网络安全加固最新解决方案

2023-08-27 来源：星星旅游

网络系统安全加固方案

北京*****有限公司

2018年3月

1 项目介绍 ............................................................... 3

1.1 1.2 1.3 1.4 1.5 2

项目背景 ....................................................... 3 项目目标 ....................................................... 3 参考标准 ....................................................... 3 方案设计原则 ................................................... 4 网络系统现状 ................................................... 5

网络系统升级改造方案 .................................................... 6

2.1 2.2 2.3 2.4 2.5 3

网络系统建设要求 ................................................ 6 网络系统升级改造方案 ............................................ 7 网络设备部署及用途 ............................................ 9 核心交换及安全设备UPS电源保证 ................................ 10 网络系统升级改造方案总结 ...................................... 10

网络系统安全加固技术方案 ............................................... 10

3.1 3.2 3.3 3.4 4

网络系统安全加固建设要求 ...................................... 10 网络系统安全加固技术方案 ..................................... 11 安全设备部署及用途 ............................................. 22 安全加固方案总结 ............................................... 22

产品活单 ........................................ 错误！未定义书签。

第II页

项目介绍

1.1

项目背景

随着对外网信息化的发展，业务系统对外网络系统、信息系统的依赖程度也越来越高，信息安全的问题也越来越突出。为了有效防范和化解风险，保证对外网信息系统平■稳运行和业务持续开展，须对对外网现有的网络升级，并建立信息安全保障体系，以增强对外网的信息安全风险防范能力。

同时随着全球化和网络化，全球信息化建设的加快对我国的影响越来越大。由丁利益的驱使，针对信息系统的安全威胁越来越多，必需加强自身的信息安全保护工作，建立完善的安全机制来抵御外来和内在的信息安全威胁。为提升对外网整体信息安全管理水平■和抗风险能力，我们需要根据国内外先进信息安全管理机制结合对外网自身特点和需求来开展一项科学和系统的信息安全体系建设和规划设计工作。

通过系统的信息安全体系规划和建设，将为对外网加强内部控制和内部管理，降低运营风险，建立高效、统一、运转协调的管理体制的重要因素。

1.2

项目目标

满足对外网对网络系统等基础设施的需求，降低基础设施对对外网信息化发展的制

约，顺利完成业务系统、网络系统与信息安全系统的整合，促进对外网信息化可持续发展。本次改造工作的主要内容：通过网络系统改造及安全加固，满足对外网日常办公需要，保障重要网络及业务系统的安全运行。

1.3

参考标准

本方案重点参考的政策和标准包括：

《中华人民共和国政府信息公开条例》

（中华人民共和国国务院令第

492 号）

《中华人民共和国计算机信息网络国际联网管理暂行规定》《国务院办公厅关丁做好中央政府门户网站内容保障工作的意见》

（国

办发〔2005〕31号）

《信息技术信息系统安全等级保护实施指南》《信息技术信息系统安全等级保护基本要求》《信息技术信息系统安全等级保护方案设计规范》

BS7799/ISO17799《信息安全管理实践准则》

1.4 方案设计原则

本方案在设计中将严格遵循以下原则：需求、风险、代价平衡分析的原则对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络要进行

实际的研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定系统的安全策略；

综合性、整体性原则应运用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业技术措施（访问控制、加密技术、认证技术、攻出检测技术、容错、防病蠹等）。一个较好的安全措施往往是多种方法适当综合的应用结果。

计算机网络的各个环节，包括个人（使用、维护、管理）、设备（含设施）、软件（含应用系统）、数据等，在网络安全中的地位和影响作用，也只有从系统整体的角度去看待、分析，才可能得到有效、可行的措施。不同的安全措施其代价、效果对不同网络并不完全相同。计算机网络安全应遵循整体安全性原则，根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构；

动态保护商T 网络安全是整体的、动态的。网络安全的整体性是指一个安全系统的建立，即包括采用相应的安全设备，乂包括相应的管理手段。安全设备不是指单一的某种安全设备，而是指几种安全设备的综合。网络安全系统的动态性是指，安全是随着环境、时间的变化而变化的，在一定环境下是安全的系统，环境发生变化了（如更换了某个机器），原来安全

的系统就变的不安全了；在一段时间里安全的系统，时间发生变化了（如今天是安全的系统，可能因为黑客发现了某种系统的漏洞，明天就会变的不安全了），原来的系统就会变的不安全。所以，建设的安全防护系统不是一劳永逸的事情；

一致性原则一致性原则主要是指网络安全问题应当与具体的安全措施保持同步，并且在网络安全建设中所采取的各类安全措施应当执行统一的安全策略，各个策略之间能够相互互补，并针对具体的问题，从不同的侧面执行一致性的策略，避免出现策略自身的矛盾和失误；

强制性原则安全措施的策略应当统一下发，强制执行，应避免各个环节的安全措施各自为政，从而也保障了安全策略的一致性，保障各个环节的安全措施能够相互互补，真正的为系统提供有效的保护；

易操作性原则安全措施需要人去完成，如果措施过丁复杂，对人的要求过高，本身就降低了安全性；其次，措施的采用不能影响系统的正常运行。

多重保护原则任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。

1.5 网络系统现状

对外网共计约120名办公人员。办公网络通过一台二层交换机接入亦庄机房核心交换机，到机房的链路介质为两条光纤。

互联网

亦庄IDCM房

财务行政部门

网络系统现状拓扑

部门

目前，对外网现有四台二层交换机需要更新升级。同时办公场所没有无线网络覆盖，且无内网安全防护设备。

2.1

网络系统升级改造方案

网络系统建设要求

网络系统建设要求如下：

升级替换二层交换机。

采用集中控管的组网方式，集中控制管理所有的 AP。

AP采用POE供电的方式。

为了满足大容量并且以备扩容和发展，室内无线AP要求必须支持两个射频模块，可以工作在2.4GHz和5.8GHz频段;

无线系统能够对用户角色制定不同的策略，满足授权管理（访问控制、流量控制）功能;

充分考虑WLAN的安全性，采用先进的 WLAN安全技术保障。无线局域网系统要能方便和灵活地调整与扩充为核心网络交换及安全设备提供 UPS电源保证

2.2

网络系统升级改造方案

网络系统升级改造方案拓扑图如下:

互联网

亦庄HK机房

无线AC控

其他部门

无线

2.2.1 有线网络升级

替换四台现有二层交换机

2.2.2

新建无线网络

2.2.2.1

AP布放设计

根据现场实际勘测、信号测试情况，无线网络采取蜂窝式部署方式。安装在走廊/墙壁上。

办公区域接入8个AP供办公人员日常业务使用。

2.2.2.2

无线组网方式

结合用户无线网络需求情况，结合产品自身技术特点，为了满足用户构建一个高速、稳定、安全、可靠、易丁管理的无线接入网络的需求，本设计方案按照AP+控制器的结构化无线网络解决方案进行设计。

2.2.2.3

信道规划

使用2.4GHz频点为例，为保证信道之间不相互干扰，要求两个信道之间间隔不低丁

25MHz。在一个覆盖区内，最多可以提供3个不重叠的频点同时工作，通常采用1、6、11

三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。

2.2.2.4

多业务区分设计

在设计上采用无线局域网多 SSID技术，设置多业务区分方式。例如一个 SSID可给内部员工所用，而另一个可给外来的客户专用。

2.2.2.5

无线安全性设计

在无线系统中，可以在多个层面对系统构筑安全防护，其安全性设计如下：

(1) 多SSID :可以根据需要，如用户的种类、应用的种类设置多个SSID,

不同的SSID采用不同的安全策略，这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式，该 SSID不广播，用户无法看到，防止非法用户的接入。SSID还可以选择在某些AP上出现，某些AP上不出现，限制SSID出现的范围也是实现安全性的一种手段。

（2）加密：无线系统支持国际标准的多种数据加密方式，保护数据不被窃取，用户

可根据实际需要自行选择。

（3）多重接入认证方式：

厂家无线系统支持多重认证方式结合：

开放式、WPA-PSK、WPA2-PSK （个人）、开放式+Portal认证、

WPA-PSK/WPA2-PSK+Portal 认证、WPA（企业）、WPA2 （企业）、WPA/WPA2 （企

业）；

2.2.2.6

网络与用户管理

在无线系统中可以设定用户的角色，同时，可根据角色进行访问的管控与流量的管理。比如，办公人员及领导具有较高的网络权限，可以访问更多的网络资源，或者对某些特殊的来宾开放某些 VIP账号，分配给其较高权限的权限。分配较高的带宽供使用。而访客分配有限的权限，限制带宽和禁止访问内网，同时也可进行时间的限制。

2.3

网络设备部署及用途

本次网络系统升级改造中各设备部署及用途如下:

序号设备名称数量单位用途 1 2 3 4 接入交换机 1 4 1 1 8 台与机房三层交换机对接终端接入交换机台提供终端PC的接入网络 POE交换机 AC控制器室内AP 台为AP设备供电台用于控制管理AP 5 台为用户提供无线数据接入 2.4 核心交换及安全设备 UPS电源保证

通过核心信息机房布放核心交换机，核心网络安全设备，无线网控制器等，为保证这些

设备在停电状态下的正常工作，我们配置了 5K的ups电源，为核心网络设备提供延迟1小

时的不问断电源保证。

2.5

网络系统升级改造方案总结

通过本次网络系统升级改造，网络的基础设施可以满足未来5年扩展需求。根据业务需

求优化网络系统，保证网络系统可用性、工程实施的简便快捷。满足网络系统等基础设施的需求，降低基础设施对信息化发展的制约，顺利完成重要业务系统的部署及信息系统的整合，促进对外网信息化可持续发展。

3.1

网络系统安全加固技术方案

网络系统安全加固建设要求

网络系统安全加固建设要求如下：

1、网络边界安全防护 2、财务等重要部门安全防护

3、限制网速，控制上网；访客可通过扫码或关注微信公众号，认证上网 4、网络准入

5、 IPSEC VPN :与阿里云对接 6、 SSLVPN设备：移动办公

3.2

网络系统安全加固技术方案

针对系统的安全建设需求，在安全域划分的基础之上，提出了有针对性的

移动办公

SSL VPX

亦庄IDC机房二匚

边界接入区

终端准入控制

无线AC控制器

安全技术措施，来构建整个信息安全技术防护体系。

具体部署方式如下图所示:

财务行政其他部门

无线AP

结合实际业务保障需要，本着“适度安全，保护重点”的原则，我们建议采用以下安全

阿里云

技术措施来构建安全保障体系的技术支撑平台。

3.2.1

边界安全保护措施

采用防火墙，对信息网络中重要的安全域提供边界访问控制，严格控制进出网络各个安全区域的访问，明确访问的来源、访问的对象及访问的类型，确保合法访问的正常进行，杜绝非法及越权访问；同时有效预防、发现、处理异常的网络访问，确保对外网信息网络正常访问活动。

3.2.1.1

网络边界安全防护

部署位置：在房与办公区域之间部署防火墙设备。部署模式：防火墙采用路由方式部署。

3.2.1.2

重要部门安全防护

部署位置：在行政、财务等重要部门与其他办公区域之间部署防火墙设备。部署模式：防火墙采用透明方式部署。

3.2.1.3

产品功能特点

基丁用户防护”、商向应用安全”、高效转发平台”、多层级冗余架构”、全方位可视化”及安全技术融合”六大特性的NGFW?下一代防火墙系列产品。全新的

NGFW?下一代防火墙产品线，不论是在性能方面还是在功能方面都完全符合用户对下

一代防火墙产品的各种需求。

基丁用户防护

灵活且强大的用户身份管理系统，支持RADIUS、TACACS、LDAP、

AD、邮件、证书、Ukey、短信等多种认证协议和认证方式。在用户管理方面，实现了分

级、分组、权限、继承关系等功能，充分考虑到各种应用环境下不同的用户需求。基丁上述特性，网络终端在访问网络前，被强制要求到NGFW?下一代防火墙进行身份认证来完成对其的合法性”检查。除此之外，NGFW?下一代防火墙还集成了强大的安全准入控制功能，针对身份认证通过后的网络终端操作系统环境进行系统服务、软件、文件、进程、注册表等细粒度的检测与控制来实现对其的

合规性”检查。通过对

网络终端合法性”与合规性”的双重审核后，NGFW?下一代防火墙将根据其身份认证信息（用户ID）通过智能过滤引擎实现基丁用户身份的安全防护策略部署与可视化监控。

一体化智能过滤引擎

NGFW?下一代防火墙系列产品，采用高度集成的一体化智能过滤引擎技术。其能够

在一次数据拆包过程中，对数据进行并行深度检测，从而保证了协议深度识别的高效性。另外， NGFW?下一代防火墙产品基丁八元组高级访问控制设计，除传统的五元组控制以外，实现了用户身份信息、应用程序指纹及内容特征的识别与控制，充分体现了下一代防火墙关注用户”与应用”的设计理念。

高效转发平■台

TO以全系统平■台

NGFW?系列产品基丁厂家公司十余年高品质安全产品开发经验结晶

的TOS （Topsec Operating System安全系统平■台。随着多核技术的广泛应用，TOS以多核硬件架构为基础，分为系统内核层、硬件抽象层及安全引擎层。在安全引擎层内，根据安全功能模块协议特性的不同，分为网络引

擎组(NETWORK Engines)与应用引擎组(APP Engine动。通过将引擎组

与多核硬件架构的完美整合，使TOS在系统层面实现了全功能多核并行流处理。而在硬

件抽象层则采用多种加速技术，根据各个核心的实时负载情

况，将流量按会话的方式动态均衡到 CPU的各个核心，从而确保整个CPU 效率执行的最大化。

TopTURB敏据层高速处理

TopTURBO是自主原创实现数据层多核快速转发的高性能业务处理技术。通过NGFW?产品研发团队在TOS系统平■台上所进行的大量性能优化工作，利用

TopTURBO技术将数据层高速处理解决方案平■滑迁移到多核硬件平■台上，与当今最

先进的高性能多核架构合而为一，从而获得更高的网络处理性能。

3.2.2

网络流量控制防护措施

申联部署上网行为管理系统，依据业务系统使用情况配置网络带宽和用户对外访问的带

宽，满足业务应用系统带宽使用，同时保障网络畅通。

3.2.2.1

网络流量控制防护

部署位置：在防火墙设备与内网三层交换机之间。部署模式：采用透明方式部署。

认证方式：用户只需用微信扫描企业提供的二维码，关注公众号并申请上网，即可完成身份认证过程。同时支持扫一扫的方式认证上网。

3.2.2.2

产品功能特点

IP/MAC/VLAN 绑定

上网行为管理设备支持二层网络环境和三层网络环境的

IP、MAC、

IP+MAC和VLAN ID的绑定，可自动阻断哪些非法占用他人 IP的用户上网。

认证账户有效期

对丁一些临时的用户，通过有效期的限定可以控制这些用户的上网时间范围，当用户超出预设的时间有效期，就不能上网。很好的控制了外来用户上网的准入性和上网时长。同时可以设定用户离线多久就自动删除该

用户，从而大大的简化了动态用户的管理，增强了用户管理的灵活性。

微信认证

支持与微信结合的认证方式，用户关注微信公众号后即通过身份认证，后台记录用户ID

登录重定向

上网行为管理设备支持网页重定向的功能。当用户认证成功后，上网

行为管理设备可以将其第一次的 WEB访问重定向到预设的URL链接。此功能适合丁政府机关、企业集团、大中小学等、或者洒店等网络环境，便丁用户上网的时候直接导向最新的公告信息。

带宽资源管理

通过专业的带宽管理和分配算法，上网行为管理设备提供流量优先级、最大带宽限

制、保障带宽、预留带宽、以及随机公平队列等一系列的应用优化和带宽管理控制功能。

防共享上网

上网行为管理，能自动发现网络中私接的有线路由器、无线路由、

360wifi等共享上网行为，能够及时对私接行为进行管控，在系统中能够实时查看管控

记录和日志

3.2.3

3.2.3.1

网络准入

部署位置：内网三层交换机。部署模式：采用旁路方式部署。

3.2.3.2

产品功能特点

完整的接入管理流程

一套完整的接入管理流程，从基本的接入身份标识，到接入后的合规检查和修复向导以及实名审计等，整体包装终端准入的安全性，纯净化与抗抵赖作用。

全方位的可信准入

可信终端：只允许合法终端的接入，细粒度的健康检查保证接入终端的合规性；可信用户：系统提供实名制的准入功能，并可与 AD域联动，将网络准入同域认证有机结合。

无线准入业界领先

支持传统PC有线和无线认证、健康检查、动态 VLAN划分；

支持智能终端无线准入，无需安装客户端，支持 Android、IOS、Windows Phone等主流操作系统。

具有很好的网络环境适应性，不需要大幅调整网络结构

网络安全准入系统可适应各类复杂网络和混合型部署网络，支持多种接入

方式，支持有线和无线的准入。支持 CISCO、H3C、华为等多个厂商的设备，很好的满足及适应了客户网络的复杂性。

细粒度的合规检查

从识别系统特征，到操作系统以及杀蠹软件的特征，全面支持对客户端主机的各种安全检查，除基本的安全检查项外(杀蠹软件、注册表、进程等)

，可

以由管理员自定义制订检查安全监测任务。用户可根据实际需求选择符合自己的合规检查。

高性能，高稳定性的设备

基丁最新硬件平■台而构建的 NAC硬件准入网关，公司十五年的硬件产品技术积累，硬件平台广泛应用丁防火墙、IPS、VPN等其他硬件产品。该产品基丁具有自主知识产权的安全操作系统 TOS (Topsec Operating System)。

强大的可扩展性

准入安全检查技术上除了满足客户端安全监控、客户端安全加固、客户端管理等要求之外，还提供多种数据接口和二次开发接口。可根据实际需要快速进行功能定制，也可与 TSM产品(TD/TA-NET/TA-DB)联合部署，并可提供基丁实名认证审计功能。

3.2.4 IPSEC VPN

机房与云IPSEC VPN建立安全访问通道。采用基丁 IPSEC协议的虚拟专用网

（VPN）机制，结合可靠的认证、授权和密码技术，保护远程通信过程和传输数据的真实

性、完整性、保密性，防止重要业务数据在传输过程中被窃取、篡改和破坏。

3.2.4.1 IPSEC VPN

部署位置：机房三层交换机。部署模式：采用旁路方式部署。

3.2.4.2

产品功能特,点

全面支持国密局IPSec协议规范

IPSec作为一个通用性的安全标准，要求所有IPSec的实现必须严格遵循其各种协议规

范，以便实现不同产品之间的互通。IPSec VPN产品经过国家密码管理局的严格鉴定，符合国密局最新制定的《IPSEC VPN技术规范》，可以和其他符合规范的的VPN产品实现互通。

本产品遵循国密局最新制定的《IPSEC VPN技术规范》标准协议。支持ESP、AH加密认证协议

支持隧道模式、传输模式的协议封装格式支持密钥交换协议

支持主模式、快速模式多种协商模式支持证书认证方式

通过隧道路由技术实现 VPN网络的灵活自动部署

在实际物理网络部署中，网络管理员首先通过物理线路（可能是光纤、双绞线、电话线等）连接各个路由设备，然后通过在路由器上配置静态路由或者动态路由完成各种规模网络的灵活部署。在IPSec VPN网络中，将每一条隧道视为连接两台VPN设备的虚拟网络线路，隧道建立成功后，虚拟线路连接工作就完成了。基丁这些虚拟线路，网络管理员可以在

IPSec VPN网关上采用同

样的方法配置静态、动态路由协议，完成整个道路由机制的优点在丁：

网关的配置概念和方法与路由器类似，减少网络管理员对丁部署络的学习和熟悉过程；

通过隧道路由规则的配置，可以完成 VPN数据流在VPN网关之间的灵活转发，从而可以实现星型网络拓扑，并解决双向 NAT穿越问题；

通过动态隧道路由协议的配置，可以实现整个

VPN网络的灵活部署。这种隧

VPN网

VPN网络的自适应部署，

VPN网络拓扑的自动学习、自动寻径；

通过基丁策略的隧道路由配置，可以实现 VPN网关的冗余备份和负载均衡。

完善的PKI体系提高用户网络的安全等级

随着VPN技术在政府、金融等高安全性要求领域的应用不断深入，用户

对VPN网络的认证功能与其原有的 PKI体系进行无缝结合的需求也越来越强烈。网络卫士

VPN产品全面支持标准PKI体系结构，既能够通过内置的 CA 模块独立为移动用户签发数字

证书，乂能够通过导入CA根证书+CRL列表方式对第三方CA签发的证书进行认证，同时还能够通过 OCSP/LDAP等标准协议向第三方CA提交在线证书认真请求。具体 PKI功能包括：

支持标准X509.V3格式数字证书；

支持DER、PEM、PKCS12等多种证书编码格式；

支持通过内置CA模块为用户签发标准数字证书；

支持同时导入多个CA根证书和CRL列表，对不同CA签发证书进行认证；支持通过

OCSP/LDAP等标准协议向第三方CA进行在线证书认证；

支持生成PKCS10格式的证书请求，可生成证书请求，由第三方CA签名；；支持

CRL列表文件的导入和通过HTTP自动下载；

与吉大正元、上海格尔、天威诚信、江南计算所等国内主要

CA厂商有着

长期的合作，网络卫士 VPN网关与这些厂商的CA系统均能够无缝集成。

3.2.5 SSL VPN

采用基丁 PKI的数字证书技术实现服务器和用户端的双向身份认证，并采用数字签名技术保证数据传输的完整性和交易的抗抵赖性，可方便地实现移动办公用户利用互联网对系统的安全访问。可结合 USB KEY提供证书和密钥的存储，增强用户身份认证的安全性。

3.2.5.1

SSL VPN

部署位置：机房防火墙DMZ区。部署模式：采用旁路方式部署。

3.2.5.2

产品功能特点

自主安全操作系统平■台

采用自主知识产权的安全操作系统一TOS (Topsec Operating System ), TOS拥有优秀的模块化设计架构，有效保障了防火墙、

VPN、内容过滤、抗攻

击、流量整形等模块的优异性能，其良好的扩展性为未来迅速扩展更多特性提供了无限可能。TOS具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平■台适应性的特点。

多种VPN技术有机融合

前面已经分析了目前主流的各种 VPN技术的优缺点，这些技术有其不同的适用范围。在实际的用户网络中，不同的用户需求往往需要多种综合应用，在这种情况下往往需要用户购买多台不同的

VPN技术

VPN设备来满足需求，

这既浪费资源乂带来用户管理维护的工作量，同时网络环境变得更加复杂，网络运行的稳定

性和安全性都会面临新的挑战。

VONE网关是厂家公司在多年各种独立的 VPN产品研发和销售的基础上，推出的一款

融合IPSEC/SSL/PPTP/L2TP 等多种VPN技术的综合安全网关产品。在TOS平台强大的整合能力保障下，各种 VPN模块进行了有机的整合，为用户提供一个统一完整的VPN接入平■台。

多种SSLVPN技术结合实现应用全覆盖

目前SSLVPN接入技术大致分为三类： WEB转发(WEB FORWARD ), 端口转发(PORT FORWARD )和全网接入(NETWORK ACCESS 或者称为 IP TUNNEL ）0这三种技术的技术特点和适用范围各不相同，在厂家 VONE网关中对这三种SSLVPN接入技术都做了很好的支持，用户可以根据自身应用系统的特点选择使用一种或多种接入方式。

WEB转发模式可以实现用户的完全无客户端接入，支持各种操作系统和客户浏览器平

台。但其缺点是仅支持 B/S模式的应用系统，而且对客户应用系统的依赖性较强。厂家

VONE网关通过在 WEB转发模式中应用独创的智能 URL重定向技术和自动分布式页面重

构技术大大提高了对用户

B/S系统的支持

率和处理性能。同时通过开放的页面替换规则框架，支持为用户个性化的业务系统自定义特殊的URL替换规则，进一步提高了系统的适应性。

端口转发模式通过客户端本地代理技术实现对用户访问请求的

SSL协议

封装和转发。这种模式的适应性比 WEB转发要好，但其要求在客户端安装一个ACTIVEX控件。厂家VONE网关实现了客户端透明代理，用户不需要修改本地的任何配置即能完成代理控件的安装和使用，大大简化了用户操作步骤。

全网接入模式通过SSL隧道转发客户端所有的IP请求报文，其适应性最好，能够支持基丁 IP协议的所有B/S和C/S业务系统，其同样要求在客户端系统上安装一个ACTIVEX的控件。网关通过全网接入模式能够实现移动用户的虚拟IP地址分配，实现各种访问控制策略的下发，支持移动用户以分离隧道

（SPLIT TUNNEL即可以同时访问 VPN和因特网）或完全隧道（FULL TUNNEL即只

能访问VPN不能访问因特网）的方式接入VPN网络，大大提高了远程接入的安全性和灵活性。

支持虚拟门户功能

SSL VPN提供了虚拟门户功能，从而使得企业及部门都可拥有自己独立的远程接入门

户。每个虚拟门户都可以定制不同的登录界面、定制是否使用控件、定制使用哪些功能模块、定制不同的认证方式、定制不同的公告信息等。

适应多种终端和系统平■台

目前移动互联已成为新的应用趋势，VPN针对各种终端系统提供了多种安全接入技术，能方便的实现移动办公应用。具备集二、三层VPN，应用级VPN 及安全SDK 丁一体的移动安全接入 VPN技术，全面适应各种移动应用接入环境。支持虚拟桌面和虚拟应用发布技术，实现“数据不落地”，保障数据安全性；支持iOS IPSEC “零安装”及Android SSL全网接入客户端，满足多应用同时访问；提供集成SSL功能的安全浏览器，能安全的访问各种基丁 WEB的移动应用。

随着移动设备的不断发展，移动智能设备操作系统也不断涌现。厂家公司的移动安全客户端产品，不但支持传统的

Windows、Linux操作系统，还支持

iOS、Android等移动操作系统。丰富的操作系统平■台支持，意味着用户可以自由的选择终

端产品，无需受限丁某个特定的系统。

3.3

安全设备部署及用途

各设备部署及用途如下: 序号设备名称数量单位用途 1 网络边界防火墙 1 台机房与办公区域之间的访问控制行政、财务等重要部门与其他办公 2 网络边界防火墙 3 台区域之间的访问控制对网络带宽控制，并提供上网认证 3 流控设备 1 台功能 4 网络准入设备 1 台提供终端准入功能 M IPSEC VPN建立安全访问通 5 IPSEC VPN 1 台道 6 SSL VPN 1 台提供移动办公用户 VPN接入 21

3.4

安全加固方案总结

结合信息化实际情况，对网络与信息安全体系的框架结构、安全要素基本要求进行规划

和建设，并根据实际优化调整，在保证关键技术实现的前提下，采用成熟国产产品，保证系统的可用性、工程实施的简便快捷。开展信息系统安全规划、整改及建设工作，落实安全防护技术措施，建立健全安全管理制度，进一步提高信息系统的安全保障能力和防护水平，确保网络与信息系统的安全运行，推进信息化的安全、健康、协调发展。

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文

全部栏目

网络安全加固最新解决方案