直接影响到进行应用集中后的工作效率是否提高问题，以及IT建设的绩效问题。而从网络管理部门的角度考虑，此次网络建设涉及多个分支，需要采用一套机制保障整体管理的统一、方便的管理。主要体现在安全性、快速性、易管理等方面。安全性设计：IPSecVPN是目前业界公认最为安全的虚拟专用网技术，也是运用最为广泛的网间VPN组网技术之一，提供不亚于独立专线的安全保障。2007年，由国家密码管理局牵头制定了《IPSecVPN技术规范》，该规范作为国家IPSecVPN设备安全性、网络安全性、技术规范性等一系列强制约束性标准。深信服科技作为核心指定厂家参与了该标准的制定，产品完全支持该国家标准。快速性设计：本次方案建设采用的加速组网设备，融入了广域网加速的功能。在完成基本的VPN通路建设后，对通路的质量进行了保障及优化，相对于互联网直接访问、普通VPN构建等场景对应用系统进行大幅提速。原先采用互联网直接访问或是部署普通VPN，传输一个设计文件需要几十分钟，打开订单系统页面需要等待十几秒钟，而完成单条订单的录入则需要等待十分钟，在完成加速VPN部署之后，将大大提高各种业务应用的访问效果、网间文件来往的传输速度，进而提升员工的办公效率。易管理设计：提高办公业务、上网等应用的速度，需要从两方面着手进行，如同一条高速路，路即为网络本身，车即为应用、数据本身。要保障快速畅通的车辆分流输送，除了要对路本身质量优化、车本身提速之外，还需要不同的车型、来往不同方向的车流、去往不同地点的车队进行分栏划道，避免出现拥塞或挤占车道的现象，导致路的现时吞吐远低于其实际吞吐。前文所述的网络传输优化、数据优化、应用优化即为对“路”本身质量、“车”本身速度的优化，而流量管理功能就是对整个“路”进行合理化管理，限制非业务上网应用、保障网络发布业务、保障VPN互联，发挥网络最大效能。对流量管理的流程划分为四个层级：应用识别、权限控制、通道化管理、线路化管理。首先对数据本身归属进行应用识别判定，只有在识别的基础上才能针对性的管理；识别之后，基于用户进行该应用是否有使用权限进行控制；其次，针对拥有使用权限的应用进行通道化带宽保障/限制策略控制；再次，对于基于应用、用户进行流量分流的策略；最后，根据智能报表，可对当前策略下的效果进行反馈，并进行相应的策略调控，保障最佳控制效果。流量管理流程图分支机构安全接入产品选型在分支机构组网部分，从快速性、安全性、易用性等方面出发考虑，推荐采用深信服加速VPN组网解决方案。该解决方案利用WOC产品进行快速VPN组网，能带来如下价值：让数据整合成为可能深信服加速VPN组网方案实现“数据整合”的四个方面均能够体现其价值：逻辑集中：可以做到纯透明部署，对用户原有的软、硬件没有任何影响。物理集中：对数据削减和协议优化能够使得原来孤立的系统能够整合在一起，提高了系统的可用性和可靠性。避免了基础网络设施的重复建设，以及相应的网络维护成本。数据集中：使原本各自独立的应用系统在数据上可以互通共享，提高数据的可用性，同时也提高了数据的安全性。业务应用整合：通过对企业数据的物理集中和数据集中，是系统应用达到最优状态。提高业务效率带给业务系统使用者最直观的感受就是，收发邮件快，ERP系统响应时间缩短，远程文件共享上传下载体验好。事实上，广域网上所有基于TCP的应用都能在不同程度上相对以前有所加速，而这一切都是因为提高了深信服加速VPN组网方案从链路、数据、应用的提速所带来的好处。降低成本使原有的广域网访问能够达到近似于局域网的访问速度，那么，地球村的范围就进一步缩小，即使我们分在不同的两个半球，网络速度也能像局域网那样，那么我们就不需要在远程分支部署邮件服务器，文件服务器等基础设施一起IT维护人员。某些比较特殊的客户，甚至在使用WOC的加速和VPN整体功能之后，取消了原有的专线，而采用深信服加速VPN组网方案，每年节省了很大一笔信息化的投入。快速新建远程分支由于WOC的强大加速和接入功能，使得原本要维持数月的分支开展周期缩短到短短2周。使用WOC的VPN接入功能，可以在数小时内建立总部与分支的VPN链接，无需等待运营商对于专线申请长达数月的审批和部署。结合加速功能的深信服加速VPN能够提供不逊于专线的访问速度。同时提高了数据安全性。扩大业务范围由于原有恶劣的网络环境或者成本太高而无法进行网络改造的原因，企业的网络建设严重滞后公司业务的发展，甚至造成直接经济损失。WOC的出现彻底终结了这一局面，首先，WOC能够对95%以上的广域网进行优化，达到应用加速效果；其次，“黄金分割点”般的高性价比不会让企业为网络加速的成本而头疼。WOC帮助快速开设分公司，办事处甚至和部署移动办公人员。随着网络性能的提升，新业务的开展也成为可能，创造企业一个又一个盈利点。无线局域网无线局域网设计方案结合用户无线网络需求情况，结合深信服产品自身技术特点，为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求。无线接入系统对网络设备的要求非常高。首先是这个网内使用者数量大而且类型比较复杂，有商务人员、参观来访者、高层领导等等，这些不同使用者对网络的需求也不尽相同，有的对带宽要求高、有的对网络安全要求高等。而网络建成只是为了“铺路”，只有在这条“路”上有“汽车”（各种信息咨询服务）快速奔跑了，才会真正把网络建设好。那么，在无线网络在设计的过程中，需要达到如下要求：稳定性：系统设计中设备和链路本身具有高可靠性。无线网络具备高可用性，网络接入速度应按照单用户进行保障，避免因为部分用户的不良使用习惯造成其他用户的使用体验降低。合理性：系统的层次结构的划分合理，层次结构主要是用来区分各层的主要功能，建立合理的逻辑结构。通过合理清晰的层次划分和设计，可以保证系统的骨干稳定可靠、接入安全、便于扩充和管理、易于故障隔离和排除。安全性：大流量的数据传输和管理在整个网络系统中占很重要的位置，同时有些数据文件是高度秘密，防止外来黑客的侵入及无意识的数据破坏，在本系统的设计中有较好的安全性设计。可管理性：良好的可管理能力和易于维护是保障计算机系统运行的一个重要条件。部署完无线之后，AP数量众多，管理困难一直是无线网络建设的困扰，而在本方案设计中，控制器所使用的管理平台具备简单、易用、高效的管理原则，能够最大限度的帮助管理员快速、高效的管理无线网络。无线局域网产品选型在无线局域网建设部分，从快速性、安全性、易用性等方面出发考虑，推荐采用深信服WLAN解决方案。该解决方案从管理性、易用性、安全性、快速性等方面着重考虑，能够带来如下价值：快速性保障：针对现有干扰的无线网络环境，采用深信服独有的协议栈加速技术，客户端无需安装任何插件，只需在WAC开启单边加速功能，通过改善无线传输协议算法，无线网络的传输速度就能够提升200%以上。有效解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题。为了针对无线传输中拉低网络速度的问题，我们针对相关机制进行了相应的优化，使无线网络传输速度得道进一步的提升。广播优化:针对广播包发送机制优化，减少广播报浪费过多资源。ARP转单播：通过对ARP发送机制的优化提升ARP效率。禁止DHCP包发往无线终端功能：通过对DHCP发送机制的优化提升DHCP效率。自动广播提速：将广播包原有的发送速度提高，加快广播包的传输效率。接入终端速度限制：支持接入终端速度限制，禁止低于一定速度的终端接入，提升整体网络速度。平均带宽分配：支持用户平均分配带宽，根据时间公平算法，防止单个终端拉低网络整体速度。安全性保障：针对各个部门不同角色对象，对用户进行多级的角色授权，根据不同角色分配不同的访问和流控策略。根据企业的不同部门（市场、研发、领导），不同的终端（手机或电脑）、不同的用户（内部员工或客户）划分不同的角色，并配以不同的权限，这样便能充分保证各自的安全，防止越权。员工和访客通过无线访问网络，有可能会出现反问非法网络的情况，给公司带来安全风险。针对于此深信服无线控制器内置全国最大的应用识别库和URL库，能自动识别危险应用和URL，我们可针对这些危险应用和URL进行封堵和控制，从而提高公司网络的安全性。可管理性保障：结合深信服WAC无线统一集中管理平台，安装前无需对设备进行任何配置，部署完成后由无线控制器统一下发配置，极大的减少实施和维护的工作量及成本。后期维护中，通过WAC内置的图形化热点分析界面，可有效查找到问题点，轻松完成维护工作。漏洞扫描入侵防御系统的部署能够及时检测到网络中所存在的各类威胁，但并不是所有的威胁都需要立即处理，最主要的原则是优先处理针对系统漏洞的威胁。因为一旦内部存在漏洞并且有针对这种漏洞的攻击，如熊猫烧香、冲击波、震荡波病毒等，那系统将面临极大的风险。而识别系统是否存